一种基于工控协议通用框架的策略访问控制方法与流程

本发明涉及工控网络技术领域，具体而言，涉及一种基于工控协议通用框架的策略访问控制方法。

背景技术：

工业防火墙应用于工业控制系统网络环境中，起到对工控协议（例如modbus，iec104）隔离控制作用。它主要体现在两方面：一是细化出用户对工业协议可配置的功能项（例如modubs功能码、点表等)，通过配置功能项形成策略；二是对经过墙的数据解析后和策略匹配达到访问控制结果。然而，现有的工控防火墙每添加新的协议都需要开发新的模块，而且在访问控制上基于线性匹配，带来的问题主要有两点：一是固定的开发模式不能灵活的修改配置以及扩展，而且重复开发，增加了工作量；二是线性匹配速度慢，大数据下过滤效率低。

技术实现要素：

本发明正是基于上述技术问题至少之一，提出了一种新的基于工控协议通用框架的策略访问控制方法，可有效减少重复开发工作量，在配置上也更为灵活，提高了开发效率，降低维护成本。

有鉴于此，本发明提出了一种新的基于工控协议通用框架的策略访问控制方法，包括：获取新编的工业协议配置文件；对获取到的所述工业协议配置文件进行解析，以得到数据平面可解析的目标策略，并将所述目标策略下发至所述数据平面；基于所述数据平面对流经工业防火墙的报文进行解析，以得到所述报文的匹配信息，所述匹配信息包括ip地址、服务对象及配置功能项；基于多模匹配方式将所述匹配信息与所述目标策略进行匹配，并执行匹配到的策略动作。

在该技术方案中，通过获取并解析工业协议配置文件，将工业协议配置文件解析成数据平面可解析的目标策略，并下发到数据平面，由数据平面完成对下发目标策略的解析并对流经墙的报文进行深度解析，并在将匹配信息与目标策略进行匹配后，执行相应动作，整个过程可有效减少重复开发工作量，在配置上也更为灵活，提高了开发效率，降低维护成本。

在上述技术方案中，优选地，所述对获取到的所述工业协议配置文件进行解析的步骤，具体包括：基于通用工业协议解析框架对所述工业协议配置文件进行解析。

在上述任一项技术方案中，优选地，所述匹配到的策略动作包括记录日志、丢弃或通过。

在上述任一项技术方案中，优选地，ip地址包括源ip、目的ip及支持ip网段。

通过以上技术方案，可有效减少重复开发工作量，在配置上也更为灵活，提高了开发效率，降低维护成本。

附图说明

图1示出了根据本发明的实施例的一种基于工控协议通用框架的策略访问控制方法的流程示意图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本技术的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

图1示出了根据本发明的实施例的一种基于工控协议通用框架的策略访问控制方法的流程示意图。

本实施例中，工控协议通用框架包括控制平面和数据平面，其中，控制平面负责解析工控协议配置文件的内容，同时对用户配置的策略翻译成数据平面可解析的策略，并下发到数据平面；数据平面完成对下发策略的解析并对流经墙的报文深度解析，根据策略匹配后，控制匹配策略的报文动作，具体地处理流程如图1所示，包括以下步骤：

步骤102，获取新编的工业协议配置文件。

步骤104，对获取到的工业协议配置文件进行解析，以得到数据平面可解析的目标策略，并将目标策略下发至数据平面。

具体地，可基于通用工业协议解析框架对工业协议配置文件进行解析。

步骤106，基于数据平面对流经工业防火墙的报文进行解析，以得到报文的匹配信息，匹配信息包括ip地址（包括源ip、目的ip及支持ip网段）、服务对象（工控协议的名称）及配置功能项（协议配置文件中需要控制的功能）。

步骤108，基于多模匹配方式将匹配信息与目标策略进行匹配，并执行匹配到的策略动作。其中，匹配到的策略动作包括记录日志、丢弃或通过。

以上结合附图详细说明了本发明的技术方案，本发明的技术方案提出了一种新的基于工控协议通用框架的策略访问控制方法，可有效减少重复开发工作量，在配置上也更为灵活，提高了开发效率，降低维护成本。

上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：

技术总结
本发明提供了一种基于工控协议通用框架的策略访问控制方法，包括：获取新编的工业协议配置文件；对获取到的所述工业协议配置文件进行解析，以得到数据平面可解析的目标策略，并将所述目标策略下发至所述数据平面；基于所述数据平面对流经工业防火墙的报文进行解析，以得到所述报文的匹配信息，所述匹配信息包括IP地址、服务对象及配置功能项；基于多模匹配方式将所述匹配信息与所述目标策略进行匹配，并执行匹配到的策略动作。通过本发明的技术方案，可有效减少重复开发工作量，在配置上也更为灵活，提高了开发效率，降低维护成本。

技术研发人员：刘振宇;杨丰印;吴凯;李侠
受保护的技术使用者：郑州轨道交通信息技术研究院
技术研发日：2019.02.28
技术公布日：2019.07.12