工业控制网络安全隔离交换装置制造方法
【专利摘要】一种工业控制网络安全隔离交换装置,属于工业控制网络安全【技术领域】。采用“2+1”的结构体系,包括外网处理机、内网处理机和隔离交换单元,其中,隔离交换单元采用基于总线的双通道结构,与外网处理机、内网处理机通过PCI总线相连。本发明基于总线的双通道隔离控制技术,实现双通道实时开关,将内、外网的双向数据传输转换为两个单向数据传输,从硬件和软件上保证内外网的安全隔离,解决了传统安全技术在同一个系统双向传送中存在的诸多安全问题,同时降低了硬件成本和复杂度,提高了系统可靠性和数据交换速率,降低了切换时间。
【专利说明】 工业控制网络安全隔离交换装置
【技术领域】
[0001]本发明属于工业控制网络安全【技术领域】,特别是涉及一种工业控制网络安全隔离交换装置。
【背景技术】
[0002]工业控制系统负责对生产装置的连续控制,具有不可间断的高可靠性要求和不可延迟的高实时性要求。目前针对部分工业控制网络的安全防护,尽管采用了各种复杂的防护技术,如防火墙、入侵探测系统、病毒墙等,这些机制都是一种逻辑机制的保护,由于存在通信链路,对于逻辑实体来说是可能被操纵的;同时,逻辑机制的极端复杂性与局限性,所形成的在线分析技术也无法满足高速信息交换的需求及实时性要求;许多在线查杀、云查杀技术会影响系统的稳定性,杀毒程序升级和软件补丁可能导致系统重启,不适用于连续生产过程;应用传统信息领域的安全措施,如VPNs、防火墙、IDSs入侵检测等主要集中在网络层次上,用于保护企业级网络来自Internet的外部攻击,能够降低安全威胁,却不是真正的物理隔离,同时,缺少对应用层内容的过滤,不能阻止内部攻击,不能彻底阻断针对操作系统、TCP/IP协议等漏洞的攻击;对于专有的工业通讯协议漏洞的攻击,传统的信息领域的安全装置也无能为力。
[0003]传统上,采用静态安全防御策略来进行安全防御,如防火墙、入侵检测、信息加密、消息认证、身份认证、访问控制和操作系统防护等,这些技术都是基于软件的保护,是一种逻辑机制,这对于逻辑实体(即黑客或内部用户)而言是可能被操纵的,同时这些技术的极端复杂性与局限性,使得他们无法达到更高数据安全的要求。
[0004]从技术发展趋势上来看,有效阻断已知和未知的攻击,防范安全漏洞,隔离外部网络和内部网络并能保持数据高速交换,是网络安全技术的发展方向。目前网络隔离技术研宄在美国、以色列等掌握网络安全先进技术的国家得到了开发和应用,在国内的网络安全领域,网络隔离技术也得到了足够的重视。但就技术水平而言,与国外相比还存在着较大的差距。国内市场上的成熟产品比较多的是物理隔离卡,该产品还存在有许多缺陷,不能完全满足应用的需要,如物理隔离卡只能保护单个计算机,不能保护网络,并且切换操作系统需要重新启动。现有一些基于物理隔离的产品,如采用实时交换技术的隔离交换器由于能够在网络间进行高速安全的数据交换,因此具有广泛的应用前景和较高的市场价值。
[0005]目前大部分网闸产品采用工控电脑公司生产的防火墙硬件平台为自身的硬件平台,配上自己的软件实现的产品。硬件平台大同小异,软件系统千差万别,造成这些产品普遍存在产品化工作差,故障率高,数据交换速度低的问题。国内的网闸支持百兆网络,如联想网御SIS-3000安全隔离网闸其交换速度35Mbps,珠海伟思ViGap交换速度为90Mbps,目前国内网闸的最快交换速度为120Mbps。因此,单台的隔离网闸无法适应交换速度要求很高的应用场合,如千兆网络系统。面对这种情况,现在大多数采用几台隔离网闸同时工作,这样的解决方案大大增加了系统的成本。
[0006]网闸对静态数据有较好的安全性,但是对于连续的数据流就无能为力;价格高:一般在几万-几百万;应用面窄:国内的网闸产品非常泛滥,国外大厂很少有国内类似的网闸产品。国外虽然早就提出网闸的概念,但是这种产品一直属于应用单一的专用产品,像国内这些应用于Http浏览上网、能用于数据库、能用于文件共享的万能产品已经完全脱离了所谓的协议隔离的概念。从目前的情况来看,市场上出现的网闸很多未能实现OSI模型的数据链路层的断开。任何基于通信协议的数据交换技术,都无法消除链路的连接,因此不是完整的网络隔离技术。
[0007]因此为确保工业控制网络的信息安全,我们拟采用高安全的物理隔离技术,在所要保护的网络通道上,建立一个独立的物理安全隔离交换系统,切断网络被攻击的途径,真正实现网络威胁的防护。从技术发展趋势上来看,有效阻断已知和未知的攻击,防范安全漏洞,隔离外部网络和内部网络并能保持数据高速交换,是网络安全技术的发展方向。
【发明内容】
[0008]本发明的目的在于提供一种工业控制网络安全隔离交换装置,是一种真正意义上的物理安全隔离装置,同时还能保证高速的数据交换,不但能防护网络层次上的基于TCP/IP协议漏洞的外部攻击,如端口扫描攻击;而且能够处理基于内容、专有协议的大部分内部攻击、在一定程度上杜绝由于操作系统和网络协议自身漏洞带来的安全风险等。
[0009]本发明采用2+1的结构体系,包括外网处理机、内网处理机和隔离交换单元,其中隔离交换单元采用基于总线的双通道结构,与外网处理机、内网处理机通过PCI总线相连。
[0010]作为本发明的一个优选方案,所述的外网处理机和内网处理机是对称结构,都至少包括:处理器、存储器、以太网口以及相关安全模块;其中所述的处理器为高性能嵌入式处理器,以太网口至少包括一个千兆网口和一百兆网口,所述的千兆网口用于连接外部网络或内部网络,所述的百兆网口用于连接管理配置主机;
[0011]所述的相关安全模块以插件模式安装在所述的装置中,至少包括访问控制模块、标准协议检查模块、专有协议安全引擎、内容过滤模块。
[0012]所述的专有协议安全引擎,至少包括工业控制网络常用的OPC、Modbus/TCP协议安全引擎。
[0013]所述的OPC协议安全引擎运行方式如下:
[0014]a.采用工业协议的通讯跟踪技术,动态跟踪OPC服务器分配的TCP或UDP端口,动态打开打开端口实现数据通信;同时根据应用场景数据传输情况,采用动态自适应开关算法设置端口打开的时间,超过时间上限,就认定无效通讯,进行后续的处理;
[0015]b.采用协议完整性检查方法,按照OPC Classic标准格式对捕获的OPC数据进行深度检查,不符合的OPC数据请求被阻止;
[0016]c.采用数据加密与校验算法,保证OPC数据的安全性。
[0017]其中,所述的OPC数据加密与校验算法包括通过RPC/0PC头和尾加入数据CRC校验位及加密算法。
[0018]所述的Modbus/TCP协议安全引擎包括Modbus/TCP协议深度包检测。
[0019]所述的内容过滤模块包括基于关键词匹配与语义匹配的混合过滤模型。
[0020]作为本发明的另一优选方案,所述的隔离交换单元包括内部安全控制板和外部安全控制板,每块安全控制板包含各自的FPGA芯片和双端口缓存芯片,且两块安全控制板通过LVDS总线相连;其中FPGA内部具有数据完整性校验模块和/或数据压缩和/或加密模块,且对用户透明,保证了数据交换的安全性。
[0021]作为本发明的又一优选方案,所述的隔离交换单元中,FPGA内部具有数据压缩和加密模块,对用户透明,进一步保证了数据交换的安全性。
[0022]所述的装置工作过程涉及到两个处理过程,即协议剥离及安全处理流程和协议封装及会话建立流程。信息通过装置传递需要经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网处理机时,首先实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网络安全隔离交换装置;然后,内外网处理机会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网处理机会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换单元处理;隔离交换单元处理通过PCI总线读入数据,在FPGA内部进行数据完整性检验等处理,如果校验通过,则通过对硬件上的存储芯片读写,完成数据交换;数据交换之后,重建TCP/IP协议及应用协议,与内外网建立会话,实现透明传输。这种“静态”的数据传输形态不可执行,不依赖任何通用协议,只能被系统的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。
[0023]其中,纯数据交换方案采用结构化数据交换格式,实现各种不同类型数据(数字、文本、位串)组成的任意结构化数据块的快速连续交换。数据被组织成数据块,数据块按照层次结构排列。块由头部和数据体(内容)组成。块类型可以是原子性块(内容是纯数据)或结构化块(内容部分包括一个块列表),该数据块内可构造任何层次化的结构数据。方便数据交换与解析,提供API函数供应用程序调用,如读写函数。
[0024]本发明提供一个高速高性能的工业控制网络安全隔离交换装置,通过软硬件的协同防御,实现内网与外网的安全隔离,保护内部网络免受外部入侵攻击,同时内、外网能够进行高速的数据交换。
[0025]与现有技术相比,本发明采用“2+1”的结构体系,内外网处理机各采用独立的操作系统来管理,数据交换采用剥离了 TCP/IP协议的采用专有格式的数据块的交换方式,并提供完整性检查和校验等安全策略,杜绝了由于TCP/IP网络协议脆弱性和部分操作系统的脆弱性带来的安全隐患;基于总线的双通道隔离控制技术,实现双通道实时开关,将内、夕卜网的双向数据传输转换为两个单向数据传输,从硬件和软件上保证内外网的安全隔离,解决了传统安全技术在同一个系统双向传送中存在的诸多安全问题;物理层数据传输采用基于FPGA的高速总线方案,与传统网闸技术基于SCSI和空气开关的方案相比,降低了硬件成本和复杂度,提高了系统可靠性和数据交换速率,降低了切换时间。
【专利附图】
【附图说明】
[0026]图1是本发明的一种实施例的工业控制网络安全隔离交换装置结构图。
[0027]图2是本发明的一种实施例的隔离交换单元结构示意图。
[0028]图3是本发明的一种实施例的隔离交换单元读写逻辑示意图。
[0029]图4是本发明的一种实施例的工作流程图。
【具体实施方式】
[0030]图1?图4为本发明的【具体实施方式】。下面结合附图和【具体实施方式】对本发明作进一步的说明。
[0031]如图1所示,采用“2+1”的结构体系,包括外网处理机、内网处理机和隔离交换单元,其中隔离交换单元采用基于总线的双通道结构,与内、外网处理机通过PCI总线相连。
[0032]硬件架构上采用“2+1”结构,即双系统+隔离交换单元模型,双系统分别具有独立的操作系统;为了克服传统网络安全隔离产品的数据交换速度低、延迟时间长的缺点,选择PCI总线进行数据传输,利用内存反射技术,实现数据的存储转发。
[0033]所述的外网处理机和内网处理机是对称结构,都至少包括:处理器、存储器、以太网口以及相关安全模块;其中所述的处理器为高性能嵌入式处理器,以太网口至少包括一个千兆网口和一百兆网口,所述的千兆网口用于连接外部网络或内部网络,所述的百兆网口用于连接管理配置主机。
[0034]所述的相关安全模块以插件模式安装在所述的装置中,至少包括访问控制模块、标准协议检查模块、专有协议安全引擎、内容过滤模块。
[0035]所述的专有协议安全引擎,至少包括工业控制网络常用的OPC、Modbus/TCP协议安全引擎。
[0036]所述的OPC协议安全引擎包括以下特征:
[0037]a.采用工业协议的通讯跟踪技术,动态跟踪OPC服务器分配的TCP或UDP端口,动态打开打开端口实现数据通信;同时根据应用场景数据传输情况,采用动态自适应开关算法设置端口打开的时间,超过时间上限,就认定无效通讯,进行后续的处理;
[0038]b.采用协议完整性检查方法,按照OPC Classic标准格式对捕获的OPC数据进行深度检查,不符合的OPC数据请求被阻止;
[0039]c.采用数据加密与校验算法,保证OPC数据的安全性。其中,所述的OPC数据加密与校验算法包括通过RPC/0PC头和尾加入数据CRC校验位及加密算法。
[0040]所述的Modbus/TCP协议安全引擎包括Modbus/TCP协议深度包检测。它能够深入协议内部,指定允许的Modbus命令、寄存器和线圈列表,自动阻止并报告不符合安全规则的通讯,检查并阻止不符合Modbus通信协议的通讯内容。
[0041]所述的内容过滤模块包括基于关键词匹配与语义匹配的混合过滤模型。该过滤模型基于具体的工业控制网络应用,来提取相关的关键字和语义表。
[0042]所述的隔离交换单元包括内部安全控制板和外部安全控制板,如图2所示,每块安全控制板包含各自的FPGA芯片和双端口缓存芯片,且两块安全控制板通过LVDS总线相连;其中FPGA内部具有数据完整性校验模块和/或数据压缩和/或加密模块,且对用户透明,保证了数据交换的安全性。
[0043]安全隔离技术均采用专用隔离硬件的设计完成隔离功能,硬件设计保证在任意时刻网络间的链路层断开,阻断TCP/IP协议以及其他网络协议;同时该硬件不提供编程软接口,不受系统控制,仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权,隔离硬件工作在系统的最底层,保证即使系统硬件出现故障也不会导致安全问题产生。
[0044]总线控制技术的实现采用双端口的静态存储器DPRAM,配合基于独立的FPGA控制电路,通过组合逻辑电路来实现两个端口控制的逻辑开关,双端口各自通过逻辑开关连接到独立的主机上,DPRAM提供了 2个完全独立的端口,每个端口分别有自己的控制线、地址线和I/O数据线。2个CPU可以独立地读写任一 DPRAM单元。双端口 SRAM是连接两块主板的唯一通道。
[0045]数据转发是通过PCI总线共享存储区的方式来实现的。PCI设备是以总线命令的方式实现对信号传输控制的。PCI接口控制是作为一个转换接口,工作于PCI总线与用户FPGA内部FIFO之间,其主要功能是起一个桥梁作用,完成FPGA内的存储器与PCI总线间的信息传递。
[0046]PCI总线接口的开发采用FPGA作为开发平台,其优点在于灵活的可编程性,首先PCI接口可以依据插卡功能进行最优化,而不必实现所有的PCI功能,这样可以节约系统的逻辑资源。而且,用户可以将PCI插卡上的其他用户逻辑与PCI接口逻辑集成在一个芯片上,实现紧凑的系统设计。当系统升级时,只需要对可编程器件重新进行逻辑设计。
[0047]双通道设计是为了最大限度提高安全隔离交换装置的数据交换速度,本发明采用两个双端口 SRAM分别作为内外安全控制板的两个缓冲区,实现双单向传输,即双通道实时数据传输。这种双缓存双通道结构的隔离交换单元包括内、外两块安全控制板,每块安全控制板包含各自的FPGA和缓存。两块安全控制板之间通过LVDS总线相连。LVDS,是一种差分数据传输技术,具有速度快、功耗小、抗干扰性强等特点。外网处理机与内网处理机之间的数据吞吐量与PCI总线相同,即在33MHz PCI时钟频率下,32位PCI并行数据总线的理论峰值数据吞吐量为32bit*33MHz = 1056Mbps,超过了 lGbps,因此应用LVDS技术可以克服物理层的传输瓶颈,从而实现两个安全域之间的高速通讯。
[0048]如图2所示,以数据从外网流向内网为例说明其工作流程:数据在外网处理机的软件平台上进行访问控制、协议剥离与检查、内容过滤、数据格式封装等操作,然后通过PCI总线进入外部安全控制板;数据同时流入外部安全控制板上的FIFO与FPGA中,在FPGA内部进行数据完整性校验,如果校验通过,则FIFO中的数据通过LVDS串化芯片,TTL信号数据被串化为LVDS差分信号,然后发送到LVDS总线上,通过平衡电缆到达内网的安全控制板上。先进入LVDS解串芯片,数据由LVDS差分信号恢复为TTL信号,在送入内部安全控制板上的FPGA内部进行数据恢复与编码,编码后通过PCI总线进入内部处理机的软件平台进行协议重组及数据处理等操作。
[0049]隔离交换单元读写逻辑如图3所示:定义两个双端口静态存储器(DPRAM)分别为缓存1、缓存2。外网处理机只能通过Kl向缓存I中写入数据及从缓存2中读出数据,而内网处理机只能通过K2从缓存I中读出数据及从缓存2中写入数据,即两个DPRAM只能执行同时“读”或同时“写”的操作,可以通过异或逻辑来实现。
[0050]如图4所示,所述的装置工作过程涉及到两个处理过程,即协议剥离及安全处理流程和协议封装及会话建立流程。信息通过装置传递需要经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网处理机时,首先实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网络安全隔离交换装置;然后,内外网处理机会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网处理机会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换单元处理;隔离交换单元处理通过PCI总线读入数据,在FPGA内部进行数据完整性检验等处理,如果校验通过,则通过对硬件上的存储芯片读写,完成数据交换;数据交换之后,重建TCP/IP协议及应用协议,与内外网建立会话,实现透明传输。这种“静态”的数据传输形态不可执行,不依赖任何通用协议,只能被系统的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。
[0051]其中,纯数据交换方案采用结构化数据交换方式,实现各种不同类型数据(数字、文本、位串)组成的任意结构化数据块的快速连续交换。数据被组织成数据块,数据块按层次结构排列,块由头部和数据体(内容)组成,块类型可以是原子性块(内容是纯数据)或结构化块(内容部分包括一个块列表),该数据块内可构造任何层次化的结构数据;方便数据交换与解析,提供API函数供应用程序调用,如读写函数。
[0052]以上对本发明实施方式提供的技术方案进行了详细的介绍,本文中应用了具体实施例对本发明所实施的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明实施的原理;同时,对于本领域的一般技术人员,本发明实施例,在【具体实施方式】以及应用范围上均有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种工业控制网络安全隔离交换装置,其特征在于:包括外网处理机、内网处理机和隔离交换单元,其中隔离交换单元采用基于总线的双通道结构,与外网处理机、内网处理机通过PCI总线相连; 所述的外网处理机和内网处理机是对称结构,都至少包括:处理器、存储器、以太网口以及相关安全模块;其中,所述的处理器为高性能嵌入式处理器,以太网口至少包括一个千兆网口和一个百兆网口,所述的千兆网口用于连接外部网络或内部网络,所述的百兆网口用于连接管理配置主机;所述的相关安全模块以插件模式安装在所述的装置中,所述的相关安全模块至少包括访问控制模块、标准协议检查模块、专有协议安全引擎、内容过滤模块; 所述的隔离交换单元包括内部安全控制板和外部安全控制板,所述的安全控制板包含各自的FPGA芯片和双端口缓存芯片,且所述的两块安全控制板通过LVDS总线相连;所述的FPGA内部具有数据完整性校验模块和/或数据压缩和/或加密模块,且对用户透明。
2.根据权利要求1所述的工业控制网络安全隔离交换装置,其特征在于:所述的专有协议安全引擎,至少包括工业控制网络常用的OPC、Modbus/TCP协议安全引擎。
3.根据权利要求2所述的工业控制网络安全隔离交换装置,其特征在于:所述的OPC协议安全引擎运行方式如下: a.采用工业协议的通讯跟踪技术,动态跟踪OPC服务器分配的TCP或UDP端口,动态打开打开端口实现数据通信;同时根据应用场景数据传输情况,采用动态自适应开关算法设置端口打开的时间,超过时间上限,就认定无效通讯,进行后续的处理; b.采用协议完整性检查方法,按照OPCClassic标准格式对捕获的OPC数据进行深度检查,不符合的OPC数据请求被阻止; c.采用数据加密与校验算法,保证OPC数据的安全性。
4.根据权利要求3所述的工业控制网络安全隔离交换装置,其特征在于:所述的OPC数据加密与校验算法包括通过RPC/0PC头和尾加入数据CRC校验位及加密算法。
5.根据权利要求2所述的工业控制网络安全隔离交换装置,其特征在于:所述的Modbus/TCP协议安全引擎包括Modbus/TCP协议深度包检测。
6.根据权利要求1所述的工业控制网络安全隔离交换装置,其特征在于:所述的内容过滤模块包括基于关键词匹配与语义匹配的混合过滤模型。
7.根据权利要求1所述的工业控制网络安全隔离交换装置,其特征在于: 所述的装置采用结构化数据交换方式,实现各种不同类型数据,包括数字、文本、位串,组成的任意结构化数据块的连续交换;所述的数据块按层次结构排列,由头部和数据体组成,所述的数据块类型是原子性块或结构化块,所述的数据块内能构造任何层次化的结构数据。
【文档编号】H04L29/06GK104486336SQ201410771706
【公开日】2015年4月1日 申请日期:2014年12月12日 优先权日:2014年12月12日
【发明者】王丽娜, 赵永丽, 孙希艳 申请人:冶金自动化研究设计院