專利名稱:一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御技術(shù)。
背景技術(shù):
隨著工業(yè)自動(dòng)化控制的迅速發(fā)展,愈來愈多的工業(yè)企業(yè)使用其內(nèi)部(或?qū)S?網(wǎng) 絡(luò)將其生產(chǎn)過程專用設(shè)備或工業(yè)智能設(shè)備(Intelligent Electric Device,簡稱“ IED”) 互聯(lián)在一起,形成生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)。這種工業(yè)企業(yè)用內(nèi)部(或?qū)S?網(wǎng)絡(luò)稱之為工業(yè)互 聯(lián)網(wǎng)。一般來說,工業(yè)互聯(lián)網(wǎng)要具有一些滿足工業(yè)自動(dòng)化控制的特殊結(jié)構(gòu)和功能。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,利用已有公眾網(wǎng)絡(luò)(萬維互聯(lián)網(wǎng))的硬件和軟件設(shè)施,遠(yuǎn) 程連接某個(gè)工業(yè)互聯(lián)網(wǎng),對(duì)該工業(yè)互聯(lián)網(wǎng)中的生產(chǎn)過程專用網(wǎng)絡(luò)或智能設(shè)備進(jìn)行遠(yuǎn)程集中 監(jiān)控和遠(yuǎn)程維護(hù),是當(dāng)前萬維互聯(lián)網(wǎng)絡(luò)技術(shù)在工業(yè)企業(yè)自動(dòng)化系統(tǒng)中的一個(gè)需求熱點(diǎn)。另 一個(gè)需求熱點(diǎn)是利用已有公眾網(wǎng)絡(luò)(萬維互聯(lián)網(wǎng))的硬件和軟件設(shè)施,將兩個(gè)或更多個(gè)工 業(yè)互聯(lián)網(wǎng)進(jìn)行通訊連接。從而使得一個(gè)中心控制系統(tǒng)能對(duì)所有子生產(chǎn)控制系統(tǒng)進(jìn)行監(jiān)督和 控制,也使得多個(gè)子生產(chǎn)控制系統(tǒng)之間能相互通訊,形成一個(gè)更大的生產(chǎn)控制系統(tǒng),對(duì)其資 源進(jìn)行更優(yōu)化控制和使用。眾所周知,用互聯(lián)網(wǎng)連接本地計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)終端的一個(gè)普遍問題是安全問 題。因?yàn)榛ヂ?lián)網(wǎng)廣泛性應(yīng)用的特性,互聯(lián)網(wǎng)設(shè)施“鼓勵(lì)”廣泛地從各種來源傳送各種性質(zhì)的 數(shù)據(jù)和信息。這樣一些黑客就會(huì)利用數(shù)據(jù)和信息的廣泛傳送,可以刻意攻擊某一個(gè)局域網(wǎng) 絡(luò)或終端;或者一些不法者在數(shù)據(jù)和信息中加上各種病毒,攻擊所有接收到帶有病毒的數(shù) 據(jù)和信息的局域網(wǎng)絡(luò)或終端。在現(xiàn)有的互聯(lián)網(wǎng)技術(shù)中,防止黑客和病毒的方法之一是建立一個(gè)分析數(shù)據(jù)庫,記 錄并更新病毒的格式特征和行為特征。該分析數(shù)據(jù)庫就像一個(gè)“黑名單”,如果收到的數(shù)據(jù) 和信息符合“黑名單”的特征,就將收到的數(shù)據(jù)和信息拒絕。這種方法的典型例子是入侵防 御系統(tǒng)(Intrusion Prevention System,簡稱“ IPS”)。IPS的缺點(diǎn)是需要強(qiáng)大的后臺(tái)和硬 件支持,而且需要一定的時(shí)間才能將含有病毒的數(shù)據(jù)和信息找出來。因而這種方法對(duì)工業(yè) 互聯(lián)網(wǎng)中的一些專用設(shè)備不適用,因?yàn)樵谝恍┦褂脠龊舷?,由于使用環(huán)境的限制,一些專用 設(shè)備或工業(yè)智能設(shè)備不允許有強(qiáng)大的硬件和軟件平臺(tái)。而且工業(yè)互聯(lián)網(wǎng)中許多專用設(shè)備的 實(shí)時(shí)性很強(qiáng),不允許有較長時(shí)間的響應(yīng)時(shí)間。作為萬維網(wǎng)(Internet)的安全性保護(hù)工具,防火墻(FireWall)已經(jīng)得到廣泛的 應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全,在企業(yè)網(wǎng)和萬維網(wǎng)間設(shè)立防火墻。但是防 火墻有以下幾個(gè)缺點(diǎn)1.防火墻不能抵抗最新的未設(shè)置策略的攻擊病毒。2.防火墻對(duì)服務(wù)器合法開放 的端口的攻擊大多無法阻止。3.防火墻對(duì)待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無法阻止。4.防 火墻本身也會(huì)出現(xiàn)問題和受到攻擊其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。 5.防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯鲇捎谝袛?、處理流?jīng)防火墻的每一 個(gè)包,因此防火墻在某些流量大、并發(fā)請(qǐng)求多的情況下,很可能成為整個(gè)網(wǎng)絡(luò)的瓶頸,影響性能。而當(dāng)防火墻溢出的時(shí)候,整個(gè)防線就如同虛設(shè),原本被禁止的連接也能從容通過了。另一種方法是利用IP地址來建立虛擬通道(VPN)。VPN即虛擬專用網(wǎng),是通過一 個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的 安全、穩(wěn)定的隧道。但是VPN有以下幾個(gè)缺點(diǎn)1. VPN主要應(yīng)用在鏈路層,在鏈路層中,目前 還沒有統(tǒng)一的加密標(biāo)準(zhǔn),因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的,需要特 別的加密硬件,對(duì)硬件要求很高。2. VPN是將所有的數(shù)據(jù)封包都加密,我們無法使用任何方 式來監(jiān)控這類的行為。3. VPN只能保護(hù)主機(jī)端對(duì)端的訪問。而且如果一旦該虛擬通道中也 有帶病毒的數(shù)據(jù)和信息,這些帶有病毒的數(shù)據(jù)和信息也全部被接受。
發(fā)明內(nèi)容
本發(fā)明主要解決的技術(shù)問題是提供一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法及其裝 置,防止工業(yè)互聯(lián)網(wǎng)內(nèi)部受到外部不良程序的攻擊,使得工業(yè)互聯(lián)網(wǎng)的安全性得到保障。為了解決上述技術(shù)問題,本發(fā)明提供了一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法,包 含以下步驟預(yù)先設(shè)置允許訪問所述工業(yè)互聯(lián)網(wǎng)的白名單,該白名單至少包括允許通過的客戶 端的信息,以及允許的服務(wù);收到來自客戶端服務(wù)請(qǐng)求后,根據(jù)所述白名單對(duì)所請(qǐng)求的服務(wù)進(jìn)行驗(yàn)證,如果所 請(qǐng)求的服務(wù)包含在所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求;在所述服務(wù)請(qǐng)求通過服務(wù)驗(yàn)證后,對(duì)該服務(wù)請(qǐng)求進(jìn)行身份驗(yàn)證,如果請(qǐng)求所述服 務(wù)的客戶端包含在所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),所述白名單中包含的允許通過的客戶端的信息為客戶端的公 鑰;所述客戶端發(fā)送的服務(wù)請(qǐng)求中包含使用該客戶端私鑰加密的信息,所述進(jìn)行身份 驗(yàn)證的步驟中,使用所述白名單中的客戶端公鑰對(duì)所述服務(wù)請(qǐng)求中包含的信息進(jìn)行解密, 如果正確解密,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),所述白名單中包含的允許通過的客戶端信息為客戶端IP地址;所述進(jìn)行身份驗(yàn)證的步驟中,如果請(qǐng)求所述服務(wù)的客戶端的IP地址包含在所述 白名單內(nèi),則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),在對(duì)所述服務(wù)請(qǐng)求進(jìn)行驗(yàn)證的步驟之前,還可以包含以下步 驟對(duì)所述服務(wù)請(qǐng)求進(jìn)行路由檢測,如果未通過路由檢測,則拒絕所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),該方法中,在網(wǎng)絡(luò)層對(duì)所述請(qǐng)求的服務(wù)進(jìn)行驗(yàn)證;在應(yīng)用層對(duì)請(qǐng) 求所述服務(wù)的客戶端進(jìn)行身份驗(yàn)證。本發(fā)明還提供了一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御裝置,包含存儲(chǔ)模塊,用于存儲(chǔ)預(yù)先設(shè)置的允許訪問所述工業(yè)互聯(lián)網(wǎng)的白名單,該白名單至 少包括允許通過的客戶端的信息,以及允許的服務(wù);服務(wù)驗(yàn)證模塊,用于在收到來自客戶端服務(wù)請(qǐng)求后,根據(jù)所述白名單對(duì)所請(qǐng)求的 服務(wù)進(jìn)行驗(yàn)證,如果所請(qǐng)求的服務(wù)包含在所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則, 拒絕所述服務(wù)請(qǐng)求;
身份驗(yàn)證模塊,用于在所述服務(wù)請(qǐng)求通過服務(wù)驗(yàn)證后,對(duì)該服務(wù)請(qǐng)求進(jìn)行身份驗(yàn) 證,如果請(qǐng)求所述服務(wù)的客戶端包含在所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒 絕所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),所述白名單中包含的允許通過的客戶端的信息為客戶端的公 鑰;所述客戶端發(fā)送的服務(wù)請(qǐng)求中包含使用該客戶端私鑰加密的信息,所述身份驗(yàn)證 模塊使用所述白名單中的客戶端公鑰對(duì)所述服務(wù)請(qǐng)求中包含的信息進(jìn)行解密,如果正確解 密,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),所述白名單中包含的允許通過的客戶端信息為客戶端IP地址;所述身份驗(yàn)證模塊對(duì)請(qǐng)求所述服務(wù)的客戶端的IP地址進(jìn)行判斷,如果所述客戶 端的IP地址包含在所述白名單內(nèi),則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),該裝置還可以包含路由檢測模塊,用于在所述服務(wù)驗(yàn)證模塊對(duì) 所述服務(wù)請(qǐng)求進(jìn)行驗(yàn)證之前,對(duì)所述服務(wù)請(qǐng)求進(jìn)行路由檢測,如果未通過路由檢測,則拒絕 所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),所述服務(wù)驗(yàn)證模塊在網(wǎng)絡(luò)層對(duì)所述請(qǐng)求的服務(wù)進(jìn)行驗(yàn)證;所述 身份驗(yàn)證模塊在應(yīng)用層對(duì)請(qǐng)求所述服務(wù)的客戶端進(jìn)行身份驗(yàn)證。本發(fā)明實(shí)施方式與現(xiàn)有技術(shù)相比,主要區(qū)別及其效果在于本發(fā)明采取了 “白名 單”的檢查方法,即僅當(dāng)服務(wù)請(qǐng)求中請(qǐng)求的服務(wù)及發(fā)送請(qǐng)求的客戶端與白名單中一致時(shí),才 放行;如果不一致,則拒絕。相對(duì)于采取1對(duì)N檢查的“黑名單”方式,這種檢測方式不需要 包含大量有害信息特征碼的數(shù)據(jù)庫,也就不需要不斷升級(jí)數(shù)據(jù)庫,檢測時(shí)間大大縮短,對(duì)于 軟硬件要求也很低,降低了用戶的成本。并且,由于工業(yè)互聯(lián)網(wǎng)和萬維互聯(lián)網(wǎng)不同,工業(yè)互 聯(lián)網(wǎng)所面對(duì)的客戶群是有限且固定的,所提供的服務(wù)也是有限且固定的,需要使用的是有 具體應(yīng)用的數(shù)據(jù)和信息,對(duì)于不相關(guān)的數(shù)據(jù)和信息請(qǐng)求都可以拒絕,十分適用該“白名單” 檢查方式,通過該白名單方式能夠有效防止工業(yè)互聯(lián)網(wǎng)內(nèi)部受到外部不良程序的攻擊,使 得工業(yè)互聯(lián)網(wǎng)的安全性得到保障。
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明。圖1是本發(fā)明第一實(shí)施方式的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法流程圖;圖2是本發(fā)明第二實(shí)施方式的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法流程圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明的實(shí)施 方式作進(jìn)一步地詳細(xì)描述。本發(fā)明第一實(shí)施方式涉及一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法,在工業(yè)互聯(lián)網(wǎng)的 安全網(wǎng)關(guān)中預(yù)先設(shè)置一個(gè)白名單,在白名單中包括允許訪問本工業(yè)互聯(lián)網(wǎng)的客戶端公鑰, 以及允許的服務(wù)。根據(jù)該白名單實(shí)現(xiàn)入侵檢測和防御。這里的工業(yè)互聯(lián)網(wǎng)可以包括企業(yè)內(nèi) 部網(wǎng)絡(luò),如供電系統(tǒng)、石油系統(tǒng)的內(nèi)部網(wǎng)絡(luò)等等。具體方法如圖1所示在步驟101中,客戶端向工業(yè)互聯(lián)網(wǎng)安全網(wǎng)關(guān)發(fā)送一個(gè)服務(wù)請(qǐng)求,該服務(wù)請(qǐng)求中包含使用該客戶端私鑰加密的信息??梢酝ㄟ^萬維互聯(lián)網(wǎng)anternet),或者通過工業(yè)互聯(lián) 網(wǎng)內(nèi)部向該安全網(wǎng)關(guān)發(fā)送服務(wù)請(qǐng)求。在步驟102中,安全網(wǎng)關(guān)中網(wǎng)絡(luò)層的路由模塊對(duì)該服務(wù)請(qǐng)求進(jìn)行路由檢測,如果 通過,則進(jìn)入步驟103,否則,進(jìn)入步驟106,拒絕該服務(wù)請(qǐng)求。在步驟103中,安全網(wǎng)關(guān)中網(wǎng)絡(luò)層的防火墻模塊根據(jù)該白名單對(duì)客戶端請(qǐng)求的服 務(wù)進(jìn)行驗(yàn)證,如果所請(qǐng)求的服務(wù)包含在白名單中,則允許該服務(wù)請(qǐng)求通過,進(jìn)入步驟104,否 則,進(jìn)入步驟106,拒絕該服務(wù)請(qǐng)求。在步驟104中,安全網(wǎng)關(guān)中應(yīng)用層的入侵檢測和防御模塊對(duì)該服務(wù)請(qǐng)求進(jìn)行身份 驗(yàn)證,使用該白名單中的客戶端公鑰對(duì)該服務(wù)請(qǐng)求中包含的信息進(jìn)行解密,如果正確解密, 則進(jìn)入步驟105,允所該服務(wù)請(qǐng)求通過,否則,進(jìn)入步驟106,拒絕該服務(wù)請(qǐng)求。本實(shí)施方式采取了“白名單”的檢查方法,即僅當(dāng)服務(wù)請(qǐng)求中請(qǐng)求的服務(wù)及發(fā)送請(qǐng) 求的客戶端與白名單中一致時(shí),才放行;如果不一致,則拒絕。相對(duì)于采取1對(duì)N檢查的“黑 名單”方式,這種檢測方式不需要包含有大量有害信息特征碼的數(shù)據(jù)庫,也就不需要不斷升 級(jí)數(shù)據(jù)庫,檢測時(shí)間大大縮短,對(duì)于軟硬件要求也很低,降低了用戶的成本。并且,由于工業(yè) 互聯(lián)網(wǎng)和萬維互聯(lián)網(wǎng)不同,工業(yè)互聯(lián)網(wǎng)所面對(duì)的客戶群是有限且固定的,所提供的服務(wù)也 是有限且固定的,需要使用的是有具體應(yīng)用的數(shù)據(jù)和信息,對(duì)于不相關(guān)的數(shù)據(jù)和信息請(qǐng)求 都可以拒絕,十分適用該“白名單”檢查方式,通過該白名單方式能夠有效防止工業(yè)互聯(lián)網(wǎng) 內(nèi)部受到外部不良程序的攻擊,使得工業(yè)互聯(lián)網(wǎng)內(nèi)部的安全性得到保障。本發(fā)明第二實(shí)施方式同樣涉及一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法,與第一實(shí)施 方式的區(qū)別在于,第一實(shí)施方式中設(shè)置的白名單包括允許訪問本工業(yè)互聯(lián)網(wǎng)的客戶端的公 鑰,以及允許訪問的服務(wù);客戶端發(fā)送服務(wù)請(qǐng)求時(shí),需要包含使用該客戶端私鑰加密的信 息,在對(duì)客戶端進(jìn)行身份驗(yàn)證時(shí),使用該白名單中的客戶端公鑰對(duì)該服務(wù)請(qǐng)求中包含的信 息進(jìn)行解密,如果正確解密,則允許該服務(wù)請(qǐng)求通過,否則,拒絕該服務(wù)請(qǐng)求。而在本實(shí)施方 式中,預(yù)先設(shè)置的白名單包括允許訪問本工業(yè)互聯(lián)網(wǎng)的客戶端的IP地址,以及允許訪問的 服務(wù),通過該IP地址對(duì)客戶端的身份進(jìn)行驗(yàn)證。具體如圖2所示在步驟201中,客戶端向工業(yè)互聯(lián)網(wǎng)安全網(wǎng)關(guān)發(fā)送一個(gè)服務(wù)請(qǐng)求。在步驟202中,安全網(wǎng)關(guān)中網(wǎng)絡(luò)層的路由模塊對(duì)該服務(wù)請(qǐng)求進(jìn)行路由檢測,如果 通過,則進(jìn)入步驟203,否則,進(jìn)入步驟206,拒絕該服務(wù)請(qǐng)求。在步驟203中,安全網(wǎng)關(guān)中網(wǎng)絡(luò)層的防火墻根據(jù)該白名單對(duì)客戶端請(qǐng)求的服務(wù)進(jìn) 行驗(yàn)證,如果所請(qǐng)求的服務(wù)包含在白名單中,則允許該服務(wù)請(qǐng)求通過,進(jìn)入步驟204,否則, 進(jìn)入步驟206,拒絕該服務(wù)請(qǐng)求。在步驟204中,安全網(wǎng)關(guān)中應(yīng)用層的入侵檢測和防御模塊對(duì)該服務(wù)請(qǐng)求進(jìn)行身份 驗(yàn)證,如果請(qǐng)求該服務(wù)的客戶端的IP地址包含在該白名單內(nèi),則進(jìn)入步驟205,允許該服務(wù) 請(qǐng)求通過,否則,進(jìn)入步驟206,拒絕該服務(wù)請(qǐng)求。本實(shí)施方式的重點(diǎn)在于采取了“白名單”的檢查方法,相對(duì)于采取1對(duì)N檢查的“黑 名單”方式,這種檢測方式不需要包含有大量有害信息特征碼的數(shù)據(jù)庫,也就不需要不斷升 級(jí)數(shù)據(jù)庫,檢測時(shí)間大大縮短,對(duì)于軟硬件要求也很低,降低了用戶的成本。并且,由于工業(yè) 互聯(lián)網(wǎng)和萬維互聯(lián)網(wǎng)不同,工業(yè)互聯(lián)網(wǎng)所面對(duì)的客戶群是有限且固定的,所提供的服務(wù)也 是有限且固定的,需要使用的是有具體應(yīng)用的數(shù)據(jù)和信息,對(duì)于不相關(guān)的數(shù)據(jù)和信息請(qǐng)求都可以拒絕,十分適用該“白名單”檢查方式,通過該白名單方式能夠有效防止工業(yè)互聯(lián)網(wǎng) 內(nèi)部受到外部不良程序的攻擊,使得工業(yè)互聯(lián)網(wǎng)內(nèi)部的安全性得到保障。本發(fā)明第三實(shí)施方式涉及一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御裝置,包含存儲(chǔ)模塊,用于存儲(chǔ)預(yù)先設(shè)置的允許訪問所述工業(yè)互聯(lián)網(wǎng)的白名單,該白名單至 少包括允許通過的客戶端的信息,以及允許的服務(wù);服務(wù)驗(yàn)證模塊,用于在收到來自客戶端 服務(wù)請(qǐng)求后,根據(jù)所述白名單對(duì)所請(qǐng)求的服務(wù)進(jìn)行驗(yàn)證,如果所請(qǐng)求的服務(wù)包含在所述白 名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求;身份驗(yàn)證模塊,用于在所述服 務(wù)請(qǐng)求通過服務(wù)驗(yàn)證后,對(duì)該服務(wù)請(qǐng)求進(jìn)行身份驗(yàn)證,如果請(qǐng)求所述服務(wù)的客戶端包含在 所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。服務(wù)驗(yàn)證模塊和身份驗(yàn)證模塊可以通過很多方式進(jìn)行服務(wù)及客戶端身份的驗(yàn)證。如所述白名單中包含的允許通過的客戶端的信息可以為客戶端的公鑰;所述客戶 端發(fā)送的服務(wù)請(qǐng)求中包含使用該客戶端私鑰加密的信息,所述身份驗(yàn)證模塊使用所述白名 單中的客戶端公鑰對(duì)所述服務(wù)請(qǐng)求中包含的信息進(jìn)行解密,如果正確解密,則允許所述服 務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求?;蛘?,所述白名單中包含的允許通過的客戶端信息為客戶端IP地址;所述身份驗(yàn) 證模塊對(duì)請(qǐng)求所述服務(wù)的客戶端的IP地址進(jìn)行判斷,如果所述客戶端的IP地址包含在所 述白名單內(nèi),則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。作為進(jìn)一步改進(jìn),該裝置還可以包含路由檢測模塊,用于在所述服務(wù)驗(yàn)證模塊對(duì) 所述服務(wù)請(qǐng)求進(jìn)行驗(yàn)證之前,對(duì)所述服務(wù)請(qǐng)求進(jìn)行路由檢測,如果未通過路由檢測,則拒絕 所述服務(wù)請(qǐng)求。在本實(shí)施方式中,所述服務(wù)驗(yàn)證模塊可以在網(wǎng)絡(luò)層對(duì)所述請(qǐng)求的服務(wù)進(jìn)行驗(yàn)證; 所述身份驗(yàn)證模塊可以在應(yīng)用層對(duì)請(qǐng)求所述服務(wù)的客戶端進(jìn)行身份驗(yàn)證。雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施方式,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述,但 本領(lǐng)域的普通技術(shù)人員應(yīng)該明白,可以在形式上和細(xì)節(jié)上對(duì)其作各種改變,而不偏離本發(fā) 明的精神和范圍。如在該“白名單”檢查方式中,可以使用不同的服務(wù)驗(yàn)證方法及身份驗(yàn)證 方法。
權(quán)利要求
1.一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法,其特征在于,包含以下步驟預(yù)先設(shè)置允許訪問所述工業(yè)互聯(lián)網(wǎng)的白名單,該白名單至少包括允許通過的客戶端的 信息,以及允許的服務(wù);收到來自客戶端服務(wù)請(qǐng)求后,根據(jù)所述白名單對(duì)所請(qǐng)求的服務(wù)進(jìn)行驗(yàn)證,如果所請(qǐng)求 的服務(wù)包含在所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求;在所述服務(wù)請(qǐng)求通過服務(wù)驗(yàn)證后,對(duì)該服務(wù)請(qǐng)求進(jìn)行身份驗(yàn)證,如果請(qǐng)求所述服務(wù)的 客戶端包含在所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。
2.根據(jù)權(quán)利要求1所述的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法,其特征在于,所述白名單 中包含的允許通過的客戶端的信息為客戶端的公鑰;所述客戶端發(fā)送的服務(wù)請(qǐng)求中包含使用該客戶端私鑰加密的信息,所述對(duì)進(jìn)行身份驗(yàn) 證的步驟中,使用所述白名單中的客戶端公鑰對(duì)所述服務(wù)請(qǐng)求中包含的信息進(jìn)行解密,如 果正確解密,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。
3.根據(jù)權(quán)利要求1所述的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法,其特征在于,所述白名單 中包含的允許通過的客戶端信息為客戶端IP地址;所述進(jìn)行身份驗(yàn)證的步驟中,如果請(qǐng)求所述服務(wù)的客戶端的IP地址包含在所述白名 單內(nèi),則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。
4.根據(jù)權(quán)利要求2或3所述的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法,其特征在于,在對(duì)所述 服務(wù)請(qǐng)求進(jìn)行驗(yàn)證的步驟之前,還包含以下步驟對(duì)所述服務(wù)請(qǐng)求進(jìn)行路由檢測,如果未通過路由檢測,則拒絕所述服務(wù)請(qǐng)求。
5.根據(jù)權(quán)利要求2或3所述的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法,其特征在于,在網(wǎng)絡(luò)層對(duì)所述請(qǐng)求的服務(wù)進(jìn)行驗(yàn)證;在應(yīng)用層對(duì)請(qǐng)求所述服務(wù)的客戶端進(jìn)行身份驗(yàn)證。
6.一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御裝置,其特征在于,包含存儲(chǔ)模塊,用于存儲(chǔ)預(yù)先設(shè)置的允許訪問所述工業(yè)互聯(lián)網(wǎng)的白名單,該白名單至少包 括允許通過的客戶端的信息,以及允許的服務(wù);服務(wù)驗(yàn)證模塊,用于在收到來自客戶端服務(wù)請(qǐng)求后,根據(jù)所述白名單對(duì)所請(qǐng)求的服務(wù) 進(jìn)行驗(yàn)證,如果所請(qǐng)求的服務(wù)包含在所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕 所述服務(wù)請(qǐng)求;身份驗(yàn)證模塊,用于在所述服務(wù)請(qǐng)求通過服務(wù)驗(yàn)證后,對(duì)該服務(wù)請(qǐng)求進(jìn)行身份驗(yàn)證,如 果請(qǐng)求所述服務(wù)的客戶端包含在所述白名單中,則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述 服務(wù)請(qǐng)求。
7.根據(jù)權(quán)利要求6所述的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御裝置,其特征在于,所述白名單 中包含的允許通過的客戶端的信息為客戶端的公鑰;所述客戶端發(fā)送的服務(wù)請(qǐng)求中包含使用該客戶端私鑰加密的信息,所述身份驗(yàn)證模塊 使用所述白名單中的客戶端公鑰對(duì)所述服務(wù)請(qǐng)求中包含的信息進(jìn)行解密,如果正確解密, 則允所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。
8.根據(jù)權(quán)利要求6所述的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御裝置,其特征在于,所述白名單 中包含的允許通過的客戶端信息為客戶端IP地址;所述身份驗(yàn)證模塊對(duì)請(qǐng)求所述服務(wù)的客戶端的IP地址進(jìn)行判斷,如果所述客戶端的IP地址包含在所述白名單內(nèi),則允許所述服務(wù)請(qǐng)求通過,否則,拒絕所述服務(wù)請(qǐng)求。
9.根據(jù)權(quán)利要求7或8所述的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御裝置,其特征在于,該裝置還 包含路由檢測模塊,用于在所述服務(wù)驗(yàn)證模塊對(duì)所述服務(wù)請(qǐng)求進(jìn)行驗(yàn)證之前,對(duì)所述服務(wù) 請(qǐng)求進(jìn)行路由檢測,如果未通過路由檢測,則拒絕所述服務(wù)請(qǐng)求。
10.根據(jù)權(quán)利要求7或8所述的工業(yè)互聯(lián)網(wǎng)入侵檢測和防御裝置,其特征在于, 所述服務(wù)驗(yàn)證模塊在網(wǎng)絡(luò)層對(duì)所述請(qǐng)求的服務(wù)進(jìn)行驗(yàn)證;所述身份驗(yàn)證模塊在應(yīng)用層對(duì)請(qǐng)求所述服務(wù)的客戶端進(jìn)行身份驗(yàn)證。
全文摘要
本發(fā)明公開了一種工業(yè)互聯(lián)網(wǎng)入侵檢測和防御方法及其裝置,本發(fā)明采取了“白名單”的檢查方法,即僅當(dāng)服務(wù)請(qǐng)求中請(qǐng)求的服務(wù)及發(fā)送請(qǐng)求的客戶端與白名單中一致時(shí),才放行;如果不一致,則拒絕。相對(duì)于采取1對(duì)N檢查的“黑名單”方式,這種檢測方式不需要包含有大量有害信息特征碼的數(shù)據(jù)庫,也就不需要不斷升級(jí)數(shù)據(jù)庫,檢測時(shí)間大大縮短,對(duì)于軟硬件要求也很低,降低了用戶的成本。并且,由于工業(yè)互聯(lián)網(wǎng)和萬維互聯(lián)網(wǎng)不同,工業(yè)互聯(lián)網(wǎng)所面對(duì)的客戶群是有限且固定的,所提供的服務(wù)也是有限且固定的,需要使用的是有具體應(yīng)用的數(shù)據(jù)和信息,對(duì)于不相關(guān)的數(shù)據(jù)和信息請(qǐng)求都可以拒絕,十分適用該“白名單”檢查方式,通過該白名單方式能夠有效防止工業(yè)互聯(lián)網(wǎng)內(nèi)部受到外部不良程序的攻擊,使得工業(yè)互聯(lián)網(wǎng)內(nèi)部的安全性得到保障。
文檔編號(hào)H04L29/06GK102045310SQ20091020167
公開日2011年5月4日 申請(qǐng)日期2009年10月14日 優(yōu)先權(quán)日2009年10月14日
發(fā)明者梁俊, 王磊 申請(qǐng)人:上??婶斚到y(tǒng)軟件有限公司