专利名称:一种用于防止计算机病毒攻击的方法和装置的制作方法
技术领域:
本发明涉及一种用于防止计算机病毒攻击的方法和装置,尤其涉及在万维互联网 (Internet)和工业互联网/专用内网之间发送和接收信息时预防计算机病毒攻击的方法 和装置。
背景技术:
随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网 络将其生产过程专用设备或工业智能设备(IntelligentElectric Device-IED)互联在一 起,形成生产控制系统网络。这种工业企业用内部(或专用)网络称之为工业互联网。一 般来说,工业互联网要具有一些满足工业自动化控制的特殊结构和功能。随着工业互联网的发展,利用已有公众网络(万维互联网)的硬件和软件设施,远 程连接某个工业互联网,对该工业互联网中的生产过程专用网络或智能设备进行远程集中 监控和远程维护,是当前万维互联网络技术在工业企业自动化系统中的一个需求热点。另 一个需求热点是利用已有公众网络(万维互联网)的硬件和软件设施,将两个或更多个工 业互联网进行通讯连接。从而使得一个中心控制系统能对所有子生产控制系统进行监督和 控制,也使得多个子生产控制系统之间能相互通讯,形成一个更大的生产控制系统,对其资 源进行更优化控制和使用。众所周知,用互联网连接本地计算机网络或计算机终端的一个普遍问题是安全问 题。因为互联网广泛性应用的特性,互联网设施“鼓励”广泛地从各种来源传送各种性质的 数据和信息。有些数据和信息中可能会含有病毒,这些病毒可能是非法可执行的指令(例 如木马程序),用于破坏有用的数据和信息。这样一些黑客就会利用数据和信息的广泛传 送,可以刻意攻击某一个局域网络或终端;或者一些不法者在数据和信息中加上各种病毒, 攻击所有接收到带有病毒的数据和信息的局域网络或终端。在现有的互联网技术中,防止黑客和病毒的方法之一是建立一个分析数据库, 记录并更新病毒的格式特征和行为特征。该分析数据库就像一个“黑名单”,如果收到的 数据和信息符合“黑名单”的特征,就将收到的数据和信息拒绝。这种方法的典型例子是 IPS(IntrusionPrevention System)。IPS的缺点是需要强大的后台和硬件支持,而且需要 一定的时间才能将含有病毒的数据和信息找出来。因而这种方法对工业互联网中的一些专 用设备不适用,因为在一些使用场合下,由于使用环境的限制,一些专用设备或工业智能设 备不允许有强大的硬件和软件平台。而且工业互联网中一些专用设备的实时性很强,不允 许有较长时间的响应时间。作为万维网(Internet)的安全性保护工具,防火墙(Firewall)已经得到广泛的 应用。通常企业为了维护内部的信息系统安全,在企业网和万维网间设立防火墙。但是防 火墙有以下几个缺点1.防火墙可以阻断攻击,但不能消灭攻击源。互联网上病毒、木马、恶意试探等等 造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防 火墙发出尝试。2.防火墙不能抵抗最新的未设置策略的攻击病毒。3.防火墙的并发连接 数限制容易导致拥塞或者溢出由于要判断、处理流经防火墙的每一个包,因此防火墙在某 些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防 火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。4.防火墙对服 务器合法开放的端口的攻击大多无法阻止。5.防火墙对待内部主动发起连接的攻击一般无 法阻止。6.防火墙本身也会出现问题和受到攻击,其本身也可能受到攻击和出现软/硬件 方面的故障。另一种方法是利用IP地址来建立虚拟通道(VPN)。VPN即虚拟专用网,是通过一 个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的 安全、稳定的隧道。但是VPN有以下几个缺点1. VPN主要应用在链路层,在链路层中,目前 还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特 别的加密硬件,对硬件要求很高。2. VPN是将所有的数据封包都加密,我们无法使用任何方 式来监控这类的行为。3. VPN只能保护主机端对端的访问。而且如果一旦该虚拟通道中也 有带病毒的数据和信息来源,这些带有病毒的数据和信息也全部被接受。
发明内容
本发明所要解决的一个技术问题是提供一种方法和装置,用于有效地控制和防止 病毒入侵。本发明所要解决的另一个技术问题是提供一种方法和装置,以降低对控制和防 止病毒入侵的软件/硬件平台的要求。为了克服现有技术中的缺陷,解决本发明所要解决的技术问题,本发明提供一种 在第一网络与第二网络之间发送和接收信息时用于防止计算机病毒攻击的方法,用于在所 述第一网络上至少有一个与其通讯相连的第一网络终端,在所述第二网络上至少有一个与 其通讯相连的第二网络终端,所述第二网络通过一个第二网络网关装置与所述第一网络通 讯相连。所述方法包括如下步骤(a)在所述第一网络终端处,向所述第二网络网关装置发送访问批准请求;(b)收到所述访问批准请求后,在所述第二网络网关装置处,向所述第一网络终端 发送访问通行特征信息;(c)收到所述访问通行特征信息后,在所述第一网络终端处,生成需要发送到所 述第二网络网关装置的访问请求,并将收到的所述访问通行特征信息设置在所述访问请求 中;(d)在所述第一网络终端处,通过所述第一网络向所述第二网络网关装置发送带 有所述访问通行特征信息的所述访问请求;(e)在所述第二网络网关装置处,接收带有所述访问通行特征信息的所述访问请 求和不带有所述访问通行特征信息的访问请求;(f)在所述第二网络网关装置处,检查每个收到的访问请求中是否带有所述访问 通行特征信息,拒绝不带有所述访问通行特征信息的所述访问请求,接收带有所述访问通 行特征信息的所述访问请求。本发明还提供了一种在第一网络与第二网络之间发送和接收信息时用于防止计算机病毒攻击的方法,用于在所述第一网络上至少有一个与其通讯相连的第一网络终端, 在所述第二网络上至少有一个与其通讯相连的第二网络终端,所述第二网络通过一个第二 网络网关装置与所述第一网络通讯相连。所述方法包括如下步骤(a)通过所述第一网络,在所述第二网络网关装置处接收从所述第一网络终端发 来的访问批准请求;(b)收到所述访问批准请求后,在所述第二网络网关装置处,通过所述第一网络, 向所述第一网络终端发送访问通行特征信息;(c)在所述第二网络网关装置处,通过所述第一网络,接收到从所述第一网络终端 发来的访问请求,所述访问请求中包含所述访问通行特征信息;(d)在所述第二网络网关装置处,通过所述第一网络,接收到从其他网络终端发来 的访问请求,所述访问请求中不包含所述访问通行特征信息;(e)在所述第二网络网关装置处,检查每个收到的访问请求中是否带有所述访问 通行特征信息,拒绝不带有所述访问通行特征信息的所述访问请求,接收带有所述访问通 行特征信息的所述访问请求。本发明还提供了一种防止通过万维网发送和接收信息时用于防止计算机病毒攻 击的方法,在万维网上至少有一个与其通讯相连的网络终端和至少有一个与其通讯相连的 通行控制装置,所述通行控制装置和一专用设备通讯相连。所述方法包括如下步骤(a)通过所述万维网,在所述通行控制装置处接收从所述网络终端发来的访问批 准请求;(b)收到所述访问批准请求后,在所述通行控制装置处,通过所述万维网,向所述 网络终端发送访问通行特征信息;(c)在所述通行控制装置处,通过所述万维网,接收到从所述网络终端发来的访问 请求,所述访问请求中包含所述访问通行特征信息;(d)在所述通行控制装置处,通过所述万维网,接收到从其他网络终端发来的访问 请求,所述访问请求中不包含所述访问通行特征信息;(e)在所述通行控制装置处,检查每个收到的访问请求中是否带有所述访问通行 特征信息,拒绝不带有所述访问通行特征信息的所述访问请求,接收带有所述访问通行特 征信息的所述访问请求。本发明还提供了和以上方法相对应的装置。为了克服现有技术中的缺陷,解决本发明所要解决的技术问题,本发明还提供了 一种网关装置,在第一网络与第二网络之间发送和接收信息时用于防止计算机病毒攻击, 在所述第一网络上至少有一个与其通讯相连的第一网络终端,在所述第二网络上至少有一 个与其通讯相连的第二网络终端,所述第二网络通过所述网关装置与所述第一网络通讯相 连,其特征在于所述网关装置包括(a)通过所述第一网络,在所述第二网络处接收从所述第一网络终端发来的访问 批准请求的装置;(b)收到所述访问批准请求后,在所述第二网络处,通过所述第一网络向所述第一 网络终端发送访问通行特征信息的装置;(c)在所述第二网络处,通过所述第一网络接收到从所述第一网络终端发来的访问请求的装置,所述访问请求中包含所述访问通行特征信息;(d)在所述第二网络处,通过所述第一网络接收到从其他网络终端发来的访问请 求的装置,所述访问请求中不包含所述访问通行特征信息;(e)在所述第二网络处,检查每个收到的访问请求中是否带有访问通行特征信息 的装置,所述装置拒绝不带有访问通行特征信息的访问请求,并接收带有访问通行特征信 息的访问请求。本发明还提供了一种通行控制装置,在万维网发送和接收信息时用于防止计算机 病毒攻击,在所述万维网上至少有一个与其通讯相连的网络终端和至少有一个与其通讯相 连的所述通行控制装置,所述通行控制装置和一专用设备通讯相连,其特征在于所述通行 控制装置包括(a)通过所述万维网接收从所述网络终端发来的访问批准请求的装置;(b)收到所述访问批准请求后,通过所述万维网向网络终端发送访问通行特征信 息的装置;(c)通过所述万维网,接收到从所述网络终端发来的访问请求的装置,所述访问请 求中包含所述访问通行特征信息;(d)通过所述万维网,接收到从其他网络终端发来的访问请求的装置,所述访问请 求中不包含所述访问通行特征信息;(e)检查每个收到的访问请求中是否带有访问通行特征信息的装置,所述装置拒 绝不带有访问通行特征信息的访问请求,并接收带有访问通行特征信息的访问请求。本发明实施方式与现有技术相比,主要区别及其效果在于由于本发明不仅检测访问请求的来源(检测发出请求的用户的身份),而且检测 访问请求中的特征码是否和预先设置的通行特征库中允许通过的访问请求的特征码一致, 并且即便接收了访问请求,其必须按照预设的访问操作内容进行操作,故根据本发明实施 的方法能够有效防止来自合法用户的有害信息。同时本发明在应用层上对收到的数据和信息进行安全检查,从而简化了安全检查 程序,提高安全检查的速度,降低了对硬件平台要求。本发明中对网关装置或通行控制装置 要求较低,可用低端的控制器。另外,由于本发明不需要使用现有技术“黑名单”方式中使用的含有大量有害信息 特征码的数据库,从而不需要后台支持,不用升级病毒数据库。而且用检测特定用户的方法 大大缩短了检测病毒的时间,降低了软硬件要求,降低用户的成本。
图1是能够应用本发明防止病毒攻击方法的网络结构100示意图。图2(包括图2-1和图2_2~)是本发明防止病毒攻击方法的流程图。图3是图1中网关装置106或者通行控制装置122的示范性结构图。图4是存储在网关装置106或者通行控制装置122的存储器中的通行特征库数据 结构400的示意图。
具体实施例方式下面结合附图中的实施例对本发明作具体描述。图1是可以实现本发明方法的一种网络结构100的示意图。网络结构100包括万 维网(Internet) 102和工业互联网/专用内网107 (以下简称为工业互联网107)。N个用 户终端(108.108. · · ·,108. n)分别通过 N 个网络连接(107. :,···,107. · · ·,107. )和万维网102通讯相连。通行控制装置122通过网络连接114和万维网102通讯相连, 而IED设备IM通过网络连接116和通行控制装置122通讯相连。工业互联网107的网络边缘(或入口处)有一网关装置106,网关装置106通过网 络连接105和工业互联网网络设施104通讯相连,m个IED设备(109. 1;. . .,109. . .,109. m) (Intelligent Electric Device-工业智能设备)分别通过m个网络连接(IlL1, ···, 111. j, ... ,111.J与工业互联网网络设施104通讯相连。万维网102通过网络连接103 和网关装置106通讯相连,从而万维网102与工业互联网107通讯相连。工业互联网网络 设施104可以是内网antranet)、局域网(LocalArea Network),局域网的协议包括以太 (Ethernet)协议和环(TokenRing)协议等。工业互联网107与万维网102是两个相互独立 的网络。在图1所示的网络结构100中,某个用户终端108. Ji = 1,2,3,……,η)可经过 万维网102,通过工业互联网的网关装置106与工业互联网内的m个IED设备109.」(j = 1, 2,3,……,m)进行双向通讯。某个用户终端108. di = 1,2,3……η)也可经过万维网102, 通过通行控制装置122直接与IED设备IM进行双向通讯。由于只有一台IED设备IM和 通行控制装置122通讯相连,在通行控制装置122与IED设备IM不需要有网络设施。需 要说明的是,在网络结构100中可以有多个通行控制装置,每个通行控制装置和一 IED设备 直接通讯相连,本发明的原理也适用这种情况。图2(包括图2-1和图2-2)是本发明使用图1所示的网络结构100发送和接收访 问请求方法的流程图。在步骤204,为了访问某个IED装置,用户A使用某个用户终端108.,通过万维网 102发送一个访问操作批准请求到网关装置106或者通行控制装置122。如果用户希望访 问某个IED设备109.」(j = 1,2,3,……,m),其将访问操作批准请求发送给网关装置106 ; 如果用户希望访问IED装置124,其将访问操作批准请求发送给通行控制装置122。访问操 作批准请求只要求获取对以后进行的访问操作请求得到批准,并不要求对任何IED装置马 上进行访问。为了使网关装置106或者通行控制装置122能识别访问操作请求,访问操作 请求中含有标识其特性的信息。该访问操作批准请求中包括用户的用户名,验证用户身份 的密码(以下称“用户身份密码”)和用户希望进行访问操作的具体内容(如对某一 IED设 备进行软件升级、保养诊断或故障诊断)。在步骤208,在收到访问操作批准请求后,网关装置106或者通行控制装置122根 据访问操作请求中的特性信息判断出这是要求对以后访问操作的批准,所以网关装置106或 者通行控制装置122对由用户终端108. i发来的访问操作批准请求的用户进行身份验证。具体的说,在网关装置106或者通行控制装置122中设有存储装置,存储装置存有 用户通行特征表包括用户名和用户身份密码(所述通行特征表数据结构的一个示例请见 图3,在说明书下文关于图3的说明中会有具体的叙述)。每个用户名在用户通行特征表中事先设有一入口(Entry),里面存有用户名和用户身份密码。网关装置106或者通行控制装 置122根据访问操作批准请求中的用户名和用户身份的密码来查询用户通行特征表。在步骤210,网关装置106或者通行控制装置122对收到的访问操作批准请求的用 户身份验证进行判断。如果用户名或用户身份密码有一个不正确,身份验证失败,操作转往步骤226,拒 绝批准该访问操作批准请求。如果用户名或用户身份密码都正确,身份验证成功,批准该访问操作批准请求,操 作转往步骤212。在步骤212,网关装置106或者通行控制装置122为该访问操作批准请求在该用户 的入口中新建立一个访问记录,在该访问记录中存入访问请求名(假设为访问请求A1),访 问特征信息和访问操作。在本发明中的实施例中,访问特征信息可以是数字签名。对于每 个访问记录,访问请求名和访问特征信息具有唯一性。也就是说,对于同一个用户不同的访 问操作批准请求,在批准以后,网关装置106或者通行控制装置122将建立不同的访问请求 名和访问特征信息;对于不同用户的访问操作批准请求,在批准以后,网关装置106或者通 行控制装置122将建立不同的访问请求名和访问特征信息。而且,网关装置106或者通行控制装置122还根据访问操作批准请求在该访问记 录中存入访问操作内容。访问操作内容中含有数据和/或信息,数据和/或信息中包括时 间、设备名(或设备地址)、端口、操作内容等。访问操作内容中的操作内容能控制对IED设 备的操作。举例来说,对于从制造商A发来的要求对其某种型号的IED设备进行远程软件升 级或远程诊断的访问操作批准请求,网关装置106在m个IED设备109. j (j = 1,2,3,……, m)找出其设备名(或设备地址)、规定用于进行远程软件升级或远程诊断的端口、规定用于 进行远程软件升级或远程诊断操作的时间。这样网关装置106可以将选定的IED设备在规 定时间内停止运行,对该IED设备进行远程软件升级或远程诊断,从而不影响生产。在生成访问请求名、访问特征信息和访问操作内容后,网关装置106或者通行控 制装置122向用户终端发回访问请求名、访问特征信息和访问操作内容。在收到访问请求 名、访问特征信息和访问操作内容后,用户A得知其访问操作批准请求被批准,并得知其访 问请求的访问请求名、访问特征信息和访问操作内容。在步骤214,用户A在某个用户终端108.,生成一个访问请求。该访问请求中包括 访问请求名(假设为访问请求A1)、访问特征信息,以及数据和/或信息,数据和/或信息中 包括访问操作内容。在步骤216,用户A使用用户终端108. i通过万维网将名为访问请求A1的访问请 求发送到网关装置106或者网关装置122。在步骤218,网关装置106或网关装置122通过万维网收到从用户终端108.,发来 的访问请求(假设为访问请求A1)。我们假设网关装置106或网关装置122通过万维网还 收到一些其他访问请求,而且这些访问请求没有访问特征信息。在步骤220,网关装置106或者通行控制装置122判断收到的访问请求中是否有访 问特征信息。在收到没有访问特征信息的这些访问请求后,网关装置106或者通行控制装置 122拒绝接收这些访问请求,并将操作转到步骤226,结束操作流程。在被拒绝的访问请求中的数据和/或信息中可能会含有病毒,这些病毒可能是非法可执行的指令(例如木马程 序),用于破坏有用数据和信息。在收到具有访问特征信息的名为访问请求A1访问请求后,网关装置106或者通行 控制装置122将操作转到步骤221,进行进一步判断。在步骤221,网关装置106或者通行控制装置122进一步判断收到的访问特征信息 是否对。为此,网关装置106或者通行控制装置122根据访问请求名(访问请求A1)在用 户通行特征表中找出其对应记录,并将该访问请求中的访问特征信息与对应记录中的访问 特征信息进行比较。如果收到的访问特征信息与对应记录中的访问特征信息不一致,网关装置106或 者通行控制装置122拒绝处理访问请求,并将操作转到步骤226,结束操作流程。如果收到的访问特征信息与对应记录中的访问特征信息一致,网关装置106或者 通行控制装置122将操作转到步骤222,进行进一步判断。我们假设以访问请求A1为名的访问请求中的访问特征信息与对应记录中的访问 特征信息一致,所以网关装置106或者通行控制装置122将操作转到步骤222。在步骤222,网关装置106或者通行控制装置122进一步判断收到访问请求的时间 是否对。为此,网关装置106或者通行控制装置122根据访问请求的名字在用户通行特征 表中找出其对应记录,并将该收到访问请求的时间与对应记录中的访问时间进行比较。如果收到访问请求的时间与对应记录中的访问时间不一致,网关装置106或者通 行控制装置122拒绝处理访问请求,并将操作转到步骤226,结束操作流程。如果收到访问请求的时间在对应记录中的访问时间段中,网关装置106或者通行 控制装置122将操作转到步骤223。我们假设收到访问请求的时间在对应记录中的访问时间段中,所以网关装置106 或者通行控制装置122认为时间对,将操作转到步骤223。在步骤223,网关装置106或者通行控制装置122允许该访问请求(以及数据和/ 或信息,包括操作内容)通过网关装置106或者通行控制装置122,并按照访问请求相对应 记录中的访问操作内容对选定IED设备进行操作。访问特征信息保证了访问请求中的数据 和信息不会含有病毒。在步骤223中有两种访问路径。对于访问IED设备124的访问路径来说,通行控制装置122通过指定的端口对IED 设备1 进行操作。对于访问m个IED设备109. j (j = 1,2,3,……,m)中之一设备的访问路径来说, 网关装置106根据设备名首先使用指定的端口通过工业互联网网络设施104找到并接通选 定的IED设备,然后使用指定的端口通过工业互联网网络对选定的IED设备进行操作。步骤226,网关装置106或者通行控制装置122结束访问操作。应该说明的是,在本发明中,图2中的步骤220、221和222的检查与判断可以在万 维网协议应用层进行的。因为访问请求中的内容在应用层可以恢复成符合协议的完成格 式,所以在检查数据通行特征时,更加有效。图3是网关装置系统中的通行特征库数据结构300的一个示例。如图3所示,通 行特征库数据结构300有多个用户,包括用户A、用户B和用户C。在通行特征库数据结构 300中,每个用户有一个入口(entry)和一个与其对应的用户身份密码。作为一个实施例,通行特征库数据结构300的所有用户和用户身份密码可在网关装置106或者通行控制装置 122系统安装时设置好,由于用户数目是有限的,这样查询通行特征库数据结构300的速度 就快。对于每一个用户,如在图2步骤212中所描述,网关装置106或者通行控制装置 122在批准某用户的一个访问操作批准请求后,在与该用户相对应的入口内新建立一个相 应记录,存入访问请求名、访问特征信息和访问操作内容,并将访问请求名、访问特征信息 和访问操作内容送回该用户。以后,在收到一访问请求后,网关装置106或者通行控制装置 122将访问请求中的参数与通行特征库数据结构300的数据进行对照。如图3所示,对于一个用户来说,每个访问请求有一个访问记录。例如,用户A有η 个访问记录,用户B有2个访问记录,用户C有1个访问记录。为了加快查询速度,对已经 完成访问操作的访问请求,可从通行特征库数据结构300中删去相应记录。图4是网关装置106或通行控制装置122的示范性结构。如图4所示,网关装置106包括一个处理部件402,一个内存储部件404,一个外存 储部件(硬盘)406,一个磁盘驱动器接口 408,一个显示器410,一个显示接口 412,第一网 络通讯接口 416,第二网络通讯接口 417,一个输入/输出接口 418,一个鼠标420,一个键盘 422和一组系统总线414。外存储部件(硬盘)406和磁盘驱动器接口 408相连;显示器410和显示接口 412 相连;鼠标420及键盘422和输入/输出接口 418相连。处理部件402、内存储部件404、磁盘驱动器接口 408、显示接口 412、第一网络通讯 接口 416、第二网络通讯接口 417及输入/输出接口 418与系统总线414相连。内存储部件404和外存储部件406能够存储程序、指令和数据。一般来说,内存储 部件404有更快的存取速度,而外存储部件(硬盘)406有更大的存储容量。显示器410能 够在正在执行的程序和使用者之间提供一个可视界面。第一网络通讯接口 416能够在网关 装置106或者通行控制装置122与万维网(外网)102之间提供一个通讯接口 ;第二网通 讯接口 417能够在网关装置106与工业互联网(内网)105之间提供一个通讯接口。对于 通行控制装置122,因为其和IED设备IM直接通讯连接,所以可以不要第二网络通讯接口 417。处理部件402能够读取内存储部件404和外存储部件(硬盘)406中的程序指令和 数据,并能通过执行这些程序和指令来控制该服务器的运行。处理部件402包括指令寄存 器,指令译码器,运算器和时钟控制器,使得处理部件402能在不同的时段内,执行不同的 功能、起不同的作用、实质上等同于执行不同功能的控制硬件执行装置。同样,在处理部件 402的控制下,第一网络通讯接口、第二网络通讯接口和显示器可以作为处理不同功能的控 制硬件执行装置。在本发明中,网关装置106或通行控制装置122中设置有如图3所示的通行特征 库300。通行特征库300可存在网关装置的内存储部件404中或外存储部件(硬盘)406中。 另外用于实现图2所示流程图中的软件程序步骤、指令序列也可存在内存储部件404中或 外存储部件(硬盘)406中,从而处理部件302可以对软件程序步骤、指令序列进行调用和 执行。工业互联网的网关装置106或通行控制装置122可以是服务器,计算机,嵌入式计算(或控制)装置或其他装置。如果网关装置106或通行控制装置122为嵌入式计算(或 控制)装置,则其可不具有显示器310和外存储部件(硬盘)306。本发明的要点在于,发明人认识到和万维互联网不同,工业互联网具体有限的用 户,在访问请求中需要使用的是有具体应用的数据和信息,对于和具体应用不相关的数据 和信息都可以拒绝。本发明的方法相对于背景技术中所列举的现有的互联网技术中防止病毒和有害 信息的传统方法,有以下优点相对于采取1对N检查方式的“黑名单”方式,由于本发明采取了 1对1的检查方 法,即仅当访问请求中的访问通行特征信息与特征库中对应的访问通行特征一致时,才放 行访问请求(包括数据和信息);如果不一致,则拒绝该访问请求(包括数据和信息)。这 种检测方式不需要黑名单方式所需要的包含有大量有害信息特征码的数据库,也就不需要 不断升级数据库,检测时间大大缩短,对于软硬件要求也很低,降低了用户的成本。而相对于现有的VPN技术,本发明不仅检测访问请求的来源(检测发出请求的用 户的身份),而且检测访问请求中的特征码是否和预先设置的通行特征库中允许通过的访 问请求的特征码一致,并且即便接收了访问请求,其必须按照预设的访问操作内容进行操 作,故本发明的方法能够防止来自合法用户的有害信息。同时本发明在应用层上对收到的 数据和信息进行安全检查,从而简化了安全检查程序,提高安全检查的速度,降低了对硬件 平台要求。应该说明的是,本发明的特点是在现存万维网络软件/硬件平台条件下,有效防 止在万维网上使用现有的协议和软/硬件平台所传播的、夹带在访问请求中的有害信息入 侵工业互联网;而不是简单的控制某个用户是否能访问一个特定的软件/硬件平台。和传 统技术相比,本发明对软件/硬件平台要求低,对图4所示的网关装置106或通行控制装置 122要求低,可用低端的控制器。
权利要求
1.一种在第一网络与第二网络之间发送和接收信息时用于防止计算机病毒攻击的方 法,在所述第一网络上至少有一个与其通讯相连的第一网络终端,在所述第二网络上至少 有一个与其通讯相连的第二网络终端,所述第二网络通过一个第二网络网关装置与所述第 一网络通讯相连,其特征在于所述方法包括如下步骤(a)在所述第一网络终端处,向所述第二网络网关装置发送访问批准请求;(b)收到所述访问批准请求后,在所述第二网络网关装置处,向所述第一网络终端发送 访问通行特征信息;(c)收到所述访问通行特征信息后,在所述第一网络终端处,生成需要发送到所述第二 网络网关装置的访问请求,并将收到的所述访问通行特征信息设置在所述访问请求中;(d)在所述第一网络终端处,通过所述第一网络向所述第二网络网关装置发送带有所 述访问通行特征信息的所述访问请求;(e)在所述第二网络网关装置处,接收带有所述访问通行特征信息的所述访问请求和 不带有所述访问通行特征信息的访问请求;(f)在所述第二网络网关装置处,检查每个收到的访问请求中是否带有所述访问通行 特征信息,拒绝不带有所述访问通行特征信息的所述访问请求,接收带有所述访问通行特 征信息的所述访问请求。
2.如权利要求1所述的方法,其特征在于步骤(b)在发送所述访问通行特征信息时,还发送访问操作内容,所述访问操作内容 包括访问时间、访问对象、访问端口、和/或访问内容;步骤(g)对于接收的所述访问请求,按照访问操作内容中的访问时间、访问对象、访问 端口、和/或访问内容对访问操作进行控制。
3.如权利要求1所述的方法,其特征在于步骤(f)是在协议的应用层进行的。
4.如权利要求1所述的方法,其特征在于对于来自于同一第一网络终端处的不同访问批准请求,所述第二网络网关装置处发送 不同的访问通行特征信息;对于来自于不同第一网络终端处的访问批准请求,所述第二网络网关装置处发送不同 的访问通行特征信息。
5.如权利要求1所述的方法,其特征在于所述第二网络网关装置处,事先为每一用户生成一个通行特征库数据结构,用于存储 客户名和与其相对应的用户身份密码。
6.如权利要求1所述的方法,其特征在于所述第一网络是万维互联网(Internet);所述第二网络是工业互联网或企业内网antranet)。
7.如权利要求1所述的方法,其特征在于所述第二网络网关装置是服务器,计算机或嵌入式计算(或控制)装置。
8.—种在第一网络与第二网络之间发送和接收信息时用于防止计算机病毒攻击的方 法,在所述第一网络上至少有一个与其通讯相连的第一网络终端,在所述第二网络上至少 有一个与其通讯相连的第二网络终端,所述第二网络通过一个第二网络网关装置与所述第一网络通讯相连,其特征在于所述方法包括如下步骤(a)通过所述第一网络,在所述第二网络网关装置处接收从所述第一网络终端发来的 访问批准请求;(b)收到所述访问批准请求后,在所述第二网络网关装置处,通过所述第一网络,向所 述第一网络终端发送访问通行特征信息;(c)在所述第二网络网关装置处,通过所述第一网络,接收到从所述第一网络终端发来 的访问请求,所述访问请求中包含所述访问通行特征信息;(d)在所述第二网络网关装置处,通过所述第一网络,接收到从其他网络终端发来的访 问请求,所述访问请求中不包含所述访问通行特征信息;(e)在所述第二网络网关装置处,检查每个收到的访问请求中是否带有所述访问通行 特征信息,拒绝不带有所述访问通行特征信息的所述访问请求,接收带有所述访问通行特 征信息的所述访问请求。
9.如权利要求8所述的方法,其特征在于步骤(b)在发送所述访问通行特征信息时,还发送访问操作内容,所述访问操作内容 包括访问时间、访问对象、访问端口、和/或访问内容;步骤(g)对于接收的所述访问请求,按照所述访问操作内容中的所述访问时间、所述 访问对象、所述访问端口、和/或所述访问内容对所述访问操作进行控制。
10.如权利要求8所述的方法,其特征在于步骤(e)是在协议的应用层进行的。
11.如权利要求8所述的方法,其特征在于对于来自于同一第一网络终端处的不同访问批准请求,所述第二网络网关装置处发送 不同的访问通行特征信息;对于来自于不同第一网络终端处的访问批准请求,所述第二网络网关装置处发送不同 的访问通行特征信息。
12.如权利要求8所述的方法,其特征在于所述第二网络网关装置处,事先为每一用户生成一个通行特征库数据结构,用于存储 客户名和与其相对应的用户身份密码。
13.如权利要求8所述的方法,其特征在于所述第一网络是万维互联网(Internet);所述第二网络是工业互联网或企业内网antranet)。
14.如权利要求8所述的方法,其特征在于所述第二网络网关装置是服务器,计算机或嵌入式计算(或控制)装置。
15.一种通过万维网发送和接收信息时用于防止计算机病毒攻击的方法,在万维网上 至少有一个与其通讯相连的网络终端和至少有一个与其通讯相连的通行控制装置,所述通 行控制装置和一专用设备通讯相连,其特征在于所述方法包括如下步骤(a)通过所述万维网,在所述通行控制装置处接收从所述网络终端发来的访问批准请求;(b)收到所述访问批准请求后,在所述通行控制装置处,通过所述万维网,向所述网络 终端发送访问通行特征信息;(C)在所述通行控制装置处,通过所述万维网,接收到从所述网络终端发来的访问请 求,所述访问请求中包含所述访问通行特征信息;(d)在所述通行控制装置处,通过所述万维网,接收到从其他网络终端发来的访问请 求,所述访问请求中不包含所述访问通行特征信息;(e)在所述通行控制装置处,检查每个收到的访问请求中是否带有所述访问通行特征 信息,拒绝不带有所述访问通行特征信息的所述访问请求,接收带有所述访问通行特征信 息的所述访问请求。
16.如权利要求15所述的方法,其特征在于步骤(b)在发送所述访问通行特征信息时,还发送访问操作内容,所述访问操作内容 包括访问时间、访问对象、访问端口、和/或访问内容;步骤(g)对于接收的所述访问请求,按照所述访问操作内容中的所述访问时间、所述 访问对象、所述访问端口、和/或所述访问内容对访问操作进行控制。
17.如权利要求15所述的方法,其特征在于步骤(e)是在协议的应用层进行的。
18.如权利要求15所述的方法,其特征在于对于同一网络终端处的不同访问批准请求,在所述通行控制装置处发送不同的访问通 行特征信息;对于不同网络终端处的访问批准请求,在所述通行控制装置处发送不同的访问通行特征信息。
19.如权利要求15所述的方法,其特征在于在所述通行控制装置处,事先为每一用户生成一个通行特征库数据结构,用于存储客 户名和与其相对应的用户身份密码。
20.如权利要求15述的方法,其特征在于所述通行控制装置是服务器,计算机或嵌入式计算(或控制)装置。
21.—种网关装置,在第一网络与第二网络之间发送和接收信息时用于防止计算机病 毒攻击,在所述第一网络上至少有一个与其通讯相连的第一网络终端,在所述第二网络上 至少有一个与其通讯相连的第二网络终端,所述第二网络通过所述网关装置与所述第一网 络通讯相连,其特征在于所述网关装置包括(a)通过所述第一网络,在所述第二网络处接收从所述第一网络终端发来的访问批准 请求的装置;(b)收到所述访问批准请求后,在所述第二网络处,通过所述第一网络向所述第一网络 终端发送访问通行特征信息的装置;(c)在所述第二网络处,通过所述第一网络接收到从所述第一网络终端发来的访问请 求的装置,所述访问请求中包含所述访问通行特征信息;(d)在所述第二网络处,通过所述第一网络接收到从其他网络终端发来的访问请求的 装置,所述访问请求中不包含所述访问通行特征信息;(e)在所述第二网络处,检查每个收到的访问请求中是否带有访问通行特征信息的装 置,所述装置拒绝不带有访问通行特征信息的访问请求,并接收带有访问通行特征信息的 访问请求。
22.如权利要求21所述的网关装置,其特征在于所述网关装置还包括按照访问操作内容中的访问时间、访问对象、访问端口、和/或访问内容对访问操作进 行控制的装置。
23.如权利要求21所述的网关装置,其特征在于所述网关装置还包括事先为每一用户生成一个通行特征库数据结构,用于存储客户名和与其相对应的用户 身份密码的装置。
24.如权利要求21述的网关装置,其特征在于所述网关装置是服务器,计算机或嵌入式计算(或控制)装置。
25.—种通行控制装置,在万维网发送和接收信息时用于防止计算机病毒攻击,在所述 万维网上至少有一个与其通讯相连的网络终端和至少有一个与其通讯相连的所述通行控 制装置,所述通行控制装置和一专用设备通讯相连,其特征在于所述通行控制装置包括(a)通过所述万维网接收从所述网络终端发来的访问批准请求的装置;(b)收到所述访问批准请求后,通过所述万维网向网络终端发送访问通行特征信息的 装置;(c)通过所述万维网,接收到从所述网络终端发来的访问请求的装置,所述访问请求中 包含所述访问通行特征信息;(d)通过所述万维网,接收到从其他网络终端发来的访问请求的装置,所述访问请求中 不包含所述访问通行特征信息;(e)检查每个收到的访问请求中是否带有访问通行特征信息的装置,所述装置拒绝不 带有访问通行特征信息的访问请求,并接收带有访问通行特征信息的访问请求。
26.如权利要求25所述的通行控制装置,其特征在于所述通行控制装置还包括 对于接收的所述访问请求,按照访问操作内容中的访问时间、访问对象、访问端口、和/或访问内容对访问操作进行控制的装置。
27.如权利要求25所述的通行控制装置,其特征在于所述通行控制装置事先为每一用户生成一个通行特征库数据结构,用于存储客户名和 与其相对应的用户身份密码的装置。
28.如权利要求25述的通行控制装置,其特征在于所述通行控制装置是服务器,计算机或嵌入式计算(或控制)装置。
全文摘要
本发明公开了一种用于防止计算机病毒攻击的方法和装置。包括在万维网上的至少一个与其通讯相连的第一网络终端,在工业互联网上的至少一个与其通讯相连的第二网络终端,所述第二网络通过一个第二网络网关装置与所述第一网络通讯相连,其中所述检测方法在第一网络终端处向第二网络网关装置发送访问批准请求后,接受从第二网络终端发送的访问通行特征信息,并生成含有访问内容的访问请求;在第二网络网关装置处,检查每个收到的访问请求中是否带有所述访问通行特征信息,拒绝不带有访问通行特征信息的访问请求,接收带有访问通行特征信息的访问请求。本发明可以有效地控制和防止病毒入侵和降低对控制和防止病毒入侵的软硬件平台的要求。
文档编号H04L12/46GK102045309SQ20091020167
公开日2011年5月4日 申请日期2009年10月14日 优先权日2009年10月14日
发明者林苑, 梁俊 申请人:上海可鲁系统软件有限公司