專利名稱:一種加強(qiáng)網(wǎng)絡(luò)安全的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種加強(qiáng)網(wǎng)絡(luò)安全的方法和裝置�。
背景技術(shù):
常用的如工業(yè)無線網(wǎng)絡(luò)的無線設(shè)備之間通過無線技術(shù)進(jìn)行鏈接,用戶可 以經(jīng)過無線網(wǎng)絡(luò)方便地訪問工業(yè)網(wǎng)絡(luò)中的任何設(shè)備����,請參見
圖1所示,圖1 為工業(yè)無線網(wǎng)絡(luò)的控制系統(tǒng)結(jié)構(gòu)示意框圖�����,工業(yè)無線網(wǎng)絡(luò)通常包括監(jiān)控層網(wǎng)
絡(luò)和現(xiàn)場控制層網(wǎng)絡(luò)���,其中,所屬監(jiān)控層網(wǎng)絡(luò)通常包括工程師站101���、 4喿作員 站102��、監(jiān)控站103���、無線網(wǎng)絡(luò)安全管理服務(wù)器104,其中���,所述無線網(wǎng)絡(luò)安 全管理服務(wù)器104用于維護(hù)和管理整個工業(yè)無線網(wǎng)絡(luò)的設(shè)備的接入安全;所 述現(xiàn)場控制層網(wǎng)絡(luò)通常包括智能網(wǎng)橋105�����、無線路由設(shè)備106���、以及與所述無 線路由設(shè)備相連的普通無線設(shè)備107和無線手持設(shè)備108等����。
然而��,目前����,由于在現(xiàn)有的工業(yè)無線網(wǎng)絡(luò)中監(jiān)控層網(wǎng)絡(luò)通常對的現(xiàn)場控 制層網(wǎng)絡(luò)中接入的無線設(shè)備沒有有效的安全驗證手段,因此����,非法用戶可以 經(jīng)過無線網(wǎng)絡(luò)接入惡意設(shè)備,例如攔截一臺變速器的數(shù)據(jù)�,對采樣或控制數(shù) 據(jù)數(shù)據(jù)進(jìn)行篡改���,并將篡改后的數(shù)據(jù)發(fā)送到執(zhí)行器中,從而導(dǎo)致工業(yè)無線網(wǎng) 絡(luò)中的監(jiān)控層網(wǎng)絡(luò)的整個系統(tǒng)處于危險情況�。或者還可以在工業(yè)無線網(wǎng)絡(luò)的 監(jiān)控網(wǎng)絡(luò)中���,將一臺移動PC (計算機(jī))或者無線手持設(shè)備108偽裝成一臺工 程師站101或者操作員站102�,以惡意修改現(xiàn)場控制層網(wǎng)絡(luò)中的設(shè)備的組態(tài)信 息�����,從而導(dǎo)致控制系統(tǒng)處于混亂狀態(tài)�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種加強(qiáng)網(wǎng)絡(luò)安全的方法和裝置�����,能夠及時地阻 值非法設(shè)備的接入����,以提高無線網(wǎng)絡(luò)的接入安全��。
本發(fā)明提供了一種加強(qiáng)網(wǎng)絡(luò)安全的方法,包括
當(dāng)有新的無線設(shè)備接入網(wǎng)絡(luò)時�,網(wǎng)絡(luò)側(cè)判斷新設(shè)備的授權(quán)號是否與已建
立連接的無線設(shè)備的授權(quán)號重號,若重號��,則拒絕所述新設(shè)備的接入���;否則�,
則等待接收所述新設(shè)備的報文���。
優(yōu)選地��,當(dāng)判斷得到所述新設(shè)備的授權(quán)號與已建立連接的無線設(shè)備重號
時�����,所述方法還包4舌
所述網(wǎng)絡(luò)側(cè)修改所述修改被重號的無線設(shè)備的授權(quán)號����。 優(yōu)選地�,所述方法還包括
所述網(wǎng)絡(luò)側(cè)將修改后的所述被重號的無線設(shè)備的授權(quán)號通過修改報文通 知給所述被重號的無線設(shè)備,以及與該設(shè)備連接的路由設(shè)備��,要求更改成修 改后的授權(quán)號。
優(yōu)選地���,在執(zhí)行所述判斷之前所述方法還包括
在無線設(shè)備建立連接的過程中��,網(wǎng)絡(luò)側(cè)向所述無線設(shè)備發(fā)送授權(quán)號探測 請求報文����;
當(dāng)收到所述無線設(shè)備返回的授權(quán)號探測響應(yīng)報文后�,所述網(wǎng)絡(luò)側(cè)判斷該 響應(yīng)報文中的授權(quán)號是否是允許接入的授權(quán)號,若是�,則執(zhí)行所述判斷步驟。
優(yōu)選地�����,在收到所述無線設(shè)備返回的授權(quán)號探測響應(yīng)報文之前還包括
所述網(wǎng)絡(luò)側(cè)判斷是否在預(yù)置的最大響應(yīng)時間內(nèi)收到所述無線設(shè)備返回的 授權(quán)號探測響應(yīng)報文�,若是,則執(zhí)行所述判斷該響應(yīng)報文中的授權(quán)號是否是 允許接入的授權(quán)號步驟��,否則�,拒絕所述無線設(shè)^^接入。
優(yōu)選地���,當(dāng)收到所述新設(shè)備的報文后,所述方法還包括
所述網(wǎng)絡(luò)側(cè)按照與所述新設(shè)備所在的現(xiàn)場控制層網(wǎng)絡(luò)預(yù)先設(shè)置的解密方 式對收到的報文進(jìn)行解密�;
再將解密后得到的報文按照與所述網(wǎng)絡(luò)側(cè)的監(jiān)控層網(wǎng)絡(luò)預(yù)先設(shè)置的加密 方式進(jìn)行加密��,并在加密后發(fā)送至所述監(jiān)控層網(wǎng)絡(luò)���。
優(yōu)選地,在網(wǎng)絡(luò)側(cè)的設(shè)備中預(yù)先保存有現(xiàn)場控制層網(wǎng)絡(luò)設(shè)備和監(jiān)控層網(wǎng) 絡(luò)設(shè)備的地址列表�����;
當(dāng)收到所述新設(shè)備的報文后�����,所述方法還包括
判斷收到
設(shè)備和監(jiān)控層網(wǎng)絡(luò)設(shè)備的地址列表中���,若是����,則轉(zhuǎn)發(fā)該報文�����;否則�,丟棄該 報文。
優(yōu)選地,在網(wǎng)絡(luò)側(cè)的每個監(jiān)控層設(shè)備中都預(yù)先設(shè)置有訪問權(quán)限����;
當(dāng)收到所述監(jiān)控層設(shè)備發(fā)往現(xiàn)場控制層設(shè)備的訪問請求報文時,所述方 法還包括
判斷發(fā)送所述訪問請求報文的監(jiān)控層設(shè)備是否具有該次訪問操作的權(quán) 限����,若是,則向所述現(xiàn)場控制層設(shè)備轉(zhuǎn)發(fā)所述訪問請求報文��;否則���,拒絕轉(zhuǎn) 發(fā)所述訪問請求報文��。
基于上述技術(shù)方案����,本發(fā)明還公開了一種用于加強(qiáng)網(wǎng)絡(luò)安全的裝置���,包
括
列表單元���,用于保存已經(jīng)與網(wǎng)絡(luò)建立連接的所有無線設(shè)備的授權(quán)號;
判斷處理單元�����,用于當(dāng)有新的無線設(shè)備接入網(wǎng)絡(luò)時���,判斷新設(shè)備的授權(quán) 號是否與所述列表單元中保存的授權(quán)號重號���,若重號,則拒絕所述新設(shè)備的 接入�����;否則����,則等待接收所述新設(shè)備的報文。
優(yōu)選地����,所述裝置還包括
修改單元,用于當(dāng)所述判斷處理單元判斷得到所述新設(shè)備的授權(quán)號與已 建立連接的無線設(shè)備重號時����,修改所述已建立連接中被重號的無線設(shè)備的授 權(quán)號;
發(fā)送單元,用于將所述修改單元中修改得到的新的授權(quán)號通過修改報文 通知給所述被重號的無線設(shè)備���,以及與該設(shè)備連接的路由設(shè)備��。
與現(xiàn)有技術(shù)相比�����,本發(fā)明具有以下優(yōu)點
本發(fā)明在當(dāng)有新的無線設(shè)備接入網(wǎng)絡(luò)時�,能夠在接入前判斷該新設(shè)備的 授權(quán)號是否與已建立連接的其他無線設(shè)備的授權(quán)號重號�,從而檢驗該新設(shè)備 是否為非法設(shè)備,通過本發(fā)明能夠防止非法設(shè)備接入網(wǎng)絡(luò)���,進(jìn)一步增強(qiáng)網(wǎng)絡(luò)
的安全性���。 附困說明
圖1為現(xiàn)有技術(shù)中工業(yè)無線網(wǎng)絡(luò)的控制系統(tǒng)結(jié)構(gòu)示意框圖; 圖2為本發(fā)明實施例無線設(shè)備建立連接的方法流程示意框圖����; 圖3為本發(fā)明監(jiān)測非法設(shè)備入侵的方法流程示意框圖; 圖4為本發(fā)明智能網(wǎng)橋安全過濾的方法實施例的流程框圖���; 圖5為本發(fā)明訪問權(quán)限驗證方法實施例的流程示意圖����; 圖6為本發(fā)明一種裝置實施例的結(jié)構(gòu)框圖; 圖7為本發(fā)明另一種裝置實施例的結(jié)構(gòu)框圖��。
具體實施例方式
本發(fā)明實施例公開的 一種加強(qiáng)網(wǎng)絡(luò)安全的方法�����,具體可從設(shè)備與無線網(wǎng) 絡(luò)建立連接時開始檢測�����,當(dāng)建立好連接后���,還可以繼續(xù)對已經(jīng)接入的設(shè)備進(jìn) 一步斥全驗是否有非法設(shè)備加入,同時�����,還可以通過在無線網(wǎng)絡(luò)中對傳輸?shù)臄?shù) 據(jù)進(jìn)行加密來進(jìn)一步提高網(wǎng)絡(luò)的安全性�����,以及對設(shè)備的訪問權(quán)限的監(jiān)控等方 式來綜合實現(xiàn)網(wǎng)絡(luò)接入的安全性���,從而避免網(wǎng)絡(luò)被非法設(shè)備破壞���。
下面結(jié)合附圖對本發(fā)明的各種監(jiān)控實施方式做進(jìn)一步的詳細(xì)闡述�����。
本發(fā)明公開的一種無線設(shè)備建立連接的方法實施例����,該實施例預(yù)先在網(wǎng) 絡(luò)側(cè)的路由設(shè)備上維護(hù) 一份允許接入的授權(quán)號列表����,該表中保存有允許接入 無線網(wǎng)絡(luò)的所有設(shè)備的授權(quán)號;同時�����,對于合法的無線設(shè)備都設(shè)置有一個允 許接入無線網(wǎng)絡(luò)的授權(quán)號���,用于在有新設(shè)備接入網(wǎng)絡(luò)時���,能夠根據(jù)該列表檢 查接入的設(shè)備是否為非法接入。如圖2所示��,為本發(fā)明實施例無線設(shè)備建立 連接的方法流程示意框圖��,所述方法包括
S201:當(dāng)網(wǎng)絡(luò)側(cè)的路由設(shè)備檢測到有無線設(shè)備試圖與所述路由設(shè)備建立 無線連接時,所述路由設(shè)備向所述無線設(shè)備發(fā)出授權(quán)號探測請求報文����。
S202:所述無線設(shè)備在收到所述請求報文后,將自身的授權(quán)號攜帶在授
權(quán)號探測響應(yīng)報文中���,發(fā)送給所述無線路由設(shè)備�����。
S203:所述無線路由設(shè)備在收到所述無線設(shè)備發(fā)來的授權(quán)號探測響應(yīng)報 文后,判斷所述響應(yīng)報文中的授權(quán)號是否存在于自身存儲的允許接入的授權(quán) 號列表中����,若存在,則執(zhí)行S204;否則���,執(zhí)行S205���。
其中,所述路由設(shè)備上保存的允許接入的授權(quán)號列表可以為該路由設(shè)備 所在網(wǎng)絡(luò)的管理服務(wù)器分配得到��,該列表中的所有無線設(shè)備的授權(quán)號都為所 述管理服務(wù)器設(shè)置����。
S204:所述無線路由設(shè)備判斷得到該無線設(shè)備為合法設(shè)備���,此時,所述 無線路由設(shè)備將所述無線設(shè)備的授權(quán)號加入到已建立連接的設(shè)備列表中���,同 時將轉(zhuǎn)發(fā)所述無線設(shè)備的所有報文����。
S205:判斷得到該無線設(shè)備為非法設(shè)備�����,此時���,可拒絕轉(zhuǎn)發(fā)該無線設(shè)備 的所有報文�。
此外����,在上述S202和S203中,還可以包括所述無線路由設(shè)備在發(fā)出 所述授權(quán)號探測請求才艮文后��,啟動計時器,對響應(yīng)時間進(jìn)行計時��;同時所述 無線路由設(shè)備判斷在最大的響應(yīng)時間內(nèi)�,是否收到了所述無線設(shè)備返回的所 述授權(quán)號探測響應(yīng)報文,如果收到�����,則繼續(xù)執(zhí)行所述S203;否則�����,則執(zhí)行所 述S205��。
與此同時���,本發(fā)明實施例公開的一種監(jiān)測非法設(shè)備入侵的方法,該實施 例預(yù)先在網(wǎng)絡(luò)側(cè)的管理服務(wù)器上動態(tài)維護(hù) 一份允許接入所述網(wǎng)絡(luò)的所有設(shè)備 的授權(quán)號列表���。其中���,所述管理服務(wù)器可以是無線網(wǎng)絡(luò)安全管理服務(wù)器。在 與所述無線網(wǎng)絡(luò)安全管理服務(wù)器相連的無線路由設(shè)備上動態(tài)維護(hù)著一份已建 立連接的設(shè)備列表�,該列表中保存著所有已經(jīng)通過所述路由設(shè)備接入到所述 無線網(wǎng)絡(luò)的無線設(shè)備的授權(quán)號。本實施例能夠通過檢查所述已建立連接的設(shè) 備列表中是否有重名來判斷新接入的設(shè)備是否為非法接入。如圖3所示��,為 本發(fā)明監(jiān)測非法設(shè)備入侵的方法流程示意框圖���,所述方法可在上述圖2所示 的實施例的基礎(chǔ)上����,包括
S301:當(dāng)網(wǎng)絡(luò)中有新設(shè)備通過路由設(shè)備接入到無線網(wǎng)絡(luò)后�����,并且在所述路由設(shè)備將所述新設(shè)備的授權(quán)號記錄在自身保存的已建立連接的設(shè)備列表中 后��,所述路由設(shè)備將包含有所述新設(shè)備授權(quán)號的所述已建立連接的設(shè)備列表 發(fā)送給所述管理服務(wù)器�。其中,所述管理服務(wù)器可以為無線網(wǎng)絡(luò)的安全管理 服務(wù)器���。
S302:所述管理服務(wù)器判斷所述已建立連接的設(shè)備列表中所述新設(shè)備的 授權(quán)號是否與自身存儲的已接入設(shè)備的授權(quán)號相同����。即���,判斷網(wǎng)絡(luò)中是否存 在授權(quán)號相同的兩個設(shè)備同時接入到該網(wǎng)絡(luò)中���。若相同�,則執(zhí)行S303;否貝寸�, 執(zhí)行S306。
S303:所述管理服務(wù)器判斷得到所述新設(shè)備為非法設(shè)備�,此時,則通知
S304:所述管理服務(wù)器修改被重號的合法設(shè)備的授權(quán)號��,并將修改后的 新的授權(quán)號記錄在自身保存的允許接入的授權(quán)號列表中����,同時,向所述路由 設(shè)備和所述被重號的設(shè)備發(fā)送修改報文�,以告知更換授權(quán)號。
S305:所述路由設(shè)備在收到所述S304中發(fā)送的修改報文中�,將所述修改 報文中指定的要更換的授權(quán)號記錄在自身保存的允許接入的授權(quán)號列表中, 替換原來的授權(quán)號��。同時�����,所述被重號的設(shè)備在收到所述修改報文后���,將自 身的授權(quán)號修改為該報文中指定的,然后,所述設(shè)備與所述無線路由設(shè)備重 新建立連接��。
S306:所述管理服務(wù)器判斷得到所述新設(shè)備為和合法設(shè)備�����,此時����,可繼 續(xù)等待接收所述新設(shè)備發(fā)送的報文。
此外��,在上述實施例中的S301中���,所述路由設(shè)備除了將包含有所述新設(shè) 備授權(quán)號的整個已建立連接的設(shè)備列表發(fā)送給所述管理服務(wù)器�,以供后續(xù)檢 驗外����,還可以只將所述新設(shè)備的授權(quán)號告訴所述管理服務(wù)器,這樣��,每當(dāng)有 新設(shè)備請求接入網(wǎng)絡(luò)后��,路由設(shè)備允許接入后����,可將新接入的設(shè)備通知給所 述管理服務(wù)器���,所述管理服務(wù)器每次判斷新設(shè)備授權(quán)號是否與原來保存的已 有設(shè)備授權(quán)號重復(fù)。
此外����,還可以每當(dāng)網(wǎng)絡(luò)中的設(shè)備連接發(fā)生變化時,例如當(dāng)設(shè)備斷開連接
時�����,所述無線路由設(shè)備也可以向所述無線網(wǎng)絡(luò)安全管理服務(wù)器發(fā)送所述已接 入網(wǎng)絡(luò)的所有設(shè)備的授權(quán)號列表�����。 .
此外�����,所述S303中�����,所述管理服務(wù)器除了判斷列表中新接入的設(shè)備授權(quán) 號外����,還可以判斷整個網(wǎng)絡(luò)中所有已經(jīng)接入網(wǎng)絡(luò)的設(shè)備的授權(quán)號是否重號, 如果重�,則將后接入的重號設(shè)備刪除。同時需要在S302中���,所述無線路由設(shè) 備也無需每次當(dāng)有設(shè)備連接或斷開時�,都要向所述管理服務(wù)器上發(fā)送已接入 網(wǎng)絡(luò)的設(shè)備授權(quán)號列表����,可以周期地發(fā)送。
此外���,當(dāng)網(wǎng)絡(luò)中有設(shè)備斷開連接時�����,該網(wǎng)絡(luò)中的路由設(shè)備也可以將自身 保存的已建立連接的設(shè)備列表發(fā)送給管理服務(wù)器�����;或者���,所述管理服務(wù)器還 可定期檢查網(wǎng)絡(luò)中的設(shè)備是否存在重復(fù)授權(quán)��,例如�,要求路由設(shè)備定期向所 述管理服務(wù)器發(fā)送已建立連接的所有設(shè)備的授權(quán)號列表�����。
此外�����,在上述圖2和圖3所示實施例的基礎(chǔ)上�,在無線設(shè)備與網(wǎng)絡(luò)建立 了連接后,為了進(jìn)一步增前無線網(wǎng)絡(luò)的安全���,還可以對無線設(shè)備與網(wǎng)絡(luò)側(cè)之 間通信的報文進(jìn)行加密��,例如��,如果在網(wǎng)絡(luò)側(cè)是通過智能網(wǎng)橋來連接管理服 務(wù)器和路由設(shè)備與無線設(shè)備的情況下��,其中����,所述路由設(shè)備和無線設(shè)備位于 現(xiàn)場控制層網(wǎng)絡(luò)�,而管理服務(wù)器位于監(jiān)控層網(wǎng)絡(luò)��。則所述無線設(shè)備向網(wǎng)絡(luò)側(cè) 發(fā)送的報文可以按照預(yù)先設(shè)置的加密方式進(jìn)行加密����,所述智能網(wǎng)橋當(dāng)監(jiān)聽到 現(xiàn)場控制層網(wǎng)絡(luò)的報文后�����,按照與現(xiàn)場控制層網(wǎng)絡(luò)預(yù)先約定的解密方式�,對 收到的報文進(jìn)行解密���,然后��,再按照與監(jiān)控層網(wǎng)絡(luò)約定的加密方式����,對已經(jīng) 解密的報文重新加密����,然后,將加密后的報文發(fā)送至位于監(jiān)控曾網(wǎng)絡(luò)中的管 理服務(wù)器�。其中,所述解密可以為異或解密算法���,所述加密可以為異或加密 算法����。
此外,在上述幾個實施例的基礎(chǔ)上�,在網(wǎng)絡(luò)側(cè)智能網(wǎng)橋還可以對收到的 報文在轉(zhuǎn)發(fā)前進(jìn)行驗證,以進(jìn)一步加強(qiáng)網(wǎng)絡(luò)的安全過濾����。如圖4所示����,為本 發(fā)明智能網(wǎng)橋安全過濾的方法實施例的流程框圖�,該方法包括
S401:在智能網(wǎng)橋上預(yù)先保存有現(xiàn)場控制層網(wǎng)絡(luò)中的所有無線設(shè)備的地 址列表�����,以及監(jiān)控層網(wǎng)絡(luò)中的例如管理服務(wù)器等設(shè)備的地址列表�。其中�����,所 述列表信息可以由網(wǎng)絡(luò)側(cè)的管理服務(wù)器向所述智能網(wǎng)橋?qū)懭氡4妗?br>
是
S402:所述智能網(wǎng)絡(luò)接收無線網(wǎng)絡(luò)報文���。其中,所述無線網(wǎng)絡(luò)報文可以 由現(xiàn)場控制層網(wǎng)絡(luò)發(fā)往監(jiān)控層網(wǎng)絡(luò)的報文�����,還可以是從監(jiān)控層網(wǎng)絡(luò)發(fā)往現(xiàn) 場控制層網(wǎng)絡(luò)的報文�����。
S403:所述智能網(wǎng)絡(luò)判斷所述凈艮文中的源地址和目標(biāo)地址是否分別存在 于自身保存的無線設(shè)備地址列表和監(jiān)控層設(shè)備的地址列表中�,若是,則轉(zhuǎn)發(fā) 該報文�����;否則��,丟棄該報文,并向網(wǎng)絡(luò)側(cè)的管理服務(wù)器報告出錯情況��。
需要說明的是,上述實施例并不僅限于由智能網(wǎng)橋來實現(xiàn)���,還可以由處 于監(jiān)控層網(wǎng)絡(luò)和現(xiàn)場控制層網(wǎng)絡(luò)中的其他具有轉(zhuǎn)發(fā)報文的設(shè)備實現(xiàn)��。此外���, 上述圖4所示實施例中��,是直接將現(xiàn)場控制層網(wǎng)絡(luò)中的設(shè)備地址和監(jiān)控層網(wǎng) 絡(luò)中的設(shè)備地址保存在智能網(wǎng)橋中,在驗證時��,直接判斷報文中的地址是否 存在于所述兩個地址列表中�。此外���,還可以分別對每層網(wǎng)絡(luò)中的設(shè)備設(shè)置兩 份地址列表�,其中一份針對轉(zhuǎn)入該層的情況�����,此時的列表為目的地址列表�; 另一份針對轉(zhuǎn)出該層的情況,此時的列表為源地址列表�����。這樣�����,在驗證報文
地址列表和監(jiān)控層設(shè)備地址列表的組合��,即現(xiàn)場控制層中無線設(shè)備的源地址 和監(jiān)控層設(shè)備的目的地址組合,或者監(jiān)控層設(shè)備的源地址和現(xiàn)場控制層中無 線設(shè)備的目的地址的組合����。這樣細(xì)化判斷的好處是進(jìn)一步增強(qiáng)了無線網(wǎng)絡(luò) 的安全性�。
此外�,在上述幾個實施例的基礎(chǔ)上�,本發(fā)明還可以對網(wǎng)絡(luò)側(cè)的監(jiān)控層網(wǎng) 絡(luò)中的設(shè)備設(shè)置訪問權(quán)限,以便對由所述監(jiān)控層設(shè)備發(fā)往現(xiàn)場控制層設(shè)備的 所有報文進(jìn)行權(quán)限驗證���,從而進(jìn)一步增加了網(wǎng)絡(luò)訪問的安全性����。如圖5所示, 為本發(fā)明訪問;K限-驗^〖正方法實施例的流程示意圖�����,該方法包括
S501:在網(wǎng)絡(luò)側(cè)的監(jiān)控層網(wǎng)絡(luò)中的每個設(shè)備上都預(yù)先設(shè)置訪問權(quán)限。其 中,可由網(wǎng)絡(luò)側(cè)的管理服務(wù)器設(shè)置該權(quán)限�。
S502:所述管理服務(wù)器攔截由所述監(jiān)控層設(shè)備發(fā)往現(xiàn)場控制層設(shè)備的訪 問請求報文�����。
S503:所述管理服務(wù)器判斷發(fā)送所述訪問請求報文的監(jiān)控層設(shè)備是否具 有該次訪問操作的權(quán)限���,若是,則執(zhí)行S504;否則���,則執(zhí)行S505���。
S504:向所述現(xiàn)場控制層設(shè)備轉(zhuǎn)發(fā)所述訪問請求報文。
S505:放棄轉(zhuǎn)發(fā)所述訪問請求報文���,并向所述監(jiān)控層設(shè)備返回有關(guān)該請 求的響應(yīng)報文���,以告知所述監(jiān)控層設(shè)備未取得訪問權(quán)限。
基于上述技術(shù)方案�,本發(fā)明還公開了一種用于加強(qiáng)網(wǎng)絡(luò)安全的裝置,所 述裝置可集成在網(wǎng)絡(luò)側(cè)的無線網(wǎng)絡(luò)安全管理服務(wù)器上�����。如圖6所示,所述裝 置包括列表單元601�、判斷處理單元602;其中�,所述列表單元601,用于 保存已經(jīng)與網(wǎng)絡(luò)建立連接的所有無線設(shè)備的授權(quán)號;所述判斷處理單元602, 用于當(dāng)有新的無線設(shè)備接入網(wǎng)絡(luò)時���,判斷新設(shè)備的授權(quán)號是否與所述列表單 元601中保存的授權(quán)號重號����,若重號����,則拒絕所述新設(shè)備的接入;否則���,則 等待接收所述新設(shè)備的報文���。
基于圖6所示裝置實施例的技術(shù)方案,本發(fā)明還公開了一種裝置實施例��, 如圖7所示��,為本發(fā)明另一種裝置實施例的結(jié)構(gòu)框圖�����,該裝置除了包括圖6 所示單元外,還包括修改單元701����、發(fā)送單元702,其中,所述修改單元701��, 用于當(dāng)所述判斷處理單元602判斷得到所述新設(shè)備的授權(quán)號與已建立連接的 無線設(shè)備重號時��,修改所述已建立連接中被重號的無線設(shè)備的授權(quán)號�;所述 發(fā)送單元702,用于將所述修改單元701中修改得到的新的授權(quán)號通過修改報 文通知給所述被重號的無線設(shè)備����,以及與該設(shè)備連接的路由設(shè)備。
以上所描述的裝置實施例僅僅是示意性的���,其中所述作為分離部件說明 的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或 者也可以不是物理單元,即可以位于一個地方�,或者也可以分布到多個網(wǎng)絡(luò) 單元上?����?梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例 方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性的勞動的情況下�����,即可以 理解并實施���。
通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)���,當(dāng)然也可以通過硬件��, 但很多情況下前者是更佳的實施方式���。基于這樣的理解�,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來, 該計算機(jī)軟件產(chǎn)品可以存儲在存儲介質(zhì)中����,如ROM/RAM、磁碟�、光盤等�,
包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)����,服務(wù)器,或者
以上所述的本發(fā)明實施方式�����,并不構(gòu)成對本發(fā)明保護(hù)范圍的限定��。任何 在本發(fā)明的精神和原則之內(nèi)所作的修改��、等同替換和改進(jìn)等�,均應(yīng)包含在本 發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1���、一種加強(qiáng)網(wǎng)絡(luò)安全的方法�,其特征在于��,包括當(dāng)有新的無線設(shè)備接入網(wǎng)絡(luò)時�,網(wǎng)絡(luò)側(cè)判斷新設(shè)備的授權(quán)號是否與已建立連接的無線設(shè)備的授權(quán)號重號,若重號�,則拒絕所述新設(shè)備的接入;否則��,則等待接收所述新設(shè)備的報文。
2����、 如權(quán)利要求1所述的加強(qiáng)網(wǎng)絡(luò)安全的方法,其特征在于�,當(dāng)判斷得到 所述新設(shè)備的授權(quán)號與已建立連接的無線設(shè)備重號時,還包括所述網(wǎng)絡(luò)側(cè)修改被重號的無線設(shè)備的授權(quán)號���。
3、 如權(quán)利要求2所述的加強(qiáng)網(wǎng)絡(luò)安全的方法�����,其特征在于���,還包括所述網(wǎng)絡(luò)側(cè)將修改后的所述被重號的無線設(shè)備的授權(quán)號通過修改報文通 知給所述被重號的無線設(shè)備��,以及與該設(shè)備連接的路由設(shè)備����,要求更改成修 改后的授權(quán)號��。
4��、 如權(quán)利要求1所述的加強(qiáng)網(wǎng)絡(luò)安全的方法,其特征在于���,在執(zhí)行所述 判斷之前還包括在無線設(shè)備建立連接的過程中��,網(wǎng)絡(luò)側(cè)向所述無線設(shè)備發(fā)送授權(quán)號探測 請求報文���;當(dāng)收到所述無線設(shè)備返回的授權(quán)號探測響應(yīng)報文后,所述網(wǎng)絡(luò)側(cè)判斷該 響應(yīng)報文中的授權(quán)號是否是允許接入的授權(quán)號����,若是,則執(zhí)行所述判斷步驟�。
5、 如權(quán)利要求4所述的加強(qiáng)網(wǎng)絡(luò)安全的方法�����,其特征在于���,在收到所述 無線設(shè)備返回的授權(quán)號探測響應(yīng)報文之前還包括所述網(wǎng)絡(luò)側(cè)判斷是否在預(yù)置的最大響應(yīng)時間內(nèi)收到所述無線設(shè)備返回的 授權(quán)號探測響應(yīng)報文����,若是��,則執(zhí)行所述判斷該響應(yīng)報文中的授權(quán)號是否是 允許接入的授權(quán)號步驟,否則����,拒絕所述無線設(shè)備接入。
6��、 如權(quán)利要求1所述的加強(qiáng)網(wǎng)絡(luò)安全的方法�,其特征在于,當(dāng)收到所述 新設(shè)備的報文后��,所述方法還包括所述網(wǎng)絡(luò)側(cè)按照與所述新設(shè)備所在的現(xiàn)場控制層網(wǎng)絡(luò)預(yù)先設(shè)置的解密方 式對收到的報文進(jìn)行解密���; 再將解密后得到的報文按照與所述網(wǎng)絡(luò)側(cè)的監(jiān)控層網(wǎng)絡(luò)預(yù)先設(shè)置的加密 方式進(jìn)行加密,并在加密后發(fā)送_至所述監(jiān)控層網(wǎng)絡(luò)�。
7、 如權(quán)利要求1所述的加強(qiáng)網(wǎng)絡(luò)安全的方法����,其特征在于,在網(wǎng)絡(luò)側(cè)的設(shè)備中預(yù)先保存有現(xiàn)場控制層網(wǎng)絡(luò)設(shè)備和監(jiān)控層網(wǎng)絡(luò)設(shè)備的地址列表�; 當(dāng)收到所述新設(shè)備的報文后,所述方法還包括設(shè)備和監(jiān)控層網(wǎng)絡(luò)設(shè)備的地址列表中�����,若是,則轉(zhuǎn)發(fā)該報文�����;否則�,丟棄該 報文。
8��、 如權(quán)利要求1所述的加強(qiáng)網(wǎng)絡(luò)安全的方法�,其特征在于,在網(wǎng)絡(luò)側(cè)的 每個監(jiān)控層設(shè)備中都預(yù)先設(shè)置有訪問權(quán)限����;當(dāng)收到所述監(jiān)控層設(shè)備發(fā)往現(xiàn)場控制層設(shè)備的訪問請求報文時,所述方 法還包括判斷發(fā)送所述訪問請求報文的監(jiān)控層設(shè)備是否具有該次訪問操作的權(quán) 限����,若是,則向所述現(xiàn)場控制層設(shè)備轉(zhuǎn)發(fā)所述訪問請求報文�;否則,拒絕轉(zhuǎn) 發(fā)所述訪問請求報文�。
9、 一種用于加強(qiáng)網(wǎng)絡(luò)安全的裝置���,其特征在于�,包括列表單元,用于保存已經(jīng)與網(wǎng)絡(luò)建立連接的所有無線設(shè)備的授權(quán)號�;判斷處理單元,用于當(dāng)有新的無線設(shè)備接入網(wǎng)絡(luò)時�,判斷新設(shè)備的授權(quán) 號是否與所述列表單元中保存的授權(quán)號重號,若重號��,則拒絕所述新設(shè)備的 接入�;否則,則等待接收所述新設(shè)備的報文��。
10��、 如權(quán)利要求9所述的用于加強(qiáng)網(wǎng)絡(luò)安全的裝置���,其特征在于��,所述 裝置還包括修改單元,用于當(dāng)所述判斷處理單元判斷得到所述新設(shè)備的授權(quán)號與已 建立連接的無線設(shè)備重號時����,修改所述已建立連接中被重號的無線設(shè)備的授 權(quán)號;發(fā)送單元���,用于將所述修改單元中修改得到的新的授權(quán)號通過修改報文 通知給所述被重號的無線設(shè)備����,以及與該設(shè)備連接的路由設(shè)備。
11�����、如權(quán)利要求9或IO所述的用于加強(qiáng)網(wǎng)絡(luò)安全的裝置���,其特征在于����, 所述裝置集成在網(wǎng)絡(luò)側(cè)的無線網(wǎng)絡(luò)安全管理服務(wù)器上�。
全文摘要
本發(fā)明公開了一種加強(qiáng)網(wǎng)絡(luò)安全的方法,包括當(dāng)有新的無線設(shè)備接入網(wǎng)絡(luò)時�����,網(wǎng)絡(luò)側(cè)判斷新設(shè)備的授權(quán)號是否與已建立連接的無線設(shè)備的授權(quán)號重號�����,若重號�����,則拒絕所述新設(shè)備的接入;否則�����,則等待接收所述新設(shè)備的報文�。與此同時,本發(fā)明還公開了一種用于加強(qiáng)網(wǎng)絡(luò)安全的裝置���,本發(fā)明能夠在新設(shè)備接入網(wǎng)絡(luò)時��,通過判斷新設(shè)備的授權(quán)號是否與已經(jīng)接入的其他設(shè)備的授權(quán)號重號�,進(jìn)而驗證該新設(shè)備是否為合法設(shè)備�,通過本發(fā)明能夠防止非法設(shè)備接入網(wǎng)絡(luò),進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性�����。
文檔編號H04L12/26GK101170461SQ200710195238
公開日2008年4月30日 申請日期2007年12月4日 優(yōu)先權(quán)日2007年12月4日
發(fā)明者馮冬芹, 健 褚, 金建祥, 陳高翔 申請人:中控科技集團(tuán)有限公司;浙江大學(xué)