一种适用于工控网络的单向传输内外网安全隔离网闸的制作方法
【技术领域】
[0001]本发明属于工业控制网络技术领域,特别是提供了一种适用于工控网络的单向传输内外网安全隔离网闸。
【背景技术】
[0002]物联网、云计算、移动应用技术是当今信息领域重点发展的三大信息技术。其中,物联网作为一种正在高速发展的先进技术,其信息安全问题正在越来越受到国家的重视。完善的工业物联网系统网络包括数据、物理、网络在内的多方面信息安全问题,要维持整体系统的稳定运行,保证生产过程不受影响,就需要制定行使有效的安全解决方案。
[0003]分析国内外,水电讯、石油化各个行业出现的工业控制系统的安全危机可以发现有如下共同点:
[0004](I)作为控制系统操作站、上位机的电脑,很少或根本没有机会安装全天候病毒防护或更新版本。
[0005](2)目前常用的DCS、PLC等控制器的设计都以优化过程控制功能为主,基本没有提供网络安全防护功能。
[0006](3)不同的控制系统之间的网络都没有有效的分隔开,尤其是基于0PC、M0DBUS等通讯的工业控制网络。
[0007](4)安全事件中,大部分采用的商业防火墙、VPN、IPS等,但因为工业控制成产网络有一定的特殊性和普通的商用网络有一定的区别,导致商用防火墙无法从根本上解决生产控制网络的安全问题。
[0008]目前的行业应用中,绝大多数都采用防火墙作为内外网之间的屏障。但是,工业控制网络与上层信息网络之间,并不能依靠防火墙来保障安全。原因如下:
[0009]—、防火墙由于自身运行原理问题,存在着很多的先天问题,主要有一下几点:
[0010](I)防火墙基于TCP/IP协议,针对该协议本身的漏洞,防火墙并没有办法安全防御。
[0011](2)防火墙基于包过滤原理,不能阻止病毒、蠕虫以及各种新型攻击。
[0012](3)防火墙对用户并不完全透明,非专业用户难以管理和配置,容易造成安全漏洞。
[0013](4)防火墙的防护原理基于策略,它并不区分执行策略的正确与否。存在被控制和篡改的危险。
[0014](5)防火墙的防护策略过多会影响其本身运行速度,过少又会造成安全隐患。
[0015]二、在工业控制领域中,防火墙较为明显的局限性存在与以下几点:
[0016](I)工控领域的通信大多基于0PC、M0DBUS等工业协议,但是大多数防火墙并不基于0PC、M0DBUS等工业通信协议。
[0017](2)防火墙基于黑名单,并不能防范最新的威胁。
[0018](3)防火墙自身可能出现安全漏洞。
[0019](4)用户管理不方便。
[0020](5)被黑客攻破的概率已达50%。
[0021](6)防火墙不能在内外网之间提供一致的安全策略,不能很好的防御来自标准网络协议的攻击,针对服务器漏洞的攻击也无能为力。
[0022](7)防火墙在提供安全服务的同时,也会增加网络延时。
[0023]网络隔离技术的核心是物理隔离,并通过专用硬件和安全协议来确保两个链路层断开的网络能够实现数据信息在可信网络环境中进行交互、共享。一般情况下,网络隔离技术主要包括内网处理单元、外网处理单元和专用隔离交换单元三部分内容,其中,内网处理单元和外网处理单元都具备一个独立的网络接口和网络地址来分别对应连接内网和外网,而专用隔离交换单元则是通过硬件电路控制高速切换连接内网或外网。网络隔离技术的基本原理通过专用物理硬件和安全协议在内网和外网的之间架构起安全隔离网墙,使两个系统在空间上物理隔离,同时又能过滤数据交换过程中的病毒、恶意代码等信息,以保证数据信息在可信的网络环境中进行交换、共享,同时还要通过严格的身份认证机制来确保用户获取所需数据信息。
[0024]传统的隔离产品大多应用于各行业中安全性较高的涉密业务,如银行系统、办公系统等。大多数网关获网闸都支持访问互联网功能,支持文件交换、HTTP协议、TCP\IP协议、电子邮件、web访问、数据库、FTP访问等,并不支持诸如0PC、M0DBUS、Prof ibus等工业协议。
[0025]目前,市场上已经存在部分针对工业通讯的网闸,用于数据隔离交换,但其防护能力较为单一,不能进行防护拓展,也不支持远程管理,且防护手段单一,给使用带来安全隐串
■/Ql、O
【发明内容】
[0026]本发明的目的在于提供一种适用于工控网络的单向传输内外网安全隔离网闸,适用于工业控制网络与互联网之间在物理隔离的情况下实现数据的单向传输,并具有身份可信认证、远程维护、协议拓展的功能,给数据采集和日常维护带来极大便利的工业网络隔离网闸。
[0027]本发明包括外网处理单元、数据摆渡单元、内网处理单元。所述外网处理单元、数据摆渡单元、内网处理单元的单路完全独立,且三个单元之间采用自协议进行通讯。外网处理单元与摆渡单元之间、内网处理单元与摆渡单元之间采用对应的通讯协议,外网处理单元与摆渡单元之间、内网处理单元与摆渡单元之间的数据传递过程包括协议剥离、校验、加密、解密、封装过程。
[0028]所述外网处理单元与外网连接,采集外网数据,通过身份认证后,还原成原始数据,并重新封装成内部自由协议,通过构建内部自由协议通道传输给数据摆渡单元。数据摆渡单元内部连接外网处理单元与内部处理单元,并通过逻辑电路和摆渡单元CPU共同实现内外网隔离。
[0029]所述外网处理单元包括身份可信认证模块、协议解封模块、数据校验模块、自协议封包模块、数据包加密模块、数据包传输模块。外网处理单元接收数据包后通过身份可信认证模块认后,被协议解封模块解封,经过数据校验模块的校验后,被自协议封包模块按自有协议加封,并被数据包加密模块加密,最后通过数据包传输模块传输给数据摆渡单元。
[0030]所述身份可信认证模块包括IP认证、端口认证,只有经过所述身份可信认证模块认证后的数据包才可以发送到所述协议解封模块进行数据包解封;所述数据校验模块对工业协议数据进行解封并校验,剥离出原始数据后通过所述数据加密模块进行加密;所述自协议封包模块将加密后的原始数据按自定义协议格式进行封装,并通过所述数据包传输模块发往数据摆渡单元。
[0031]所述数据摆渡单元包括身份认证模块、自协议解封模块、解密模块、数据校验模块、自协议封包模块,加密模块、数据包传输模块。数据摆渡单元接收数据包后通过身份可信认证模块认后,被协议解封模块解封,经过解密模块解密、数据校验模块的校验后,被自协议封包模块按自有协议加封,并被数据包加密模块加密,最后通过数据包传输模块传输给数据摆渡单元。
[0032]所述数据摆渡单元存在一个CPU、两个FIFO缓存和一个逻辑电路。CPU负责数据包的认证、解密、解封、加密、封装、物理链路校准等。从外网处理单元接收到数据包以后,CPU首先对数据包进行身份认证,认证通过后对数据包按照自议格式进行解封,解封后对解封出的数据进行解密,得到原始数据,写入FIFO缓存。逻辑电路负责切断外网处理单元与摆渡单元CPU的连接,并与内网处理单元进行连接。此时摆渡单元CPU读取FIFO缓存中的数据,进行加密、自协议封装,并通过自协议通道发送给内网处理单元。内网处理单元接收到数据包后,进行身份认证,通过后对数据包进行解封、加密、重新封装成标准协议格式数据包,通过网口发送给客户端。
[0033]所述身份认证模块包括IP认证、端口认证,只有经过所述身份可信认证模块认证后数据包才可以发送到所述自协议解封模块进行解封;所述解密模块将解封后的数据进行解密得到原始数据;所述数据校验模块,将原始数据进行校验;所述自协议封包模块将原始按自定义协议格式进行封装;所述加密将封装后的数据包进行加密;所述数据包传输模块将加密后的数据包发往内网处理单元。
[0034]所述内网处理模块包括身份认证模块、解密模块、自协议解封模块、数据校验模块、TCP封包模块、数据包传输模块。内网处理单元接收数据包后通过身份可信认证模块认后,被解密模块解密、协议解封模块解封,经过数据校验模块的校验后,被TCP封包模块按TCP协议加封,最后通过数据包传输模块传输给数据摆渡单元。
[0035]所述身份认证模块包括IP认证、端口认证,只有经过所述身份可信认证模块认证后数据包才可以发送到所述解密模块进行解密;所述自协议解封模块将解密后的数据包解封,得到原始数据;所述数据校验模块将原始数据进行校验;所述TCP封包模块将通过校验的数据进行封包,并通过所述数据包传输模块发出。
[0036]所述通讯协议包括OPC、Modbus、ModbusTCP、CAN、Profibus协议。
[0037]所述摆渡单元内部采用CPU+逻辑控制电路的方式,从软件和硬件方面同时保证同一时间只有一端连接。CPU负责数据包处理和逻辑电路校准,逻辑电路负责物理链路的切断与连接。
[0038]本发明采用身份认证、多次协议剥离、自协议组建、数据加密、FIFO缓存、物理链路拆建等方式保证数据的安全。
[0039]与现有技术相比,本发明采用“2+1”结构,外网处理单元、内网处理单元、摆渡单元各有各一个CHJ进行数据处理。采用多重安全技术,采用身份认证,在IP层构建IP过滤机制,只有允许的IP和端口才才可以访问网闸。采用自协议组建、数据加密、FIFO缓存等多种安全技术。采用多次协议剥离,杜绝了由于TCP/IP网络协议脆弱性和部分操作系统的内在隐患带来的安全问题。在摆渡单元采用CPU和逻辑电路同时工作的方式,从硬件和软件上同时保证内外网的安全隔离。自有协议组建、协议剥离标准采用XML文件的方式进行规定,保证安全性的同时保证了过滤系统的可拓展性。
【附图说明】
[0040]图1为一种适用于工业控制网络的安全隔离网闸结构示意图。
[0041]图2为一种适用于工业控制网络的安全隔离网闸数据传输示意图。
[0042]图3为一种适用于工业控制网络的安全隔