安全訪問控制方法、設備及系統與流程

本發明涉及工業控制領域，尤其涉及一種安全訪問控制方法、設備及系統。

背景技術：

現代工業基礎設施包括電力、石油與天然氣、化工、水利、工業制造及交通控制等重點行業，構成了我國國民經濟、現代社會以及國家安全的重要基礎。其中,工業控制系統(industrialcontrolsystem,ics)構成了現代工業基礎設施的神經系統。傳統的工業控制系統多為采用專用技術的封閉網絡，對外沒有互聯互通，其面臨的信息安全威脅不突出。相應地，各種工業控制設備、應用、系統、通信協議都主要針對專有的封閉環境而設計。由于沒有現實的信息安全威脅，工業自動化控制系統在設計、實現與部署過程中，其主要指標是可用性、功能、性能、(物理)安全性、實時性等，而無須過多考慮網絡攻擊、信息安全等問題。

近幾十年來，隨著信息化與工業化的融合的推進，各種工業控制系統正快速地從傳統的封閉、孤立的系統走向開放互聯、通用、標準化的系統，日益廣泛地采用以太網/因特網互聯協議(internetprotocol，ip)/傳輸控制協議(transmissioncontrolprotocol，tcp)網絡作為通信基礎設施，將工業控制協議遷移到tcp/ip協議棧的應用層；采用包括工業無線局域網(industrywirelesslocalareanetworks,iwlan)、全球定位系統(globalpositioningsystem，gpr)等在內的各種無線網絡；采用標準的windows等商用操作系統、設備、軟件、中間件以及各種通用技術等。典型的工業控制系統通常由以下三部分組成：一個或多個現場控制設備及其分布式io組成的控制單元，部署在控制現場，用于執行各種控制操作；一臺或多臺上位機組成的監控層，上位機多為基于pc的工作站或服務器，用于通過網絡對控制設備進行監測和控制；連接上位機與現場控制設備的工業控制網絡。

目前，最大的威脅就是現有的工業控制通信協議在設計之初就沒有考慮信息安全方面的需求，致使在工業控制系統中上位機通過工業控制協議對現場控制設備進行訪問時缺乏安全的訪問控制機制，使得竊聽、篡改、重放、插入等攻擊都可作用于關鍵工業控制網絡通信，導致嚴重的后果。因此，工業控制系統開始面臨越來越嚴重的安全威脅。

技術實現要素：

本發明提供一種安全訪問控制方法、設備及系統，以解決工業控制系統面臨的安全威脅。

本發明的第一方面提供一種安全訪問控制方法，應用于工業控制系統，所述工業控制系統包括訪問控制網關、上位機、控制單元，其中，所述上位機與所述控制單元的通信通道上設置有所述訪問控制網關，所述方法包括：

所述訪問控制網關接收上位機發送的訪問請求報文，并對所述訪問請求報文進行解析，獲取所述訪問請求報文中的應用層信息，所述應用層信息包括所述上位機的標識、待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息；

所述訪問控制網關根據所述應用層信息，判斷在安全策略庫中是否查找到所述上位機的標識與所述待訪問的控制單元的標識的對應關系，其中，所述安全策略庫中包括上位機的標識與待訪問的控制單元的標識的對應關系，以及各所述上位機的操作權限；

若所述訪問控制網關在所述安全策略庫中查找到所述上位機的標識與所述待訪問的控制單元的標識的對應關系，則判斷所述上位機對所述待訪問的控制單元的操作信息是否滿足所述上位機的操作權限，若是，則向所述待訪問的控制單元發送所述操作信息。

在本發明的一種具體實現方式中，若所述訪問控制網關在所述安全策略庫中未查找到所述上位機的標識與所述待訪問的控制單元的標識的對應關系，則所述方法還包括：

所述訪問控制網關向所述上位機發送認證請求；

所述訪問控制網關接收所述上位機發送的用戶認證信息，其中，所述用戶認證信息包括所述上位機的標識和認證憑證，所述用戶認證信息為用戶重新輸入的信息；

所述訪問控制網關根據所述用戶認證信息，判斷所述用戶認證信息是否正確，若是，則向所述上位機發送訪問操作信息請求；

所述訪問控制網關接收所述上位機發送的訪問操作信息，其中，所述訪問操作信息包括所述待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息；

所述訪問控制網關根據所述用戶認證信息中的上位機的標識以及所述訪問操作信息，確定是否向所述待訪問的控制單元發送所述操作信息。

在本發明的一種具體實現方式中，所述訪問控制網關根據所述用戶認證信息，判斷所述用戶認證信息是否正確，包括：

所述訪問控制網關在所述安全策略庫中查找是否存在所述用戶認證信息中所包括的上位機的標識；

若是，則所述訪問控制網關判斷所述用戶認證信息中所包括的認證憑證是否與所述安全策略庫中所述上位機的標識對應的認證憑證一致，若是，則判斷所述用戶認證信息正確。

本發明的第二方面提供一種安全訪問控制方法，應用于工業控制系統，所述工業控制系統包括訪問控制網關、上位機、控制單元，其中，所述上位機與所述控制單元的通信通道上設置有所述訪問控制網關，所述方法包括：

所述上位機向所述訪問控制網關發送訪問請求報文；

所述上位機接收所述訪問控制網關發送的認證請求，所述認證請求是所述訪問控制網關在根據所述訪問請求報文確定所述上位機的標識為非法上位機時向所述上位機發送的認證請求；

所述上位機向所述訪問控制網關發送用戶認證信息，其中，所述用戶認證信息是用戶重新輸入的所述上位機的標識和認證憑證，以使所述訪問控制網關對所述用戶認證信息進行認證；

所述上位機接收所述訪問控制網關對所述用戶認證信息認證通過后發送的訪問操作信息請求；

所述上位機向所述訪問控制網關發送訪問操作信息，其中，所述訪問操作信息包括所述待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息，以使所述訪問控制網關向所述待訪問的控制單元發送所述操作信息。

本發明的第三方面提供一種訪問控制網關，包括：

接收模塊，用于接收上位機發送的訪問請求報文；

檢測引擎，用于對所述訪問請求報文進行解析，獲取所述訪問請求報文中的應用層信息，所述應用層信息包括所述上位機的標識、待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息；

判斷執行模塊，用于根據所述應用層信息，判斷在安全策略庫中是否查找到所述上位機的標識與所述待訪問的控制單元的標識的對應關系，其中，所述安全策略庫中包括上位機的標識與控制單元的標識的對應關系，以及各所述上位機的操作權限；

若所述判斷執行模塊在所述安全策略庫中查找到所述上位機的標識與所述待訪問的控制單元的標識的對應關系，則所述判斷執行模塊還用于判斷所述上位機對所述待訪問的控制單元的操作信息是否滿足所述上位機的操作權限，若是，則向所述控制單元發送所述待訪問的控制單元的操作信息。

在本發明的一種具體實現方式中，所述訪問控制網關還包括：

發送模塊，其中

所述發送模塊，用于向所述上位機發送認證請求；

所述接收模塊，還用于接收所述上位機發送的用戶認證信息，其中，所述用戶認證信息包括所述上位機的標識和認證憑證，所述用戶認證信息為用戶重新輸入的信息；

所述判斷執行模塊，還用于根據所述用戶認證信息，判斷所述用戶認證信息是否正確，若是，則向所述上位機發送訪問操作信息請求；

所述接收模塊，還用于接收所述上位機發送的訪問操作信息，其中，所述訪問操作信息包括所述待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息；

所述判斷執行模塊，還用于根據所述用戶認證信息中的上位機的標識以及所述訪問操作信息，確定是否向所述待訪問的控制單元發送所述操作信息。

在本發明的一種具體實現方式中，所述判斷執行模塊，還用于在所述安全策略庫中查找是否存在所述用戶認證信息中所包括的上位機的標識；若是，則判斷所述用戶認證信息中所包括的認證憑證是否與所述安全策略庫中所述上位機的標識對應的認證憑證一致，若是，則判斷所述用戶認證信息正確。

本發明的第四方面提供一種上位機，包括：

發送模塊，用于向所述訪問控制網關發送訪問請求報文；

接收模塊，用于接收所述訪問控制網關發送的認證請求，所述認證請求是所述訪問控制網關在根據所述訪問請求報文確定所述上位機的標識為非法上位機時向所述上位機發送的認證請求；

所述發送模塊，還用于向所述訪問控制網關發送用戶認證信息，其中，所述用戶認證信息是用戶重新輸入的所述上位機的標識和認證憑證，以使所述訪問控制網關對所述用戶認證信息進行認證；

所述接收模塊，還用于接收所述訪問控制網關對所述用戶認證信息認證通過后發送的訪問操作信息請求；

所述發送模塊，還用于向所述訪問控制網關發送訪問操作信息，其中，所述訪問操作信息包括所述待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息，以使所述訪問控制網關向所述待訪問的控制單元發送所述操作信息。

本發明的第五方面提供一種安全訪問控制系統，包括如上所述的安全訪問控制網關、如上所述的上位機及控制單元。

在本發明的一種具體實現方式中，所述安全訪問控制系統還包括：

遠程訪問控制服務器，所述遠程訪問控制服務器用于向所述訪問控制網關同步安全策略庫中的信息；

所述訪問控制網關還包括：遠程策略接口，所述訪問控制網關通過所述遠程策略接口訪問所述遠程訪問控制服務器。

本發明提供的安全訪問控制方法、設備及系統，通過在上位機與控制單元的通信信道上設置訪問控制網關，訪問控制網關接收上位機發送的訪問請求報文，并對訪問請求報文進行解析，獲取訪問請求報文中的應用層信息，訪問控制網關根據應用層信息，判斷在安全策略庫中是否查找到上位機標識與待訪問的控制單元標識的對應關系以及上位機對待訪問的控制單元的操作信息是否滿足上位機的操作權限，若是則向待訪問的控制單元發送操作信息。本發明提供的安全訪問控制方法、設備及系統實現對上位機發送的訪問請求報文的安全性監控，解決工業控制系統所面臨的安全威脅。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明提供的工業控制系統的一種結構示意圖；

圖2為本發明提供的工業控制系統的另一種結構示意圖；

圖3為本發明提供的安全訪問控制方法實施例一的流程圖；

圖4為本發明提供的安全訪問控制方法實施例二的流程圖；

圖5為本發明提供的安全訪問控制方法實施例一的訪問控制網關的結構示意圖；

圖6為本發明提供的安全訪問控制方法實施例二的訪問控制網關的結構示意圖；

圖7本發明提供的安全訪問控制方法實施例一的上位機的結構示意圖；

圖8為本發明提供的安全訪問控制系統的結構示意圖。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

本發明實施例的技術方案應用于工業控制系統，圖1為本發明提供的工業控制系統的一種結構示意圖，如圖1所示，該工業控制系統包括訪問控制網關、上位機、控制單元，其中，上位機與控制單元的通信通道上設置有訪問控制網關，該訪問控制網關可以同時與一個或者多個控制單元連接，用于向一個或者多個控制單元發送操作信息。圖2為本發明提供的安全訪問控制方法的另一種應用場景示意圖，如圖2所示，在本實施例中，每一個訪問控制網關還可以分別連接一個控制單元，每一個訪問控制網關用于向與該訪問控制網關對應的控制單元發送操作信息。在上述圖1和圖2所示的實施例中，對于訪問控制網關的數量、與訪問控制網關連接的控制單元的數量不作限定。

本實施例通過在工業控制系統中增加訪問控制網關，實現對上位機發送的訪問請求報文的安全性監控，解決工業控制系統所面臨的安全威脅。下面采用詳細的實施例進行詳細說明。

圖3為本發明提供的安全訪問控制方法實施例一的流程圖，如圖3所示，該安全訪問控制方法的具體實現步驟為：

s101、上位機向訪問控制網關發送訪問請求報文。

在本步驟中，上位機向訪問控制網關發送訪問請求報文，訪問控制網關接收上位機發送的訪問請求報文。

其中，相比傳統的上位機，本實施例的上位機上設置有訪問控制代理，訪問控制代理可以為軟件或者硬件，直接安裝在上位機上。訪問控制代理在上位機啟動后，或在上位機發起對控制單元的網絡訪問之前，即與訪問控制網關之間建立安全的通信信道，具體的實現可以是基于ipsec或基于ssl/tls等vpn技術，在此不作限定。上位機與控制單元之間的通信將通過此安全信道進行，該安全通信信道對上位機上的工業控制應用是透明的，上位機上的工業控制應用無需做任何修改。同時，根據具體的安全需求，可以選擇是否要對安全信道傳輸的報文進行加密。如果機密性要求不高，可以僅僅采取完整性(會話控制、防篡改)安全措施，如采用ipsec中的ah模式，而無需采用加密的esp模式。

s102、訪問控制網關對訪問請求報文進行解析，獲取訪問請求報文中的應用層信息。

在本步驟中，訪問控制網關根據接收到的訪問請求報文，對訪問請求報文進行解析，獲取訪問請求報文中的應用層信息；

其中，應用層信息包括上位機的標識、待訪問的控制單元的標識及上位機對待訪問的控制單元的操作信息。

具體的，訪問控制網關接收上位機發送的訪問請求報文之后，首先根據訪問控制網關中的防火墻過濾規則，對上位機發送的訪問請求報文進行初步過濾，拒絕防火墻策略中不允許的報文，將防火墻策略允許的報文進一步轉發給訪問控制網關中的檢測引擎。

在訪問控制網關中的檢測引擎接收到上位機發送的上述訪問請求報文之后，該檢測引擎對訪問請求報文進行全面解析，獲取訪問請求報文的應用層信息，該應用層信息包括上位機的標識、待訪問的控制單元的標識以及上位機對待訪問的控制單元的操作信息。

其中，上位機的標識用于指示訪問控制網關接收的訪問請求報文的上位機的身份信息，即操作信息的主體信息；待訪問的控制單元的標識用于指示訪問控制網關接收的訪問請求報文的控制單元的身份信息，即操作信息的客體信息；上位機對待訪問的控制單元的操作信息包括讀寫數據等操作指令，用于對工業控制系統中的現場設備進行本地或遠程的操作控制。

另外，訪問控制網關中的檢測引擎是基于深度包檢測技術(deeppacketinspection,dpi)的引擎，在本實施例中，訪問控制網關中的防火墻與dpi引擎可以分開實現或將基本的防火墻過濾功能實現為dpi引擎的一部分，不同的實現方式不會影響其過濾檢測的功能，在此不作限定。

s103、訪問控制網關根據應用層信息，確定在安全策略庫中查找到上位機的標識與待訪問的控制單元的標識的對應關系，確定上位機對待訪問的控制單元的操作信息滿足上位機的操作權限。

在本步驟中，訪問控制網關根據應用層信息，判斷在安全策略庫中是否查找到上位機的標識與待訪問的控制單元的標識的對應關系；

其中，安全策略庫中包括上位機的標識與待訪問的控制單元的標識的對應關系，以及各上位機的操作權限。

若訪問控制網關在安全策略庫中查找到上位機的標識與待訪問的控制單元的標識的對應關系，則判斷上位機對待訪問的控制單元的操作信息是否滿足上位機的操作權限。

具體的，判斷上位機對待訪問的控制單元的操作信息是否滿足上位機的操作權限，包括但不限定于如下策略或規則：

是否允許特定的上位機訪問某個控制單元；

是否允許特定的上位機(在特定的時間或場景下)向某個控制單元發送特定的指令(報文)，執行特定的操作，如(但不限于)stop/startcpu、reboot、resetfactorysetting、updatefirmware等；

是否允許特定的上位機對控制設備進行組態；

是否允許特定的上位機訪問控制單元中的特定的數據對象、數據塊、寄存器或特定的地址空間等。

以上安全訪問控制的策略或規則用于對上位機可以執行的操作進行細化，指示上位機對待訪問的控制單元的操作權限，防止上位機的越權操作。

具體的，訪問控制網關根據應用層信息判斷在安全策略庫中是否查找到上位機的標識與待訪問的控制單元的標識的對應關系之前，還包括在訪問控制網關在安全策略庫中查找是否存在上位機的標識，若是，則進一步判斷在安全策略庫中是否查找到上位機的標識與帶訪問的控制單元的標識的對應關系。

另外，對于本實施例中的安全策略庫，可以是訪問控制網關中的本地安全策略庫，或者，遠程訪問控制服務器中的遠程安全策略庫。其中，本地安全策略庫用于在訪問控制網關中保存上位機對控制單元進行安全訪問控制的策略或規則；遠程安全策略庫用于在遠程訪問控制服務器中保存上位機對控制單元進行安全訪問控制的策略或規則。遠程訪問控制服務器可以定期對安全訪問控制的策略或規則進行更新，更新的內容可以包括增加、刪除或者修改策略或規則，當遠程訪問控制服務器更新后，會將其遠程安全策略庫中的內容發送給各個訪問控制網關的本地安全策略庫中，以實現安全策略庫的同步。

具體的，安全策略庫的安全訪問控制的策略或規則的模型可以是基于角色的訪問控制(rolebasedaccesscontrol)、強制訪問控制(mandatoryaccesscontrol)、自主訪問控制(discretionaryaccesscontrol)等，在此不作限定。

s104、訪問控制網關向待訪問的控制單元發送操作信息。

本實施例提供的安全訪問控制方法，通過在上位機與控制單元的通信信道上設置訪問控制網關，訪問控制網關接收上位機發送的訪問請求報文，并對訪問請求報文進行解析，獲取訪問請求報文中的應用層信息，訪問控制網關根據應用層信息，判斷在安全策略庫中是否查找到上位機標識與待訪問的控制單元標識的對應關系以及上位機對待訪問的控制單元的操作信息是否滿足上位機的操作權限，若是則向待訪問的控制單元發送操作信息。本實施例提供的安全訪問控制方法實現對上位機發送的訪問請求報文的安全性監控，解決工業控制系統所面臨的安全威脅。

圖4為本發明提供的安全訪問控制方法實施例二的流程圖，如圖4所示，該安全訪問控制方法的具體實現步驟為：

s201、上位機向訪問控制網關發送訪問請求報文。

s202、訪問控制網關對訪問請求報文進行解析，獲取訪問請求報文中的應用層信息。

在本實施例中，s201和s202的具體實現過程與本發明方法實施例一中s101和s102的具體實現過程類似，此處不再贅述。

s203、訪問控制網關根據應用層信息，確定在安全策略庫中未查找到上位機的標識與待訪問的控制單元的標識的對應關系。

在本步驟中，訪問控制網關根據應用層信息，判斷在安全策略庫中是否查找到上位機的標識與待訪問的控制單元的標識的對應關系；

其中，安全策略庫中包括上位機的標識與待訪問的控制單元的標識的對應關系，以及各上位機的操作權限。

若訪問控制網關在安全策略庫中未查找到上位機的標識與待訪問的控制單元的標識的對應關系，則上位機有可能被外部設備攻擊或控制，為了避免合法的上位機由于外部攻擊或控制而無法正常進行訪問控制，訪問控制網關重新向所述上位機發送認證請求，用于再次確認上位機的身份信息。

s204、訪問控制網關向上位機發送認證請求。

在本步驟中，訪問控制網關向上位機發送認證請求。所述認證請求是所述訪問控制網關在根據所述訪問請求報文確定所述上位機的標識為非法上位機時向所述上位機發送的認證請求。所述認證請求用于再次確認上位機的身份信息，避免合法的上位機由于外部設備攻擊或控制而不能正常對待訪問的控制單元執行操作。

s205、上位機向訪問控制網關發送用戶認證信息。

在本步驟中，上位機的訪問控制代理接收訪問控制網關發送的認證請求之后，在上位機上提示用戶提供所述上位機的用戶認證信息，用于訪問控制網關在確定上位機的標識為非法上位機時向所述上位機進一步確認其用戶認證信息。隨后，上位機的訪問控制代理向訪問控制網關發送用戶認證信息，其中，所述用戶認證信息是用戶重新輸入的所述上位機的標識和認證憑證，以使所述訪問控制網關對所述用戶認證信息進行認證。

s206、訪問控制網關根據用戶認證信息，確定用戶認證信息正確。

在本步驟中，訪問控制網關接收所述上位機發送的用戶認證信息；其中，所述用戶認證信息包括所述上位機的標識和認證憑證，所述用戶認證信息為用戶重新輸入的信息。上位機的標識用于確定上位機的身份信息；上位機的認證憑證用于確定上位機的認證信息，具體可以有如下幾種形式：用戶名及口令、基于智能卡的安全令牌及其pin碼、公鑰證書、一次性密碼等，在此不作限定。

隨后，所述訪問控制網關根據所述用戶認證信息，判斷所述用戶認證信息是否正確。訪問控制網關判斷用戶認證信息是否正確，包括：所述訪問控制網關在所述安全策略庫中查找是否存在所述用戶認證信息中所包括的上位機的標識；

若是，則所述訪問控制網關判斷所述用戶認證信息中所包括的認證憑證是否與所述安全策略庫中所述上位機的標識對應的認證憑證一致，若是，則判斷所述用戶認證信息正確。

需要指出的是，安全策略庫中不僅包括上位機的標識與待訪問的控制單元的標識的對應關系，以及各上位機的操作權限，還包括上位機的標識對應的認證憑證，認證憑證用于訪問控制網關重新確認上位機的合法性，避免外部設備冒名頂替合法的上位機對待訪問的控制單元執行操作。因此，訪問控制網關需要確保上位機的標識和認證憑證的信息都正確，才能允許所述上位機進一步發送上位機對待訪問的控制單元的操作信息。

s207、訪問控制網關向上位機發送訪問操作信息請求。

在本步驟中，訪問控制網關向上位機發送訪問操作信息請求。由于所述上位機在s203發送的訪問請求報文在訪問控制網關中驗證失敗，因此訪問控制網關需要重新向所述上位機發送訪問操作信息請求，用于確定已通過身份驗證的上位機想要對哪一個控制單元執行何種操作。

s208、上位機向訪問控制網關發送訪問操作信息。

在本步驟中，上位機的訪問控制代理向訪問控制網關發送訪問操作信息之前，還包括：所述上位機接收所述訪問控制網關對所述用戶認證信息認證通過后發送的訪問操作信息請求。

所述上位機的訪問控制代理向所述訪問控制網關發送訪問操作信息，其中，所述訪問操作信息包括所述待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息，以使所述訪問控制網關向所述待訪問的控制單元發送所述操作信息。

在二次身份驗證成功的情況下所述上位機再次發送對待訪問的控制單元的訪問操作信息。該訪問操作信息是否滿足安全策略庫中的上位機的操作權限需要再作進一步的查詢和判斷。因此，上位機的訪問控制代理向訪問控制網關發送訪問操作信息之后，還包括：

所述訪問控制網關接收所述上位機發送的訪問操作信息；所述訪問控制網關根據所述用戶認證信息中的上位機的標識以及所述訪問操作信息，確定是否向所述待訪問的控制單元發送所述操作信息。

具體的，所述訪問控制網關根據所述用戶認證信息中的上位機的標識以及所述訪問操作信息，確定是否向所述待訪問的控制單元發送所述操作信息，包括：

重新在安全策略庫中判斷上位機的標識與待訪問的控制單元的標識的對應關系是否存在，以及上位機對待訪問的控制單元的操作信息是否滿足上位機的操作權限，若都滿足，則訪問控制網關向待訪問的控制單元發送操作信息。否則拒絕上位機的訪問操作信息。

本實施例提供的安全訪問控制方法，訪問控制網關對上位機發送的訪問請求報文解析查找后，未查找到上位機的標識與待訪問的控制單元的標識的對應關系，訪問控制網關向上位機發送認證請求，重新確認上位機的用戶認證信息，若認證成功則向上位機發送訪問操作信息請求，并進一步確認上位機的訪問操作信息是否被允許，若允許則向待訪問的控制單元發送操作信息。該安全訪問控制方法對第一次驗證失敗的上位機進行二次驗證，避免由于外部設備攻擊或控制的上位機不能正常對待訪問的控制單元執行操作，提高整個工業控制系統的安全性。

圖5為本發明提供的安全訪問控制方法實施例一的訪問控制網關的結構示意圖，如圖5所示，所述訪問控制網關10包括：

接收模塊11，用于接收上位機發送的訪問請求報文；

檢測引擎12，用于對所述訪問請求報文進行解析，獲取所述訪問請求報文中的應用層信息，所述應用層信息包括所述上位機的標識、待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息；

判斷執行模塊13，用于根據所述應用層信息，判斷在安全策略庫中是否查找到所述上位機的標識與所述待訪問的控制單元的標識的對應關系，其中，所述安全策略庫中包括上位機的標識與控制單元的標識的對應關系，以及各所述上位機的操作權限；

若所述訪問控制網關10在所述安全策略庫中查找到所述上位機的標識與所述待訪問的控制單元的標識的對應關系，則所述判斷執行模塊還用于判斷所述上位機對所述待訪問的控制單元的操作信息是否滿足所述上位機的操作權限，若是，則向所述控制單元發送所述待訪問的控制單元的操作信息。

本實施例提供的訪問控制網關，用于執行前述任一方法實施例中訪問控制網關的技術方案，其實現原理和技術效果類似，在此不再贅述。

圖6為本發明提供的安全訪問控制方法實施例二的訪問控制網關的結構示意圖，如圖6所示，在上述圖5實施例的基礎上，所述訪問控制網關10還包括：發送模塊14，其中

所述發送模塊14，用于向所述上位機發送認證請求；

所述接收模塊11，還用于接收所述上位機發送的用戶認證信息，其中，所述用戶認證信息包括所述上位機的標識和認證憑證，所述用戶認證信息為用戶重新輸入的信息；

所述判斷執行模塊13，還用于根據所述用戶認證信息，判斷所述用戶認證信息是否正確，若是，則向所述上位機發送訪問操作信息請求；

所述接收模塊11，還用于接收所述上位機發送的訪問操作信息，其中，所述訪問操作信息包括所述待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息；

所述判斷執行模塊13，還用于根據所述用戶認證信息中的上位機的標識以及所述訪問操作信息，確定是否向所述待訪問的控制單元發送所述操作信息。

在上述任一實施例提供的訪問控制網關的基礎上，所述訪問控制網關10的判斷執行模塊13，還用于在所述安全策略庫中查找是否存在所述用戶認證信息中所包括的上位機的標識。

若是，則判斷所述用戶認證信息中所包括的認證憑證是否與所述安全策略庫中所述上位機的標識對應的認證憑證一致，若是，則判斷所述用戶認證信息正確。

上述任一實施例提供的訪問控制網關，用于執行前述任一方法實施例中訪問控制網關的技術方案，其實現原理和技術效果類似，在此不再贅述。

圖7本發明提供的安全訪問控制方法實施例一的上位機的結構示意圖，如圖7所示，所述上位機20包括：

發送模塊21，用于向所述訪問控制網關發送訪問請求報文；

接收模塊22，用于接收所述訪問控制網關發送的認證請求，所述認證請求是所述訪問控制網關在根據所述訪問請求報文確定所述上位機的標識為非法上位機時向所述上位機發送的認證請求；

所述發送模塊21，還用于向所述訪問控制網關發送用戶認證信息，其中，所述用戶認證信息是用戶重新輸入的所述上位機的標識和認證憑證，以使所述訪問控制網關對所述用戶認證信息進行認證；

所述接收模塊22，還用于接收所述訪問控制網關對所述用戶認證信息認證通過后發送的訪問操作信息請求；

所述發送模塊21，還用于向所述訪問控制網關發送訪問操作信息，其中，所述訪問操作信息包括所述待訪問的控制單元的標識及所述上位機對所述待訪問的控制單元的操作信息，以使所述訪問控制網關向所述待訪問的控制單元發送所述操作信息。

本實施例提供的上位機，可用于執行上述方法實施例，其實現原理和技術效果類似，此處不再贅述。

圖8為本發明提供的安全訪問控制系統的結構示意圖，如圖8所示，所述安全訪問控制系統100包括上述任一實施例提供的訪問控制網關10、上述任一實施例提供的上位機20及控制單元30。

本發明提供的安全訪問控制系統應用于工業控制系統，該系統中的訪問控制網關設置在上位機與控制單元的通信信道上，執行上述的各實施方式提供的安全訪問控制方法，實現對上位機發送的訪問請求報文的安全性監控，解決工業控制系統所面臨的安全威脅。

可選的，所述安全訪問控制系統100還包括：

遠程訪問控制服務器40，所述遠程訪問控制服務器40用于向所述訪問控制網關同步安全策略庫中的信息。

具體的，遠程訪問控制服務器40可以定期對安全訪問控制的策略或規則進行更新，更新的內容可以包括增加、刪除或者修改策略或規則，當遠程訪問控制服務器40更新后，會將其遠程安全策略庫中的內容發送給各個訪問控制網關的本地安全策略庫中，以實現安全策略庫的同步。

根據本實施例提供的安全訪問控制系統100，所述訪問控制網關10還包括遠程策略接口，所述訪問控制網關10通過所述遠程策略接口訪問所述遠程訪問控制服務器40。

具體的，訪問控制網關10將通過遠程策略接口，借助于但不限于kerberos、radius、pmi、ssl/tls等安全協議詢問遠程訪問控制服務器40，查詢相應的安全訪問控制的策略或規則，確定是否允許當前的訪問請求。

上述任一實施例提供的安全訪問控制系統，用于執行前述任一方法實施例提供的安全訪問控制方法的技術方案，其實現原理和技術效果類似，此處不再贅述。

最后應說明的是：以上各實施例僅用以說明本發明的技術方案，而非對其限制；盡管參照前述各實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分或者全部技術特征進行等同替換；而這些修改或者替換，并不使相應技術方案的本質脫離本發明各實施例技術方案的范圍。