CN108322484A - 一种工控数据摆渡系统 - Google Patents

一种工控数据摆渡系统 Download PDF

Info

Publication number
CN108322484A
CN108322484A CN201810323236.7A CN201810323236A CN108322484A CN 108322484 A CN108322484 A CN 108322484A CN 201810323236 A CN201810323236 A CN 201810323236A CN 108322484 A CN108322484 A CN 108322484A
Authority
CN
China
Prior art keywords
data
protocol
data packet
industry control
application layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810323236.7A
Other languages
English (en)
Inventor
袁键
陈夏裕
施靖萱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Original Assignee
Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd filed Critical Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Priority to CN201810323236.7A priority Critical patent/CN108322484A/zh
Publication of CN108322484A publication Critical patent/CN108322484A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种工控数据摆渡系统,涉及工业数据摆渡安全的技术领域,包括:终端设备、协议过滤装置、工控隔离网闸、第一工控防火墙、第一交换机和第一工控加密机;协议过滤装置与工控隔离网闸连接,用于检查数据包使用的应用层协议是否安全;工控隔离网闸与第一交换机连接,用于安全传输数据包;第一工控防火墙与第一交换机连接,用于检查数据包使用的应用层及网络层协议是否安全;第一工控加密机与第一工控防火墙连接,用于加密数据包内的应用层数据。以解决现有技术中工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为的技术问题,确保攻击者无法通过嗅探或中间人等攻击手段获取到业务数据,无法对数据进行篡改,保障了数据的完整性和机密性。

Description

一种工控数据摆渡系统
技术领域
本发明涉及工业数据摆渡安全技术领域,尤其是涉及一种工控数据摆渡系统。
背景技术
工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素,工业控制系统面临工业控制协议缺乏安全性考虑,工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为。
发明内容
有鉴于此,本发明的目的在于提供一种工控数据摆渡系统,以解决现有技术中工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为的技术问题。
第一方面,本发明实施例提供了一种工控数据摆渡系统,包括:终端设备、协议过滤装置、工控隔离网闸、第一工控防火墙、第一交换机、第一工控加密机和第二交换机;
所述终端设备与所述协议过滤装置连接,利用其支持协议封装第一应用层数据得到第一数据包,向所述协议过滤器发送第一数据包;
所述协议过滤装置与所述工控隔离网闸连接,所述协议过滤装置内设有第一协议白名单,解析第一数据包应用层协议,若使用的应用层协议为第一协议白名单中协议,将所述第一数据包发送至工控隔离网闸;
所述工控隔离网闸与所述第一交换机连接,所述工控隔离网闸用于安全传输数据包,解析所述第一数据包得到所述第一应用层数据,将所述第一应用层数据利用第一交换机支持的协议封装所述第一应用层数据得到第二数据包,并将所述第二数据包发送至第一交换机;
所述第一交换机向所述第一工控防火墙发送所述第二数据包;
所述第一工控防火墙与所述第一交换机连接,所述第一工控防火墙内设有第二协议白名单,解析所述第二数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一工控加密机发送所述第二数据包;
所述第一工控加密机与所述第一工控防火墙连接,所述第一工控加密机解析所述第二数据包得到所述第一应用层数据,利用加密算法对所述第一应用层数据加密得到第一加密数据,利用预设协议封装所述第一加密数据得到第三数据包,向所述第二交换机发送所述第三数据包。
其中,所述协议过滤装置解析任一数据包的应用层协议,若使用的应用层协议不在所述第一协议白名单中,将所述数据包拦截。同时还可以通过创建协议黑名单的方法达到预警和查漏的目的,例如:当所述待检测协议不位于所述协议白名单中,将所述待检测协议存入协议黑名单中。判断所述协议黑名单中每个工控协议的写入次数是否超过预设阈值;若存在任一工控协议的写入次数超过预设阈值,发出协议验证提示,以提示工作人员验证所述工控协议的安全性;在接收到工作人员输入的安全性验证通过操作时,将所述工控协议从所述协议黑名单中删除,并将所述工控协议写入所述协议白名单。创建协议黑名单可以用于将协议黑名单共享,以实现提前预防攻击者使用协议黑名单中的不安全协议封装数据包攻击服务器,并设计一种阈值机制,若存在任一工控协议的写入次数超过预设阈值,发出协议验证提示,以提示工作人员验证所述工控协议的安全性,防止出现工作人员将协议录入协议白名单时出现遗漏掉安全的协议的情况。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述的工控数据摆渡系统还包括:第二工控加密机和第二工控防火墙;
所述第二工控加密机与所述第二工控防火墙连接,所述第二工控加密机解析所述第三数据包得到所述第一加密数据,利用解密算法对所述第一加密数据解密得到第一应用层数据,利用预设协议封装所述第一应用层数据得到第四数据包,并将所述第四数据包发送给所述第二工控防火墙;
所述第二工控防火墙内设有第二协议白名单,解析所述第四数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二交换机发送所述第四数据包。
其中,工控防火墙是针对目前工控系统的特点,在传统工控防火墙功能基础上专门针对PLC、DCS、SCADA等工控环境研发的安全防护产品。其工控协议深度包解析技术不仅对二层、三层网络协议进行解析,更能进一步解析到工控网络包的应用层,可对OPC、Modbus、DNP3、IEC104、S7、Profinet等工控协议进行深度分析,防止应用层协议被篡改或破坏。
其中,工控加密机是在控制系统的基础上增加的功能安全层,通过对消息使用加密函数和哈希链,同时也能够支持国密SM4、AES、3DES、CAST5等多种加密算法增强工控协议的认证和加密传输功能,从而使攻击者无法进行伪装,无法篡改传输指令,无需改变底层传输协议,即可实现系统的传输安全。加密机用于保护端到端通信的认证安全,保护数据的完整性和保密性。加密机从应用层中获取过程数据,通过加密算法对过程数据进行加密,确保无法通过嗅探或中间人等攻击手段获取到业务数据,无法对数据进行篡改,保障了数据的完整性和机密性。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述第二工控防火墙还用于接收所述第二交换机发送的第五数据包,解析所述第五数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二工控加密机发送所述第五数据包。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述第二工控加密机还用于解析所述第五数据包得到所述第二应用层数据,利用加密算法对所述第二应用层数据加密得到第二加密数据,利用预设协议封装所述第二加密数据得到第六数据包,并将所述第六数据包发送给所述第一工控加密机。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述第工控一加密机还用于解析所述第六数据包得到所述第二应用层数据,利用解密算法对所述第二加密数据解密得到第二应用层数据,利用预设协议封装所述第二应用层数据得到第七数据包,向所述第一工控防火墙发送所述第七数据包。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述第一工控防火墙还用于解析所述第七数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一交换机发送所述第七数据包。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述工控隔离网闸还用于解析所述第七数据包得到所述第二应用层数据,将所述第二应用层数据利用终端设备支持的协议封装所述第二应用层数据得到第八数据包,并将所述第八数据包发送给协议过滤器。
其中,所述工控隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
结合第一方面,本发明实施例提供了第一方面的第七种可能的实施方式,其中,所述协议过滤装置还用于解析第八数据包应用层协议,若使用的应用层协议为所述第一协议白名单中协议,将所述第八数据包发送至终端设备。
第二方面,本发明实施例还提供一种工控数据摆渡系统,包括:终端设备、协议过滤装置、工控隔离网闸、第一工控防火墙、第一交换机、第一工控加密机、第二交换机、第二工控防火墙和第二工控加密机;
所述终端设备与所述协议过滤装置连接,利用其支持协议封装第一应用层数据得到第一数据包,向所述协议过滤器发送第一数据包;以及接收第八数据包;
所述协议过滤装置与所述工控隔离网闸连接,所述协议过滤装置内设有第一协议白名单,解析第一数据包应用层协议,若使用的应用层协议为第一协议白名单中协议,将所述第一数据包发送至工控隔离网闸;以及,解析第八数据包应用层协议,若使用的应用层协议为所述第一协议白名单中协议,将所述第八数据包发送至终端设备;
所述工控隔离网闸与所述第一交换机连接,所述工控隔离网闸用于安全传输数据包,解析所述第一数据包得到所述第一应用层数据,将所述第一应用层数据利用第一交换机支持的协议封装所述第一应用层数据得到第二数据包,并将所述第二数据包发送至第一交换机;以及,解析所述第七数据包得到所述第二应用层数据,将所述第二应用层数据利用终端设备支持的协议封装所述第二应用层数据得到第八数据包,并将所述第八数据包发送给协议过滤器;
所述第一交换机向所述第一工控防火墙发送所述第二数据包;以及,接收第七数据包,并向所述工控隔离网闸发送第七数据包;
所述第一工控防火墙与所述第一交换机连接,所述第一工控防火墙内设有第二协议白名单,解析所述第二数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一工控加密机发送所述第二数据包;以及,解析所述第七数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一交换机发送所述第七数据包;
所述第一工控加密机与所述第一工控防火墙连接,所述第一工控加密机解析所述第二数据包得到所述第一应用层数据,利用加密算法对所述第一应用层数据加密得到第一加密数据,利用预设协议封装所述第一加密数据得到第三数据包,向所述第二工控加密机发送所述第三数据包;以及,解析所述第六数据包得到所述第二应用层数据,利用解密算法对所述第二加密数据解密得到第二应用层数据,利用预设协议封装所述第二应用层数据得到第七数据包,向所述第一工控防火墙发送所述第七数据包;
所述第二工控加密机与所述第二工控防火墙连接,所述第二工控加密机解析所述第三数据包得到所述第一加密数据,利用解密算法对所述第一加密数据解密得到第一应用层数据,利用预设协议封装所述第一应用层数据得到第四数据包,并将所述第四数据包发送给所述第二工控防火墙;以及,解析所述第五数据包得到所述第二应用层数据,利用加密算法对所述第二应用层数据加密得到第二加密数据,利用预设协议封装所述第二加密数据得到第六数据包,并将所述第六数据包发送给所述第一工控加密机;
所述第二工控防火墙内设有第二协议白名单,解析所述第四数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二交换机发送所述第四数据包;以及,接收所述第二交换机发送的第五数据包,解析所述第五数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二工控加密机发送所述第五数据包。
本发明实施例带来了以下有益效果:本发明通过所述终端设备与所述协议过滤装置连接,利用其支持协议封装第一应用层数据得到第一数据包,向所述协议过滤器发送第一数据包;所述协议过滤装置与所述工控隔离网闸连接,所述协议过滤装置内设有第一协议白名单,解析第一数据包应用层协议,若使用的应用层协议为第一协议白名单中协议,将所述第一数据包发送至工控隔离网闸;所述工控隔离网闸与所述第一交换机连接,所述工控隔离网闸用于安全传输数据包,解析所述第一数据包得到所述第一应用层数据,将所述第一应用层数据利用第一交换机支持的协议封装所述第一应用层数据得到第二数据包,并将所述第二数据包发送至第一交换机;所述第一交换机向所述第一工控防火墙发送所述第二数据包;所述第一工控防火墙与所述第一交换机连接,所述第一工控防火墙内设有第二协议白名单,解析所述第二数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一工控加密机发送所述第二数据包;所述第一工控加密机与所述第一工控防火墙连接,所述第一工控加密机解析所述第二数据包得到所述第一应用层数据,利用加密算法对所述第一应用层数据加密得到第一加密数据,利用预设协议封装所述第一加密数据得到第三数据包,向所述第二交换机发送所述第三数据包。以解决现有技术中工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为的技术问题,确保攻击者无法通过嗅探或中间人等攻击手段获取到业务数据,无法对数据进行篡改,保障了数据的完整性和机密性。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种工控数据摆渡系统模块示意图;
图2为本发明实施例提供的另一种工控数据摆渡系统模块示意图;
图3为本发明实施例提供的协议过滤装置内部模块示意图;
图4为本发明实施例提供的另一种工控数据摆渡系统模块示意图。
图标:1-终端设备;2-协议过滤装置;3-工控隔离网闸;4-第一交换机;5-第一工控防火墙;6-第一工控加密机;7-第二工控加密机;8-第二工控防火墙;9-第二交换机。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前工业控制系统面临工业控制协议缺乏安全性考虑,工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为,基于此,本发明实施例提供一种工控数据摆渡系统,以解决现有技术中工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为的技术问题,确保攻击者无法通过嗅探或中间人等攻击手段获取到业务数据,无法对数据进行篡改,保障了数据的完整性和机密性。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种工控数据摆渡系统进行详细介绍。
实施例一:如图1所示的一种工控数据摆渡系统模块示意图,本发明实施例提供了一种工控数据摆渡系统包括:终端设备1、协议过滤装置2、工控隔离网闸3、第一工控防火墙5、第一交换机4、第一工控加密机6和第二交换机9;
所述终端设备1与所述协议过滤装置2连接,利用其支持协议封装第一应用层数据得到第一数据包,向所述协议过滤器发送第一数据包;
所述协议过滤装置2与所述工控隔离网闸3连接,所述协议过滤装置2内设有第一协议白名单,解析第一数据包应用层协议,若使用的应用层协议为第一协议白名单中协议,将所述第一数据包发送至工控隔离网闸3;
所述工控隔离网闸3与所述第一交换机4连接,所述工控隔离网闸3用于安全传输数据包,解析所述第一数据包得到所述第一应用层数据,将所述第一应用层数据利用第一交换机4支持的协议封装所述第一应用层数据得到第二数据包,并将所述第二数据包发送至第一交换机4;
所述第一交换机4向所述第一工控防火墙5发送所述第二数据包;
所述第一工控防火墙5与所述第一交换机4连接,所述第一工控防火墙5内设有第二协议白名单,解析所述第二数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一工控加密机6发送所述第二数据包;
所述第一工控加密机6与所述第一工控防火墙5连接,所述第一工控加密机6解析所述第二数据包得到所述第一应用层数据,利用加密算法对所述第一应用层数据加密得到第一加密数据,利用预设协议封装所述第一加密数据得到第三数据包,向所述第二交换机9发送所述第三数据包。
其中,所述协议过滤装置2解析任一数据包的应用层协议,若使用的应用层协议不在所述第一协议白名单中,将所述数据包拦截。同时还可以通过创建协议黑名单的方法达到预警和查漏的目的,例如:如图3所示的协议过滤装置内部模块示意图,当所述待检测协议不位于所述协议白名单中,将所述待检测协议存入协议黑名单中。判断所述协议黑名单中每个工控协议的写入次数是否超过预设阈值;若存在任一工控协议的写入次数超过预设阈值,发出协议验证提示,以提示工作人员验证所述工控协议的安全性;在接收到工作人员输入的安全性验证通过操作时,将所述工控协议从所述协议黑名单中删除,并将所述工控协议写入所述协议白名单。创建协议黑名单可以用于将协议黑名单共享,以实现提前预防攻击者使用协议黑名单中的不安全协议封装数据包攻击服务器,并设计一种阈值机制,若存在任一工控协议的写入次数超过预设阈值,发出协议验证提示,以提示工作人员验证所述工控协议的安全性,防止出现工作人员将协议录入协议白名单时出现遗漏掉安全的协议的情况。
在本发明的又一实施例中,如图2所示的另一种工控数据摆渡系统模块示意图,所述的工控数据摆渡系统还包括:第二工控加密机7和第二工控防火墙8;
所述第二工控加密机7与所述第二工控防火墙8连接,所述第二工控加密机7解析所述第三数据包得到所述第一加密数据,利用解密算法对所述第一加密数据解密得到第一应用层数据,利用预设协议封装所述第一应用层数据得到第四数据包,并将所述第四数据包发送给所述第二工控防火墙8;
所述第二工控防火墙8内设有第二协议白名单,解析所述第四数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二交换机9发送所述第四数据包。
在本发明实施例中,工控防火墙是针对目前工控系统的特点,在传统工控防火墙功能基础上专门针对PLC、DCS、SCADA等工控环境研发的安全防护产品。其工控协议深度包解析技术不仅对二层、三层网络协议进行解析,更能进一步解析到工控网络包的应用层,可对OPC、Modbus、DNP3、IEC104、S7、Profinet等工控协议进行深度分析,防止应用层协议被篡改或破坏。
在本发明实施例中,工控加密机是在控制系统的基础上增加的功能安全层,通过对消息使用加密函数和哈希链,同时也能够支持国密SM4、AES、3DES、CAST5等多种加密算法增强工控协议的认证和加密传输功能,从而使攻击者无法进行伪装,无法篡改传输指令,无需改变底层传输协议,即可实现系统的传输安全。加密机用于保护端到端通信的认证安全,保护数据的完整性和保密性。加密机从应用层中获取过程数据,通过加密算法对过程数据进行加密,确保无法通过嗅探或中间人等攻击手段获取到业务数据,无法对数据进行篡改,保障了数据的完整性和机密性。
在本发明的又一实施例中,所述第二工控防火墙8还用于接收所述第二交换机9发送的第五数据包,解析所述第五数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二工控加密机7发送所述第五数据包。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明的又一实施例中,所述第二工控加密机7还用于解析所述第五数据包得到所述第二应用层数据,利用加密算法对所述第二应用层数据加密得到第二加密数据,利用预设协议封装所述第二加密数据得到第六数据包,并将所述第六数据包发送给所述第一工控加密机6。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明的又一实施例中,所述第工控一加密机还用于解析所述第六数据包得到所述第二应用层数据,利用解密算法对所述第二加密数据解密得到第二应用层数据,利用预设协议封装所述第二应用层数据得到第七数据包,向所述第一工控防火墙5发送所述第七数据包。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在发明的又一实施例中,所述第一工控防火墙5还用于解析所述第七数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一交换机4发送所述第七数据包。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在发明的又一实施例中,所述工控隔离网闸3还用于解析所述第七数据包得到所述第二应用层数据,将所述第二应用层数据利用终端设备1支持的协议封装所述第二应用层数据得到第八数据包,并将所述第八数据包发送给协议过滤器。
在本发明实施例中,所述工控隔离网闸3是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明的又一实施例中,所述协议过滤装置2还用于解析第八数据包应用层协议,若使用的应用层协议为所述第一协议白名单中协议,将所述第八数据包发送至终端设备1。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
实施例二:如图4所示的另一种工控数据摆渡系统模块示意图,本发明实施例还提供完整的一种工控数据摆渡系统,与上述实施例提供的一种工控数据摆渡系统具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。一种工控数据摆渡系统,包括:终端设备1、协议过滤装置2、工控隔离网闸3、第一工控防火墙5、第一交换机4、第一工控加密机6、第二交换机9、第二工控防火墙8和第二工控加密机7;
所述终端设备1与所述协议过滤装置2连接,利用其支持协议封装第一应用层数据得到第一数据包,向所述协议过滤器发送第一数据包;以及接收第八数据包;
所述协议过滤装置2与所述工控隔离网闸3连接,所述协议过滤装置2内设有第一协议白名单,解析第一数据包应用层协议,若使用的应用层协议为第一协议白名单中协议,将所述第一数据包发送至工控隔离网闸3;以及,解析第八数据包应用层协议,若使用的应用层协议为所述第一协议白名单中协议,将所述第八数据包发送至终端设备1;
所述工控隔离网闸3与所述第一交换机4连接,所述工控隔离网闸3用于安全传输数据包,解析所述第一数据包得到所述第一应用层数据,将所述第一应用层数据利用第一交换机4支持的协议封装所述第一应用层数据得到第二数据包,并将所述第二数据包发送至第一交换机4;以及,解析所述第七数据包得到所述第二应用层数据,将所述第二应用层数据利用终端设备1支持的协议封装所述第二应用层数据得到第八数据包,并将所述第八数据包发送给协议过滤器;
所述第一交换机4向所述第一工控防火墙5发送所述第二数据包;以及,接收第七数据包,并向所述工控隔离网闸3发送第七数据包;
所述第一工控防火墙5与所述第一交换机4连接,所述第一工控防火墙5内设有第二协议白名单,解析所述第二数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一工控加密机6发送所述第二数据包;以及,解析所述第七数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一交换机4发送所述第七数据包;
所述第一工控加密机6与所述第一工控防火墙5连接,所述第一工控加密机6解析所述第二数据包得到所述第一应用层数据,利用加密算法对所述第一应用层数据加密得到第一加密数据,利用预设协议封装所述第一加密数据得到第三数据包,向所述第二工控加密机7发送所述第三数据包;以及,解析所述第六数据包得到所述第二应用层数据,利用解密算法对所述第二加密数据解密得到第二应用层数据,利用预设协议封装所述第二应用层数据得到第七数据包,向所述第一工控防火墙5发送所述第七数据包;
所述第二工控加密机7与所述第二工控防火墙8连接,所述第二工控加密机7解析所述第三数据包得到所述第一加密数据,利用解密算法对所述第一加密数据解密得到第一应用层数据,利用预设协议封装所述第一应用层数据得到第四数据包,并将所述第四数据包发送给所述第二工控防火墙8;以及,解析所述第五数据包得到所述第二应用层数据,利用加密算法对所述第二应用层数据加密得到第二加密数据,利用预设协议封装所述第二加密数据得到第六数据包,并将所述第六数据包发送给所述第一工控加密机6;
所述第二工控防火墙8内设有第二协议白名单,解析所述第四数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二交换机9发送所述第四数据包;以及,接收所述第二交换机9发送的第五数据包,解析所述第五数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二工控加密机7发送所述第五数据包。
本发明实施例所提供的系统,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,系统实施例部分未提及之处,可参考前述方法实施例中相应内容。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种工控数据摆渡系统,其特征在于,包括:终端设备、协议过滤装置、工控隔离网闸、第一工控防火墙、第一交换机、第一工控加密机和第二交换机;
所述终端设备与所述协议过滤装置连接,利用其支持协议封装第一应用层数据得到第一数据包,向所述协议过滤器发送第一数据包;
所述协议过滤装置与所述工控隔离网闸连接,所述协议过滤装置内设有第一协议白名单,解析第一数据包应用层协议,若使用的应用层协议为第一协议白名单中协议,将所述第一数据包发送至工控隔离网闸;
所述工控隔离网闸与所述第一交换机连接,所述工控隔离网闸用于安全传输数据包,解析所述第一数据包得到所述第一应用层数据,将所述第一应用层数据利用第一交换机支持的协议封装所述第一应用层数据得到第二数据包,并将所述第二数据包发送至第一交换机;
所述第一交换机向所述第一工控防火墙发送所述第二数据包;
所述第一工控防火墙与所述第一交换机连接,所述第一工控防火墙内设有第二协议白名单,解析所述第二数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一工控加密机发送所述第二数据包;
所述第一工控加密机与所述第一工控防火墙连接,所述第一工控加密机解析所述第二数据包得到所述第一应用层数据,利用加密算法对所述第一应用层数据加密得到第一加密数据,利用预设协议封装所述第一加密数据得到第三数据包,向所述第二交换机发送所述第三数据包。
2.根据权利要求1所述的工控数据摆渡系统,其特征在于,还包括:第二工控加密机和第二工控防火墙;
所述第二工控加密机与所述第二工控防火墙连接,所述第二工控加密机解析所述第三数据包得到所述第一加密数据,利用解密算法对所述第一加密数据解密得到第一应用层数据,利用预设协议封装所述第一应用层数据得到第四数据包,并将所述第四数据包发送给所述第二工控防火墙;
所述第二工控防火墙内设有第二协议白名单,解析所述第四数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二交换机发送所述第四数据包。
3.根据权利要求2所述的工控数据摆渡系统,其特征在于,所述第二工控防火墙还用于接收所述第二交换机发送的第五数据包,解析所述第五数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第二工控加密机发送所述第五数据包。
4.根据权利要求2所述的工控数据摆渡系统,其特征在于,所述第二工控加密机还用于解析所述第五数据包得到所述第二应用层数据,利用加密算法对所述第二应用层数据加密得到第二加密数据,利用预设协议封装所述第二加密数据得到第六数据包,并将所述第六数据包发送给所述第一工控加密机。
5.根据权利要求1所述的工控数据摆渡系统,其特征在于,所述第工控一加密机还用于解析所述第六数据包得到所述第二应用层数据,利用解密算法对所述第二加密数据解密得到第二应用层数据,利用预设协议封装所述第二应用层数据得到第七数据包,向所述第一工控防火墙发送所述第七数据包。
6.根据权利要求1所述的工控数据摆渡系统,其特征在于,所述第一工控防火墙还用于解析所述第七数据包的网络层协议和应用层协议,若使用的网络层协议和应用层协议为第二协议白名单中协议,向所述第一交换机发送所述第七数据包。
7.根据权利要求6所述的工控数据摆渡系统,其特征在于,所述工控隔离网闸还用于解析所述第七数据包得到所述第二应用层数据,将所述第二应用层数据利用终端设备支持的协议封装所述第二应用层数据得到第八数据包,并将所述第八数据包发送给协议过滤器。
8.根据权利要求7所述的工控数据摆渡系统,其特征在于,所述协议过滤装置还用于解析第八数据包应用层协议,若使用的应用层协议为所述第一协议白名单中协议,将所述第八数据包发送至终端设备。
9.根据权利要求8所述的工控数据摆渡系统,其特征在于,所述协议过滤装置解析任一数据包的应用层协议,若使用的应用层协议不在所述第一协议白名单中,将所述数据包拦截。
10.一种工控数据摆渡系统,其特征在于,包括如权利要求1-9任一所述的工控数据摆渡系统。
CN201810323236.7A 2018-04-11 2018-04-11 一种工控数据摆渡系统 Pending CN108322484A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810323236.7A CN108322484A (zh) 2018-04-11 2018-04-11 一种工控数据摆渡系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810323236.7A CN108322484A (zh) 2018-04-11 2018-04-11 一种工控数据摆渡系统

Publications (1)

Publication Number Publication Date
CN108322484A true CN108322484A (zh) 2018-07-24

Family

ID=62898101

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810323236.7A Pending CN108322484A (zh) 2018-04-11 2018-04-11 一种工控数据摆渡系统

Country Status (1)

Country Link
CN (1) CN108322484A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109617866A (zh) * 2018-11-29 2019-04-12 英赛克科技(北京)有限公司 工控系统主机会话数据过滤方法和装置
CN110620791A (zh) * 2019-10-10 2019-12-27 江苏亨通工控安全研究院有限公司 一种带有预警功能的工业安全数据摆渡系统
CN111585972A (zh) * 2020-04-16 2020-08-25 网御安全技术(深圳)有限公司 面向网闸的安全防护方法、装置及网络系统
CN112261032A (zh) * 2020-10-19 2021-01-22 中国石油化工股份有限公司 基于实时数据传输的工业互联网网络安全防护方法和系统
CN115102754A (zh) * 2022-06-20 2022-09-23 中银金融科技有限公司 一种数据传输方法及系统、存储介质及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101083607A (zh) * 2006-05-30 2007-12-05 倪海生 一种用于内外网络隔离的因特网访问服务器及其处理方法
CN104702460A (zh) * 2013-12-10 2015-06-10 中国科学院沈阳自动化研究所 基于SVM的Modbus TCP通讯的异常检测方法
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
CN106888221A (zh) * 2017-04-15 2017-06-23 北京科罗菲特科技有限公司 一种网络信息安全传输方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101083607A (zh) * 2006-05-30 2007-12-05 倪海生 一种用于内外网络隔离的因特网访问服务器及其处理方法
CN104702460A (zh) * 2013-12-10 2015-06-10 中国科学院沈阳自动化研究所 基于SVM的Modbus TCP通讯的异常检测方法
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
CN106888221A (zh) * 2017-04-15 2017-06-23 北京科罗菲特科技有限公司 一种网络信息安全传输方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
龙根炳,刘丽萍: "《计算机网络技术及应用》", 北京理工大学出版社, pages: 153 - 154 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109617866A (zh) * 2018-11-29 2019-04-12 英赛克科技(北京)有限公司 工控系统主机会话数据过滤方法和装置
CN109617866B (zh) * 2018-11-29 2021-10-12 英赛克科技(北京)有限公司 工控系统主机会话数据过滤方法和装置
CN110620791A (zh) * 2019-10-10 2019-12-27 江苏亨通工控安全研究院有限公司 一种带有预警功能的工业安全数据摆渡系统
CN111585972A (zh) * 2020-04-16 2020-08-25 网御安全技术(深圳)有限公司 面向网闸的安全防护方法、装置及网络系统
CN112261032A (zh) * 2020-10-19 2021-01-22 中国石油化工股份有限公司 基于实时数据传输的工业互联网网络安全防护方法和系统
CN112261032B (zh) * 2020-10-19 2023-10-17 中国石油化工股份有限公司 基于实时数据传输的工业互联网网络安全防护方法和系统
CN115102754A (zh) * 2022-06-20 2022-09-23 中银金融科技有限公司 一种数据传输方法及系统、存储介质及电子设备
CN115102754B (zh) * 2022-06-20 2024-04-02 中银金融科技有限公司 一种数据传输方法及系统、存储介质及电子设备

Similar Documents

Publication Publication Date Title
CN108322484A (zh) 一种工控数据摆渡系统
US11134064B2 (en) Network guard unit for industrial embedded system and guard method
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
US8484486B2 (en) Integrated cryptographic security module for a network node
US8756411B2 (en) Application layer security proxy for automation and control system networks
US20080005558A1 (en) Methods and apparatuses for authentication and validation of computer-processable communications
CN110535653A (zh) 一种安全的配电终端及其通讯方法
US20080141023A1 (en) Chaining port scheme for network security
CN205670253U (zh) 一种工业控制系统的可信网关系统
CN106603487B (zh) 一种基于cpu时空隔离机制对tls协议处理进行安全改进的方法
CN112073380B (zh) 一种基于双处理器kvm切换与密码隔离的安全计算机系统
CN110336788A (zh) 一种物联网设备与移动终端的数据安全交互方法
CN104486289A (zh) 数据单向传输方法及系统
CN116055254A (zh) 一种安全可信网关系统、控制方法、介质、设备及终端
CN103441983A (zh) 基于链路层发现协议的信息保护方法和装置
CN103209191A (zh) 一种实现内外网物理隔断的方法
CN103237036A (zh) 一种实现内外网物理隔断的装置
Kabulov et al. Security Threats and Challenges in Iot Technologies
CN105516062A (zh) 一种实现L2TP over IPsec接入的方法
CN110266725A (zh) 密码安全隔离模块及移动办公安全系统
CN106254231A (zh) 一种基于状态的工业安全加密网关及其实现方法
CN104468519B (zh) 一种嵌入式电力安全防护终端加密装置
CN114553577B (zh) 一种基于多主机双隔离保密架构的网络交互系统及方法
US20190327219A1 (en) Skeleton Network: Physical Corner Stone for The Towering Cyber House
Sauter et al. IoT-enabled sensors in automation systems and their security challenges

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180724