一种用于工业网络数据转发的控制方法及系统与流程

本发明属于网络信息安全领域，尤其是涉及一种用于工业网络数据转发的控制方法及系统。

背景技术：

随着现代信息技术的发展，工业网络逐步走向开放、互联及通用，进而对工业网络的安全性也提出了更高的要求。必须保证工业网络中数据转发的实时性、稳定性及安全性。

在现有技术条件下，工业网络中的数据转发主要采用应用层dpi转发+bypass(旁路)转发。通过应用层dpi模块从内核空间收取数据包，并解析数据包，将报文与应用层dpi维护的规则进行匹配判定报文的安全性，当判定报文安全时，则由应用层dpi模块将报文送内核交由协议栈将报文发出。当dpi异常或繁忙时，会开启bypass功能，工业网络数据流量不再通过保护设备，直接至下行链路。

使用这种应用层dpi转发，需把工业网络数据包先从内核层转到应用层，由应用层dpi分析后，再从应用层把数据转给内核层发出，中间涉及两次内核层与应用层之间的数据拷贝，降低了转发效率。当应用层dpi繁忙时，转发效率会进一步降低，一般表现为网络延时增大，很难满足工业网络的实时性要求。当应用层dpi模块异常时，工业网络流量便会断开，这不能满足工业网络的稳定性要求。进一步使用bypass转发，在应用层dpi处理不及时或应用层dpi异常时，会开启bypass功能，此时工业网络流量不再受到安全保护，数据直接发往下行链路，不安全的数据也会直接发往下行链路，这使工业网络存在安全隐患，不能满足其安全性要求。

技术实现要素：

有鉴于此，本发明旨在提出一种用于工业网络数据转发的控制方法及系统，配合使用协议栈模块、工控协议连接跟踪模块、dpi模块、转发策略下发模块及转发控制模块，实现了工业网络数据转发的流程化控制，具有数据转发高效、占用系统资源少、转发时效性强及数据安全性高的特点。

为达到上述目的，本发明的技术方案是这样实现的：

一种用于工业网络数据转发的控制方法，包括：

步骤1：工业网络数据包通过网卡一送达协议栈模块，协议栈模块将工业网络数据包转发至工控协议连接跟踪模块，同时拷贝工业网络数据包到dpi模块；

步骤2：dpi模块根据预设的规则对步骤1中发送的工业网络数据包进行检测，生成工业网络数据包的转发策略并发送至转发策略下发模块；

步骤3：转发策略下发模块缓存dpi模块发送的转发策略并下发转发策略到步骤1中的工控协议连接跟踪模块；

步骤4：工控协议连接跟踪模块把收到转发策略与对应的连接跟踪信息及对应的工业网络数据包，发送至转发控制模块；

当工业网络数据包获取到其对应的连接跟踪信息时，需更新其连接跟踪信息的时间戳。如果一个老化周期内，连接跟踪信息未得到更新，则此连接跟踪信息会被老化掉，以此来保证连接跟踪信息的时效性。

步骤5：转发控制模块根据收到的转发策略对相应的工业网络数据包进行处理；当转发策略是放行，则对应的工业网络数据包发送至协议栈模块，经由网卡二转发到下行链路；当转发策略是drop时，则对应的工业网络数据包直接丢弃；当转发策略是reject时，如果对应的工业网络数据包为tcp协议，则回复rst包至协议栈模块，经由网卡一发回；如果对应的工业网络数据包是udp协议，则回复icmpunreachable包至协议栈模块，经由网卡一发回；

在步骤2中，转发策略包括：工业网络数据包五元组信息及drop/reject策略；

在步骤3中，转发策略下发模块下发转发策略的机制包括：基于转发策略条目数及基于转发策略生成时间的下发机制；基于转发策略条目数，即是当转发策略下发模块缓存的转发策略条目数达到某一阈值时，对转发策略进行批量下发，减少用户分别下发时对系统资源的占用；基于转发策略生成时间，即是指当转发策略下发模块缓存的转发策略在某阈值时间内未达到条目数阈值时，则直接下发当前已经缓存的所有转发策略，以此保证转发策略下发的时效性；

在步骤3中，转发策略下发模块是双线程设计：一个线程负责从dpi模块收取转发策略，另一个线程对转发策略下发模块缓存的转发策的条目数及生成时间进行监控，并对转发策略进行下发。

进一步的，步骤3中，基于转发策略条目数的下发机制设定阈值是五十条。

进一步的，步骤3中，基于转发策略生成时间的下发机制设定阈值是一秒。

进一步的，在步骤4中，如果有工业网络数据包没有对应的连接跟踪信息及转发策略，则工控协议连接跟踪模块会为该工业网络数据包创建一条新的连接跟踪信息，并缺省按放行策略处理此工业网络数据包。

进一步的，在步骤4中，使用异或哈希算法或jhash算法对工业网络数据包进行快速查找。

使用异或哈希算法或jhash算法可以有效大幅度提高数据的转发效率。

一种用于工业网络数据转发的控制系统，包括网卡一、网卡二、协议栈模块、dpi模块、转发策略下发模块、工控协议连接跟踪模块及转发控制模块；网卡一、网卡二、工控协议连接跟踪模块及转发控制模块分别与协议栈模块连接，协议栈模块连接dpi模块，dpi模块连接转发策略下发模块，转发策略下发模块连接工控协议连接跟踪模块，工控协议连接跟踪模块连接转发控制模块。

相对于现有技术，本发明一种用于工业网络数据转发的控制方法及系统，具有以下优势：

本发明一种用于工业网络数据转发的控制方法及系统，配合使用协议栈模块、工控协议连接跟踪模块、dpi模块、转发策略下发模块及转发控制模块，实现了工业网络数据转发的流程化控制，具有数据转发高效、占用系统资源少、转发时效性强及数据安全性高的特点。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

在附图中：

图1为本发明实施例一种用于工业网络数据转发的控制方法原理示意图；

图2为本发明实施例一种用于工业网络数据转发的控制方法异或哈希算法原理示意图；

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。

下面将参考附图并结合实施例来详细说明本发明。

如图1所示，一种用于工业网络数据转发的控制方法，包括：

步骤1：工业网络数据包通过网卡一送达协议栈模块，协议栈模块将工业网络数据包转发至工控协议连接跟踪模块，同时拷贝工业网络数据包到dpi模块；

步骤2：dpi模块根据预设的规则对步骤1中发送的工业网络数据包进行检测，生成工业网络数据包的转发策略并发送至转发策略下发模块；

步骤3：转发策略下发模块缓存dpi模块发送的转发策略并下发转发策略到步骤1中的工控协议连接跟踪模块；

步骤4：工控协议连接跟踪模块把收到转发策略与对应的连接跟踪信息及对应的工业网络数据包，发送至转发控制模块；

当工业网络数据包获取到其对应的连接跟踪信息时，需更新其连接跟踪信息的时间戳。如果一个老化周期内，连接跟踪信息未得到更新，则此连接跟踪信息会被老化掉，以此来保证连接跟踪信息的时效性。

步骤5：转发控制模块根据收到的转发策略对相应的工业网络数据包进行处理；当转发策略是放行，则对应的工业网络数据包发送至协议栈模块，经由网卡二转发到下行链路；当转发策略是drop时，则对应的工业网络数据包直接丢弃；当转发策略是reject时，如果对应的工业网络数据包为tcp协议，则回复rst包至协议栈模块，经由网卡一发回；如果对应的工业网络数据包是udp协议，则回复icmpunreachable包至协议栈模块，经由网卡一发回；

在步骤2中，转发策略包括：工业网络数据包五元组信息及drop/reject策略；

在步骤3中，转发策略下发模块下发转发策略的机制包括：基于转发策略条目数及基于转发策略生成时间的下发机制；基于转发策略条目数，即是当转发策略下发模块缓存的转发策略条目数达到某一阈值时，对转发策略进行批量下发，减少用户分别下发时对系统资源的占用；基于转发策略生成时间，即是指当转发策略下发模块缓存的转发策略在某阈值时间内未达到条目数阈值时，则直接下发当前已经缓存的所有转发策略，以此保证转发策略下发的时效性；

在步骤3中，转发策略下发模块是双线程设计：一个线程负责从dpi模块收取转发策略，另一个线程对转发策略下发模块缓存的转发策的条目数及生成时间进行监控，并对转发策略进行下发。

步骤3中，基于转发策略条目数的下发机制设定阈值是五十条。

步骤3中，基于转发策略生成时间的下发机制设定阈值是一秒。

在步骤4中，如果有工业网络数据包没有对应的连接跟踪信息及转发策略，则工控协议连接跟踪模块会为该工业网络数据包创建一条新的连接跟踪信息，并缺省按放行策略处理此工业网络数据包。

如图2所示，在本实施例中，在步骤4中，使用异或哈希算法对工业网络数据包进行快速查找。

如图2所示，在本实施例中，异或哈希算法如下：

hash＝(1^3^5^7^9^11^13)&(2^4^6^8^10^12)

算法流程为：先将五元组信息对称排列，然后进行奇偶交叉异或，最后将异或结果并置输出，使用异或哈希算法可以有效大幅度提高数据的转发效率。

一种用于工业网络数据转发的控制系统，包括网卡一、网卡二、协议栈模块、dpi模块、转发策略下发模块、工控协议连接跟踪模块及转发控制模块；网卡一、网卡二、工控协议连接跟踪模块及转发控制模块分别与协议栈模块连接，协议栈模块连接dpi模块，dpi模块连接转发策略下发模块，转发策略下发模块连接工控协议连接跟踪模块，工控协议连接跟踪模块连接转发控制模块。

以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。