专利名称:一种内网与外网间的信息安全传输控制方法及其网关的制作方法
技术领域:
本发明涉及一种网络安全控制技术,尤其涉及一种网关技术。
背景技术:
随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备(Intelligent Electric Device,简称“IED”)互联在一起,形成生产控制系统网络。一般来说,该生产控制系统网络要具有一些满足工业自动化控制的特殊结构和功能。近年来,伴随着互联网用户数量的不断增长,基于IP(Internet Protocol,互联网协议)网络的业务应用越来越多,但IP技术在成为构筑网络应用主流技术的同时,其与生俱 来的简单和开放的本质特征并没有得到根本性的改变,这就为网络安全问题的出现留下了隐患,尤其是对于企业用户,由于上述安全隐患的存在,就使得商业机密在网上进行传送时很可能因为黑客们的恶意攻击而变成没有安全性的数据。而在现有技术中,为保证用户内部网络(小区、企业网等)不受外部网络的攻击,通常的做法是在内部网络的出口设置防火墙,以使内部与外部隔绝,保证安全性。但是防火墙有以下几个缺点
I.防火墙不能抵抗最新的未设置策略的攻击病毒。2.防火墙对服务器合法开放的端口的攻击大多无法阻止。3.防火墙对待内部主动发起连接的攻击一般无法阻止。4.防火墙本身也会出现问题和受到攻击其本身也可能受到攻击和出现软/硬件方面的故障。为了克服上述缺点,则需要一种从根本上控制内网与外网之间的信息安全传输的方法。
发明内容
本发明主要解决的技术问题是提供一种内网与外网间的信息安全传输控制方法及其网关,使得内部网络与外部网络之间实现硬件接口和软件协议的双重隔离,防止内部网络受到外部不良程序的攻击,从而使得内部网络的安全性得到保障。为了解决上述技术问题,本发明提供了一种内部网络与外部网络间的信息安全传输控制方法,在内部网络与外部公共网络之间设置一内网网关和一外网网关,内部网络与内网网关相连,外部公共网络通过网口与外网网关相连,内网网关与外网网关之间通过串口相连,该方法包含以下步骤
外网网关接收来自外部公共网络的网口数据,对所收到的网口数据和数据来源进行安全检查;
将通过安全检查的网口数据转换为串口的协议数据,通过串口发送到内网网关;
内网网关将数据发送到目标地址。作为上述技术方案的改进,串口包括并行的N个串口,N大于2,一般N为8的整数倍。作为上述技术方案的改进,内网网关与外网网关之间的串口上通过的协议为私有协议,或,公共工业协议;
串口的协议数据为使用私有协议的数据,或,使用公共工业协议的数据。作为上述技术方案的改进,内网网关与内部网络之间通过以下方式之一连接高速总线连接、或串口连接、或网口连接。作为上述技术方案的改进,内网网关将数据发送到目标地址的步骤之前,包含以下步骤
内网网关将串口的协议数据转换为内部网络格式,或者转换为高速总线数据;
内网网关将数据发送到目标地址的步骤中,将转换后的数据发送到目标地址。作为上述技术方案的改进,上述网口数据包括服务请求信息,数据来源包括访问者IP地址、和/或访问者端口、和/或访问者MAC地址; 对所收到的网口数据和数据来源进行安全检查的方式为
预先设置允许访问内部网络的白名单,该白名单至少包括允许通过的访问者的来源信息,以及该访问者允许的服务;访问者的来源信息包含访问者IP地址、和/或访问者端口、和/或访问者MAC地址;
在收到来自访问者的服务请求后,根据白名单对发送服务请求的访问者的来源信息、及其所请求的服务进行验证,如果访问者的来源信息及其所请求的服务均包含在白名单中,则通过安全检查;如果访问者的来源信息和/或其所请求的服务未包含在白名单中,则安全检查失败。作为上述技术方案的改进,该方法还可以包含以下步骤
内网网关收到来自内部网络的待发送数据时,将待发送数据转换为串口的协议数据,发送到外网网关;
外网网关将串口的协议数据转换为网口数据,通过外部公共网络发送到目标接收端。本发明还提供了一种内部网络与外部网络间的网关,在内部网络与外部公共网络之间设置一内网网关和一外网网关,内部网络与内网网关相连,外部公共网络通过网口与外网网关相连,内网网关与外网网关之间通过串口相连;
外网网关中包含
第一接收模块,用于接收来自外部公共网络的网口数据;
安全检查单元,用于对第一接收模块所收到的网口数据和数据来源进行安全检查; 第一数据转换模块,用于将通过安全检查的网口数据转换为串口的协议数据;
第一发送模块,用于通过串口将第一数据转换模块转换后的数据发送到内网网关;
内网网关中包含
第二接收模块,用于通过串口接收来自外网网关的串口协议数据;
第二发送模块,用于将第二接收模块收到的数据发送到目标地址。作为上述技术方案的改进,串口包括并行的N个串口,N大于2,一般为8的整数倍。作为上述技术方案的改进,内网网关与外网网关之间的串口上通过的协议可以为私有协议,或,公共工业协议;
串口的协议数据为使用私有协议的数据,或,使用公共工业协议的数据。作为上述技术方案的改进,内网网关与内部网络之间通过以下方式之一连接高速总线连接、或串口连接、或网口连接。作为上述技术方案的改进,内网网关中还可以包含
第二数据转换模块,用于将第二接收模块收到的串口协议数据转换为内部网络格式,或者转换为高速总线数据;
第二发送模块将转换后的数据发送到目标地址。作为上述技术方案的改进,网口数据包括服务请求信息,数据来源包括访问者IP地址、和/或访问者端口、和/或访问者MAC地址;
安全检查单元中进一步包含
存储子模块,用于存储允许访问内部网络的白名单,该白名单至少包括允许通过的访问者的来源信息,以及该访问者允许的服务;访问者的来源信息包含访问者IP地址、和/或 访问者端口、和/或访问者MAC地址;
白名单验证子模块,用于在收到来自访问者的服务请求后,根据白名单对发送服务请求的访问者的来源信息、及其所请求的服务进行验证,如果访问者的来源信息及其所请求的服务均包含在白名单中,则通过安全检查;如果访问者的来源信息和/或其所请求的服务未包含在白名单中,则安全检查失败。作为上述技术方案的改进,内网网关中还包含
第三接收模块,用于从内部网络接收待发送的数据;
第三数据转换模块,用于将待发送数据转换为串口的协议数据;
第三发送模块,用于将转换后的协议数据通过串口发送到外网网关;
外网网关中还包含
第四接收模块,用于通过串口接收来自内网网关的协议数据;
第四数据转换模块,用于将第四接收模块收到的串口的协议数据转换为网口数据; 第四发送模块,用于通过外部公共网络将网口数据发送到目标接收端。本发明实施方式与现有技术相比,主要区别及其效果在于在内部网络与外部公共网络之间分别设置一内网网关和一外网网关。内部网络与内网网关相连,外部公共网络通过网口与外网网关相连,内网网关与外网网关之间则通过串口相连。当外网网关接收来自外部公共网络的网口数据时,对所收到的网口数据和数据来源进行安全检查,并将通过安全检查的网口数据转换为串口的协议数据,通过串口发送到内网网关,由内网网关将该数据发送到目标地址。这种双网关传输方式使得内部网络与外部网络之间实现硬件接口和软件协议的双重隔离,通过硬件接口的隔离,使得外部程序无法直接将网口数据传输到内网;而由于外部程序无法获知内网网关与外网网关之间的串口协议,因此无法破解网关直接连接到内网,与内网进行信息交互,而必须通过外网网关的安全检查。一般该外部程序的来源以及交互的数据信息都必须通过外网网关的检查,从而可以有效防止内部网络受到外部不良程序的攻击,使得内部网络的安全性得到保障。 内网网关与外网网关之间使用的串口协议可以是私有协议,私有协议的保密性更强;也可以是已有的公共工业协议,公共协议的兼容性更好。采用白名单策略对所收到的网口数据和数据来源进行安全检查,根据白名单对发送服务请求的访问者IP地址/端口 /MAC地址、及其所请求的服务进行验证,如果IP地址/端口 /MAC地址未通过验证,或者该IP地址/端口 /MAC地址虽通过验证但其所请求的服务超出权限,则均无法通过安全验证。通过该白名单方式能够进一步防止内部网络受到外部不良程序的攻击,使得内部网络的安全性得到保障。
下面结合附图和具体实施方式
对本发明作进一步详细说明。图I是本发明第一实施方式的内部网络与外部网络间的信息安全传输控制方法流程 图2是本发明第二实施方式中的内网网关与外网网关的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。本发明第一实施方式涉及一种内部网络与外部网络间的信息安全传输控制方法。本实施方式中以内部工业网络为例进行说明,在内部工业网络与外部公共网络之间设置一内网网关和一外网网关。其中,内部工业网络与内网网关相连,外部公共网络通过网口与外网网关相连,内网网关与内部工业网络之间可以通过高速总线、或串口、或网口等连接。内网网关与外网网关之间则通过串口相连,这里的串口一般包括并行的多个串口,通常为8的整数倍,如8个或16个,以提高传输速度。内网网关与外网网关之间的串口上允许通过的协议为私有协议,或,公共工业协议。当外网网关接收来自外部公共网络的网口数据时,对所收到的网口数据和数据来源进行安全检查,并将通过安全检查的网口数据转换为串口的协议数据,通过串口发送到内网网关,由内网网关将该数据发送到目标地址。具体的流程如图I所示。在步骤101中,外网网关接收来自外部公共网络的网口数据。所接收到的网口数据包括服务请求信息,而数据来源包含访问者IP地址、端口、MAC地址等。在步骤102中,对所收到的网口数据和数据来源进行安全检查。如果通过,则进入步骤103,否则,进入步骤104,拒绝该服务请求。本实施方式中,需要预先设置允许访问内部工业网络的白名单,该白名单至少包括允许通过的访问者的来源信息,以及允许的服务。访问者的来源信息可以是访问者IP地址/端口 /MAC地址或其组合。本步骤中,在收到来自访问者的服务请求后,根据白名单对发送服务请求的访问者的来源信息、及其所请求的服务进行验证,如果访问者的来源信息及其所请求的服务均包含在白名单中,则通过安全检查,进入步骤103 ;如果访问者的来源信息和/或其所请求的服务未包含在白名单中,则安全检查失败,进入步骤104,拒绝该服务请求。如访问者的IP地址/端口 /MAC地址未包含在白名单中,或者访问者的IP地址/端口 /MAC地址虽然包含在白名单中,但其请求的服务未包含在白名单中(即没有访问该服务的权限),则安全检查失败。在步骤103中,将通过安全检查的网口数据转换为串口的工业协议数据。这里的工业协议数据可以为使用私有协议的数据,也可以是使用公共工业协议的数据。也就是说,可以根据私有协议对网口数据进行转换,或者使用已有的公共工业协议对网口数据进行转换,相对而言,私有协议的保密性更强,公共协议的兼容性更好。在步骤105中,将转换后的工业协议数据通过串口发送到内网网关。在步骤106中,内网网关将数据(服务请求)发送到目标地址。如果内部工业网络与内网网关之间通过串口连接,则内网网关直接将串口数据发送到内网的目标地址;如果通过高速总线或网口连接,则内网网关将串口数据转换为高速总线数据后,将转换后的数据发送到目标地址;如果内网网关与内部工业网络之间通过其他方式连接,则同样将会把串口的工业协议数据转换为相应的内部网络格式之后进行发送。内部工业网络与内网网关之间的连接方式可以根据内部网络的需要来确定。在本实施方式中,内部网络与外部公共网络之间的信息安全传输是相互的,即从内部网络也可以发送相应的数据至外部公共网络的目标接收端。具体地说,内网网关收到来自内部工业网络的待发送数据时,将待发送数据转换为工业协议数据,发送到外网网关,并由外网网关将工业协议数据转换为网口协议数据,如TCP/IP协议,通过外部公共网络发 送到目标接收端。综上所述,通过在内部网络与外部公共网络之间分别设置一内网网关和一外网网关。内部网络与内网网关相连,外部公共网络通过网口与外网网关相连,内网网关与外网网关之间则通过串口相连。当外网网关接收来自外部公共网络的网口数据时,对所收到的网口数据和数据来源进行安全检查,并将通过安全检查的网口数据转换为串口的协议数据,通过串口发送到内网网关,由内网网关将该数据发送到目标地址。这种双网关传输方式使得内部网络与外部网络之间实现硬件接口和软件协议的双重隔离,通过硬件接口的隔离,使得外部程序无法直接将网口数据传输到内网;而由于外部程序无法获知内网网关与外网网关之间的串口协议,因此无法破解网关直接连接到内网,与内网进行信息交互,而必须通过外网网关的安全检查。一般该外部程序的来源以及交互的数据信息都必须通过外网网关的检查,从而可以有效防止内部网络受到外部不良程序的攻击,使得内部网络的安全性得到保障。另外,通过白名单策略对所收到的网口数据和数据来源进行安全检查,根据白名单对发送服务请求的访问者的来源信息、及其所请求的服务进行验证,如果IP地址/端口/MAC地址未通过验证,或者该IP地址/端口 /MAC地址虽通过验证但其所请求的服务超出权限,则均无法通过安全验证。通过该白名单方式能够进一步防止内部网络受到外部不良程序的攻击,使得内部网络的安全性得到保障。本发明第二实施方式涉及一种内部网络与外部网络间的网关,如图2所示,在内部工业网络与外部公共网络之间设置一内网网关和一外网网关,内部工业网络与内网网关相连(可以通过高速总线连接、或串口连接、或网口连接,等),外部公共网络通过网口与外网网关相连,内网网关与外网网关之间通过串口相连,这里的串口一般为并行的多个串口,可以是8的整数倍个串口,如8个或16个,以提高传输速度。内网网关与外网网关之间的串口上通过的协议可以为私有协议,或,公共工业协议。其中外网网关中包含第一接收模块,用于接收来自外部公共网络的网口数据;安全检查单元,用于对第一接收模块所收到的网口数据和数据来源进行安全检查;第一数据转换模块,用于将通过安全检查的网口数据转换为串口的工业协议数据;第一发送模块,用于通过串口将第一数据转换模块转换后的数据发送到内网网关。
内网网关中包含第二接收模块,用于通过串口接收来自外网网关的工业协议数据;第二发送模块,用于将第二接收模块收到的数据发送到目标地址。其中工业协议数据可以为使用私有协议的数据,或,使用公共工业协议的数据。内网网关中一般还可以包含第二数据转换模块,用于将第二接收模块收到的工业协议数据转换为内部网络格式,或者转换为高速总线数据;第二发送模块将转换后的数据发送到目标地址。本实施方式中的网口数据包括服务请求信息,数据来源包括访问者IP地址、端口、MAC地址等;安全检查单元中进一步包含
存储子模块,存储允许访问内部工业网络的白名单,该白名单至少包括允许通过的访问者的来源信息,以及允许的服务;访问者的来源信息包含访问者IP地址/端口 /MAC地址或其组合。
白名单验证子模块,用于在收到来自访问者的服务请求后,根据白名单对发送服务请求的访问者的来源信息、及其所请求的服务进行验证,如果访问者的来源信息及其所请求的服务均包含在白名单中,则通过安全检查;如果访问者的来源信息和/或其所请求的服务未包含在白名单中,则安全检查失败。作为上述技术方案的改进,内网网关中进一步包含第三接收模块,用于从内部工业网络接收待发送的数据;第三数据转换模块,用于将待发送数据转换为工业协议数据;第三发送模块,用于将转换后的数据通过串口发送到外网网关。外网网关中进一步包含第四接收模块,用于通过串口接收来自内网网关的工业协议数据;第四数据转换模块,用于将第四接收模块收到的工业协议数据转换为网口协议数据;第四发送模块,用于通过外部公共网络将网口协议数据发送到目标接收端。这种双网关的设置方式使得内网与外网之间实现硬件接口和软件协议的双重隔离,通过硬件接口的隔离,使得外部程序无法直接将网口数据传输到内网;而由于外部程序无法获知内网网关与外网网关之间的串口协议,因此无法破解网关直接连接到内网,与内网进行信息交互,而必须通过外网网关的安全检查。一般外部程序的来源以及交互的数据信息都必须通过外网网关的检查,从而可以有效防止内部网络受到外部不良程序的攻击,使得内部网络的安全性得到保障。虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
权利要求
1.一种内部网络与外部网络间的信息安全传输控制方法,其特征在于,在内部网络与外部公共网络之间设置一内网网关和一外网网关,所述内部网络与所述内网网关相连,所述外部公共网络通过网口与所述外网网关相连,所述内网网关与所述外网网关之间通过串口相连,所述方法包含以下步骤 所述外网网关接收来自外部公共网络的网口数据,对所收到的网口数据和数据来源进行安全检查; 将通过安全检查的网口数据转换为串口的协议数据,通过串口发送到所述内网网关; 所述内网网关将所述数据发送到目标地址。
2.根据权利要求I所述的内部网络与外部网络间的信息安全传输控制方法,其特征在于,所述串口包括并行的N个串口,所述N大于2。
3.根据权利要求I所述的内部网络与外部网络间的信息安全传输控制方法,其特征在于,所述内网网关与所述外网网关之间的串口上通过的协议为私有协议,或,公共工业协议; 所述串口的协议数据为使用私有协议的数据,或,使用公共工业协议的数据。
4.根据权利要求I所述的内部网络与外部网络间的信息安全传输控制方法,其特征在于,所述内网网关与所述内部网络之间通过以下方式之一连接高速总线连接、或串口连接、或网口连接。
5.根据权利要求4所述的内部网络与外部网络间的信息安全传输控制方法,其特征在于,所述内网网关将所述数据发送到目标地址的步骤之前,包含以下步骤 所述内网网关将所述串口的协议数据转换为内部网络格式,或者转换为高速总线数据; 所述内网网关将所述数据发送到目标地址的步骤中,将转换后的数据发送到所述目标地址。
6.根据权利要求I所述的内部网络与外部网络间的信息安全传输控制方法,其特征在于,所述网口数据包括服务请求信息,所述数据来源包括访问者IP地址、和/或访问者端口、和/或访问者MAC地址; 所述对所收到的网口数据和数据来源进行安全检查的方式为 预先设置允许访问所述内部网络的白名单,该白名单至少包括允许通过的访问者的来源信息,以及该访问者允许的服务;所述访问者的来源信息包含访问者IP地址、和/或访问者端口、和/或访问者MAC地址; 在收到来自访问者的服务请求后,根据所述白名单对发送服务请求的访问者的来源信息、及其所请求的服务进行验证,如果所述访问者的来源信息及其所请求的服务均包含在所述白名单中,则通过所述安全检查;如果所述访问者的来源信息和/或其所请求的服务未包含在所述白名单中,则所述安全检查失败。
7.根据权利要求I至6中任意一项所述的内部网络与外部网络间的信息安全传输控制方法,其特征在于,还包含以下步骤 所述内网网关收到来自内部网络的待发送数据时,将待发送数据转换为所述串口的协议数据,发送到所述外网网关; 所述外网网关将所述串口的协议数据转换为网口数据,通过外部公共网络发送到目标接收端。
8.一种内部网络与外部网络间的网关,其特征在于,在内部网络与外部公共网络之间设置一内网网关和一外网网关,所述内部网络与所述内网网关相连,所述外部公共网络通过网口与所述外网网关相连,所述内网网关与所述外网网关之间通过串口相连; 所述外网网关中包含 第一接收模块,用于接收来自外部公共网络的网口数据; 安全检查单元,用于对所述第一接收模块所收到的网口数据和数据来源进行安全检查; 第一数据转换模块,用于将通过安全检查的网口数据转换为串口的协议数据; 第一发送模块,用于通过串口将所述第一数据转换模块转换后的数据发送到所述内网网关; 所述内网网关中包含 第二接收模块,用于通过串口接收来自所述外网网关的串口协议数据; 第二发送模块,用于将所述第二接收模块收到的数据发送到目标地址。
9.根据权利要求8所述的内部网络与外部网络间的网关,其特征在于,所述串口包括并行的N个串口,所述N大于2。
10.根据权利要求8所述的内部网络与外部网络间的网关,其特征在于,所述内网网关与所述外网网关之间的串口上通过的协议为私有协议,或,公共工业协议; 所述串口的协议数据为使用私有协议的数据,或,使用公共工业协议的数据。
11.根据权利要求8所述的内部网络与外部网络间的网关,其特征在于,所述内网网关与所述内部网络之间通过以下方式之一连接高速总线连接、或串口连接、或网口连接。
12.根据权利要求11所述的内部网络与外部网络间的网关,其特征在于,所述内网网关中还包含 第二数据转换模块,用于将所述第二接收模块收到的串口协议数据转换为内部网络格式,或者转换为高速总线数据; 所述第二发送模块将转换后的数据发送到所述目标地址。
13.根据权利要求8所述的内部网络与外部网络间的网关,其特征在于,所述网口数据包括服务请求信息,所述数据来源包括访问者IP地址、和/或访问者端口、和/或访问者MAC地址; 所述安全检查单元中进一步包含 存储子模块,用于存储允许访问所述内部网络的白名单,该白名单至少包括允许通过的访问者的来源信息,以及该访问者允许的服务;所述访问者的来源信息包含访问者IP地址、和/或访问者端口、和/或访问者MAC地址; 白名单验证子模块,用于在收到来自访问者的服务请求后,根据所述白名单对发送服务请求的访问者的来源信息、及其所请求的服务进行验证,如果所述访问者的来源信息及其所请求的服务均包含在所述白名单中,则通过所述安全检查;如果所述访问者的来源信息和/或其所请求的服务未包含在所述白名单中,则所述安全检查失败。
14.根据权利要求8至13中任意一项所述的内部网络与外部网络间的网关,其特征在于,所述内网网关中还包含第三接收模块,用于从内部网络接收待发送的数据; 第三数据转换模块,用于将所述待发送数据转换为所述串口的协议数据; 第三发送模块,用于将所述转换后的协议数据通过串口发送到所述外网网关; 所述外网网关中还包含 第四接收模块,用于通过串口接收来自所述内网网关的协议数据; 第四数据转换模块,用于将所述第四接收模块收到的串口的协议数据转换为网口数据; 第四发送模块,用于通过外部公共网络将所述网口数据发送到目标接收端。
全文摘要
本发明公开了一种内网与外网间的信息安全传输控制方法及其网关,在内部工业网络与外部公共网络之间分别设置一内网网关和一外网网关。内部工业网络与内网网关相连,外部公共网络通过网口与外网网关相连,内网网关与外网网关之间则通过串口相连。当外网网关接收来自外部公共网络的网口数据时,对所收到的网口数据和数据来源进行安全检查,并将通过安全检查的网口数据转换为串口的工业协议数据,通过串口发送到内网网关,由内网网关将该数据发送到目标地址。这种网关传输方式使得内部网络与外部网络之间实现硬件接口和软件协议的双重隔离,有效防止内部网络受到外部不良程序的攻击,使得内部网络的安全性得到保障。
文档编号H04L12/66GK102882828SQ20111019241
公开日2013年1月16日 申请日期2011年7月11日 优先权日2011年7月11日
发明者梁俊, 孙胜前 申请人:上海可鲁系统软件有限公司