專利名稱:一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法及系統(tǒng)。
背景技術(shù):
在工業(yè)環(huán)境下或者要求高可靠性的數(shù)據(jù) 通信領(lǐng)域中,例如,工廠自動化系統(tǒng)、智能交通運(yùn)輸系統(tǒng)(ITS)、變電站或者其他惡劣環(huán)境中等,相應(yīng)的網(wǎng)絡(luò)部署廣泛使用以太網(wǎng)技術(shù),以組建相應(yīng)的專用網(wǎng)絡(luò)來連接工業(yè)設(shè)備,并通常通過冗余的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來為數(shù)據(jù)通信鏈路提供保護(hù)。具體地,如圖I所示,在工業(yè)冗余以太網(wǎng)中,采用若干工業(yè)以太網(wǎng)交換機(jī)(以下簡稱交換機(jī))連接成的環(huán)狀網(wǎng)絡(luò),為嚴(yán)苛工業(yè)環(huán)境提供高可靠性的數(shù)據(jù)通信。工業(yè)冗余以太網(wǎng)面臨著多方面的安全性挑戰(zhàn)。例如,如圖2所示,攻擊者的攻擊方式可以為以下三種中的任意一種或多種(I)攻擊者可以偽造身份(假冒終端)接入專用網(wǎng)絡(luò)(即工業(yè)冗余以太網(wǎng));(2)攻擊者也可以在網(wǎng)絡(luò)上竊聽或篡改通信數(shù)據(jù);(3)攻擊者還可以通過管理交換機(jī)來破壞工業(yè)冗余以太網(wǎng)的正常工作。目前,為保證工業(yè)冗余以太網(wǎng)的安全性能,具體采用了以下技術(shù)手段技術(shù)手段一廣播風(fēng)暴控制技術(shù)廣播風(fēng)暴控制技術(shù)是通過在交換機(jī)端口配置廣播風(fēng)暴抑制策略來限制廣播數(shù)據(jù)流量;具體地,如圖3所示,若在交換機(jī)端口上配置廣播風(fēng)暴抑制策略,則只有指定速率內(nèi)的廣播流量能夠通過交換機(jī),超過的流量將被丟棄。技術(shù)手段二 劃分VLAN劃分VLAN (虛擬局域網(wǎng))的方式可以縮小廣播域,以實(shí)現(xiàn)業(yè)務(wù)隔離。具體地,如圖4所示,將交換機(jī)端口劃分成不同的VLAN,進(jìn)入交換機(jī)的廣播流量只會被轉(zhuǎn)發(fā)到屬于相同VLAN的端口,例如,從VLANlO進(jìn)入交換機(jī)的廣播流量只會被轉(zhuǎn)發(fā)到同屬于VLANlO的端口,屬于其他VLAN的端口則接收不到該流量。技術(shù)手段三IEEE802. Ix安全認(rèn)證技術(shù)在IEEE802. Ix安全認(rèn)證技術(shù)中,具體是對連接到交換機(jī)物理端口的設(shè)備進(jìn)行用戶認(rèn)證和授權(quán),從而禁止未授權(quán)設(shè)備的接入。例如,參照圖5所示,在啟用了 IEEE802. Ix認(rèn)證技術(shù)之后,交換機(jī)端口處于未授權(quán)的初始狀態(tài),此時,通過該端口不能訪問網(wǎng)絡(luò)。當(dāng)有終端接入該端口時,交換機(jī)向終端發(fā)起認(rèn)證要求,并對終端響應(yīng)的用戶信息及口令信息進(jìn)行認(rèn)證若認(rèn)證成功,則交換機(jī)對該端口進(jìn)行授權(quán),允許終端訪問網(wǎng)絡(luò);若認(rèn)證失敗,則交換機(jī)將該端口置成未授權(quán)狀態(tài),禁止終端訪問網(wǎng)絡(luò)。對于上述三種目前用來保證網(wǎng)絡(luò)安全的技術(shù)手段,其并不能夠很好地克服圖2中所示的3種攻擊形式。其中,廣播風(fēng)暴控制技術(shù)和劃分VLAN的方式雖然可以抵御泛洪攻擊,但其對網(wǎng)絡(luò)上的竊聽和偽裝等攻擊行為毫無作用;IEEE802. Ix安全認(rèn)證技術(shù)雖然可以有效防范假冒終端接入網(wǎng)絡(luò),卻無法解決環(huán)路上的竊聽和篡改等安全問題。
總之,現(xiàn)有的工業(yè)以太網(wǎng)交換機(jī)安全技術(shù)所提供的保護(hù)能力比較有限,無法有效保證工業(yè)冗余以太網(wǎng)數(shù)據(jù)通信保密性和完整性。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法及系統(tǒng),以保證工業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)傳遞的安全性能。本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法,包括在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù);在數(shù)據(jù)發(fā)送端,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理,并發(fā)送經(jīng)過加密處理后的數(shù)據(jù);·在數(shù)據(jù)接收端,基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備??蛇x地,所述的數(shù)據(jù)發(fā)送端包括終端設(shè)備或交換機(jī)或接入設(shè)備;所述的數(shù)據(jù)接收端包括終端設(shè)備或交換機(jī)或接入設(shè)備。可選地,所述的工業(yè)網(wǎng)絡(luò)包括工業(yè)冗余以太網(wǎng)。進(jìn)一步地,該方法還包括數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,對所述第一終端設(shè)備進(jìn)行接入認(rèn)證,并僅對通過接入認(rèn)證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理;和/ 或,網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進(jìn)行認(rèn)證,并僅對通過認(rèn)證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應(yīng)的管理操作;和/ 或,數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,根據(jù)預(yù)先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理;和/ 或,數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預(yù)先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。進(jìn)一步地,所述的接入認(rèn)證包括基于IEEE802. Ix的認(rèn)證,或者,基于端口安全的接入認(rèn)證??蛇x地,若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互,且所述認(rèn)證信息通過所述建立的隧道進(jìn)行傳遞??蛇x地,所述的第一 ACL中預(yù)先定義了終端設(shè)備的源地址及允許該終端設(shè)備訪問的目的地址或網(wǎng)絡(luò)服務(wù),第二 ACL中的預(yù)先定義了經(jīng)過隧道加密的數(shù)據(jù)幀的特性。一種增強(qiáng)網(wǎng)絡(luò)安全性能的系統(tǒng),包括
數(shù)據(jù)發(fā)送端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理,并將經(jīng)過加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端;數(shù)據(jù)接收端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。進(jìn)一步地,該系統(tǒng)還包括所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還對所述第一終端設(shè)備進(jìn)行接入認(rèn)證,并僅對通過接入認(rèn)證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理;和/ 或,網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進(jìn)行認(rèn)證,并·僅對通過認(rèn)證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應(yīng)的管理操作;和/ 或,所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還根據(jù)預(yù)先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理;和/ 或,所述數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預(yù)先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互,且所述認(rèn)證信息通過所述建立的隧道進(jìn)行傳遞。由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明實(shí)施例提供了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下,增強(qiáng)網(wǎng)絡(luò)安全特性的技術(shù)方案。在該技術(shù)方案中,采用加密隧道技術(shù)保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性,從而可以有效保證工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)傳遞的安全性能。進(jìn)一步地,還可以采用ACL技術(shù)過濾經(jīng)過交換機(jī)等設(shè)備的數(shù)據(jù);以及可以采用IEEE802. Ix或者端口安全技術(shù)有效防范交換機(jī)物理端口上未授權(quán)設(shè)備的接入,從而進(jìn)一步加強(qiáng)交換機(jī)等設(shè)備的自身抗攻擊能力。
為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案,下面將對實(shí)施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域的普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他附圖。圖I為現(xiàn)有技術(shù)中工業(yè)冗余以太網(wǎng)的結(jié)構(gòu)示意圖;圖2為現(xiàn)有技術(shù)中工業(yè)冗余以太網(wǎng)的安全隱患示意圖;圖3為現(xiàn)有技術(shù)中的廣播風(fēng)暴抑制技術(shù)不意圖;圖4為現(xiàn)有技術(shù)中的VLAN劃分技術(shù)示意圖5為現(xiàn)有技術(shù)中的接入認(rèn)證技術(shù)處理過程示意圖;圖6為本發(fā)明提供的處理過程示意圖;圖7為本發(fā)明提供的應(yīng)用實(shí)施例的處理過程示意圖;圖8為本發(fā)明提供的工業(yè)冗余以太網(wǎng)的安全策略示意圖;圖9為本發(fā)明提供的本地數(shù)據(jù)的處理過程示意圖;圖10為本發(fā)明提供的遠(yuǎn)端數(shù)據(jù)處理過程示意圖。
具體實(shí)施例方式下面結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí) 施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明的保護(hù)范圍。下面將結(jié)合附圖對本發(fā)明實(shí)施例作進(jìn)一步地詳細(xì)描述。本發(fā)明提供了一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法,如圖6所示,其實(shí)現(xiàn)過程具體可以包括以下處理步驟步驟S600,在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù);其中,相應(yīng)的工業(yè)網(wǎng)絡(luò)可以但不限于包括工業(yè)冗余以太網(wǎng),或者,也可以為其他在類似網(wǎng)絡(luò)安全保護(hù)需求的工業(yè)網(wǎng)絡(luò)。步驟S602,在數(shù)據(jù)發(fā)送端,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理,并發(fā)送經(jīng)過加密處理后的數(shù)據(jù);其中,相應(yīng)的數(shù)據(jù)發(fā)送端可以但不限于采用終端設(shè)備或交換機(jī)或接入設(shè)備等等,同樣,相應(yīng)的數(shù)據(jù)接收端也可以但不限于采用終端設(shè)備或交換機(jī)或接入設(shè)備等等;步驟S604,在數(shù)據(jù)接收端,基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。在本發(fā)明中,為進(jìn)一步提高網(wǎng)絡(luò)安全性能,還可以但不限于采用以下任意一種或多種技術(shù)處理手段對網(wǎng)絡(luò)中傳送的數(shù)據(jù)的安全性提供保護(hù),具體包括技術(shù)處理手段一數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,對所述第一終端設(shè)備進(jìn)行接入認(rèn)證,并僅對通過接入認(rèn)證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理,對于未通過接入認(rèn)證的第一終端設(shè)備發(fā)送來的數(shù)據(jù),則丟棄或忽略,即不允許其在網(wǎng)絡(luò)中傳遞;其中,在上述技術(shù)處理手段一中,相應(yīng)的的接入認(rèn)證可以但不限于采用基于IEEE802. Ix的認(rèn)證,或者,基于端口安全的接入認(rèn)證;進(jìn)一步地,若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互,且所述認(rèn)證信息通過所述建立的隧道進(jìn)行傳遞;技術(shù)處理手段二網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進(jìn)行認(rèn)證,并僅對通過認(rèn)證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應(yīng)的管理操作;相應(yīng)的網(wǎng)絡(luò)設(shè)備可以為交換機(jī)或接入設(shè)備等;其中,在上述技術(shù)處理手段二中,若所述的認(rèn)證為基于認(rèn)證服務(wù)器的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互,且所述認(rèn)證信息通過所述建立的隧道進(jìn)行傳遞;技術(shù)處理手段三數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,根據(jù)預(yù)先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理,對于不符合第一 ACL中預(yù)先定義的條件的數(shù)據(jù),則丟棄或忽略,即不允許其在網(wǎng)絡(luò)中傳遞;技術(shù)處理手段四數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預(yù)先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作,同樣,對于不符合第二 ACL中預(yù)先定義的條件的數(shù)據(jù),則丟棄或忽略,即不允許其在網(wǎng)絡(luò)中傳遞。需要說明的是,在上述的第一 ACL中具體可以預(yù)先定義終端設(shè)備的源地址及允許該終端設(shè)備訪問的目的地址或網(wǎng)絡(luò)服務(wù),第二 ACL中的預(yù)先定義了經(jīng)過隧道加密的數(shù)據(jù)幀的特性,從而使得數(shù)據(jù)發(fā)送端和數(shù)據(jù)接收端均可以根據(jù)相應(yīng)的ACL對經(jīng)過的數(shù)據(jù)進(jìn)行過濾·處理,即僅允許符合第一 ACL或者第二 ACL中預(yù)先定義的規(guī)則的數(shù)據(jù)在網(wǎng)絡(luò)中傳遞,從而進(jìn)一步有效保證網(wǎng)絡(luò)的安全性能。通過上述技術(shù)方案,本發(fā)明給出了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下,增強(qiáng)網(wǎng)絡(luò)安全特性的技術(shù)方案。在該技術(shù)方案中,采用加密隧道技術(shù)保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性。進(jìn)一步地,還可以采用ACL技術(shù)過濾經(jīng)過交換機(jī)等設(shè)備的數(shù)據(jù);以及可以采用IEEE802. Ix或者端口安全技術(shù)有效防范交換機(jī)物理端口上未授權(quán)設(shè)備的接入,其中,采用IEEE802. Ix認(rèn)證技術(shù)過程中,具體可以與AAA (即認(rèn)證Authentication,授權(quán)Authorization,記帳Accounting)認(rèn)證服務(wù)器通信,以實(shí)現(xiàn)相應(yīng)的AAA認(rèn)證,從而有效加強(qiáng)交換機(jī)等設(shè)備的自身抗攻擊能力。為便于理解,下面將結(jié)合具體的應(yīng)用實(shí)施例對本發(fā)明的實(shí)現(xiàn)過程進(jìn)行詳細(xì)描述。在下述本發(fā)明實(shí)施例中,具體為采用冗余協(xié)議、訪問控制列表、IEEE802. Ix認(rèn)證或端口安全技術(shù),以及加密隧道協(xié)議組建安全的工業(yè)冗余以太網(wǎng)。在下述描述過程中,具體將相應(yīng)的交換機(jī)作為上述數(shù)據(jù)發(fā)送端和相應(yīng)的數(shù)據(jù)接收端,且為便于描述和理解,還將交換機(jī)連接到工業(yè)冗余以太網(wǎng)的端口稱為網(wǎng)絡(luò)側(cè)端口,將交換機(jī)上除網(wǎng)絡(luò)側(cè)端口以外的所有端口稱之為設(shè)備側(cè)端口。如圖7和圖8所示,本發(fā)明實(shí)施例的具體實(shí)現(xiàn)過程可以包括以下步驟步驟S700,可以但不限于采用VLAN技術(shù)將交換機(jī)端口劃分成網(wǎng)絡(luò)側(cè)端口和設(shè)備側(cè)端口。網(wǎng)絡(luò)側(cè)端口用于將交換機(jī)連接到冗余以太網(wǎng)(即工業(yè)冗余以太網(wǎng)),設(shè)備側(cè)端口用于連接終端設(shè)備。步驟S702,在交換機(jī)的網(wǎng)絡(luò)側(cè)端口上采用鏈路冗余協(xié)議,例如,可以但不限于采用RSTP (快速生成樹協(xié)議),構(gòu)建環(huán)形網(wǎng)絡(luò),以便于為數(shù)據(jù)通信提供冗余備份鏈路。步驟S704,在交換機(jī)上的網(wǎng)絡(luò)側(cè)端口采用加密隧道的方式分別對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密,以防范網(wǎng)絡(luò)上的竊聽、偽裝或中間人攻擊等,有效保證上、下行鏈路數(shù)據(jù)的保密性和完整性;其中,相應(yīng)的加密隧道可以但不限于包括基于IPSec (互聯(lián)網(wǎng)協(xié)議安全性)、PPTP(點(diǎn)對點(diǎn)隧道協(xié)議)、L2TP (二層隧道協(xié)議)等VPN (虛擬專用網(wǎng))中建立的隧道;例如,如果通信業(yè)務(wù)全部為IP數(shù)據(jù),則可以采用IPSec隧道機(jī)制對通信業(yè)務(wù)進(jìn)行加密和驗(yàn)證,即建立相應(yīng)的IPSec隧道,以用于進(jìn)行后續(xù)數(shù)據(jù)的安全傳送;如果通信業(yè)務(wù)為多協(xié)議數(shù)據(jù),則可以采用PPTP或L2TP等第二層隧道機(jī)制對通信業(yè)務(wù)提供保護(hù),即建立相應(yīng)的二層隧道,以用于進(jìn)行后續(xù)數(shù)據(jù)的安全傳送。步驟S706,在交換機(jī)上所有的設(shè)備側(cè)端口還可以采用IEEE802. Ix或者端口安全技術(shù),以防范未授權(quán)終端設(shè)備的接入。若采用IEEE802. Ix認(rèn)證技術(shù),則需要接入以太網(wǎng)的終端設(shè)備必須支持IEEE802. Ix客戶端(請求者)協(xié)議。若采用認(rèn)證服務(wù)(如=RADIUS(遠(yuǎn)端驗(yàn)證撥入用戶服務(wù))、TACACS+ (終端訪問控制器訪問控制系統(tǒng)))對IEEE802. Ix請求進(jìn)行認(rèn)證,則認(rèn)證服務(wù)器(或稱AAA認(rèn)證服務(wù)器)必須放置于VPN服務(wù)器之后,從而使認(rèn)證流量受到步驟S704所述加密隧道的保護(hù);進(jìn)一步地,對于不支持IEEE802. Ix認(rèn)證技術(shù)或端口安全技術(shù)的交換機(jī)或接入終端設(shè)備,還可以采用IP-MAC地址綁定的方式進(jìn)行接入限制,即將接入設(shè)備的MAC地址綁定到指定端口上,并禁止其他所有MAC地址的出現(xiàn)?!げ襟ES708,可以在交換機(jī)的所有端口上采用ACL,只允許安全流量通過,過濾(SP屏蔽)所有其他數(shù)據(jù);當(dāng)然,若交換機(jī)或接入設(shè)備中不支持ACL技術(shù),則可以省略該步驟;具體地,為保證在交換機(jī)中的雙向數(shù)據(jù)均能夠得到控制,具體可以包括在交換機(jī)所有設(shè)備側(cè)端口配置ACL (即前面所述第一 ACL),只允許已授權(quán)的終端設(shè)備的數(shù)據(jù)進(jìn)入作為數(shù)據(jù)發(fā)送端的交換機(jī),過濾所有其他數(shù)據(jù)。使用的過濾規(guī)則可以有MAC地址、IP地址、所需服務(wù)(協(xié)議)類型。在交換機(jī)網(wǎng)絡(luò)側(cè)端口配置ACL (即前面所述第二 ACL),只允許步驟S704所述隧道機(jī)制的加密流量進(jìn)入作為數(shù)據(jù)接收端的交換機(jī),過濾所有其他數(shù)據(jù)。步驟S710,在所有交換機(jī)上可以但不限于采用AAA認(rèn)證服務(wù)(如RADIUS、TACACS+),以確保交換機(jī)是以安全的方式被管理,即在認(rèn)證服務(wù)器上建立交換機(jī)管理員的用戶及權(quán)限信息,僅有通過認(rèn)證的用戶才可以作為交換機(jī)管理員對交換機(jī)進(jìn)行管理操作。與上述步驟S706類似,該認(rèn)證服務(wù)器也必須放置于VPN服務(wù)器之后,從而使認(rèn)證流量受到步驟S704所述加密隧道的保護(hù); 需要說明的是,在該步驟S710中,若交換機(jī)不支持AAA認(rèn)證技術(shù),則還可以采用其他權(quán)限管理手段對交換機(jī)或接入設(shè)備的管理權(quán)限進(jìn)行限制?;谏鲜鎏幚恚旅鎸⒁韵鄳?yīng)的數(shù)據(jù)傳遞過程為例,對本發(fā)明的具體實(shí)現(xiàn)過程作進(jìn)一步地描述。如圖9所示,在按照步驟S700至步驟S710實(shí)施了本發(fā)明方案之后,從終端設(shè)備發(fā)出的本地數(shù)據(jù)在通過交換機(jī)的過程中所經(jīng)歷的處理流程可以包括(I)終端設(shè)備發(fā)出的本地數(shù)據(jù)進(jìn)入交換機(jī)的設(shè)備側(cè)端口之后,將進(jìn)行IEEE802. Ix認(rèn)證狀態(tài)或端口安全的判定;其中,當(dāng)采用IEEE802. Ix認(rèn)證技術(shù)時,若本地數(shù)據(jù)屬于該端口已授權(quán)的終端用戶數(shù)據(jù),則執(zhí)行步驟(2),否則將被丟棄;當(dāng)采用端口安全技術(shù)時,若本地數(shù)據(jù)幀的源MAC (媒體接入控制)地址包含于該端口的安全MAC地址列表,則執(zhí)行步驟
(2),否則將被丟棄。(2)交換機(jī)將依據(jù)在該設(shè)備側(cè)端口上預(yù)定義的ACL中預(yù)先定義的規(guī)則對本地數(shù)據(jù)進(jìn)行匹配處理若匹配成功且預(yù)定義的ACL動作為放行,則對本地數(shù)據(jù)執(zhí)行步驟(3),否則,本地數(shù)據(jù)將被丟棄;其中,ACL中的規(guī)則定義了該終端設(shè)備的源地址以及所允許訪問的目的地址、網(wǎng)絡(luò)服務(wù)等信息。(3)交換機(jī)依據(jù)交換(或路由)轉(zhuǎn)發(fā)規(guī)則將本地數(shù)據(jù)轉(zhuǎn)發(fā)到對應(yīng)的網(wǎng)絡(luò)側(cè)端口上,并執(zhí)行步驟(4)。(4)交換機(jī)使用預(yù)先建立好的隧道對本地數(shù)據(jù)進(jìn)行加密處理,并將經(jīng)過隧道加密的本地數(shù)據(jù)通過網(wǎng)絡(luò)側(cè)端口發(fā)送到工業(yè)冗余以太網(wǎng)上。對應(yīng)的,如圖10所示,在按照步驟S700至步驟S710實(shí)施了本發(fā)明方案之后,來自工業(yè)冗余以太網(wǎng)上的遠(yuǎn)端數(shù)據(jù)在通過交換機(jī)的過程中所經(jīng)歷的處理流程包括(5)遠(yuǎn)端數(shù)據(jù)從網(wǎng)絡(luò)側(cè)端口進(jìn)入交換機(jī)之后,將依據(jù)在該網(wǎng)絡(luò)側(cè)端口上預(yù)定義的ACL規(guī)則對本地數(shù)據(jù)進(jìn)行匹配處理若匹配成功且預(yù)定義的ACL動作為放行,則針對遠(yuǎn)端數(shù)·據(jù)執(zhí)行步驟(6),否則,本地數(shù)據(jù)將被丟棄;其中,該ACL中的規(guī)則定義了經(jīng)過隧道加密的數(shù)據(jù)幀的特性。(6)交換機(jī)依據(jù)交換(或路由)轉(zhuǎn)發(fā)規(guī)則將本地數(shù)據(jù)轉(zhuǎn)發(fā)到對應(yīng)的設(shè)備側(cè)端口上,并執(zhí)行步驟(7)。(7)交換機(jī)使用預(yù)先建立好的隧道對遠(yuǎn)端數(shù)據(jù)進(jìn)行解密處理,并將解密后的數(shù)據(jù)通過設(shè)備側(cè)端口發(fā)送出去。在上述處理過程中,通過采用隧道加密和ACL技術(shù),從數(shù)據(jù)通道的層面提供經(jīng)過加密的安全數(shù)據(jù)通道,抵御網(wǎng)絡(luò)上的竊聽和偽裝等攻擊行為。進(jìn)一步地,還通過采用IEEE802. lx(或端口安全)和ACL技術(shù),從終端接入的層面防止未授權(quán)設(shè)備接入網(wǎng)絡(luò)。另外,本發(fā)明實(shí)施例中還采用AAA認(rèn)證技術(shù),并將認(rèn)證服務(wù)器放置于VPN服務(wù)器之后,從網(wǎng)絡(luò)管理的層面確保以安全的方式對網(wǎng)絡(luò)設(shè)備進(jìn)行管理。總而言之,本發(fā)明能夠有效地增強(qiáng)工業(yè)冗余以太網(wǎng)的安全性能,在工業(yè)環(huán)境下的要求高可靠性、高安全性的數(shù)據(jù)通信領(lǐng)域具有重要的實(shí)用意義。在本發(fā)明方案所述的步驟S604中,加密隧道不一定要建立在交換機(jī)和遠(yuǎn)端設(shè)備之間,可以建立在本地終端設(shè)備和遠(yuǎn)端設(shè)備之間。本發(fā)明還提供了一種一種增強(qiáng)網(wǎng)絡(luò)安全性能的系統(tǒng),其具體可以包括數(shù)據(jù)發(fā)送端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理,并將經(jīng)過加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端;數(shù)據(jù)接收端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。在該系統(tǒng)中,數(shù)據(jù)發(fā)送端可以但不限于采用終端設(shè)備或交換機(jī)或接入設(shè)備等等,同樣,數(shù)據(jù)接收端也可以但不限于采用終端設(shè)備或交換機(jī)或接入設(shè)備等等。為進(jìn)一步提高系統(tǒng)的安全性能,在該系統(tǒng)中還可以但不限于包括以下至少一種技術(shù)處理手段,具體包括(一)數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,還對所述第一終端設(shè)備進(jìn)行接入認(rèn)證,并僅對通過接入認(rèn)證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理;
(二)網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進(jìn)行接入認(rèn)證,并僅對通過接入認(rèn)證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應(yīng)的管理操作;相應(yīng)的網(wǎng)絡(luò)設(shè)備可以為交換機(jī)或接入設(shè)備等;(三)數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還根據(jù)預(yù)先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理;(四)數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加 密處理后的數(shù)據(jù)后,根據(jù)預(yù)先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。其中,若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互,且所述認(rèn)證信息通過所述建立的隧道進(jìn)行傳遞。在該系統(tǒng)中,數(shù)據(jù)發(fā)送端和數(shù)據(jù)接收端所采用的具體處理方式在之前的方法描述中已經(jīng)詳細(xì)描述,故在些不再贅述。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明披露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法,其特征在于,包括 在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù); 在數(shù)據(jù)發(fā)送端,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理,并發(fā)送經(jīng)過加密處理后的數(shù)據(jù); 在數(shù)據(jù)接收端,基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述的數(shù)據(jù)發(fā)送端包括終端設(shè)備或交換機(jī)或接入設(shè)備;所述的數(shù)據(jù)接收端包括終端設(shè)備或交換機(jī)或接入設(shè)備。
3.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述的工業(yè)網(wǎng)絡(luò)包括工業(yè)冗余以太網(wǎng)。
4.根據(jù)權(quán)利要求1、2或3所述的方法,其特征在于,該方法還包括 數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,對所述第一終端設(shè)備進(jìn)行接入認(rèn)證,并僅對通過接入認(rèn)證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理; 和/或, 網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進(jìn)行認(rèn)證,并僅對通過認(rèn)證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應(yīng)的管理操作; 和/或, 數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,根據(jù)預(yù)先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理; 和/或, 數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預(yù)先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述的接入認(rèn)證包括基于IEEE802.Ix的認(rèn)證,或者,基于端口安全的接入認(rèn)證。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,若所述的接入認(rèn)證為基于IEEE802.Ix的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互,且所述認(rèn)證信息通過所述建立的隧道進(jìn)行傳遞。
7.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述的第一ACL中預(yù)先定義了終端設(shè)備的源地址及允許該終端設(shè)備訪問的目的地址或網(wǎng)絡(luò)服務(wù),第二 ACL中的預(yù)先定義了經(jīng)過隧道加密的數(shù)據(jù)幀的特性。
8.一種增強(qiáng)網(wǎng)絡(luò)安全性能的系統(tǒng),其特征在于,包括 數(shù)據(jù)發(fā)送端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理,并將經(jīng)過加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端; 數(shù)據(jù)接收端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,該系統(tǒng)還包括所述數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,還對所述第一終端設(shè)備進(jìn)行接入認(rèn)證,并僅對通過接入認(rèn)證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理; 和/或, 網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進(jìn)行認(rèn)證,并僅對通過認(rèn)證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應(yīng)的管理操作; 和/或, 所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還根據(jù)預(yù)先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理; 和/或, 所述數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預(yù)先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,若所述的接入認(rèn)證為基于IEEE802. Ix的認(rèn)證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證信息的交互,且所述認(rèn)證信息通過所述建立的隧道進(jìn)行傳遞。
全文摘要
本發(fā)明公開了一種增強(qiáng)網(wǎng)絡(luò)安全性能的方法及系統(tǒng),包括在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù);在數(shù)據(jù)發(fā)送端,將所述數(shù)據(jù)基于建立的隧道進(jìn)行加密處理,并發(fā)送經(jīng)過加密處理后的數(shù)據(jù);在數(shù)據(jù)接收端,基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進(jìn)行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。本發(fā)明實(shí)施例提供了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下,增強(qiáng)網(wǎng)絡(luò)安全特性的技術(shù)方案。在該技術(shù)方案中,采用加密隧道技術(shù)保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性,從而可以有效保證工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)傳遞的安全性能。
文檔編號H04L12/46GK102790775SQ20121027179
公開日2012年11月21日 申請日期2012年8月1日 優(yōu)先權(quán)日2012年8月1日
發(fā)明者張建良, 張立殷, 鄭毅彬 申請人:北京映翰通網(wǎng)絡(luò)技術(shù)有限公司