一种工业互联网远程维护系统的指令安全审计方法

摘要

本发明公开了一种工业互联网远程维护系统的指令安全审计方法，通过将用于远程维护的专用虚拟通道与确认通道分离，在维护终端通过验证，连接到专用虚拟通道之后，单独与该通过验证的静态IP地址建立确认通道，通过该确认通道向该静态IP地址反馈维护指令并要求其确认，如果该维护指令是非法入侵者截取维授权信息、仿冒静态IP地址连接到专用虚拟通道上所发送的，则该仿冒的静态IP地址无法获取该维护指令确认命令，无法给予指令确认信息，从而授权执行设备可以发现该维护指令发送者的身份可疑，可以断开其连接并进行告警，从而有效防止非法入侵者对内网的智能设备进行攻击，使得远程维护过程中智能设备的安全性得到进一步保障。

说明书

技术领域

本发明涉及一种工业互联网远程维护系统的安全防护技术

背景技术

目前，随着工业自动化系统涵盖的地域范围及各层站点数量越来越大，需要远程监控或维护的设备对象越来越多。为了获取需要监控或维护的设备对象的信息以便能及时分析设备对象的工作状态，维护人员通常需要在PC机上运行厂商针对特定设备开发的维护软件，并与需要监控或维护的设备对象相连接以获取有关的状态信息，并分析健康状态、故障原因等。

传统的维护方式一般采取一个服务器管理多个需要监控或维护的智能设备组成内部管理系统，远程维护或监控服务器通过公共网络直接与管理服务器连接，管理服务器为远程维护或监控服务器和需要监控或维护的智能设备提供数据信息服务中转，从而实现远程维护或监控服务器对智能设备的监控或维护，但是这样管理方式需要组网，安装起来不是很方便，同时由于公共网络是一个开放的网络，服务器直接连入公共网络很容易受到非法入侵者的攻击，极不安全，并且管理服务器只提供数据中转，对于需远程监控或维护对象和远程监控或维护工作站之间的通讯数据是不做监听和分析处理的。

为了解决上述问题，专利200710046887.8公开了一种远程监控或维护方法，在需远程监控或维护对象端设置一代理，该代理具有侦听端口，远程监控或维护工作站通过网络与所述侦听端口相连；需远程监控或维护对象通过所述的代理上网，与远程监控或维护工作站通过网络连接；代理对需远程监控或维护对象与主控单元之间的通讯状态进行监测，并将监测结果传输给远程监控或维护工作站；当所述的远程监控或维护工作站根据监测结果需要对所述的需远程监控或维护对象进行监控或维护时，该代理对该工作站的维护人员进行身份认证，通过认证后为所述的远程监控或维护工作站和所述的侦听端口之间建立一虚拟通道，工作站通过该虚拟通道与需远程监控或维护对象连接。并且，该代理为每次连接设定一固定时间间隔的定时器，在该虚拟通道打开时，所述的固定时间间隔的定时器开始计时，计时完毕，所述的虚拟通道关闭。

专利200910201769.9公开了一种油气管道自控智能设备远程维护授权管理方法，该方法中，子站的一个授权执行设备管理多个需要监控或维护的智能设备，组成内部管理系统，主站授权管理服务器通过公共网络直接与授权执行设备连接，授权执行设备与智能设备之间的连接是隐蔽的，维护人员无法通过客户端直接连接到目标智能设备，需通过主站授权管理服务器对其进行身份以及权限的验证后，在授权管理服务器的控制下，目标授权执行设备与目标设备建立虚拟连接，并由授权管理服务器将相关授权信息反馈给客户端，客户端凭借该授权信息连接到目标授权执行设备，使用其虚拟通道对目标设备进行远程维护，从而确保在客户端无验证授权情况下，无法自行连接到场站的智能设备，使得远程维护过程中智能设备的安全性得到保障。

从上述两个专利可以看出，现有技术中一般通过虚拟专用通道技术、和身份认证技术来确保远程维护系统的安全性。现有的身份认证一般包括：设置口令密码，对使用者的身份和密码进行验证；设置允许通过的静态IP地址，对进行请求的IP地址进行过滤。其中，限制允许访问的静态IP地址对于杜绝外部侵略具有很重要的影响。然而，不排除非法入侵者，仿冒静态IP地址，通过使用特定的软件，入侵者可以仿冒任意的静态IP地址，就如无线通讯中来电显示的号码可以由诈骗者任意设定一样，静态IP地址也是可以仿冒的。从而入侵者只需要截取一个系统认可的静态IP地址，及对应的用户名和密码，即能够通过系统的认证，侵入智能工业设备。或者，侵略者可以在维护终端通过身份认证，得到授权信息后，窃取其授权信息，通过其授权信息和仿冒的静态IP地址连接到智能工业设备上，进行远程操作。

发明内容

本发明主要解决的技术问题是提供一种工业互联网远程维护系统的指令安全审计方法，使得非法终端无法使用仿冒的静态IP地址下发维护指令，使得远程维护过程中智能设备的安全性得到进一步保障。

为了解决上述技术问题，本发明提供了一种工业互联网远程维护系统的指令安全审计方法，该远程维护系统包含一主站和主站控制下的各子站，主站包含一授权管理服务器，每个子站包含一授权执行设备，所述主站的授权管理服务器通过公共网络与所述各子站的授权执行设备连接，所述子站的授权执行设备通过内部网络与子站中需要远程维护的各智能设备连接，其特征在于，包含以下步骤：

A预先设置允许进行远程维护操作的静态IP地址名单；

B在维护终端向主站授权管理服务器发起远程维护请求时，主站授权管理服务器对该维护终端的用户名及密码进行验证，并根据该预设的名单验证该维护终端的静态IP地址是否有对目标智能设备进行远程维护的权限；

C如果该维护终端的用户名、密码及静态IP地址均验证通过，则在主站授权管理服务器与该目标智能设备所属目标子站的授权执行设备之间建立专用虚拟通道，并向该维护终端返回授权信息；

D维护终端根据该授权信息连接到该专用虚拟通道，并通过该专用虚拟通道向所述目标智能设备发送维护指令；

E所述授权执行设备建立本设备与所述通过验证的IP地址之间的确认通道，接收来自所述维护终端的维护指令，通过该确认通道将该维护指令反馈到该通过验证的静态IP地址，要求该静态IP地址对所述维护指令进行确认；

F如果所述授权执行设备从该静态IP地址收到指令否认信息，或在预设时间T1内未从该静态IP地址收到指令确认信息，则断开所述专用虚拟通道；如果在预设时间T1内从该静态IP地址收到指令确认信息，则将该维护指令发送给所述目标智能设备。

作为上述技术方案的改进，所述步骤F中，如果从该静态IP地址收到指令否认信息，或在预设时间T1内未从该静态IP地址收到指令确认信息，则所述授权执行设备还向所述主站授权管理服务器发送告警信息。

作为上述技术方案的改进，所述步骤C之后，还包含以下步骤：所述主站授权管理服务器向所述目标子站的授权执行设备发送建立临时通道的指示，所述目标子站授权执行设备建立与目标智能设备之间的临时通道；

所述步骤F中，如果所述目标子站的授权执行设备在预设时间T1内从该静态IP地址收到指令确认信息，则通过该临时通道将该维护指令发送给该目标智能设备。

作为上述技术方案的改进，该方法还包含以下步骤：

所述主站授权管理服务器为所述专用虚拟通道设置一定时器，所述维护终端接入该专用虚拟通道时，所述定时器计时开始，在该定时器到达预定时间T2后，断开该专用虚拟通道；

所述专用虚拟通道断开后，所述授权执行设备断开所述临时通道。

作为上述技术方案的改进，在所述专用虚拟通道断开前，如果所述主站授权管理服务器收到来自同一静态IP地址的维护请求，则断开所述专用虚拟通道，并发出报警信息。

作为上述技术方案的改进，所述主站授权管理服务器对所述专用虚拟通道进行监控，在所述定时器到达预定时间T2之前，拒绝其他维护终端对所述目标设备发起维护请求。

本发明实施方式与现有技术相比，主要区别及其效果在于：现有技术的安全防护技术大多数是在维护终端得到授权之前进行的，包括进行身份认证、采用数字签名等，一旦维护终端得到授权，连接到专用虚拟通道之后，即默认为其是安全的，但是如果非法入侵者在维护终端通过验证之后，截取其授权信息，利用所截取的授权信息和仿冒的静态IP地址连接到专用虚拟通道上，则可以对工业互联网中的智能终端进行远程操作。本发明实施方式通过将用于远程维护的专用虚拟通道与确认通道分离，在维护终端通过验证，连接到专用虚拟通道之后，重新与该通过验证的静态IP地址建立确认通道，通过该确认通道向该静态IP地址反馈维护指令并要求其确认，如果该维护指令是非法入侵者截取维护终端的授权信息，仿冒静态IP地址连接到专用虚拟通道上所发送的，则该仿冒的静态IP地址无法获取该维护指令确认命令，无法给予指令确认信息，从而授权执行设备可以发现维护指令发送者的身份可疑，可以断开其连接，或者进行告警，从而有效防止非法入侵者对内网的智能设备进行攻击，使得远程维护过程中智能设备的安全性得到进一步保障。本发明实施方式相当于在现有的远程维护系统的安全防护基础上增加一层维护指令的安全审计工序，在不增加额外负担的情况下，为远程维护操作的安全性增加一层保障。

对于外部设备而言，子站的授权执行设备与智能设备之间的连接是隐蔽的，维护终端无法直接连接到目标智能设备，需通过主站授权管理服务器对其进行身份以及权限的验证后，在授权管理服务器的控制下，目标授权执行设备与目标设备之间建立临时通道，通过该临时通道将维护指令发送到目标智能设备，从而确保在无验证授权情况下，维护终端无法自行连接到子站的智能设备，即便通过非法手段连接到子站授权执行设备，也无法与智能设备通讯，使得远程维护过程中智能设备的安全性得到保障。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细说明。

图1是本发明一较佳实施方式的远程维护系统结构示意图；

图2是本发明一较佳实施方式的远程维护系统的指令安全审计方法流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施方式作进一步地详细描述。

本发明一较佳实施方式涉及一种工业互联网远程维护系统的安全审计方法。

该远程维护系统包含一主站和主站控制下的各子站，主站包含一授权管理服务器，每个子站包含一授权执行设备，该主站的授权管理服务器通过公共网络与各子站的授权执行设备连接，子站的授权执行设备通过内部网络与子站中需要远程维护的各智能设备连接，如图1所示。

本实施方式中，预先在主站的授权执行设备处设置允许进行远程维护操作的维护终端的静态IP地址名单。该名单中可以直接包括有权限进行远程维护操作的所有静态IP地址，或者，也可以包括不同子站甚至不同智能设备对应的有权限进行远程维护操作的静态IP地址。

具体流程如图2所示。

在步骤201中，维护终端向主站授权管理服务器发起远程维护请求，在请求中携带所要维护的目标子站和目标智能设备标示。

在步骤202中，主站授权管理服务器收到来自维护终端的维护请求后，对该维护终端的用户名及密码进行验证，并根据预设的名单验证其静态IP地址是否有对该目标设备进行远程维护的权限。

在步骤203中，如果该维护终端的用户名、密码及静态IP地址均验证通过，则建立主站授权管理服务器与该需要维护的目标智能设备所属目标子站的授权执行设备之间的专用虚拟通道，并向该维护终端返回授权信息。

并且，在步骤204中，主站授权管理服务器向目标子站的授权执行设备发送建立临时通道的指示，该目标子站授权执行设备建立与目标设备之间的临时通道。

在步骤205中，维护终端根据该授权信息连接该专用虚拟通道，该维护终端可以通过该专用虚拟通道接收各智能设备的实时状态信息，并在发现异常时通过该专用虚拟通道向该目标智能设备发送维护指令。

在步骤206中，目标智能设备所连接的授权执行设备首先收到该维护指令，在本设备与该通过验证的IP地址之间建立确认通道，将收到的维护指令通过该确认通道反馈给该通过验证的静态IP地址，要求该静态IP地址对上述维护指令进行确认，以验证该维护终端静态IP地址的真伪。

在步骤207中，该静态IP地址所对应的维护终端收到该维护指令后，需返回一指令确认信息。在当前通讯的维护终端为合法终端的情况下，即该静态IP地址未被盗用的情况下，当前通讯的维护终端应该可以收到该反馈的维护指令，并返回指令确认信息。如果授权执行设备从该静态IP地址收到指令否认信息或者超时未收到指令确认信息，则认为该静态IP地址已被盗用，断开该专用虚拟通道，并且向主站授权管理服务器发送告警信息。

现有技术的安全防护技术大多数是在维护终端得到授权之前进行的，包括进行身份认证、采用数字签名等，一旦维护终端得到授权，连接到专用虚拟通道之后，即默认为其是安全的，但是如果非法入侵者在维护终端通过验证之后，截取其授权信息，利用所截取的授权信息和仿冒的静态IP地址连接到专用虚拟通道上，则可以对工业互联网中的智能终端进行远程指令操作。本实施方式通过将用于远程维护的专用虚拟通道与确认通道分离，在维护终端通过验证，连接到专用虚拟通道之后，单独与该通过验证的静态IP地址建立确认通道，通过该确认通道向该静态IP地址反馈维护指令并要求其确认，如果该维护指令是非法入侵者截取维护终端的授权信息连接到专用虚拟通道上所发送的，则该仿冒的静态IP地址无法获取该确认信息，无法给予指令确认信息，从而授权执行设备可以发现维护指令发送者的身份可疑，可以断开其连接，有效防止非法入侵者对内网的智能设备进行攻击。

需要说明的是，本实施方式中的确认通道可以是在收到维护指令之后建立，也可以在维护终端通过授权管理服务器验证后直接建立。

在步骤208中，如果该授权执行设备在预设时间T1内从该静态IP地址收到指令确认信息，则通过临时通道，将该维护指令发送到目标设备。

从而对于外部设备而言，子站的授权执行设备与智能设备之间的连接是隐蔽的，维护终端无法直接连接到目标智能设备，需通过主站授权管理服务器对其进行身份以及权限的验证后，在授权管理服务器的控制下，目标授权执行设备与目标设备建立临时通道，通过该临时通道将维护指令发送到目标智能设备，从而确保在无验证授权情况下，维护终端无法自行连接到子站的智能设备，即便通过非法手段连接到子站授权执行设备，也无法与智能设备实现双向通讯，使得远程维护过程中智能设备的安全性得到保障。

本实施方式中的指令反馈确认步骤可以是在首次收到维护指令的时候进行，或者，也可以在每次收到维护终端的维护指令时，均通过确认通道向对应的静态IP地址反馈维护指令进行确认。

并且，在本实施方式中，主站授权管理服务器为该专用虚拟通道设置一定时器，在该维护终端接入该专用虚拟通道时，定时器计时开始，在该定时器到达预定时间T2后，断开该专用虚拟通道。同样，授权执行设备也可以为该临时通道设置一定时器，在预定时间T2后，断开该临时通道。或者，授权执行设备直接在该专用虚拟通道断开后，直接断开与目标智能设备之间临时通道。从而确保非法人员无法利用使用过的通道信息连接到智能设备，进一步保障了远程维护系统中智能设备的安全性。

主站授权管理服务器对该专用虚拟通道进行监控，在其定时器到达预定时间T2之前，拒绝其他维护终端对目标设备发起维护请求。在该专用虚拟通道断开前，如果主站授权管理服务器收到来自同一静态IP地址的维护请求，则同样可以确定当前建立的专用虚拟通道被仿冒的静态IP地址盗用，断开当前专用虚拟通道，并发出报警信息。

虽然通过参照本发明的某些优选实施方式，已经对本发明进行了图示和描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。