多協(xié)議工業(yè)通信安全網(wǎng)關(guān)及應(yīng)用該網(wǎng)關(guān)的通信方法
【專利摘要】本發(fā)明涉及一種多協(xié)議工業(yè)通信安全網(wǎng)關(guān)及應(yīng)用該網(wǎng)關(guān)的通信方法。在數(shù)據(jù)通信時,源網(wǎng)關(guān)利用密鑰管理機(jī)制模塊和VPN加解密模塊對數(shù)據(jù)進(jìn)行加密后,發(fā)送給目標(biāo)網(wǎng)關(guān)。目標(biāo)網(wǎng)關(guān)通過VPN加解密模塊進(jìn)行解密,然后利用安全域安全防護(hù)模塊,對數(shù)據(jù)通信提供安全檢測及控制服務(wù);如果數(shù)據(jù)安全,則對應(yīng)用層數(shù)據(jù)進(jìn)行密鑰解密;判斷應(yīng)用層數(shù)據(jù)類型,如果是應(yīng)用管理數(shù)據(jù)則利用應(yīng)用管理安全模塊進(jìn)行管理,如果是應(yīng)用層報文則調(diào)用應(yīng)用層報文檢測和過濾模塊對報文進(jìn)行檢測過濾管理。本發(fā)明采用VPN加解密、密鑰加解密、應(yīng)用層報文檢測及過濾等3種措施相結(jié)合的方式進(jìn)行通信安全保證;采用安全域安全防護(hù)和應(yīng)用安全管理兩種措施進(jìn)行網(wǎng)關(guān)應(yīng)用安全保證。
【專利說明】多協(xié)議工業(yè)通信安全網(wǎng)關(guān)及應(yīng)用該網(wǎng)關(guān)的通信方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種安全網(wǎng)關(guān)產(chǎn)品,尤其涉及一種多協(xié)議工業(yè)通信安全網(wǎng)關(guān)及應(yīng)用該網(wǎng)關(guān)的通信方法。
【背景技術(shù)】
[0002]一般工業(yè)控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換需要工業(yè)通信網(wǎng)關(guān)進(jìn)行轉(zhuǎn)換,由于工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)通信涉及多種工業(yè)通信協(xié)議,工業(yè)控制網(wǎng)關(guān)比較注重協(xié)議數(shù)據(jù)轉(zhuǎn)換,現(xiàn)有的通用網(wǎng)關(guān)大都只針對一種協(xié)議,因此無法直接應(yīng)用到工業(yè)控制網(wǎng)絡(luò)中。而且現(xiàn)有網(wǎng)關(guān)的安全防護(hù)比較薄弱,無法保障工業(yè)控制網(wǎng)絡(luò)的通信安全。
【發(fā)明內(nèi)容】
[0003]為解決上述問題,本發(fā)明提供了一種可支持多種工業(yè)控制通信協(xié)議的通信安全網(wǎng)關(guān),能保證數(shù)據(jù)通信安全和網(wǎng)關(guān)應(yīng)用安全。
[0004]本發(fā)明所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),包括:
密鑰管理機(jī)制模塊,用于采用非對稱算法密鑰管理的數(shù)字信封技術(shù)對密鑰的管理和獲取過程進(jìn)行加解密管理以及對應(yīng)用層數(shù)據(jù)的加密和解密;應(yīng)用層數(shù)據(jù)是指到達(dá)或經(jīng)過安全網(wǎng)關(guān)的管理數(shù)據(jù)、工業(yè)通信協(xié)議數(shù)據(jù)以及網(wǎng)關(guān)日志的遠(yuǎn)程備份數(shù)據(jù);
VPN加解密模塊,用于對訪問數(shù)據(jù)進(jìn)行VPN加密和解密;訪問數(shù)據(jù)是指所有到達(dá)或經(jīng)過網(wǎng)關(guān)的數(shù)據(jù),包括密鑰加密的數(shù)據(jù),這樣可以對重要通信數(shù)據(jù)進(jìn)行雙重加密,最大程度保證通信數(shù)據(jù)的安全;
安全域安全防護(hù)模塊,用于對數(shù)據(jù)通信提供病毒防御、入侵防御、應(yīng)用識別、流量控制、NAT處理安全檢測及控制服務(wù);
應(yīng)用層報文檢測和過濾模塊,用于對應(yīng)用層管理數(shù)據(jù)報文和日志遠(yuǎn)程備份數(shù)據(jù)報文進(jìn)行報文格式檢測及基于白名單的IP地址過濾,并對應(yīng)用層工業(yè)通信數(shù)據(jù)報文進(jìn)行報文格式檢測及基于白名單的IP地址、指令、敏感數(shù)據(jù)的過濾;
應(yīng)用管理安全模塊用于對數(shù)據(jù)通信進(jìn)行登錄管理、權(quán)限管理和安全審計。
[0005]本發(fā)明所述網(wǎng)關(guān)既可作為源網(wǎng)關(guān),也可作為目標(biāo)網(wǎng)關(guān)。在數(shù)據(jù)通信時,源網(wǎng)關(guān)利用密鑰管理機(jī)制模塊和VPN加解密模塊對數(shù)據(jù)進(jìn)行加密后,發(fā)送給目標(biāo)網(wǎng)關(guān)。目標(biāo)網(wǎng)關(guān)通過VPN加解密模塊進(jìn)行解密,然后利用安全域安全防護(hù)模塊,對數(shù)據(jù)通信提供安全檢測及控制服務(wù);如果數(shù)據(jù)安全,則對應(yīng)用層數(shù)據(jù)進(jìn)行密鑰解密;判斷應(yīng)用層數(shù)據(jù)類型,如果是應(yīng)用管理數(shù)據(jù)則利用應(yīng)用管理安全模塊進(jìn)行管理,如果是應(yīng)用層報文則調(diào)用應(yīng)用層報文檢測和過濾模塊對報文進(jìn)行檢測過濾管理。
[0006]本發(fā)明采用VPN加密與密鑰加密相結(jié)合方式,可保障系統(tǒng)通信數(shù)據(jù)的高度安全。VPN代理對數(shù)據(jù)包進(jìn)行安全性的封裝并同時進(jìn)行加密處理,經(jīng)過內(nèi)置壓縮算法對數(shù)據(jù)流進(jìn)行壓縮后再傳輸,所需的帶寬比實際互聯(lián)網(wǎng)接入的帶寬要低很多,無形中極大地節(jié)省了帶寬并提高了數(shù)據(jù)流的轉(zhuǎn)發(fā)速度,并保證了數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全性。密鑰加密針對應(yīng)用層數(shù)據(jù)進(jìn)行加密,保證了應(yīng)用層數(shù)據(jù)的安全。兩種加密相互配合既保障了數(shù)據(jù)輸出過程中的安全,特別是應(yīng)用層數(shù)據(jù)的安全性達(dá)到高安全強(qiáng)度等級。
[0007]進(jìn)一步,VPN加密和解密方式為IPSec、GRE、SSL、L2TP中的一種。
[0008]進(jìn)一步,所述的應(yīng)用層報文檢測和過濾模塊包括白名單管理、安全策略管理、協(xié)議檢測、協(xié)議過濾。網(wǎng)關(guān)基于白名單方式設(shè)計安全功能,白名單既包含IP地址及端口號的白名單,還包含協(xié)議的指令及寄存器地址訪問的白名單。網(wǎng)關(guān)針對所有管理用戶提供安全策略,系統(tǒng)提供1000種安全管理策略,網(wǎng)關(guān)根據(jù)提供的安全策略及通信協(xié)議本身對通信數(shù)據(jù)進(jìn)行協(xié)議檢測及過濾,經(jīng)過協(xié)議檢測及過濾通過的數(shù)據(jù)經(jīng)密鑰加密、VPN加密后轉(zhuǎn)發(fā)出去。
[0009]進(jìn)一步,所述的登錄管理包括身份鑒別、多重鑒別、鑒別失敗處理、登錄超時管理。網(wǎng)關(guān)具有系統(tǒng)管理員、安全管理員、審計管理員3種管理員角色,每個角色具有不同的權(quán)限,必須在具備的權(quán)限內(nèi)進(jìn)行訪問和操作。
[0010]進(jìn)一步,所述的安全審計是指系統(tǒng)對VPN加解密、密鑰加解密、安全域安全防護(hù)、應(yīng)用管理、報文檢測與過濾行為進(jìn)行安全審計,形成審計日志,并提供日志的分類查詢及存儲管理。
[0011]進(jìn)一步,所述的應(yīng)用安全管理模塊同時采取用戶名密碼和數(shù)字證書兩種方式進(jìn)行身份鑒別。網(wǎng)關(guān)采用遠(yuǎn)程WEB方式對網(wǎng)關(guān)進(jìn)行管理配置,因此具有應(yīng)用安全管理模塊為網(wǎng)關(guān)提供安全防護(hù)。應(yīng)用安全管理模塊提供了兩種身份鑒別,只有兩種方式都鑒別成功后才可以登錄系統(tǒng)配置,當(dāng)發(fā)生多次鑒別失敗后系統(tǒng)將中止服務(wù)并將登錄的用戶IP及用戶列入黑名單。用戶登錄后根據(jù)身份分配權(quán)限,對系統(tǒng)進(jìn)行參數(shù)設(shè)置等操作。安全審計功能將記錄所有經(jīng)過網(wǎng)關(guān)的參數(shù)管理、安全檢查、協(xié)議過濾等業(yè)務(wù)數(shù)據(jù)進(jìn)行跟蹤審計,保證網(wǎng)關(guān)的運行全方位審計控制。
[0012]該網(wǎng)關(guān)支持基于工業(yè)以太網(wǎng)的協(xié)議和基于RS485總線的工業(yè)協(xié)議?;诠I(yè)以太網(wǎng)的協(xié)議有BACNet/IP、Ethnet/IP、DNP3、Modbus/TCP等,基于RS485總線的工業(yè)協(xié)議有Modbus-RTU,DLT645-2007、CJ/T188-1999 等。
[0013]應(yīng)用所述多協(xié)議工業(yè)通信安全網(wǎng)關(guān)的通信方法,包括源網(wǎng)關(guān)和目標(biāo)網(wǎng)關(guān),源網(wǎng)關(guān)與目標(biāo)網(wǎng)關(guān)分布在工業(yè)控制網(wǎng)絡(luò)的管理網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間,包括以下步驟:
51、源網(wǎng)關(guān)對待發(fā)送的合格數(shù)據(jù)先進(jìn)行密鑰加密,再進(jìn)行VPN加密后發(fā)送到目標(biāo)網(wǎng)關(guān);
52、目標(biāo)網(wǎng)關(guān)將接收到的數(shù)據(jù)進(jìn)行VPN解密和密鑰解密,同時對數(shù)據(jù)通信進(jìn)行安全域安全防護(hù)和應(yīng)用安全管理,將解密后的應(yīng)用層數(shù)據(jù)經(jīng)應(yīng)用層報文檢測和過濾模塊檢測和過濾后,將合格數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)。安全域安全防護(hù)為網(wǎng)關(guān)提供防病毒、入侵攻擊、流控、應(yīng)用識另|J、NAT服務(wù)等系統(tǒng)安全保證,應(yīng)用安全管理為網(wǎng)關(guān)提供配置登錄管理、權(quán)限分配管理、安全審計管理等應(yīng)用安全保證。
[0014]S2步驟的具體步驟如下:
S2-1、對接收到的數(shù)據(jù)利用安全域安全防護(hù)模塊進(jìn)行VPN解密,若VPN數(shù)據(jù)包被破壞則數(shù)據(jù)阻止,并進(jìn)行安全審計,記錄數(shù)據(jù)被阻止的時間、源地址、目標(biāo)地址、阻止原因信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫;否則從遠(yuǎn)程密鑰服務(wù)器獲取密鑰,并利用密鑰對應(yīng)用數(shù)據(jù)進(jìn)行數(shù)據(jù)解密;
S2-2、判定密鑰加密數(shù)據(jù)是否被破壞,若被破壞,則數(shù)據(jù)阻止并進(jìn)行安全審計,記錄數(shù)據(jù)被阻止的時間、源地址、目標(biāo)地址、阻止原因信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫,否則判定是否為系統(tǒng)配置數(shù)據(jù),若是,則進(jìn)入S2-3步驟;若不是,則進(jìn)入S2-4步驟;
S2-3、進(jìn)入系統(tǒng)配置登錄鑒別系統(tǒng)進(jìn)行鑒別,鑒別成功后設(shè)置系統(tǒng)參數(shù)并進(jìn)行安全審計,記錄鑒別時間、源地址、鑒別用戶、鑒別結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫;鑒別不成功則進(jìn)行鑒別失敗處理;
S2-4、判定數(shù)據(jù)為通信業(yè)務(wù)數(shù)據(jù),通過安全策略獲得工業(yè)控制協(xié)議的類型,并檢查協(xié)議的格式及協(xié)議校驗,協(xié)議檢查合格進(jìn)入S2-5協(xié)議過濾步驟,否則數(shù)據(jù)阻止并進(jìn)行安全審計,記錄事件時間、源地址、目的地址、檢查結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫;S2-5、協(xié)議過濾功能獲取安全策略得到白名單,并對協(xié)議數(shù)據(jù)進(jìn)行過濾,數(shù)據(jù)合格進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),否則進(jìn)行數(shù)據(jù)阻止并安全審計,記錄事件時間、源地址、目的地址、過濾結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫。
[0015]進(jìn)一步,所述的鑒別失敗處理為鑒別失敗后中止服務(wù)程序,如果同一賬戶短時間內(nèi)超過3次登錄失敗則將登錄地址與該賬戶加入黑名單禁止再次訪問,并進(jìn)行安全審計,記錄鑒別時間、源地址、鑒別用戶、鑒別結(jié)果等信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫。
[0016]本發(fā)明的有益效果:
1、采用VPN加解密、密鑰加解密、應(yīng)用層報文檢測及過濾等3種措施相結(jié)合的方式進(jìn)行通信安全保證。三種通信安全保證措施將確保工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)通信的高安全強(qiáng)度,特別是應(yīng)用報文的檢測及過濾可以有效阻止誤操作或人為破壞,保證工業(yè)設(shè)備及設(shè)備使用、維修人員的安全。
[0017]2、采用安全域安全防護(hù)和應(yīng)用安全管理兩種措施進(jìn)行網(wǎng)關(guān)應(yīng)用安全保證。安全域安全防護(hù)主要提供對外部網(wǎng)關(guān)底層支撐系統(tǒng)比如Linux操作系統(tǒng)的防護(hù),比如病毒防御、入侵防御、流量控制、應(yīng)用識別、NAT處理等。應(yīng)用安全管理主要通過用戶登錄、用戶權(quán)限等措施保證網(wǎng)關(guān)的參數(shù)設(shè)置等設(shè)置項的安全。并對網(wǎng)關(guān)的所有行為進(jìn)行安全審計形成審計日志,這樣可以追溯網(wǎng)關(guān)的行為記錄,并分析潛在的威脅或侵害。
[0018]3、網(wǎng)關(guān)支持多種協(xié)議,可適用于樓宇自控、SCADA及其他工業(yè)DCS系統(tǒng)。
【專利附圖】
【附圖說明】
[0019]圖1是本發(fā)明所述安全網(wǎng)關(guān)的系統(tǒng)部署圖;
圖2是本發(fā)明所述安全網(wǎng)關(guān)的工作原理圖;
圖3是本發(fā)明通信方法的流程圖。
【具體實施方式】
[0020]一種多協(xié)議工業(yè)通信安全網(wǎng)關(guān),包括:
密鑰管理機(jī)制模塊,用于采用非對稱算法密鑰管理的數(shù)字信封技術(shù)對密鑰的管理和獲取過程進(jìn)行加解密管理以及對應(yīng)用層數(shù)據(jù)的加密和解密;應(yīng)用層數(shù)據(jù)是指到達(dá)或經(jīng)過安全網(wǎng)關(guān)的管理數(shù)據(jù)、工業(yè)通信協(xié)議數(shù)據(jù)以及網(wǎng)關(guān)日志的遠(yuǎn)程備份數(shù)據(jù);
VPN加解密模塊,用于對訪問數(shù)據(jù)進(jìn)行VPN加密和解密;訪問數(shù)據(jù)是指所有到達(dá)或經(jīng)過網(wǎng)關(guān)的數(shù)據(jù),包括密鑰加密的數(shù)據(jù),這樣可以對重要通信數(shù)據(jù)進(jìn)行雙重加密,最大程度保證通信數(shù)據(jù)的安全;VPN加密和解密方式為IPSec、GRE、SSL、L2TP中的一種。
[0021]安全域安全防護(hù)模塊,用于對數(shù)據(jù)通信提供病毒防御、入侵防御、應(yīng)用識別、流量控制、NAT處理安全檢測及控制服務(wù);
應(yīng)用層報文檢測和過濾模塊,用于對應(yīng)用層管理數(shù)據(jù)報文和日志遠(yuǎn)程備份數(shù)據(jù)報文進(jìn)行報文格式檢測及基于白名單的IP地址過濾,并對應(yīng)用層工業(yè)通信數(shù)據(jù)報文進(jìn)行報文格式檢測及基于白名單的IP地址、指令、敏感數(shù)據(jù)的過濾;
應(yīng)用管理安全模塊用于對數(shù)據(jù)通信進(jìn)行登錄管理、權(quán)限管理和安全審計。其中,登錄管理包括身份鑒別、多重鑒別、鑒別失敗處理、登錄超時管理。網(wǎng)關(guān)具有系統(tǒng)管理員、安全管理員、審計管理員3種管理員角色,每個角色具有不同的權(quán)限,必須在具備的權(quán)限內(nèi)進(jìn)行訪問和操作。安全審計是指系統(tǒng)對VPN加解密、密鑰加解密、安全域安全防護(hù)、應(yīng)用管理、報文檢測與過濾行為進(jìn)行安全審計,形成審計日志,并提供日志的分類查詢及存儲管理。應(yīng)用安全管理模塊同時采取用戶名密碼和數(shù)字證書兩種方式進(jìn)行身份鑒別。只有兩種方式都鑒別成功后才可以登錄系統(tǒng)配置,當(dāng)發(fā)生多次鑒別失敗后系統(tǒng)將中止服務(wù)并將登錄的用戶IP及用戶列入黑名單。
[0022]該網(wǎng)關(guān)支持基于工業(yè)以太網(wǎng)的協(xié)議和基于RS485總線的工業(yè)協(xié)議?;诠I(yè)以太網(wǎng)的協(xié)議有BACNet/IP、Ethnet/IP、DNP3、Modbus/TCP等,基于RS485總線的工業(yè)協(xié)議有Modbus-RTU,DLT645-2007、CJ/T188-1999 等。
[0023]圖1為安全網(wǎng)關(guān)的系統(tǒng)部署圖。將網(wǎng)關(guān)部署在工業(yè)控制網(wǎng)絡(luò)的管理網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間,在管理網(wǎng)絡(luò)部署管理網(wǎng)關(guān),控制網(wǎng)絡(luò)部署控制網(wǎng)關(guān),管理網(wǎng)關(guān)與控制網(wǎng)關(guān)經(jīng)過工業(yè)局域網(wǎng)進(jìn)行數(shù)據(jù)交換,管理網(wǎng)關(guān)及控制網(wǎng)關(guān)都可以作為源網(wǎng)關(guān)或目標(biāo)網(wǎng)關(guān)。
[0024]圖2主要說明安全網(wǎng)關(guān)的工作原理圖。源網(wǎng)關(guān)將合格的發(fā)送數(shù)據(jù)經(jīng)過密鑰加密及VPN加密后發(fā)送到目標(biāo)網(wǎng)關(guān),目標(biāo)網(wǎng)關(guān)接收到數(shù)據(jù)經(jīng)過VPN解密及密鑰解密后將解密后的應(yīng)用層數(shù)據(jù)經(jīng)應(yīng)用層報文檢測和過濾模塊檢測和過濾后,將合格數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)。安全域安全防護(hù)為網(wǎng)關(guān)提供防病毒、入侵攻擊、流量控制、應(yīng)用識別、NAT服務(wù)等系統(tǒng)安全保證,應(yīng)用安全管理為網(wǎng)關(guān)提供配置登錄管理、權(quán)限分配管理、安全審計管理等應(yīng)用安全保證。
[0025]圖3為利用本發(fā)明所述安全網(wǎng)關(guān)進(jìn)行安全通信的方法流程圖,圖中主要展示的是目標(biāo)網(wǎng)關(guān)對數(shù)據(jù)的處理流程,源網(wǎng)關(guān)只是對數(shù)據(jù)進(jìn)行加密,具體過程未在圖中展示。該通信方法包括以下步驟:
S1、源網(wǎng)關(guān)對待發(fā)送的合格數(shù)據(jù)先進(jìn)行密鑰加密,再進(jìn)行VPN加密后發(fā)送到目標(biāo)網(wǎng)關(guān)。
[0026]S2、目標(biāo)網(wǎng)關(guān)對接收到的數(shù)據(jù)進(jìn)行解密及檢測和過濾處理:
S2-1、對接收到的數(shù)據(jù)利用安全域安全防護(hù)模塊進(jìn)行VPN解密,若VPN數(shù)據(jù)包被破壞則數(shù)據(jù)阻止,并進(jìn)行安全審計,記錄數(shù)據(jù)被阻止的時間、源地址、目標(biāo)地址、阻止原因信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫;否則從遠(yuǎn)程密鑰服務(wù)器獲取密鑰,并利用密鑰對應(yīng)用數(shù)據(jù)進(jìn)行數(shù)據(jù)解密。
[0027]S2-2、判定密鑰加密數(shù)據(jù)是否被破壞,若被破壞,則數(shù)據(jù)阻止并進(jìn)行安全審計,記錄數(shù)據(jù)被阻止的時間、源地址、目標(biāo)地址、阻止原因信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫,否則判定是否為系統(tǒng)配置數(shù)據(jù)(是否是符合https數(shù)據(jù)),若是,則進(jìn)入S2-3步驟;若不是,則進(jìn)入S2-4步驟。
[0028]S2-3、進(jìn)入系統(tǒng)配置登錄鑒別系統(tǒng)進(jìn)行鑒別,鑒別系統(tǒng)利用用戶名密碼及數(shù)字證書多重鑒別方式,鑒別成功進(jìn)行權(quán)限管理對管理員賦予權(quán)限,并檢測用戶登錄是否超時,如果超時需要重新登錄,否則進(jìn)入系統(tǒng)參數(shù)設(shè)置,設(shè)置完成后進(jìn)行安全審計,記錄鑒別時間、源地址、鑒別用戶、鑒別結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫。鑒別不成功則進(jìn)行鑒別失敗處理,鑒別失敗后中止服務(wù)程序,如果同一賬戶短時間內(nèi)超過3次登錄失敗則將登錄地址與該賬戶加入黑名單禁止再次訪問,并進(jìn)行安全審計,記錄鑒別時間、源地址、鑒別用戶、鑒別結(jié)果等信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫。
[0029]S2-4、若系統(tǒng)數(shù)據(jù)不是系統(tǒng)配置數(shù)據(jù),而是通信業(yè)務(wù)數(shù)據(jù),通過安全策略獲得工業(yè)控制協(xié)議的類型,并檢查協(xié)議的格式及協(xié)議校驗,協(xié)議檢查合格進(jìn)入S2-5協(xié)議過濾步驟,否則數(shù)據(jù)阻止并進(jìn)行安全審計,記錄事件時間、源地址、目的地址、檢查結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫;
S2-5、協(xié)議過濾功能獲取安全策略得到白名單,并對協(xié)議數(shù)據(jù)進(jìn)行過濾,數(shù)據(jù)合格進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),否則進(jìn)行數(shù)據(jù)阻止并安全審計,記錄事件時間、源地址、目的地址、過濾結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫。
【權(quán)利要求】
1.一種多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于包括: 密鑰管理機(jī)制模塊,用于采用非對稱算法密鑰管理的數(shù)字信封技術(shù)對密鑰的管理和獲取過程進(jìn)行加解密管理以及對應(yīng)用層數(shù)據(jù)的加密和解密; VPN加解密模塊,用于對訪問數(shù)據(jù)進(jìn)行VPN加密和解密; 安全域安全防護(hù)模塊,用于對數(shù)據(jù)通信提供病毒防御、入侵防御、應(yīng)用識別、流量控制、NAT處理安全檢測及控制服務(wù); 應(yīng)用層報文檢測和過濾模塊,用于對應(yīng)用層管理數(shù)據(jù)報文和日志遠(yuǎn)程備份數(shù)據(jù)報文進(jìn)行報文格式檢測及基于白名單的IP地址過濾,并對應(yīng)用層工業(yè)通信數(shù)據(jù)報文進(jìn)行報文格式檢測及基于白名單的IP地址、指令、敏感數(shù)據(jù)的過濾; 應(yīng)用管理安全模塊用于對數(shù)據(jù)通信進(jìn)行登錄管理、權(quán)限管理和安全審計。
2.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:VPN加密和解密方式為 IPSec、GRE、SSL、L2TP 中的一種。
3.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:所述的應(yīng)用層報文檢測和過濾模塊包括白名單管理、安全策略管理、協(xié)議檢測、協(xié)議過濾。
4.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:所述的登錄管理包括身份鑒別、多重鑒別、鑒別失敗處理、登錄超時管理。
5.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:所述的安全審計是指系統(tǒng)對VPN加解密、密鑰加解密、安全域安全防護(hù)、應(yīng)用管理、報文檢測與過濾行為進(jìn)行安全審計,形成審計日志,并提供日志的分類查詢及存儲管理。
6.根據(jù)權(quán)利要求1所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:所述的應(yīng)用安全管理模塊同時采取用戶名密碼和數(shù)字證書兩種方式進(jìn)行身份鑒別。
7.根據(jù)權(quán)利要求1-6任一項所述的多協(xié)議工業(yè)通信安全網(wǎng)關(guān),其特征在于:該網(wǎng)關(guān)支持基于工業(yè)以太網(wǎng)的協(xié)議和基于RS485總線的工業(yè)協(xié)議。
8.應(yīng)用權(quán)7所述多協(xié)議工業(yè)通信安全網(wǎng)關(guān)的通信方法,包括源網(wǎng)關(guān)和目標(biāo)網(wǎng)關(guān),源網(wǎng)關(guān)與目標(biāo)網(wǎng)關(guān)分布在工業(yè)控制網(wǎng)絡(luò)的管理網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間,其特征在于:包括以下步驟: 51、源網(wǎng)關(guān)對待發(fā)送的合格數(shù)據(jù)先進(jìn)行密鑰加密,再進(jìn)行VPN加密后發(fā)送到目標(biāo)網(wǎng)關(guān); 52、目標(biāo)網(wǎng)關(guān)將接收到的數(shù)據(jù)進(jìn)行VPN解密和密鑰解密,同時對數(shù)據(jù)通信進(jìn)行安全域安全防護(hù)和應(yīng)用安全管理,將解密后的應(yīng)用層數(shù)據(jù)經(jīng)應(yīng)用層報文檢測和過濾模塊檢測和過濾后,將合格數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)。
9.根據(jù)權(quán)利要求8所述的通信方法,其特征在于:S2步驟的具體步驟如下: S2-1、對接收到的數(shù)據(jù)利用安全域安全防護(hù)模塊進(jìn)行VPN解密,若VPN數(shù)據(jù)包被破壞則數(shù)據(jù)阻止,并進(jìn)行安全審計,記錄數(shù)據(jù)被阻止的時間、源地址、目標(biāo)地址、阻止原因信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫;否則從遠(yuǎn)程密鑰服務(wù)器獲取密鑰,并利用密鑰對應(yīng)用數(shù)據(jù)進(jìn)行數(shù)據(jù)解密; S2-2、判定密鑰加密數(shù)據(jù)是否被破壞,若被破壞,則數(shù)據(jù)阻止并進(jìn)行安全審計,記錄數(shù)據(jù)被阻止的時間、源地址、目標(biāo)地址、阻止原因信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫,否則判定是否為系統(tǒng)配置數(shù)據(jù),若是,則進(jìn)入S2-3步驟;若不是,則進(jìn)入S2-4步驟; S2-3、進(jìn)入系統(tǒng)配置登錄鑒別系統(tǒng)進(jìn)行鑒別,鑒別成功后設(shè)置系統(tǒng)參數(shù)并進(jìn)行安全審計,記錄鑒別時間、源地址、鑒別用戶、鑒別結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫;鑒別不成功則進(jìn)行鑒別失敗處理; S2-4、判定數(shù)據(jù)為通信業(yè)務(wù)數(shù)據(jù),通過安全策略獲得工業(yè)控制協(xié)議的類型,并檢查協(xié)議的格式及協(xié)議校驗,協(xié)議檢查合格進(jìn)入S2-5協(xié)議過濾步驟,否則數(shù)據(jù)阻止并進(jìn)行安全審計,記錄事件時間、源地址、目的地址、檢查結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫;S2-5、協(xié)議過濾功能獲取安全策略得到白名單,并對協(xié)議數(shù)據(jù)進(jìn)行過濾,數(shù)據(jù)合格進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),否則進(jìn)行數(shù)據(jù)阻止并安全審計,記錄事件時間、源地址、目的地址、過濾結(jié)果信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫。
10.根據(jù)權(quán)利要求9所述的通信方法,其特征在于:所述的鑒別失敗處理為鑒別失敗后中止服務(wù)程序,如果同一賬戶短時間內(nèi)超過3次登錄失敗則將登錄地址與該賬戶加入黑名單禁止再次訪問,并進(jìn)行安全審計,記錄鑒別時間、源地址、鑒別用戶、鑒別結(jié)果等信息,形成審計日志并存儲到網(wǎng)關(guān)數(shù)據(jù)庫。
【文檔編號】H04L29/06GK104320332SQ201410638244
【公開日】2015年1月28日 申請日期:2014年11月13日 優(yōu)先權(quán)日:2014年11月13日
【發(fā)明者】周文奇, 李因東, 唐華, 丁英峰, 王德宣, 黃彩琳 申請人:濟(jì)南華漢電氣科技有限公司