多协议工业通信安全网关及应用该网关的通信方法
【专利摘要】本发明涉及一种多协议工业通信安全网关及应用该网关的通信方法。在数据通信时,源网关利用密钥管理机制模块和VPN加解密模块对数据进行加密后,发送给目标网关。目标网关通过VPN加解密模块进行解密,然后利用安全域安全防护模块,对数据通信提供安全检测及控制服务;如果数据安全,则对应用层数据进行密钥解密;判断应用层数据类型,如果是应用管理数据则利用应用管理安全模块进行管理,如果是应用层报文则调用应用层报文检测和过滤模块对报文进行检测过滤管理。本发明采用VPN加解密、密钥加解密、应用层报文检测及过滤等3种措施相结合的方式进行通信安全保证;采用安全域安全防护和应用安全管理两种措施进行网关应用安全保证。
【专利说明】多协议工业通信安全网关及应用该网关的通信方法
【技术领域】
[0001]本发明涉及一种安全网关产品,尤其涉及一种多协议工业通信安全网关及应用该网关的通信方法。
【背景技术】
[0002]一般工业控制网络之间的数据交换需要工业通信网关进行转换,由于工业控制网络数据通信涉及多种工业通信协议,工业控制网关比较注重协议数据转换,现有的通用网关大都只针对一种协议,因此无法直接应用到工业控制网络中。而且现有网关的安全防护比较薄弱,无法保障工业控制网络的通信安全。
【发明内容】
[0003]为解决上述问题,本发明提供了一种可支持多种工业控制通信协议的通信安全网关,能保证数据通信安全和网关应用安全。
[0004]本发明所述的多协议工业通信安全网关,包括:
密钥管理机制模块,用于采用非对称算法密钥管理的数字信封技术对密钥的管理和获取过程进行加解密管理以及对应用层数据的加密和解密;应用层数据是指到达或经过安全网关的管理数据、工业通信协议数据以及网关日志的远程备份数据;
VPN加解密模块,用于对访问数据进行VPN加密和解密;访问数据是指所有到达或经过网关的数据,包括密钥加密的数据,这样可以对重要通信数据进行双重加密,最大程度保证通信数据的安全;
安全域安全防护模块,用于对数据通信提供病毒防御、入侵防御、应用识别、流量控制、NAT处理安全检测及控制服务;
应用层报文检测和过滤模块,用于对应用层管理数据报文和日志远程备份数据报文进行报文格式检测及基于白名单的IP地址过滤,并对应用层工业通信数据报文进行报文格式检测及基于白名单的IP地址、指令、敏感数据的过滤;
应用管理安全模块用于对数据通信进行登录管理、权限管理和安全审计。
[0005]本发明所述网关既可作为源网关,也可作为目标网关。在数据通信时,源网关利用密钥管理机制模块和VPN加解密模块对数据进行加密后,发送给目标网关。目标网关通过VPN加解密模块进行解密,然后利用安全域安全防护模块,对数据通信提供安全检测及控制服务;如果数据安全,则对应用层数据进行密钥解密;判断应用层数据类型,如果是应用管理数据则利用应用管理安全模块进行管理,如果是应用层报文则调用应用层报文检测和过滤模块对报文进行检测过滤管理。
[0006]本发明采用VPN加密与密钥加密相结合方式,可保障系统通信数据的高度安全。VPN代理对数据包进行安全性的封装并同时进行加密处理,经过内置压缩算法对数据流进行压缩后再传输,所需的带宽比实际互联网接入的带宽要低很多,无形中极大地节省了带宽并提高了数据流的转发速度,并保证了数据在网络传输中的安全性。密钥加密针对应用层数据进行加密,保证了应用层数据的安全。两种加密相互配合既保障了数据输出过程中的安全,特别是应用层数据的安全性达到高安全强度等级。
[0007]进一步,VPN加密和解密方式为IPSec、GRE、SSL、L2TP中的一种。
[0008]进一步,所述的应用层报文检测和过滤模块包括白名单管理、安全策略管理、协议检测、协议过滤。网关基于白名单方式设计安全功能,白名单既包含IP地址及端口号的白名单,还包含协议的指令及寄存器地址访问的白名单。网关针对所有管理用户提供安全策略,系统提供1000种安全管理策略,网关根据提供的安全策略及通信协议本身对通信数据进行协议检测及过滤,经过协议检测及过滤通过的数据经密钥加密、VPN加密后转发出去。
[0009]进一步,所述的登录管理包括身份鉴别、多重鉴别、鉴别失败处理、登录超时管理。网关具有系统管理员、安全管理员、审计管理员3种管理员角色,每个角色具有不同的权限,必须在具备的权限内进行访问和操作。
[0010]进一步,所述的安全审计是指系统对VPN加解密、密钥加解密、安全域安全防护、应用管理、报文检测与过滤行为进行安全审计,形成审计日志,并提供日志的分类查询及存储管理。
[0011]进一步,所述的应用安全管理模块同时采取用户名密码和数字证书两种方式进行身份鉴别。网关采用远程WEB方式对网关进行管理配置,因此具有应用安全管理模块为网关提供安全防护。应用安全管理模块提供了两种身份鉴别,只有两种方式都鉴别成功后才可以登录系统配置,当发生多次鉴别失败后系统将中止服务并将登录的用户IP及用户列入黑名单。用户登录后根据身份分配权限,对系统进行参数设置等操作。安全审计功能将记录所有经过网关的参数管理、安全检查、协议过滤等业务数据进行跟踪审计,保证网关的运行全方位审计控制。
[0012]该网关支持基于工业以太网的协议和基于RS485总线的工业协议。基于工业以太网的协议有BACNet/IP、Ethnet/IP、DNP3、Modbus/TCP等,基于RS485总线的工业协议有Modbus-RTU,DLT645-2007、CJ/T188-1999 等。
[0013]应用所述多协议工业通信安全网关的通信方法,包括源网关和目标网关,源网关与目标网关分布在工业控制网络的管理网络与控制网络之间,包括以下步骤:
51、源网关对待发送的合格数据先进行密钥加密,再进行VPN加密后发送到目标网关;
52、目标网关将接收到的数据进行VPN解密和密钥解密,同时对数据通信进行安全域安全防护和应用安全管理,将解密后的应用层数据经应用层报文检测和过滤模块检测和过滤后,将合格数据进行转发。安全域安全防护为网关提供防病毒、入侵攻击、流控、应用识另|J、NAT服务等系统安全保证,应用安全管理为网关提供配置登录管理、权限分配管理、安全审计管理等应用安全保证。
[0014]S2步骤的具体步骤如下:
S2-1、对接收到的数据利用安全域安全防护模块进行VPN解密,若VPN数据包被破坏则数据阻止,并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库;否则从远程密钥服务器获取密钥,并利用密钥对应用数据进行数据解密;
S2-2、判定密钥加密数据是否被破坏,若被破坏,则数据阻止并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库,否则判定是否为系统配置数据,若是,则进入S2-3步骤;若不是,则进入S2-4步骤;
S2-3、进入系统配置登录鉴别系统进行鉴别,鉴别成功后设置系统参数并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果信息,形成审计日志并存储到网关数据库;鉴别不成功则进行鉴别失败处理;
S2-4、判定数据为通信业务数据,通过安全策略获得工业控制协议的类型,并检查协议的格式及协议校验,协议检查合格进入S2-5协议过滤步骤,否则数据阻止并进行安全审计,记录事件时间、源地址、目的地址、检查结果信息,形成审计日志并存储到网关数据库;S2-5、协议过滤功能获取安全策略得到白名单,并对协议数据进行过滤,数据合格进行数据转发,否则进行数据阻止并安全审计,记录事件时间、源地址、目的地址、过滤结果信息,形成审计日志并存储到网关数据库。
[0015]进一步,所述的鉴别失败处理为鉴别失败后中止服务程序,如果同一账户短时间内超过3次登录失败则将登录地址与该账户加入黑名单禁止再次访问,并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果等信息,形成审计日志并存储到网关数据库。
[0016]本发明的有益效果:
1、采用VPN加解密、密钥加解密、应用层报文检测及过滤等3种措施相结合的方式进行通信安全保证。三种通信安全保证措施将确保工业控制网络数据通信的高安全强度,特别是应用报文的检测及过滤可以有效阻止误操作或人为破坏,保证工业设备及设备使用、维修人员的安全。
[0017]2、采用安全域安全防护和应用安全管理两种措施进行网关应用安全保证。安全域安全防护主要提供对外部网关底层支撑系统比如Linux操作系统的防护,比如病毒防御、入侵防御、流量控制、应用识别、NAT处理等。应用安全管理主要通过用户登录、用户权限等措施保证网关的参数设置等设置项的安全。并对网关的所有行为进行安全审计形成审计日志,这样可以追溯网关的行为记录,并分析潜在的威胁或侵害。
[0018]3、网关支持多种协议,可适用于楼宇自控、SCADA及其他工业DCS系统。
【专利附图】
【附图说明】
[0019]图1是本发明所述安全网关的系统部署图;
图2是本发明所述安全网关的工作原理图;
图3是本发明通信方法的流程图。
【具体实施方式】
[0020]一种多协议工业通信安全网关,包括:
密钥管理机制模块,用于采用非对称算法密钥管理的数字信封技术对密钥的管理和获取过程进行加解密管理以及对应用层数据的加密和解密;应用层数据是指到达或经过安全网关的管理数据、工业通信协议数据以及网关日志的远程备份数据;
VPN加解密模块,用于对访问数据进行VPN加密和解密;访问数据是指所有到达或经过网关的数据,包括密钥加密的数据,这样可以对重要通信数据进行双重加密,最大程度保证通信数据的安全;VPN加密和解密方式为IPSec、GRE、SSL、L2TP中的一种。
[0021]安全域安全防护模块,用于对数据通信提供病毒防御、入侵防御、应用识别、流量控制、NAT处理安全检测及控制服务;
应用层报文检测和过滤模块,用于对应用层管理数据报文和日志远程备份数据报文进行报文格式检测及基于白名单的IP地址过滤,并对应用层工业通信数据报文进行报文格式检测及基于白名单的IP地址、指令、敏感数据的过滤;
应用管理安全模块用于对数据通信进行登录管理、权限管理和安全审计。其中,登录管理包括身份鉴别、多重鉴别、鉴别失败处理、登录超时管理。网关具有系统管理员、安全管理员、审计管理员3种管理员角色,每个角色具有不同的权限,必须在具备的权限内进行访问和操作。安全审计是指系统对VPN加解密、密钥加解密、安全域安全防护、应用管理、报文检测与过滤行为进行安全审计,形成审计日志,并提供日志的分类查询及存储管理。应用安全管理模块同时采取用户名密码和数字证书两种方式进行身份鉴别。只有两种方式都鉴别成功后才可以登录系统配置,当发生多次鉴别失败后系统将中止服务并将登录的用户IP及用户列入黑名单。
[0022]该网关支持基于工业以太网的协议和基于RS485总线的工业协议。基于工业以太网的协议有BACNet/IP、Ethnet/IP、DNP3、Modbus/TCP等,基于RS485总线的工业协议有Modbus-RTU,DLT645-2007、CJ/T188-1999 等。
[0023]图1为安全网关的系统部署图。将网关部署在工业控制网络的管理网络和控制网络之间,在管理网络部署管理网关,控制网络部署控制网关,管理网关与控制网关经过工业局域网进行数据交换,管理网关及控制网关都可以作为源网关或目标网关。
[0024]图2主要说明安全网关的工作原理图。源网关将合格的发送数据经过密钥加密及VPN加密后发送到目标网关,目标网关接收到数据经过VPN解密及密钥解密后将解密后的应用层数据经应用层报文检测和过滤模块检测和过滤后,将合格数据进行转发。安全域安全防护为网关提供防病毒、入侵攻击、流量控制、应用识别、NAT服务等系统安全保证,应用安全管理为网关提供配置登录管理、权限分配管理、安全审计管理等应用安全保证。
[0025]图3为利用本发明所述安全网关进行安全通信的方法流程图,图中主要展示的是目标网关对数据的处理流程,源网关只是对数据进行加密,具体过程未在图中展示。该通信方法包括以下步骤:
S1、源网关对待发送的合格数据先进行密钥加密,再进行VPN加密后发送到目标网关。
[0026]S2、目标网关对接收到的数据进行解密及检测和过滤处理:
S2-1、对接收到的数据利用安全域安全防护模块进行VPN解密,若VPN数据包被破坏则数据阻止,并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库;否则从远程密钥服务器获取密钥,并利用密钥对应用数据进行数据解密。
[0027]S2-2、判定密钥加密数据是否被破坏,若被破坏,则数据阻止并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库,否则判定是否为系统配置数据(是否是符合https数据),若是,则进入S2-3步骤;若不是,则进入S2-4步骤。
[0028]S2-3、进入系统配置登录鉴别系统进行鉴别,鉴别系统利用用户名密码及数字证书多重鉴别方式,鉴别成功进行权限管理对管理员赋予权限,并检测用户登录是否超时,如果超时需要重新登录,否则进入系统参数设置,设置完成后进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果信息,形成审计日志并存储到网关数据库。鉴别不成功则进行鉴别失败处理,鉴别失败后中止服务程序,如果同一账户短时间内超过3次登录失败则将登录地址与该账户加入黑名单禁止再次访问,并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果等信息,形成审计日志并存储到网关数据库。
[0029]S2-4、若系统数据不是系统配置数据,而是通信业务数据,通过安全策略获得工业控制协议的类型,并检查协议的格式及协议校验,协议检查合格进入S2-5协议过滤步骤,否则数据阻止并进行安全审计,记录事件时间、源地址、目的地址、检查结果信息,形成审计日志并存储到网关数据库;
S2-5、协议过滤功能获取安全策略得到白名单,并对协议数据进行过滤,数据合格进行数据转发,否则进行数据阻止并安全审计,记录事件时间、源地址、目的地址、过滤结果信息,形成审计日志并存储到网关数据库。
【权利要求】
1.一种多协议工业通信安全网关,其特征在于包括: 密钥管理机制模块,用于采用非对称算法密钥管理的数字信封技术对密钥的管理和获取过程进行加解密管理以及对应用层数据的加密和解密; VPN加解密模块,用于对访问数据进行VPN加密和解密; 安全域安全防护模块,用于对数据通信提供病毒防御、入侵防御、应用识别、流量控制、NAT处理安全检测及控制服务; 应用层报文检测和过滤模块,用于对应用层管理数据报文和日志远程备份数据报文进行报文格式检测及基于白名单的IP地址过滤,并对应用层工业通信数据报文进行报文格式检测及基于白名单的IP地址、指令、敏感数据的过滤; 应用管理安全模块用于对数据通信进行登录管理、权限管理和安全审计。
2.根据权利要求1所述的多协议工业通信安全网关,其特征在于:VPN加密和解密方式为 IPSec、GRE、SSL、L2TP 中的一种。
3.根据权利要求1所述的多协议工业通信安全网关,其特征在于:所述的应用层报文检测和过滤模块包括白名单管理、安全策略管理、协议检测、协议过滤。
4.根据权利要求1所述的多协议工业通信安全网关,其特征在于:所述的登录管理包括身份鉴别、多重鉴别、鉴别失败处理、登录超时管理。
5.根据权利要求1所述的多协议工业通信安全网关,其特征在于:所述的安全审计是指系统对VPN加解密、密钥加解密、安全域安全防护、应用管理、报文检测与过滤行为进行安全审计,形成审计日志,并提供日志的分类查询及存储管理。
6.根据权利要求1所述的多协议工业通信安全网关,其特征在于:所述的应用安全管理模块同时采取用户名密码和数字证书两种方式进行身份鉴别。
7.根据权利要求1-6任一项所述的多协议工业通信安全网关,其特征在于:该网关支持基于工业以太网的协议和基于RS485总线的工业协议。
8.应用权7所述多协议工业通信安全网关的通信方法,包括源网关和目标网关,源网关与目标网关分布在工业控制网络的管理网络与控制网络之间,其特征在于:包括以下步骤: 51、源网关对待发送的合格数据先进行密钥加密,再进行VPN加密后发送到目标网关; 52、目标网关将接收到的数据进行VPN解密和密钥解密,同时对数据通信进行安全域安全防护和应用安全管理,将解密后的应用层数据经应用层报文检测和过滤模块检测和过滤后,将合格数据进行转发。
9.根据权利要求8所述的通信方法,其特征在于:S2步骤的具体步骤如下: S2-1、对接收到的数据利用安全域安全防护模块进行VPN解密,若VPN数据包被破坏则数据阻止,并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库;否则从远程密钥服务器获取密钥,并利用密钥对应用数据进行数据解密; S2-2、判定密钥加密数据是否被破坏,若被破坏,则数据阻止并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库,否则判定是否为系统配置数据,若是,则进入S2-3步骤;若不是,则进入S2-4步骤; S2-3、进入系统配置登录鉴别系统进行鉴别,鉴别成功后设置系统参数并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果信息,形成审计日志并存储到网关数据库;鉴别不成功则进行鉴别失败处理; S2-4、判定数据为通信业务数据,通过安全策略获得工业控制协议的类型,并检查协议的格式及协议校验,协议检查合格进入S2-5协议过滤步骤,否则数据阻止并进行安全审计,记录事件时间、源地址、目的地址、检查结果信息,形成审计日志并存储到网关数据库;S2-5、协议过滤功能获取安全策略得到白名单,并对协议数据进行过滤,数据合格进行数据转发,否则进行数据阻止并安全审计,记录事件时间、源地址、目的地址、过滤结果信息,形成审计日志并存储到网关数据库。
10.根据权利要求9所述的通信方法,其特征在于:所述的鉴别失败处理为鉴别失败后中止服务程序,如果同一账户短时间内超过3次登录失败则将登录地址与该账户加入黑名单禁止再次访问,并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果等信息,形成审计日志并存储到网关数据库。
【文档编号】H04L29/06GK104320332SQ201410638244
【公开日】2015年1月28日 申请日期:2014年11月13日 优先权日:2014年11月13日
【发明者】周文奇, 李因东, 唐华, 丁英峰, 王德宣, 黄彩琳 申请人:济南华汉电气科技有限公司