本发明涉及一种解析多协议的安全网关系统及其应用,属于网络安全的技术领域。
背景技术:
近十年来,随着信息技术和物联网技术的迅猛发展,工业控制网络中大量采用通用现场智能仪表和开放式tcp/ip技术,信息化在工业中的应用取得了飞速发展,工业系统的安全隐患问题日益严峻。随着工业专用安全网关技术的成熟,集成有防火墙、vpn、入侵防护、防垃圾数据以及杀毒抗毒等功能的高性能安全网关产品将减少用户的使用复杂度,降低使用成本,并逐渐替代现有的防火墙、防病毒、入侵检测市场。
传统tcp/ip网络欠缺考虑互联互通所必须的通信安全问题。系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对通信安全造成破坏。高性能安全网关产品将促进我国工业数据安全及相关产业的发展,提高目前的网络安全防护水平。针对通信协议的多样化、各种设备的复杂化等问题,目前市场上能够适应多工业系统场景的安全网关设备较少,能够完整适应多种通信协议的解决方案不足。
技术实现要素:
针对现有技术的不足,本发明提供一种解析多协议的安全网关系统。
本发明还提供一种利用上述多协议安全网关系统进行通信的方法。
本发明的技术方案为:
一种解析多协议的安全网关系统,包括上层管理模块、底层过滤保护模块和数据库模块;
所述上层管理模块采用web交互配置服务器,运用lamp开放式源码搭建,采用b/s架构设计;所述上层管理模块实现用户设置、系统参数设置、通信策略设置和通过web界面进行设备日志查询;所述用户设置包括用户添加和用户删除;所示系统参数设置包括设置网关参数、串口信息和网口信息;受保护的设备按设置的通信策略进行工作;所述设备日志查询包括设备日志的查询与设备日志的删除;具有良好的人机体验,很好的体现了交互式特点。用户设置即对用户进行管理。
所述底层过滤保护模块实现源ip地址、目的ip地址的过滤,通信协议的解析,与所述通信策略的交互;对受保护的设备进行配置,记录设备日志并存储于数据库模块中;
所述数据库模块对底层过滤保护模块的设备日志进行存储,与上层应用程序交互呈现;所述数据库模块将上层设置与底层配置进行联动,由上层的web界面呈现,上层管理模块设置的系统参数、通信策略通过所述数据库模块传递给底层执行。
根据本发明优选的,所述用户包括管理员和操作员;管理员的权限包括,用户添加和用户删除,修改用户信息、登录口令。
根据本发明优选的,所述上层管理模块通过自身的应用软件实现用户设置、系统参数设置、策略及规则设置和日志查询。
根据本发明优选的,所述设备日志包括操作日志和业务日志,所述设备日志为受保护的设备从相互之间建立连接到完成通信过程的日志。
根据本发明优选的,所述底层过滤保护模块采用linux操作系统;所述数据库模块采用sqlserver数据库设计。
一种利用上述多协议安全网关系统进行通信的方法,包括步骤如下:
1)用户进行身份认证;管理员通过web管理界面进行身份认证,如果身份认证通过,则进入系统配置界面进行系统参数设置、通信策略设置;操作员通过web管理界面登录系统,进行设备操作;
所述底层过滤保护模块在进行数据收发时,首先根据通信策略对源ip和收发的数据进行检验,如果源ip为已配置的可信ip,则建立连接;如果收发的数据为业务数据,则对目的ip地址进行检测,如果目的ip地址为已配置的可信ip地址,则根据通信策略通过主控芯片内的加密算法对发送的报文进行加密,接收端收到报文数据包后,按照通信策略对加密的报文进行解密,并按通信协议将解密得到的报文进行解析过滤,获得报文内容;
根据本发明优选的,管理网与控制网进行数据通信时,基于白名单策略,通过状态检测、智能协议识别或ca数字认证的方式,接收方对发送方的身份信息及报文数据包内容进行了多次验证,实现对边界网络的防护。
根据本发明优选的,所述底层过滤保护模块还将通信过程中的审计日志存入数据库模块。
根据本发明优选的,所述步骤1)中管理员进行身份认证的方式包括,用户名密码及存储用户私钥和数字证书的usbkey的多重身份认证机制。
根据本发明优选的,所述步骤1)中,所述操作员通过用户名密码的方式登录,如果连续3次认证失败,则将设备锁定,重新开机后才能使用,并将认证过程记录至操作日志中。
本发明的有益效果为:
1.本发明所述解析多协议的安全网关系统,应用于管理网与控制网之间,能够很好的形成网间隔离,保证数据传输的安全性;也可应用在控制网内部的不同组件之间,进行控制指令的过滤、检查及阻断,增强了整个通信系统的安全防护能力,保证数据通信的安全性与完整性;
2.本发明所述解析多协议的安全网关系统,采用集成了多种高速的安全算法和通讯接口的soc芯片作为加密芯片,摒弃了传统的数据加解密处理方式,使数据加解密速度大幅提升;
3.本发明所述解析多协议的安全网关系统,能够解析常见的dnp3协议、modbus协议等通信协议,与传统的安全网关相比,可对每台设备配置特定的安全策略,更加有效的阻断了数据修改和其他的非法访问,确保了不同区域间数据交换的安全性。
附图说明
图1为本发明所述为多协议安全网关系统构成图。
具体实施方式
下面结合实施例和说明书附图对本发明做进一步说明,但不限于此。
实施例1
如图1所示。
一种解析多协议的安全网关系统,包括上层管理模块、底层过滤保护模块和数据库模块;
所述上层管理模块采用web交互配置服务器,运用lamp开放式源码搭建,采用b/s架构设计;所述上层管理模块实现用户设置、系统参数设置、通信策略设置和通过web界面进行设备日志查询;所述用户设置包括用户添加和用户删除;所示系统参数设置包括设置网关参数、串口信息和网口信息;受保护的设备按设置的通信策略进行工作;所述设备日志查询包括设备日志的查询与设备日志的删除;具有良好的人机体验,很好的体现了交互式特点。用户设置即对用户进行管理。
所述底层过滤保护模块实现源ip地址、目的ip地址的过滤,通信协议的解析,与所述通信策略的交互;对受保护的设备进行配置,记录设备日志并存储于数据库模块中;
所述数据库模块对底层过滤保护模块的设备日志进行存储,与上层应用程序交互呈现;所述数据库模块将上层设置与底层配置进行联动,由上层的web界面呈现,上层管理模块设置的系统参数、通信策略通过所述数据库模块传递给底层执行。
实施例2
如实施例1所述的解析多协议的安全网关系统,所不同的是,所述用户包括管理员和操作员;管理员的权限包括,用户添加和用户删除,修改用户信息、登录口令。
实施例3
如实施例1所述的解析多协议的安全网关系统,所不同的是,所述上层管理模块通过自身的应用软件实现用户设置、系统参数设置、策略及规则设置和日志查询。
实施例4
如实施例1所述的解析多协议的安全网关系统,所不同的是,所述设备日志包括操作日志和业务日志,所述设备日志为受保护的设备从相互之间建立连接到完成通信过程的日志。
实施例5
如实施例1所述的解析多协议的安全网关系统,所不同的是,所述底层过滤保护模块采用linux操作系统;所述数据库模块采用sqlserver数据库设计。
实施例6
一种利用实施例1-5所述的多协议安全网关系统进行通信的方法,包括步骤如下:
1)用户进行身份认证;管理员通过web管理界面进行身份认证,如果身份认证通过,则进入系统配置界面进行系统参数设置、通信策略设置;操作员通过web管理界面登录系统,进行设备操作;
所述底层过滤保护模块在进行数据收发时,首先根据通信策略对源ip和收发的数据进行检验,如果源ip为已配置的可信ip,则建立连接;如果收发的数据为业务数据,则对目的ip地址进行检测,如果目的ip地址为已配置的可信ip地址,则根据通信策略通过主控芯片内的加密算法对发送的报文进行加密,接收端收到报文数据包后,按照通信策略对加密的报文进行解密,并按通信协议将解密得到的报文进行解析过滤,获得报文内容;
实施例7
如实施例6所述的多协议安全网关系统进行通信的方法,所不同的是,管理网与控制网进行数据通信时,基于白名单策略,通过状态检测、智能协议识别或ca数字认证的方式,接收方对发送方的身份信息及报文数据包内容进行了多次验证,实现对边界网络的防护。
实施例8
如实施例6所述的多协议安全网关系统进行通信的方法,所不同的是,所述底层过滤保护模块还将通信过程中的审计日志存入数据库模块。
实施例9
如实施例6所述的多协议安全网关系统进行通信的方法,所不同的是,所述步骤1)中管理员进行身份认证的方式包括,用户名密码及存储用户私钥和数字证书的usbkey的多重身份认证机制。
实施例10
如实施例6所述的多协议安全网关系统进行通信的方法,所不同的是,所述步骤1)中,所述操作员通过用户名密码的方式登录,如果连续3次认证失败,则将设备锁定,重新开机后才能使用,并将认证过程记录至操作日志中。