P 头 IUDP 头 I 管理帧头 I SSH 信息 md5checksum
[0068]-前三个协议头与discovery包一致,略过。
[0069]- SSH INFO:内容包括
[0070]ο MP identifier,表示与FW通信的MP,全局唯一,保证此MP已经发现FW
[0071]。FW identifier,表示要与这个FW进行连接
[0072]ο连接端口,MP将要使用那个端口连接FW
[0073]- Checksum:用来验证payload是否正确
[0074]此时,在后续10秒内MP通过向下游设备AD发起SSH连接,就可以连接到FW上。SSH通道可以用FW上相应的用户空间工具来配置FW。当前采用的密钥方式为预共享密钥方式,UDP包的加密采用对称加密方式如AES, DES等。SSH建立过程中采用Diffie-Hellman密匙交换加密信道,RSA公钥认证方式。连接建立后,通过SSH连接将MP的公钥传给FW,保证此FW只能允许对应MP进行管理。后续可以采用CA证书认证方式,避免重构报文在传输中途被黑客截获破解的可能性。
[0075]本发明对比现有技术有如下的有益效果:本发明使用的工控防火墙,由于没有IP地址,工控防火墙在网络上变成一个透明的设备,即病毒和黑客软件均无法通过扫描网络找到该设备,大大增强了防火墙本身的安全性和工控网络的健壮性;并且由于该方法使得工控防火墙没有IP地址,在工业控制网络中安装配置的时候不需要重新配置网络,即插即用,不要中断工业控制网络,对生产过程几乎没有影响,增加了工控防火墙使用中的稳定性和可靠性。
[0076]虽然本发明已以较佳实施例揭示如上,然其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围内,当可作些许的修改和完善,因此本发明的保护范围当以权利要求书所界定的为准。
【主权项】
1.一种基于报文重构的工控防火墙控制方法,包括防火墙管理平台、工控防火墙和至少一个工控设备,其中,所述工控防火墙设置在所述防火墙管理平台和所述工控设备之间并且将网络分割为所述工控设备所在的内网和所述防火墙管理平台所在的外网,所述防火墙管理平台和所述工控防火墙之间设置有保证所述防火墙管理平台和所述工控防火墙之间通信安全的安全防护模块,其特征在于,所述控制方法包括以下步骤: 所述防火墙管理平台向所述工控设备发送由所述安全防护模块加密的第一数据报文; 所述工控防火墙截取所述第一数据报文; 所述工控防火墙判断所述第一数据报文是否满足第一预设条件; 当所述第一数据报文不满足第一预设条件时,阻止所述第一数据报文的传送; 当所述第一数据报文满足第一预设条件时,所述工控防火墙判断所述第一数据报文是否满足第二预设条件; 当所述第一数据报文满足第二预设条件时,所述工控防火墙发送确认收到信息给防火墙管理平台; 建立所述防火墙管理平台和所述工控防火墙之间的连接。
2.根据权利要求1所述的基于报文重构的工控防火墙控制方法,其特征在于,所述第一预设条件是指所述第一数据报文的端口号是指定端口号,所述第二预设条件是指所述第一数据报文是指定数据包。
3.根据权利要求2所述的基于报文重构的工控防火墙控制方法,其特征在于,所述工控防火墙判断所述第一数据报文是否满足第二预设条件的步骤包括将所述第一数据报文发送到所述工控防火墙的内核,由一个内置引擎来判断所述第一数据报文是否是指定数据包。
4.根据权利要求2所述的基于报文重构的工控防火墙控制方法,其特征在于,所述指定数据包包括IP头单元、UDP头单元、管理帧头单元、防火墙管理平台信息单元、校验信息单元,其中, 所述IP头单元包括所述防火墙管理平台发往所述工控设备的IP头; 所述UDP头单元包括发往所述工控设备的指定端口的UDP头; 所述管理帧头单元包括用于指示所述指定数据包类型的字段以及用于指示当前防火墙管理平台发往所述工控设备的包序号; 所述防火墙管理平台信息单元包括表示与所述工控防火墙通信的所述防火墙管理平台的字段、当前与所述工控防火墙通信的所述防火墙管理平台的型号的字段以及当前与所述工控防火墙通信的所述防火墙管理平台的版本号的字段; 所述校验信息单元包括用于验证所述指定数据包是否完整正确。
5.根据权利要求2所述的基于报文重构的工控防火墙控制方法,其特征在于,所述确认收到信息包括IP头单元、UDP头单元、管理帧头单元、防火墙管理平台信息单元、校验信息单元,其中, 所述IP头单元包括所述工控防火墙模拟所述工控设备发送给所述防火墙管理平台的包头; 所述UDP头单元包括所述工控防火墙模拟所述工控设备使用所述指定端口号会送给所述防火墙管理平台的对应端口; 所述管理帧头单元包括用于指示所述指定数据包类型的字段以及用于指示当前防火墙管理平台发往所述工控设备的包序号; 所述防火墙管理平台信息单元包括表示与所述工控防火墙通信的所述防火墙管理平台的字段、当前与所述防火墙管理平台通信的所述工控防火墙的型号的字段以及当前与所述防火墙管理平台通信的所述工控防火墙的版本号的字段; 所述校验信息单元包括用于验证所述确认收到信息是否完整正确。
6.根据权利要求1所述的基于报文重构的工控防火墙控制方法,其特征在于,在所述防火墙管理平台向所述工控设备发送由所述安全防护模块加密的第一数据报文的步骤之前,还包括: 所述防火墙管理平台向所述工控防火墙发送由所述安全防护模块加密的第二数据报文; 所述工控防火墙截取所述第二数据报文; 所述工控防火墙判断所述第二数据报文是否满足预设条件; 当所述第二数据报文不满足所述预设条件时,阻止所述第二数据报文的传送; 当所述第二数据报文满足所述预设条件时,在一定时间阈值内,使能相应的防火墙管理平台的IP/端口的TCP连接到所述工控防火墙的安全防护模块的守护进程。
7.根据权利要求6所述的基于报文重构的工控防火墙控制方法,其特征在于,所述预设条件包括所述防火墙管理平台是第一次接受管理或是已经授权过的,所述工控防火墙判断所述第二数据报文是否满足预设条件的步骤包括:将所述第二数据报文发送到所述工控防火墙的内核,由一个内置引擎来判断所述第二数据报文是否表示所述防火墙管理平台是第一次接受管理或是已经授权过的。
8.根据权利要求6所述的基于报文重构的工控防火墙控制方法,其特征在于,还包括: 在所述时间阈值之后,禁止建立新连接;仅根据所述工控设备的MAC/IP建立二层和三层的目的地址转换和源地址转换。
9.根据权利要求6所述的基于报文重构的工控防火墙控制方法,其特征在于,所述第二数据报文包括IP头单元、UDP头单元、管理帧头单元、安全防护模块信息单元、校验信息单元,其中, 所述IP头单元包括所述防火墙管理平台发往所述工控设备的IP头; 所述UDP头单元包括发往所述工控设备的指定端口的UDP头; 所述管理帧头单元包括用于指示所述指定数据包类型的字段以及用于指示当前防火墙管理平台发往所述工控设备的包序号; 所述安全信息模块信息单元包括表示与所述工控防火墙通信的所述防火墙管理平台的字段、表示与所述工控防火墙进行连接的字段以及表示所述防火墙管理平台使用指定端口连接所述工控防火墙的字段; 所述校验信息单元包括用于验证所述第二数据报文是否完整正确。
10.根据权利要求1所述的基于报文重构的工控防火墙控制方法,其特征在于,所述安全防护模块采用预共享秘钥方式或CA证书认证方式,所述预共享秘钥方式包括对称加密方式、Diffie-Hellman密匙交换加密信道和RSA公钥认证方式。
【专利摘要】本发明公开了一种基于报文重构的工控防火墙控制方法,包括防火墙管理平台、工控防火墙和至少一个工控设备,所述防火墙管理平台向所述工控设备发送由所述安全防护模块加密的第一数据报文;所述工控防火墙截取所述第一数据报文;所述工控防火墙判断所述第一数据报文是否满足预设条件;当所述第一数据报文满足预设条件时,所述工控防火墙发送确认收到信息给防火墙管理平台;建立所述防火墙管理平台和所述工控防火墙之间的连接。本发明的工控防火墙控制方法,由于工控防火墙没有IP地址,工控防火墙在网络上变成一个透明的设备,即病毒和黑客软件均无法通过扫描网络找到该设备,大大增强了防火墙本身的安全性和工控网络的健壮性。
【IPC分类】H04L9-32, H04L29-06
【公开号】CN104717205
【申请号】CN201510057327
【发明人】唐栎
【申请人】上海展湾信息科技有限公司
【公开日】2015年6月17日
【申请日】2015年2月4日