数控机床网安全网关系统的制作方法

数控机床网安全网关系统的制作方法
【专利摘要】本发明公开了一种数控机床网安全网关系统，用于解决现有网关系统安全性差的技术问题。技术方案是包括数据通信安全子系统、系统安全防护子系统、基于角色的管理接口和远程管理工具。在数控机床网接入企业信息网时，通过数据通信安全子系统进行数据源认证、数据完整性认证以及通信单向性认证，再通过系统安全防护子系统进行通信可控性认证、异常事件报警以及安全审计。由于在企业信息网与数控机床网之间建立了一条安全的单向数据通信通道，实现了数据源认证、数据完整性和通信单向性等通信安全机制。在安全网关系统内部，提供了通信可控性、异常事件报警、安全审计和安全管理等系统安全机制，解决了直接接入方式的安全风险高的技术问题。
【专利说明】数控机床网安全网关系统
【技术领域】
[0001]本发明涉及一种安全网关系统，特别是涉及一种数控机床网安全网关系统。
【背景技术】
[0002]我国的生产制造企业越来越多地使用数控机床进行精密机械加工。在基于数控机床的机械加工系统中，由一个控制机和多个数控机床组成，它们通过网络连接起来，由控制机对数控机床实施远程设置和控制，构成一个数控机床网。
[0003]随着工业化和信息化的深度融合，越来越多的企业将数控机床网接入到企业信息网，工程师在企业信息网中的工作站上设计机械加工图纸，生成加工参数文件后，传输到数控机床网中的控制机上，直接用于控制数控机床进行机械加工，避免了人工传递和输入加工参数文件可能引入的差错，大大提高了工作效率。
[0004]由于数控机床网中的节点主要是数控机床控制器，属于嵌入式终端，无法通过安装防病毒软件等信息安全产品来防护，处于不设防状态。这种直接接入方式存在较大的安全隐患，主要表现为:
[0005](I)来自企业信息网中的病毒、木马等恶意程序可能传入到数控机床网，对机械加工过程进行干扰和破坏。震网病毒就是典型的案例。
[0006](2)来自企业信息网中的攻击行为和违规操作，对数控机床网和机械加工过程进行干扰和破坏。
[0007](3)加工参数文件在传输过程中可能被非法篡改，导致零件报废等严重后果。
[0008](4)在数控机床网中非法接入主机，未经授权地进入企业信息网，实施非法活动。
[0009]另一方面，很多军工企业大都建立了数控机床网，而军工企业信息网属于涉密信息网，按照国家涉密信息系统分级保护制度的规定，任何终端设备必须在有安全防护措施的条件下才能接入到涉密信息网中，以保证网络边界的安全。由于数控机床控制器是嵌入式终端，无法安装安全防护系统。因此，通常禁止将无安全防护的数控机床网接入到涉密信息网中，只能采用数据导出方式，在涉密信息网的工作站上，将生成的加工参数文件存入光盘；然后在将光盘中加工参数文件再导入到数控机床网中的控制机上。这种数据导出方法虽然比较安全，但也带来使用不便和资源浪费等问题。
[0010]可见，直接接入方式存在着很大的安全隐患，而数据导出方式存在着使用不便等问题。解决这些问题的关键在于如何安全地将数控机床网接入到企业信息网(包括涉密信息网)中，在安全、可控的条件下，实现数据文件的安全传送。
[0011]首先，数控机床网是非涉密网，不存在涉密信息处理和存储问题。其次，数控机床网必须在有安全防护措施的条件下接入到企业信息网络，这个安全防护措施可以通过在企业信息网与数控机床网之间设置一个安全网关来实现，在安全网关的控制下，企业信息网向数控机床网传送加工参数文件，既有效降低了直接接入方式所带来的安全风险，又解决了数据导出方式所带来的使用不便问题。
【发明内容】

[0012]为了克服现有网关系统安全性差的不足，本发明提供一种数控机床网安全网关系统。该系统包括数据通信安全子系统、系统安全防护子系统、基于角色的管理接口和远程管理工具。在数控机床网接入企业信息网时，通过数据通信安全子系统进行数据源认证、数据完整性认证以及通信单向性认证，再通过系统安全防护子系统进行通信可控性认证、异常事件报警以及安全审计。通过安全网关系统，在企业信息网与数控机床网之间建立了一条安全的单向数据通信通道，实现了数据源认证、数据完整性和通信单向性等通信安全机制。在安全网关系统内部，提供了通信可控性、异常事件报警、安全审计和安全管理等系统安全机制，进一步增强了系统安全性。通信安全机制和系统安全机制有机结合起来，将数控机床网接入的安全风险降低到可控范围内，可以解决直接接入方式的安全风险高的技术问题。
[0013]本发明解决其技术问题所采用的技术方案是:一种数控机床网安全网关系统，其特点是包括数据通信安全子系统、系统安全防护子系统、基于角色的管理接口和远程管理工具。
[0014]数据通信安全子系统实现数据源认证、数据完整性和通信单向性。数据源白名单采用XML语言描述，数据源认证和数据完整性保护中的单向散列函数采用MD5算法实现。
[0015]系统安全防护子系统实现通信可控性、异常事件报警和安全审计。通信可控性白名单采用XML语言描述，并利用操作系统的API实现其通信控制功能。异常事件报警采用屏幕显示、手机短信以及电子邮件方式，并将异常事件详细信息记录在日志文件中。异常事件包括未列入白名单的访问操作以及违反安全规则的异常行为。日志文件包括两正常通信行为信息和异常通信行为信息，并根据异常事件的严重程度标识出不同的危险等级。日志文件采用标准日志格式进行滚动记录，日志文件即将记满时给出提示信息，要求管理员及时备份日志文件。
[0016]基于角色的管理接口模块为远程管理工具提供基于角色的系统管理接口，包括角色分离的系统管理员和安全审计员，系统管理员主要负责白名单和安全规则建立与编辑、异常事件报警信息处理、检查算法更新和维护以及其它的系统管理等操作；安全审计员主要负责日志信息查询、审计以及备份操作。
[0017]远程管理工具为用户提供基于B/S三层结构的安全网关管理平台，包括安全配置管理、系统运行管理、异常事件管理、日志查询以及安全审计功能。系统管理员和安全审计员的角色与账户分开设置，各自单独登录和身份鉴别，构成相互制约的监督机制，确保安全网关管理的安全性和可信性。
[0018]本发明的有益效果是:该系统包括数据通信安全子系统、系统安全防护子系统、基于角色的管理接口和远程管理工具。在数控机床网接入企业信息网时，通过数据通信安全子系统进行数据源认证、数据完整性认证以及通信单向性认证，再通过系统安全防护子系统进行通信可控性认证、异常事件报警以及安全审计。通过安全网关系统，在企业信息网与数控机床网之间建立了一条安全的单向数据通信通道，实现了数据源认证、数据完整性和通信单向性等通信安全机制。在安全网关系统内部，提供了通信可控性、异常事件报警、安全审计和安全管理等系统安全机制，进一步增强了系统安全性。通信安全机制和系统安全机制有机结合起来，将数控机床网接入的安全风险降低到可控范围内，解决了直接接入方式的安全风险高的技术问题。[0019]下面结合附图和实施例对本发明作详细说明。
【专利附图】

【附图说明】
[0020]图1是本发明数控机床网安全网关系统的方框图。
【具体实施方式】
[0021]本发明数控机床网安全网关系统包括数据通信安全子系统、系统安全防护子系统、基于角色的管理接口和远程管理工具。
[0022](I)数据通信安全子系统:主要实现数据源认证、数据完整性和通信单向性等通信安全机制，其中:
[0023]①数据源白名单采用XML语言来描述，数据源认证中的单向散列函数采用MD5算法来实现。
[0024]②数据完整性保护中的单向散列函数也是采用MD5算法来实现。
[0025]另外，在工作站端和控制机端上，需要实现与之对应的数据文件发送和接收程序。
[0026](2)系统安全防护子系统:主要实现通信可控性、异常事件报警、安全审计等系统安全机制，其中:
[0027]①通信可控性白名单采用XML语言来描述，并利用操作系统的API (如WindowsTDI接口函数)来实现其通信控制功能。
[0028]②异常事件报警采用屏幕显示、手机短信、电子邮件等方式，并将异常事件详细信息记录在日志文件中。异常事件包括未列入白名单的访问操作以及违反安全规则的异常行为等。
[0029]③日志记录包括两类信息:正常通信行为信息和异常通信行为信息，并根据异常事件的严重程度标识出不同的危险等级。日志文件采用标准日志格式进行滚动记录，日志文件即将记满时给出提示信息，要求管理员及时备份日志文件。
[0030](3)基于角色的管理接口模块:为远程管理工具提供基于角色的系统管理接口，包括角色分离的系统管理员和安全审计员，系统管理员主要负责白名单和安全规则建立与编辑、异常事件报警信息处理、检查算法更新和维护以及其它的系统管理等操作；安全审计员主要负责日志信息查询、审计、备份等操作。
[0031](4)远程管理工具:为用户提供基于B/S三层结构的安全网关管理平台，包括安全配置管理、系统运行管理、异常事件管理以及日志查询、安全审计等功能。系统管理员和安全审计员的角色和账户是分开设置的，各自单独登录和身份鉴别，构成相互制约的监督机制，确保安全网关管理的安全性和可信性。
[0032]安全网关系统主要实现如下的安全机制:
[0033](I)数据源认证:通过基于白名单的数据源认证机制，对数据源进行认证，只有白名单上的数据源(工作站)才允许发起TCP连接，传输数据文件，防止恶意程序和攻击行为对数控机床网的干扰和破坏。
[0034](2)数据完整性:通过单向散列函数，对所传输的数据文件进行完整性保护，防止数据文件在传输过程中被非法篡改。
[0035](3)通信单向性:通过单向通信机制，只允许企业信息网向数控机床网发起TCP连接并传输数据文件，而禁止反向建立连接和传输数据，防止利用数控机床网未经授权地进入企业信息网，实施非法活动。
[0036](4)通信可控性:通过基于白名单的通信可控机制，对安全网关系统上进程、服务和应用程序的网络通信行为进行控制，只有白名单上的可信程序才允许进行网络通信操作，防止恶意程序向企业信息网或向数控机床网发起网络攻击。
[0037](5)操作追溯性:通过日志记录和安全审计机制，对安全网关系统上所有的操作行为和安全事件进行记录和审计，并对异常事件及时发出报警。为评估安全风险、追查攻击者责任提供依据和证据。
[0038]以下详细说明本发明。
[0039]1.数据源认证机制。
[0040]每个允许访问控制机的工作站，必须使用一个32位认证码和IP地址来标识，并事先注册在安全网关系统的数据源白名单中。
[0041]数据源认证分为两个阶段:
[0042](I)初步认证:当企业信息网的工作站(简称工作站)使用TCP协议向数控机床网的控制机(简称控制机)发出建立TCP连接请求时，安全网关系统首先接收建立TCP连接请求，然后提取出源IP地址，查询数据源白名单，以确定是否为可信的数据源。如果是不可信的数据源，则不允许建立TCP连接，中止本次操作。
[0043](2)最终认证:如果允许建立TCP连接，工作站使用单向散列函数对自己的认证码和IP地址做散列计算，得到数据源散列值，并构造一个数据结构，其中包括数据文件、文件名、数据文件散列值、数据源散列值等，通过TCP数据包发送给控制机。安全网关系统首先接收TCP数据包，提取数据源散列值，然后使用相同的单向散列函数计算数据源白名单中的数据源认证码和IP地址，将得到的散列值与提取的散列值进行比较，如果相同，说明该数据源是可信的数据源，转入后续的处理；否则是非法的数据源，中止本次操作。最终认证主要为了防止IP欺骗攻击。
[0044]2.数据完整性机制。
[0045]工作站使用单向散列函数对所要传送的数据文件做散列计算，得到数据文件散列值，并构造一个数据结构，其中包括数据文件、文件名、数据文件散列值、数据源散列值等，通过TCP数据包发送给控制机。安全网关系统首先接收TCP数据包，提取数据文件散列值，然后使用相同的单向散列函数计算所接收数据文件的散列值，比较两个散列值，如果相同，说明所接收的数据文件是完整的，没有被篡改，转入后续的处理；否则说明数据文件被篡改，中止本次操作。
[0046]3.通信单向性机制。
[0047]安全网关系统在通过数据源认证和数据完整性检查后，向控制机发出建立TCP连接请求。当安全网关系统接收到控制机的允许建立TCP连接响应后，向控制机发送只包含数据文件和文件名的TCP数据包。控制机接收TCP数据包，将文件存储在指定的目录下，完成本次数据文件传送，实现了数据文件的安全中转。在任何情况下，安全网关系统都禁止来自控制机的通信请求，主要为了防止利用数控机床网未经授权地进入企业信息网，实施非法活动。
[0048]4.通信可控性机制。[0049]预先将安全网关系统上允许进行网络通信的进程、服务和应用程序的名称注册在安全网关系统的可信程序白名单中。在安全网关系统运行后，对于任何试图启动网络通信的进程、服务和应用程序，系统将查询可信程序白名单，如果其程序名出现在白名单中，则允许执行网络通信操作，否则禁止该程序执行。主要为了防止病毒、木马等恶意程序向企业信息网或向数控机床网发起网络攻击。
[0050]5.安全审计机制。
[0051]安全网关系统上所有的操作行为和安全事件都要记录在日志文件中，记录的信息包括:产生日志的程序模块、严重性、时间、主机名或IP、进程名、进程ID和正文等。为了保证日志信息的完整性，采取如下保护措施:(I)防止信息篡改:系统通常禁止修改或删除日志文件中的日志信息，以保持日志信息的完整性。(2)防止数据丢失:为了防止日志文件记满而产生数据丢失，系统将根据管理员设置的日志文件长度，对文件长度进行监测，当达到设定的上限值时，连续给出警告信息，提醒管理员及时备份当前日志数据，以防止数据丢失。
[0052]安全审计是通过对系统中的用户操作行为和安全事件的统计分析，从中发现系统中可能存在的违规操作、异常事件、攻击行为以及系统漏洞等，为安全事件的电子取证和可追溯性提供技术手段。管理员通过系统管理工具执行审计管理操作，包括系统参数配置、日志信息查看、事件统计分析、报警信息处理、日志信息备份等。
【权利要求】
1.一种数控机床网安全网关系统，其特征在于包括数据通信安全子系统、系统安全防护子系统、基于角色的管理接口和远程管理工具； 数据通信安全子系统实现数据源认证、数据完整性和通信单向性；数据源白名单采用XML语言描述，数据源认证和数据完整性保护中的单向散列函数采用MD5算法实现； 系统安全防护子系统实现通信可控性、异常事件报警和安全审计；通信可控性白名单采用XML语言描述，并利用操作系统的API实现其通信控制功能；异常事件报警采用屏幕显示、手机短信以及电子邮件方式，并将异常事件详细信息记录在日志文件中；异常事件包括未列入白名单的访问操作以及违反安全规则的异常行为；日志文件包括两正常通信行为信息和异常通信行为信息，并根据异常事件的严重程度标识出不同的危险等级；日志文件采用标准日志格式进行滚动记录，日志文件即将记满时给出提示信息，要求管理员及时备份日志文件； 基于角色的管理接口模块为远程管理工具提供基于角色的系统管理接口，包括角色分离的系统管理员和安全审计员，系统管理员主要负责白名单和安全规则建立与编辑、异常事件报警信息处理、检查算法更新和维护以及其它的系统管理等操作；安全审计员主要负责日志信息查询、审计以及备份操作； 远程管理工具为用户提供基于B/S三层结构的安全网关管理平台，包括安全配置管理、系统运行管理、异常事件管理、日志查询以及安全审计功能；系统管理员和安全审计员的角色与账户分开设置，各自单独登录和身份鉴别，构成相互制约的监督机制，确保安全网关管理的安全性和可信性。
【文档编号】H04L29/06GK103441926SQ201310379363
【公开日】2013年12月11日 申请日期:2013年8月27日 优先权日:2013年8月27日
【发明者】蔡霖, 蔡皖东 申请人:西北工业大学