(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211079568.8 (22)申请日 2022.09.05 (71)申请人 南京华盾电力 信息安全测评有限公 司 地址 211100 江苏省南京市江宁区水阁路 39号 申请人 成都卫士通信息产业股份有限公司 (72)发明人 张五一　周俊　宗琪　周强　 黄明浩　林延廷　江楠　刘雪梅　 陈燕峰　兰先登　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 何春廷 (51)Int.Cl. H04L 9/40(2022.01)H04L 69/163(2022.01) H04L 69/22(2022.01) (54)发明名称 一种非入侵式指令安全防护方法、 装置、 介 质及设备 (57)摘要 本发明公开了一种非入侵式指令安全防护 方法、 装置、 介质及设备， 应用于集控服务器和场 站接口机； 所述集控服务器包括： 应用层客户端、 第一内核层路由、 第一内核层代理、 应用层客户 端代理和第二内核层路由； 所述场站接口机包 括： 应用层服务端、 第三内核层路由、 第二内核层 代理、 应用层服务端代理和第四内核层路由。 优 点： 通过内核代理与应用代理的协同作用， 内核 代理修改数据包的特征信息， 内核代理强制将数 据包导流至应用层代理进行指令的商密算法保 护， 从而在业务系统不进行任何修改的情况下实 现控制指令的安全保护； 使业务系统不需要进行 额外的改造即可实现指令内生安全防护； 不影 响 原有业务系统程序正常运行； 降低业务系统商用 密码改造的难度。 权利要求书4页 说明书9页 附图3页 CN 115150205 A 2022.10.04 CN 115150205 A 1.一种非入侵 式指令安全防护方法， 其特征在于， 应用于集控服务器和场站接口机； 所 述集控服务器包括： 应用层客户端、 第一内核层路由、 第一内核层代理、 应用层客户端代理 和第二内核层路由； 所述场站接口机包括： 应用层服务端、 第三内核层路由、 第二内核层代 理、 应用层服 务端代理和第四内核层路由； 所述方法包括： 获取应用 层客户端准备的原始控制指令数据报文， 发送给第一内核层路由， 并由第一 内核层路由转发； 控制第一内层核代理截获原始控制 指令数据报文， 利用第 一内核层代 理对原始控制 指 令数据报文中的目的地址及TCP 选项字段进 行修改， 构 造新的控制指 令数据报文， 并提交应 用层客户端代理 处理； 通过应用 层客户端代理调用第三方密码服务接口对新的控制指令数据报文使用商用 密码算法进行保护操作， 得到安全指令数据报文； 通过应用 层客户端代理将安全指令数据报文的目的地设置为场站接口机的应用服务 端代理， 将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层路由； 通过第三内核层路由将安全指令数据报文转发至应用层服 务端代理； 通过应用 层服务端代理调用第三方密码服务接口对安全指令数据报文使用商用密码 算法进行解保护操作， 得到解码控制指令数据报文； 通过应用层服务端代 理将所述解码控制指令数据报文交由第 二内核代 理处理， 将所述 解码控制指令数据报文还原为原 始控制指令数据报文； 通过第四内核层路由将并原 始控制指令数据报文传输 至应用层服 务端处理。 2.根据权利要求1所述的非入侵 式指令安全防护方法， 其特征在于， 所述构造新的控制 指令数据报文， 包括： 步骤11， 判断所述原始控制指令数据报文是否满足预设条件， 所述预设条件为所述原 始控制指令数据报文为IPV4报文且是TCP报文； 若不满足预设条件， 则 执行步骤14； 若满足 预设条件， 则执行步骤12； 所述原始控制指 令数据报文包括源地址、 源端口、 目的地址、 目的 端口和TCP载荷； 步骤12， 判断所述原始控制 指令数据报文对应的目的端口是否为应用层服务端的端口 且目的IP地址不 为127.0.0.1， 若否， 则执 行步骤14， 若是， 则执 行步骤13； 步骤13， 新增254类型TCP选项字段， 在254类型TCP选项字段中记录原始控制指令数据 报文的源地址、 源端口、 目的地址、 目的端口， 所述原始控制指令数据报文的源地址为集控 服务器的IP地址， 所述原始控制指令数据报文的源端口为应用层客户端的端口， 所述原始 控制指令数据报文的目的地址为场站接口机的IP地址， 所述原始控制指 令数据报文的目的 端口为应用层服务端的端口； 记录后， 将新增254类型TCP选项字段后的控制指令数据报文 的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口； 根据新增254类 型TCP选项字段更改TCP首部长度， 根据修改后的目的端口及 TCP首部长度计算TCP首部校验 和， 根据修改后的目的地址计算IP头校验和， 根据TCP首部校验和、 IP头校验和以及 TCP载荷 构造新的控制指令数据报文； 步骤14， 直接放行原 始控制指令数据报文。 3.根据权利要求1所述的非入侵 式指令安全防护方法， 其特征在于， 在所述还原为原始权　利　要　求　书 1/4 页 2 CN 115150205 A 2控制指令数据报文之前， 包括： 根据解码控制指令数据报文构造新的数据报文， 包括： 将解码控制指令数据报文中的源地址、 源端口、 目的地址、 目的端口分别修改为场站接 口机的IP地址、 应用 层客户端的端口、 127.0.0.1、 应用 层服务端的端口， 得到新的数据报 文。 4.根据权利要求3所述的非入侵 式指令安全防护方法， 其特征在于， 所述还原为原始控 制指令数据报文， 包括： 步骤21， 判断所述新的数据报文是否满足预设条件， 所述预设条件为所述新的数据报 文为IPV4报文且 是TCP报文； 若不满足预设条件， 则执行步骤24； 若满足预设条件， 则执行步 骤22； 步骤22， 判断所述新的数据报文对应的目的端口是否为应用层服务端的端口且目的IP 为127.0.0.1， 若否， 则执 行步骤24， 若是则执 行步骤23； 步骤23， 记录254类型TCP选项字段中的源地址， 并删除254类型TCP选项字段， 修改TCP 首部长度； 修改源地址为集控服务器的IP地址； 根据修改后的TCP首部长度计算TCP首部校 验和， 根据修改后的目的IP地址计算 IP头校验和， 得到还原后的原 始控制指令数据报文； 步骤24， 直接放行原 始控制指令数据报文。 5.根据权利要求1所述的非入侵式指令安全防护方法， 其特 征在于， 所述保护操作为加密、 签名或哈希中的一种或者多种的保护操作； 所述解保护操作为与 所述保护操作相对应的解密、 验签或哈希中的一种或者多种的解 保护操作。 6.一种非入侵 式指令安全防护装置， 其特征在于， 应用于集控服务器和场站接口机； 所 述集控服务器包括： 应用层客户端、 第一内核层路由、 第一内核层代理、 应用层客户端代理 和第二内核层路由； 所述场站接口机包括： 应用层服务端、 第三内核层路由、 第二内核层代 理、 应用层服 务端代理和第四内核层路由； 所述装置包括： 报文获取模块， 用于获取应用 层客户端准备的原始控制指令数据报文， 发送给第一内 核层路由， 并由第一内核层路由转发； 报文修改模块， 用于控制第一内层核代理截获原始控制指令数据报文， 利用第一内层 核代理对原始控制指令数据报文中的目的地址及TCP选项字段进行修改， 构造新的控制指 令数据报文， 并提交应用层客户端代理 处理； 保护模块， 用于通过应用层客户端代理调用第 三方密码服务接口对新的控制 指令数据 报文使用商用密码算法进行保护操作， 得到安全指令数据报文； 发送模块， 用于通过应用层客户端代理将安全指令数据报文的目的地设置为场站接口 机的应用服务端代理， 将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层 路由； 通过第三内核层路由将安全指令数据报文转发至应用层服 务端代理； 解保护模块， 用于通过应用层服务端代理调用第 三方密码服务接口对安全指令数据报 文使用商用密码算法进行解保护操作， 得到解码控制指令数据报文； 报文还原模块， 用于通过应用层服务端代 理将所述解码控制指令数据报文交由第 二内 核代理处理， 将所述解码控制指令数据报文还原为原始控制指令数据报文； 通过第四内核权　利　要　求　书 2/4 页 3 CN 115150205 A 3