一種適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于工業(yè)控制網(wǎng)絡(luò)技術(shù)領(lǐng)域��,特別是提供了一種適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘���。
【背景技術(shù)】
[0002]物聯(lián)網(wǎng)�、云計(jì)算�、移動(dòng)應(yīng)用技術(shù)是當(dāng)今信息領(lǐng)域重點(diǎn)發(fā)展的三大信息技術(shù)。其中���,物聯(lián)網(wǎng)作為一種正在高速發(fā)展的先進(jìn)技術(shù)��,其信息安全問題正在越來越受到國(guó)家的重視�。完善的工業(yè)物聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)包括數(shù)據(jù)、物理��、網(wǎng)絡(luò)在內(nèi)的多方面信息安全問題�����,要維持整體系統(tǒng)的穩(wěn)定運(yùn)行����,保證生產(chǎn)過程不受影響,就需要制定行使有效的安全解決方案���。
[0003]分析國(guó)內(nèi)外��,水電訊��、石油化各個(gè)行業(yè)出現(xiàn)的工業(yè)控制系統(tǒng)的安全危機(jī)可以發(fā)現(xiàn)有如下共同點(diǎn):
[0004](I)作為控制系統(tǒng)操作站��、上位機(jī)的電腦�,很少或根本沒有機(jī)會(huì)安裝全天候病毒防護(hù)或更新版本���。
[0005](2)目前常用的DCS��、PLC等控制器的設(shè)計(jì)都以優(yōu)化過程控制功能為主��,基本沒有提供網(wǎng)絡(luò)安全防護(hù)功能�。
[0006](3)不同的控制系統(tǒng)之間的網(wǎng)絡(luò)都沒有有效的分隔開,尤其是基于0PC�����、M0DBUS等通訊的工業(yè)控制網(wǎng)絡(luò)���。
[0007](4)安全事件中����,大部分采用的商業(yè)防火墻��、VPN�、IPS等�,但因?yàn)楣I(yè)控制成產(chǎn)網(wǎng)絡(luò)有一定的特殊性和普通的商用網(wǎng)絡(luò)有一定的區(qū)別,導(dǎo)致商用防火墻無(wú)法從根本上解決生產(chǎn)控制網(wǎng)絡(luò)的安全問題�����。
[0008]目前的行業(yè)應(yīng)用中,絕大多數(shù)都采用防火墻作為內(nèi)外網(wǎng)之間的屏障�。但是,工業(yè)控制網(wǎng)絡(luò)與上層信息網(wǎng)絡(luò)之間���,并不能依靠防火墻來保障安全��。原因如下:
[0009]—����、防火墻由于自身運(yùn)行原理問題�,存在著很多的先天問題,主要有一下幾點(diǎn):
[0010](I)防火墻基于TCP/IP協(xié)議�,針對(duì)該協(xié)議本身的漏洞,防火墻并沒有辦法安全防御���。
[0011](2)防火墻基于包過濾原理�����,不能阻止病毒����、蠕蟲以及各種新型攻擊����。
[0012](3)防火墻對(duì)用戶并不完全透明�,非專業(yè)用戶難以管理和配置����,容易造成安全漏洞。
[0013](4)防火墻的防護(hù)原理基于策略����,它并不區(qū)分執(zhí)行策略的正確與否。存在被控制和篡改的危險(xiǎn)�。
[0014](5)防火墻的防護(hù)策略過多會(huì)影響其本身運(yùn)行速度,過少又會(huì)造成安全隱患�。
[0015]二、在工業(yè)控制領(lǐng)域中�,防火墻較為明顯的局限性存在與以下幾點(diǎn):
[0016](I)工控領(lǐng)域的通信大多基于0PC、M0DBUS等工業(yè)協(xié)議���,但是大多數(shù)防火墻并不基于0PC、M0DBUS等工業(yè)通信協(xié)議�����。
[0017](2)防火墻基于黑名單����,并不能防范最新的威脅�����。
[0018](3)防火墻自身可能出現(xiàn)安全漏洞��。
[0019](4)用戶管理不方便���。
[0020](5)被黑客攻破的概率已達(dá)50%。
[0021](6)防火墻不能在內(nèi)外網(wǎng)之間提供一致的安全策略�,不能很好的防御來自標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的攻擊,針對(duì)服務(wù)器漏洞的攻擊也無(wú)能為力�����。
[0022](7)防火墻在提供安全服務(wù)的同時(shí)�,也會(huì)增加網(wǎng)絡(luò)延時(shí)。
[0023]網(wǎng)絡(luò)隔離技術(shù)的核心是物理隔離�����,并通過專用硬件和安全協(xié)議來確保兩個(gè)鏈路層斷開的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)數(shù)據(jù)信息在可信網(wǎng)絡(luò)環(huán)境中進(jìn)行交互�、共享。一般情況下�,網(wǎng)絡(luò)隔離技術(shù)主要包括內(nèi)網(wǎng)處理單元�、外網(wǎng)處理單元和專用隔離交換單元三部分內(nèi)容�,其中,內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元都具備一個(gè)獨(dú)立的網(wǎng)絡(luò)接口和網(wǎng)絡(luò)地址來分別對(duì)應(yīng)連接內(nèi)網(wǎng)和外網(wǎng)����,而專用隔離交換單元?jiǎng)t是通過硬件電路控制高速切換連接內(nèi)網(wǎng)或外網(wǎng)。網(wǎng)絡(luò)隔離技術(shù)的基本原理通過專用物理硬件和安全協(xié)議在內(nèi)網(wǎng)和外網(wǎng)的之間架構(gòu)起安全隔離網(wǎng)墻���,使兩個(gè)系統(tǒng)在空間上物理隔離��,同時(shí)又能過濾數(shù)據(jù)交換過程中的病毒�、惡意代碼等信息�����,以保證數(shù)據(jù)信息在可信的網(wǎng)絡(luò)環(huán)境中進(jìn)行交換�、共享,同時(shí)還要通過嚴(yán)格的身份認(rèn)證機(jī)制來確保用戶獲取所需數(shù)據(jù)信息�����。
[0024]傳統(tǒng)的隔離產(chǎn)品大多應(yīng)用于各行業(yè)中安全性較高的涉密業(yè)務(wù)����,如銀行系統(tǒng)、辦公系統(tǒng)等���。大多數(shù)網(wǎng)關(guān)獲網(wǎng)閘都支持訪問互聯(lián)網(wǎng)功能�,支持文件交換�、HTTP協(xié)議、TCP\IP協(xié)議���、電子郵件�����、web訪問����、數(shù)據(jù)庫(kù)����、FTP訪問等,并不支持諸如0PC�、M0DBUS、Prof ibus等工業(yè)協(xié)議�����。
[0025]目前,市場(chǎng)上已經(jīng)存在部分針對(duì)工業(yè)通訊的網(wǎng)閘��,用于數(shù)據(jù)隔離交換�����,但其防護(hù)能力較為單一��,不能進(jìn)行防護(hù)拓展�,也不支持遠(yuǎn)程管理,且防護(hù)手段單一�����,給使用帶來安全隱串
■/Ql���、O
【發(fā)明內(nèi)容】
[0026]本發(fā)明的目的在于提供一種適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘�,適用于工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間在物理隔離的情況下實(shí)現(xiàn)數(shù)據(jù)的單向傳輸�,并具有身份可信認(rèn)證、遠(yuǎn)程維護(hù)����、協(xié)議拓展的功能,給數(shù)據(jù)采集和日常維護(hù)帶來極大便利的工業(yè)網(wǎng)絡(luò)隔離網(wǎng)閘。
[0027]本發(fā)明包括外網(wǎng)處理單元�、數(shù)據(jù)擺渡單元、內(nèi)網(wǎng)處理單元����。所述外網(wǎng)處理單元��、數(shù)據(jù)擺渡單元����、內(nèi)網(wǎng)處理單元的單路完全獨(dú)立,且三個(gè)單元之間采用自協(xié)議進(jìn)行通訊��。外網(wǎng)處理單元與擺渡單元之間�����、內(nèi)網(wǎng)處理單元與擺渡單元之間采用對(duì)應(yīng)的通訊協(xié)議����,外網(wǎng)處理單元與擺渡單元之間、內(nèi)網(wǎng)處理單元與擺渡單元之間的數(shù)據(jù)傳遞過程包括協(xié)議剝離��、校驗(yàn)�����、加密、解密�、封裝過程。
[0028]所述外網(wǎng)處理單元與外網(wǎng)連接��,采集外網(wǎng)數(shù)據(jù)����,通過身份認(rèn)證后,還原成原始數(shù)據(jù)��,并重新封裝成內(nèi)部自由協(xié)議��,通過構(gòu)建內(nèi)部自由協(xié)議通道傳輸給數(shù)據(jù)擺渡單元��。數(shù)據(jù)擺渡單元內(nèi)部連接外網(wǎng)處理單元與內(nèi)部處理單元����,并通過邏輯電路和擺渡單元CPU共同實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。
[0029]所述外網(wǎng)處理單元包括身份可信認(rèn)證模塊���、協(xié)議解封模塊�、數(shù)據(jù)校驗(yàn)?zāi)K�、自協(xié)議封包模塊���、數(shù)據(jù)包加密模塊、數(shù)據(jù)包傳輸模塊��。外網(wǎng)處理單元接收數(shù)據(jù)包后通過身份可信認(rèn)證模塊認(rèn)后�����,被協(xié)議解封模塊解封�����,經(jīng)過數(shù)據(jù)校驗(yàn)?zāi)K的校驗(yàn)后���,被自協(xié)議封包模塊按自有協(xié)議加封,并被數(shù)據(jù)包加密模塊加密���,最后通過數(shù)據(jù)包傳輸模塊傳輸給數(shù)據(jù)擺渡單元�。
[0030]所述身份可信認(rèn)證模塊包括IP認(rèn)證��、端口認(rèn)證�,只有經(jīng)過所述身份可信認(rèn)證模塊認(rèn)證后的數(shù)據(jù)包才可以發(fā)送到所述協(xié)議解封模塊進(jìn)行數(shù)據(jù)包解封;所述數(shù)據(jù)校驗(yàn)?zāi)K對(duì)工業(yè)協(xié)議數(shù)據(jù)進(jìn)行解封并校驗(yàn),剝離出原始數(shù)據(jù)后通過所述數(shù)據(jù)加密模塊進(jìn)行加密;所述自協(xié)議封包模塊將加密后的原始數(shù)據(jù)按自定義協(xié)議格式進(jìn)行封裝�����,并通過所述數(shù)據(jù)包傳輸模塊發(fā)往數(shù)據(jù)擺渡單元。
[0031]所述數(shù)據(jù)擺渡單元包括身份認(rèn)證模塊����、自協(xié)議解封模塊、解密模塊���、數(shù)據(jù)校驗(yàn)?zāi)K��、自協(xié)議封包模塊,加密模塊��、數(shù)據(jù)包傳輸模塊���。數(shù)據(jù)擺渡單元接收數(shù)據(jù)包后通過身份可信認(rèn)證模塊認(rèn)后�,被協(xié)議解封模塊解封�,經(jīng)過解密模塊解密、數(shù)據(jù)校驗(yàn)?zāi)K的校驗(yàn)后����,被自協(xié)議封包模塊按自有協(xié)議加封,并被數(shù)據(jù)包加密模塊加密��,最后通過數(shù)據(jù)包傳輸模塊傳輸給數(shù)據(jù)擺渡單元。
[0032]所述數(shù)據(jù)擺渡單元存在一個(gè)CPU�、兩個(gè)FIFO緩存和一個(gè)邏輯電路���。CPU負(fù)責(zé)數(shù)據(jù)包的認(rèn)證�����、解密、解封����、加密、封裝�����、物理鏈路校準(zhǔn)等���。從外網(wǎng)處理單元接收到數(shù)據(jù)包以后,CPU首先對(duì)數(shù)據(jù)包進(jìn)行身份認(rèn)證�,認(rèn)證通過后對(duì)數(shù)據(jù)包按照自議格式進(jìn)行解封,解封后對(duì)解封出的數(shù)據(jù)進(jìn)行解密,得到原始數(shù)據(jù)�����,寫入FIFO緩存。邏輯電路負(fù)責(zé)切斷外網(wǎng)處理單元與擺渡單元CPU的連接��,并與內(nèi)網(wǎng)處理單元進(jìn)行連接。此時(shí)擺渡單元CPU讀取FIFO緩存中的數(shù)據(jù),進(jìn)行加密�、自協(xié)議封裝,并通過自協(xié)議通道發(fā)送給內(nèi)網(wǎng)處理單元�����。內(nèi)網(wǎng)處理單元接收到數(shù)據(jù)包后�����,進(jìn)行身份認(rèn)證�����,通過后對(duì)數(shù)據(jù)包進(jìn)行解封、加密��、重新封裝成標(biāo)準(zhǔn)協(xié)議格式數(shù)據(jù)包�,通過網(wǎng)口發(fā)送給客戶端。
[0033]所述身份認(rèn)證模塊包括IP認(rèn)證��、端口認(rèn)證�,只有經(jīng)過所述身份可信認(rèn)證模塊認(rèn)證后數(shù)據(jù)包才可以發(fā)送到所述自協(xié)議解封模塊進(jìn)行解封;所述解密模塊將解封后的數(shù)據(jù)進(jìn)行解密得到原始數(shù)據(jù);所述數(shù)據(jù)校驗(yàn)?zāi)K��,將原始數(shù)據(jù)進(jìn)行校驗(yàn);所述自協(xié)議封包模塊將原始按自定義協(xié)議格式進(jìn)行封裝;所述加密將封裝后的數(shù)據(jù)包進(jìn)行加密;所述數(shù)據(jù)包傳輸模塊將加密后的數(shù)據(jù)包發(fā)往內(nèi)網(wǎng)處理單元�����。
[0034]所述內(nèi)網(wǎng)處理模塊包括身份認(rèn)證模塊��、解密模塊����、自協(xié)議解封模塊�、數(shù)據(jù)校驗(yàn)?zāi)K���、TCP封包模塊、數(shù)據(jù)包傳輸模塊����。內(nèi)網(wǎng)處理單元接收數(shù)據(jù)包后通過身份可信認(rèn)證模塊認(rèn)后,被解密模塊解密����、協(xié)議解封模塊解封,經(jīng)過數(shù)據(jù)校驗(yàn)?zāi)K的校驗(yàn)后��,被TCP封包模塊按TCP協(xié)議加封,最后通過數(shù)據(jù)包傳輸模塊傳輸給數(shù)據(jù)擺渡單元。
[0035]所述身份認(rèn)證模塊包括IP認(rèn)證、端口認(rèn)證����,只有經(jīng)過所述身份可信認(rèn)證模塊認(rèn)證后數(shù)據(jù)包才可以發(fā)送到所述解密模塊進(jìn)行解密;所述自協(xié)議解封模塊將解密后的數(shù)據(jù)包解封�����,得到原始數(shù)據(jù);所述數(shù)據(jù)校驗(yàn)?zāi)K將原始數(shù)據(jù)進(jìn)行校驗(yàn);所述TCP封包模塊將通過校驗(yàn)的數(shù)據(jù)進(jìn)行封包�,并通過所述數(shù)據(jù)包傳輸模塊發(fā)出���。
[0036]所述通訊協(xié)議包括OPC�、Modbus��、ModbusTCP�����、CAN�、Profibus協(xié)議����。
[0037]所述擺渡單元內(nèi)部采用CPU+邏輯控制電路的方式�����,從軟件和硬件方面同時(shí)保證同一時(shí)間只有一端連接。CPU負(fù)責(zé)數(shù)據(jù)包處理和邏輯電路校準(zhǔn),邏輯電路負(fù)責(zé)物理鏈路的切斷與連接�����。
[0038]本發(fā)明采用身份認(rèn)證����、多次協(xié)議剝離�����、自協(xié)議組建���、數(shù)據(jù)加密���、FIFO緩存��、物理鏈路拆建等方式保證數(shù)據(jù)的安全。
[0039]與現(xiàn)有技術(shù)相比����,本發(fā)明采用“2+1”結(jié)構(gòu)����,外網(wǎng)處理單元�、內(nèi)網(wǎng)處理單元����、擺渡單元各有各一個(gè)CHJ進(jìn)行數(shù)據(jù)處理��。采用多重安全技術(shù)��,采用身份認(rèn)證����,在IP層構(gòu)建IP過濾機(jī)制��,只有允許的IP和端口才才可以訪問網(wǎng)閘�����。采用自協(xié)議組建����、數(shù)據(jù)加密、FIFO緩存等多種安全技術(shù)。采用多次協(xié)議剝離�,杜絕了由于TCP/IP網(wǎng)絡(luò)協(xié)議脆弱性和部分操作系統(tǒng)的內(nèi)在隱患帶來的安全問題�����。在擺渡單元采用CPU和邏輯電路同時(shí)工作的方式����,從硬件和軟件上同時(shí)保證內(nèi)外網(wǎng)的安全隔離����。自有協(xié)議組建、協(xié)議剝離標(biāo)準(zhǔn)采用XML文件的方式進(jìn)行規(guī)定�,保證安全性的同時(shí)保證了過濾系統(tǒng)的可拓展性�。
【附圖說明】
[0040]圖1為一種適用于工業(yè)控制網(wǎng)絡(luò)的安全隔離網(wǎng)閘結(jié)構(gòu)示意圖。
[0041]圖2為一種適用于工業(yè)控制網(wǎng)絡(luò)的安全隔離網(wǎng)閘數(shù)據(jù)傳輸示意圖。
[0042]圖3為一種適用于工業(yè)控制網(wǎng)絡(luò)的安全隔