多協(xié)議工業(yè)通信安全網(wǎng)關(guān)及應(yīng)用該網(wǎng)關(guān)的通信方法
【專利摘要】本發(fā)明涉及一種多協(xié)議工業(yè)通信安全網(wǎng)關(guān)及應(yīng)用該網(wǎng)關(guān)的通信方法����。在數(shù)據(jù)通信時(shí)����,源網(wǎng)關(guān)利用密鑰管理機(jī)制模塊和VPN加解密模塊對(duì)數(shù)據(jù)進(jìn)行加密后,發(fā)送給目標(biāo)網(wǎng)關(guān)���。目標(biāo)網(wǎng)關(guān)通過(guò)VPN加解密模塊進(jìn)行解密,然后利用安全域安全防護(hù)模塊,對(duì)數(shù)據(jù)通信提供安全檢測(cè)及控制服務(wù)��;如果數(shù)據(jù)安全����,則對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行密鑰解密;判斷應(yīng)用層數(shù)據(jù)類型,如果是應(yīng)用管理數(shù)據(jù)則利用應(yīng)用管理安全模塊進(jìn)行管理��,如果是應(yīng)用層報(bào)文則調(diào)用應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊對(duì)報(bào)文進(jìn)行檢測(cè)過(guò)濾管理����。本發(fā)明采用VPN加解密�����、密鑰加解密����、應(yīng)用層報(bào)文檢測(cè)及過(guò)濾等3種措施相結(jié)合的方式進(jìn)行通信安全保證����;采用安全域安全防護(hù)和應(yīng)用安全管理兩種措施進(jìn)行網(wǎng)關(guān)應(yīng)用安全保證�����。
【專利說(shuō)明】多協(xié)議工業(yè)通信安全網(wǎng)關(guān)及應(yīng)用該網(wǎng)關(guān)的通信方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種安全網(wǎng)關(guān)產(chǎn)品���,尤其涉及一種多協(xié)議工業(yè)通信安全網(wǎng)關(guān)及應(yīng)用該網(wǎng)關(guān)的通信方法���。
【背景技術(shù)】
[0002]一般工業(yè)控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換需要工業(yè)通信網(wǎng)關(guān)進(jìn)行轉(zhuǎn)換,由于工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)通信涉及多種工業(yè)通信協(xié)議,工業(yè)控制網(wǎng)關(guān)比較注重協(xié)議數(shù)據(jù)轉(zhuǎn)換��,現(xiàn)有的通用網(wǎng)關(guān)大都只針對(duì)一種協(xié)議,因此無(wú)法直接應(yīng)用到工業(yè)控制網(wǎng)絡(luò)中��。而且現(xiàn)有網(wǎng)關(guān)的安全防護(hù)比較薄弱�����,無(wú)法保障工業(yè)控制網(wǎng)絡(luò)的通信安全�。
【發(fā)明內(nèi)容】
[0003]為解決上述問(wèn)題����,本發(fā)明提供了一種可支持多種工業(yè)控制通信協(xié)議的通信安全網(wǎng)關(guān),能保證數(shù)據(jù)通信安全和網(wǎng)關(guān)應(yīng)用安全���。
[0004]本發(fā)明所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān)��,包括:
密鑰管理機(jī)制模塊���,用于采用非對(duì)稱算法密鑰管理的數(shù)字信封技術(shù)對(duì)密鑰的管理和獲取過(guò)程進(jìn)行加解密管理以及對(duì)應(yīng)用層數(shù)據(jù)的加密和解密;應(yīng)用層數(shù)據(jù)是指到達(dá)或經(jīng)過(guò)安全網(wǎng)關(guān)的管理數(shù)據(jù)���、工業(yè)通信協(xié)議數(shù)據(jù)以及網(wǎng)關(guān)日志的遠(yuǎn)程備份數(shù)據(jù)���;
VPN加解密模塊,用于對(duì)訪問(wèn)數(shù)據(jù)進(jìn)行VPN加密和解密�;訪問(wèn)數(shù)據(jù)是指所有到達(dá)或經(jīng)過(guò)網(wǎng)關(guān)的數(shù)據(jù),包括密鑰加密的數(shù)據(jù)���,這樣可以對(duì)重要通信數(shù)據(jù)進(jìn)行雙重加密�����,最大程度保證通信數(shù)據(jù)的安全�;
安全域安全防護(hù)模塊�,用于對(duì)數(shù)據(jù)通信提供病毒防御、入侵防御��、應(yīng)用識(shí)別���、流量控制��、NAT處理安全檢測(cè)及控制服務(wù)��;
應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊��,用于對(duì)應(yīng)用層管理數(shù)據(jù)報(bào)文和日志遠(yuǎn)程備份數(shù)據(jù)報(bào)文進(jìn)行報(bào)文格式檢測(cè)及基于白名單的IP地址過(guò)濾�����,并對(duì)應(yīng)用層工業(yè)通信數(shù)據(jù)報(bào)文進(jìn)行報(bào)文格式檢測(cè)及基于白名單的IP地址���、指令、敏感數(shù)據(jù)的過(guò)濾��;
應(yīng)用管理安全模塊用于對(duì)數(shù)據(jù)通信進(jìn)行登錄管理�����、權(quán)限管理和安全審計(jì)���。
[0005]本發(fā)明所述網(wǎng)關(guān)既可作為源網(wǎng)關(guān)�����,也可作為目標(biāo)網(wǎng)關(guān)�����。在數(shù)據(jù)通信時(shí)���,源網(wǎng)關(guān)利用密鑰管理機(jī)制模塊和VPN加解密模塊對(duì)數(shù)據(jù)進(jìn)行加密后�,發(fā)送給目標(biāo)網(wǎng)關(guān)����。目標(biāo)網(wǎng)關(guān)通過(guò)VPN加解密模塊進(jìn)行解密,然后利用安全域安全防護(hù)模塊��,對(duì)數(shù)據(jù)通信提供安全檢測(cè)及控制服務(wù)�����;如果數(shù)據(jù)安全�,則對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行密鑰解密;判斷應(yīng)用層數(shù)據(jù)類型����,如果是應(yīng)用管理數(shù)據(jù)則利用應(yīng)用管理安全模塊進(jìn)行管理,如果是應(yīng)用層報(bào)文則調(diào)用應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊對(duì)報(bào)文進(jìn)行檢測(cè)過(guò)濾管理���。
[0006]本發(fā)明采用VPN加密與密鑰加密相結(jié)合方式���,可保障系統(tǒng)通信數(shù)據(jù)的高度安全。VPN代理對(duì)數(shù)據(jù)包進(jìn)行安全性的封裝并同時(shí)進(jìn)行加密處理��,經(jīng)過(guò)內(nèi)置壓縮算法對(duì)數(shù)據(jù)流進(jìn)行壓縮后再傳輸���,所需的帶寬比實(shí)際互聯(lián)網(wǎng)接入的帶寬要低很多�����,無(wú)形中極大地節(jié)省了帶寬并提高了數(shù)據(jù)流的轉(zhuǎn)發(fā)速度�����,并保證了數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全性��。密鑰加密針對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行加密���,保證了應(yīng)用層數(shù)據(jù)的安全。兩種加密相互配合既保障了數(shù)據(jù)輸出過(guò)程中的安全���,特別是應(yīng)用層數(shù)據(jù)的安全性達(dá)到高安全強(qiáng)度等級(jí)�。
[0007]進(jìn)一步,VPN加密和解密方式為IPSec����、GRE、SSL�����、L2TP中的一種����。
[0008]進(jìn)一步,所述的應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊包括白名單管理�、安全策略管理、協(xié)議檢測(cè)��、協(xié)議過(guò)濾����。網(wǎng)關(guān)基于白名單方式設(shè)計(jì)安全功能,白名單既包含IP地址及端口號(hào)的白名單����,還包含協(xié)議的指令及寄存器地址訪問(wèn)的白名單。網(wǎng)關(guān)針對(duì)所有管理用戶提供安全策略���,系統(tǒng)提供1000種安全管理策略����,網(wǎng)關(guān)根據(jù)提供的安全策略及通信協(xié)議本身對(duì)通信數(shù)據(jù)進(jìn)行協(xié)議檢測(cè)及過(guò)濾,經(jīng)過(guò)協(xié)議檢測(cè)及過(guò)濾通過(guò)的數(shù)據(jù)經(jīng)密鑰加密�����、VPN加密后轉(zhuǎn)發(fā)出去�����。
[0009]進(jìn)一步�����,所述的登錄管理包括身份鑒別��、多重鑒別���、鑒別失敗處理、登錄超時(shí)管理��。網(wǎng)關(guān)具有系統(tǒng)管理員��、安全管理員、審計(jì)管理員3種管理員角色�����,每個(gè)角色具有不同的權(quán)限�����,必須在具備的權(quán)限內(nèi)進(jìn)行訪問(wèn)和操作�。
[0010]進(jìn)一步,所述的安全審計(jì)是指系統(tǒng)對(duì)VPN加解密�、密鑰加解密、安全域安全防護(hù)�����、應(yīng)用管理��、報(bào)文檢測(cè)與過(guò)濾行為進(jìn)行安全審計(jì)���,形成審計(jì)日志�����,并提供日志的分類查詢及存儲(chǔ)管理�����。
[0011]進(jìn)一步�,所述的應(yīng)用安全管理模塊同時(shí)采取用戶名密碼和數(shù)字證書(shū)兩種方式進(jìn)行身份鑒別。網(wǎng)關(guān)采用遠(yuǎn)程WEB方式對(duì)網(wǎng)關(guān)進(jìn)行管理配置�,因此具有應(yīng)用安全管理模塊為網(wǎng)關(guān)提供安全防護(hù)。應(yīng)用安全管理模塊提供了兩種身份鑒別�,只有兩種方式都鑒別成功后才可以登錄系統(tǒng)配置,當(dāng)發(fā)生多次鑒別失敗后系統(tǒng)將中止服務(wù)并將登錄的用戶IP及用戶列入黑名單����。用戶登錄后根據(jù)身份分配權(quán)限��,對(duì)系統(tǒng)進(jìn)行參數(shù)設(shè)置等操作����。安全審計(jì)功能將記錄所有經(jīng)過(guò)網(wǎng)關(guān)的參數(shù)管理、安全檢查�����、協(xié)議過(guò)濾等業(yè)務(wù)數(shù)據(jù)進(jìn)行跟蹤審計(jì)�,保證網(wǎng)關(guān)的運(yùn)行全方位審計(jì)控制。
[0012]該網(wǎng)關(guān)支持基于工業(yè)以太網(wǎng)的協(xié)議和基于RS485總線的工業(yè)協(xié)議����?�;诠I(yè)以太網(wǎng)的協(xié)議有BACNet/IP���、Ethnet/IP、DNP3�、Modbus/TCP等,基于RS485總線的工業(yè)協(xié)議有Modbus-RTU,DLT645-2007�����、CJ/T188-1999 等�����。
[0013]應(yīng)用所述多協(xié)議工業(yè)通信安全網(wǎng)關(guān)的通信方法���,包括源網(wǎng)關(guān)和目標(biāo)網(wǎng)關(guān)���,源網(wǎng)關(guān)與目標(biāo)網(wǎng)關(guān)分布在工業(yè)控制網(wǎng)絡(luò)的管理網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間,包括以下步驟:
51��、源網(wǎng)關(guān)對(duì)待發(fā)送的合格數(shù)據(jù)先進(jìn)行密鑰加密���,再進(jìn)行VPN加密后發(fā)送到目標(biāo)網(wǎng)關(guān)�����;
52����、目標(biāo)網(wǎng)關(guān)將接收到的數(shù)據(jù)進(jìn)行VPN解密和密鑰解密,同時(shí)對(duì)數(shù)據(jù)通信進(jìn)行安全域安全防護(hù)和應(yīng)用安全管理�����,將解密后的應(yīng)用層數(shù)據(jù)經(jīng)應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊檢測(cè)和過(guò)濾后�,將合格數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)��。安全域安全防護(hù)為網(wǎng)關(guān)提供防病毒����、入侵攻擊、流控���、應(yīng)用識(shí)另|J�、NAT服務(wù)等系統(tǒng)安全保證�����,應(yīng)用安全管理為網(wǎng)關(guān)提供配置登錄管理、權(quán)限分配管理�����、安全審計(jì)管理等應(yīng)用安全保證����。
[0014]S2步驟的具體步驟如下:
S2-1、對(duì)接收到的數(shù)據(jù)利用安全域安全防護(hù)模塊進(jìn)行VPN解密���,若VPN數(shù)據(jù)包被破壞則數(shù)據(jù)阻止���,并進(jìn)行安全審計(jì),記錄數(shù)據(jù)被阻止的時(shí)間��、源地址��、目標(biāo)地址���、阻止原因信息�����,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)�����;否則從遠(yuǎn)程密鑰服務(wù)器獲取密鑰�,并利用密鑰對(duì)應(yīng)用數(shù)據(jù)進(jìn)行數(shù)據(jù)解密;
S2-2���、判定密鑰加密數(shù)據(jù)是否被破壞�,若被破壞�,則數(shù)據(jù)阻止并進(jìn)行安全審計(jì),記錄數(shù)據(jù)被阻止的時(shí)間�、源地址、目標(biāo)地址���、阻止原因信息�����,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù),否則判定是否為系統(tǒng)配置數(shù)據(jù)�,若是,則進(jìn)入S2-3步驟;若不是�,則進(jìn)入S2-4步驟;
S2-3��、進(jìn)入系統(tǒng)配置登錄鑒別系統(tǒng)進(jìn)行鑒別���,鑒別成功后設(shè)置系統(tǒng)參數(shù)并進(jìn)行安全審計(jì)��,記錄鑒別時(shí)間�����、源地址����、鑒別用戶�、鑒別結(jié)果信息,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)�;鑒別不成功則進(jìn)行鑒別失敗處理;
S2-4�����、判定數(shù)據(jù)為通信業(yè)務(wù)數(shù)據(jù)��,通過(guò)安全策略獲得工業(yè)控制協(xié)議的類型,并檢查協(xié)議的格式及協(xié)議校驗(yàn)����,協(xié)議檢查合格進(jìn)入S2-5協(xié)議過(guò)濾步驟,否則數(shù)據(jù)阻止并進(jìn)行安全審計(jì)����,記錄事件時(shí)間、源地址�、目的地址、檢查結(jié)果信息���,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)��;S2-5�、協(xié)議過(guò)濾功能獲取安全策略得到白名單����,并對(duì)協(xié)議數(shù)據(jù)進(jìn)行過(guò)濾,數(shù)據(jù)合格進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)��,否則進(jìn)行數(shù)據(jù)阻止并安全審計(jì)�,記錄事件時(shí)間���、源地址�、目的地址、過(guò)濾結(jié)果信息��,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)���。
[0015]進(jìn)一步����,所述的鑒別失敗處理為鑒別失敗后中止服務(wù)程序���,如果同一賬戶短時(shí)間內(nèi)超過(guò)3次登錄失敗則將登錄地址與該賬戶加入黑名單禁止再次訪問(wèn)����,并進(jìn)行安全審計(jì)����,記錄鑒別時(shí)間、源地址��、鑒別用戶���、鑒別結(jié)果等信息�����,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)����。
[0016]本發(fā)明的有益效果:
1、采用VPN加解密�、密鑰加解密、應(yīng)用層報(bào)文檢測(cè)及過(guò)濾等3種措施相結(jié)合的方式進(jìn)行通信安全保證�。三種通信安全保證措施將確保工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)通信的高安全強(qiáng)度,特別是應(yīng)用報(bào)文的檢測(cè)及過(guò)濾可以有效阻止誤操作或人為破壞���,保證工業(yè)設(shè)備及設(shè)備使用�、維修人員的安全����。
[0017]2、采用安全域安全防護(hù)和應(yīng)用安全管理兩種措施進(jìn)行網(wǎng)關(guān)應(yīng)用安全保證��。安全域安全防護(hù)主要提供對(duì)外部網(wǎng)關(guān)底層支撐系統(tǒng)比如Linux操作系統(tǒng)的防護(hù)�����,比如病毒防御�、入侵防御�、流量控制��、應(yīng)用識(shí)別���、NAT處理等。應(yīng)用安全管理主要通過(guò)用戶登錄����、用戶權(quán)限等措施保證網(wǎng)關(guān)的參數(shù)設(shè)置等設(shè)置項(xiàng)的安全。并對(duì)網(wǎng)關(guān)的所有行為進(jìn)行安全審計(jì)形成審計(jì)日志��,這樣可以追溯網(wǎng)關(guān)的行為記錄��,并分析潛在的威脅或侵害���。
[0018]3���、網(wǎng)關(guān)支持多種協(xié)議,可適用于樓宇自控��、SCADA及其他工業(yè)DCS系統(tǒng)�。
【專利附圖】
【附圖說(shuō)明】
[0019]圖1是本發(fā)明所述安全網(wǎng)關(guān)的系統(tǒng)部署圖;
圖2是本發(fā)明所述安全網(wǎng)關(guān)的工作原理圖���;
圖3是本發(fā)明通信方法的流程圖��。
【具體實(shí)施方式】
[0020]一種多協(xié)議工業(yè)通信安全網(wǎng)關(guān)��,包括:
密鑰管理機(jī)制模塊��,用于采用非對(duì)稱算法密鑰管理的數(shù)字信封技術(shù)對(duì)密鑰的管理和獲取過(guò)程進(jìn)行加解密管理以及對(duì)應(yīng)用層數(shù)據(jù)的加密和解密�����;應(yīng)用層數(shù)據(jù)是指到達(dá)或經(jīng)過(guò)安全網(wǎng)關(guān)的管理數(shù)據(jù)��、工業(yè)通信協(xié)議數(shù)據(jù)以及網(wǎng)關(guān)日志的遠(yuǎn)程備份數(shù)據(jù)�����;
VPN加解密模塊�����,用于對(duì)訪問(wèn)數(shù)據(jù)進(jìn)行VPN加密和解密�;訪問(wèn)數(shù)據(jù)是指所有到達(dá)或經(jīng)過(guò)網(wǎng)關(guān)的數(shù)據(jù),包括密鑰加密的數(shù)據(jù)����,這樣可以對(duì)重要通信數(shù)據(jù)進(jìn)行雙重加密����,最大程度保證通信數(shù)據(jù)的安全�;VPN加密和解密方式為IPSec����、GRE、SSL�����、L2TP中的一種����。
[0021]安全域安全防護(hù)模塊,用于對(duì)數(shù)據(jù)通信提供病毒防御��、入侵防御��、應(yīng)用識(shí)別��、流量控制�����、NAT處理安全檢測(cè)及控制服務(wù);
應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊����,用于對(duì)應(yīng)用層管理數(shù)據(jù)報(bào)文和日志遠(yuǎn)程備份數(shù)據(jù)報(bào)文進(jìn)行報(bào)文格式檢測(cè)及基于白名單的IP地址過(guò)濾,并對(duì)應(yīng)用層工業(yè)通信數(shù)據(jù)報(bào)文進(jìn)行報(bào)文格式檢測(cè)及基于白名單的IP地址����、指令、敏感數(shù)據(jù)的過(guò)濾���;
應(yīng)用管理安全模塊用于對(duì)數(shù)據(jù)通信進(jìn)行登錄管理���、權(quán)限管理和安全審計(jì)。其中����,登錄管理包括身份鑒別、多重鑒別��、鑒別失敗處理�、登錄超時(shí)管理。網(wǎng)關(guān)具有系統(tǒng)管理員���、安全管理員��、審計(jì)管理員3種管理員角色��,每個(gè)角色具有不同的權(quán)限��,必須在具備的權(quán)限內(nèi)進(jìn)行訪問(wèn)和操作�。安全審計(jì)是指系統(tǒng)對(duì)VPN加解密、密鑰加解密�、安全域安全防護(hù)、應(yīng)用管理�����、報(bào)文檢測(cè)與過(guò)濾行為進(jìn)行安全審計(jì)���,形成審計(jì)日志,并提供日志的分類查詢及存儲(chǔ)管理�����。應(yīng)用安全管理模塊同時(shí)采取用戶名密碼和數(shù)字證書(shū)兩種方式進(jìn)行身份鑒別����。只有兩種方式都鑒別成功后才可以登錄系統(tǒng)配置,當(dāng)發(fā)生多次鑒別失敗后系統(tǒng)將中止服務(wù)并將登錄的用戶IP及用戶列入黑名單。
[0022]該網(wǎng)關(guān)支持基于工業(yè)以太網(wǎng)的協(xié)議和基于RS485總線的工業(yè)協(xié)議�。基于工業(yè)以太網(wǎng)的協(xié)議有BACNet/IP�、Ethnet/IP、DNP3��、Modbus/TCP等����,基于RS485總線的工業(yè)協(xié)議有Modbus-RTU,DLT645-2007、CJ/T188-1999 等����。
[0023]圖1為安全網(wǎng)關(guān)的系統(tǒng)部署圖。將網(wǎng)關(guān)部署在工業(yè)控制網(wǎng)絡(luò)的管理網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間���,在管理網(wǎng)絡(luò)部署管理網(wǎng)關(guān)�����,控制網(wǎng)絡(luò)部署控制網(wǎng)關(guān)�����,管理網(wǎng)關(guān)與控制網(wǎng)關(guān)經(jīng)過(guò)工業(yè)局域網(wǎng)進(jìn)行數(shù)據(jù)交換�,管理網(wǎng)關(guān)及控制網(wǎng)關(guān)都可以作為源網(wǎng)關(guān)或目標(biāo)網(wǎng)關(guān)。
[0024]圖2主要說(shuō)明安全網(wǎng)關(guān)的工作原理圖����。源網(wǎng)關(guān)將合格的發(fā)送數(shù)據(jù)經(jīng)過(guò)密鑰加密及VPN加密后發(fā)送到目標(biāo)網(wǎng)關(guān),目標(biāo)網(wǎng)關(guān)接收到數(shù)據(jù)經(jīng)過(guò)VPN解密及密鑰解密后將解密后的應(yīng)用層數(shù)據(jù)經(jīng)應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊檢測(cè)和過(guò)濾后���,將合格數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)���。安全域安全防護(hù)為網(wǎng)關(guān)提供防病毒、入侵攻擊��、流量控制��、應(yīng)用識(shí)別���、NAT服務(wù)等系統(tǒng)安全保證,應(yīng)用安全管理為網(wǎng)關(guān)提供配置登錄管理����、權(quán)限分配管理、安全審計(jì)管理等應(yīng)用安全保證���。
[0025]圖3為利用本發(fā)明所述安全網(wǎng)關(guān)進(jìn)行安全通信的方法流程圖�����,圖中主要展示的是目標(biāo)網(wǎng)關(guān)對(duì)數(shù)據(jù)的處理流程���,源網(wǎng)關(guān)只是對(duì)數(shù)據(jù)進(jìn)行加密�,具體過(guò)程未在圖中展示��。該通信方法包括以下步驟:
S1�����、源網(wǎng)關(guān)對(duì)待發(fā)送的合格數(shù)據(jù)先進(jìn)行密鑰加密�����,再進(jìn)行VPN加密后發(fā)送到目標(biāo)網(wǎng)關(guān)��。
[0026]S2�、目標(biāo)網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)進(jìn)行解密及檢測(cè)和過(guò)濾處理:
S2-1、對(duì)接收到的數(shù)據(jù)利用安全域安全防護(hù)模塊進(jìn)行VPN解密��,若VPN數(shù)據(jù)包被破壞則數(shù)據(jù)阻止���,并進(jìn)行安全審計(jì)�����,記錄數(shù)據(jù)被阻止的時(shí)間��、源地址����、目標(biāo)地址、阻止原因信息�,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù);否則從遠(yuǎn)程密鑰服務(wù)器獲取密鑰�,并利用密鑰對(duì)應(yīng)用數(shù)據(jù)進(jìn)行數(shù)據(jù)解密。
[0027]S2-2����、判定密鑰加密數(shù)據(jù)是否被破壞,若被破壞�,則數(shù)據(jù)阻止并進(jìn)行安全審計(jì),記錄數(shù)據(jù)被阻止的時(shí)間���、源地址、目標(biāo)地址��、阻止原因信息��,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù),否則判定是否為系統(tǒng)配置數(shù)據(jù)(是否是符合https數(shù)據(jù))����,若是,則進(jìn)入S2-3步驟�����;若不是�,則進(jìn)入S2-4步驟。
[0028]S2-3�����、進(jìn)入系統(tǒng)配置登錄鑒別系統(tǒng)進(jìn)行鑒別���,鑒別系統(tǒng)利用用戶名密碼及數(shù)字證書(shū)多重鑒別方式�����,鑒別成功進(jìn)行權(quán)限管理對(duì)管理員賦予權(quán)限����,并檢測(cè)用戶登錄是否超時(shí)�����,如果超時(shí)需要重新登錄,否則進(jìn)入系統(tǒng)參數(shù)設(shè)置���,設(shè)置完成后進(jìn)行安全審計(jì)����,記錄鑒別時(shí)間����、源地址、鑒別用戶����、鑒別結(jié)果信息,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)���。鑒別不成功則進(jìn)行鑒別失敗處理�����,鑒別失敗后中止服務(wù)程序�����,如果同一賬戶短時(shí)間內(nèi)超過(guò)3次登錄失敗則將登錄地址與該賬戶加入黑名單禁止再次訪問(wèn)�,并進(jìn)行安全審計(jì)���,記錄鑒別時(shí)間���、源地址、鑒別用戶���、鑒別結(jié)果等信息��,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)��。
[0029]S2-4��、若系統(tǒng)數(shù)據(jù)不是系統(tǒng)配置數(shù)據(jù)�,而是通信業(yè)務(wù)數(shù)據(jù)�,通過(guò)安全策略獲得工業(yè)控制協(xié)議的類型,并檢查協(xié)議的格式及協(xié)議校驗(yàn)��,協(xié)議檢查合格進(jìn)入S2-5協(xié)議過(guò)濾步驟���,否則數(shù)據(jù)阻止并進(jìn)行安全審計(jì)�����,記錄事件時(shí)間���、源地址�、目的地址�����、檢查結(jié)果信息�,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù);
S2-5�、協(xié)議過(guò)濾功能獲取安全策略得到白名單,并對(duì)協(xié)議數(shù)據(jù)進(jìn)行過(guò)濾�,數(shù)據(jù)合格進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),否則進(jìn)行數(shù)據(jù)阻止并安全審計(jì)��,記錄事件時(shí)間�、源地址、目的地址�、過(guò)濾結(jié)果信息,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)����。
【權(quán)利要求】
1.一種多協(xié)議工業(yè)通信安全網(wǎng)關(guān)���,其特征在于包括: 密鑰管理機(jī)制模塊�����,用于采用非對(duì)稱算法密鑰管理的數(shù)字信封技術(shù)對(duì)密鑰的管理和獲取過(guò)程進(jìn)行加解密管理以及對(duì)應(yīng)用層數(shù)據(jù)的加密和解密���; VPN加解密模塊�,用于對(duì)訪問(wèn)數(shù)據(jù)進(jìn)行VPN加密和解密��; 安全域安全防護(hù)模塊�,用于對(duì)數(shù)據(jù)通信提供病毒防御、入侵防御��、應(yīng)用識(shí)別���、流量控制����、NAT處理安全檢測(cè)及控制服務(wù)��; 應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊,用于對(duì)應(yīng)用層管理數(shù)據(jù)報(bào)文和日志遠(yuǎn)程備份數(shù)據(jù)報(bào)文進(jìn)行報(bào)文格式檢測(cè)及基于白名單的IP地址過(guò)濾��,并對(duì)應(yīng)用層工業(yè)通信數(shù)據(jù)報(bào)文進(jìn)行報(bào)文格式檢測(cè)及基于白名單的IP地址���、指令����、敏感數(shù)據(jù)的過(guò)濾����; 應(yīng)用管理安全模塊用于對(duì)數(shù)據(jù)通信進(jìn)行登錄管理、權(quán)限管理和安全審計(jì)��。
2.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān)�����,其特征在于:VPN加密和解密方式為 IPSec�、GRE、SSL�����、L2TP 中的一種��。
3.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:所述的應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊包括白名單管理����、安全策略管理、協(xié)議檢測(cè)�、協(xié)議過(guò)濾。
4.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān)�,其特征在于:所述的登錄管理包括身份鑒別、多重鑒別�����、鑒別失敗處理�、登錄超時(shí)管理����。
5.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:所述的安全審計(jì)是指系統(tǒng)對(duì)VPN加解密�����、密鑰加解密���、安全域安全防護(hù)��、應(yīng)用管理��、報(bào)文檢測(cè)與過(guò)濾行為進(jìn)行安全審計(jì)��,形成審計(jì)日志��,并提供日志的分類查詢及存儲(chǔ)管理�����。
6.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān)���,其特征在于:所述的應(yīng)用安全管理模塊同時(shí)采取用戶名密碼和數(shù)字證書(shū)兩種方式進(jìn)行身份鑒別���。
7.根據(jù)權(quán)利要求1-6任一項(xiàng)所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:該網(wǎng)關(guān)支持基于工業(yè)以太網(wǎng)的協(xié)議和基于RS485總線的工業(yè)協(xié)議����。
8.應(yīng)用權(quán)7所述多協(xié)議工業(yè)通信安全網(wǎng)關(guān)的通信方法,包括源網(wǎng)關(guān)和目標(biāo)網(wǎng)關(guān)����,源網(wǎng)關(guān)與目標(biāo)網(wǎng)關(guān)分布在工業(yè)控制網(wǎng)絡(luò)的管理網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間,其特征在于:包括以下步驟: 51��、源網(wǎng)關(guān)對(duì)待發(fā)送的合格數(shù)據(jù)先進(jìn)行密鑰加密,再進(jìn)行VPN加密后發(fā)送到目標(biāo)網(wǎng)關(guān)�����; 52���、目標(biāo)網(wǎng)關(guān)將接收到的數(shù)據(jù)進(jìn)行VPN解密和密鑰解密�����,同時(shí)對(duì)數(shù)據(jù)通信進(jìn)行安全域安全防護(hù)和應(yīng)用安全管理�����,將解密后的應(yīng)用層數(shù)據(jù)經(jīng)應(yīng)用層報(bào)文檢測(cè)和過(guò)濾模塊檢測(cè)和過(guò)濾后,將合格數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)�����。
9.根據(jù)權(quán)利要求8所述的通信方法�,其特征在于:S2步驟的具體步驟如下: S2-1、對(duì)接收到的數(shù)據(jù)利用安全域安全防護(hù)模塊進(jìn)行VPN解密��,若VPN數(shù)據(jù)包被破壞則數(shù)據(jù)阻止��,并進(jìn)行安全審計(jì),記錄數(shù)據(jù)被阻止的時(shí)間�、源地址、目標(biāo)地址�����、阻止原因信息�,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù);否則從遠(yuǎn)程密鑰服務(wù)器獲取密鑰��,并利用密鑰對(duì)應(yīng)用數(shù)據(jù)進(jìn)行數(shù)據(jù)解密����; S2-2、判定密鑰加密數(shù)據(jù)是否被破壞��,若被破壞�,則數(shù)據(jù)阻止并進(jìn)行安全審計(jì),記錄數(shù)據(jù)被阻止的時(shí)間�、源地址、目標(biāo)地址��、阻止原因信息���,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)��,否則判定是否為系統(tǒng)配置數(shù)據(jù)��,若是���,則進(jìn)入S2-3步驟���;若不是,則進(jìn)入S2-4步驟��; S2-3���、進(jìn)入系統(tǒng)配置登錄鑒別系統(tǒng)進(jìn)行鑒別����,鑒別成功后設(shè)置系統(tǒng)參數(shù)并進(jìn)行安全審計(jì)����,記錄鑒別時(shí)間�、源地址、鑒別用戶���、鑒別結(jié)果信息�,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù);鑒別不成功則進(jìn)行鑒別失敗處理�; S2-4、判定數(shù)據(jù)為通信業(yè)務(wù)數(shù)據(jù)��,通過(guò)安全策略獲得工業(yè)控制協(xié)議的類型�����,并檢查協(xié)議的格式及協(xié)議校驗(yàn)�,協(xié)議檢查合格進(jìn)入S2-5協(xié)議過(guò)濾步驟,否則數(shù)據(jù)阻止并進(jìn)行安全審計(jì)�����,記錄事件時(shí)間�、源地址、目的地址����、檢查結(jié)果信息,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)�;S2-5、協(xié)議過(guò)濾功能獲取安全策略得到白名單�����,并對(duì)協(xié)議數(shù)據(jù)進(jìn)行過(guò)濾,數(shù)據(jù)合格進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)��,否則進(jìn)行數(shù)據(jù)阻止并安全審計(jì)��,記錄事件時(shí)間�、源地址、目的地址�、過(guò)濾結(jié)果信息,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)�����。
10.根據(jù)權(quán)利要求9所述的通信方法���,其特征在于:所述的鑒別失敗處理為鑒別失敗后中止服務(wù)程序��,如果同一賬戶短時(shí)間內(nèi)超過(guò)3次登錄失敗則將登錄地址與該賬戶加入黑名單禁止再次訪問(wèn)����,并進(jìn)行安全審計(jì)����,記錄鑒別時(shí)間、源地址�����、鑒別用戶�、鑒別結(jié)果等信息,形成審計(jì)日志并存儲(chǔ)到網(wǎng)關(guān)數(shù)據(jù)庫(kù)�。
【文檔編號(hào)】H04L29/06GK104320332SQ201410638244
【公開(kāi)日】2015年1月28日 申請(qǐng)日期:2014年11月13日 優(yōu)先權(quán)日:2014年11月13日
【發(fā)明者】周文奇, 李因東, 唐華, 丁英峰, 王德宣, 黃彩琳 申請(qǐng)人:濟(jì)南華漢電氣科技有限公司