工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置制造方法
【專利摘要】一種工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置�����,屬于工業(yè)控制網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�����。采用“2+1”的結(jié)構(gòu)體系���,包括外網(wǎng)處理機(jī)��、內(nèi)網(wǎng)處理機(jī)和隔離交換單元��,其中���,隔離交換單元采用基于總線的雙通道結(jié)構(gòu),與外網(wǎng)處理機(jī)���、內(nèi)網(wǎng)處理機(jī)通過PCI總線相連����。本發(fā)明基于總線的雙通道隔離控制技術(shù)���,實現(xiàn)雙通道實時開關(guān)����,將內(nèi)�、外網(wǎng)的雙向數(shù)據(jù)傳輸轉(zhuǎn)換為兩個單向數(shù)據(jù)傳輸,從硬件和軟件上保證內(nèi)外網(wǎng)的安全隔離���,解決了傳統(tǒng)安全技術(shù)在同一個系統(tǒng)雙向傳送中存在的諸多安全問題����,同時降低了硬件成本和復(fù)雜度�,提高了系統(tǒng)可靠性和數(shù)據(jù)交換速率,降低了切換時間����。
【專利說明】 工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于工業(yè)控制網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,特別是涉及一種工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置�����。
【背景技術(shù)】
[0002]工業(yè)控制系統(tǒng)負(fù)責(zé)對生產(chǎn)裝置的連續(xù)控制����,具有不可間斷的高可靠性要求和不可延遲的高實時性要求。目前針對部分工業(yè)控制網(wǎng)絡(luò)的安全防護(hù),盡管采用了各種復(fù)雜的防護(hù)技術(shù)����,如防火墻、入侵探測系統(tǒng)����、病毒墻等,這些機(jī)制都是一種邏輯機(jī)制的保護(hù)�����,由于存在通信鏈路���,對于邏輯實體來說是可能被操縱的��;同時���,邏輯機(jī)制的極端復(fù)雜性與局限性,所形成的在線分析技術(shù)也無法滿足高速信息交換的需求及實時性要求���;許多在線查殺����、云查殺技術(shù)會影響系統(tǒng)的穩(wěn)定性,殺毒程序升級和軟件補(bǔ)丁可能導(dǎo)致系統(tǒng)重啟����,不適用于連續(xù)生產(chǎn)過程��;應(yīng)用傳統(tǒng)信息領(lǐng)域的安全措施����,如VPNs、防火墻���、IDSs入侵檢測等主要集中在網(wǎng)絡(luò)層次上�,用于保護(hù)企業(yè)級網(wǎng)絡(luò)來自Internet的外部攻擊�����,能夠降低安全威脅�����,卻不是真正的物理隔離�,同時,缺少對應(yīng)用層內(nèi)容的過濾�,不能阻止內(nèi)部攻擊��,不能徹底阻斷針對操作系統(tǒng)��、TCP/IP協(xié)議等漏洞的攻擊�;對于專有的工業(yè)通訊協(xié)議漏洞的攻擊�����,傳統(tǒng)的信息領(lǐng)域的安全裝置也無能為力����。
[0003]傳統(tǒng)上,采用靜態(tài)安全防御策略來進(jìn)行安全防御����,如防火墻、入侵檢測�����、信息加密��、消息認(rèn)證����、身份認(rèn)證����、訪問控制和操作系統(tǒng)防護(hù)等����,這些技術(shù)都是基于軟件的保護(hù),是一種邏輯機(jī)制����,這對于邏輯實體(即黑客或內(nèi)部用戶)而言是可能被操縱的�,同時這些技術(shù)的極端復(fù)雜性與局限性,使得他們無法達(dá)到更高數(shù)據(jù)安全的要求�。
[0004]從技術(shù)發(fā)展趨勢上來看,有效阻斷已知和未知的攻擊�,防范安全漏洞,隔離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)并能保持?jǐn)?shù)據(jù)高速交換�����,是網(wǎng)絡(luò)安全技術(shù)的發(fā)展方向����。目前網(wǎng)絡(luò)隔離技術(shù)研宄在美國、以色列等掌握網(wǎng)絡(luò)安全先進(jìn)技術(shù)的國家得到了開發(fā)和應(yīng)用�,在國內(nèi)的網(wǎng)絡(luò)安全領(lǐng)域��,網(wǎng)絡(luò)隔離技術(shù)也得到了足夠的重視�。但就技術(shù)水平而言����,與國外相比還存在著較大的差距。國內(nèi)市場上的成熟產(chǎn)品比較多的是物理隔離卡����,該產(chǎn)品還存在有許多缺陷,不能完全滿足應(yīng)用的需要�����,如物理隔離卡只能保護(hù)單個計算機(jī)���,不能保護(hù)網(wǎng)絡(luò)�,并且切換操作系統(tǒng)需要重新啟動?�,F(xiàn)有一些基于物理隔離的產(chǎn)品���,如采用實時交換技術(shù)的隔離交換器由于能夠在網(wǎng)絡(luò)間進(jìn)行高速安全的數(shù)據(jù)交換�,因此具有廣泛的應(yīng)用前景和較高的市場價值���。
[0005]目前大部分網(wǎng)閘產(chǎn)品采用工控電腦公司生產(chǎn)的防火墻硬件平臺為自身的硬件平臺����,配上自己的軟件實現(xiàn)的產(chǎn)品。硬件平臺大同小異���,軟件系統(tǒng)千差萬別�,造成這些產(chǎn)品普遍存在產(chǎn)品化工作差���,故障率高,數(shù)據(jù)交換速度低的問題����。國內(nèi)的網(wǎng)閘支持百兆網(wǎng)絡(luò),如聯(lián)想網(wǎng)御SIS-3000安全隔離網(wǎng)閘其交換速度35Mbps���,珠海偉思ViGap交換速度為90Mbps�,目前國內(nèi)網(wǎng)閘的最快交換速度為120Mbps���。因此���,單臺的隔離網(wǎng)閘無法適應(yīng)交換速度要求很高的應(yīng)用場合����,如千兆網(wǎng)絡(luò)系統(tǒng)���。面對這種情況�,現(xiàn)在大多數(shù)采用幾臺隔離網(wǎng)閘同時工作��,這樣的解決方案大大增加了系統(tǒng)的成本����。
[0006]網(wǎng)閘對靜態(tài)數(shù)據(jù)有較好的安全性,但是對于連續(xù)的數(shù)據(jù)流就無能為力����;價格高:一般在幾萬-幾百萬;應(yīng)用面窄:國內(nèi)的網(wǎng)閘產(chǎn)品非常泛濫��,國外大廠很少有國內(nèi)類似的網(wǎng)閘產(chǎn)品��。國外雖然早就提出網(wǎng)閘的概念��,但是這種產(chǎn)品一直屬于應(yīng)用單一的專用產(chǎn)品���,像國內(nèi)這些應(yīng)用于Http瀏覽上網(wǎng)�、能用于數(shù)據(jù)庫、能用于文件共享的萬能產(chǎn)品已經(jīng)完全脫離了所謂的協(xié)議隔離的概念�����。從目前的情況來看�,市場上出現(xiàn)的網(wǎng)閘很多未能實現(xiàn)OSI模型的數(shù)據(jù)鏈路層的斷開。任何基于通信協(xié)議的數(shù)據(jù)交換技術(shù)���,都無法消除鏈路的連接���,因此不是完整的網(wǎng)絡(luò)隔離技術(shù)。
[0007]因此為確保工業(yè)控制網(wǎng)絡(luò)的信息安全���,我們擬采用高安全的物理隔離技術(shù),在所要保護(hù)的網(wǎng)絡(luò)通道上��,建立一個獨(dú)立的物理安全隔離交換系統(tǒng)��,切斷網(wǎng)絡(luò)被攻擊的途徑��,真正實現(xiàn)網(wǎng)絡(luò)威脅的防護(hù)����。從技術(shù)發(fā)展趨勢上來看���,有效阻斷已知和未知的攻擊,防范安全漏洞����,隔離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)并能保持?jǐn)?shù)據(jù)高速交換,是網(wǎng)絡(luò)安全技術(shù)的發(fā)展方向����。
【發(fā)明內(nèi)容】
[0008]本發(fā)明的目的在于提供一種工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置,是一種真正意義上的物理安全隔離裝置�,同時還能保證高速的數(shù)據(jù)交換,不但能防護(hù)網(wǎng)絡(luò)層次上的基于TCP/IP協(xié)議漏洞的外部攻擊��,如端口掃描攻擊�;而且能夠處理基于內(nèi)容、專有協(xié)議的大部分內(nèi)部攻擊����、在一定程度上杜絕由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險等。
[0009]本發(fā)明采用2+1的結(jié)構(gòu)體系���,包括外網(wǎng)處理機(jī)����、內(nèi)網(wǎng)處理機(jī)和隔離交換單元,其中隔離交換單元采用基于總線的雙通道結(jié)構(gòu)�,與外網(wǎng)處理機(jī)、內(nèi)網(wǎng)處理機(jī)通過PCI總線相連����。
[0010]作為本發(fā)明的一個優(yōu)選方案,所述的外網(wǎng)處理機(jī)和內(nèi)網(wǎng)處理機(jī)是對稱結(jié)構(gòu)����,都至少包括:處理器、存儲器�����、以太網(wǎng)口以及相關(guān)安全模塊���;其中所述的處理器為高性能嵌入式處理器�,以太網(wǎng)口至少包括一個千兆網(wǎng)口和一百兆網(wǎng)口�����,所述的千兆網(wǎng)口用于連接外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)�����,所述的百兆網(wǎng)口用于連接管理配置主機(jī)�;
[0011]所述的相關(guān)安全模塊以插件模式安裝在所述的裝置中,至少包括訪問控制模塊�、標(biāo)準(zhǔn)協(xié)議檢查模塊、專有協(xié)議安全引擎�、內(nèi)容過濾模塊。
[0012]所述的專有協(xié)議安全引擎����,至少包括工業(yè)控制網(wǎng)絡(luò)常用的OPC、Modbus/TCP協(xié)議安全引擎��。
[0013]所述的OPC協(xié)議安全引擎運(yùn)行方式如下:
[0014]a.采用工業(yè)協(xié)議的通訊跟蹤技術(shù)���,動態(tài)跟蹤OPC服務(wù)器分配的TCP或UDP端口���,動態(tài)打開打開端口實現(xiàn)數(shù)據(jù)通信;同時根據(jù)應(yīng)用場景數(shù)據(jù)傳輸情況����,采用動態(tài)自適應(yīng)開關(guān)算法設(shè)置端口打開的時間,超過時間上限���,就認(rèn)定無效通訊��,進(jìn)行后續(xù)的處理���;
[0015]b.采用協(xié)議完整性檢查方法���,按照OPC Classic標(biāo)準(zhǔn)格式對捕獲的OPC數(shù)據(jù)進(jìn)行深度檢查,不符合的OPC數(shù)據(jù)請求被阻止�;
[0016]c.采用數(shù)據(jù)加密與校驗算法,保證OPC數(shù)據(jù)的安全性����。
[0017]其中,所述的OPC數(shù)據(jù)加密與校驗算法包括通過RPC/0PC頭和尾加入數(shù)據(jù)CRC校驗位及加密算法�。
[0018]所述的Modbus/TCP協(xié)議安全引擎包括Modbus/TCP協(xié)議深度包檢測。
[0019]所述的內(nèi)容過濾模塊包括基于關(guān)鍵詞匹配與語義匹配的混合過濾模型��。
[0020]作為本發(fā)明的另一優(yōu)選方案���,所述的隔離交換單元包括內(nèi)部安全控制板和外部安全控制板���,每塊安全控制板包含各自的FPGA芯片和雙端口緩存芯片,且兩塊安全控制板通過LVDS總線相連����;其中FPGA內(nèi)部具有數(shù)據(jù)完整性校驗?zāi)K和/或數(shù)據(jù)壓縮和/或加密模塊,且對用戶透明�����,保證了數(shù)據(jù)交換的安全性��。
[0021]作為本發(fā)明的又一優(yōu)選方案���,所述的隔離交換單元中����,F(xiàn)PGA內(nèi)部具有數(shù)據(jù)壓縮和加密模塊�,對用戶透明,進(jìn)一步保證了數(shù)據(jù)交換的安全性��。
[0022]所述的裝置工作過程涉及到兩個處理過程�����,即協(xié)議剝離及安全處理流程和協(xié)議封裝及會話建立流程��。信息通過裝置傳遞需要經(jīng)過多個安全模塊的檢查��,以驗證被交換信息的合法性。當(dāng)訪問請求到達(dá)內(nèi)外網(wǎng)處理機(jī)時����,首先實現(xiàn)TCP連接的終結(jié),確保TCP/IP協(xié)議不會直接或通過代理方式穿透網(wǎng)絡(luò)安全隔離交換裝置���;然后�,內(nèi)外網(wǎng)處理機(jī)會依據(jù)安全策略對訪問請求進(jìn)行預(yù)處理�,判斷是否符合訪問控制策略,并依據(jù)RFC或定制策略對數(shù)據(jù)包進(jìn)行應(yīng)用層協(xié)議檢查和內(nèi)容過濾�,檢驗其有效載荷的合法性和安全性。一旦數(shù)據(jù)包通過了安全檢查����,內(nèi)外網(wǎng)處理機(jī)會對數(shù)據(jù)包進(jìn)行格式化,將每個合法數(shù)據(jù)包的傳輸信息和傳輸數(shù)據(jù)分別轉(zhuǎn)換成專有格式數(shù)據(jù)��,存放在緩沖區(qū)等待被隔離交換單元處理����;隔離交換單元處理通過PCI總線讀入數(shù)據(jù),在FPGA內(nèi)部進(jìn)行數(shù)據(jù)完整性檢驗等處理�����,如果校驗通過,則通過對硬件上的存儲芯片讀寫���,完成數(shù)據(jù)交換;數(shù)據(jù)交換之后����,重建TCP/IP協(xié)議及應(yīng)用協(xié)議,與內(nèi)外網(wǎng)建立會話����,實現(xiàn)透明傳輸。這種“靜態(tài)”的數(shù)據(jù)傳輸形態(tài)不可執(zhí)行�����,不依賴任何通用協(xié)議���,只能被系統(tǒng)的內(nèi)部處理機(jī)制識別及處理�,因此可避免遭受利用各種已知或未知網(wǎng)絡(luò)層漏洞的威脅��。
[0023]其中�����,純數(shù)據(jù)交換方案采用結(jié)構(gòu)化數(shù)據(jù)交換格式,實現(xiàn)各種不同類型數(shù)據(jù)(數(shù)字��、文本���、位串)組成的任意結(jié)構(gòu)化數(shù)據(jù)塊的快速連續(xù)交換��。數(shù)據(jù)被組織成數(shù)據(jù)塊���,數(shù)據(jù)塊按照層次結(jié)構(gòu)排列。塊由頭部和數(shù)據(jù)體(內(nèi)容)組成��。塊類型可以是原子性塊(內(nèi)容是純數(shù)據(jù))或結(jié)構(gòu)化塊(內(nèi)容部分包括一個塊列表)�����,該數(shù)據(jù)塊內(nèi)可構(gòu)造任何層次化的結(jié)構(gòu)數(shù)據(jù)�����。方便數(shù)據(jù)交換與解析�,提供API函數(shù)供應(yīng)用程序調(diào)用,如讀寫函數(shù)���。
[0024]本發(fā)明提供一個高速高性能的工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置��,通過軟硬件的協(xié)同防御�,實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的安全隔離,保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部入侵攻擊����,同時內(nèi)、外網(wǎng)能夠進(jìn)行高速的數(shù)據(jù)交換���。
[0025]與現(xiàn)有技術(shù)相比,本發(fā)明采用“2+1”的結(jié)構(gòu)體系����,內(nèi)外網(wǎng)處理機(jī)各采用獨(dú)立的操作系統(tǒng)來管理,數(shù)據(jù)交換采用剝離了 TCP/IP協(xié)議的采用專有格式的數(shù)據(jù)塊的交換方式����,并提供完整性檢查和校驗等安全策略,杜絕了由于TCP/IP網(wǎng)絡(luò)協(xié)議脆弱性和部分操作系統(tǒng)的脆弱性帶來的安全隱患�����;基于總線的雙通道隔離控制技術(shù)��,實現(xiàn)雙通道實時開關(guān),將內(nèi)����、夕卜網(wǎng)的雙向數(shù)據(jù)傳輸轉(zhuǎn)換為兩個單向數(shù)據(jù)傳輸,從硬件和軟件上保證內(nèi)外網(wǎng)的安全隔離�,解決了傳統(tǒng)安全技術(shù)在同一個系統(tǒng)雙向傳送中存在的諸多安全問題;物理層數(shù)據(jù)傳輸采用基于FPGA的高速總線方案�����,與傳統(tǒng)網(wǎng)閘技術(shù)基于SCSI和空氣開關(guān)的方案相比�����,降低了硬件成本和復(fù)雜度�����,提高了系統(tǒng)可靠性和數(shù)據(jù)交換速率�����,降低了切換時間���。
【專利附圖】
【附圖說明】
[0026]圖1是本發(fā)明的一種實施例的工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置結(jié)構(gòu)圖�����。
[0027]圖2是本發(fā)明的一種實施例的隔離交換單元結(jié)構(gòu)示意圖��。
[0028]圖3是本發(fā)明的一種實施例的隔離交換單元讀寫邏輯示意圖����。
[0029]圖4是本發(fā)明的一種實施例的工作流程圖。
【具體實施方式】
[0030]圖1?圖4為本發(fā)明的【具體實施方式】���。下面結(jié)合附圖和【具體實施方式】對本發(fā)明作進(jìn)一步的說明�����。
[0031]如圖1所示,采用“2+1”的結(jié)構(gòu)體系����,包括外網(wǎng)處理機(jī)、內(nèi)網(wǎng)處理機(jī)和隔離交換單元��,其中隔離交換單元采用基于總線的雙通道結(jié)構(gòu)����,與內(nèi)����、外網(wǎng)處理機(jī)通過PCI總線相連�。
[0032]硬件架構(gòu)上采用“2+1”結(jié)構(gòu),即雙系統(tǒng)+隔離交換單元模型�����,雙系統(tǒng)分別具有獨(dú)立的操作系統(tǒng)���;為了克服傳統(tǒng)網(wǎng)絡(luò)安全隔離產(chǎn)品的數(shù)據(jù)交換速度低���、延遲時間長的缺點(diǎn),選擇PCI總線進(jìn)行數(shù)據(jù)傳輸����,利用內(nèi)存反射技術(shù),實現(xiàn)數(shù)據(jù)的存儲轉(zhuǎn)發(fā)����。
[0033]所述的外網(wǎng)處理機(jī)和內(nèi)網(wǎng)處理機(jī)是對稱結(jié)構(gòu),都至少包括:處理器�、存儲器、以太網(wǎng)口以及相關(guān)安全模塊�;其中所述的處理器為高性能嵌入式處理器�,以太網(wǎng)口至少包括一個千兆網(wǎng)口和一百兆網(wǎng)口����,所述的千兆網(wǎng)口用于連接外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò),所述的百兆網(wǎng)口用于連接管理配置主機(jī)���。
[0034]所述的相關(guān)安全模塊以插件模式安裝在所述的裝置中��,至少包括訪問控制模塊�、標(biāo)準(zhǔn)協(xié)議檢查模塊����、專有協(xié)議安全引擎、內(nèi)容過濾模塊�����。
[0035]所述的專有協(xié)議安全引擎�����,至少包括工業(yè)控制網(wǎng)絡(luò)常用的OPC����、Modbus/TCP協(xié)議安全引擎。
[0036]所述的OPC協(xié)議安全引擎包括以下特征:
[0037]a.采用工業(yè)協(xié)議的通訊跟蹤技術(shù)����,動態(tài)跟蹤OPC服務(wù)器分配的TCP或UDP端口,動態(tài)打開打開端口實現(xiàn)數(shù)據(jù)通信�;同時根據(jù)應(yīng)用場景數(shù)據(jù)傳輸情況,采用動態(tài)自適應(yīng)開關(guān)算法設(shè)置端口打開的時間�,超過時間上限,就認(rèn)定無效通訊�����,進(jìn)行后續(xù)的處理�;
[0038]b.采用協(xié)議完整性檢查方法,按照OPC Classic標(biāo)準(zhǔn)格式對捕獲的OPC數(shù)據(jù)進(jìn)行深度檢查���,不符合的OPC數(shù)據(jù)請求被阻止�;
[0039]c.采用數(shù)據(jù)加密與校驗算法�,保證OPC數(shù)據(jù)的安全性。其中��,所述的OPC數(shù)據(jù)加密與校驗算法包括通過RPC/0PC頭和尾加入數(shù)據(jù)CRC校驗位及加密算法����。
[0040]所述的Modbus/TCP協(xié)議安全引擎包括Modbus/TCP協(xié)議深度包檢測����。它能夠深入?yún)f(xié)議內(nèi)部�����,指定允許的Modbus命令��、寄存器和線圈列表����,自動阻止并報告不符合安全規(guī)則的通訊,檢查并阻止不符合Modbus通信協(xié)議的通訊內(nèi)容�����。
[0041]所述的內(nèi)容過濾模塊包括基于關(guān)鍵詞匹配與語義匹配的混合過濾模型�����。該過濾模型基于具體的工業(yè)控制網(wǎng)絡(luò)應(yīng)用��,來提取相關(guān)的關(guān)鍵字和語義表��。
[0042]所述的隔離交換單元包括內(nèi)部安全控制板和外部安全控制板����,如圖2所示,每塊安全控制板包含各自的FPGA芯片和雙端口緩存芯片��,且兩塊安全控制板通過LVDS總線相連�;其中FPGA內(nèi)部具有數(shù)據(jù)完整性校驗?zāi)K和/或數(shù)據(jù)壓縮和/或加密模塊,且對用戶透明���,保證了數(shù)據(jù)交換的安全性��。
[0043]安全隔離技術(shù)均采用專用隔離硬件的設(shè)計完成隔離功能���,硬件設(shè)計保證在任意時刻網(wǎng)絡(luò)間的鏈路層斷開,阻斷TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議�����;同時該硬件不提供編程軟接口�����,不受系統(tǒng)控制�,僅提供物理上的控制開關(guān)。這樣黑客無法從遠(yuǎn)程獲得硬件的控制權(quán),隔離硬件工作在系統(tǒng)的最底層�����,保證即使系統(tǒng)硬件出現(xiàn)故障也不會導(dǎo)致安全問題產(chǎn)生���。
[0044]總線控制技術(shù)的實現(xiàn)采用雙端口的靜態(tài)存儲器DPRAM�,配合基于獨(dú)立的FPGA控制電路��,通過組合邏輯電路來實現(xiàn)兩個端口控制的邏輯開關(guān)�����,雙端口各自通過邏輯開關(guān)連接到獨(dú)立的主機(jī)上�����,DPRAM提供了 2個完全獨(dú)立的端口�����,每個端口分別有自己的控制線����、地址線和I/O數(shù)據(jù)線。2個CPU可以獨(dú)立地讀寫任一 DPRAM單元。雙端口 SRAM是連接兩塊主板的唯一通道��。
[0045]數(shù)據(jù)轉(zhuǎn)發(fā)是通過PCI總線共享存儲區(qū)的方式來實現(xiàn)的����。PCI設(shè)備是以總線命令的方式實現(xiàn)對信號傳輸控制的�����。PCI接口控制是作為一個轉(zhuǎn)換接口���,工作于PCI總線與用戶FPGA內(nèi)部FIFO之間��,其主要功能是起一個橋梁作用�����,完成FPGA內(nèi)的存儲器與PCI總線間的信息傳遞�����。
[0046]PCI總線接口的開發(fā)采用FPGA作為開發(fā)平臺���,其優(yōu)點(diǎn)在于靈活的可編程性,首先PCI接口可以依據(jù)插卡功能進(jìn)行最優(yōu)化,而不必實現(xiàn)所有的PCI功能�����,這樣可以節(jié)約系統(tǒng)的邏輯資源�。而且,用戶可以將PCI插卡上的其他用戶邏輯與PCI接口邏輯集成在一個芯片上���,實現(xiàn)緊湊的系統(tǒng)設(shè)計��。當(dāng)系統(tǒng)升級時�����,只需要對可編程器件重新進(jìn)行邏輯設(shè)計��。
[0047]雙通道設(shè)計是為了最大限度提高安全隔離交換裝置的數(shù)據(jù)交換速度�,本發(fā)明采用兩個雙端口 SRAM分別作為內(nèi)外安全控制板的兩個緩沖區(qū)�����,實現(xiàn)雙單向傳輸�,即雙通道實時數(shù)據(jù)傳輸。這種雙緩存雙通道結(jié)構(gòu)的隔離交換單元包括內(nèi)��、外兩塊安全控制板,每塊安全控制板包含各自的FPGA和緩存�。兩塊安全控制板之間通過LVDS總線相連。LVDS�����,是一種差分?jǐn)?shù)據(jù)傳輸技術(shù)�����,具有速度快�、功耗小����、抗干擾性強(qiáng)等特點(diǎn)。外網(wǎng)處理機(jī)與內(nèi)網(wǎng)處理機(jī)之間的數(shù)據(jù)吞吐量與PCI總線相同��,即在33MHz PCI時鐘頻率下����,32位PCI并行數(shù)據(jù)總線的理論峰值數(shù)據(jù)吞吐量為32bit*33MHz = 1056Mbps,超過了 lGbps���,因此應(yīng)用LVDS技術(shù)可以克服物理層的傳輸瓶頸�,從而實現(xiàn)兩個安全域之間的高速通訊。
[0048]如圖2所示���,以數(shù)據(jù)從外網(wǎng)流向內(nèi)網(wǎng)為例說明其工作流程:數(shù)據(jù)在外網(wǎng)處理機(jī)的軟件平臺上進(jìn)行訪問控制��、協(xié)議剝離與檢查�����、內(nèi)容過濾����、數(shù)據(jù)格式封裝等操作���,然后通過PCI總線進(jìn)入外部安全控制板��;數(shù)據(jù)同時流入外部安全控制板上的FIFO與FPGA中�����,在FPGA內(nèi)部進(jìn)行數(shù)據(jù)完整性校驗�,如果校驗通過���,則FIFO中的數(shù)據(jù)通過LVDS串化芯片��,TTL信號數(shù)據(jù)被串化為LVDS差分信號����,然后發(fā)送到LVDS總線上,通過平衡電纜到達(dá)內(nèi)網(wǎng)的安全控制板上����。先進(jìn)入LVDS解串芯片,數(shù)據(jù)由LVDS差分信號恢復(fù)為TTL信號��,在送入內(nèi)部安全控制板上的FPGA內(nèi)部進(jìn)行數(shù)據(jù)恢復(fù)與編碼�,編碼后通過PCI總線進(jìn)入內(nèi)部處理機(jī)的軟件平臺進(jìn)行協(xié)議重組及數(shù)據(jù)處理等操作�。
[0049]隔離交換單元讀寫邏輯如圖3所示:定義兩個雙端口靜態(tài)存儲器(DPRAM)分別為緩存1、緩存2���。外網(wǎng)處理機(jī)只能通過Kl向緩存I中寫入數(shù)據(jù)及從緩存2中讀出數(shù)據(jù)����,而內(nèi)網(wǎng)處理機(jī)只能通過K2從緩存I中讀出數(shù)據(jù)及從緩存2中寫入數(shù)據(jù)����,即兩個DPRAM只能執(zhí)行同時“讀”或同時“寫”的操作,可以通過異或邏輯來實現(xiàn)����。
[0050]如圖4所示�,所述的裝置工作過程涉及到兩個處理過程�,即協(xié)議剝離及安全處理流程和協(xié)議封裝及會話建立流程。信息通過裝置傳遞需要經(jīng)過多個安全模塊的檢查���,以驗證被交換信息的合法性����。當(dāng)訪問請求到達(dá)內(nèi)外網(wǎng)處理機(jī)時���,首先實現(xiàn)TCP連接的終結(jié)����,確保TCP/IP協(xié)議不會直接或通過代理方式穿透網(wǎng)絡(luò)安全隔離交換裝置����;然后����,內(nèi)外網(wǎng)處理機(jī)會依據(jù)安全策略對訪問請求進(jìn)行預(yù)處理��,判斷是否符合訪問控制策略�,并依據(jù)RFC或定制策略對數(shù)據(jù)包進(jìn)行應(yīng)用層協(xié)議檢查和內(nèi)容過濾��,檢驗其有效載荷的合法性和安全性。一旦數(shù)據(jù)包通過了安全檢查���,內(nèi)外網(wǎng)處理機(jī)會對數(shù)據(jù)包進(jìn)行格式化����,將每個合法數(shù)據(jù)包的傳輸信息和傳輸數(shù)據(jù)分別轉(zhuǎn)換成專有格式數(shù)據(jù),存放在緩沖區(qū)等待被隔離交換單元處理�����;隔離交換單元處理通過PCI總線讀入數(shù)據(jù)���,在FPGA內(nèi)部進(jìn)行數(shù)據(jù)完整性檢驗等處理��,如果校驗通過�����,則通過對硬件上的存儲芯片讀寫��,完成數(shù)據(jù)交換�����;數(shù)據(jù)交換之后,重建TCP/IP協(xié)議及應(yīng)用協(xié)議����,與內(nèi)外網(wǎng)建立會話��,實現(xiàn)透明傳輸。這種“靜態(tài)”的數(shù)據(jù)傳輸形態(tài)不可執(zhí)行,不依賴任何通用協(xié)議����,只能被系統(tǒng)的內(nèi)部處理機(jī)制識別及處理,因此可避免遭受利用各種已知或未知網(wǎng)絡(luò)層漏洞的威脅����。
[0051]其中�,純數(shù)據(jù)交換方案采用結(jié)構(gòu)化數(shù)據(jù)交換方式,實現(xiàn)各種不同類型數(shù)據(jù)(數(shù)字����、文本����、位串)組成的任意結(jié)構(gòu)化數(shù)據(jù)塊的快速連續(xù)交換。數(shù)據(jù)被組織成數(shù)據(jù)塊����,數(shù)據(jù)塊按層次結(jié)構(gòu)排列��,塊由頭部和數(shù)據(jù)體(內(nèi)容)組成,塊類型可以是原子性塊(內(nèi)容是純數(shù)據(jù))或結(jié)構(gòu)化塊(內(nèi)容部分包括一個塊列表)��,該數(shù)據(jù)塊內(nèi)可構(gòu)造任何層次化的結(jié)構(gòu)數(shù)據(jù)���;方便數(shù)據(jù)交換與解析,提供API函數(shù)供應(yīng)用程序調(diào)用����,如讀寫函數(shù)。
[0052]以上對本發(fā)明實施方式提供的技術(shù)方案進(jìn)行了詳細(xì)的介紹����,本文中應(yīng)用了具體實施例對本發(fā)明所實施的原理及實施方式進(jìn)行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明實施的原理�����;同時����,對于本領(lǐng)域的一般技術(shù)人員�����,本發(fā)明實施例����,在【具體實施方式】以及應(yīng)用范圍上均有改變之處����,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制����。
【權(quán)利要求】
1.一種工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置,其特征在于:包括外網(wǎng)處理機(jī)��、內(nèi)網(wǎng)處理機(jī)和隔離交換單元���,其中隔離交換單元采用基于總線的雙通道結(jié)構(gòu)����,與外網(wǎng)處理機(jī)����、內(nèi)網(wǎng)處理機(jī)通過PCI總線相連; 所述的外網(wǎng)處理機(jī)和內(nèi)網(wǎng)處理機(jī)是對稱結(jié)構(gòu)�,都至少包括:處理器、存儲器�、以太網(wǎng)口以及相關(guān)安全模塊;其中��,所述的處理器為高性能嵌入式處理器��,以太網(wǎng)口至少包括一個千兆網(wǎng)口和一個百兆網(wǎng)口���,所述的千兆網(wǎng)口用于連接外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)����,所述的百兆網(wǎng)口用于連接管理配置主機(jī)�����;所述的相關(guān)安全模塊以插件模式安裝在所述的裝置中�,所述的相關(guān)安全模塊至少包括訪問控制模塊、標(biāo)準(zhǔn)協(xié)議檢查模塊��、專有協(xié)議安全引擎��、內(nèi)容過濾模塊; 所述的隔離交換單元包括內(nèi)部安全控制板和外部安全控制板����,所述的安全控制板包含各自的FPGA芯片和雙端口緩存芯片,且所述的兩塊安全控制板通過LVDS總線相連�;所述的FPGA內(nèi)部具有數(shù)據(jù)完整性校驗?zāi)K和/或數(shù)據(jù)壓縮和/或加密模塊,且對用戶透明�����。
2.根據(jù)權(quán)利要求1所述的工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置�����,其特征在于:所述的專有協(xié)議安全引擎��,至少包括工業(yè)控制網(wǎng)絡(luò)常用的OPC�����、Modbus/TCP協(xié)議安全引擎���。
3.根據(jù)權(quán)利要求2所述的工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置�,其特征在于:所述的OPC協(xié)議安全引擎運(yùn)行方式如下: a.采用工業(yè)協(xié)議的通訊跟蹤技術(shù)����,動態(tài)跟蹤OPC服務(wù)器分配的TCP或UDP端口��,動態(tài)打開打開端口實現(xiàn)數(shù)據(jù)通信;同時根據(jù)應(yīng)用場景數(shù)據(jù)傳輸情況�����,采用動態(tài)自適應(yīng)開關(guān)算法設(shè)置端口打開的時間�,超過時間上限,就認(rèn)定無效通訊�,進(jìn)行后續(xù)的處理; b.采用協(xié)議完整性檢查方法�,按照OPCClassic標(biāo)準(zhǔn)格式對捕獲的OPC數(shù)據(jù)進(jìn)行深度檢查,不符合的OPC數(shù)據(jù)請求被阻止��; c.采用數(shù)據(jù)加密與校驗算法�����,保證OPC數(shù)據(jù)的安全性�����。
4.根據(jù)權(quán)利要求3所述的工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置����,其特征在于:所述的OPC數(shù)據(jù)加密與校驗算法包括通過RPC/0PC頭和尾加入數(shù)據(jù)CRC校驗位及加密算法����。
5.根據(jù)權(quán)利要求2所述的工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置�����,其特征在于:所述的Modbus/TCP協(xié)議安全引擎包括Modbus/TCP協(xié)議深度包檢測���。
6.根據(jù)權(quán)利要求1所述的工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置����,其特征在于:所述的內(nèi)容過濾模塊包括基于關(guān)鍵詞匹配與語義匹配的混合過濾模型�。
7.根據(jù)權(quán)利要求1所述的工業(yè)控制網(wǎng)絡(luò)安全隔離交換裝置,其特征在于: 所述的裝置采用結(jié)構(gòu)化數(shù)據(jù)交換方式�,實現(xiàn)各種不同類型數(shù)據(jù),包括數(shù)字��、文本�����、位串���,組成的任意結(jié)構(gòu)化數(shù)據(jù)塊的連續(xù)交換��;所述的數(shù)據(jù)塊按層次結(jié)構(gòu)排列���,由頭部和數(shù)據(jù)體組成����,所述的數(shù)據(jù)塊類型是原子性塊或結(jié)構(gòu)化塊�����,所述的數(shù)據(jù)塊內(nèi)能構(gòu)造任何層次化的結(jié)構(gòu)數(shù)據(jù)��。
【文檔編號】H04L29/06GK104486336SQ201410771706
【公開日】2015年4月1日 申請日期:2014年12月12日 優(yōu)先權(quán)日:2014年12月12日
【發(fā)明者】王麗娜, 趙永麗, 孫希艷 申請人:冶金自動化研究設(shè)計院