本发明专利技术公开了一种安全网关解析功能验证方法、装置、终端设备及存储介质,涉及网关功能验证领域,所述安全网关解析功能验证方法包括:获取验证协议解析的功能信息,所述功能信息包括协议数据单元类型信息和/或参数信息;根据所述功能信息和预建的协议解析功能验证工具,对安全网关的协议解析功能进行多维度验证,得到相应的验证结果。本发明专利技术通过构建解析功能验证工具实现对安全网关的协议解析功能进行验证,提供全面、深入、高效的协议解析功能验证方法,极大提高了对安全网关协议解析功能验证效果。验证效果。验证效果。
【技术实现步骤摘要】
安全网关解析功能验证方法、装置、终端设备及存储介质
[0001]本专利技术涉及网关功能验证领域,尤其涉及一种安全网关解析功能验证方法、装置、终端设备及存储介质。
技术介绍
[0002]当前,工业现场普遍使用工业控制系统监控工厂大量的工业仪器仪表,以实现对工厂的信息化控制。为了实现对工业仪器仪表的监控,双方需要工业协议实现相互通讯。工业协议是工控系统通讯协议,例如:施耐德Modbus协议、西门子S7(S7 Communication,S7)协议、罗克韦尔通用工业协议(Common Industrial Protocol,CIP)等协议。随着对S7协议认识的不断深入,工业现场的西门子PLC的安全也受到重视。因为S7协议和Modbus协议一样,没有防重放功能,所以一旦有人恶意利用这一缺陷在未部署有效安全策略的环境中,将出现工业控制系统服务终止、数据被篡改或丢失等严重后果。为保护工业现场网络安全,工业防火墙、工业审计等工业安全网关类产品(以下简称:安全网关)随之出现。工业安全网关与传统安全网关本质区别在于,工业安全网关需要识别、检测、深度解析与处理更多的工业协议。安全网关中的协议解析功能可以有效识别S7协议并加以处理,使非法控制指令无法访问工业控制设备,从而防止恶意控制的攻击行为。然而,安全网关的S7协议解析功能也并非一劳永逸,一旦该功能失效或者识别不准确,工业控制网络也将存在巨大的安全隐患,甚至将损害工厂利益,危及人身安全。为了减少上述隐患的发生,有必要对安全网关的S7协议深度解析功能的有效性进行验证。
[0003]而目前最常用的验证方式是采用协议模拟器配置客户端
‑
服务器(CLIENT
‑
SERVER)模拟环境的方式进行验证,此方法虽然操作简单,但不是专业的验证工具,而且此方法中的模拟器只支持Job功能的少数二级功能模拟,不支持对S7协议的扩展功能的模拟,支持验证的协议功能较少,验证效率低,验证的广度和深度不足,所以协议验证能力支持较弱。此外,还有一种常用的验证方式是流量回放工具回放S7协议数据流量,此种方式虽然可以验证更多的协议功能,但是对地址域、值域的深度验证严重不足,所以不能有效支持验证安全网关的解析功能。总之,现有技术对安全网关的S7协议解析功能进行验证的效果不能满足需求,换言之,目前尚无技术能支持对安全网关的S7协议解析功能进行全面、深入、高效地有效验证。
技术实现思路
[0004]本专利技术的主要目的在于提供一种安全网关解析功能验证方法、装置、终端设备及存储介质,旨在解决现有技术对安全网关的S7协议解析功能进行验证的效果不能满足需求的技术问题。
[0005]为实现上述目的,本专利技术提供一种安全网关解析功能验证方法,所述安全网关解析功能验证方法包括:获取验证协议解析的功能信息,所述功能信息包括协议数据单元类型信息和/或
参数信息;根据所述功能信息和预建的协议解析功能验证工具,对安全网关的协议解析功能进行多维度验证,得到相应的验证结果。
[0006]可选地,所述根据所述功能信息和预建的协议解析功能验证工具,对安全网关的协议解析功能进行多维度验证,得到相应的验证结果的步骤包括:根据所述功能信息,通过所述预建的协议解析功能验证工具向可编程逻辑控制器发出相应的功能验证信息请求;通过安全网关拦截并解析所述功能验证信息请求,得出相应的请求结果;根据所述请求结果,对安全网关的协议解析功能进行验证,得到相应的验证结果。
[0007]可选地,所述协议数据单元类型信息包括任务功能信息和/或用户数据功能信息,所述任务功能信息包括任务一级功能信息和/或任务二级功能信息,所述用户数据功能信息包括用户数据一级功能信息和/或用户数据二级功能信息,所述预建的协议解析功能工具的验证功能包括任务功能验证、用户数据功能验证和自定义功能验证,所述根据所述功能信息,通过所述预建的协议解析功能验证工具向可编程逻辑控制器发出相应的功能验证信息请求的步骤包括:若所述功能信息为所述任务一级功能信息、所述任务二级功能信息和/或所述参数信息,则通过所述预建的协议解析功能验证工具中的所述任务功能验证向所述可编程逻辑控制器发出相应的功能验证信息请求;若所述功能信息为所述用户数据一级功能信息、所述用户数据二级功能信息和/或所述参数信息,则通过所述预建的协议解析功能验证工具中的所述用户数据功能验证向所述可编程逻辑控制器发出相应的功能验证信息请求;若所述功能信息为所述任务功能信息和/或所述用户数据功能信息,则通过所述预建的协议解析功能验证工具中的所述自定义功能验证向所述可编程逻辑控制器发出相应的功能验证信息请求。
[0008]可选地,所述根据所述请求结果,对安全网关的协议解析功能进行验证,得到相应的验证结果的步骤包括:根据所述请求结果,对安全网关的协议解析功能进行验证;若所述请求结果与所述请求一致,则得到准确的验证结果;若所述请求结果与所述请求不一致,则得到无法解析或者不准确的验证结果。
[0009]可选地,所述获取验证协议解析的功能信息,所述功能信息包括协议数据单元类型信息或参数信息的步骤之前还包括:构建协议通讯仿真环境;在所述协议通讯仿真环境中得到协议解析结果;根据所述协议解析结果,构建所述预建的协议解析功能验证工具。
[0010]可选地,所述在所述协议通讯仿真环境中得到协议解析结果的步骤包括:在所述协议通讯仿真环境中获取S7协议通讯数据;对所述S7协议通讯数据按照不同功能进行解析,得到所述协议解析结果,所述协议解析结果包括不同功能数据。
[0011]可选地,所述根据所述协议解析结果,构建所述预建的协议解析功能验证工具的
步骤包括:根据所述协议解析结果中的所述不同功能数据进行编码,基于浏览器/服务器模式B/S结构,构建所述协议解析功能验证工具。
[0012]此外,为实现上述目的,本专利技术还提供一种安全网关解析功能验证装置,所述安全网关解析功能验证装置包括:获取模块,用于获取验证协议解析的功能信息,所述功能信息包括协议数据单元类型信息和/或参数信息;验证模块,用于根据所述功能信息和预建的协议解析功能验证工具,对安全网关的协议解析功能进行多维度验证,得到相应的验证结果。
[0013]此外,为实现上述目的,本专利技术还提供一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全网关解析功能验证程序,所述安全网关解析功能验证程序被所述处理器执行时实现如上所述的安全网关解析功能验证方法的步骤。
[0014]此外,为实现上述目的,本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有安全网关解析功能验证程序,所述安全网关解析功能验证程序被处理器执行时实现如上所述的安全网关解析功能验证方法的步骤。
[0015]本专利技术实施例提出的一种安全网关解析功能验证方法、装置、终端设备及存储介质,通过获取验证协议解析的功能信息,所述功能信息包括协议数据单元类型信息和/或参数信息;根据所述功能信息和预建的协议解析功能验证工具,对安全网关的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全网关解析功能验证方法,其特征在于,所述安全网关解析功能验证方法包括以下步骤:获取验证协议解析的功能信息,所述功能信息包括协议数据单元类型信息和/或参数信息;根据所述功能信息和预建的协议解析功能验证工具,对安全网关的协议解析功能进行多维度验证,得到相应的验证结果。2.如权利要求1所述的安全网关解析功能验证方法,其特征在于,所述根据所述功能信息和预建的协议解析功能验证工具,对安全网关的协议解析功能进行多维度验证,得到相应的验证结果的步骤包括:根据所述功能信息,通过所述预建的协议解析功能验证工具向可编程逻辑控制器发出相应的功能验证信息请求;通过安全网关拦截并解析所述功能验证信息请求,得出相应的请求结果;根据所述请求结果,对安全网关的协议解析功能进行验证,得到相应的验证结果。3.如权利要求2所述的安全网关解析功能验证方法,其特征在于,所述协议数据单元类型信息包括任务功能信息和/或用户数据功能信息,所述任务功能信息包括任务一级功能信息和/或任务二级功能信息,所述用户数据功能信息包括用户数据一级功能信息和/或用户数据二级功能信息,所述预建的协议解析功能工具的验证功能包括任务功能验证、用户数据功能验证和自定义功能验证,所述根据所述功能信息,通过所述预建的协议解析功能验证工具向可编程逻辑控制器发出相应的功能验证信息请求的步骤包括:若所述功能信息为所述任务一级功能信息、所述任务二级功能信息和/或所述参数信息,则通过所述预建的协议解析功能验证工具中的所述任务功能验证向所述可编程逻辑控制器发出相应的功能验证信息请求;若所述功能信息为所述用户数据一级功能信息、所述用户数据二级功能信息和/或所述参数信息,则通过所述预建的协议解析功能验证工具中的所述用户数据功能验证向所述可编程逻辑控制器发出相应的功能验证信息请求;若所述功能信息为所述任务功能信息和/或所述用户数据功能信息,则通过所述预建的协议解析功能验证工具中的所述自定义功能验证向所述可编程逻辑控制器发出相应的功能验证信息请求。4.如权利要求2所述的安全网关解析功能验证方法,其特征在于,所述根据所述请求结果,对安全网关的协议解析功能进行验证,得...
【专利技术属性】
技术研发人员:杨旭,
申请(专利权)人:北京六方云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。