監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法及裝置制造方法
【專利摘要】監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法及裝置,屬于數(shù)據(jù)安全監(jiān)控【技術(shù)領(lǐng)域】。該方法包括:接收控制主機(jī)發(fā)送的請(qǐng)求命令,將所述請(qǐng)求命令存入第一緩存區(qū);按照預(yù)設(shè)的對(duì)比原則對(duì)第一緩存區(qū)中的所述請(qǐng)求命令的命令代碼進(jìn)行對(duì)比,若對(duì)比一致,則將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行轉(zhuǎn)發(fā),否則,將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行隔離。該方法及裝置可將請(qǐng)求命令按需求進(jìn)行隔離,在保證有權(quán)限的命令可以及時(shí)轉(zhuǎn)發(fā)外,還能夠完全隔離未授權(quán)的命令,提高了監(jiān)控系統(tǒng)的安全性。
【專利說明】監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法及裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法及裝置,屬于數(shù)據(jù)安全監(jiān)控【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002] 現(xiàn)有技術(shù)中對(duì)監(jiān)控系統(tǒng)的數(shù)據(jù)進(jìn)行控制的流程包括:服務(wù)器登陸控制主機(jī),控制 主機(jī)檢查服務(wù)器的權(quán)限,具有權(quán)限后下發(fā)命令給服務(wù)器。但當(dāng)服務(wù)器通過權(quán)限認(rèn)證登陸到 控制主機(jī)后,有人截獲了控制主機(jī)下發(fā)給服務(wù)器的命令,就會(huì)在該控制主機(jī)通信的網(wǎng)絡(luò)中 直接對(duì)監(jiān)控機(jī)下發(fā)惡意指令。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明提供了監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法及裝置,以解決現(xiàn)有監(jiān)控系統(tǒng)中服務(wù)器通 過權(quán)限認(rèn)證登陸到控制主機(jī)后,導(dǎo)致控制主機(jī)下發(fā)的命令易被截獲后進(jìn)行惡意修改的問 題,為此本發(fā)明采用如下的技術(shù)方案:
[0004] 監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法,包括:
[0005] 接收控制主機(jī)發(fā)送的請(qǐng)求命令,將所述請(qǐng)求命令存入第一緩存區(qū);
[0006] 按照預(yù)設(shè)的對(duì)比原則對(duì)第一緩存區(qū)中的所述請(qǐng)求命令的命令代碼進(jìn)行對(duì)比,若對(duì) 比一致,則將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行轉(zhuǎn)發(fā),否則,將第一緩存區(qū)中的所述請(qǐng)求命 令進(jìn)行隔離。
[0007] 監(jiān)控系統(tǒng)的數(shù)據(jù)隔離裝置,包括:
[0008] 第一接收緩存模塊,用于接收控制主機(jī)發(fā)送的請(qǐng)求命令,將接收到的所述請(qǐng)求命 令存入第一緩存區(qū);
[0009] 數(shù)據(jù)處理模塊,用于按照預(yù)設(shè)的對(duì)比原則對(duì)第一緩存區(qū)中的所述請(qǐng)求命令的命令 代碼進(jìn)行對(duì)比,若對(duì)比一致,則將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行轉(zhuǎn)發(fā),否則,將第一緩 存區(qū)中的所述請(qǐng)求命令進(jìn)行隔離。
[0010] 預(yù)設(shè)的對(duì)比區(qū)存儲(chǔ)的對(duì)比原則和用于對(duì)比的可用命令列表通過特定設(shè)備燒寫固 化在硬件中。
[0011] 本發(fā)明實(shí)施方式提供的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法及裝置,可將請(qǐng)求命令按需求進(jìn) 行隔離,在保證有權(quán)限的命令可以及時(shí)轉(zhuǎn)發(fā)外,還能夠完全隔離未授權(quán)的命令,提高了監(jiān)控 系統(tǒng)的安全性。
【專利附圖】
【附圖說明】
[0012] 為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用 的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本 領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他 的附圖。
[0013] 圖1是本發(fā)明所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法的流程示意圖;
[0014] 圖2是本發(fā)明所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離裝置的結(jié)構(gòu)示意圖;
[0015] 圖3是本發(fā)明所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離裝置以RM04-URM04-2和STM32為例進(jìn) 行數(shù)據(jù)傳輸?shù)倪^程如圖3所示;
[0016] 圖4是本發(fā)明所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法中MODBUS TCP/IP在網(wǎng)絡(luò)上進(jìn)行 MODBUS請(qǐng)求或響應(yīng)的封裝示意圖;
[0017] 圖5是本發(fā)明所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離裝置在實(shí)際監(jiān)控系統(tǒng)中應(yīng)用的示意圖。
【具體實(shí)施方式】
[0018] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;?本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0019] 本發(fā)明的【具體實(shí)施方式】提供的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法,如圖1所示,包括:
[0020] 11、接收控制主機(jī)發(fā)送的請(qǐng)求命令,將接收到的所述請(qǐng)求命令存入第一緩存區(qū)。
[0021] 12、按照預(yù)設(shè)的對(duì)比原則對(duì)第一緩存區(qū)中的所述請(qǐng)求命令的命令代碼進(jìn)行對(duì)比, 若對(duì)比一致,則執(zhí)行13 ;否則,執(zhí)行14。
[0022] 13、將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行轉(zhuǎn)發(fā)。
[0023] 14、將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行隔離。
[0024] 進(jìn)一步,上述方法還包括:接收服務(wù)器側(cè)返回的響應(yīng)數(shù)據(jù),將所述響應(yīng)數(shù)據(jù)存入第 二緩存區(qū);將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)與所述請(qǐng)求命令的命令代碼進(jìn)行對(duì)比,若對(duì)比 一致,則將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā),否則,將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù) 進(jìn)行隔離。
[0025] 具體地,所述請(qǐng)求命令和所述響應(yīng)數(shù)據(jù)通過TCP (傳輸控制協(xié)議)/IP (網(wǎng)絡(luò)協(xié)議) 進(jìn)行串口通信。串口是計(jì)算機(jī)上一種非常通用的設(shè)備通信協(xié)議,大多數(shù)計(jì)算機(jī)包含兩個(gè)基 于RS-232的串口,串口同時(shí)也是儀器儀表設(shè)備通用的通信接口,很多GPIB (通用接口總線, General-Purpose Interface Bus)兼容的設(shè)備也帶有RS-232 口,同時(shí),串口通信協(xié)議也可 以用于獲取遠(yuǎn)程采集設(shè)備的數(shù)據(jù)。具體串口是按位(bit)發(fā)送和接收字節(jié),盡管比按字節(jié) (byte)的并行通信慢,但是串口可以在使用一根線發(fā)送數(shù)據(jù)的同時(shí)用另一根線接收數(shù)據(jù)。 串口通信能夠?qū)崿F(xiàn)遠(yuǎn)距離通信,例如IEEE488(并行總線接口標(biāo)準(zhǔn))定義并行通行狀態(tài)時(shí), 規(guī)定設(shè)備線總長不得超過20米,并且任意兩個(gè)設(shè)備間的長度不得超過2米;而對(duì)于串口而 言,長度可達(dá)1200米。
[0026] 本發(fā)明的【具體實(shí)施方式】提供的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離裝置,如圖2所示,包括:
[0027] 第一接收緩存模塊21,用于接收控制主機(jī)發(fā)送的請(qǐng)求命令,將接收到的所述請(qǐng)求 命令存入第一緩存區(qū);
[0028] 數(shù)據(jù)處理模塊22,用于按照預(yù)設(shè)的對(duì)比原則對(duì)第一緩存區(qū)中的所述請(qǐng)求命令的命 令代碼進(jìn)行對(duì)比,若對(duì)比一致,則將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行轉(zhuǎn)發(fā),否則,將第一 緩存區(qū)中的所述請(qǐng)求命令進(jìn)行隔離。
[0029] 進(jìn)一步,作為可選的,上述裝置還包括第二接收緩存模塊,
[0030] 所述第二接收緩存模塊,還用于接收服務(wù)器返回的響應(yīng)數(shù)據(jù),將接收到的所述響 應(yīng)數(shù)據(jù)存入第二緩存區(qū);
[0031] 所述數(shù)據(jù)處理模塊,還用于將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)與第一緩存區(qū)中的所 述請(qǐng)求命令的命令代碼進(jìn)行對(duì)比,若對(duì)比一致,則將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)進(jìn)行轉(zhuǎn) 發(fā),否則,將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)進(jìn)行隔離。
[0032] 具體地,所述第一接收模塊接收到的所述請(qǐng)求命令和所述第二接收緩存模塊接收 到的所述響應(yīng)數(shù)據(jù)通過TCP/IP進(jìn)行串口通信。
[0033] -般情況下,第一接收緩存模塊和第二接收緩存模塊均可通過RM04實(shí)現(xiàn),數(shù)據(jù)處 理模塊可通過STM32實(shí)現(xiàn),以第一接收緩存模塊通過RM04-1實(shí)現(xiàn),第二接收緩存模塊通過 RM04-2實(shí)現(xiàn),數(shù)據(jù)處理模塊通過STM32實(shí)現(xiàn)為例進(jìn)行數(shù)據(jù)傳輸?shù)倪^程如圖3所示。
[0034] 當(dāng)控制主機(jī)發(fā)送請(qǐng)求命令時(shí):控制主機(jī)(客戶端側(cè))通過以太網(wǎng)發(fā)送請(qǐng)求命 令,RM04-1的以太網(wǎng)端口接收控制主機(jī)發(fā)送的請(qǐng)求命令,請(qǐng)求命令的數(shù)據(jù)通過RM04-1的 TXD (RM04串口的發(fā)送端)發(fā)送給STM32的USART1的RX (接收端),數(shù)據(jù)經(jīng)過STM32處理后 通過USART1的TX (發(fā)送端)發(fā)送給RM04-2的RXD (RM04串口的接收端),再經(jīng)過RM04-2的 以太網(wǎng)端口發(fā)送給服務(wù)器側(cè)。通過此過程服務(wù)器將收到控制主機(jī)發(fā)送的請(qǐng)求命令。
[0035] 當(dāng)服務(wù)器發(fā)生響應(yīng)數(shù)據(jù)時(shí):服務(wù)器通過以太網(wǎng)發(fā)送響應(yīng)數(shù)據(jù),RM04-2的以太網(wǎng)端 口接收服務(wù)器響應(yīng)的數(shù)據(jù),響應(yīng)數(shù)據(jù)通過RM04-2的TXD (RM04串口的發(fā)送端)發(fā)送給STM32 的USART2的RX(接收端),數(shù)據(jù)經(jīng)過STM32處理后通過USART2的TX(發(fā)送端)發(fā)送給 RM04-1的RXD (RM04串口的接收端),再經(jīng)過RM04-1的以太網(wǎng)端口發(fā)送給控制主機(jī)。通過 此過程控制主機(jī)將收到服務(wù)器響應(yīng)的數(shù)據(jù)。
[0036] 當(dāng)STM32的USART1收到控制主機(jī)發(fā)過來的請(qǐng)求命令后,進(jìn)入RM04-1的中斷, 即設(shè)置一個(gè)數(shù)據(jù)緩存區(qū),將串口接收到的請(qǐng)求命令存入第一緩存區(qū)中,由TCP/IP上的 M0DBUS(M0DBUS協(xié)議是應(yīng)用于電子控制器上的一種通用語言)應(yīng)用數(shù)據(jù)單元可知,請(qǐng)求命 令的第5、6字節(jié)表示的是剩余請(qǐng)求命令數(shù)據(jù)的長度,根據(jù)此可以判斷一幀數(shù)據(jù)是否可將剩 余的請(qǐng)求命令數(shù)據(jù)發(fā)送完畢,當(dāng)判斷請(qǐng)求命令數(shù)據(jù)發(fā)送結(jié)束后,進(jìn)行數(shù)據(jù)處理。數(shù)據(jù)處理方 法如下表所示 :
[0037]
【權(quán)利要求】
1. 監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法,其特征在于,包括: 接收控制主機(jī)發(fā)送的請(qǐng)求命令,將所述請(qǐng)求命令存入第一緩存區(qū); 按照預(yù)設(shè)的對(duì)比原則對(duì)第一緩存區(qū)中的所述請(qǐng)求命令的命令代碼進(jìn)行對(duì)比,若對(duì)比一 致,則將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行轉(zhuǎn)發(fā),否則,將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn) 行隔離。
2. 根據(jù)權(quán)利要求1所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法,其特征在于,還包括: 接收服務(wù)器側(cè)返回的響應(yīng)數(shù)據(jù),將所述響應(yīng)數(shù)據(jù)存入第二緩存區(qū); 將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)與所述請(qǐng)求命令的命令代碼進(jìn)行對(duì)比,若對(duì)比一致, 則將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā),否則,將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)進(jìn)行 隔離。
3. 根據(jù)權(quán)利要求1所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法,其特征在于,預(yù)設(shè)的對(duì)比區(qū)存儲(chǔ) 的對(duì)比原則和用于對(duì)比的可用命令列表通過特定設(shè)備燒寫固化在硬件中。
4. 根據(jù)權(quán)利要求1、2或3所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離方法,其特征在于,所述請(qǐng)求命令 和所述響應(yīng)數(shù)據(jù)通過傳輸控制串口通信協(xié)議或TCP^P網(wǎng)絡(luò)通信協(xié)議進(jìn)行通信通過傳輸控 制協(xié)議TCP/網(wǎng)絡(luò)協(xié)議IP進(jìn)行串口通信。
5. 監(jiān)控系統(tǒng)的數(shù)據(jù)隔離裝置,其特征在于,包括: 第一接收緩存模塊,用于接收控制主機(jī)發(fā)送的請(qǐng)求命令,將接收到的所述請(qǐng)求命令存 入第一緩存區(qū); 數(shù)據(jù)處理模塊,用于按照預(yù)設(shè)的對(duì)比原則對(duì)第一緩存區(qū)中的所述請(qǐng)求命令的命令代碼 進(jìn)行對(duì)比,若對(duì)比一致,則將第一緩存區(qū)中的所述請(qǐng)求命令進(jìn)行轉(zhuǎn)發(fā),否則,將第一緩存區(qū) 中的所述請(qǐng)求命令進(jìn)行隔離。
6. 根據(jù)權(quán)利要求5所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離裝置,其特征在于,還包括第二接收緩 存模塊, 所述第二接收緩存模塊,用于接收服務(wù)器返回的響應(yīng)數(shù)據(jù),將接收到的所述響應(yīng)數(shù)據(jù) 存入第二緩存區(qū); 所述數(shù)據(jù)處理模塊,還用于將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)與所述請(qǐng)求命令的命令代 碼進(jìn)行對(duì)比,若對(duì)比一致,則將第二緩存區(qū)中的所述響應(yīng)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā),否則,將第二緩存 區(qū)中的所述響應(yīng)數(shù)據(jù)進(jìn)行隔離。
7. 根據(jù)權(quán)利要求6所述的監(jiān)控系統(tǒng)的數(shù)據(jù)隔離裝置,其特征在于,所述第一接收緩存 模塊接收到的所述請(qǐng)求命令和所述第二接收緩存模塊接收到的所述響應(yīng)數(shù)據(jù)通過傳輸控 制協(xié)議TCP^P網(wǎng)絡(luò)協(xié)議進(jìn)行串口通信。
【文檔編號(hào)】H04L12/26GK104468497SQ201410407519
【公開日】2015年3月25日 申請(qǐng)日期:2014年8月19日 優(yōu)先權(quán)日:2014年8月19日
【發(fā)明者】宋崢嶸 申請(qǐng)人:北京綠葉豐谷科技發(fā)展有限公司