专利名称:一种加强网络安全的方法和装置的制作方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种加强网络安全的方法和装置。
背景技术:
常用的如工业无线网络的无线设备之间通过无线技术进行链接,用户可 以经过无线网络方便地访问工业网络中的任何设备,请参见
图1所示,图1 为工业无线网络的控制系统结构示意框图,工业无线网络通常包括监控层网
络和现场控制层网络,其中,所属监控层网络通常包括工程师站101、 4喿作员 站102、监控站103、无线网络安全管理服务器104,其中,所述无线网络安 全管理服务器104用于维护和管理整个工业无线网络的设备的接入安全;所 述现场控制层网络通常包括智能网桥105、无线路由设备106、以及与所述无 线路由设备相连的普通无线设备107和无线手持设备108等。
然而,目前,由于在现有的工业无线网络中监控层网络通常对的现场控 制层网络中接入的无线设备没有有效的安全验证手段,因此,非法用户可以 经过无线网络接入恶意设备,例如拦截一台变速器的数据,对采样或控制数 据数据进行篡改,并将篡改后的数据发送到执行器中,从而导致工业无线网 络中的监控层网络的整个系统处于危险情况。或者还可以在工业无线网络的 监控网络中,将一台移动PC (计算机)或者无线手持设备108伪装成一台工 程师站101或者操作员站102,以恶意修改现场控制层网络中的设备的组态信 息,从而导致控制系统处于混乱状态。
发明内容
本发明的目的在于提供一种加强网络安全的方法和装置,能够及时地阻 值非法设备的接入,以提高无线网络的接入安全。
本发明提供了一种加强网络安全的方法,包括
当有新的无线设备接入网络时,网络侧判断新设备的授权号是否与已建
立连接的无线设备的授权号重号,若重号,则拒绝所述新设备的接入;否则,
则等待接收所述新设备的报文。
优选地,当判断得到所述新设备的授权号与已建立连接的无线设备重号
时,所述方法还包4舌
所述网络侧修改所述修改被重号的无线设备的授权号。 优选地,所述方法还包括
所述网络侧将修改后的所述被重号的无线设备的授权号通过修改报文通 知给所述被重号的无线设备,以及与该设备连接的路由设备,要求更改成修 改后的授权号。
优选地,在执行所述判断之前所述方法还包括
在无线设备建立连接的过程中,网络侧向所述无线设备发送授权号探测 请求报文;
当收到所述无线设备返回的授权号探测响应报文后,所述网络侧判断该 响应报文中的授权号是否是允许接入的授权号,若是,则执行所述判断步骤。
优选地,在收到所述无线设备返回的授权号探测响应报文之前还包括
所述网络侧判断是否在预置的最大响应时间内收到所述无线设备返回的 授权号探测响应报文,若是,则执行所述判断该响应报文中的授权号是否是 允许接入的授权号步骤,否则,拒绝所述无线设^^接入。
优选地,当收到所述新设备的报文后,所述方法还包括
所述网络侧按照与所述新设备所在的现场控制层网络预先设置的解密方 式对收到的报文进行解密;
再将解密后得到的报文按照与所述网络侧的监控层网络预先设置的加密 方式进行加密,并在加密后发送至所述监控层网络。
优选地,在网络侧的设备中预先保存有现场控制层网络设备和监控层网 络设备的地址列表;
当收到所述新设备的报文后,所述方法还包括
判断收到
设备和监控层网络设备的地址列表中,若是,则转发该报文;否则,丟弃该 报文。
优选地,在网络侧的每个监控层设备中都预先设置有访问权限;
当收到所述监控层设备发往现场控制层设备的访问请求报文时,所述方 法还包括
判断发送所述访问请求报文的监控层设备是否具有该次访问操作的权 限,若是,则向所述现场控制层设备转发所述访问请求报文;否则,拒绝转 发所述访问请求报文。
基于上述技术方案,本发明还公开了一种用于加强网络安全的装置,包
括
列表单元,用于保存已经与网络建立连接的所有无线设备的授权号;
判断处理单元,用于当有新的无线设备接入网络时,判断新设备的授权 号是否与所述列表单元中保存的授权号重号,若重号,则拒绝所述新设备的 接入;否则,则等待接收所述新设备的报文。
优选地,所述装置还包括
修改单元,用于当所述判断处理单元判断得到所述新设备的授权号与已 建立连接的无线设备重号时,修改所述已建立连接中被重号的无线设备的授 权号;
发送单元,用于将所述修改单元中修改得到的新的授权号通过修改报文 通知给所述被重号的无线设备,以及与该设备连接的路由设备。
与现有技术相比,本发明具有以下优点
本发明在当有新的无线设备接入网络时,能够在接入前判断该新设备的 授权号是否与已建立连接的其他无线设备的授权号重号,从而检验该新设备 是否为非法设备,通过本发明能够防止非法设备接入网络,进一步增强网络
的安全性。 附困说明
图1为现有技术中工业无线网络的控制系统结构示意框图; 图2为本发明实施例无线设备建立连接的方法流程示意框图; 图3为本发明监测非法设备入侵的方法流程示意框图; 图4为本发明智能网桥安全过滤的方法实施例的流程框图; 图5为本发明访问权限验证方法实施例的流程示意图; 图6为本发明一种装置实施例的结构框图; 图7为本发明另一种装置实施例的结构框图。
具体实施例方式
本发明实施例公开的 一种加强网络安全的方法,具体可从设备与无线网 络建立连接时开始检测,当建立好连接后,还可以继续对已经接入的设备进 一步斥全验是否有非法设备加入,同时,还可以通过在无线网络中对传输的数 据进行加密来进一步提高网络的安全性,以及对设备的访问权限的监控等方 式来综合实现网络接入的安全性,从而避免网络被非法设备破坏。
下面结合附图对本发明的各种监控实施方式做进一步的详细阐述。
本发明公开的一种无线设备建立连接的方法实施例,该实施例预先在网 络侧的路由设备上维护 一份允许接入的授权号列表,该表中保存有允许接入 无线网络的所有设备的授权号;同时,对于合法的无线设备都设置有一个允 许接入无线网络的授权号,用于在有新设备接入网络时,能够根据该列表检 查接入的设备是否为非法接入。如图2所示,为本发明实施例无线设备建立 连接的方法流程示意框图,所述方法包括
S201:当网络侧的路由设备检测到有无线设备试图与所述路由设备建立 无线连接时,所述路由设备向所述无线设备发出授权号探测请求报文。
S202:所述无线设备在收到所述请求报文后,将自身的授权号携带在授
权号探测响应报文中,发送给所述无线路由设备。
S203:所述无线路由设备在收到所述无线设备发来的授权号探测响应报 文后,判断所述响应报文中的授权号是否存在于自身存储的允许接入的授权 号列表中,若存在,则执行S204;否则,执行S205。
其中,所述路由设备上保存的允许接入的授权号列表可以为该路由设备 所在网络的管理服务器分配得到,该列表中的所有无线设备的授权号都为所 述管理服务器设置。
S204:所述无线路由设备判断得到该无线设备为合法设备,此时,所述 无线路由设备将所述无线设备的授权号加入到已建立连接的设备列表中,同 时将转发所述无线设备的所有报文。
S205:判断得到该无线设备为非法设备,此时,可拒绝转发该无线设备 的所有报文。
此外,在上述S202和S203中,还可以包括所述无线路由设备在发出 所述授权号探测请求才艮文后,启动计时器,对响应时间进行计时;同时所述 无线路由设备判断在最大的响应时间内,是否收到了所述无线设备返回的所 述授权号探测响应报文,如果收到,则继续执行所述S203;否则,则执行所 述S205。
与此同时,本发明实施例公开的一种监测非法设备入侵的方法,该实施 例预先在网络侧的管理服务器上动态维护 一份允许接入所述网络的所有设备 的授权号列表。其中,所述管理服务器可以是无线网络安全管理服务器。在 与所述无线网络安全管理服务器相连的无线路由设备上动态维护着一份已建 立连接的设备列表,该列表中保存着所有已经通过所述路由设备接入到所述 无线网络的无线设备的授权号。本实施例能够通过检查所述已建立连接的设 备列表中是否有重名来判断新接入的设备是否为非法接入。如图3所示,为 本发明监测非法设备入侵的方法流程示意框图,所述方法可在上述图2所示 的实施例的基础上,包括
S301:当网络中有新设备通过路由设备接入到无线网络后,并且在所述路由设备将所述新设备的授权号记录在自身保存的已建立连接的设备列表中 后,所述路由设备将包含有所述新设备授权号的所述已建立连接的设备列表 发送给所述管理服务器。其中,所述管理服务器可以为无线网络的安全管理 服务器。
S302:所述管理服务器判断所述已建立连接的设备列表中所述新设备的 授权号是否与自身存储的已接入设备的授权号相同。即,判断网络中是否存 在授权号相同的两个设备同时接入到该网络中。若相同,则执行S303;否贝寸, 执行S306。
S303:所述管理服务器判断得到所述新设备为非法设备,此时,则通知
S304:所述管理服务器修改被重号的合法设备的授权号,并将修改后的 新的授权号记录在自身保存的允许接入的授权号列表中,同时,向所述路由 设备和所述被重号的设备发送修改报文,以告知更换授权号。
S305:所述路由设备在收到所述S304中发送的修改报文中,将所述修改 报文中指定的要更换的授权号记录在自身保存的允许接入的授权号列表中, 替换原来的授权号。同时,所述被重号的设备在收到所述修改报文后,将自 身的授权号修改为该报文中指定的,然后,所述设备与所述无线路由设备重 新建立连接。
S306:所述管理服务器判断得到所述新设备为和合法设备,此时,可继 续等待接收所述新设备发送的报文。
此外,在上述实施例中的S301中,所述路由设备除了将包含有所述新设 备授权号的整个已建立连接的设备列表发送给所述管理服务器,以供后续检 验外,还可以只将所述新设备的授权号告诉所述管理服务器,这样,每当有 新设备请求接入网络后,路由设备允许接入后,可将新接入的设备通知给所 述管理服务器,所述管理服务器每次判断新设备授权号是否与原来保存的已 有设备授权号重复。
此外,还可以每当网络中的设备连接发生变化时,例如当设备断开连接
时,所述无线路由设备也可以向所述无线网络安全管理服务器发送所述已接 入网络的所有设备的授权号列表。 .
此外,所述S303中,所述管理服务器除了判断列表中新接入的设备授权 号外,还可以判断整个网络中所有已经接入网络的设备的授权号是否重号, 如果重,则将后接入的重号设备删除。同时需要在S302中,所述无线路由设 备也无需每次当有设备连接或断开时,都要向所述管理服务器上发送已接入 网络的设备授权号列表,可以周期地发送。
此外,当网络中有设备断开连接时,该网络中的路由设备也可以将自身 保存的已建立连接的设备列表发送给管理服务器;或者,所述管理服务器还 可定期检查网络中的设备是否存在重复授权,例如,要求路由设备定期向所 述管理服务器发送已建立连接的所有设备的授权号列表。
此外,在上述图2和图3所示实施例的基础上,在无线设备与网络建立 了连接后,为了进一步增前无线网络的安全,还可以对无线设备与网络侧之 间通信的报文进行加密,例如,如果在网络侧是通过智能网桥来连接管理服 务器和路由设备与无线设备的情况下,其中,所述路由设备和无线设备位于 现场控制层网络,而管理服务器位于监控层网络。则所述无线设备向网络侧 发送的报文可以按照预先设置的加密方式进行加密,所述智能网桥当监听到 现场控制层网络的报文后,按照与现场控制层网络预先约定的解密方式,对 收到的报文进行解密,然后,再按照与监控层网络约定的加密方式,对已经 解密的报文重新加密,然后,将加密后的报文发送至位于监控曾网络中的管 理服务器。其中,所述解密可以为异或解密算法,所述加密可以为异或加密 算法。
此外,在上述几个实施例的基础上,在网络侧智能网桥还可以对收到的 报文在转发前进行验证,以进一步加强网络的安全过滤。如图4所示,为本 发明智能网桥安全过滤的方法实施例的流程框图,该方法包括
S401:在智能网桥上预先保存有现场控制层网络中的所有无线设备的地 址列表,以及监控层网络中的例如管理服务器等设备的地址列表。其中,所 述列表信息可以由网络侧的管理服务器向所述智能网桥写入保存。
是
S402:所述智能网络接收无线网络报文。其中,所述无线网络报文可以 由现场控制层网络发往监控层网络的报文,还可以是从监控层网络发往现 场控制层网络的报文。
S403:所述智能网络判断所述净艮文中的源地址和目标地址是否分别存在 于自身保存的无线设备地址列表和监控层设备的地址列表中,若是,则转发 该报文;否则,丢弃该报文,并向网络侧的管理服务器报告出错情况。
需要说明的是,上述实施例并不仅限于由智能网桥来实现,还可以由处 于监控层网络和现场控制层网络中的其他具有转发报文的设备实现。此外, 上述图4所示实施例中,是直接将现场控制层网络中的设备地址和监控层网 络中的设备地址保存在智能网桥中,在验证时,直接判断报文中的地址是否 存在于所述两个地址列表中。此外,还可以分别对每层网络中的设备设置两 份地址列表,其中一份针对转入该层的情况,此时的列表为目的地址列表; 另一份针对转出该层的情况,此时的列表为源地址列表。这样,在验证报文
地址列表和监控层设备地址列表的组合,即现场控制层中无线设备的源地址 和监控层设备的目的地址组合,或者监控层设备的源地址和现场控制层中无 线设备的目的地址的组合。这样细化判断的好处是进一步增强了无线网络 的安全性。
此外,在上述几个实施例的基础上,本发明还可以对网络侧的监控层网 络中的设备设置访问权限,以便对由所述监控层设备发往现场控制层设备的 所有报文进行权限验证,从而进一步增加了网络访问的安全性。如图5所示, 为本发明访问;K限-验^〖正方法实施例的流程示意图,该方法包括
S501:在网络侧的监控层网络中的每个设备上都预先设置访问权限。其 中,可由网络侧的管理服务器设置该权限。
S502:所述管理服务器拦截由所述监控层设备发往现场控制层设备的访 问请求报文。
S503:所述管理服务器判断发送所述访问请求报文的监控层设备是否具 有该次访问操作的权限,若是,则执行S504;否则,则执行S505。
S504:向所述现场控制层设备转发所述访问请求报文。
S505:放弃转发所述访问请求报文,并向所述监控层设备返回有关该请 求的响应报文,以告知所述监控层设备未取得访问权限。
基于上述技术方案,本发明还公开了一种用于加强网络安全的装置,所 述装置可集成在网络侧的无线网络安全管理服务器上。如图6所示,所述装 置包括列表单元601、判断处理单元602;其中,所述列表单元601,用于 保存已经与网络建立连接的所有无线设备的授权号;所述判断处理单元602, 用于当有新的无线设备接入网络时,判断新设备的授权号是否与所述列表单 元601中保存的授权号重号,若重号,则拒绝所述新设备的接入;否则,则 等待接收所述新设备的报文。
基于图6所示装置实施例的技术方案,本发明还公开了一种装置实施例, 如图7所示,为本发明另一种装置实施例的结构框图,该装置除了包括图6 所示单元外,还包括修改单元701、发送单元702,其中,所述修改单元701, 用于当所述判断处理单元602判断得到所述新设备的授权号与已建立连接的 无线设备重号时,修改所述已建立连接中被重号的无线设备的授权号;所述 发送单元702,用于将所述修改单元701中修改得到的新的授权号通过修改报 文通知给所述被重号的无线设备,以及与该设备连接的路由设备。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明 的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或 者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络 单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例 方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以 理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件, 但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案 本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来, 该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,
包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何 在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本 发明的保护范围之内。
权利要求
1、一种加强网络安全的方法,其特征在于,包括当有新的无线设备接入网络时,网络侧判断新设备的授权号是否与已建立连接的无线设备的授权号重号,若重号,则拒绝所述新设备的接入;否则,则等待接收所述新设备的报文。
2、 如权利要求1所述的加强网络安全的方法,其特征在于,当判断得到 所述新设备的授权号与已建立连接的无线设备重号时,还包括所述网络侧修改被重号的无线设备的授权号。
3、 如权利要求2所述的加强网络安全的方法,其特征在于,还包括所述网络侧将修改后的所述被重号的无线设备的授权号通过修改报文通 知给所述被重号的无线设备,以及与该设备连接的路由设备,要求更改成修 改后的授权号。
4、 如权利要求1所述的加强网络安全的方法,其特征在于,在执行所述 判断之前还包括在无线设备建立连接的过程中,网络侧向所述无线设备发送授权号探测 请求报文;当收到所述无线设备返回的授权号探测响应报文后,所述网络侧判断该 响应报文中的授权号是否是允许接入的授权号,若是,则执行所述判断步骤。
5、 如权利要求4所述的加强网络安全的方法,其特征在于,在收到所述 无线设备返回的授权号探测响应报文之前还包括所述网络侧判断是否在预置的最大响应时间内收到所述无线设备返回的 授权号探测响应报文,若是,则执行所述判断该响应报文中的授权号是否是 允许接入的授权号步骤,否则,拒绝所述无线设备接入。
6、 如权利要求1所述的加强网络安全的方法,其特征在于,当收到所述 新设备的报文后,所述方法还包括所述网络侧按照与所述新设备所在的现场控制层网络预先设置的解密方 式对收到的报文进行解密; 再将解密后得到的报文按照与所述网络侧的监控层网络预先设置的加密 方式进行加密,并在加密后发送_至所述监控层网络。
7、 如权利要求1所述的加强网络安全的方法,其特征在于,在网络侧的设备中预先保存有现场控制层网络设备和监控层网络设备的地址列表; 当收到所述新设备的报文后,所述方法还包括设备和监控层网络设备的地址列表中,若是,则转发该报文;否则,丢弃该 报文。
8、 如权利要求1所述的加强网络安全的方法,其特征在于,在网络侧的 每个监控层设备中都预先设置有访问权限;当收到所述监控层设备发往现场控制层设备的访问请求报文时,所述方 法还包括判断发送所述访问请求报文的监控层设备是否具有该次访问操作的权 限,若是,则向所述现场控制层设备转发所述访问请求报文;否则,拒绝转 发所述访问请求报文。
9、 一种用于加强网络安全的装置,其特征在于,包括列表单元,用于保存已经与网络建立连接的所有无线设备的授权号;判断处理单元,用于当有新的无线设备接入网络时,判断新设备的授权 号是否与所述列表单元中保存的授权号重号,若重号,则拒绝所述新设备的 接入;否则,则等待接收所述新设备的报文。
10、 如权利要求9所述的用于加强网络安全的装置,其特征在于,所述 装置还包括修改单元,用于当所述判断处理单元判断得到所述新设备的授权号与已 建立连接的无线设备重号时,修改所述已建立连接中被重号的无线设备的授 权号;发送单元,用于将所述修改单元中修改得到的新的授权号通过修改报文 通知给所述被重号的无线设备,以及与该设备连接的路由设备。
11、如权利要求9或IO所述的用于加强网络安全的装置,其特征在于, 所述装置集成在网络侧的无线网络安全管理服务器上。
全文摘要
本发明公开了一种加强网络安全的方法,包括当有新的无线设备接入网络时,网络侧判断新设备的授权号是否与已建立连接的无线设备的授权号重号,若重号,则拒绝所述新设备的接入;否则,则等待接收所述新设备的报文。与此同时,本发明还公开了一种用于加强网络安全的装置,本发明能够在新设备接入网络时,通过判断新设备的授权号是否与已经接入的其他设备的授权号重号,进而验证该新设备是否为合法设备,通过本发明能够防止非法设备接入网络,进一步增强网络的安全性。
文档编号H04L12/26GK101170461SQ200710195238
公开日2008年4月30日 申请日期2007年12月4日 优先权日2007年12月4日
发明者冯冬芹, 健 褚, 金建祥, 陈高翔 申请人:中控科技集团有限公司;浙江大学