專利名稱:一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法及系統(tǒng)。
背景技術(shù):
在工業(yè)環(huán)境下或者要求高可靠性的數(shù)據(jù) 通信領(lǐng)域中��,例如����,工廠自動(dòng)化系統(tǒng)、智能交通運(yùn)輸系統(tǒng)(ITS)���、變電站或者其他惡劣環(huán)境中等��,相應(yīng)的網(wǎng)絡(luò)部署廣泛使用以太網(wǎng)技術(shù)��,以組建相應(yīng)的專用網(wǎng)絡(luò)來(lái)連接工業(yè)設(shè)備��,并通常通過(guò)冗余的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)為數(shù)據(jù)通信鏈路提供保護(hù)��。具體地���,如圖I所示����,在工業(yè)冗余以太網(wǎng)中���,采用若干工業(yè)以太網(wǎng)交換機(jī)(以下簡(jiǎn)稱交換機(jī))連接成的環(huán)狀網(wǎng)絡(luò)���,為嚴(yán)苛工業(yè)環(huán)境提供高可靠性的數(shù)據(jù)通信。工業(yè)冗余以太網(wǎng)面臨著多方面的安全性挑戰(zhàn)�。例如,如圖2所示�����,攻擊者的攻擊方式可以為以下三種中的任意一種或多種(I)攻擊者可以偽造身份(假冒終端)接入專用網(wǎng)絡(luò)(即工業(yè)冗余以太網(wǎng))���;(2)攻擊者也可以在網(wǎng)絡(luò)上竊聽(tīng)或篡改通信數(shù)據(jù);(3)攻擊者還可以通過(guò)管理交換機(jī)來(lái)破壞工業(yè)冗余以太網(wǎng)的正常工作���。目前�,為保證工業(yè)冗余以太網(wǎng)的安全性能���,具體采用了以下技術(shù)手段技術(shù)手段一廣播風(fēng)暴控制技術(shù)廣播風(fēng)暴控制技術(shù)是通過(guò)在交換機(jī)端口配置廣播風(fēng)暴抑制策略來(lái)限制廣播數(shù)據(jù)流量�;具體地,如圖3所示��,若在交換機(jī)端口上配置廣播風(fēng)暴抑制策略�,則只有指定速率內(nèi)的廣播流量能夠通過(guò)交換機(jī),超過(guò)的流量將被丟棄����。技術(shù)手段二 劃分VLAN劃分VLAN (虛擬局域網(wǎng))的方式可以縮小廣播域,以實(shí)現(xiàn)業(yè)務(wù)隔離��。具體地�����,如圖4所示��,將交換機(jī)端口劃分成不同的VLAN����,進(jìn)入交換機(jī)的廣播流量只會(huì)被轉(zhuǎn)發(fā)到屬于相同VLAN的端口,例如����,從VLANlO進(jìn)入交換機(jī)的廣播流量只會(huì)被轉(zhuǎn)發(fā)到同屬于VLANlO的端口��,屬于其他VLAN的端口則接收不到該流量���。技術(shù)手段三IEEE802. Ix安全認(rèn)證技術(shù)在IEEE802. Ix安全認(rèn)證技術(shù)中,具體是對(duì)連接到交換機(jī)物理端口的設(shè)備進(jìn)行用戶認(rèn)證和授權(quán)����,從而禁止未授權(quán)設(shè)備的接入。例如���,參照?qǐng)D5所示���,在啟用了 IEEE802. Ix認(rèn)證技術(shù)之后,交換機(jī)端口處于未授權(quán)的初始狀態(tài)�����,此時(shí)�,通過(guò)該端口不能訪問(wèn)網(wǎng)絡(luò)。當(dāng)有終端接入該端口時(shí)����,交換機(jī)向終端發(fā)起認(rèn)證要求����,并對(duì)終端響應(yīng)的用戶信息及口令信息進(jìn)行認(rèn)證若認(rèn)證成功�����,則交換機(jī)對(duì)該端口進(jìn)行授權(quán)�,允許終端訪問(wèn)網(wǎng)絡(luò)����;若認(rèn)證失敗,則交換機(jī)將該端口置成未授權(quán)狀態(tài)�����,禁止終端訪問(wèn)網(wǎng)絡(luò)��。對(duì)于上述三種目前用來(lái)保證網(wǎng)絡(luò)安全的技術(shù)手段��,其并不能夠很好地克服圖2中所示的3種攻擊形式�。其中,廣播風(fēng)暴控制技術(shù)和劃分VLAN的方式雖然可以抵御泛洪攻擊���,但其對(duì)網(wǎng)絡(luò)上的竊聽(tīng)和偽裝等攻擊行為毫無(wú)作用����;IEEE802. Ix安全認(rèn)證技術(shù)雖然可以有效防范假冒終端接入網(wǎng)絡(luò),卻無(wú)法解決環(huán)路上的竊聽(tīng)和篡改等安全問(wèn)題�。
總之,現(xiàn)有的工業(yè)以太網(wǎng)交換機(jī)安全技術(shù)所提供的保護(hù)能力比較有限���,無(wú)法有效保證工業(yè)冗余以太網(wǎng)數(shù)據(jù)通信保密性和完整性�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法及系統(tǒng)�����,以保證工業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)傳遞的安全性能��。本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法���,包括在工業(yè)網(wǎng)絡(luò)中���,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù);在數(shù)據(jù)發(fā)送端��,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理����,并發(fā)送經(jīng)過(guò)加密處理后的數(shù)據(jù)���;·在數(shù)據(jù)接收端,基于建立的隧道對(duì)接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作�,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備�����?����?蛇x地��,所述的數(shù)據(jù)發(fā)送端包括終端設(shè)備或交換機(jī)或接入設(shè)備�;所述的數(shù)據(jù)接收端包括終端設(shè)備或交換機(jī)或接入設(shè)備?����?蛇x地�����,所述的工業(yè)網(wǎng)絡(luò)包括工業(yè)冗余以太網(wǎng)����。進(jìn)一步地,該方法還包括數(shù)據(jù)發(fā)送端在探測(cè)到第一終端設(shè)備的接入后����,或接收第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)后���,對(duì)所述第一終端設(shè)備進(jìn)行接入認(rèn)證��,并僅對(duì)通過(guò)接入認(rèn)證的第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理�;和/ 或���,網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來(lái)的管理操作信息后���,對(duì)所述管理用戶進(jìn)行認(rèn)證,并僅對(duì)通過(guò)認(rèn)證的管理用戶發(fā)送來(lái)的管理操作信息執(zhí)行對(duì)應(yīng)的管理操作��;和/ 或���,數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來(lái)的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后���,根據(jù)預(yù)先定義的第一訪問(wèn)控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下�����,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理;和/ 或�,數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來(lái)的加密處理后的數(shù)據(jù)后,根據(jù)預(yù)先定義的第二訪問(wèn)控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù)���,并僅在確定允許的情況下,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作���。進(jìn)一步地,所述的接入認(rèn)證包括基于IEEE802. Ix的認(rèn)證,或者,基于端口安全的接入認(rèn)證�?���?蛇x地,若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證�����,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互�����,且所述認(rèn)證信息通過(guò)所述建立的隧道進(jìn)行傳遞����?����?蛇x地����,所述的第一 ACL中預(yù)先定義了終端設(shè)備的源地址及允許該終端設(shè)備訪問(wèn)的目的地址或網(wǎng)絡(luò)服務(wù)�,第二 ACL中的預(yù)先定義了經(jīng)過(guò)隧道加密的數(shù)據(jù)幀的特性。一種增強(qiáng)網(wǎng)絡(luò)安全性能的系統(tǒng)�,包括
數(shù)據(jù)發(fā)送端,設(shè)置于工業(yè)網(wǎng)絡(luò)中����,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理���,并將經(jīng)過(guò)加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端�;數(shù)據(jù)接收端����,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于基于建立的隧道對(duì)接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作����,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備����。進(jìn)一步地����,該系統(tǒng)還包括所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來(lái)的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還對(duì)所述第一終端設(shè)備進(jìn)行接入認(rèn)證�,并僅對(duì)通過(guò)接入認(rèn)證的第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理;和/ 或�,網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來(lái)的管理操作信息后�����,對(duì)所述管理用戶進(jìn)行認(rèn)證���,并·僅對(duì)通過(guò)認(rèn)證的管理用戶發(fā)送來(lái)的管理操作信息執(zhí)行對(duì)應(yīng)的管理操作�;和/ 或�����,所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來(lái)的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后���,還根據(jù)預(yù)先定義的第一訪問(wèn)控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù)�����,并僅在確定允許的情況下���,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理��;和/ 或�,所述數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來(lái)的加密處理后的數(shù)據(jù)后�,根據(jù)預(yù)先定義的第二訪問(wèn)控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下���,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作�����。若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證�,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互���,且所述認(rèn)證信息通過(guò)所述建立的隧道進(jìn)行傳遞����。由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明實(shí)施例提供了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下�����,增強(qiáng)網(wǎng)絡(luò)安全特性的技術(shù)方案�。在該技術(shù)方案中,采用加密隧道技術(shù)保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性�����,從而可以有效保證工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)傳遞的安全性能���。進(jìn)一步地�����,還可以采用ACL技術(shù)過(guò)濾經(jīng)過(guò)交換機(jī)等設(shè)備的數(shù)據(jù);以及可以采用IEEE802. Ix或者端口安全技術(shù)有效防范交換機(jī)物理端口上未授權(quán)設(shè)備的接入�����,從而進(jìn)一步加強(qiáng)交換機(jī)等設(shè)備的自身抗攻擊能力��。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案����,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)講��,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他附圖。圖I為現(xiàn)有技術(shù)中工業(yè)冗余以太網(wǎng)的結(jié)構(gòu)示意圖����;圖2為現(xiàn)有技術(shù)中工業(yè)冗余以太網(wǎng)的安全隱患示意圖;圖3為現(xiàn)有技術(shù)中的廣播風(fēng)暴抑制技術(shù)不意圖���;圖4為現(xiàn)有技術(shù)中的VLAN劃分技術(shù)示意圖5為現(xiàn)有技術(shù)中的接入認(rèn)證技術(shù)處理過(guò)程示意圖�;圖6為本發(fā)明提供的處理過(guò)程示意圖���;圖7為本發(fā)明提供的應(yīng)用實(shí)施例的處理過(guò)程示意圖����;圖8為本發(fā)明提供的工業(yè)冗余以太網(wǎng)的安全策略示意圖;圖9為本發(fā)明提供的本地?cái)?shù)據(jù)的處理過(guò)程示意圖�����;圖10為本發(fā)明提供的遠(yuǎn)端數(shù)據(jù)處理過(guò)程示意圖��。
具體實(shí)施例方式下面結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí) 施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例����?�;诒景l(fā)明的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明的保護(hù)范圍�����。下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施例作進(jìn)一步地詳細(xì)描述�。本發(fā)明提供了一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法����,如圖6所示,其實(shí)現(xiàn)過(guò)程具體可以包括以下處理步驟步驟S600����,在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)�����;其中�����,相應(yīng)的工業(yè)網(wǎng)絡(luò)可以但不限于包括工業(yè)冗余以太網(wǎng)��,或者,也可以為其他在類似網(wǎng)絡(luò)安全保護(hù)需求的工業(yè)網(wǎng)絡(luò)��。步驟S602���,在數(shù)據(jù)發(fā)送端����,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理���,并發(fā)送經(jīng)過(guò)加密處理后的數(shù)據(jù)�����;其中��,相應(yīng)的數(shù)據(jù)發(fā)送端可以但不限于采用終端設(shè)備或交換機(jī)或接入設(shè)備等等����,同樣��,相應(yīng)的數(shù)據(jù)接收端也可以但不限于采用終端設(shè)備或交換機(jī)或接入設(shè)備等等�;步驟S604,在數(shù)據(jù)接收端��,基于建立的隧道對(duì)接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作����,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。在本發(fā)明中��,為進(jìn)一步提高網(wǎng)絡(luò)安全性能��,還可以但不限于采用以下任意一種或多種技術(shù)處理手段對(duì)網(wǎng)絡(luò)中傳送的數(shù)據(jù)的安全性提供保護(hù)��,具體包括技術(shù)處理手段一數(shù)據(jù)發(fā)送端在探測(cè)到第一終端設(shè)備的接入后���,或接收第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)后�,對(duì)所述第一終端設(shè)備進(jìn)行接入認(rèn)證�,并僅對(duì)通過(guò)接入認(rèn)證的第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理,對(duì)于未通過(guò)接入認(rèn)證的第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)�,則丟棄或忽略,即不允許其在網(wǎng)絡(luò)中傳遞����;其中,在上述技術(shù)處理手段一中�����,相應(yīng)的的接入認(rèn)證可以但不限于采用基于IEEE802. Ix的認(rèn)證,或者,基于端口安全的接入認(rèn)證;進(jìn)一步地���,若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證����,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互���,且所述認(rèn)證信息通過(guò)所述建立的隧道進(jìn)行傳遞���;技術(shù)處理手段二網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來(lái)的管理操作信息后,對(duì)所述管理用戶進(jìn)行認(rèn)證�,并僅對(duì)通過(guò)認(rèn)證的管理用戶發(fā)送來(lái)的管理操作信息執(zhí)行對(duì)應(yīng)的管理操作;相應(yīng)的網(wǎng)絡(luò)設(shè)備可以為交換機(jī)或接入設(shè)備等�����;其中��,在上述技術(shù)處理手段二中�����,若所述的認(rèn)證為基于認(rèn)證服務(wù)器的認(rèn)證����,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互���,且所述認(rèn)證信息通過(guò)所述建立的隧道進(jìn)行傳遞�����;技術(shù)處理手段三數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來(lái)的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后����,根據(jù)預(yù)先定義的第一訪問(wèn)控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下�����,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理��,對(duì)于不符合第一 ACL中預(yù)先定義的條件的數(shù)據(jù)����,則丟棄或忽略,即不允許其在網(wǎng)絡(luò)中傳遞�����;技術(shù)處理手段四數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來(lái)的加密處理后的數(shù)據(jù)后,根據(jù)預(yù)先定義的第二訪問(wèn)控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù)�,并僅在確定允許的情況下,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作���,同樣�,對(duì)于不符合第二 ACL中預(yù)先定義的條件的數(shù)據(jù)�����,則丟棄或忽略��,即不允許其在網(wǎng)絡(luò)中傳遞�����。需要說(shuō)明的是����,在上述的第一 ACL中具體可以預(yù)先定義終端設(shè)備的源地址及允許該終端設(shè)備訪問(wèn)的目的地址或網(wǎng)絡(luò)服務(wù),第二 ACL中的預(yù)先定義了經(jīng)過(guò)隧道加密的數(shù)據(jù)幀的特性���,從而使得數(shù)據(jù)發(fā)送端和數(shù)據(jù)接收端均可以根據(jù)相應(yīng)的ACL對(duì)經(jīng)過(guò)的數(shù)據(jù)進(jìn)行過(guò)濾·處理�,即僅允許符合第一 ACL或者第二 ACL中預(yù)先定義的規(guī)則的數(shù)據(jù)在網(wǎng)絡(luò)中傳遞,從而進(jìn)一步有效保證網(wǎng)絡(luò)的安全性能����。通過(guò)上述技術(shù)方案,本發(fā)明給出了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下���,增強(qiáng)網(wǎng)絡(luò)安全特性的技術(shù)方案�。在該技術(shù)方案中����,采用加密隧道技術(shù)保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性�����。進(jìn)一步地��,還可以采用ACL技術(shù)過(guò)濾經(jīng)過(guò)交換機(jī)等設(shè)備的數(shù)據(jù)��;以及可以采用IEEE802. Ix或者端口安全技術(shù)有效防范交換機(jī)物理端口上未授權(quán)設(shè)備的接入�,其中,采用IEEE802. Ix認(rèn)證技術(shù)過(guò)程中�,具體可以與AAA (即認(rèn)證Authentication,授權(quán)Authorization,記帳Accounting)認(rèn)證服務(wù)器通信,以實(shí)現(xiàn)相應(yīng)的AAA認(rèn)證,從而有效加強(qiáng)交換機(jī)等設(shè)備的自身抗攻擊能力����。為便于理解���,下面將結(jié)合具體的應(yīng)用實(shí)施例對(duì)本發(fā)明的實(shí)現(xiàn)過(guò)程進(jìn)行詳細(xì)描述。在下述本發(fā)明實(shí)施例中�����,具體為采用冗余協(xié)議�、訪問(wèn)控制列表、IEEE802. Ix認(rèn)證或端口安全技術(shù)�,以及加密隧道協(xié)議組建安全的工業(yè)冗余以太網(wǎng)。在下述描述過(guò)程中����,具體將相應(yīng)的交換機(jī)作為上述數(shù)據(jù)發(fā)送端和相應(yīng)的數(shù)據(jù)接收端,且為便于描述和理解����,還將交換機(jī)連接到工業(yè)冗余以太網(wǎng)的端口稱為網(wǎng)絡(luò)側(cè)端口,將交換機(jī)上除網(wǎng)絡(luò)側(cè)端口以外的所有端口稱之為設(shè)備側(cè)端口���。如圖7和圖8所示�����,本發(fā)明實(shí)施例的具體實(shí)現(xiàn)過(guò)程可以包括以下步驟步驟S700�,可以但不限于采用VLAN技術(shù)將交換機(jī)端口劃分成網(wǎng)絡(luò)側(cè)端口和設(shè)備側(cè)端口。網(wǎng)絡(luò)側(cè)端口用于將交換機(jī)連接到冗余以太網(wǎng)(即工業(yè)冗余以太網(wǎng))�,設(shè)備側(cè)端口用于連接終端設(shè)備。步驟S702�,在交換機(jī)的網(wǎng)絡(luò)側(cè)端口上采用鏈路冗余協(xié)議,例如�����,可以但不限于采用RSTP (快速生成樹(shù)協(xié)議)�,構(gòu)建環(huán)形網(wǎng)絡(luò),以便于為數(shù)據(jù)通信提供冗余備份鏈路��。步驟S704�����,在交換機(jī)上的網(wǎng)絡(luò)側(cè)端口采用加密隧道的方式分別對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密�����,以防范網(wǎng)絡(luò)上的竊聽(tīng)���、偽裝或中間人攻擊等,有效保證上、下行鏈路數(shù)據(jù)的保密性和完整性�����;其中��,相應(yīng)的加密隧道可以但不限于包括基于IPSec (互聯(lián)網(wǎng)協(xié)議安全性)�����、PPTP(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)����、L2TP (二層隧道協(xié)議)等VPN (虛擬專用網(wǎng))中建立的隧道;例如���,如果通信業(yè)務(wù)全部為IP數(shù)據(jù)��,則可以采用IPSec隧道機(jī)制對(duì)通信業(yè)務(wù)進(jìn)行加密和驗(yàn)證�,即建立相應(yīng)的IPSec隧道�����,以用于進(jìn)行后續(xù)數(shù)據(jù)的安全傳送���;如果通信業(yè)務(wù)為多協(xié)議數(shù)據(jù)����,則可以采用PPTP或L2TP等第二層隧道機(jī)制對(duì)通信業(yè)務(wù)提供保護(hù),即建立相應(yīng)的二層隧道��,以用于進(jìn)行后續(xù)數(shù)據(jù)的安全傳送�。步驟S706,在交換機(jī)上所有的設(shè)備側(cè)端口還可以采用IEEE802. Ix或者端口安全技術(shù)����,以防范未授權(quán)終端設(shè)備的接入。若采用IEEE802. Ix認(rèn)證技術(shù)�����,則需要接入以太網(wǎng)的終端設(shè)備必須支持IEEE802. Ix客戶端(請(qǐng)求者)協(xié)議���。若采用認(rèn)證服務(wù)(如=RADIUS(遠(yuǎn)端驗(yàn)證撥入用戶服務(wù))、TACACS+ (終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)))對(duì)IEEE802. Ix請(qǐng)求進(jìn)行認(rèn)證��,則認(rèn)證服務(wù)器(或稱AAA認(rèn)證服務(wù)器)必須放置于VPN服務(wù)器之后����,從而使認(rèn)證流量受到步驟S704所述加密隧道的保護(hù)���;進(jìn)一步地,對(duì)于不支持IEEE802. Ix認(rèn)證技術(shù)或端口安全技術(shù)的交換機(jī)或接入終端設(shè)備,還可以采用IP-MAC地址綁定的方式進(jìn)行接入限制�,即將接入設(shè)備的MAC地址綁定到指定端口上,并禁止其他所有MAC地址的出現(xiàn)�。·步驟S708����,可以在交換機(jī)的所有端口上采用ACL,只允許安全流量通過(guò)�,過(guò)濾(SP屏蔽)所有其他數(shù)據(jù);當(dāng)然�,若交換機(jī)或接入設(shè)備中不支持ACL技術(shù),則可以省略該步驟���;具體地�����,為保證在交換機(jī)中的雙向數(shù)據(jù)均能夠得到控制����,具體可以包括在交換機(jī)所有設(shè)備側(cè)端口配置ACL (即前面所述第一 ACL)����,只允許已授權(quán)的終端設(shè)備的數(shù)據(jù)進(jìn)入作為數(shù)據(jù)發(fā)送端的交換機(jī),過(guò)濾所有其他數(shù)據(jù)�。使用的過(guò)濾規(guī)則可以有MAC地址、IP地址���、所需服務(wù)(協(xié)議)類型�����。在交換機(jī)網(wǎng)絡(luò)側(cè)端口配置ACL (即前面所述第二 ACL)�,只允許步驟S704所述隧道機(jī)制的加密流量進(jìn)入作為數(shù)據(jù)接收端的交換機(jī),過(guò)濾所有其他數(shù)據(jù)�����。步驟S710�����,在所有交換機(jī)上可以但不限于采用AAA認(rèn)證服務(wù)(如RADIUS����、TACACS+),以確保交換機(jī)是以安全的方式被管理��,即在認(rèn)證服務(wù)器上建立交換機(jī)管理員的用戶及權(quán)限信息,僅有通過(guò)認(rèn)證的用戶才可以作為交換機(jī)管理員對(duì)交換機(jī)進(jìn)行管理操作����。與上述步驟S706類似,該認(rèn)證服務(wù)器也必須放置于VPN服務(wù)器之后��,從而使認(rèn)證流量受到步驟S704所述加密隧道的保護(hù)����; 需要說(shuō)明的是,在該步驟S710中���,若交換機(jī)不支持AAA認(rèn)證技術(shù)��,則還可以采用其他權(quán)限管理手段對(duì)交換機(jī)或接入設(shè)備的管理權(quán)限進(jìn)行限制����?��;谏鲜鎏幚?,下面將以相應(yīng)的數(shù)據(jù)傳遞過(guò)程為例��,對(duì)本發(fā)明的具體實(shí)現(xiàn)過(guò)程作進(jìn)一步地描述�。如圖9所示���,在按照步驟S700至步驟S710實(shí)施了本發(fā)明方案之后,從終端設(shè)備發(fā)出的本地?cái)?shù)據(jù)在通過(guò)交換機(jī)的過(guò)程中所經(jīng)歷的處理流程可以包括(I)終端設(shè)備發(fā)出的本地?cái)?shù)據(jù)進(jìn)入交換機(jī)的設(shè)備側(cè)端口之后,將進(jìn)行IEEE802. Ix認(rèn)證狀態(tài)或端口安全的判定�����;其中�����,當(dāng)采用IEEE802. Ix認(rèn)證技術(shù)時(shí)�,若本地?cái)?shù)據(jù)屬于該端口已授權(quán)的終端用戶數(shù)據(jù),則執(zhí)行步驟(2)�����,否則將被丟棄����;當(dāng)采用端口安全技術(shù)時(shí),若本地?cái)?shù)據(jù)幀的源MAC (媒體接入控制)地址包含于該端口的安全MAC地址列表�����,則執(zhí)行步驟
(2),否則將被丟棄���。(2)交換機(jī)將依據(jù)在該設(shè)備側(cè)端口上預(yù)定義的ACL中預(yù)先定義的規(guī)則對(duì)本地?cái)?shù)據(jù)進(jìn)行匹配處理若匹配成功且預(yù)定義的ACL動(dòng)作為放行,則對(duì)本地?cái)?shù)據(jù)執(zhí)行步驟(3)���,否則��,本地?cái)?shù)據(jù)將被丟棄���;其中,ACL中的規(guī)則定義了該終端設(shè)備的源地址以及所允許訪問(wèn)的目的地址�、網(wǎng)絡(luò)服務(wù)等信息。(3)交換機(jī)依據(jù)交換(或路由)轉(zhuǎn)發(fā)規(guī)則將本地?cái)?shù)據(jù)轉(zhuǎn)發(fā)到對(duì)應(yīng)的網(wǎng)絡(luò)側(cè)端口上�����,并執(zhí)行步驟(4)���。(4)交換機(jī)使用預(yù)先建立好的隧道對(duì)本地?cái)?shù)據(jù)進(jìn)行加密處理����,并將經(jīng)過(guò)隧道加密的本地?cái)?shù)據(jù)通過(guò)網(wǎng)絡(luò)側(cè)端口發(fā)送到工業(yè)冗余以太網(wǎng)上�。對(duì)應(yīng)的,如圖10所示,在按照步驟S700至步驟S710實(shí)施了本發(fā)明方案之后��,來(lái)自工業(yè)冗余以太網(wǎng)上的遠(yuǎn)端數(shù)據(jù)在通過(guò)交換機(jī)的過(guò)程中所經(jīng)歷的處理流程包括(5)遠(yuǎn)端數(shù)據(jù)從網(wǎng)絡(luò)側(cè)端口進(jìn)入交換機(jī)之后����,將依據(jù)在該網(wǎng)絡(luò)側(cè)端口上預(yù)定義的ACL規(guī)則對(duì)本地?cái)?shù)據(jù)進(jìn)行匹配處理若匹配成功且預(yù)定義的ACL動(dòng)作為放行,則針對(duì)遠(yuǎn)端數(shù)·據(jù)執(zhí)行步驟(6)��,否則����,本地?cái)?shù)據(jù)將被丟棄;其中���,該ACL中的規(guī)則定義了經(jīng)過(guò)隧道加密的數(shù)據(jù)幀的特性����。(6)交換機(jī)依據(jù)交換(或路由)轉(zhuǎn)發(fā)規(guī)則將本地?cái)?shù)據(jù)轉(zhuǎn)發(fā)到對(duì)應(yīng)的設(shè)備側(cè)端口上�����,并執(zhí)行步驟(7)����。(7)交換機(jī)使用預(yù)先建立好的隧道對(duì)遠(yuǎn)端數(shù)據(jù)進(jìn)行解密處理���,并將解密后的數(shù)據(jù)通過(guò)設(shè)備側(cè)端口發(fā)送出去。在上述處理過(guò)程中��,通過(guò)采用隧道加密和ACL技術(shù)�����,從數(shù)據(jù)通道的層面提供經(jīng)過(guò)加密的安全數(shù)據(jù)通道�,抵御網(wǎng)絡(luò)上的竊聽(tīng)和偽裝等攻擊行為���。進(jìn)一步地����,還通過(guò)采用IEEE802. lx(或端口安全)和ACL技術(shù)����,從終端接入的層面防止未授權(quán)設(shè)備接入網(wǎng)絡(luò)。另外�,本發(fā)明實(shí)施例中還采用AAA認(rèn)證技術(shù),并將認(rèn)證服務(wù)器放置于VPN服務(wù)器之后��,從網(wǎng)絡(luò)管理的層面確保以安全的方式對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理���?�?偠灾?,本發(fā)明能夠有效地增強(qiáng)工業(yè)冗余以太網(wǎng)的安全性能,在工業(yè)環(huán)境下的要求高可靠性�����、高安全性的數(shù)據(jù)通信領(lǐng)域具有重要的實(shí)用意義�。在本發(fā)明方案所述的步驟S604中,加密隧道不一定要建立在交換機(jī)和遠(yuǎn)端設(shè)備之間��,可以建立在本地終端設(shè)備和遠(yuǎn)端設(shè)備之間���。本發(fā)明還提供了一種一種增強(qiáng)網(wǎng)絡(luò)安全性能的系統(tǒng)���,其具體可以包括數(shù)據(jù)發(fā)送端,設(shè)置于工業(yè)網(wǎng)絡(luò)中���,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后�,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理��,并將經(jīng)過(guò)加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端��;數(shù)據(jù)接收端,設(shè)置于工業(yè)網(wǎng)絡(luò)中����,用于基于建立的隧道對(duì)接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備���。在該系統(tǒng)中��,數(shù)據(jù)發(fā)送端可以但不限于采用終端設(shè)備或交換機(jī)或接入設(shè)備等等�����,同樣,數(shù)據(jù)接收端也可以但不限于采用終端設(shè)備或交換機(jī)或接入設(shè)備等等��。為進(jìn)一步提高系統(tǒng)的安全性能���,在該系統(tǒng)中還可以但不限于包括以下至少一種技術(shù)處理手段�����,具體包括(一)數(shù)據(jù)發(fā)送端在探測(cè)到第一終端設(shè)備的接入后��,或接收第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)后�,還對(duì)所述第一終端設(shè)備進(jìn)行接入認(rèn)證,并僅對(duì)通過(guò)接入認(rèn)證的第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理�;
(二)網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來(lái)的管理操作信息后,對(duì)所述管理用戶進(jìn)行接入認(rèn)證����,并僅對(duì)通過(guò)接入認(rèn)證的管理用戶發(fā)送來(lái)的管理操作信息執(zhí)行對(duì)應(yīng)的管理操作;相應(yīng)的網(wǎng)絡(luò)設(shè)備可以為交換機(jī)或接入設(shè)備等�;(三)數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來(lái)的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還根據(jù)預(yù)先定義的第一訪問(wèn)控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù)���,并僅在確定允許的情況下���,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理;(四)數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來(lái)的加 密處理后的數(shù)據(jù)后��,根據(jù)預(yù)先定義的第二訪問(wèn)控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù)��,并僅在確定允許的情況下����,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。其中�����,若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互�,且所述認(rèn)證信息通過(guò)所述建立的隧道進(jìn)行傳遞。在該系統(tǒng)中����,數(shù)據(jù)發(fā)送端和數(shù)據(jù)接收端所采用的具體處理方式在之前的方法描述中已經(jīng)詳細(xì)描述,故在些不再贅述����。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
�����,但本發(fā)明的保護(hù)范圍并不局限于此���,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明披露的技術(shù)范圍內(nèi),可輕易想到的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此�����,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書(shū)的保護(hù)范圍為準(zhǔn)�。
權(quán)利要求
1.一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法,其特征在于����,包括 在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)�����; 在數(shù)據(jù)發(fā)送端�����,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理��,并發(fā)送經(jīng)過(guò)加密處理后的數(shù)據(jù)���; 在數(shù)據(jù)接收端��,基于建立的隧道對(duì)接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作��,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備���。
2.根據(jù)權(quán)利要求I所述的方法����,其特征在于��,所述的數(shù)據(jù)發(fā)送端包括終端設(shè)備或交換機(jī)或接入設(shè)備�;所述的數(shù)據(jù)接收端包括終端設(shè)備或交換機(jī)或接入設(shè)備。
3.根據(jù)權(quán)利要求I所述的方法�,其特征在于,所述的工業(yè)網(wǎng)絡(luò)包括工業(yè)冗余以太網(wǎng)�����。
4.根據(jù)權(quán)利要求1�、2或3所述的方法,其特征在于�,該方法還包括 數(shù)據(jù)發(fā)送端在探測(cè)到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)后����,對(duì)所述第一終端設(shè)備進(jìn)行接入認(rèn)證����,并僅對(duì)通過(guò)接入認(rèn)證的第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理��; 和/或���, 網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來(lái)的管理操作信息后,對(duì)所述管理用戶進(jìn)行認(rèn)證���,并僅對(duì)通過(guò)認(rèn)證的管理用戶發(fā)送來(lái)的管理操作信息執(zhí)行對(duì)應(yīng)的管理操作�����; 和/或����, 數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來(lái)的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后���,根據(jù)預(yù)先定義的第一訪問(wèn)控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù)��,并僅在確定允許的情況下����,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理����; 和/或�����, 數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來(lái)的加密處理后的數(shù)據(jù)后�����,根據(jù)預(yù)先定義的第二訪問(wèn)控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù)���,并僅在確定允許的情況下,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作�����。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述的接入認(rèn)證包括基于IEEE802.Ix的認(rèn)證�����,或者����,基于端口安全的接入認(rèn)證。
6.根據(jù)權(quán)利要求5所述的方法�����,其特征在于�����,若所述的接入認(rèn)證為基于IEEE802.Ix的認(rèn)證�����,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互�����,且所述認(rèn)證信息通過(guò)所述建立的隧道進(jìn)行傳遞�����。
7.根據(jù)權(quán)利要求4所述的方法���,其特征在于��,所述的第一ACL中預(yù)先定義了終端設(shè)備的源地址及允許該終端設(shè)備訪問(wèn)的目的地址或網(wǎng)絡(luò)服務(wù)����,第二 ACL中的預(yù)先定義了經(jīng)過(guò)隧道加密的數(shù)據(jù)幀的特性。
8.一種增強(qiáng)網(wǎng)絡(luò)安全性能的系統(tǒng)��,其特征在于�����,包括 數(shù)據(jù)發(fā)送端����,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后����,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理,并將經(jīng)過(guò)加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端��; 數(shù)據(jù)接收端����,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于基于建立的隧道對(duì)接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作���,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備���。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于�����,該系統(tǒng)還包括所述數(shù)據(jù)發(fā)送端在探測(cè)到第一終端設(shè)備的接入后�,或接收第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)后,還對(duì)所述第一終端設(shè)備進(jìn)行接入認(rèn)證����,并僅對(duì)通過(guò)接入認(rèn)證的第一終端設(shè)備發(fā)送來(lái)的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理; 和/或�, 網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來(lái)的管理操作信息后,對(duì)所述管理用戶進(jìn)行認(rèn)證���,并僅對(duì)通過(guò)認(rèn)證的管理用戶發(fā)送來(lái)的管理操作信息執(zhí)行對(duì)應(yīng)的管理操作�����; 和/或�����, 所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來(lái)的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后��,還根據(jù)預(yù)先定義的第一訪問(wèn)控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù)���,并僅在確定允許的情況下�,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理���; 和/或��, 所述數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來(lái)的加密處理后的數(shù)據(jù)后�����,根據(jù)預(yù)先定義的第二訪問(wèn)控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù)��,并僅在確定允許的情況下�����,對(duì)所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作����。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)���,其特征在于����,若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互��,且所述認(rèn)證信息通過(guò)所述建立的隧道進(jìn)行傳遞�。
全文摘要
本發(fā)明公開(kāi)了一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法及系統(tǒng)�,包括在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)���;在數(shù)據(jù)發(fā)送端�����,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理�����,并發(fā)送經(jīng)過(guò)加密處理后的數(shù)據(jù)����;在數(shù)據(jù)接收端���,基于建立的隧道對(duì)接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作��,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備���。本發(fā)明實(shí)施例提供了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下�,增強(qiáng)網(wǎng)絡(luò)安全特性的技術(shù)方案�����。在該技術(shù)方案中�����,采用加密隧道技術(shù)保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性����,從而可以有效保證工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)傳遞的安全性能。
文檔編號(hào)H04L12/46GK102790775SQ20121027179
公開(kāi)日2012年11月21日 申請(qǐng)日期2012年8月1日 優(yōu)先權(quán)日2012年8月1日
發(fā)明者張建良, 張立殷, 鄭毅彬 申請(qǐng)人:北京映翰通網(wǎng)絡(luò)技術(shù)有限公司