1.一种基于状态的工业安全加密网关,其特征在于,包括状态包过滤模块、VPN隧道模块、工控协议引擎模块;其中,
所述状态包过滤模块,用于对工控数据包的过滤并建立和维护工控状态表信息,状态表信息包括正向和反向连接信息;
所述VPN隧道模块,用于VPN隧道的协商和对工控数据包的加密和隧道封装;
所述工控协议引擎模块,用于对从内核送上来的数据包进行深度解析,根据用户配置的过滤规则,如果是允许的工控协议,则通知内核进行转发并下发连接表信息,否则下发阻断信息。
2.根据权利要求1所述的基于状态的工业安全加密网关,其特征在于,所述状态包过滤模块具体包括:
与工控协议引擎模块通信单元,用于接收工控协议引擎模块发送的数据信息,包括连接表信息的建立和删除信息、VPN隧道配置信息;
状态表维护单元,用于对状态表的维护,包括根据从工控协议引擎模块接收到的正向连接信息自动建立反向连接信息和状态表的超时管理。
3.根据权利要求1所述的基于状态的工业安全加密网关,其特征在于,所述VPN隧道模块具体包括:
VPN隧道协商单元,用于两台工控网关之间建立VPN隧道,其中每条VPN隧道只负责一种工控协议数据的加密传输,不同的工控协议分别协商不同的隧道;
VPN隧道封装单元,用于对工控协议数据的加密封装和解密。
4.根据权利要求1所述的基于状态的工业安全加密网关,其特征在于,所述工控协议引擎模块具体包括:
与状态包过滤模块通信单元,用于向状态包过滤模块下发连接信息,包括连接表信息的建立和删除信息、VPN隧道配置信息;
安全策略管理单元,用于管理用户配置的安全规则信息;
协议解析单元,用于解析从内核接收到的数据包是否为工控协议信息,如果是则根据用户配置的安全策略进行转发或阻断并向状态包过滤模块下发连接信息,否则直接阻断。
5.根据权利要求1所述的基于状态的工业安全加密网关,其特征在于,所述VPN加密封装方式为IPSec方式。
6.根据权利要求1所述的基于状态的工业安全加密网关,其特征在于,所述VPN隧道协商过程严格遵循国家密码管理局发布的《IPSec VPN技术规范》。
7.一种如权利要求1-6任一所述的基于状态的工业安全加密网的实现方法,其特征在于,包括以下步骤:
S302、加密网关接收到数据包;
S304、判断收到的数据包是否为VPN加密封装报文,若是,则进入S306步骤,否则,则进入S310步骤;
S306、根据收到的VPN加密封装报文在本地查找安全联盟SA,查找成功,则进入S308步骤,否则,则进入S334步骤,直接丢弃数据包;
S308、对收到的VPN加密封装报文进行解密,并将解密后的数据包重新入栈;
S310、根据收到的数据包五元组在内核查询状态表,此处的数据包包括两种,一种是客户端发送的明文报文,一种是经过VPN解密后的报文,查找成功,则进入S322步骤,否则,进入S312步骤;
S312、将收到的数据包上传给上层工控协议解析引擎模块进行协议解析;
S314、工控协议解析成功,并且规则为允许,则进入S316步骤,否则,进入S344步骤,直接丢弃数据包;
S316、根据解析结果,下发连接信息和隧道信息给状态包过滤模块;
S318、状态包过滤模块接收到工控协议引擎模块发送的连接信息建立状态表,包括正向和反向连接信息和隧道信息;
S320、判断当前的数据包是否为VPN解密后的数据包,如果是,则进入S332步骤,直接进行转发,否则,则进入S324步骤;
S322、同步骤S320;
S324、判断当前要使用的隧道是否已经建立成功,如果是,则进入S328步骤,否则,则进入S326步骤;
S326、进行IPSec VPN隧道协商,此处协商协议使用国家秘密管理局指定的《IPSec VPN技术规范》进行协商,并且每种协议使用不同的隧道;
S328、根据状态表中记录的隧道信息对数据包进行加密和隧道封装,此处数据加密采用国密算法;
S330、将加密封装后的数据包按照VPN路由进行转发。