一种控制设备准入的方法、装置及相关产品与流程

1.本技术涉及控制系统通信领域，尤其涉及一种控制设备准入的方法、装置及相关产品。


背景技术：

2.随着自动化控制技术的发展，越来越多的企业采用管理控制一体化控制系统，比如分布式控制系统(distributed control system)dcs。目前，对于管理控制一体化控制系统主要依赖于opc软件对外提供实时数据。而opc软件依赖的操作系统环境具有很大的安全漏洞，当由危险或易感染终端接入网络后，会存在网络攻击、勒索病毒等安全隐患，导致数据传输过程存在泄露风险。
3.现有技术可以采用基于802.1x协议作为终端接入网络的准入协议。即客户端端口安装802.1x协议的方式进行准入认证。具体过程为客户端发送认证请求，交换机把接收到的认证信息传递给认证服务器，认证服务器进行信息比对，来进行认证判断。然而，并非所有端口都可以安装802.1x协议，这使得该协议在使用过程中适配性差，进而认证设备准入网络的准确度低，从而导致控制设备的网络安全性差。


技术实现要素：

4.有鉴于此，本技术提供了一种控制设备准入的方法、装置及相关产品，旨在通过预设协议进行初步准入判断，再利用密钥加密方法进行再次准入判断，从而避免只采用802.1x协议产生的适应性差的问题，提高认证设备准入网络的准确度，从而提升控制设备的网络安全性。
5.第一方面，本技术提供了一种控制设备准入的方法，所述方法包括：
6.当检测到新设备接入控制系统局域网时，根据预设协议对所述新设备进行初步准入判断；
7.响应于所述新设备满足初步准入条件，为所述新设备分配第一密钥；
8.根据所述第一密钥加密认证报文，并使加密后的所述认证报文传输至网络交换设备进行比对验证；
9.响应于所述第一密钥与第二密钥相同，反馈认证成功，确定所述新设备准入控制系统局域网。
10.可选的，所述根据所述第一密钥加密认证报文，并使加密后的所述认证报文传输至网络交换设备进行比对验证，包括：
11.根据预设加密算法和所述第一密钥加密所述认证报文；
12.将加密后的所述认证报文传输至交换设备的数据链路层；
13.解密加密后的所述认证报文获取所述第一密钥，并比对所述第一密钥与所述第二密钥是否相同进行验证。
14.可选的，所述为所述新设备分配第一密钥之后，所述方法还包括：
15.启动端口定时器；所述端口定时器用于获取预设时间对所述第一密钥进行定时更新；
16.根据所述端口定时器的预设时间对所述第一密钥和所述第二密钥进行定时更新；
17.所述响应于所述第一密钥与第二密钥相同，反馈认证成功，包括：
18.响应于定时更新后的所述第一密钥和所述第二密钥相同，反馈认证成功。
19.可选的，所述方法还包括：
20.响应于所述第一密钥与所述第二密钥不相同，反馈认证失败，确定所述新设备的端口为非授权端口；所述非授权端口为不允许用户访问的端口。
21.可选的，所述根据预设协议对所述新设备进行初步准入判断，包括：
22.判断所述新设备是否满足第一预设协议；
23.若是，则确定所述新设备满足初步准入条件；
24.如否，响应于所述新设备满足第二预设协议，确定所述新设备满足初步准入条件；所述第二预设协议为通过身份标识进行认证的协议。
25.可选的，所述方法还包括：
26.响应于新设备为首次登录的设备，为所述新设备分配第三密钥；所述第三密钥为端口专属密钥；
27.根据所述第三密钥对所述认证报文进行初次加密，并将加密后的认证报文传输至网络交换设备进行比对验证；
28.响应于所述第三密钥与第四密钥相同，确定所述新设备满足身份要求；
29.根据所述身份要求和所述预设协议确定所述新设备满足初步准入条件。
30.第二方面，本技术提供了一种控制设备准入的装置，该装置包括：
31.第一判断单元，用于当检测到新设备接入控制系统局域网时，根据预设协议对所述新设备进行初步准入判断；
32.分配单元，用于响应于所述新设备满足初步准入条件，为所述新设备分配第一密钥；
33.第二判断单元，用于根据所述第一密钥加密认证报文，并将加密后的所述认证报文传输至设备端进行比对验证；
34.响应单元，用于响应于所述第一密钥与第二密钥相同，反馈认证成功，确定所述新设备准入控制系统局域网。
35.第三方面，本技术实施例提供了一种电子设备。该设备包括：存储器和处理器。
36.存储器用于用于存储程序代码，并将程序代码传输给处理器。
37.处理器：用于根据程序代码中的指令执行第一方面中任一项所述控制设备准入的方法步骤。
38.第四方面，本技术实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储代码，所述代码被处理器执行时实现如第一方面中任一项所述控制设备准入的方法的步骤。
39.本技术提供了一种控制设备准入的方法、装置及相关产品。在执行所述方法时，首先当检测到新设备计入控制系统局域网时，根据预设协议进行初步准入判断。当新设备满足初入准入条件之后，为新设备分配第一密钥，并利用该第一密钥对认证报文进行加密。当
加密后的认证报文传输至设备端时，对加密后的认证报文含有的第一密钥与第二密钥进行比对验证。如果两者相同，表示认证成功，反馈认证成功结果。即表示新设备的端口为授权端口，运行用户访问。即通过预设协议初步准入判断和密钥加密方式进行二次判断，避免了只采用802.1x协议产生的适应性差的问题，从而提高认证设备准入网络的准确度，从而提升控制设备的网络安全性。
附图说明
40.为更清楚地说明本实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
41.图1为本技术实施例提供的一种控制设备准入的方法示例性应用场景图；
42.图2为本技术实施例提供的一种控制设备准入的方法流程图；
43.图3为本技术实施例提供的另一种控制设备准入的方法流程图；
44.图4为本技术实施例提供的另一种控制设备准入的方法流程图；
45.图5为本技术实施例提供的一种控制设备准入的装置结构示意图。
具体实施方式
46.本技术说明书和权利要求书及附图说明中的术语“第一”、“第二”“第三”、和“第四”等是用于区别不同对象，而不是用于限定特定顺序。
47.在本技术实施例中，“作为示例”或者“例如”等词用于表示作例子、例证或说明。本技术实施例中被描述为“作为示例”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“作为示例”或者“例如”等词旨在以具体方式呈现相关概念。
48.本技术的实施方式部分使用的术语仅用于对本技术的具体实施例进行解释，而非旨在限定本技术。
49.正如前文所述，现有技术可以采用基于802.1x协议作为终端接入网络的准入协议。即客户端端口安装802.1x协议的方式进行准入认证。然而，并非所有端口都可以安装802.1x协议，这使得该协议在使用过程中适配性差，进而导致设备接入网络时安全性较差。此外，发明人发现，针对采用基于802.1x协议网络适配性差的问题，现有技术提出了在不能安装802.1x协议的哑终端设备采用在交换机端口绑定mac地址的方式进行防护。即利用mac地址作为其身份唯一标识进行认证。但发明人发现，非法用户仍旧可以利用仿冒这些哑终端设备mac地址的方式接入网络，逃避网络安全认证检查。
50.基于此，本技术在现有技术基础上，通过预设协议对新接入设备进行初步准入判断，接着利用密钥加密的方式对新接入设备进行二次准入判断，以此避免只采用802.1x协议导致的网络适配性差问题。提高了网络安全认证准确度，从而提高了控制设备的网络安全性。
51.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本
申请一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
52.参见图1，为本技术实施例提供的一种控制设备准入的方法示例性应用场景图。该方法应用在典型c/s架构，即客户端/服务端架构。包括客户端101、网络交换设备102、认证服务器103。
53.在本技术实施例中，客户端101支持局域网上的可拓展认证协议eapol，用于保证客户端101始终能够发出或接收认证报文。网络交换设备102为客户端101提供接入局域网端口，充当客户端101和认证服务器103之间的中介，从客户端101请求身份信息，与认证服务器103验证该信息。
54.在本技术实施例中，认证服务器103可以为radius服务器，用于对需要接入局域网的客户端执行认证，并根据认证结果(接收accept或拒接reject)对受控端口的授权或非授权状态进行控制。客户端101可以是具有显示屏的台式计算机等终端设备，也可以是其他具有控制设备等。客户端101数量可以为1个，也可以是多个，在本技术实施例中不做具体限制。
55.在本技术实施例中，网络交换设备102可以为802.1x认证设备端，用于为客户端101提供接入局域网的端口。这一端口包括受控端口和非受控端口两种。其中，非受控端口始终处于双向连通状态，主要用来传递可拓展认证协议eapol。在本技术实施例中，授权状态表示受控端口处于双向连通状态，用于传递业务报文。在非授权状态下禁止从客户端101接收认证报文。
56.显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
57.参见图2，为本技术实施例提供的一种控制设备准入的方法流程图，应用于分布式控制系统。由图可知，该方法至少包括以下步骤：
58.s201：当检测到新设备接入控制系统局域网时，根据预设协议对新设备进行初步准入判断。
59.控制系统在检测到有新设备进入时，根据预设协议对新设备进行初步准入判断。当检测到新设备不满足准入条件时，直接认证拒接。节约后续工作流程。
60.在本技术实施例中，可以根据第一预设协议对新设备进行初步准入判断。比如采用常用的802.1x协议进行准入判断。若新设备通过802.1x准入协议，则表示该新设备满足初步准入条件。如果新设备不能通过802.1x准入协议，考虑可能新设备的哑终端设备，通过在网络交换设备绑定第二预设协议进行再次判断。其中，第二预设协议为通过身份标识进行认证的协议，比如可以为mac旁路认证协议或portal认证备用机制等。
61.具体来讲，可以通过判断新设备是否满足第二预设协议，确定新设备满足初步准入条件。即新设备通过第二预设协议，则表示新设备满足初步准入条件。由此可以避免只采用802.1x协议适配性不足，导致认证准确度低的问题。
62.s202：响应于所述新设备满足初步准入条件，为所述新设备分配第一密钥。
63.当确定新设备满足初步准入条件之后，则控制系统为新设备分配第一密钥，用于加密认证报文。在本技术实施例中，分配的第一密钥可以为rsa密钥。具体来讲，控制系统的
服务器接收到新设备满足初步准入条件的指令后，为新设备的端口分配工业控制网络专用的第一密钥，通过网络交换设备发送至新设备。
64.s203：根据所述第一密钥加密认证报文，并使加密后的所述认证报文传输至设备端进行比对验证。
65.当新设备端口获取第一密钥之后，控制系统会根据第一密钥加密认证报文。在本技术实施例中，控制系统的服务器会为新设备端口分配预设加密算法。然后根据预设加密算法和第一密钥加密认证报文，并将加密后的认证报文传输至网络交换设备的数据链路层。在数据链路层解密加密后的认证报文获取第一密钥。比对第一密钥和第二密钥是否相同，进行验证。其中，第二密钥可以为网络交换设备预存本地密钥。
66.在本技术实施例中，可以通过预设算法，将第一密钥加入到认证报文头部，或认证报文中间，或认证报文尾部。
67.s204：响应于所述第一密钥与第二密钥相同，反馈认证成功，确定所述新设备准入控制系统。
68.当网络交换机比对验证第一密钥与第二密钥相同，则表示反馈认证成功，并将该报文发送给局域网通信，确定新设备准入控制系统。
69.在本技术实施例中，如果第一密钥与第二密钥通过比对发现，两者不相同，则表示反馈认证失败。新设备不满足准入条件，新设备的端口变为非授权端口。其中，非授权端口为不允许用户访问的端口。其与授权端口对应。
70.在本技术实施例中，网络交换设备还可以对需要接入局域网的客户端执行认证，并根据认证结果对受控端口的授权状态/非授权状态进行控制。
71.具体的：当新设备认证不成功时，新设备端口变为非授权端口。当其余用户通过拔掉授权端口网线的方式将其余主机通过网线接入到授权端口进入到局域网中时，此时其余用户的密钥比对不成功，将锁死授权端口，变为非授权端口。在本技术实施例中，当其余用户通过hub设备接入到授权端口时，此时其余用户的密钥比对不成功，将锁死授权端口，变为非授权端口。
72.本技术提供了一种控制设备准入的方法，首先当检测到新设备计入控制系统局域网时，根据预设协议进行初步准入判断。当新设备满足初入准入条件之后，为新设备分配第一密钥，并利用该第一密钥对认证报文进行加密。当加密后的认证报文传输至设备端时，对加密后的认证报文含有的第一密钥与第二密钥进行比对验证。如果两者相同，表示认证成功，反馈认证成功结果。即表示新设备的端口为授权端口，运行用户访问。即通过预设协议初步准入判断和密钥加密方式进行二次判断，避免了只采用802.1x协议产生的适应性差的问题，从而提高认证设备准入网络的准确度，从而提升控制设备的网络安全性。
73.参见图3，为本技术实施例提供的另一种控制设备准入的方法流程图，应用于分布式控制系统，该方法至少包括以下步骤：
74.s301：符合可拓展认证协议eapol的客户端发出接入网络交换设备的请求。
75.s302：判断接入设备是否为首次登录的准入设备。若满足，则进入步骤s303。否则进入步骤s310。
76.s303：服务器为新设备分配一个第三密钥，根据第三密钥对认证报文进行初次加密，并将加密后的认证报文传输至网络交换设备进行比对验证。
77.在本技术实施例中，第三密钥为端口专属密钥。服务器增加了一个密钥分发判断系统，该系统判断新设备是否为首次登录的准入设备，如果是，则随机为其分配一个端口专属密钥，即第三密钥。网络交换设备记录此端口密钥。在后续使用时，通过报文加密和解密的方式，进行第三密钥和网络交换设备记录的第四密钥的比较。
78.s304：响应于所述第三密钥与第四密钥相同，确定新设备满足身份要求。
79.当第三密钥与第四密钥相同时，表示新设备满足身份要求。即该设备不属于非法登录。
80.s305：判断接入设备是否满足802.1x准入协议。若满足，则进入步骤s306。
81.否则，进入步骤s310。
82.s306：判断接入设备是否满足第二预设协议，若是，满足初步准入条件，进入步骤s307，否则进入步骤s310。
83.s307：响应于所述新设备满足初步准入条件，为所述新设备分配第一密钥。
84.s308：根据所述第一密钥加密认证报文，并使加密后的所述认证报文传输至设备端进行比对验证。
85.s309：响应于所述第一密钥与第二密钥相同，反馈认证通过成功。
86.s310：新设备准入认证通过失败。
87.在本技术实施例中s307～s310与图2中s202～s204相同，这里不再论述。在本技术实施例中，s302的身份识别判断与s305的准入协议判断执行动作可以同时进行，也可以先执行s302，再执行s305。也可以先执行s305，再执行s302。
88.本技术实施例提供的控制设备准入方法，通过端口专属密钥的方式对新设备的身份进行鉴别，避免了现有技术采用用户名加口令的方式进行鉴别产生的方案容易导致地址盗用，非法设备接入和同一账户多人使用的问题。进一步提升了控制设备的网络安全性。
89.参见图4，为本技术实施例提供的另一种控制设备准入方法流程图，该方法应用于分布式控制系统，该方法至少包括以下步骤：
90.s401：检测到客户端发出接入网络交换设备的请求时，通过802.1x协议和mac旁路认证，对新设备进行初步准入判断。若满足，则进入步骤s402。否则进入步骤s407
91.s402：为新设备分配rsa密钥，并根据rsa密钥加密认证报文。将加密后的认证报文传输至网络交换设备进行解密和比对验证。
92.s403：rsa密钥与网络交换设备预先记录的本地密钥相同，则表示认证通过成功，反馈认证成功。否则进入步骤s407
93.s404：利用端口定时器，对rsa密钥以及网络交换设备预先记录的本地密钥进行定时更新。
94.在本技术实施例中，为端口定时器定时，定时器当时，则随机更新rsa密钥和网络交换设备预先记录的本地密钥。
95.s405：利用更新后的rsa密钥加密认证报文。将加密后的认证报文传输至网络交换设备进行解密和比对验证。
96.s406：当更新后的rsa密钥与网络交换设备预先记录的本地密钥相同，则表示认证通过成功，反馈认证成功。
97.s407：认证通过失败，反馈认证失败。
98.在本技术实施例提供的控制设备准入的方法中，通过定时器对密钥进行定时更新，进一步提升密钥安全性，提高认证设备准入网络的准确度，从而提升控制设备的网络安全性。
99.参见图5，为本技术实施例提供的一种控制设备准入的装置结构示意图500。该装置至少包括以下单元：
100.第一判断单元501，用于当检测到新设备接入控制系统局域网时，根据预设协议对所述新设备进行初步准入判断。
101.分配单元502，用于响应于所述新设备满足初步准入条件，为所述新设备分配第一密钥。
102.第二判断单元503，用于根据所述第一密钥加密认证报文，并将加密后的所述认证报文传输至设备端进行比对验证。
103.响应单元504，用于响应于所述第一密钥与第二密钥相同，反馈认证成功，确定所述新设备的端口为授权端口；所述授权端口允许用户访问的端口。
104.本技术提供了一种控制设备准入的装置，第一判断单元501当检测到新设备计入控制系统局域网时，根据预设协议进行初步准入判断。分配单元502当新设备满足初入准入条件之后，为新设备分配第一密钥。第二判断单元503利用该第一密钥对认证报文进行加密，当加密后的认证报文传输至设备端时，对加密后的认证报文含有的第一密钥与第二密钥进行比对验证。响应单元503响应于两者相同，表示认证成功，反馈认证成功结果。即表示新设备的端口为授权端口，运行用户访问。即通过预设协议初步准入判断和密钥加密方式进行二次判断，避免了只采用802.1x协议产生的适应性差的问题，从而提高认证设备准入网络的准确度，从而提升控制设备的网络安全性。
105.本技术实施例还提供了一种电子设备。该设备包括：存储器和处理器。
106.存储器用于用于存储程序代码，并将程序代码传输给处理器。
107.处理器：用于根据程序代码中的指令执行上述一种控制设备准入的方法的步骤。
108.本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本技术实施例的一种控制设备准入的方法。
109.在实际应用中，所述计算机可读存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
110.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于
由指令执行系统、装置或者器件使用或者与其结合使用的程序。
111.计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。
112.可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
113.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
114.以上所述仅是本技术示例性的实施方式，并非用于限定本技术的保护范围。