針對現(xiàn)代工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信的安全防護網(wǎng)關(guān)及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域，特別是指一種針對現(xiàn)代工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信的安全防護網(wǎng)關(guān)及系統(tǒng)。
【背景技術(shù)】
[0002]過去，工業(yè)生產(chǎn)環(huán)境相對獨立，工業(yè)控制系統(tǒng)、通信協(xié)議都具有一定的獨立性，且與其他公共網(wǎng)絡(luò)之間沒有任何連接，針對工業(yè)控制系統(tǒng)的攻擊大多在工業(yè)生產(chǎn)過程中產(chǎn)生，如工作人員的誤操作、自然災(zāi)害等。
[0003]近年來，隨著社會的進步和計算機技術(shù)的發(fā)展，工業(yè)控制系統(tǒng)從一個封閉、孤立的系統(tǒng)逐漸發(fā)展為更加開放、并與公共網(wǎng)絡(luò)有多連接的系統(tǒng)?，F(xiàn)代工業(yè)生產(chǎn)系統(tǒng)中不僅有工業(yè)控制系統(tǒng)，還結(jié)合了一般的操作系統(tǒng)，在現(xiàn)代工業(yè)生產(chǎn)中，我們經(jīng)常需要遠程監(jiān)控工業(yè)現(xiàn)場生產(chǎn)情況和設(shè)備運行狀態(tài)，而現(xiàn)代工業(yè)控制系統(tǒng)中廣泛使用的工業(yè)通訊協(xié)議(如網(wǎng)絡(luò)通訊協(xié)議(Modbus)、分布式網(wǎng)絡(luò)協(xié)議(DNP3)等)均沒有提供任何的安全控制，因此，這就涉及到工業(yè)生產(chǎn)數(shù)據(jù)在公共網(wǎng)絡(luò)傳輸?shù)陌踩珕栴}。由于工業(yè)生產(chǎn)設(shè)備的特殊性，一旦受到攻擊發(fā)生故障，將會給企業(yè)帶來難以估量的損失。
[0004]目前，市場上已有一些針對工業(yè)控制系統(tǒng)的安全防護產(chǎn)品，如多芬諾的工業(yè)防火墻、威努特的可信區(qū)間網(wǎng)關(guān)等。這些安全防護產(chǎn)品的主要特點是能夠?qū)Χ喾N工業(yè)通信協(xié)議進行深度報文解析，對協(xié)議內(nèi)部的指令、數(shù)據(jù)等內(nèi)容進行檢測，從而檢測基于工業(yè)通信協(xié)議的網(wǎng)絡(luò)攻擊。但現(xiàn)有的安全防護產(chǎn)品只是對報文進行了匹配檢測，并未對報文本身進行一定的安全保護。

【發(fā)明內(nèi)容】

[0005]本發(fā)明要解決的技術(shù)問題是提供一種針對現(xiàn)代工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信的安全防護網(wǎng)關(guān)及系統(tǒng)，以解決現(xiàn)有技術(shù)所存在的現(xiàn)有的安全防護產(chǎn)品由于其自身的不足，無法全方位地對現(xiàn)代工業(yè)控制系統(tǒng)進行安全保護，難以滿足現(xiàn)代工業(yè)控制系統(tǒng)的安全要求的問題。
[0006]為解決上述技術(shù)問題，本發(fā)明實施例提供一種針對現(xiàn)代工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信的安全防護網(wǎng)關(guān)，包括:
[0007]通信控制單元，用于基礎(chǔ)的通信控制以及根據(jù)聯(lián)動單元發(fā)來的指令控制用戶與現(xiàn)場設(shè)備之間的通信；
[0008]數(shù)據(jù)包解析單元，用于對接收到的通信數(shù)據(jù)包進行選擇性加解密和選擇性深度解析；
[0009]聯(lián)動單元，用于根據(jù)解析結(jié)果向所述通信控制單元發(fā)送是否拒絕該用戶以后的通信請求指令，并確定是否向目標現(xiàn)場設(shè)備發(fā)送解析后的通信數(shù)據(jù)包。
[0010]優(yōu)選地，所述通信控制單元包括:白名單檢測模塊和通信控制模塊；
[0011]所述白名單檢測模塊，用于當用戶向現(xiàn)場設(shè)備發(fā)送通信數(shù)據(jù)包時，判斷該用戶信息是否包含在預(yù)設(shè)的白名單中，若包含，則將該通信數(shù)據(jù)包發(fā)送至數(shù)據(jù)包解析單元，否則，丟棄該通信數(shù)據(jù)包；
[0012]所述通信控制模塊，用于根據(jù)聯(lián)動單元發(fā)來的指令拒絕或接受該本次通信后的用戶發(fā)送的通信請求，還用于將現(xiàn)場設(shè)備發(fā)來的通信數(shù)據(jù)包發(fā)送出去；
[0013]其中，所述用戶信息包括:發(fā)送通信數(shù)據(jù)的用戶的IP地址、MAC地址及端口信息。
[0014]優(yōu)選地，所述數(shù)據(jù)包解析單元包括:加解密模塊和數(shù)據(jù)包深度解析模塊；
[0015]所述加解密模塊:用于當用戶向現(xiàn)場設(shè)備發(fā)送通信數(shù)據(jù)包時，根據(jù)所述通信控制單元發(fā)來的通信數(shù)據(jù)包中的加密位判斷是否需要對該通信數(shù)據(jù)包進行解密，還用于當現(xiàn)場設(shè)備向用戶發(fā)送通信數(shù)據(jù)包時，判斷通信數(shù)據(jù)包中的源現(xiàn)場設(shè)備信息是否包含在預(yù)設(shè)的設(shè)備加密名單中，若包含，則對該通信數(shù)據(jù)包進行加密；
[0016]所述數(shù)據(jù)包深度解析模塊，用于根據(jù)用戶操作權(quán)限判斷是否需要對接收到的通信數(shù)據(jù)包進行深度解析，若需要，則對該通信數(shù)據(jù)包進行深度解析，并將所述通信數(shù)據(jù)包和解析結(jié)果傳遞給聯(lián)動單元；否則，則將解析結(jié)果設(shè)為無攻擊，并將通信數(shù)據(jù)包和解析結(jié)果傳遞給聯(lián)動單元；
[0017]其中，所述源現(xiàn)場設(shè)備信息包括:發(fā)送通信數(shù)據(jù)包的現(xiàn)場設(shè)備的IP地址、MAC地址及端口信息。
[0018]優(yōu)選地，所述加解密模塊包括:加解密判斷子模塊和加解密操作子模塊；
[0019]所述加解密判斷子模塊，用于對接收到的通信數(shù)據(jù)包進行判斷，確定該通信數(shù)據(jù)包是否需要加密或解密操作，并將不需加密或解密的通信數(shù)據(jù)包直接發(fā)送出去；
[0020]所述加解密操作子模塊，用于對需要加密或解密的通信數(shù)據(jù)包分別進行加密或解密操作，并將加密或解密結(jié)果發(fā)送出去。
[0021]優(yōu)選地，所述加解密判斷子模塊包括:加密判斷子模塊和解密判斷子模塊；
[0022]加密判斷子模塊:用于當現(xiàn)場設(shè)備向用戶發(fā)送通信數(shù)據(jù)包時，判斷通信數(shù)據(jù)包中的源現(xiàn)場設(shè)備信息是否包含在預(yù)設(shè)的設(shè)備加密名單中，若包含，則將該通信數(shù)據(jù)包中的加密位置加密標號，并將該通信數(shù)據(jù)包發(fā)送至加解密操作子模塊，否則，則將該通信數(shù)據(jù)包發(fā)送至通信控制單元；
[0023]解密判斷子模塊:用于當用戶向現(xiàn)場設(shè)備發(fā)送通信數(shù)據(jù)包時，對該通信數(shù)據(jù)包中的加密位進行判斷，當該加密位為加密標號時，則將該通信數(shù)據(jù)包發(fā)送至加解密操作子模塊，否則，則將該通信數(shù)據(jù)包發(fā)送至數(shù)據(jù)包深度解析模塊。
[0024]優(yōu)選地，所述加解密操作子模塊，用于通過基于時間同步機制的密鑰動態(tài)生成模塊，對需要加密或解密的通信數(shù)據(jù)包分別進行加密或解密操作；
[0025]所述加解密操作子模塊包括:加密操作子模塊和解密操作子模塊；
[0026]加密操作子模塊:用于當通信數(shù)據(jù)包需要加密時，通過所述密鑰動態(tài)生成模塊利用隨機數(shù)產(chǎn)生算法生成一系列不可預(yù)測的隨機數(shù)字組合作為密鑰，并通過所述密鑰對需要加密的通信數(shù)據(jù)包進行加密，再將加密后的通信數(shù)據(jù)包發(fā)送出去；
[0027]解密操作子模塊:用于當通信數(shù)據(jù)包需要解密時，利用所述密鑰動態(tài)生成模塊建立的歷史密鑰時間表，根據(jù)通信數(shù)據(jù)包中的加密時間標簽，在所述歷史密鑰時間表中找到對應(yīng)的密鑰，并利用該密鑰對加密后的通信數(shù)據(jù)包進行解密，再將解密后的通信數(shù)據(jù)包發(fā)送至數(shù)據(jù)包深度解析模塊。
[0028]優(yōu)選地，所述數(shù)據(jù)包深度解析模塊，還用于當用戶向現(xiàn)場設(shè)備發(fā)送通信數(shù)據(jù)包時，將加解密模塊發(fā)來的通信數(shù)據(jù)包應(yīng)用數(shù)據(jù)部分的工業(yè)通信協(xié)議首部和數(shù)據(jù)進行分離，將分離得到的工業(yè)通信協(xié)議首部和TCP/IP協(xié)議首部結(jié)合，判斷是否存在越位操作，并對分離得到的數(shù)據(jù)進行攻擊檢測，判斷該通信數(shù)據(jù)包是否存在攻擊。
[0029]優(yōu)選地，所述聯(lián)動單元包括:
[0030]攻擊控制模塊:用于當解析結(jié)果為存在攻擊時，向所述通信控制單元發(fā)送拒絕發(fā)起此次通信的用戶以后的通信請求指令，并丟棄此次通信數(shù)據(jù)包；
[0031]權(quán)限越位控制模塊，用于當解析結(jié)果為操作權(quán)限越位時，向所述通信控制單元發(fā)送在預(yù)設(shè)時間內(nèi)拒絕該用戶的通信請求指令，并丟棄此次通信數(shù)據(jù)包；
[0032]安全控制模塊，用于當解析結(jié)果為無攻擊時，將該通信數(shù)據(jù)包發(fā)送至目標現(xiàn)場設(shè)備。
[0033]本發(fā)明實施例還提供一種針對現(xiàn)代工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信的安全防護網(wǎng)關(guān)系統(tǒng)，包括:用戶所在的公共網(wǎng)絡(luò)、英特網(wǎng)和權(quán)利要求1-8任一項所述的針對現(xiàn)代工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信的安全防護網(wǎng)關(guān)所在的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)；
[0034]用戶所在的公共網(wǎng)絡(luò)包括:用戶和加解密設(shè)備；
[0035]所述加解密設(shè)備，用于對用戶與現(xiàn)場設(shè)備之間的通信數(shù)據(jù)包進行選擇性加解密操作。
[0036]優(yōu)選地，所述加解密設(shè)備，用于根據(jù)現(xiàn)場設(shè)備發(fā)來的通信數(shù)據(jù)包中的加密位判斷是否需要對該通信數(shù)據(jù)包進行解密，還用于當用戶向現(xiàn)場設(shè)備發(fā)送通信數(shù)據(jù)包時，判斷通信數(shù)據(jù)包中的目標現(xiàn)場設(shè)備信息是否包含在預(yù)設(shè)的設(shè)備加密名單中，若包含，則對該通信數(shù)據(jù)包進行加密；
[0037]其中，所述目標現(xiàn)場設(shè)備信息包括:接收通信數(shù)據(jù)包的現(xiàn)場設(shè)備的IP地址、MAC地址及端口信息。
[0038]本發(fā)明的上述技術(shù)方案的有益效果如下:
[0039]上述方案中，通過數(shù)據(jù)包解析單元對用戶(所述用戶為公共網(wǎng)絡(luò)中的用戶)和現(xiàn)場設(shè)備之間的通信數(shù)據(jù)包進行選擇性加解密，保證了通信數(shù)據(jù)包的安全傳輸，并通過該數(shù)據(jù)包解析單元對用戶和現(xiàn)場設(shè)備之間的通信數(shù)據(jù)包進行選擇性深度解析，有選擇性地進行攻擊檢測，提高了對攻擊行為的自動防御能力，還根據(jù)數(shù)據(jù)包解析單元的檢測結(jié)果，通過聯(lián)動單元確定是否向目標現(xiàn)場設(shè)備發(fā)送解析后的通信數(shù)據(jù)包，并向通信控制單元發(fā)送控制指令，由該通信控制單元根據(jù)接收到的控制指令對該用戶與現(xiàn)場設(shè)備之間的通信進行控制，與傳統(tǒng)的加密網(wǎng)關(guān)和入侵檢測相比，不僅提高了用戶和現(xiàn)場設(shè)備之間的通信安全，還能提高該工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的性能，且該安全防護網(wǎng)關(guān)在工業(yè)控制系統(tǒng)中具有很高的通用性。
【附圖說明】
[0040]圖