一种工控设备访问控制方法、装置及电子设备

技术领域

本发明涉及工控安全技术领域，具体涉及一种工控设备访问控制方法、装置及电子设备。

背景技术

随着信息化和工业化融合的不断深化，传统IT网络中的不安全因素大量涌入工业控制系统，使原本脆弱的工业控制系统雪上加霜，涉及国计民生的工业、能源、交通、水利等关键基础设施面临较大安全风险，一旦遭到破坏，可能造成整个城市的供电中断、饮用水污染、交通瘫痪等，影响公众生活甚至是国家安全。因此，加强工业控制系统的安全建设工作显得尤为迫切。

相关技术中，通过在工业控制设备与上位机之间安装部署工业防火墙，工业防火墙内置预先存储的黑/白名单，黑/白名单中记录的是基于IP/MAC地址的控制权限，比如，某一源IP地址对某一目标IP地址具有访问权限。工业防火墙根据上位机发送的数据帧(包含源IP地址和目标IP地址)，判断上位机是否具有该工业控制设备的访问权限。但实际上，IP/MAC地址很容易被篡改，若要非法访问工业控制设备，只需要将非法上位机的IP/MAC地址更改为记录在白名单中上位机的IP/MAC地址，导致工业控制设备的安全性低。

发明内容

有鉴于此，本发明实施例提供了一种工控设备访问控制方法、装置及电子设备，以解决现有技术中工业控制设备的安全性低的缺陷。

根据第一方面，本发明实施例提供一种工控设备访问控制方法，应用于防火墙，包括如下步骤：当接收到上位机对目标工控设备的访问请求，向所述上位机发送目标信息获取指令；接收所述上位机的目标信息响应数据包，所述目标信息响应数据包包括所述上位机的硬件标识性信息或者身份证书信息；根据所述上位机的目标信息响应数据包，验证所述上位机的身份信息；根据所述上位机的身份信息验证结果，确定是否将访问请求发送至所述目标工控设备。

可选地，所述目标信息响应数据包还包括所述上位机的安全防护信息；根据所述上位机的身份信息验证结果，确定是否将访问请求发送至所述目标工控设备包括：根据所述上位机的身份信息验证结果以及所述上位机的安全防护信息，判断所述上位机是否满足安全访问条件；当上位机满足安全访问条件，则将访问请求发送至所述目标工控设备。

可选地，当接收到上位机对目标工控设备的访问请求，向所述上位机发送目标信息获取指令，包括：当接收到上位机对目标工控设备的访问请求，识别所述访问请求中是否存在对目标工控设备的数据更改请求和/或状态更改请求；当存在数据更改请求和/或状态更改请求，向所述上位机发送目标信息获取指令。

可选地，工控设备访问控制方法还包括：接收所述目标工控设备的访问请求执行结果；将所述访问请求执行结果发送至上位机。

根据第二方面，本发明实施例提供一种工控设备访问控制方法，应用于上位机，包括如下步骤：对目标信息获取指令接收端口进行监听；当接收到目标信息获取指令，根据所述目标信息获取指令构建目标信息响应数据包，所述目标信息响应数据包包括硬件标识性信息或者身份证书信息；发送所述目标信息响应数据包。

可选地，根据所述目标信息获取指令构建目标信息响应数据包，包括：获取身份信息以及安全防护信息；根据所述身份信息以及安全防护信息，构建目标信息响应数据包。

根据第三方面，本发明实施例提供一种工控设备访问控制装置，应用于防火墙，包括：目标信息获取模块，用于当接收到上位机对目标工控设备的访问请求，向所述上位机发送目标信息获取指令；目标信息接收模块，用于接收所述上位机的目标信息响应数据包，所述目标信息响应数据包包括所述上位机的硬件标识性信息或者身份证书信息；身份验证模块，用于根据所述上位机的目标信息响应数据包，验证所述上位机的身份信息；访问判断模块，用于根据所述上位机的身份信息验证结果，确定是否将访问请求发送至所述目标工控设备。

根据第四方面，本发明实施例提供一种工控设备访问控制装置，应用于上位机，包括：端口监听模块，用于对目标信息获取指令接收端口进行监听；数据响应包构建模块，用于当接收到目标信息获取指令，根据所述目标信息获取指令构建目标信息响应数据包，所述目标信息响应数据包包括所述上位机的硬件标识性信息或者身份证书信息；数据包发送模块，用于发送所述目标信息响应数据包。

根据第五方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面或第一方面任一实施方式所述的工控设备访问控制方法的步骤。

根据第六方面，本发明实施例提供一种存储介质，其上存储有计算机指令，该指令被处理器执行时实现第一方面或第一方面任一实施方式所述的工控设备访问控制方法的步骤。

本发明技术方案，具有如下优点：

本实施例提供的工控设备访问控制方法，通过防火墙对上位机的硬件标识性信息或者身份证书信息进行身份验证，防止非法上位机通过篡改IP/MAC地址，达到伪装合法上位机的目的，实现对工控设备的非法控制，从而提高了工业控制设备的安全性。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中工控设备访问控制方法的一个具体示例的流程图；

图2为本发明实施例中工控设备访问控制方法的一个具体示例的流程图；

图3为本发明实施例中工控设备访问控制方法的一个具体示例的流程图；

图4为本发明实施例中工控设备访问控制装置的一个具体示例原理框图；

图5为本发明实施例中工控设备访问控制装置的一个具体示例原理框图；

图6为本发明实施例中电子设备的一个具体示例的原理框图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

本实施例提供一种工控设备访问控制方法，应用于防火墙，如图1所示，包括如下步骤：

S101，当接收到上位机对目标工控设备的访问请求，向上位机发送目标信息获取指令；

示例性地，防火墙可以是工控防火墙。上位机对目标工控设备的访问请求可以包括读取目标工控设备数据、写入目标工控设备数据、更改目标工控设备数据、更改目标工控设备状态等，本实施例对访问请求的具体内容不做限定，本领域技术人员可以根据需要确定。上位机发送对目标工控设备的访问请求的方式可以是启动上位机中的组态软件，组态软件与工控设备之间通过某种工控协议进行通信，比如，西门子采用S7通信协议；通信协议的某个字段代表具体的操作类型；比如，对工控设备进行配置变更、关闭设备、重启设备等等。

当接收到上位机对目标工控设备的访问请求，防火墙将访问请求挂起，同时向上位机主动发送基于UDP的目标信息获取指令。目标信息获取指令可以包括对上位机的身份信息进行获取的指令。

S102，接收上位机的目标信息响应数据包，目标信息响应数据包包括上位机的硬件标识性信息或者身份证书信息；

示例性地，目标信息响应数据包是上位机根据防火墙的目标信息获取指令构建而成，比如，当目标信息获取指令为获取上位机的身份信息，那么目标信息响应数据包则携带的是上位机的身份信息。为了防止其他非法上位机伪造身份信息，本实施例中上位机的身份信息可以是上位机的硬件标识性信息，硬件标识性信息一般具有唯一性，比如上位机硬盘的序列号等等，本实施例对上位机的硬件标识性信息不做限定，本领域技术人员可以根据需要确定。上位机的身份信息还可以是由第三方证书机构颁发的身份证书。

S103，根据上位机的目标信息响应数据包，验证上位机的身份信息；

示例性地，当上位机的目标信息响应数据包为身份信息时，根据上位机的目标信息响应数据包，验证上位机的身份信息的方式可以是将上位机发送的硬件标识性信息与预先存入防火墙中的白名单进行匹配，当硬件标识性信息与白名单中的信息匹配时，则表示上位机身份合法。验证上位机的身份信息的方式还可以是判断上位机发送的身份证书是否是合法的证书机构颁发的。验证身份证书是否合法的方式可以是通过对应的解密密钥进行解密，当解密出的值与第三方机构中存储的值相同时，则表示身份证书合法。

S104，根据上位机的身份信息验证结果，确定是否将访问请求发送至目标工控设备。

示例性地，当上位机的身份信息验证结果为身份合法时，则可以将访问请求发送至目标工控设备，当上位机的身份信息验证结果为身份非法时，则丢弃此次访问请求。

本实施例提供的工控设备访问控制方法，通过防火墙对上位机的硬件标识性信息或者身份证书信息进行身份验证，防止非法上位机通过篡改IP/MAC地址，达到伪装合法上位机的目的，实现对工控设备的非法控制，从而提高了工业控制设备的安全性，另外，目标信息获取指令由防火墙主动发起，也即，是否对上位机的身份进行验证取决于防火墙配置的安全策略，而并不取决于上位机本身，上位机只是响应防火墙的指令，从而提高了防火墙对工控设备访问控制的灵活性。

作为本实施例一种可选的实施方式，目标信息响应数据包还包括上位机的安全防护信息；根据上位机的身份信息验证结果，确定是否将访问请求发送至所述目标工控设备包括：

根据上位机的身份信息验证结果以及上位机的安全防护信息，判断上位机是否满足安全访问条件；当上位机满足安全访问条件，则将访问请求发送至目标工控设备。

示例性地，上位机的安全防护信息可以包括上位机是否更新了关键补丁、是否部署了安全防护软件、安全策略配置是否符合要求等等。安全访问条件可以是上位机的身份信息验证结果为合法且上位机的安全程度满足预设要求。判断上位机安全程度是否满足预设要求的方式可以是对上位机发送的安全防护信息进行综合评分，当综合评分结果满足预设阈值，比如80分，则可以认为上位机安全程度满足预设要求，本实施例对判断上位机安全程度是否满足预设要求的方式不做限定，本领域技术人员可以根据需要确定。当上位机的身份信息验证结果为合法且上位机的安全程度满足预设要求，则将访问请求发送至目标工控设备。

本实施例提供的工控设备访问控制方法，通过对上位机的安全防护信息进行验证，保证上位机本身安全，从而进一步保证了对工控设备进行访问的安全性。

作为本实施例一种可选的实施方式，当接收到上位机对目标工控设备的访问请求，向上位机发送目标信息获取指令，包括：

S1011，当接收到上位机对目标工控设备的访问请求，识别访问请求中是否存在对目标工控设备的数据更改请求和/或状态更改请求；

S1012，当存在数据更改请求和/或状态更改请求，向上位机发送目标信息获取指令。

示例性地，数据更改请求和/或状态更改请求可以包括对目标工控设备写入数据、更改目标工控设备数据(比如，重置目标工控设备数据)、更改目标工控设备状态(比如，关闭目标工控设备)，这些更改请求很可能对工控设备产生安全隐患。识别访问请求中是否存在对目标工控设备的数据更改请求和/或状态更改请求的方式可以是防火墙通过解析访问请求对应的通信数据包，识别具体的通信协议类型，并进一步识别出其中对目标工控设备的操作类型信息。当识别到数据更改请求和/或状态更改请求，向上位机发送目标信息获取指令。

本实施例提供的工控设备访问控制方法，通过识别访问请求中是否存在对目标工控设备的数据更改请求和/或状态更改请求，当存在目标工控设备的数据更改请求和/或状态更改请求时(也即只有访问请求中存在对工控设备的安全产生隐患时)，才对上位机进行验证，在保证工控设备访问的安全性的同时，减小了工控设备访问控制的数据处理量。

作为本实施例一种可选的实施方式，工控设备访问控制方法，还包括：

S105，接收目标工控设备的访问请求执行结果；访问请求执行结果包括数据更改和/或状态更改成功或者失败。

S106，将所访问请求执行结果发送至上位机。

本实施例提供一种工控设备访问控制方法，如图2所示，应用于上位机，包括如下步骤：

S201，对目标信息获取指令接收端口进行监听；

示例性地，上位机预先部署了安全认证组件，用于监听目标信息获取指令接收端口的目标信息获取指令，目标信息获取指令接收端口可以自由定义，本实施例对此不做限定。

在S201之后，本实施例还可以包括：S200，发送对目标工控设备的访问请求；

示例性地，上位机发送对目标工控设备的访问请求的方式可以是启动上位机中的组态软件，组态软件与工控设备之间通过某种工控协议进行通信，比如，西门子采用S7通信协议；通信协议的某个字段代表具体的操作类型；比如，对工控设备进行配置变更、关闭设备、重启设备等等。

S202，当接收到目标信息获取指令，根据目标信息获取指令构建目标信息响应数据包，目标信息响应数据包包括硬件标识性信息或者身份证书信息；

示例性地，当接收到目标信息获取指令，根据目标信息获取指令构建目标信息响应数据包，当目标信息获取指令为获取上位机的硬件标识性信息，比如硬盘的硬件序列号时，则获取硬盘的硬件序列号构建目标信息响应数据包，当目标信息获取指令为获取上位机的身份证书信息时，则获取上位机的身份证书信息构建目标信息响应数据包。

S203，发送目标信息响应数据包。

本实施例提供的工控设备访问控制方法，通过防火墙对上位机的硬件标识性信息或者身份证书信息进行身份验证，防止非法上位机通过篡改IP/MAC地址，达到伪装合法上位机的目的，实现对工控设备的非法控制，从而提高了工业控制设备的安全性。

作为本实施例一种可选的实施方式，根据目标信息获取指令构建目标信息响应数据包，包括：获取身份信息以及安全防护信息；根据身份信息以及安全防护信息，构建目标信息响应数据包。

示例性地，获取身份信息的方式可以是读取自身硬件标识性信息或者身份证书信息；获取安全防护信息的方式可以是读取自身系统信息，并判断上位机系统是否更新了关键补丁、是否部署了安全防护软件、安全策略配置是否符合要求。将身份信息以及安全防护信息构建为目标信息响应数据包。

本实施例提供的工控设备访问控制方法，通过对上位机的安全防护信息进行验证，保证上位机本身安全，从而进一步保证了对工控设备进行访问的安全性。

本实施例中防火墙和上位机的交互过程，如图3所示，包括：

S201，对目标信息获取指令接收端口进行监听；

S200，发送对目标工控设备的访问请求；

S101，当接收到上位机对目标工控设备的访问请求，向上位机发送目标信息获取指令；

S101包括：

S1011，当接收到上位机对目标工控设备的访问请求，识别访问请求中是否存在对目标工控设备的数据更改请求和/或状态更改请求；

S1012，当存在数据更改请求和/或状态更改请求，向上位机发送目标信息获取指令。

S202，当接收到目标信息获取指令，根据目标信息获取指令构建目标信息响应数据包，目标信息响应数据包包括硬件标识性信息或者身份证书信息；

S203，发送所述目标信息响应数据包；

S103，根据上位机的目标信息响应数据包，验证上位机的身份信息；

S104，根据上位机的身份信息验证结果，确定是否将访问请求发送至目标工控设备。

S105，接收目标工控设备的访问请求执行结果。

S106，将所访问请求执行结果发送至上位机。

本实施例提供一种工控设备访问控制装置，如图4所示，应用于防火墙，包括：

目标信息获取模块301，用于当接收到上位机对目标工控设备的访问请求，向所述上位机发送目标信息获取指令；具体内容参见上述方法实施例对应部分，在此不再赘述。

目标信息接收模块302，用于接收所述上位机的目标信息响应数据包，所述目标信息响应数据包包括所述上位机的硬件标识性信息或者身份证书信息；具体内容参见上述方法实施例对应部分，在此不再赘述。

身份验证模块303，用于根据所述上位机的目标信息响应数据包，验证所述上位机的身份信息；具体内容参见上述方法实施例对应部分，在此不再赘述。

访问判断模块304，用于根据所述上位机的身份信息验证结果，确定是否将访问请求发送至所述目标工控设备。具体内容参见上述方法实施例对应部分，在此不再赘述。

作为本实施例一种可选的实施方式，所述目标信息响应数据包还包括所述上位机的安全防护信息；访问判断模块，包括：

安全判断模块，用于根据所述上位机的身份信息验证结果以及所述上位机的安全防护信息，判断所述上位机是否满足安全访问条件；具体内容参见上述方法实施例对应部分，在此不再赘述。

请求发送模块，用于当上位机满足安全访问条件，则将访问请求发送至所述目标工控设备。具体内容参见上述方法实施例对应部分，在此不再赘述。

作为本实施例一种可选的实施方式，目标信息获取模块301，包括：

更改请求识别模块，用于当接收到上位机对目标工控设备的访问请求，识别访问请求中是否存在对目标工控设备的数据更改请求和/或状态更改请求；具体内容参见上述方法实施例对应部分，在此不再赘述。

目标信息获取子模块，用于当存在数据更改请求和/或状态更改请求，向所述上位机发送目标信息获取指令。具体内容参见上述方法实施例对应部分，在此不再赘述。

作为本实施例一种可选的实施方式，还包括：执行结果接收模块，用于接收所述目标工控设备的访问请求执行结果；具体内容参见上述实施例对应部分，在此不再赘述。

上位机发送模块，用于将所述访问请求执行结果发送至上位机。具体内容参见上述实施例对应部分，在此不再赘述。

本实施例提供一种工控设备访问控制装置，如图5所示，应用于上位机，包括：

端口监听模块401，用于对目标信息获取指令接收端口进行监听；具体内容参见上述方法实施例对应部分，在此不再赘述。

数据响应包构建模块402，用于当接收到目标信息获取指令，根据所述目标信息获取指令构建目标信息响应数据包，所述目标信息响应数据包包括所述上位机的硬件标识性信息或者身份证书信息；具体内容参见上述方法实施例对应部分，在此不再赘述。

数据包发送模块403，用于发送所述目标信息响应数据包。具体内容参见上述方法实施例对应部分，在此不再赘述。

作为本实施例一种可选的实施方式，数据响应包构建模块402，包括：

安全防护信息获取模块，用于获取身份信息以及安全防护信息；具体内容参见上述方法实施例对应部分，在此不再赘述。

数据响应包构建子模块，用于根据所述身份信息以及安全防护信息，构建目标信息响应数据包。具体内容参见上述方法实施例对应部分，在此不再赘述。

本申请实施例还提供一种电子设备，如图6所示，处理器510和存储器520，其中处理器510和存储器520可以通过总线或者其他方式连接。

处理器510可以为中央处理器(Central Processing Unit，CPU)。处理器510还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器520作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施例中的工控设备访问控制方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理。

存储器520可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器520可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个模块存储在所述存储器520中，当被所述处理器510执行时，执行如图1、2所示实施例中的工控设备访问控制方法。

上述电子设备的具体细节可以对应参阅图1、2所示的实施例中对应的相关描述和效果进行理解，此处不再赘述。

本实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中工控设备访问控制方法。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(Read－Only Memory，ROM)、随机存储记忆体(Random Access Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid－State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。