CN105721499A - 一种工业通信安全网关的信息安全系统 - Google Patents
一种工业通信安全网关的信息安全系统 Download PDFInfo
- Publication number
- CN105721499A CN105721499A CN201610213824.6A CN201610213824A CN105721499A CN 105721499 A CN105721499 A CN 105721499A CN 201610213824 A CN201610213824 A CN 201610213824A CN 105721499 A CN105721499 A CN 105721499A
- Authority
- CN
- China
- Prior art keywords
- communication
- gateway
- port
- module
- opc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本发明涉及一种信息安全系统,具体涉及一种工业通信安全网关的信息安全系统。本发明通过身份认证、通信权限、数据加密、端口管理和协议检测模块的建立,提高了用户身份的可靠性、通讯范围的可控性、数据访问的安全性。
Description
技术领域
本发明涉及一种信息安全系统,具体涉及一种工业通信安全网关的信息安全系统。
背景技术
OPC作为过程控制的OLE标准,现在已经广泛使用于工业和商业应用,成为世界上使用最广泛的工业整合标准。但是目前该标准中存在一些安全问题。OPCServer并不使用固定的端口,导致OPC不适宜使用传统IT型防火墙进行防护。OPCClassic访问权限过于宽松,使得任意网络中的任意个体都可以运行OPC中的服务,成为一个重大的安全隐患。OPCClassic的基本协议(即DCOM和RPC)极易受到攻击。
发明内容
针对上述问题,本发明提出一种针对OPC通信协议提供网络安全保障的工业通信安全网关信息安全系统。
本发明采取的技术方案为:一种工业通信安全网关的信息安全系统包括身份认证、通信权限、数据加密、端口管理和协议检测模块。
身份认证模块,是指工业通信网络上的OPCClient及OPCServer必须通过在通信安全网关注册,并得到通信安全网关认可后方可进行数据通信。所述注册方式主要有:双方共享的数据,如口令;被认证方拥有的外部物理实体,如智能安全存储介质;被认证方所特有的生物特征,如指纹、语音、虹膜、面相等。
通信权限模块,是指身份认证合法的用户,通信安全网关会赋予用户一定的权限,用户只能在权限范围内进行操作。所述权限范围主要有:一个OPCClient只能访问指定的Sever;Client只能读Sever数据不能修改数据;Sever与Client之间只能单向通信等。
端口管理模块,是指为消除OPC动态端口带来的威胁,采用端口动态管理技术将端口开启的数量减至最小。所述的端口管理模块利用基于超稳定理论的MRAC方法,通过网关实时监测OPC通信的端口开启情况、以及端口开启延时进行学习训练,网关自动形成OPC端口的开启关闭策略,保证及时关闭OPC通信的开启端口,保证通信系统开启端口最小化
协议检测模块,是指网关通过对OPC协议进行深度检测,保证可阻挡任何不符合OPC标准格式的DEC/RPC访问。
数据加密模块,是指对跨越网关的交换数据采用双重加密模式进行传输,具体包括:基于IPsec的VPN隧道传输方式,以及对传输数据采用CA认证方式进行数字证书加密。所述基于IPsec的VPN隧道传输,主要步骤为:启用对IPSEC的支持,创建IKE策略,指定加密算法,指定熵摘要算法,指定DH分组编号,指定SA生存期,指定身份验证算法,对数据包进行加密,创建变换集,制定模式为隧道模式,创建加密图并匹配变换集。所述对传输数据采用CA认证方式进行数字证书加密,主要步骤为:将用户公钥、用户姓名、证书机构名称、证书有效期用哈希算法生成信息摘要,再用CA私钥加密,最终生成数字签名。用户身份信息和数字签名一起组成数字证书。
用户访问时,工业通信网络上的OPCClient及OPCServer用户首先通过口令、智能安全存储介质、指纹、语音、虹膜、面相等方式,在通信安全网关注册成功后被赋予一定权限,用户只能在该权限范围内进行操作。通过协议检测模块对OPC协议进行深度检测,以可阻挡任何不符合OPC标准格式的DEC/RPC访问。为确保数据访问的安全性,对跨越网关的交换数据采用双重加密模式进行传输。具体包括:基于IPsec的VPN隧道传输方式,以及对传输数据采用CA认证方式进行数字证书加密。同时,利用基于超稳定理论的MRAC方法(自适应控制模型),通过网关实时监测OPC通信的端口开启情况、以及端口开启延时进行学习训练,网关自动形成OPC端口的开启关闭策略,保证及时关闭OPC通信的开启端口,保证通信系统开启端口最小化。
本发明通过身份认证、通信权限、数据加密、端口管理和协议检测模块的建立,提高了用户身份的可靠性、通讯范围的可控性、数据访问的安全性。
附图说明
图1为本发明的系统部署图;
图2为身份认证模块工作流程图;
图3为基于IPsec的VPN隧道传输流程图。
具体实施方式
一种工业通信安全网关的信息安全系统,如图1所示,包括身份认证、通信权限、数据加密、端口管理和协议检测模块。
身份认证模块,是指工业通信网络上的OPCClient及OPCServer必须通过在通信安全网关注册,并得到通信安全网关认可后方可进行数据通信,注册流程如图2所示。所述注册方式主要有:双方共享的数据,如口令;被认证方拥有的外部物理实体,如智能安全存储介质;被认证方所特有的生物特征,如指纹、语音、虹膜、面相等。
通信权限模块,是指身份认证合法的用户,通信安全网关会赋予用户一定的权限,用户只能在权限范围内进行操作;
端口管理模块,是指为消除OPC动态端口带来的威胁,采用端口动态管理技术将端口开启的数量减至最小;所述的端口管理模块利用基于超稳定理论的MRAC方法,通过网关实时监测OPC通信的端口开启情况、以及端口开启延时进行学习训练,网关自动形成OPC端口的开启关闭策略。
协议检测模块,是指网关通过对OPC协议进行深度检测,保证可阻挡任何不符合OPC标准格式的DEC/RPC访问;
数据加密模块,是指对跨越网关的交换数据采用双重加密模式进行传输,具体包括:基于IPsec的VPN隧道传输方式以及对传输数据采用CA认证方式进行数字证书加密。如图3所示,所述基于IPsec的VPN隧道传输,主要步骤为:启用对IPSEC的支持,创建IKE策略,指定加密算法,指定熵摘要算法,指定DH分组编号,指定SA生存期,指定身份验证算法,对数据包进行加密,创建变换集,制定模式为隧道模式,创建加密图并匹配变换集。
所述对传输数据采用CA认证方式进行数字证书加密,主要步骤为:将用户公钥、用户姓名、证书机构名称、证书有效期用哈希算法生成信息摘要,再用CA私钥加密,最终生成数字签名,用户身份信息和数字签名一起组成数字证书。
Claims (4)
1.一种工业通信安全网关的信息安全系统,其特征在于:包括身份认证模块、通信权限模块、数据加密模块、端口管理模块、协议检测模块;
身份认证模块,是指工业通信网络上的OPCClient及OPCServer必须通过在通信安全网关注册,并得到通信安全网关认可后方可进行数据通信;
通信权限模块,是指身份认证合法的用户,通信安全网关会赋予用户一定的权限,用户只能在权限范围内进行操作;
端口管理模块,是指为消除OPC动态端口带来的威胁,采用端口动态管理技术将端口开启的数量减至最小;
协议检测模块,是指网关通过对OPC协议进行深度检测,保证可阻挡任何不符合OPC标准格式的DEC/RPC访问;
数据加密模块,是指对跨越网关的交换数据采用双重加密模式进行传输,具体包括:基于IPsec的VPN隧道传输方式以及对传输数据采用CA认证方式进行数字证书加密。
2.根据权利要求1所述的工业通信安全网关的信息安全系统,其特征在于:
所述基于IPsec的VPN隧道传输,主要步骤为:启用对IPSEC的支持,创建IKE策略,指定加密算法,指定熵摘要算法,指定DH分组编号,指定SA生存期,指定身份验证算法,对数据包进行加密,创建变换集,制定模式为隧道模式,创建加密图并匹配变换集。
3.根据权利要求1所述的工业通信安全网关的信息安全系统,其特征在于:
所述对传输数据采用CA认证方式进行数字证书加密,主要步骤为:将用户公钥、用户姓名、证书机构名称、证书有效期用哈希算法生成信息摘要,再用CA私钥加密,最终生成数字签名,用户身份信息和数字签名一起组成数字证书。
4.根据权利要求1所述的工业通信安全网关的信息安全系统,其特征在于:所述的端口管理模块利用基于超稳定理论的MRAC方法,通过网关实时监测OPC通信的端口开启情况、以及端口开启延时进行学习训练,网关自动形成OPC端口的开启关闭策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610213824.6A CN105721499A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信安全网关的信息安全系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610213824.6A CN105721499A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信安全网关的信息安全系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105721499A true CN105721499A (zh) | 2016-06-29 |
Family
ID=56159728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610213824.6A Pending CN105721499A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信安全网关的信息安全系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721499A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
| CN109150906A (zh) * | 2018-09-29 | 2019-01-04 | 贵州大学 | 一种实时数据通信安全方法 |
| CN110213201A (zh) * | 2018-03-01 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 数据安全的处理方法、装置、计算机设备及存储介质 |
| CN110245479A (zh) * | 2018-03-07 | 2019-09-17 | 上海箩箕技术有限公司 | 电子设备 |
| CN110648065A (zh) * | 2019-09-23 | 2020-01-03 | 盘锦检验检测中心 | 一种检验检疫设备的数据管理平台 |
| CN110730178A (zh) * | 2019-10-21 | 2020-01-24 | 广州海颐信息安全技术有限公司 | 动态控制特权系统端口和策略开放的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247391A (zh) * | 2007-12-28 | 2008-08-20 | 上海电力学院 | Opc安全代理系统及其代理方法 |
| CN102891795A (zh) * | 2012-10-11 | 2013-01-23 | 上海金自天正信息技术有限公司 | 一种工业安全通信网关 |
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
-
2016
- 2016-04-07 CN CN201610213824.6A patent/CN105721499A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247391A (zh) * | 2007-12-28 | 2008-08-20 | 上海电力学院 | Opc安全代理系统及其代理方法 |
| CN102891795A (zh) * | 2012-10-11 | 2013-01-23 | 上海金自天正信息技术有限公司 | 一种工业安全通信网关 |
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
| CN110213201A (zh) * | 2018-03-01 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 数据安全的处理方法、装置、计算机设备及存储介质 |
| CN110213201B (zh) * | 2018-03-01 | 2021-09-10 | 腾讯科技(深圳)有限公司 | 数据安全的处理方法、装置、计算机设备及存储介质 |
| CN110245479A (zh) * | 2018-03-07 | 2019-09-17 | 上海箩箕技术有限公司 | 电子设备 |
| CN109150906A (zh) * | 2018-09-29 | 2019-01-04 | 贵州大学 | 一种实时数据通信安全方法 |
| CN110648065A (zh) * | 2019-09-23 | 2020-01-03 | 盘锦检验检测中心 | 一种检验检疫设备的数据管理平台 |
| CN110730178A (zh) * | 2019-10-21 | 2020-01-24 | 广州海颐信息安全技术有限公司 | 动态控制特权系统端口和策略开放的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721499A (zh) | 一种工业通信安全网关的信息安全系统 | |
| WO2018214165A1 (zh) | 通信方法、装置、系统、电子设备及计算机可读存储介质 | |
| CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| Adeel et al. | A multi‐attack resilient lightweight IoT authentication scheme | |
| CN105282179B (zh) | 一种基于cpk的家庭物联网安全控制的方法 | |
| CN103441991A (zh) | 一种移动终端安全接入平台 | |
| CN105162808B (zh) | 一种基于国密算法的安全登录方法 | |
| Yetis et al. | Blockchain based secure communication for IoT devices in smart cities | |
| CN102594823A (zh) | 一种远程安全访问智能家居的可信系统 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN108880995B (zh) | 基于区块链的陌生社交网络用户信息及消息推送加密方法 | |
| CN114867014B (zh) | 一种车联网访问控制方法、系统、介质、设备及终端 | |
| WO2023236551A1 (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
| CN105049448B (zh) | 单点登录装置和方法 | |
| CN202652534U (zh) | 移动终端安全接入平台 | |
| CN115865320A (zh) | 一种基于区块链的安全服务管理方法及系统 | |
| CN106230840B (zh) | 一种高安全性的口令认证方法 | |
| Hussain et al. | An efficient and reliable user access protocol for Internet of Drones | |
| CN116760633B (zh) | 一种安全可信物理网网关的实现方法 | |
| Mishra et al. | ACKS-IA: An Access Control and Key Agreement Scheme for Securing Industry 4.0 Applications | |
| Kou et al. | A Privacy protection scheme for carpooling service using fog computing | |
| Zou et al. | Information Security Transmission Technology in Internet of Things Control System. | |
| Walz et al. | PROFINET Security: A Look on Selected Concepts for Secure Communication in the Automation Domain | |
| CN103532958A (zh) | 一种对网站资源进行加密的方法 | |
| Tabane et al. | Is there a room for security and privacy in IoT? |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160629 |