一种非入侵式指令安全防护方法、装置、介质及设备制造方法及图纸

本发明专利技术公开了一种非入侵式指令安全防护方法、装置、介质及设备，应用于集控服务器和场站接口机；所述集控服务器包括：应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由；所述场站接口机包括：应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由。优点：通过内核代理与应用代理的协同作用，内核代理修改数据包的特征信息，内核代理强制将数据包导流至应用层代理进行指令的商密算法保护，从而在业务系统不进行任何修改的情况下实现控制指令的安全保护；使业务系统不需要进行额外的改造即可实现指令内生安全防护；不影响原有业务系统程序正常运行；降低业务系统商用密码改造的难度。密码改造的难度。密码改造的难度。

【技术实现步骤摘要】
一种非入侵式指令安全防护方法、装置、介质及设备


[0001]本专利技术涉及一种非入侵式指令安全防护方法、装置、介质及设备，属于信息安全


技术介绍

[0002]随着新能源发电企业加大新能源场站的投资力度及建设规模。广阔的地域使新能源场站在运行维护管理上，极其不便，面临着种种的困难。新能源发电企业通过不断的筹建电场群远程集中监控中心，在满足电力系统稳定等安全约束条件下，实现了电场及升压站“无人值班、少人值守”的压力，实现了远程集中监视控制、科学调度和管理、远程维护，实现全网络化信息交换，以适应各新能源场站减员增效的发展需要，保障了利益的最大化。
[0003]电场群远程集中监控中心(简称“集控中心”)与风场之间是星状网络结构，集控中心与各风电场之间使用运营商专线进行网络通信。根据GB/T 36572
‑
2018《电力监控系统网络安全防护导则》要求，集控中心与风场之间的边界网络使用电力系统专用纵向加密认证装置(简称“纵向加密装置”)解决网络边界安全及数据的网络层安全性传输，但在集控中心服务器与集控纵向加密装置之间、场站接口机与场站纵向加密装置之间为明文传输。集控中心到风电场之间的控制指令，发起方为集控服务器，接收方为场站接口机，通常采用TCP协议进行数据传输。
[0004]常规技术采用对服务器、接口机的业务系统进行改造的方法，业务系统源码层面通过调用第三方(如加密卡、软件密码模块或服务器密码机等)密码服务接口，在指令封装时进行加密、签名保护，进而发送到对端业务系统。
[0005]在安全封装原始控制指令的过程中存在以下问题：1）改造技术要求高。业务系统的开发人员，往往只对业务处理流程、业务逻辑比较熟悉，而缺少密码方面的知识储备。有些业务系统的开发人员甚至没有听说过商用密码算法，更别提什么时候调用、如何调用第三方的商用密码算法的服务器接口。
[0006]2）改造难度大。很大一部分业务系统的程序调用第三方功能插件实现指令封装等核心功能的，但业务系统开发者无法获取到第三方功能插件的源码，也就无法在指令封装过程中嵌入密码算法实施指令保护工作。
[0007]3）改造周期长。业务系统商用密码技术改造要求高，加上业务系统改造难度大，导致了改造周期长的问题。
[0008]4）影响原程序的正常运行。现有改动破坏了原有程序的稳定运行，新增的密码接口调用存在不停的测试、调试、试运行的才能使程序状态稳定的情况。
[0009]综上所述，如何在业务系统不改造的情况下无感实现指令数据的加密、签名及安全封装是当前亟待解决的问题。

技术实现思路

[0010]本专利技术所要解决的技术问题是克服现有技术的缺陷，提供一种非入侵式指令安全
防护方法、装置、介质及设备，能够对指令进行保护以提高指令传输的安全性。
[0011]为解决上述技术问题，本专利技术提供一种非入侵式指令安全防护方法，其特征在于，应用于集控服务器和场站接口机；所述集控服务器包括：应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由；所述场站接口机包括：应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由；所述方法包括：获取应用层客户端准备的原始控制指令数据报文，发送给第一内核层路由，并由第一内核层路由转发；控制第一内层核代理截获原始控制指令数据报文，利用第一内核层代理对原始控制指令数据报文中的目的地址及TCP选项字段进行修改，构造新的控制指令数据报文，并提交应用层客户端代理处理；通过应用层客户端代理调用第三方密码服务接口对新的控制指令数据报文使用商用密码算法进行保护操作，得到安全指令数据报文；通过应用层客户端代理将安全指令数据报文的目的地设置为场站接口机的应用服务端代理，将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层路由；通过第三内核层路由将安全指令数据报文转发至应用层服务端代理；通过应用层服务端代理调用第三方密码服务接口对安全指令数据报文使用商用密码算法进行解保护操作，得到解码控制指令数据报文；通过应用层服务端代理将所述解码控制指令数据报文交由第二内核代理处理，将所述解码控制指令数据报文还原为原始控制指令数据报文；通过第四内核层路由将并原始控制指令数据报文传输至应用层服务端处理。
[0012]进一步的，所述构造新的控制指令数据报文，包括：步骤11，判断所述原始控制指令数据报文是否满足预设条件，所述预设条件为所述原始控制指令数据报文为IPV4报文且是TCP报文；若不满足预设条件，则执行步骤14；若满足预设条件，则执行步骤12；所述原始控制指令数据报文包括源地址、源端口、目的地址、目的端口和TCP载荷；步骤12，判断所述原始控制指令数据报文对应的目的端口是否为应用层服务端的端口且目的IP地址不为127.0.0.1，若否，则执行步骤14，若是，则执行步骤13；步骤13，新增254类型TCP选项字段，在254类型TCP选项字段中记录原始控制指令数据报文的源地址、源端口、目的地址、目的端口，所述原始控制指令数据报文的源地址为集控服务器的IP地址，所述原始控制指令数据报文的源端口为应用层客户端的端口，所述原始控制指令数据报文的目的地址为场站接口机的IP地址，所述原始控制指令数据报文的目的端口为应用层服务端的端口；记录后，将新增254类型TCP选项字段后的控制指令数据报文的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口；根据新增254类型TCP选项字段更改TCP首部长度，根据修改后的目的端口及TCP首部长度计算TCP首部校验和，根据修改后的目的地址计算IP头校验和，根据TCP首部校验和、IP头校验和以及TCP载荷构造新的控制指令数据报文；步骤14，直接放行原始控制指令数据报文。
[0013]进一步的，在所述还原为原始控制指令数据报文之前，包括：
根据解码控制指令数据报文构造新的数据报文，包括：将解码控制指令数据报文中的源地址、源端口、目的地址、目的端口分别修改为场站接口机的IP地址、应用层客户端的端口、127.0.0.1、应用层服务端的端口，得到新的数据报文。
[0014]进一步的，所述还原为原始控制指令数据报文，包括：步骤21，判断所述新的数据报文是否满足预设条件，所述预设条件为所述新的数据报文为IPV4报文且是TCP报文；若不满足预设条件，则执行步骤24；若满足预设条件，则执行步骤22；步骤22，判断所述新的数据报文对应的目的端口是否为应用层服务端的端口且目的IP为127.0.0.1，若否，则执行步骤24，若是则执行步骤23；步骤23，记录254类型TCP选项字段中的源地址，并删除254类型TCP选项字段，修改TCP首部长度；修改源地址为集控服务器的IP地址；根据修改后的TCP首部长度计算TCP首部校验和，根据修改后的目的IP地址计算IP头校验和，得到还原后的原始控制指令数据报文；步骤24，直接放行原始控制指令数据报文。
[0015]进一步的，所述保护操作为加密、签名或哈希中的一种或者多种的保护操作；所述解保护操本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种非入侵式指令安全防护方法，其特征在于，应用于集控服务器和场站接口机；所述集控服务器包括：应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由；所述场站接口机包括：应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由；所述方法包括：获取应用层客户端准备的原始控制指令数据报文，发送给第一内核层路由，并由第一内核层路由转发；控制第一内层核代理截获原始控制指令数据报文，利用第一内核层代理对原始控制指令数据报文中的目的地址及TCP选项字段进行修改，构造新的控制指令数据报文，并提交应用层客户端代理处理；通过应用层客户端代理调用第三方密码服务接口对新的控制指令数据报文使用商用密码算法进行保护操作，得到安全指令数据报文；通过应用层客户端代理将安全指令数据报文的目的地设置为场站接口机的应用服务端代理，将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层路由；通过第三内核层路由将安全指令数据报文转发至应用层服务端代理；通过应用层服务端代理调用第三方密码服务接口对安全指令数据报文使用商用密码算法进行解保护操作，得到解码控制指令数据报文；通过应用层服务端代理将所述解码控制指令数据报文交由第二内核代理处理，将所述解码控制指令数据报文还原为原始控制指令数据报文；通过第四内核层路由将并原始控制指令数据报文传输至应用层服务端处理。2.根据权利要求1所述的非入侵式指令安全防护方法，其特征在于，所述构造新的控制指令数据报文，包括：步骤11，判断所述原始控制指令数据报文是否满足预设条件，所述预设条件为所述原始控制指令数据报文为IPV4报文且是TCP报文；若不满足预设条件，则执行步骤14；若满足预设条件，则执行步骤12；所述原始控制指令数据报文包括源地址、源端口、目的地址、目的端口和TCP载荷；步骤12，判断所述原始控制指令数据报文对应的目的端口是否为应用层服务端的端口且目的IP地址不为127.0.0.1，若否，则执行步骤14，若是，则执行步骤13；步骤13，新增254类型TCP选项字段，在254类型TCP选项字段中记录原始控制指令数据报文的源地址、源端口、目的地址、目的端口，所述原始控制指令数据报文的源地址为集控服务器的IP地址，所述原始控制指令数据报文的源端口为应用层客户端的端口，所述原始控制指令数据报文的目的地址为场站接口机的IP地址，所述原始控制指令数据报文的目的端口为应用层服务端的端口；记录后，将新增254类型TCP选项字段后的控制指令数据报文的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口；根据新增254类型TCP选项字段更改TCP首部长度，根据修改后的目的端口及TCP首部长度计算TCP首部校验和，根据修改后的目的地址计算IP头校验和，根据TCP首部校验和、IP头校验和以及TCP载荷构造新的控制指令数据报文；步骤14，直接放行原始控制指令数据报文。3.根据权利要求1所述的非入侵式指令安全防护方法，其特征在于，在所述还原为原始
控制指令数据报文之前，包括：根据解码控制指令数据报文构造新的数据报文，包括：将解码控制指令数据报文中的源地址、源端口、目的地址、目的端口分别修改为场站接口机的IP地址、应用层客户端的端口、127.0.0.1、应用层服务端的端口，得到新的数据报文。4.根据权利要求3所述的非入侵式指令安全防护方法，其特征在于，所述还原为原始控制指令数据报文，包括：步骤21，判断所述新的数据报文是否满足预设条件，所述预设条件为所述新的数据报文为IPV4报文且是TCP报文；若不满足预设条件，则执行步骤24；若满足预设条件，则执行步骤22；步骤22，判断所述新的数据报文对应的目的端口是否为应用层服务端的端口且目的IP为127.0.0.1，若否，则执行步骤24，若是则执行步骤23；步骤23，记录254类型TCP选项字段中的源地址，并删除254类型TCP选项字段，修改TCP首部长度；修改源地址为集控服务器的IP地址；根据修改后的TCP首部长度计算TCP首部校验和，根据修改后的目的IP地址计算IP头校验和，得到还原后的原始控制指令数据报文；步骤24，直接放行原始控制指令数据报文。5.根据权利要求1所述的非入侵式指令安全防护方法，其特征在于，所述保护操作为加密、签名或哈希中的一种或者多种的保护操作；所述解保护操作为与所述保护操作相对应的解密、验签或哈希中的一种或者多种的解保护操作。6.一种非入侵式指令安全防护装置，其特征在于，应用于集控服务器和场站接口机；所述集控服务器包括：应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由；所述场站接口机包括：应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层...

【专利技术属性】
技术研发人员：张五一，周俊，宗琪，周强，黄明浩，林延廷，江楠，刘雪梅，陈燕峰，兰先登，
申请(专利权)人：成都卫士通信息产业股份有限公司，
类型：发明
国别省市：