| 发明名称 | 针对IEC60870-5-104协议的安全防护方法及系统 | ||
| 摘要 | 本发明提供一种针对IEC60870-5-104协议的安全防护方法,包括:对外部访问请求进行TCP/IP层协议解析,根据第一预设白名单确定所述外部访问请求的TCP/IP层合法性;对所述外部访问请求进行组包,检测所述外部访问请求组成的帧的完整性;确定所述外部访问请求的帧类型;当所述外部访问请求为S格式帧或U格式帧时,允许所述外部访问请求根据TCP/IP协议组包并转发至内部通讯端口;当所述外部访问请求为I格式帧时,根据第二预设白名单确定所述外部访问请求的应用层合法性。本发明还提供了相应的安全防护系统。本发明在TCP/IP层和应用层进行了多级安全防护,可以有效地抵御针对采用该协议的工控设备或系统的各种攻击,有效地避免了现有技术中不具备安全防范机制导致的安全风险。 | ||
| 申请公布号 | CN105577705A | 申请公布日期 | 2016.05.11 |
| 申请号 | CN201610166403.2 | 申请日期 | 2016.03.22 |
| 申请人 | 英赛克科技(北京)有限公司 | 发明人 | 陈惠欣 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京商专永信知识产权代理事务所(普通合伙) 11400 | 代理人 | 方挺;时寅 |
| 主权项 | 一种针对IEC60870‑5‑104协议的安全防护方法,包括:对接收到的外部访问请求进行TCP/IP层协议解析,根据第一预设白名单确定所述外部访问请求的TCP/IP层合法性;若合法,对所述外部访问请求进行组包,检测所述外部访问请求组成的帧的完整性;若帧完整,确定所述外部访问请求的帧类型,所述帧类型包括I格式帧、S格式帧和U格式帧;当所述外部访问请求为S格式帧或U格式帧时,允许所述外部访问请求根据TCP/IP协议组包并转发至内部通讯端口;当所述外部访问请求为I格式帧时,根据第二预设白名单确定所述外部访问请求的应用层合法性,若合法,则允许所述外部访问请求根据TCP/IP协议组包并转发至内部通讯端口;否则阻断所述外部访问请求的TCP/IP连接。 | ||
| 地址 | 100085 北京市海淀区上地信息产业基地开拓路7号1幢二层2201室 | ||