一种基于状态的工业安全加密网关及其实现方法与流程

文档序号：12477841阅读：420来源：国知局

本发明涉及工业信息安全技术领域，具体是一种基于状态的工业安全加密网关及其实现方法。

背景技术：

随着信息技术和网络技术在工业系统中应用的普及，工业信息系统的安全问题是当前工业信息系统的面临的直接威胁，目前市场上的工控防火墙只实现了对工控协议的简单过滤，由于工控协议种类多，协议差异大，所以一般的工控防火墙都是在应用层进行协议过滤，带来的问题就是性能低并且安全性无法保证，数据包很容易被篡改，对工业信息系统的安全有很大威胁。

工业信息安全需求已经迫在眉睫，本发明结合传统安全相关技术，针对工业信息系统的特点，发明一种基于状态的工业安全加密网关，通过一个工控协议解析引擎对连接信息进行解析后将连接信息下发给内核，数据直接在内核进行加密传输，提升系统性能，解决工业信息系统安全问题。

技术实现要素：

本发明的目的在于提供一种基于状态的工业安全加密网关及其实现方法，以解决工业信息系统中数据的安全传输问题。

为实现上述目的，本发明提供如下技术方案：

一种基于状态的工业安全加密网关，包括状态包过滤模块、VPN隧道模块、工控协议引擎模块；其中，所述状态包过滤模块，用于对工控数据包的过滤并建立和维护工控状态表信息，状态表信息包括正向和反向连接信息；所述VPN隧道模块，用于VPN隧道的协商和对工控数据包的加密和隧道封装；所述工控协议引擎模块，用于对从内核送上来的数据包进行深度解析，根据用户配置的过滤规则，如果是允许的工控协议，则通知内核进行转发并下发连接表信息，否则下发阻断信息。

作为本发明进一步的方案：所述状态包过滤模块具体包括：与工控协议引擎模块通信单元，用于接收工控协议引擎模块发送的数据信息，包括连接表信息的建立和删除信息、VPN隧道配置信息；状态表维护单元，用于对状态表的维护，包括根据从工控协议引擎模块接收到的正向连接信息自动建立反向连接信息和状态表的超时管理。

作为本发明再进一步的方案：所述VPN隧道模块具体包括：VPN隧道协商单元，用于两台工控网关之间建立VPN隧道，其中每条VPN隧道只负责一种工控协议数据的加密传输，不同的工控协议分别协商不同的隧道；VPN隧道封装单元，用于对工控协议数据的加密封装和解密。

作为本发明再进一步的方案：所述工控协议引擎模块具体包括：与状态包过滤模块通信单元，用于向状态包过滤模块下发连接信息，包括连接表信息的建立和删除信息、VPN隧道配置信息；安全策略管理单元，用于管理用户配置的安全规则信息；协议解析单元，用于解析从内核接收到的数据包是否为工控协议信息，如果是则根据用户配置的安全策略进行转发或阻断并向状态包过滤模块下发连接信息，否则直接阻断。

作为本发明再进一步的方案：所述VPN加密封装方式为IPSec方式。

作为本发明再进一步的方案：所述VPN隧道协商过程严格遵循国家密码管理局发布的《IPSec VPN技术规范》。

作为本发明再进一步的方案：所述的基于状态的工业安全加密网的实现方法，包括以下步骤：

S302、加密网关接收到数据包；

S304、判断收到的数据包是否为VPN加密封装报文，若是，则进入S306步骤，否则，则进入S310步骤；

S306、根据收到的VPN加密封装报文在本地查找安全联盟SA,查找成功，则进入S308步骤，否则，则进入S334步骤，直接丢弃数据包；

S308、对收到的VPN加密封装报文进行解密，并将解密后的数据包重新入栈；

S310、根据收到的数据包五元组在内核查询状态表，此处的数据包包括两种，一种是客户端发送的明文报文，一种是经过VPN解密后的报文，查找成功，则进入S322步骤，否则，进入S312步骤；

S312、将收到的数据包上传给上层工控协议解析引擎模块进行协议解析；

S314、工控协议解析成功，并且规则为允许，则进入S316步骤，否则，进入S344步骤，直接丢弃数据包；

S316、根据解析结果，下发连接信息和隧道信息给状态包过滤模块；

S318、状态包过滤模块接收到工控协议引擎模块发送的连接信息建立状态表，包括正向和反向连接信息和隧道信息；

S320、判断当前的数据包是否为VPN解密后的数据包，如果是，则进入S332步骤，直接进行转发，否则，则进入S324步骤；

S322、同步骤S320；

S324、判断当前要使用的隧道是否已经建立成功，如果是，则进入S328步骤，否则，则进入S326步骤；

S326、进行IPSec VPN隧道协商，此处协商协议使用国家秘密管理局指定的《IPSec VPN技术规范》进行协商，并且每种协议使用不同的隧道；

S328、根据状态表中记录的隧道信息对数据包进行加密和隧道封装，此处数据加密采用国密算法；

S330、将加密封装后的数据包按照VPN路由进行转发。

与现有技术相比，本发明的有益效果是：

(1)通过一个独立的工控协议引擎模块对工控协议进行解析，解析成功后将解析结果下发给内核；

(2)内核通过独立的状态包过滤模块进行数据加密和传输，保证数据的安全性和高吞吐率；

(3)VPN隧道协商采用国密局指定的《IPSec VPN技术规范》，符合我国国情。

附图说明

图1为基于状态的工业安全加密网关的部署图。

图2为基于状态的工业安全加密网关的工作原理图。

图3为基于状态的工业安全加密网关的实现方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1～3，本发明实施例中，一种基于状态的工业安全加密网关，包括状态包过滤模块、VPN隧道模块、工控协议引擎模块。

所述状态包过滤模块，用于对工控数据包的过滤并建立和维护工控状态表信息，状态表信息包括正向和反向连接信息；所述状态包过滤模块包括与工控协议引擎模块通信单元、状态表维护单元；所述与工控协议引擎模块通信单元用于接收工控协议引擎模块发送的数据信息，包括连接表信息的建立和删除信息、VPN隧道配置信息；所述状态表维护单元用于对状态表的维护，包括根据从工控协议引擎模块接收到的正向连接信息自动建立反向连接信息和状态表的超时管理。

所述VPN隧道模块，用于VPN隧道的协商和对工控数据包的加密和隧道封装；所述VPN隧道模块包括VPN隧道协商单元和VPN隧道封装单元；所述VPN隧道协商单元用于两台工控网关之间建立VPN隧道，其中每条VPN隧道只负责一种工控协议数据的加密传输，不同的工控协议分别协商不同的隧道；所述VPN隧道封装单元用于对工控协议数据的加密封装和解密；VPN加密封装方式为IPSec方式；所述VPN隧道协商过程严格遵循国家密码管理局发布的《IPSec VPN技术规范》。

所述工控协议引擎模块，用于对从内核送上来的数据包进行深度解析，根据用户配置的过滤规则，如果是允许的工控协议，则通知内核进行转发并下发连接表信息，否则下发阻断信息；所述工控协议引擎模块包括与状态包过滤模块通信单元、安全策略管理单元和协议解析单元，所述与状态包过滤模块通信单元用于向状态包过滤模块下发连接信息，包括连接表信息的建立和删除信息、VPN隧道配置信息；所述安全策略管理单元用于管理用户配置的安全规则信息；所述协议解析单元用于解析从内核接收到的数据包是否为工控协议信息，如果是则根据用户配置的安全策略进行转发或阻断并向状态包过滤模块下发连接信息，否则直接阻断。

所述的基于状态的工业安全加密网进行工业控制信息传输的过程包括以下步骤：