亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于狀態(tài)的工業(yè)安全加密網(wǎng)關及其實現(xiàn)方法與流程

文檔序號:12477841閱讀:514來源:國知局
一種基于狀態(tài)的工業(yè)安全加密網(wǎng)關及其實現(xiàn)方法與流程

本發(fā)明涉及工業(yè)信息安全技術領域,具體是一種基于狀態(tài)的工業(yè)安全加密網(wǎng)關及其實現(xiàn)方法。



背景技術:

隨著信息技術和網(wǎng)絡技術在工業(yè)系統(tǒng)中應用的普及,工業(yè)信息系統(tǒng)的安全問題是當前工業(yè)信息系統(tǒng)的面臨的直接威脅,目前市場上的工控防火墻只實現(xiàn)了對工控協(xié)議的簡單過濾,由于工控協(xié)議種類多,協(xié)議差異大,所以一般的工控防火墻都是在應用層進行協(xié)議過濾,帶來的問題就是性能低并且安全性無法保證,數(shù)據(jù)包很容易被篡改,對工業(yè)信息系統(tǒng)的安全有很大威脅。

工業(yè)信息安全需求已經(jīng)迫在眉睫,本發(fā)明結(jié)合傳統(tǒng)安全相關技術,針對工業(yè)信息系統(tǒng)的特點,發(fā)明一種基于狀態(tài)的工業(yè)安全加密網(wǎng)關,通過一個工控協(xié)議解析引擎對連接信息進行解析后將連接信息下發(fā)給內(nèi)核,數(shù)據(jù)直接在內(nèi)核進行加密傳輸,提升系統(tǒng)性能,解決工業(yè)信息系統(tǒng)安全問題。



技術實現(xiàn)要素:

本發(fā)明的目的在于提供一種基于狀態(tài)的工業(yè)安全加密網(wǎng)關及其實現(xiàn)方法,以解決工業(yè)信息系統(tǒng)中數(shù)據(jù)的安全傳輸問題。

為實現(xiàn)上述目的,本發(fā)明提供如下技術方案:

一種基于狀態(tài)的工業(yè)安全加密網(wǎng)關,包括狀態(tài)包過濾模塊、VPN隧道模塊、工控協(xié)議引擎模塊;其中,所述狀態(tài)包過濾模塊,用于對工控數(shù)據(jù)包的過濾并建立和維護工控狀態(tài)表信息,狀態(tài)表信息包括正向和反向連接信息;所述VPN隧道模塊,用于VPN隧道的協(xié)商和對工控數(shù)據(jù)包的加密和隧道封裝;所述工控協(xié)議引擎模塊,用于對從內(nèi)核送上來的數(shù)據(jù)包進行深度解析,根據(jù)用戶配置的過濾規(guī)則,如果是允許的工控協(xié)議,則通知內(nèi)核進行轉(zhuǎn)發(fā)并下發(fā)連接表信息,否則下發(fā)阻斷信息。

作為本發(fā)明進一步的方案:所述狀態(tài)包過濾模塊具體包括:與工控協(xié)議引擎模塊通信單元,用于接收工控協(xié)議引擎模塊發(fā)送的數(shù)據(jù)信息,包括連接表信息的建立和刪除信息、VPN隧道配置信息;狀態(tài)表維護單元,用于對狀態(tài)表的維護,包括根據(jù)從工控協(xié)議引擎模塊接收到的正向連接信息自動建立反向連接信息和狀態(tài)表的超時管理。

作為本發(fā)明再進一步的方案:所述VPN隧道模塊具體包括:VPN隧道協(xié)商單元,用于兩臺工控網(wǎng)關之間建立VPN隧道,其中每條VPN隧道只負責一種工控協(xié)議數(shù)據(jù)的加密傳輸,不同的工控協(xié)議分別協(xié)商不同的隧道;VPN隧道封裝單元,用于對工控協(xié)議數(shù)據(jù)的加密封裝和解密。

作為本發(fā)明再進一步的方案:所述工控協(xié)議引擎模塊具體包括:與狀態(tài)包過濾模塊通信單元,用于向狀態(tài)包過濾模塊下發(fā)連接信息,包括連接表信息的建立和刪除信息、VPN隧道配置信息;安全策略管理單元,用于管理用戶配置的安全規(guī)則信息;協(xié)議解析單元,用于解析從內(nèi)核接收到的數(shù)據(jù)包是否為工控協(xié)議信息,如果是則根據(jù)用戶配置的安全策略進行轉(zhuǎn)發(fā)或阻斷并向狀態(tài)包過濾模塊下發(fā)連接信息,否則直接阻斷。

作為本發(fā)明再進一步的方案:所述VPN加密封裝方式為IPSec方式。

作為本發(fā)明再進一步的方案:所述VPN隧道協(xié)商過程嚴格遵循國家密碼管理局發(fā)布的《IPSec VPN技術規(guī)范》。

作為本發(fā)明再進一步的方案:所述的基于狀態(tài)的工業(yè)安全加密網(wǎng)的實現(xiàn)方法,包括以下步驟:

S302、加密網(wǎng)關接收到數(shù)據(jù)包;

S304、判斷收到的數(shù)據(jù)包是否為VPN加密封裝報文,若是,則進入S306步驟,否則,則進入S310步驟;

S306、根據(jù)收到的VPN加密封裝報文在本地查找安全聯(lián)盟SA,查找成功,則進入S308步驟,否則,則進入S334步驟,直接丟棄數(shù)據(jù)包;

S308、對收到的VPN加密封裝報文進行解密,并將解密后的數(shù)據(jù)包重新入棧;

S310、根據(jù)收到的數(shù)據(jù)包五元組在內(nèi)核查詢狀態(tài)表,此處的數(shù)據(jù)包包括兩種,一種是客戶端發(fā)送的明文報文,一種是經(jīng)過VPN解密后的報文,查找成功,則進入S322步驟,否則,進入S312步驟;

S312、將收到的數(shù)據(jù)包上傳給上層工控協(xié)議解析引擎模塊進行協(xié)議解析;

S314、工控協(xié)議解析成功,并且規(guī)則為允許,則進入S316步驟,否則,進入S344步驟,直接丟棄數(shù)據(jù)包;

S316、根據(jù)解析結(jié)果,下發(fā)連接信息和隧道信息給狀態(tài)包過濾模塊;

S318、狀態(tài)包過濾模塊接收到工控協(xié)議引擎模塊發(fā)送的連接信息建立狀態(tài)表,包括正向和反向連接信息和隧道信息;

S320、判斷當前的數(shù)據(jù)包是否為VPN解密后的數(shù)據(jù)包,如果是,則進入S332步驟,直接進行轉(zhuǎn)發(fā),否則,則進入S324步驟;

S322、同步驟S320;

S324、判斷當前要使用的隧道是否已經(jīng)建立成功,如果是,則進入S328步驟,否則,則進入S326步驟;

S326、進行IPSec VPN隧道協(xié)商,此處協(xié)商協(xié)議使用國家秘密管理局指定的《IPSec VPN技術規(guī)范》進行協(xié)商,并且每種協(xié)議使用不同的隧道;

S328、根據(jù)狀態(tài)表中記錄的隧道信息對數(shù)據(jù)包進行加密和隧道封裝,此處數(shù)據(jù)加密采用國密算法;

S330、將加密封裝后的數(shù)據(jù)包按照VPN路由進行轉(zhuǎn)發(fā)。

與現(xiàn)有技術相比,本發(fā)明的有益效果是:

(1)通過一個獨立的工控協(xié)議引擎模塊對工控協(xié)議進行解析,解析成功后將解析結(jié)果下發(fā)給內(nèi)核;

(2)內(nèi)核通過獨立的狀態(tài)包過濾模塊進行數(shù)據(jù)加密和傳輸,保證數(shù)據(jù)的安全性和高吞吐率;

(3)VPN隧道協(xié)商采用國密局指定的《IPSec VPN技術規(guī)范》,符合我國國情。

附圖說明

圖1為基于狀態(tài)的工業(yè)安全加密網(wǎng)關的部署圖。

圖2為基于狀態(tài)的工業(yè)安全加密網(wǎng)關的工作原理圖。

圖3為基于狀態(tài)的工業(yè)安全加密網(wǎng)關的實現(xiàn)方法的流程圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。

請參閱圖1~3,本發(fā)明實施例中,一種基于狀態(tài)的工業(yè)安全加密網(wǎng)關,包括狀態(tài)包過濾模塊、VPN隧道模塊、工控協(xié)議引擎模塊。

所述狀態(tài)包過濾模塊,用于對工控數(shù)據(jù)包的過濾并建立和維護工控狀態(tài)表信息,狀態(tài)表信息包括正向和反向連接信息;所述狀態(tài)包過濾模塊包括與工控協(xié)議引擎模塊通信單元、狀態(tài)表維護單元;所述與工控協(xié)議引擎模塊通信單元用于接收工控協(xié)議引擎模塊發(fā)送的數(shù)據(jù)信息,包括連接表信息的建立和刪除信息、VPN隧道配置信息;所述狀態(tài)表維護單元用于對狀態(tài)表的維護,包括根據(jù)從工控協(xié)議引擎模塊接收到的正向連接信息自動建立反向連接信息和狀態(tài)表的超時管理。

所述VPN隧道模塊,用于VPN隧道的協(xié)商和對工控數(shù)據(jù)包的加密和隧道封裝;所述VPN隧道模塊包括VPN隧道協(xié)商單元和VPN隧道封裝單元;所述VPN隧道協(xié)商單元用于兩臺工控網(wǎng)關之間建立VPN隧道,其中每條VPN隧道只負責一種工控協(xié)議數(shù)據(jù)的加密傳輸,不同的工控協(xié)議分別協(xié)商不同的隧道;所述VPN隧道封裝單元用于對工控協(xié)議數(shù)據(jù)的加密封裝和解密;VPN加密封裝方式為IPSec方式;所述VPN隧道協(xié)商過程嚴格遵循國家密碼管理局發(fā)布的《IPSec VPN技術規(guī)范》。

所述工控協(xié)議引擎模塊,用于對從內(nèi)核送上來的數(shù)據(jù)包進行深度解析,根據(jù)用戶配置的過濾規(guī)則,如果是允許的工控協(xié)議,則通知內(nèi)核進行轉(zhuǎn)發(fā)并下發(fā)連接表信息,否則下發(fā)阻斷信息;所述工控協(xié)議引擎模塊包括與狀態(tài)包過濾模塊通信單元、安全策略管理單元和協(xié)議解析單元,所述與狀態(tài)包過濾模塊通信單元用于向狀態(tài)包過濾模塊下發(fā)連接信息,包括連接表信息的建立和刪除信息、VPN隧道配置信息;所述安全策略管理單元用于管理用戶配置的安全規(guī)則信息;所述協(xié)議解析單元用于解析從內(nèi)核接收到的數(shù)據(jù)包是否為工控協(xié)議信息,如果是則根據(jù)用戶配置的安全策略進行轉(zhuǎn)發(fā)或阻斷并向狀態(tài)包過濾模塊下發(fā)連接信息,否則直接阻斷。

所述的基于狀態(tài)的工業(yè)安全加密網(wǎng)進行工業(yè)控制信息傳輸?shù)倪^程包括以下步驟:

S302、加密網(wǎng)關接收到數(shù)據(jù)包;

S304、判斷收到的數(shù)據(jù)包是否為VPN加密封裝報文,若是,則進入S306步驟,否則,則進入S310步驟;

S306、根據(jù)收到的VPN加密封裝報文在本地查找安全聯(lián)盟SA,查找成功,則進入S308步驟,否則,則進入S334步驟,直接丟棄數(shù)據(jù)包;

S308、對收到的VPN加密封裝報文進行解密,并將解密后的數(shù)據(jù)包重新入棧;

S310、根據(jù)收到的數(shù)據(jù)包五元組在內(nèi)核查詢狀態(tài)表,此處的數(shù)據(jù)包包括兩種,一種是客戶端發(fā)送的明文報文,一種是經(jīng)過VPN解密后的報文,查找成功,則進入S322步驟,否則,進入S312步驟;

S312、將收到的數(shù)據(jù)包上傳給上層工控協(xié)議解析引擎模塊進行協(xié)議解析;

S314、工控協(xié)議解析成功,并且規(guī)則為允許,則進入S316步驟,否則,進入S344步驟,直接丟棄數(shù)據(jù)包;

S316、根據(jù)解析結(jié)果,下發(fā)連接信息和隧道信息給狀態(tài)包過濾模塊;

S318、狀態(tài)包過濾模塊接收到工控協(xié)議引擎模塊發(fā)送的連接信息建立狀態(tài)表,包括正向和反向連接信息和隧道信息;

S320、判斷當前的數(shù)據(jù)包是否為VPN解密后的數(shù)據(jù)包,如果是,則進入S332步驟,直接進行轉(zhuǎn)發(fā),否則,則進入S324步驟;

S322、同步驟S320;

S324、判斷當前要使用的隧道是否已經(jīng)建立成功,如果是,則進入S328步驟,否則,則進入S326步驟;

S326、進行IPSec VPN隧道協(xié)商,此處協(xié)商協(xié)議使用國家秘密管理局指定的《IPSec VPN技術規(guī)范》進行協(xié)商,并且每種協(xié)議使用不同的隧道;

S328、根據(jù)狀態(tài)表中記錄的隧道信息對數(shù)據(jù)包進行加密和隧道封裝,此處數(shù)據(jù)加密采用國密算法;

S330、將加密封裝后的數(shù)據(jù)包按照VPN路由進行轉(zhuǎn)發(fā)。

本發(fā)明通過一個獨立的工控協(xié)議引擎模塊對工控協(xié)議進行解析,解析成功后將解析結(jié)果下發(fā)給內(nèi)核;內(nèi)核通過獨立的狀態(tài)包過濾模塊進行數(shù)據(jù)加密和傳輸,保證數(shù)據(jù)的安全性和高吞吐率;VPN隧道協(xié)商采用國密局指定的《IPSec VPN技術規(guī)范》,符合我國國情。

對于本領域技術人員而言,顯然本發(fā)明不限于上述示范性實施例的細節(jié),而且在不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實現(xiàn)本發(fā)明。因此,無論從哪一點來看,均應將實施例看作是示范性的,而且是非限制性的,本發(fā)明的范圍由所附權利要求而不是上述說明限定,因此旨在將落在權利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)。不應將權利要求中的任何附圖標記視為限制所涉及的權利要求。

此外,應當理解,雖然本說明書按照實施方式加以描述,但并非每個實施方式僅包含一個獨立的技術方案,說明書的這種敘述方式僅僅是為清楚起見,本領域技術人員應當將說明書作為一個整體,各實施例中的技術方案也可以經(jīng)適當組合,形成本領域技術人員可以理解的其他實施方式。

當前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1