專利名稱:網(wǎng)絡(luò)安全設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及工業(yè)網(wǎng)絡(luò)安全����,尤其涉及網(wǎng)絡(luò)安全設(shè)備以及部署和 管理這些設(shè)備以保護(hù)工業(yè)裝置的方法。
背景技術(shù):
在對諸如發(fā)電和配電����、石油生產(chǎn)、運(yùn)輸��、制造和健康服務(wù)之類的關(guān)鍵工業(yè)系統(tǒng)進(jìn)行管理時(shí)使用的監(jiān)視控制和數(shù)據(jù)采集(SCADA)和 自動(dòng)控制設(shè)備通過使用諸如Ethernet�、 TCP/IP和web服務(wù)之類的流 行通信技術(shù)日益互連起來。雖然SCADA和自動(dòng)控制設(shè)備的聯(lián)網(wǎng)以改進(jìn) 的信息流和效率的形式帶來相當(dāng)多的優(yōu)點(diǎn)�����,但是一旦從世界各地都可 以訪問分離的裝置和網(wǎng)絡(luò)時(shí)����,這些系統(tǒng)也有可能受到病毒、黑客和恐 怖分子的威脅��。當(dāng)前�,存在大量的保護(hù)不充分的控制裝置遍布世界各 地。這些控制裝置負(fù)責(zé)諸如電力傳輸變電所�、氣體管線、制造工廠等 等的關(guān)鍵系統(tǒng)和基礎(chǔ)設(shè)施的安全操作�,然而同時(shí)很大程度上未對它們 進(jìn)行保護(hù)以避免它們成為惡意攻擊的目標(biāo)。傳統(tǒng)的安全解決方案是基于用來保護(hù)不安全的內(nèi)部裝置或計(jì)算 機(jī)不受外界攻擊的中心防火墻��,這種設(shè)計(jì)不能滿足工業(yè)控制領(lǐng)域的要 求?�,F(xiàn)存的控制器不提供驗(yàn)證�、完整(integrity)或加密機(jī)制,并 且可以被任何能夠發(fā)現(xiàn)或"ping"該網(wǎng)絡(luò)和相關(guān)裝置的個(gè)人完全地控 帝ij�。另外,他們不易于被修補(bǔ)或者添加安全特性���。 一旦病毒或黑客設(shè) 法沖破.(或已經(jīng)進(jìn)入)傳統(tǒng)防火墻���,由防火墻保護(hù)的諸如典型的可編 程邏輯控制器(PLC)或分布控制系統(tǒng)(DCS)之類的裝置就成為易于 攻擊的目標(biāo)��。在很多諸如輸油管線或配電系統(tǒng)的工業(yè)環(huán)境中�����,在包括偏遠(yuǎn)區(qū)域的寬廣地域上可以分布著數(shù)以百計(jì)的控制器裝置����。在這些偏遠(yuǎn)區(qū)域 通常沒有具備管理傳統(tǒng)安全裝置技能的人員����,因此即使裝置只需要進(jìn)行少量本地配置也是無法接受的。例如�����,提供"透明的"操作的當(dāng)前 防火墻產(chǎn)品仍然需要網(wǎng)絡(luò)屬性(諸如IP地址����、網(wǎng)關(guān)和網(wǎng)絡(luò)掩碼)的本地配置,否則它們就無法被遠(yuǎn)程控制�,這是SCADA領(lǐng)域的一個(gè)嚴(yán)重 的缺點(diǎn)。同樣地����,由于在這些分布控制系統(tǒng)中存在大量的分離區(qū)域(每 個(gè)都需要防火墻)�����,所以需要從中心區(qū)域同時(shí)管理數(shù)以百計(jì)的防火墻 的技術(shù),這就排除了采用基于"逐個(gè)"管理的流行小型辦公室防火墻 解決方案���。使該問題復(fù)雜化的是市場上存在數(shù)以千計(jì)不同的工業(yè)控制裝置 的零部件�����,其中每一個(gè)零部件采用了 350種以上的已知SCADA通信協(xié)議中的一種或多種進(jìn)行通信����。每種控制裝置都需要非常特殊的安全規(guī) 則以被正確保護(hù)����,例如一種流行的PLC對于包含超過125個(gè)字符的 URL的web請求具有不常見但是眾所周知的安全問題。在傳統(tǒng)防火墻 中人工地為每個(gè)被保護(hù)裝置的各個(gè)漏洞創(chuàng)建不同的規(guī)則會(huì)使整個(gè)防 火墻配置極度地復(fù)雜并且有很可能導(dǎo)致配置錯(cuò)誤�����?����!詈螅僮骱途S護(hù)這些SCADA系統(tǒng)的工作人員必然是進(jìn)行了高 度培訓(xùn)的控制系統(tǒng)專家�,而不是信息技術(shù)或安全專家。因此�,這些安 全系統(tǒng)的管理需要基于控制技術(shù)人員能夠理解的新范例,而不是傳統(tǒng) 的關(guān)注于網(wǎng)絡(luò)系統(tǒng)的管理和配置的網(wǎng)絡(luò)技術(shù)��。如果沒有針對控制技術(shù) 人員和控制產(chǎn)品的解決方案�����,則可能在任何安全解決方案的建立和管 理中出現(xiàn)嚴(yán)重缺陷���。因此����,需要用于SCAM和自動(dòng)控制設(shè)備的網(wǎng)絡(luò)安全設(shè)備����,該網(wǎng)絡(luò)安全設(shè)備易于配置并且可被遠(yuǎn)程可控,并且有助于保護(hù)廣泛分布工 業(yè)環(huán)境中的具備網(wǎng)絡(luò)功能的控制設(shè)備����。發(fā)明內(nèi)容提供了一種用于保護(hù)網(wǎng)絡(luò)環(huán)境中的工業(yè)裝置的方法、設(shè)備和系 統(tǒng)。在工業(yè)裝置的通信路徑上配置安全設(shè)備或節(jié)點(diǎn)��,所述安全設(shè)備或 節(jié)點(diǎn)在裝置和網(wǎng)絡(luò)之間透明地橋接業(yè)務(wù)����。當(dāng)與管理服務(wù)器通信時(shí),安 全設(shè)備利用工業(yè)裝置的網(wǎng)址�,并且管理服務(wù)器使用該裝置的地址訪問 該安全設(shè)備。安全設(shè)備沒有唯一的地址���,并且通過利用裝置地址而不是唯一的地并利用數(shù)據(jù)加密來提供隱身能力。安全設(shè)備通過監(jiān)視經(jīng)過的業(yè)務(wù)來獲知正在被保護(hù)的裝置的特 征�����。該特征然后被提供給管理服務(wù)器��,該管理服務(wù)器能使軟件和安全 規(guī)則適合于裝置的特殊網(wǎng)絡(luò)漏洞和裝置所使用的控制協(xié)議����。配置數(shù)據(jù) 通過安全連接被傳送給裝置,然后被用于配置安全設(shè)備的安全模塊�����。 安全設(shè)備攔截?cái)?shù)據(jù)包并且確定該包是來自于管理服務(wù)器還是網(wǎng)絡(luò)上 的其它裝置,以及是否應(yīng)該被發(fā)送到終端裝置或從終端裝置發(fā)送�。如 果業(yè)務(wù)指向終端裝置,則安全模塊管理業(yè)務(wù)以保證裝置安全�����。安全設(shè) 備利用裝置網(wǎng)址將周期心跳消息發(fā)送給管理服務(wù)器���。心跳消息還可以 描述需要從管理服務(wù)器向節(jié)點(diǎn)提供附加軟件的異常事件�����。因此����,本發(fā)明的一方面提供一種采用安全設(shè)備保護(hù)網(wǎng)絡(luò)工業(yè)裝 置的方法�����,該安全設(shè)備將網(wǎng)絡(luò)工業(yè)裝置耦接到數(shù)據(jù)網(wǎng)絡(luò)����,該方法包括 以下步驟在安全設(shè)備中,監(jiān)視從工業(yè)裝置到其它通過數(shù)據(jù)網(wǎng)絡(luò)可訪 問的裝置的數(shù)據(jù)業(yè)務(wù)�,用于確定與該工業(yè)裝置相關(guān)聯(lián)的屬性�;在安裝 設(shè)備中�,從被尋址到所述裝置的包中接收源自于與數(shù)據(jù)網(wǎng)絡(luò)相連接的 管理服務(wù)器的加密管理連接數(shù)據(jù);利用與該裝置相關(guān)聯(lián)的地址作為包 的始發(fā)地址來將確定的裝置屬性發(fā)送給管理服務(wù)器��;在安全設(shè)備中���, 從被尋址到所述裝置的包中接收源自于與數(shù)據(jù)網(wǎng)絡(luò)相連接的管理服 務(wù)器的加密配置數(shù)據(jù)���,其中配置數(shù)據(jù)是由管理服務(wù)器基于所提供的裝 置屬性選擇的;基于配置后的數(shù)據(jù)管理工業(yè)裝置和網(wǎng)絡(luò)之間的包�����;以 及利用與該裝置相關(guān)聯(lián)的地址作為包的始發(fā)地址將加密心跳數(shù)據(jù)周 期地發(fā)送給管理服務(wù)器�����。本發(fā)明的另一方面提供一種用于保護(hù)處在數(shù)據(jù)網(wǎng)絡(luò)中安全設(shè)備 的下游的一個(gè)或多個(gè)工業(yè)裝置的安全設(shè)備�,該安全設(shè)備包括心跳模 塊���,心跳模塊用于產(chǎn)生加密心跳消息����,并且利用與該裝置中的一個(gè)相 關(guān)聯(lián)的地址作為該包地始發(fā)地址;通信模塊����,用于處理從管理服務(wù)器 傳輸?shù)牟⑶野l(fā)給安全設(shè)備下游的一個(gè)裝置的包,該通信模塊對嵌入包 內(nèi)的數(shù)據(jù)進(jìn)行解密����;以及一個(gè)或多個(gè)可由管理服務(wù)器配置的安全模 塊,該模塊基于與工業(yè)裝置的每個(gè)或多個(gè)相關(guān)聯(lián)的安全描述檔對經(jīng)過 安全模塊的數(shù)據(jù)進(jìn)行安全管理�����,安全模塊處于網(wǎng)絡(luò)上的裝置和安全設(shè)備下游的一個(gè)或多個(gè)工業(yè)設(shè)備之間��。本發(fā)明的另一方面提供一種數(shù)據(jù)網(wǎng)絡(luò)���,該數(shù)據(jù)網(wǎng)絡(luò)包括多個(gè)網(wǎng) 絡(luò)工業(yè)裝置�;多個(gè)安全設(shè)備����,每個(gè)設(shè)備與多個(gè)工業(yè)設(shè)備中的一個(gè)或多 個(gè)相關(guān)聯(lián),安全設(shè)備透明地將工業(yè)裝置橋接到數(shù)據(jù)網(wǎng)絡(luò)�����,并且基于相 關(guān)聯(lián)的工業(yè)裝置的識別特征來對傳送到工業(yè)裝置的和來自工業(yè)裝置 的數(shù)據(jù)提供管理;管理服務(wù)器���,用于管理多個(gè)安全設(shè)備����;其中管理服 務(wù)器通過利用相關(guān)聯(lián)的工業(yè)裝置中的一個(gè)工業(yè)裝置的地址與多個(gè)安 全設(shè)備進(jìn)行通信���,多個(gè)安全設(shè)備利用相關(guān)聯(lián)的裝置的地址信息作為心 跳消息源將加密心跳信息周期地發(fā)送給管理服務(wù)器��。在參考附圖對本發(fā)明的特定實(shí)施例進(jìn)行如下描述后���,本發(fā)明的 其它方面和特點(diǎn)對于本領(lǐng)域的普通技術(shù)人員來說是顯見的。
結(jié)合附圖�,通過接下來的詳細(xì)描述,本發(fā)明的其它特點(diǎn)和優(yōu)點(diǎn) 將變得顯見�����,其中圖1圖示了與裝置串聯(lián)的安全設(shè)備的部署拓?fù)?�;圖2圖示了集成在網(wǎng)絡(luò)交換機(jī)中的多個(gè)安全設(shè)備的部署拓?fù)?;圖3圖示了與裝置集成在一起的安全設(shè)備的部署拓?fù)?�;圖4a圖示了保護(hù)多個(gè)裝置的安全設(shè)備的部署拓?fù)洌粓D4b是圖4a所示的部署拓?fù)涞倪壿媹D���;圖5以框圖形式圖示了安全設(shè)備����;圖6以框圖形式圖示了管理服務(wù)器�����;圖7圖示了預(yù)初始化階段消息流�����;圖8圖示了在裝置側(cè)的安全設(shè)備中的獲知模式的方法�;圖9圖示了在網(wǎng)絡(luò)側(cè)的安全設(shè)備中的獲知模式1勺方法;圖10圖示了初始化階段的消息流�����;圖11圖示了安全設(shè)備中的初始化階段的方法�����;圖12圖示了操作階段的消息流���;圖13圖示了在操作階段中安全節(jié)點(diǎn)處理業(yè)務(wù)的方法���; 圖14圖示了安全節(jié)點(diǎn)更新過程的方法����;圖15圖示了管理服務(wù)器建立與安全設(shè)備連接的方法����;以及圖16圖示了管理服務(wù)器監(jiān)視接收到的心跳數(shù)據(jù)包的業(yè)務(wù)的方法。注意���,在附圖中�����,相同的標(biāo)號表示相同的特征����。
具體實(shí)施方式
參考圖1至16����,下面僅通過示例的方式描述本發(fā)明實(shí)施例��。 保證工業(yè)裝置的網(wǎng)絡(luò)安全已經(jīng)變得越來越重要。終端裝置包括 任何具備網(wǎng)絡(luò)功能的裝置�,諸如計(jì)算裝置、工業(yè)處理設(shè)備(諸如智能 測量裝置)��、工業(yè)控制裝置(諸如PLC-可編程邏輯控制器���、RTU-遠(yuǎn) 程遙測/終端單元��、IED-智能電子裝置和DCS-分布控制系統(tǒng))�、醫(yī)療 裝置等等����。例如,在SCADA (監(jiān)視控制和數(shù)據(jù)采集)系統(tǒng)中�����,RTU(遠(yuǎn) 程終端單元)是安裝在偏遠(yuǎn)地區(qū)的裝置����,該裝置收集數(shù)據(jù),將數(shù)據(jù)編 碼為可以傳輸?shù)母袷?����,并且將該?shù)據(jù)傳輸返回到中心站或主站。RTU 還從主站收集信息����,并且執(zhí)行由主站指示的處理?���!猂TU可以配備用于 感測或測量的輸入信道,甩于控制��、指示或報(bào)警的輸出信道以及通信 端口��。SCADA和自動(dòng)控制系統(tǒng)通常是用于收集和分析實(shí)時(shí)數(shù)據(jù)以及控 制工業(yè)處理的計(jì)算機(jī)系統(tǒng)����。SCADA系統(tǒng)可以被用于監(jiān)視和控制諸如電 信、自來水和廢水控制���、能源����、石油和天然氣提煉和運(yùn)輸?shù)裙I(yè)中的 工廠或設(shè)備���。SCADA系統(tǒng)收集諸如沿管線的壓力描述信息�,將信息傳 遞回中心站點(diǎn)以警告主站壓力可能高于或低于安全界限�����,執(zhí)行必要的 分析和控制諸如確定情況是否緊急��,并且以邏輯和組織的形式顯示該 信息�。為了保護(hù)終端裝置,網(wǎng)絡(luò)安全設(shè)備或安全節(jié)點(diǎn)可以被連續(xù)地部 署在終端裝置的上游路徑中���,該終端裝置需要諸如防火墻�、侵入檢測��、 抗病毒掃描等等的保護(hù)����。安全節(jié)點(diǎn)沒有IP地址,因此簡化了配置并 且很難直接攻擊該節(jié)點(diǎn)�。當(dāng)安全節(jié)點(diǎn)取得被保護(hù)的裝置中的一個(gè)裝置 的IP地址時(shí),由安全節(jié)點(diǎn)產(chǎn)生的業(yè)務(wù)看起來來自該裝置���。當(dāng)安全節(jié) 點(diǎn)利用層2和層3級別的現(xiàn)有裝置地址與管理服務(wù)器進(jìn)行通信時(shí)��,不需要通過傳統(tǒng)防火墻中采用的諸如通過經(jīng)由動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)分配動(dòng)態(tài)尋址或通過手動(dòng)配置靜態(tài)尋址的公共IP尋址方法 來進(jìn)行裝置地址的重新映射��。假如管理服務(wù)器能將報(bào)文傳送到要被保護(hù)的終端裝置中的任何 一個(gè)��,則可以在控制或SCADA網(wǎng)絡(luò)中的任何位置�����,或通過互連的網(wǎng)絡(luò) 來管理安全節(jié)點(diǎn)�����。通過安全管理連接協(xié)議對安全節(jié)點(diǎn)進(jìn)行管理��。在管 理服務(wù)器與安全節(jié)點(diǎn)連接的過程中�����,只有流向或來自管理服務(wù)器的加 密業(yè)務(wù)被允許進(jìn)入或流出節(jié)點(diǎn)�����。所有離開節(jié)點(diǎn)的業(yè)務(wù)被警報(bào)為好像來 自該節(jié)點(diǎn)所保護(hù)的終端裝置�。尤其,如果攻擊者沒有獲得需要建立連 接的所有信息����,則他們甚至不知道節(jié)點(diǎn)就在那里���。安全節(jié)點(diǎn)可適用能運(yùn)行在因特網(wǎng)協(xié)議(IP)之上的任何協(xié)議。 具體的應(yīng)用協(xié)議可以包括超文本傳輸協(xié)議(HTTP)(用于通過web 瀏覽器查看要被保護(hù)的裝置)��;文件傳輸協(xié)議(FTP)(用于發(fā)送裝 置數(shù)據(jù)文件)�;Ethernet/IP��、 M0DBUS���、 DNP3���、 ICCP、 0PC (所有公共 SCADA和PLC協(xié)議)禾口 IEEE P1073醫(yī)療信息總線�。當(dāng)末端裝置和網(wǎng) 絡(luò)中的其它裝置或計(jì)算機(jī)之間的業(yè)務(wù)通過時(shí),安全節(jié)點(diǎn)被動(dòng)地收集信 息并且可以將該信息提供給管理服務(wù)器�����。安全節(jié)點(diǎn)提供用于在節(jié)點(diǎn)(網(wǎng)絡(luò)安全設(shè)備)和管理服務(wù)器之間 檢測���、建立和維護(hù)安全通信鏈路的裝置�,同時(shí)又保持節(jié)點(diǎn)本身在網(wǎng)絡(luò) 中無法被檢測到。這種安全鏈路可以利用諸如SSL或IPSec的各種己 證實(shí)的安全協(xié)議����。安全節(jié)點(diǎn)允許有效地部署,而無需本地操作者或節(jié) 點(diǎn)安裝者進(jìn)行任何配置���。如上所述����,無需重新配置各種節(jié)點(diǎn)和/或終 端裝置的工P地址����。管理服務(wù)器以安全的方式遠(yuǎn)程配置網(wǎng)絡(luò)安全設(shè)備 的功能。為了啟動(dòng)遠(yuǎn)程配置�,負(fù)責(zé)管理節(jié)點(diǎn)的策略和設(shè)置的管理服務(wù)器系統(tǒng)能夠通過網(wǎng)絡(luò)與至少一個(gè)該節(jié)點(diǎn)將要保護(hù)的裝置進(jìn)行通信。安全節(jié)點(diǎn)裝置策略可以于節(jié)點(diǎn)部署之前在管理服務(wù)器上進(jìn)行設(shè)置���,并且將 由節(jié)點(diǎn)在其連接到網(wǎng)絡(luò)并接通電源時(shí)下載����。這種策略下載使裝置在通過或獲取狀態(tài)中花費(fèi)的時(shí)間能夠最小化�����。然而,還可以在管理服務(wù)器 被配置前保護(hù)和部署節(jié)點(diǎn)��。初始部署安全設(shè)置針對安全設(shè)備所處網(wǎng)絡(luò)的位置和設(shè)置是特有的��?����?蛇x地����,安全節(jié)點(diǎn)可以獨(dú)立地確定被保護(hù)裝 置的特性�,并且在與管理服務(wù)器連接前自動(dòng)地實(shí)施一些基本的安全功 能。加密心跳機(jī)制允許大量(例如數(shù)千個(gè))節(jié)點(diǎn)報(bào)告返回單個(gè)管理服務(wù)器����。心跳機(jī)制在SCADA環(huán)境內(nèi)共有的帶寬限制系統(tǒng)中是有用的。 心跳機(jī)制將足夠的信息發(fā)送返回到管理服務(wù)器���,用以向安裝在節(jié)點(diǎn)上 的每個(gè)安全應(yīng)用報(bào)告當(dāng)前的狀態(tài)和條件��。通過調(diào)節(jié)安全節(jié)點(diǎn)的心跳設(shè) 置還可以遠(yuǎn)程控制報(bào)告信息的數(shù)量��。這種心跳機(jī)制還通過使用將異常 事件報(bào)告給管理服務(wù)器的異常報(bào)告而避免了基于輪詢管理系統(tǒng)比如 簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)所共有的網(wǎng)絡(luò)業(yè)務(wù)負(fù)荷問題�。這些類型的 事件可以包括攻擊報(bào)告、到達(dá)臨界系統(tǒng)設(shè)置以及其它管理服務(wù)器應(yīng)該 立刻知道已經(jīng)出現(xiàn)了某事的問題�。每個(gè)安全節(jié)點(diǎn)的心跳模塊可以用它 自己的一套密鑰來進(jìn)行設(shè)置。在接收到心跳數(shù)據(jù)后���,確定源并且在管 理服務(wù)器監(jiān)視站上完成適當(dāng)?shù)慕饷?�。為了提高可量測性�,可以使用多 組監(jiān)視站��。 圖1至4描述了多個(gè)網(wǎng)絡(luò)安全設(shè)備的部署拓?fù)?���。如圖1所示, 各種終端裝置102�、 104和106與網(wǎng)絡(luò)10連接。計(jì)算機(jī)150和152 或其它管理或監(jiān)控裝置通過網(wǎng)絡(luò)IO從終端裝置發(fā)送和接收數(shù)據(jù)�。網(wǎng) 絡(luò)10可以是利用諸如Internet協(xié)議(IP)的各種網(wǎng)絡(luò)路由協(xié)議的控 制網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)或Internet�。如在圖中和描述中所示,安全節(jié)點(diǎn) 103和105代表網(wǎng)絡(luò)安全設(shè)備�,網(wǎng)絡(luò)安全設(shè)備為與網(wǎng)絡(luò)連接的終端裝 置提供安全和防火墻類型的功能。如圖l所示��,裝置102是一個(gè)暴露 于潛在攻擊的未被保護(hù)裝置�,而裝置104和106具有在通信路徑上與 它們分別串聯(lián)的安全節(jié)點(diǎn)103和105����。因此所有到達(dá)裝置和來自裝置 的通信必須經(jīng)過相關(guān)聯(lián)的安全節(jié)點(diǎn)���,的安全節(jié)點(diǎn)在基礎(chǔ)水平上用作從 裝置到網(wǎng)絡(luò)的橋接器�。管理服務(wù)器20可以與安全節(jié)點(diǎn)103和105連接到相同網(wǎng)絡(luò)�,也 可以通過網(wǎng)絡(luò)10被一個(gè)或多個(gè)網(wǎng)絡(luò)互連。管理服務(wù)器20將管理和控制功能提供給網(wǎng)絡(luò)中的安全節(jié)點(diǎn)�����。圖2示出一個(gè)示例����,其中裝置102�����、104被網(wǎng)絡(luò)交換機(jī)200互連���,網(wǎng)絡(luò)交換機(jī)200主控各個(gè)安全節(jié)點(diǎn)103��、 105到107����。網(wǎng)絡(luò)交換機(jī)實(shí) 質(zhì)上代表主控多個(gè)裝置的子網(wǎng)絡(luò)。圖3描述了集成的裝置和安全節(jié)點(diǎn)300��。在該示例中��,安全節(jié)點(diǎn) 103可以與裝置102集成在相同的封裝中�。依據(jù)整個(gè)裝置300的結(jié)構(gòu), 實(shí)際的裝置功能和安全節(jié)點(diǎn)功能可以共享軟件和硬件�����。出于操作考 慮���,安全節(jié)點(diǎn)仍然可以以獨(dú)立于裝置102的方式操作���。圖4a和4b描述了由單個(gè)安全節(jié)點(diǎn)103保護(hù)的多個(gè)裝置102、 104 和106����。在圖4a中,安全節(jié)點(diǎn)103完全地保護(hù)和互連多個(gè)裝置�����。安 全節(jié)點(diǎn)103可以具有集成的集線器、交換機(jī)或路由器���,或者它可以與 實(shí)際的安全節(jié)點(diǎn)103分離�����,它的作用是將數(shù)據(jù)業(yè)務(wù)分配給相關(guān)聯(lián)的裝 置���。如圖4b所示,安全節(jié)點(diǎn)103通過提供單獨(dú)例子的安全節(jié)點(diǎn)105���、 107和109看起來像分別給每個(gè)裝置102�、 104和106提供單獨(dú)的保 護(hù)�。安全節(jié)點(diǎn)103可以為每個(gè)下游裝置提供唯一的保護(hù)。如果需要�����, 管理服務(wù)器20可以獨(dú)立地實(shí)施對裝置的管理���。圖5示出安全節(jié)點(diǎn)103的模塊。裝置接口 502連接安全節(jié)點(diǎn)和 被保護(hù)的終端裝置104。網(wǎng)絡(luò)接口 504連接安全節(jié)點(diǎn)和網(wǎng)絡(luò)側(cè)�����。這些 接口可以執(zhí)行諸如Ethernet PHY管理的標(biāo)準(zhǔn)協(xié)議和物理層處理���。利 用處理器506來處理流經(jīng)裝置接口 502和網(wǎng)絡(luò)接口 504的業(yè)務(wù)�。根據(jù) 安全節(jié)點(diǎn)103的操作狀態(tài)���,處理器可以通過與該節(jié)點(diǎn)的其它模塊交互 來執(zhí)行一些功能�����。在建立與管理服務(wù)器20的安全管理連接的過程中 利用通信模塊508��。認(rèn)證模塊510保存安全節(jié)點(diǎn)和管理服務(wù)器之間交 換的資格的認(rèn)證過程中所利用的信息�。利用數(shù)據(jù)庫模塊511來保存安 全節(jié)點(diǎn)所保護(hù)裝置的裝置描述檔和已知對話者的數(shù)據(jù)庫�����,所述對話者 即與正被保護(hù)的裝置進(jìn)行通信的外部裝置��。心跳模塊509將周期性的 心跳發(fā)送給管理服務(wù)器20。在諸如企圖侵入或發(fā)現(xiàn)新裝置的異常事 件的情況下,可以發(fā)送異常心跳來通知管理服務(wù)器20并且保證執(zhí)行 適當(dāng)?shù)男袆?dòng)。當(dāng)安全節(jié)點(diǎn)103處于操作狀態(tài)時(shí)����,可以利用各種網(wǎng)絡(luò)模塊來管 理網(wǎng)絡(luò)業(yè)務(wù)�。例如侵入檢測模塊512監(jiān)視業(yè)務(wù)以確定是否存在惡意訪 問裝置104的企圖��,并且執(zhí)行適當(dāng)程序以記錄和拒絕訪問��。類似地��,防火墻模塊514提供能與特殊裝置104的漏洞適合的防火墻功能��。其 它模塊諸如模塊516可以被部署在安全節(jié)點(diǎn)103中�����,這些模塊可以提 供各種功能諸如裝置識別����、虛擬專用網(wǎng)(VPN)、網(wǎng)絡(luò)統(tǒng)計(jì)收集���、 帶寬檢測和業(yè)務(wù)調(diào)整等�����。在與管理服務(wù)器進(jìn)行安全通信的過程中����,通信模塊提供由安全 節(jié)點(diǎn)103觀察到的關(guān)于業(yè)務(wù)的細(xì)節(jié)�����,并且能請求對模塊512���、 514和 516進(jìn)行軟件更新�����。遠(yuǎn)程可部署的軟件模塊以及這些模塊的配置和命 令可以經(jīng)由從管理服務(wù)器20通過網(wǎng)絡(luò)10到達(dá)通信模塊508的安全連 接被安全地發(fā)送到安全節(jié)點(diǎn)103����?����?梢酝ㄟ^安全通信鏈路來部署新的 或更新的模塊512�、 514和516。為了使安全節(jié)點(diǎn)不具有確定的網(wǎng)絡(luò)地址�����,每個(gè)節(jié)點(diǎn)可以使用隱 身IP尋址方案,其中不將任何的Internet協(xié)議(IP)地址分配給節(jié) 點(diǎn)(甚至不分配諸如0. 0. 0. 0或192. 168. 1. 1的泛用地址)��。節(jié)點(diǎn)從 其所保護(hù)的終端裝置中的一個(gè)裝置借用IP地址�����,并且使用這個(gè)地址 來配置和管理通信�����,以達(dá)到上述要求�。因此,所有由該節(jié)點(diǎn)產(chǎn)生的業(yè) 務(wù)看起來好像來自于下游終端裝置中的一個(gè)或多個(gè)�,并且不能被追溯 到該節(jié)點(diǎn),這使它不能被看到并且易于配置��。另外��,安全節(jié)點(diǎn)可以采 取諸如裝置的媒介訪問控制(MAC)的第二層身份識別以保證隱身能 力�。圖6示出管理服務(wù)器20的模塊。管理服務(wù)器具有網(wǎng)絡(luò)接口 602����, 網(wǎng)絡(luò)接口 602用于在管理控制下接收業(yè)務(wù)并且將業(yè)務(wù)傳輸給安全節(jié) 點(diǎn)�。管理服務(wù)器通過多個(gè)網(wǎng)絡(luò)可以操縱任何數(shù)量的安全節(jié)點(diǎn)�����。處理器 604通過網(wǎng)絡(luò)接口 602接收并且發(fā)送業(yè)務(wù)����。處理器604與通信模塊606 和遠(yuǎn)程應(yīng)用程序接口 608交互��,用于建立與網(wǎng)絡(luò)中的安全節(jié)點(diǎn)的連 接��。利用數(shù)據(jù)庫子系統(tǒng)610存儲(chǔ)網(wǎng)絡(luò)中節(jié)點(diǎn)上的信息和特殊類型裝置 的描述檔���。然后該描述檔可以被下載到適當(dāng)節(jié)點(diǎn)和該安全節(jié)點(diǎn)的相關(guān) 聯(lián)安全模塊上��。心跳記錄器模塊612記錄來自于網(wǎng)絡(luò)上的安全設(shè)備的 周期性心跳消息�。與心跳記錄器模塊612串接的是心跳監(jiān)視模塊614�����, 心跳監(jiān)視模塊614用于檢查記錄的心跳數(shù)據(jù)��,判斷其中是否存在需要 服務(wù)器進(jìn)行自動(dòng)操作或引起管理服務(wù)器操作者注意的錯(cuò)誤或警告條件���。與管理服務(wù)器20的接口被概括為管理API 616���,以便各種用戶 接口系統(tǒng)618可以被用于各種交互功能���。用戶接口系統(tǒng)618可以包括 本地圖形用戶接口 (GUI)客戶端、命令行接口 (CLI)客戶端或安全 web服務(wù)器接口����,它們可以在管理系統(tǒng)中被直接訪問或者通過直接連 接的或通過網(wǎng)絡(luò)IO連接的計(jì)算機(jī)終端620遠(yuǎn)程訪問。圖7示出在預(yù)初始化階段中終端裝置102和管理服務(wù)器20之間 的消息流�。在部署和初始化節(jié)點(diǎn)103之前,在裝置102和網(wǎng)絡(luò)10上 的其它設(shè)備之間可以具有或不具有未被保護(hù)的雙向網(wǎng)絡(luò)業(yè)務(wù)���。如果節(jié) 點(diǎn)103物理上就位(但是未被初始化)�,則它將允許業(yè)務(wù)702通過����。 然而,節(jié)點(diǎn)103將記錄該業(yè)務(wù)�����,用于確定它將保護(hù)的裝置的類型�����。在 這個(gè)預(yù)初始化階段中,管理服務(wù)器20將在網(wǎng)絡(luò)10上周期性地發(fā)送管 理連接請求(MCR)包704���,發(fā)送地址是最終將被節(jié)點(diǎn)103保護(hù)的裝 置102���,但是將如圖11所示地被節(jié)點(diǎn)103攔截����。圖、是安全節(jié)點(diǎn)基于來自裝置側(cè)的業(yè)務(wù)的獲知過程的方法圖����。 當(dāng)節(jié)點(diǎn)被初始安裝并引導(dǎo)啟動(dòng),并且處于獲知模式時(shí)����,節(jié)點(diǎn)確定它將 保護(hù)的下游終端裝置的網(wǎng)絡(luò)信息。在獲知階段過程中和在管理服務(wù)器 進(jìn)行配置前�,所有裝置業(yè)務(wù)被透明橋接?���?梢酝ㄟ^被設(shè)置在安全節(jié)點(diǎn) 上的缺省防火墻規(guī)則對包進(jìn)行過濾(在很多情況下�����,在這個(gè)階段沒有 任何防火墻規(guī)則����,因此將不完成任何過濾)���。以被動(dòng)方式完成裝置信 息收集并且不產(chǎn)生任何的網(wǎng)絡(luò)業(yè)務(wù)�。在啟動(dòng)狀態(tài)中����,在步驟802,安 全節(jié)點(diǎn)監(jiān)視源于裝置側(cè)的業(yè)務(wù)�。如果該包源于新的源MAC、 IP地址或 端口號(在步驟804中為是)����,則將裝置描述記錄在位于安全節(jié)點(diǎn)內(nèi) 的裝置描述數(shù)據(jù)庫806中。然后在步驟808將該包轉(zhuǎn)發(fā)到網(wǎng)絡(luò)�。如果 已知該包的源(在步驟804中為否),則將沒有任何修改的包轉(zhuǎn)發(fā)到 裝置描述數(shù)據(jù)庫中��。當(dāng)安全節(jié)點(diǎn)已被配置并且處于檢測其它新裝置的 操作階段時(shí),獲知模式也可以操作����。獲知模式可以在較低執(zhí)行優(yōu)先級 操作或者可以在安全節(jié)點(diǎn)完全操作的周期間隔中操作。與監(jiān)視裝置側(cè)的業(yè)務(wù)類似����,安全節(jié)點(diǎn)也監(jiān)視網(wǎng)絡(luò)側(cè)的業(yè)務(wù)。圖9 是安全節(jié)點(diǎn)在網(wǎng)絡(luò)側(cè)的獲知過程的方法圖�。在步驟902,監(jiān)視進(jìn)入的業(yè)務(wù)���。如果目標(biāo)地址不在裝置描述數(shù)據(jù)庫內(nèi)(在步驟904中為否), 則在步驟910將該包轉(zhuǎn)發(fā)到裝置接口���。如果目標(biāo)裝置處于裝置描述數(shù) 據(jù)庫內(nèi)(在步驟904中為是)�,則在步驟906確定業(yè)務(wù)的源�����。如果源 處于存儲(chǔ)在安全節(jié)點(diǎn)數(shù)據(jù)庫模塊511內(nèi)的已知的對話者數(shù)據(jù)庫中(在 步驟906中為是)��,則在步驟910轉(zhuǎn)發(fā)該包���。如果該裝置不在已知的 對話者數(shù)據(jù)庫內(nèi)(在步驟906中為否)��,則在步驟908記錄源信息����, 然后在步驟910轉(zhuǎn)發(fā)該包。在圖8的步驟808和在圖9的步驟910中的轉(zhuǎn)發(fā)包的步驟可以 是將包直接轉(zhuǎn)發(fā)到對側(cè)的網(wǎng)絡(luò)接口(可以是裝置接口 502或網(wǎng)絡(luò)接口 504)�,或者可以在將包從節(jié)點(diǎn)轉(zhuǎn)發(fā)出去之前將包轉(zhuǎn)發(fā)到安全模塊 512、 514和516進(jìn)行進(jìn)一步的處理��。如果該包未能通過某個(gè)安全模 塊所進(jìn)行的檢查�,則該包可以被丟棄。圖10示出在初始化階段的安全節(jié)點(diǎn)103和管理服務(wù)器20之間 的消息流���。當(dāng)節(jié)點(diǎn)103處于適當(dāng)位置����,被接通電源并且已經(jīng)攔截管理 連接請求(MCR)包1002時(shí)�,初始化階段開始。帶著收集的基本裝置 信息��,節(jié)點(diǎn)等待來自管理服務(wù)器20的MCR觸發(fā)�����。MCR是諸如用戶數(shù) 據(jù)報(bào)協(xié)議(UDP)包的無連接包類型,其包括關(guān)于管理服務(wù)器20的加 密信息���、理想管理服務(wù)器設(shè)置和連接時(shí)序����。將MCR包尋址到節(jié)點(diǎn)后的 一個(gè)終端裝置��,但是該包具有該終端裝置不使用的端口號���。當(dāng)在步驟 1002被安全節(jié)點(diǎn)接收時(shí)����,MCR被捕獲�����,被從網(wǎng)絡(luò)10移除并且被進(jìn)行 密碼檢查���。該密碼針對該節(jié)點(diǎn)被部署的位置和終端裝置被部署進(jìn)的網(wǎng) 絡(luò)設(shè)置是特定的。節(jié)點(diǎn)103將試圖對MCR包進(jìn)行解密并且確認(rèn)MCR 包(詳細(xì)內(nèi)容參考圖11和12) ��。 MCR包含可以被用來建立管理服務(wù) 器連接的IP地址�、端口號、加密類型和時(shí)序。 一旦有效的MCR被接 收并且被認(rèn)證�,則節(jié)點(diǎn)進(jìn)入管理服務(wù)器連接設(shè)置模式1004并且以連 接肯定應(yīng)答1006來對服務(wù)器作出響應(yīng)。然后在節(jié)點(diǎn)103和管理服務(wù) 器20之間建立了安全雙向連接1008��。然后���,安全節(jié)點(diǎn)103和管理服 務(wù)器20以安全方式交換信息���。設(shè)置諸如TCP (傳輸控制協(xié)議)的面向連接協(xié)議連接攔截機(jī)制, 以僅接收來自管理服務(wù)器IP地址和在MCR中規(guī)定的源端口的業(yè)務(wù)�,以及將業(yè)務(wù)引導(dǎo)至目標(biāo)IP地址和在MCR中規(guī)定的目的地端口 。這種 連接攔截系統(tǒng)將連接業(yè)務(wù)傳遞給一個(gè)在安全節(jié)點(diǎn)上運(yùn)行的控制軟件�, 并且與管理服務(wù)器20建立諸如安全套接層(SSL)連接的加密連接。 圖11是安全節(jié)點(diǎn)103的初始化階段的流程圖��。圖12示出在操 作階段中.的安全節(jié)點(diǎn)103和管理服務(wù)器20之間的消息流��。在步驟 1102���,安全節(jié)點(diǎn)103攔截可能是網(wǎng)絡(luò)IO上的包而不管其目的地地址�。 在步驟1104����,對該包進(jìn)行分析以確定它是否是MCR包����。如果該包不 包含MCR信息(在步驟1104中為否)�,則在步驟1122將其轉(zhuǎn)發(fā)。如 果該包包含MCR信息(在步驟1104中為是)�,則在步驟1106檢查該 包的密碼以確定該包是否可以被解密。如果MCR可以被解密(在步驟 1106中為是)����,然后在步驟1108對管理通信鏈路捕獲進(jìn)行準(zhǔn)備。如 果解密失敗(在步驟H06為否)��,則在步驟1122釋放該包以將其轉(zhuǎn) 發(fā)����。在步驟1110,將連接請求中的加密目的地IP地址與安全節(jié)點(diǎn)的 數(shù)據(jù)庫511中的橋接列表進(jìn)行對比檢查����,以確定它是否屬于安全節(jié)點(diǎn) 的下游裝置。如果IP地址驗(yàn)證正確(在步驟1110中為是)���,則安全 節(jié)點(diǎn)開始偵聽安全管理連接(MCE) 1112。如果IP地址證明無效(在 步驟1110中為否)�,則在步驟1120丟棄(在步驟1108中確立的) 連接捕獲并復(fù)位����,在步驟1122將該包轉(zhuǎn)發(fā)����。節(jié)點(diǎn)僅在一段時(shí)間內(nèi)偵 聽安全管理服務(wù)器連接,這有效地限制了管理服務(wù)器20能與節(jié)點(diǎn)103 連接的時(shí)間(即超時(shí)管理)�。如果安全管理連接在這段時(shí)間內(nèi)沒有開 始,而在步驟1112節(jié)點(diǎn)103正在偵聽時(shí)����,連接捕獲被丟棄和復(fù)位(在 步驟1114中為否)。如果在超時(shí)前接收到連接請求(在步驟1114 中為是)��,則在步驟1116檢查連接安全并且完成連接����。如果成功完 成連接(在步驟1118中為是),然后安全設(shè)備103進(jìn)入操作階段��。 如果連接不成功(在步驟1118中為否)����,則將該包轉(zhuǎn)發(fā)。應(yīng)該注意�����, 依照MCR和MCE包的結(jié)構(gòu),如果包不含有有效載荷信息或任何與終端 裝置相關(guān)聯(lián)的信息�,則可以丟棄該包而不是將該包轉(zhuǎn)發(fā)。如果MCR 和MCE信息被嵌入包內(nèi)并且該過程失敗或成功����,則在將其轉(zhuǎn)發(fā)至終端 裝置前將該信息從包中剝離。已確立的MCE連接是安全加密鏈路���。通過設(shè)置數(shù)字證書的重新生效水平來完成連接的安全維護(hù)���。圖12是安全節(jié)點(diǎn)103的操作階段的流程圖。一旦確立管理連接���, 節(jié)點(diǎn)103就進(jìn)入操作階段����。管理服務(wù)器20將在1202把基本節(jié)點(diǎn)配置 上載給節(jié)點(diǎn)103����,這將定義將被節(jié)點(diǎn)103所使用的軟件模塊、基本配 置和心跳設(shè)置(參考圖5)。當(dāng)節(jié)點(diǎn)103確定新的終端裝置的類型時(shí)���, 它將通過安全管理服務(wù)器連接來發(fā)送針對裝置102的裝置安全描述 檔請求1204,裝置類型描述檔是基于用于獲知模式的被保護(hù)裝置的 已知屬性��。當(dāng)管理服務(wù)器20接收到裝置安全描述檔請求�����,則它在管 理服務(wù)器的裝置數(shù)據(jù)庫中查詢裝置類型�。裝置的安全描述檔被產(chǎn)生并 且如在管理服務(wù)器上所記錄地被添加到安全節(jié)點(diǎn)的現(xiàn)存安全描述檔 中。然后在1206新節(jié)點(diǎn)安全描述檔可以被優(yōu)化并且被下載到節(jié)點(diǎn)��。 如果節(jié)點(diǎn)103 (或軟件模塊512����、 514和516)需要被關(guān)注或在心跳模 塊中出現(xiàn)周期性請求報(bào)告,則節(jié)點(diǎn)10 3可以被觸發(fā)以將"���。�、跳消息12 0 8 發(fā)送到管理服務(wù)器20���。心跳消息1208包含管理服務(wù)器關(guān)注的請求和 請求的原因����。當(dāng)管理服務(wù)器20接收到這些心跳請求包中的一個(gè)時(shí)(通 過心跳記錄器612和監(jiān)視器614),依照請求的原因和在管理服務(wù)器 20上的當(dāng)前用戶優(yōu)選設(shè)置���,它選擇服務(wù)請求或延遲服務(wù)���。請求的服 務(wù)包括建立管理服務(wù)器與節(jié)點(diǎn)103 (如果節(jié)點(diǎn)沒有被激活)的連接, 以及以命令和響應(yīng)1210的形式來采取適當(dāng)?shù)拿顒?dòng)作��。命令和響應(yīng) 通信還可以被用于重新配置在節(jié)點(diǎn)103上的可部署軟件模塊512����、5U 和516或者部署新的模塊?��?梢酝ㄟ^持續(xù)連接進(jìn)行安全節(jié)點(diǎn)和管理服 務(wù)器之間的通信或基于消息問答的方式啟動(dòng)該通信�。在管理服務(wù)器連接確立前的等待時(shí)間中���,連同圖8所述的獲知 程序��,節(jié)點(diǎn)103可以使用已確立的被動(dòng)采指紋技術(shù)(諸如"xprobe" 和"pOf"開源軟件產(chǎn)品中所使用的技術(shù))來識別什么裝置將可能需 要被保護(hù)����。甚至在管理服務(wù)器配置后,仍可繼續(xù)使用指紋技術(shù)以便對 被添加到被保護(hù)網(wǎng)絡(luò)中的新裝置進(jìn)行檢測�。圖13是安全節(jié)點(diǎn)在操作階段處理業(yè)務(wù)的流程圖。從初始化階段 (圖ll)開始���,安全節(jié)點(diǎn)現(xiàn)在進(jìn)入了操作階段。在步驟1302�,在安 全節(jié)點(diǎn)的裝置接口 502或網(wǎng)絡(luò)接口 504接收業(yè)務(wù)。在步驟1304檢査該業(yè)務(wù)�����,以將CMP相關(guān)業(yè)務(wù)從非CMP相關(guān)業(yè)務(wù)分離出來���。采用標(biāo)準(zhǔn) TCP業(yè)務(wù)跟蹤技術(shù)以及對解密的CMP包進(jìn)行排序的包來識別來自CMP 通信業(yè)務(wù)的包��。CMP消息是被引導(dǎo)到安全節(jié)點(diǎn)的嵌入包�����,其需要安全 節(jié)點(diǎn)執(zhí)行更新�����。如果識別結(jié)果是CMP業(yè)務(wù)(在步驟1304中為是)����, 則如在CMP消息中所定義地更新節(jié)點(diǎn)或執(zhí)行命令。如果識別結(jié)果不是 CMP業(yè)務(wù)(在步驟1304中為否)����,則在步驟1306利用安全模塊512、 514和516來管理包�����。如果安全模塊中的一個(gè)識別出該包存在異常條 件(在歩驟1308中為是)��,例如包被尋址到對特別裝置關(guān)閉的端口����, 或該包包含惡意命令,則在步驟1310基于各個(gè)安全模塊所定義的管 理規(guī)則來處理業(yè)務(wù)�。在此階段還可以記錄關(guān)于該包的細(xì)節(jié),用于進(jìn)一 步的分析����。然后,在步驟1312����,心跳模塊將異常心跳發(fā)送給管理服 務(wù)器20���,管理服務(wù)器20識別出事件發(fā)生。每次事件��,心跳消息都發(fā) 生�����,或者在一定數(shù)量事件發(fā)生后被觸發(fā)��。安全節(jié)點(diǎn)(網(wǎng)絡(luò)安全設(shè)備)和管理服務(wù)器之間的通信操作基于 "心跳"信令和"異常報(bào)告"的原則�。采用心跳信令以將節(jié)點(diǎn)的當(dāng)前 狀態(tài)條件發(fā)送給管理服務(wù)器�����。異常報(bào)告通信用于將發(fā)生在節(jié)點(diǎn)上的異 常條件發(fā)送信號到管理服務(wù)器�。采用加密可以保護(hù)從節(jié)點(diǎn)到管理服務(wù) 器通信的這兩個(gè)原則。如果業(yè)務(wù)經(jīng)過安全模塊����,而且沒有檢測到異常業(yè)務(wù)(在步驟1308 中為否),則在步驟1314出現(xiàn)用以確定周期心跳是否被發(fā)送到管理 服務(wù)器的檢查���。如果需要心跳(在步驟1314中為是)�����,則在步驟1316 發(fā)送心跳��,并且在步驟1318將該包轉(zhuǎn)發(fā)到適當(dāng)接口���。如果不需要心 跳(在步驟13i4中為否)�,則包被轉(zhuǎn)發(fā)到適當(dāng)接口并且安全節(jié)點(diǎn)繼 續(xù)檢測到來的業(yè)務(wù)1302�。圖14是安全節(jié)點(diǎn)更新過程的流程圖。如果安全節(jié)點(diǎn)在圖13的 步驟1304接收到CMP消息�,則在步驟1402對包進(jìn)行解密。包的有效 載荷可以包含諸如安全描述檔或軟件更新的配置信息�����。在步驟1404 實(shí)施適當(dāng)配置改變���,在步驟1406執(zhí)行軟件模塊512����、 514和516的更 新����。依照安全節(jié)點(diǎn)的操作���,如果需要,可以執(zhí)行諸如節(jié)點(diǎn)本身的熱重 啟或冷重啟等其它步驟以實(shí)施軟件或硬件更新����。圖15是管理服務(wù)器20確立與安全節(jié)點(diǎn)的MCE連接的流程圖。 在步驟1502�����,使用屬于特定安全節(jié)點(diǎn)所保護(hù)的裝置的地址��,管理服務(wù) 器將MCR消息發(fā)送到該節(jié)點(diǎn)���。在一段預(yù)定義時(shí)間后,在步驟1504發(fā) 送MCE包��。如果連接不成功(在步驟1506中為否)�,在與理想節(jié)點(diǎn) 的連接被確立或預(yù)定義時(shí)間期滿前,管理服務(wù)器20繼續(xù)1502的發(fā)送�。 如果MCE成功,并且適當(dāng)?shù)臄?shù)字證書和密碼短語正確���,連接已被接受 并且與安全節(jié)點(diǎn)確立了安全通信(在步驟1506為是)�����,則在步驟1508 接收節(jié)點(diǎn)信息����。然后,在步驟1510��,節(jié)點(diǎn)將其通過監(jiān)視業(yè)務(wù)所確定 的裝置信息傳輸給終端裝置�����。然后�,在步驟1512,管理服務(wù)器20可 以為裝置確定適當(dāng)?shù)陌踩枋鰴n�����。如果可以獲得安全描述檔信息(在 1512中為是)�����,則在步驟1514從管理服務(wù)器20數(shù)據(jù)庫取回適當(dāng)?shù)?規(guī)則和軟件�����。如果在數(shù)據(jù)庫中不存在裝置描述檔(在步驟1512中為 否),則在步驟1520取回一般描述檔��,并且可以在步驟1522基于對 安全節(jié)點(diǎn)在步驟1510所提供的裝置信息的分析創(chuàng)建定制描述檔�。然 后,在步驟1516���,將該描述檔作為CMP業(yè)務(wù)發(fā)送給安全節(jié)點(diǎn)�,并且 在步驟1518將其激活���。當(dāng)啟動(dòng)安全節(jié)點(diǎn)時(shí)發(fā)生描述檔上載���,但是當(dāng)在管理服務(wù)器20接 收到表示終端裝置發(fā)生了某些變化或已經(jīng)檢測到新的安全威脅的異 常心跳時(shí),也可以發(fā)生描述檔上載�。市場上存在成千上萬種不同的工業(yè)控制裝置的零部件,每個(gè)零 部件采用350種以上的已知的SCADA通信協(xié)議中的一個(gè)或多個(gè)進(jìn)行通 信���。每種控制裝置需要非常特殊的安全規(guī)則以被正確保護(hù),例如����,一 種流行的PLC (終端裝置的示例)對于包含超過125個(gè)字符的URL的 web請求具有不常見但是已知的安全問題。當(dāng)另一個(gè)PLC接收到具有 選擇碼為4的MODBUS對話消息并且需要電源復(fù)位以恢復(fù)時(shí)�����,它會(huì)停止所有通信。在傳統(tǒng)的防火墻中��,手動(dòng)創(chuàng)建規(guī)則以滿足這些問題則要 求具有關(guān)于控制產(chǎn)品缺點(diǎn)和怎樣創(chuàng)建用戶防火墻的規(guī)則集的廣泛知識����。這也可能使整個(gè)防火墻設(shè)置過度復(fù)雜,也增加了在設(shè)置中產(chǎn)生嚴(yán) 重錯(cuò)誤的可能性���。在管理服務(wù)器上的數(shù)據(jù)庫子系統(tǒng)610內(nèi)提供了為公共控制產(chǎn)品開發(fā)的特殊裝置規(guī)則模板����。針對上面提到的第二 PLC的這種模板示例 可以是特殊漏洞保護(hù)規(guī)則�,諸如*拒絕來自所有地址的選擇碼為4的M0DBUS對話消息*拒絕來自所有地址的HTTP消息*拒絕來自所有地址的VxWorksTM生產(chǎn)商開發(fā)者端口消息可以提供裝置特殊業(yè)務(wù)控制規(guī)則,諸如.-*允許來自PLC編程站的MODBUS固件加載消息*拒絕來自所有其它地址的M0DBUS固件加載信息*允許來自操作站的M0DBUS讀消息*拒絕來自所有其它地址的MODBUS讀消息*拒絕來自所有地址的所有其它M0DBUS消息基于前述的裝置發(fā)現(xiàn)過程�����,規(guī)則集可以被自動(dòng)加載到安全節(jié)點(diǎn)���。 在本發(fā)明中���,采用軟件語言編譯器中共用的己知技術(shù)來組合和優(yōu)化多 個(gè)規(guī)則集���,但是這些技術(shù)在安全設(shè)備領(lǐng)域是未知的?���?梢圆捎梦谋拘?式或圖形形式來進(jìn)行用戶確認(rèn)(如果需要),其中用戶在模板中的推 薦規(guī)則上進(jìn)行點(diǎn)擊并且拖曳允許裝置的圖標(biāo)以調(diào)整針對特殊地址的 規(guī)則��。如上所述����,代替由安全管理器20為安全節(jié)點(diǎn)創(chuàng)建規(guī)則集并且上 載它們,根據(jù)要被保護(hù)的終端裝置可以自動(dòng)創(chuàng)建規(guī)則集��。注意����,規(guī)則 集是依據(jù)要被保護(hù)的終端裝置的需要而設(shè)計(jì),而不是依據(jù)節(jié)點(diǎn)的需 要���。例如�,節(jié)點(diǎn)獲知需要被保護(hù)的PLC或RTU (終端裝置的示例)的 構(gòu)造���,并且通知管理站�。然后����,管理站進(jìn)行數(shù)據(jù)庫查詢,并且推薦用 于保護(hù)該裝置的適當(dāng)?shù)姆阑饓騃DS (侵入檢測系統(tǒng))模板��。然后�, 安全管理器判斷這些規(guī)則是否滿足它們的需要,并對它們進(jìn)行相應(yīng)地 修改以及將他們部署到現(xiàn)場(這同樣適用于當(dāng)節(jié)點(diǎn)保護(hù)多個(gè)不同終端 裝置時(shí)的情況)����。對于操作者,看起來好像這些規(guī)則被直接發(fā)送給裝 置��,并且看起來好像其中不包括節(jié)點(diǎn)/防火墻��。這降低了規(guī)則的復(fù)雜 性�,并且將焦點(diǎn)集中在保護(hù)裝置(例如PLC、 RTU等)不受不必要業(yè) 務(wù)的干擾�。在將節(jié)點(diǎn)部署在現(xiàn)場前,也可以創(chuàng)建規(guī)則集���,以便該裝置 在加電時(shí)自動(dòng)獲得它的配置����。圖16是管理服務(wù)器20監(jiān)視接收到的心跳數(shù)據(jù)包的業(yè)務(wù)的流程 圖。在步驟1602,心跳記錄器612監(jiān)視進(jìn)入管理服務(wù)器20的業(yè)務(wù)����。 如果在步驟1604接收到心跳包,則在步驟1606執(zhí)行節(jié)點(diǎn)查詢并且對 該包進(jìn)行解密�。如果該包不能被解密(在步驟1608中為否),則丟 棄它��。如果該包可以被解密(在步驟1608中為是)�,則對心跳有效 載荷進(jìn)行處理以確定安全節(jié)點(diǎn)的狀態(tài)并且在步驟1612確定是否有反 常條件被報(bào)告。如果存在表示需要改變安全策略的條件���,則利用現(xiàn)存 的MCE或建立一個(gè)新的MCE以將更新的描述檔發(fā)送給安全節(jié)點(diǎn)���。適合的計(jì)算系統(tǒng)環(huán)境或可以適合實(shí)施各種實(shí)施例的配置的示例 包括 一般用途個(gè)人計(jì)算機(jī)(PC);掌上或手提式計(jì)算機(jī);基于多處 理器的系統(tǒng)���;基于微處理器的系統(tǒng)����;可編程消費(fèi)電子裝置�����;網(wǎng)絡(luò)計(jì)算 機(jī)�、小型計(jì)算機(jī)、大型計(jì)算機(jī)���;分布計(jì)算環(huán)境�����;工業(yè)處理設(shè)備����;工業(yè) 控制設(shè)備(諸如PLC�、 RTU、 IED����、 DCS)和醫(yī)療設(shè)備等等。典型計(jì)算裝置的組件包括�����,但是不限于��,處理單元、輸入/輸出 接口�����、系統(tǒng)內(nèi)存和系統(tǒng)總線��。系統(tǒng)總線與上面提到的組件和許多其它 協(xié)同交互組件可通信地連接����。輸入/輸出接口通過輸入/輸出單元(可 以包括鍵盤、鼠標(biāo)類型的控制器�����、監(jiān)視器���、媒體讀取器/寫入器等等) 與外部組件交互����。系統(tǒng)內(nèi)存例示了根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)安全設(shè)備 的各種組件和操作����。詳細(xì)描述并不將本發(fā)明實(shí)施例的實(shí)施局限于任何特定的計(jì)算機(jī) 編程語言。只要OS (操作系統(tǒng))提供了可以支持計(jì)算機(jī)程序產(chǎn)品要 求的設(shè)備�����,則計(jì)算機(jī)程序產(chǎn)品可以用很多計(jì)算機(jī)編程語言實(shí)現(xiàn)。本發(fā) 明的示范性實(shí)施例可以用(或0++計(jì)算機(jī)編程語言實(shí)現(xiàn)���,或可以用其 它受支持的編程語言混合實(shí)現(xiàn)。所提出的任何限制可能是特定類型的 操作系統(tǒng)��、計(jì)算機(jī)編程語言或數(shù)據(jù)庫管理系統(tǒng)所導(dǎo)致的結(jié)果����,而不是 對本文所述的本發(fā)明的實(shí)施例的限制。上述的本發(fā)明實(shí)施例僅僅是為了說明目的����。本發(fā)明的范圍僅被 附加的權(quán)利要求唯一地限制。
權(quán)利要求
1.一種采用安全設(shè)備保護(hù)網(wǎng)絡(luò)工業(yè)裝置的方法��,該安全設(shè)備將網(wǎng)絡(luò)工業(yè)裝置耦接至數(shù)據(jù)網(wǎng)絡(luò)�����,該方法包括以下步驟在所述安全設(shè)備中���,對源于所述工業(yè)裝置而到達(dá)其它通過所述數(shù)據(jù)網(wǎng)絡(luò)可以訪問的裝置的數(shù)據(jù)業(yè)務(wù)進(jìn)行監(jiān)視����,來確定與所述工業(yè)裝置相關(guān)聯(lián)的屬性;在所述安全設(shè)備中����,從被尋址到所述裝置的包中接收源于被連接至所述數(shù)據(jù)網(wǎng)絡(luò)的管理服務(wù)器的加密管理連接數(shù)據(jù);利用與所述裝置相關(guān)聯(lián)的地址作為所述包的起始地址����,將所確定的屬性發(fā)送給所述管理服務(wù)器;在所述安全設(shè)備中�����,從被尋址到所述裝置的包中接收來自于管理的加密配置數(shù)據(jù)��,其中所述管理服務(wù)器基于所提供的裝置屬性來選擇所述配置數(shù)據(jù)�����;基于所配置的數(shù)據(jù)來對所述工業(yè)裝置和所述網(wǎng)絡(luò)之間的包進(jìn)行管理�����;以及利用與所述裝置相關(guān)聯(lián)的地址作為所述包的起始地址����,將加密心跳消息周期性地發(fā)送到所述管理服務(wù)器�����。
2. 根據(jù)權(quán)利要求1的安全設(shè)備����,其中所述包的地址還包括沒有 被所述裝置利用的端口號�。
3. 根據(jù)權(quán)利要求1的安全設(shè)備����,其中當(dāng)將數(shù)據(jù)發(fā)送到所述管理 服務(wù)器時(shí),所述安全設(shè)備既利用所述工業(yè)裝置的層2的地址和又利用 了所述工業(yè)裝置的層3的地址����。
4. 根據(jù)權(quán)利要求l的方法,其中基于對所述包進(jìn)行的管理針對 異常事件生成所述心跳����。
5. 根據(jù)權(quán)利要求l的方法,其中從包括防火墻模塊����、裝置識別模塊����、虛擬專用網(wǎng)絡(luò)(VPN)模塊���、侵入檢測模塊���、網(wǎng)絡(luò)統(tǒng)計(jì)收集模 塊以及帶寬監(jiān)視和業(yè)務(wù)調(diào)整模塊的組中選擇配置軟件。
6. 根據(jù)權(quán)利要求1的方法���,其中所述異常事件使所述管理服務(wù) 器將重新配置數(shù)據(jù)發(fā)送到所述安全設(shè)備�。
7. 根據(jù)權(quán)利要求l的方法����,其中所述通信模塊接收來自管理服 務(wù)器的管理連接請求,用于建立與所述管理服務(wù)器的加密連接�。
8. 根據(jù)權(quán)利要求1的方法,其中通過安全套接鏈路(SSL)或 IPSec安全連接對數(shù)據(jù)進(jìn)行加密�����。
9. 根據(jù)權(quán)利要求l的方法���,其中從所述管理服務(wù)器提供給所述 安全設(shè)備的配置數(shù)據(jù)包括適用于所述裝置所利用的特殊控制協(xié)議的 安全規(guī)則和軟件模塊����。
10. 根據(jù)權(quán)利要求1的方法,其中所述心跳包和所述加密管理 連接數(shù)據(jù)利用無連接包類型���。
11. 一種用于保護(hù)處在數(shù)據(jù)網(wǎng)絡(luò)內(nèi)的安全設(shè)備下游的一個(gè)或多 個(gè)工業(yè)裝置的安全設(shè)備�����,該安全設(shè)備包括心跳模塊��,其利用與所述裝置中的一個(gè)裝置相關(guān)聯(lián)的地址作為 包的起始地址���,來產(chǎn)生加密心跳消息到所述數(shù)據(jù)網(wǎng)絡(luò)中的管理服務(wù) 器��;通信模塊����,其用于處理從所述管理服務(wù)器傳輸?shù)牟⑶覍ぶ返剿?述安全設(shè)備下游的一個(gè)裝置的包,所述通信模塊對嵌入所述包內(nèi)的數(shù) 據(jù)進(jìn)行解密�����;以及可由所述管理服務(wù)器配置的一個(gè)或多個(gè)安全模塊,所述安全模 塊基于與每個(gè)或多個(gè)工業(yè)裝置相關(guān)聯(lián)的安全描述檔對經(jīng)過所述安全 模塊的數(shù)據(jù)提供安全管理�����,其中所述安全模塊處于所述網(wǎng)絡(luò)上的裝置和所述安全設(shè)備下游的一個(gè)或多個(gè)工業(yè)裝置之間�。
12. 根據(jù)權(quán)利要求11的安全設(shè)備,其中從包括防火墻模塊����、裝置識別模塊、虛擬專用網(wǎng)絡(luò)(VPN)模塊���、侵入檢測模塊����、網(wǎng)絡(luò)統(tǒng)計(jì) 收集模塊以及帶寬監(jiān)視和業(yè)務(wù)調(diào)整模塊的組中選擇所述一個(gè)或多個(gè) 安全模塊����。
13. 根據(jù)權(quán)利要求11的安全設(shè)備,其中所述心跳模塊產(chǎn)生異常 心跳和定時(shí)心跳����,當(dāng)所述一個(gè)或多個(gè)安全模塊識別出異常事件時(shí)產(chǎn)生 所述異常心跳。
14. 根據(jù)權(quán)利要求11的安全設(shè)備�,其中所述通信模塊還包括用 于對所述安全設(shè)備和所述管理服務(wù)器之間的數(shù)據(jù)進(jìn)行認(rèn)證的認(rèn)證模 塊�。
15. 根據(jù)權(quán)利要求11的安全設(shè)備��,其中所述管理服務(wù)器基于所 述一個(gè)或多個(gè)裝置的屬性來配置所述一個(gè)或多個(gè)安全模塊����。
16. 根據(jù)權(quán)利要求11的安全設(shè)備,其中所述通信模塊處理加密 包�����,該加密包是以所述安全設(shè)備下游的一個(gè)裝置的IP地址和預(yù)定義 端口號來尋址的����。
17. 根據(jù)權(quán)利要求11的安全設(shè)備,其中所述通信模塊建立與所 述管理服務(wù)器的安全加密連接以利用SSL或IPSec加密技術(shù)交換配置 數(shù)據(jù)�����。
18. —種數(shù)據(jù)網(wǎng)絡(luò)�����,其包括 多個(gè)聯(lián)網(wǎng)的工業(yè)裝置����;多個(gè)安全設(shè)備,每個(gè)設(shè)備均與所述多個(gè)工業(yè)裝置的一個(gè)或多個(gè) 相關(guān)聯(lián)�����,所述安全設(shè)備透明地將所述工業(yè)裝置橋接到所述數(shù)據(jù)網(wǎng)絡(luò)���,并且基于相關(guān)工業(yè)裝置的識別特征對流入和流出所述工業(yè)裝置的數(shù) 據(jù)提供管理�����;管理服務(wù)器���,其用于管理所述多個(gè)安全設(shè)備;并且 其中所述管理服務(wù)器通過利用相關(guān)聯(lián)的工業(yè)裝置之一的地址與 多個(gè)安全設(shè)備進(jìn)行通信��,并且所述多個(gè)安全設(shè)備利用相關(guān)聯(lián)的裝置的 地址信息作為心跳消息源來將加密心跳消息周期性地發(fā)送到所述管 理服務(wù)器�����。
19. 根據(jù)權(quán)利要求18的數(shù)據(jù)網(wǎng)絡(luò)�����,其中所述多個(gè)安全設(shè)備和所 述管理服務(wù)器能夠建立用于交換配置數(shù)據(jù)的加密數(shù)據(jù)連接��。
20. 根據(jù)權(quán)利要求18的數(shù)據(jù)網(wǎng)絡(luò),其中所述管理服務(wù)器基于所述工業(yè)裝置的識別特征將配置數(shù)據(jù)提供給所述多個(gè)安全設(shè)備中的每 一個(gè)���,其中所述配置數(shù)據(jù)適合于工業(yè)裝置所用的控制協(xié)議及其相關(guān)的安全漏洞���。
全文摘要
一種網(wǎng)絡(luò)安全設(shè)備,該設(shè)備通過將業(yè)務(wù)透明地橋接至終端裝置來給工業(yè)環(huán)境中的裝置提供安全���。安全設(shè)備與管理服務(wù)器進(jìn)行安全地通信�����,以通過加密的通信為安全設(shè)備中的安全模塊的操作接收配置數(shù)據(jù)�。當(dāng)與管理服務(wù)器進(jìn)行通信時(shí)����,安全設(shè)備利用工業(yè)裝置的網(wǎng)絡(luò)地址,管理服務(wù)器通過采用與該安全設(shè)備相關(guān)聯(lián)的被保護(hù)裝置中的一個(gè)的地址對該安全設(shè)備進(jìn)行尋址�。安全設(shè)備將獲知的裝置特征提供給管理服務(wù)器,管理服務(wù)器使軟件和安全規(guī)則適合裝置和控制協(xié)議的特定網(wǎng)絡(luò)漏洞���。安全設(shè)備采用裝置的網(wǎng)絡(luò)地址將周期性的心跳消息發(fā)送給管理服務(wù)器���。心跳消息還可以報(bào)告異常事件,這種異常事件要求管理服務(wù)器將另外的軟件提供給該節(jié)點(diǎn)�。
文檔編號H04L12/24GK101283539SQ200680036993
公開日2008年10月8日 申請日期2006年10月5日 優(yōu)先權(quán)日2005年10月5日
發(fā)明者凱·李, 埃里克·拜爾斯, 約翰·卡爾施, 達(dá)雷恩·利斯摩爾 申請人:拜爾斯安全公司