CN108768841A - Afdx安全网关系统及其传输方法 - Google Patents
Afdx安全网关系统及其传输方法 Download PDFInfo
- Publication number
- CN108768841A CN108768841A CN201810366375.8A CN201810366375A CN108768841A CN 108768841 A CN108768841 A CN 108768841A CN 201810366375 A CN201810366375 A CN 201810366375A CN 108768841 A CN108768841 A CN 108768841A
- Authority
- CN
- China
- Prior art keywords
- opc
- afdx
- protocol
- data packet
- mac frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种AFDX安全网关系统及其传输方法,涉及工业互联网安全领域,AFDX安全网关系统收到MAC帧后,提交数据包给安全检查功能模块,并进行安全检查,安全检查后将MAC帧提交给UDP协议,封装成UDP包后发送给OPC/Web服务器,当协议转换功能模块接收到UDP包后,解封成原始的MAC帧,提交给服务器处理,对于OPC/Web服务器返回的OPC/HTTP应答包,服务器端和ASGS做协议转换处理,ASGS接收到UDP包后,解封成原始的MAC帧,然后发送给OPC/Web客户端,完成对OPC/Web客户端请求的应答。本发明由于通过部署ASGS,支持工业互联网及其OPC/Web应用,使企业信息网中的用户能够以安全方式访问工业控制系统提供的服务和资源,提高了工业互联网的安全防护能力。
Description
技术领域
本发明涉及工业互联网安全领域,尤其是一种安全网关系统,还涉及该系统的通信传输方法,通过本发明的安全网关系统,实现基于AFDX的工业控制网与企业信息网的互连互通和安全防护,构建可信、可控、安全的工业互联网,提高工业互联网的安全性和可用性。
背景技术
工业互联网是“互联网+”向工业领域的延伸,企业信息网通过有线和无线链路以及 TCP/IP协议实现与工业控制系统的互连互通。工业互联网主要有两大关键技术,一是实时性问题,即在复杂网络环境下,如何保证工业控制的实时性要求;二是工业互联网安全问题,随着工业互联网规模的增大和应用的增加,各种网络安全威胁也随之产生,“震网”病毒对伊朗核设施的攻击和破坏,成为当年轰动世界的安全事件,同时引起了世界各国的高度关注。因此,网络安全成为发展工业互联网必须解决的关键技术。
工业控制系统涉及核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等国计民生相关领域,关系到国家安全和社会稳定,而我国工业控制系统的主要设备和系统 80%是国外产品,网络安全自主可控能力比较低,安全风险比较大。基于自主可控能力的网络安全将是发展工业互联网亟待解决的关键问题。
工业控制系统属于安全关键型系统,对实时性、可靠性和确定性要求较高,通常采用工业局域网技术来构建工业控制网络环境。由于以太网具有高速化、低成本、商业化等优点,被广泛用于构建办公自动化以及企业信息网环境,但是普通以太网并不具有实时性、可靠性和确定性等特性,因此在工业领域应用以太网技术时需要该其进行适当的改造,使之能够达到工业领域对实时性、可靠性和确定性的要求,这类以太网称为工业以太网,典型的工业以太网有应用于航空航天领域的AFDX(Avionics Full Duplex Switched Ethernet)。以下的工业以太网均指AFDX网络。
AFDX网络是欧洲空客公司在研制A380大型客机项目时提出的航空电子数据传输系统,它保留了以太网的高速化、低成本、商业化等优点,同时增加了确保实时性和可靠性要求的新机制,达到了航空电子数据传输的基本要求。现在,AFDX技术已经成为一项国际标准,即ARINC 664Part 7。AFDX网络在空客A-380、A-350、A-400M4,波音B787和中国C919客机航空电子平台上得到了成功的应用,形成基于AFDX或工业以太网的工业控制系统。
在基于互联网+工业以太网的工业互联网中,来自互联网的黑客攻击、网络病毒、非法入侵以及违规操作等安全威胁将会引入到工业互联网,使工业互联网面临着很大的安全风险,必须采取有针对性的网络安全保障手段来控制和降低安全风险,因此网络安全保障技术已经成为发展工业互联网亟待解决的关键技术。这里的工业互联网主要是指工业以太网与企业信息网的网络互连,而企业信息网通常采用普通以太网来构建。
在基于互联网+工业以太网的工业互联网应用中,主要有两种互联模型:
(1)基于OPC协议的互联模型。OPC(Object Linking and Embedding for ProcessControl)标准是一个工业标准,包括一整套接口、属性和方法的标准集,主要用于工业控制系统中各种现场设备与控制软件的系统集成,目前各个工业控制设备及控制软件都支持OPC协议标准。在工业控制系统中,通常由若干分散在现场的各种控制设备(如 PLC、采集器等)组成,通过控制软件或应用程序将各个控制设备集成起来,构成数据采集与监控系统(SCADA)或分布式控制系统(DCS),以实现远程数据采集与控制,其中在系统集成时所使用的网络协议就是OPC协议。在OPC协议中,数据源(OPC服务器)和数据使用者(OPC应用程序)之间采用基于TCP的RPC协议进行网络通信和数据传输。由于OPC协议采用TCP协议进行通信,而工业以太网采用UDP协议进行通信。因此在工业以太网中应用OPC协议时,需要通过一个网关系统来实现两种协议的相互转换。同时,针对TCP/IP协议的网络攻击和安全威胁也会被引入到工业互联网,包括身份欺诈、协议变异、异常命令、拒绝服务等,给工业互联网带来很大的安全风险。
(2)基于HTTP协议的互联模型。在基于工业互联网的远程SCADA系统中,OPC 应用程序通过Web服务器提供远程数据采集与控制服务,用户使用浏览器查看Web服务器中的工业数据或发布控制命令。在Web应用系统中,Web服务器和浏览器之间采用HTTP协议进行网络通信和数据传输。由于HTTP协议是基于TCP的通信协议,而工业以太网采用UDP协议进行通信。因此在工业以太网中应用HTTP协议时,同样需要通过一个网关系统实现两种协议的相互转换。同时,针对Web系统的网络攻击和安全威胁也会被引入到工业互联网,包括SQL注入、XSS(Cross Site Scripting)、缓冲区溢出、拒绝服务等攻击,给工业互联网带来很大的安全风险。
因此,在工业互联网中,需要通过一个AFDX安全网关系统实现工业以太网与企业信息网的网络互联,不仅要提供不同网络协议的相互转换功能,支持基于OPC协议和HTTP协议的网络应用,并且还要提供网络安全防护功能,防止来自互联网的黑客攻击、网络病毒、非法入侵以及违规操作等进入工业控制系统,保障工业控制系统安全。
发明内容
为了克服现有技术的不足,有效地解决工业互联网的互连互通和安全防护问题,本发明提供一种AFDX安全网关系统,通过AFDX安全网关系统,不仅能够实现AFDX 网络与企业信息网的互连互通,支持基于OPC协议和HTTP协议的网络应用;同时,还能对进入工业控制系统的OPC和HTTP数据包进行安全检查,防止任何违反安全规则的异常OPC或异常HTTP数据包进入工业控制系统,降低工业互联网安全风险,保障工业控制系统安全。
本发明解决其技术问题所采用的技术方案是:
一种AFDX安全网关系统(AFDX Security Gateway System,ASGS),安装有两个网卡:非AFDX以太网卡和AFDX网卡,分别用于收发企业信息网和AFDX网络的数据包,并采用不同的收发机制;
当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后,将MAC帧传递给用户态下的数据包解析功能模块,提取出封装在MAC帧中的字段,只允许用户使用OPC/HTTP 协议来访问AFDX网络中的服务器,而其它协议被视为非法操作,并提交数据包给安全检查功能模块,数据包依次进行如下四个方面的安全检查:用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录;安全检查后,调用AFDX网卡提供的API函数,将MAC帧提交给AFDX网卡内置的UDP协议,封装成UDP包后发送给AFDX网络中的OPC/Web服务器;
在OPC/Web服务器上配置两个网卡,一个是AFDX网卡,用于连接AFDX网络;另一个是非AFDX以太网卡,处于空闲状态,当协议转换功能模块接收到ASGS的 UDP包后,解封成原始的MAC帧,传递给内核态下的以太网卡驱动程序,由非AFDX 以太网卡驱动程序提交给TCP/IP协议栈解封成OPC/HTTP请求包,提交给服务器处理;
对于OPC/Web服务器返回的OPC/HTTP应答包,服务器端和ASGS均只做协议转换处理,不再做任何的安全检查,OPC/HTTP应答包经过TCP/IP协议栈封装成MAC 帧,然后传递给用户态下的服务器协议转换功能模块,服务器协议转换功能模块调用 AFDX网卡提供的API函数,通过AFDX网卡内置的UDP协议,封装成UDP包发送给ASGS;ASGS从AFDX网卡内置的UDP协议接收到UDP包后,解封成原始的MAC 帧,然后传递给内核态下的非AFDX以太网卡驱动程序发送给OPC/Web客户端,完成对OPC/Web客户端请求的应答。
所述的AFDX安全网关系统,其传输方法的详细步骤如下:
步骤1:本发明的一种AFDX安全网关系统安装有两个网卡:非AFDX以太网卡和AFDX网卡,分别用于收发企业信息网和AFDX网络的数据包,并采用不同的收发机制;对于非AFDX以太网卡,采用通过操作系统内核态的以太网卡驱动程序收发 MAC帧,并通过对MAC帧的层层解析,提取相关协议字段,实现对数据包的安全检查;对于AFDX网卡,采用AFDX网卡提供的API函数,调用AFDX网卡内部的UDP 协议收发数据包,数据包的载荷便是通过安全检查的MAC帧;面向AFDX网卡的数据包收发程序工作在操作系统的用户态,因此需要利用操作系统提供的API函数在用户态和内核态之间建立数据通信管道,用于接收或发送MAC帧;
步骤2:数据包深度解析
当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后,将MAC帧传递给用户态下的数据包解析功能模块,提取出封装在MAC帧中的字段,所述字段包括但不限于源IP地址、目的IP地址、目的TCP端口号、协议类型以及TCP数据包载荷,然后根据协议类型字段判断是否为TCP协议,否则丢弃该MAC帧;再根据TCP数据包载荷中的应用层协议头字段判断是否为OPC协议或HTTP协议,否则丢弃该MAC帧,即只允许用户使用OPC/HTTP协议来访问AFDX网络中的服务器,而其它协议被视为非法操作,如判断是OPC协议,则提交OPC数据包给OPC协议安全检查功能模块,并转步骤3;如果是HTTP协议,则提交HTTP协议数据包给HTTP协议安全检查功能模块,并转步骤3;
步骤3:数据包安全检查
数据包依次进行如下四个安全检查:用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录;
(1)用户访问可信性检查
在预先建立的白名单中,可信用户使用源IP地址标识,目标服务器使用目地IP 地址标识,目标服务器上运行的服务程序使用目的TCP端口号标识;如果从MAC帧中提取出的源IP地址、目的IP地址、目的TCP端口号出现在白名单中,则认为是可信的用户访问,并进入步骤(2);否则认为是不可信的用户访问,丢弃该MAC帧,中止后续处理;
(2)OPC协议安全检查
OPC协议安全检查包括OPC客户端安全认证和OPC数据包合规性检查,OPC客户端安全认证采用白名单策略,预先将允许与OPC服务器通信的OPC客户端及用户名列入白名单中,通过解析当前OPC数据包,提取出OPC数据包中所包含的OPC客户端及用户信息,然后依据白名单进行检查,禁止任何未列入白名单中的OPC客户端及用户名与OPC服务器进行通信,防止非法用户入侵工业控制系统;OPC数据包合规性检查也是采用白名单策略,预先将OPC协议规范与通信规则列入白名单中,通过解析当前OPC数据包,提取出OPC数据包类型及格式等特征信息,然后依据白名单中的OPC协议规范与通信规则进行检查,丢弃任何违反OPC协议规范与通信规则的异常或变异OPC数据包,防止AFDX网络中的OPC服务器受到攻击;
(3)HTTP协议安全检查
HTTP协议安全检查为检查HTTP数据包中是否包含URL字符串,如果有URL 字符串,检查是否存在有可能形成SQL注入和XSS攻击的可疑URL字符串;本发明采用基于逻辑回归算法的机器学习方法,即通过学习机器算法提取出异常的URL字符串模式,存储在黑名单中;如果检测到当前HTTP数据包中存在黑名单中异常URL 字符串模式,说明当前HTTP数据包中可能存在SQL注入或XSS攻击,则丢弃该HTTP 数据包,防止AFDX网络中的Web服务器受到攻击;
(4)通信行为日志记录
通过检查和未通过安全检查的所有通信行为都被记录的系统的日志文件中,供管理员日后查询、审计和追溯;同时,对于未通过安全检查的异常通信行为,通过邮件、短信的方式向管理员发出报警信息;
通过上述安全检查的OPC/HTTP数据包被认为是可信、安全的,将当前MAC帧提交给数据包转发功能模块,转发给AFDX网络中的OPC/Web服务器;
步骤4:数据包转发
调用AFDX网卡提供的API函数,将MAC帧提交给AFDX网卡内置的UDP协议,封装成UDP包后发送给AFDX网络中的OPC/Web服务器;
步骤5:服务器端协议转换
服务器端协议转换作为ASGS的配套功能模块,运行在OPC/Web服务器系统上,在OPC/Web服务器上配置两个网卡,一个是AFDX网卡,用于连接AFDX网络;另一个是非AFDX以太网卡,处于空闲状态,但需要安装网卡驱动程序和TCP/IP协议栈,OPC/Web服务器建立在该网卡驱动程序和TCP/IP协议栈上,网卡驱动程序和
TCP/IP协议栈运行在系统的内核态,而协议转换功能模块则运行在系统的用户态,当协议转换功能模块接收到ASGS的UDP包后,解封成原始的MAC帧,传递给内核态下的非AFDX以太网卡驱动程序,由非AFDX以太网卡驱动程序提交给TCP/IP协议栈解封成OPC/HTTP请求包,提交给相应的服务器处理;
步骤6:OPC/HTTP应答包处理
对于OPC/Web服务器返回的OPC/HTTP应答包,服务器端和ASGS均只做协议转换处理,不再做任何的安全检查;首先服务器发送的OPC/HTTP应答包经过TCP/IP 协议栈封装成MAC帧,然后传递给用户态下的服务器协议转换功能模块,协议转换功能模块调用AFDX网卡提供的API函数,通过AFDX网卡内置的UDP协议,封装成UDP包发送给ASGS;ASGS从AFDX网卡内置的UDP协议接收到UDP包后,解封成原始的MAC帧,然后传递给内核态下的非AFDX以太网卡驱动程序发送给 OPC/Web客户端,完成对OPC/Web客户端请求的应答,即完成一次OPC/HTTP“请求-应答”通信的全过程。
本发明的有益效果是:由于通过部署ASGS,支持工业互联网及其OPC/Web应用,使企业信息网中的用户能够以安全方式访问工业控制系统提供的服务和资源,提高了工业互联网的安全防护能力。
附图说明
图1是本发明基于AFDX的工业互联网模型图。
具体实施方式
下面结合附图和实施例对本发明进一步说明。
本发明所涉及的基本概念如下:
1.术语简记
①AFDX安全网关系统(AFDX Security Gateway System)简记为ASGS;
②OPC服务器或Web服务器简记为OPC/Web服务器;
③OPC客户端或Web浏览器简记为OPC/Web客户端;
④OPC协议或HTTP协议简记为OPC/HTTP协议;
⑤OPC请求包或HTTP请求包简记为OPC/HTTP请求包;
⑥OPC数据包或HTTP数据包简记为OPC/HTTP数据包;
⑦OPC应答包或HTTP应答包简记为OPC/HTTP应答包。
2.基于AFDX的工业互联网模型
在基于AFDX的工业互联网中,工业控制系统采用AFDX网络来构建,企业信息网采用普通以太网来构建,通过一个ASGS实现工业控制系统与企业信息网的网络互连,在AFDX网络中部署有OPC/Web服务器,允许企业信息网中的可信用户使用 OPC/Web客户端来访问OPC/Web服务器,获取数据或发布命令。图1是基于AFDX 的工业互联网模型图。
3.ASGS工作原理
ASGS是一种支持网络互联、协议转换和安全检测的网络互连设备,用于实现工业以太网与企业信息网之间的网络互连和安全防护。
网络互连包括物理互连和逻辑互连。物理互连是指ASGS至少配置有两个网络接口模块或网卡,一个是普通以太网卡,用于实现与企业信息网的网络连接,通常采用通用的Socket编程接口调用TCP/IP协议栈实现基于TCP/IP协议数据通信;另一个是 AFDX网卡,用于实现与工业以太网的网络连接,该网卡内部集成了UDP/IP协议,必须通过网卡提供的应用编程接口,即API函数实现基于UDP/IP协议的数据通信;逻辑互连是指通过通信协议和数据格式的转换来实现工业以太网与企业信息网之间的数据交换,这是因为工业以太网与企业信息网在通信模式上存在一定的差异,在工业以太网中,任何应用系统必须使用网卡提供的API函数来调用网卡内部的UDP/IP协议才能实现数据通信;在企业信息网中,应用系统通常通过TCP/IP协议栈进行数据通信。因此,ASGS首先需要解决的问题是网络协议及数据包格式转换,即ASGS在接收到来自企业信息网的MAC帧后,必须使用AFDX网卡内部的UDP协议重新封装成UDP数据包再转发到AFDX网络。反之,ASGS在接收到来自AFDX网络的UDP数据包后,解封成MAC帧再通过普通以太网网卡驱动程序转发到企业信息网。
安全防护是指ASGS在协议转换和数据包转发过程中,根据预先建立的基于白名单和黑名单的安全规则,对OPC/HTTP数据包进行安全检查,只允许正常数据包通过,而禁止异常数据包通过,并且发出报警信息和记录日志。
4.数据包封装与解封
当企业信息网中用户使用OPC/Web客户端来访问AFDX网络中的OPC/Web服务器时,OPC/Web客户端采用OPC/HTTP协议来传输用户访问请求,即发送OPC/HTTP 请求包。由于OPC/HTTP协议都是基于TCP的应用层协议,OPC/HTTP请求包需要经过TCP/IP协议栈进行层层封装,即分别封装TCP协议头、IP协议头和MAC协议头,形成MAC帧后通过网卡发送到物理链路上。OPC/Web服务器接收到MAC帧后进行层层解封,即去除MAC协议头、IP协议头和TCP协议头,将OPC/HTTP请求包提交给相应的OPC/HTTP协议处理。这样就完成了一个数据包从请求端到目的端的传输过程。
由于MAC帧中包含有安全检查所需的IP协议头、TCP协议头、应用层协议头以及消息载荷等信息,因此ASGS将以MAC帧为对象进行数据包收发、数据包解析和安全检查。
如图1所示,本发明的AFDX安全网关系统(AFDX Security Gateway System,ASGS),安装有两个网卡:非AFDX以太网卡和AFDX网卡,分别用于收发企业信息网和AFDX网络的数据包,并采用不同的收发机制;
当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后,将MAC帧传递给用户态下的数据包解析功能模块,提取出封装在MAC帧中的字段,只允许用户使用OPC/HTTP 协议来访问AFDX网络中的服务器,而其它协议被视为非法操作,并提交数据包给安全检查功能模块,数据包依次进行如下四个方面的安全检查:用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录;安全检查后,调用AFDX网卡提供的API函数,将MAC帧提交给AFDX网卡内置的UDP协议,封装成UDP包后发送给AFDX网络中的OPC/Web服务器;
在OPC/Web服务器上配置两个网卡,一个是AFDX网卡,用于连接AFDX网络;另一个是非AFDX以太网卡,处于空闲状态,当协议转换功能模块接收到ASGS的UDP包后,解封成原始的MAC帧,传递给内核态下的以太网卡驱动程序,由非AFDX 以太网卡驱动程序提交给TCP/IP协议栈解封成OPC/HTTP请求包,提交给服务器处理;
对于OPC/Web服务器返回的OPC/HTTP应答包,服务器端和ASGS均只做协议转换处理,不再做任何的安全检查,OPC/HTTP应答包经过TCP/IP协议栈封装成MAC 帧,然后传递给用户态下的服务器协议转换功能模块,服务器协议转换功能模块调用 AFDX网卡提供的API函数,通过AFDX网卡内置的UDP协议,封装成UDP包发送给ASGS;ASGS从AFDX网卡内置的UDP协议接收到UDP包后,解封成原始的MAC 帧,然后传递给内核态下的非AFDX以太网卡驱动程序发送给OPC/Web客户端,完成对OPC/Web客户端请求的应答。
所述的AFDX安全网关系统,其传输方法的详细步骤如下:
步骤1:本发明的一种AFDX安全网关系统安装有两个网卡:非AFDX以太网卡和AFDX网卡,分别用于收发企业信息网和AFDX网络的数据包,并采用不同的收发机制;对于非AFDX以太网卡,采用通过操作系统内核态的以太网卡驱动程序收发 MAC帧,并通过对MAC帧的层层解析,提取相关协议字段,实现对数据包的安全检查;对于AFDX网卡,采用AFDX网卡提供的API函数,调用AFDX网卡内部的UDP 协议收发数据包,数据包的载荷便是通过安全检查的MAC帧;面向AFDX网卡的数据包收发程序工作在操作系统的用户态,因此需要利用操作系统提供的API函数在用户态和内核态之间建立数据通信管道,用于接收或发送MAC帧;
步骤2:数据包深度解析
当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后,将MAC帧传递给用户态下的数据包解析功能模块,提取出封装在MAC帧中的字段,所述字段包括但不限于源IP地址、目的IP地址、目的TCP端口号、协议类型以及TCP数据包载荷,然后根据协议类型字段判断是否为TCP协议,否则丢弃该MAC帧;再根据TCP数据包载荷中的应用层协议头字段判断是否为OPC协议或HTTP协议,否则丢弃该MAC帧,即只允许用户使用OPC/HTTP协议来访问AFDX网络中的服务器,而其它协议被视为非法操作,如判断是OPC协议,则提交OPC数据包给OPC协议安全检查功能模块,并转步骤3;如果是HTTP协议,则提交HTTP协议数据包给HTTP协议安全检查功能模块,并转步骤3;
步骤3:数据包安全检查
数据包依次进行如下四个方面的安全检查:用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录;由于OPC协议和HTTP协议是不同的应用层协议,其协议格式和语义相差较大,其安全检查需要分别进行处理;安全检查是依据预先建立的白名单和黑名单安全规则来进行;
(1)用户访问可信性检查
在预先建立的白名单中,可信用户使用源IP地址标识,目标服务器使用目地IP 地址标识,目标服务器上运行的服务程序使用目的TCP端口号标识;如果从MAC帧中提取出的源IP地址、目的IP地址、目的TCP端口号出现在白名单中,则认为是可信的用户访问,并进入步骤(2);否则认为是不可信的用户访问,丢弃该MAC帧,中止后续处理;
(2)OPC协议安全检查。
OPC协议安全检查包括OPC客户端安全认证和OPC数据包合规性检查,OPC客户端安全认证采用白名单策略,预先将允许与OPC服务器通信的OPC客户端及用户名列入白名单中,通过解析当前OPC数据包,提取出OPC数据包中所包含的OPC客户端及用户信息,然后依据白名单进行检查,禁止任何未列入白名单中的OPC客户端及用户名与OPC服务器进行通信,防止非法用户入侵工业控制系统;OPC数据包合规性检查也是采用白名单策略,预先将OPC协议规范与通信规则列入白名单中,通过解析当前OPC数据包,提取出OPC数据包类型及格式等特征信息,然后依据白名单中的OPC协议规范与通信规则进行检查,丢弃任何违反OPC协议规范与通信规则的异常或变异OPC数据包,防止AFDX网络中的OPC服务器受到攻击;
(3)HTTP协议安全检查
HTTP协议安全检查为检查HTTP数据包中是否包含URL字符串,如果有URL 字符串,检查是否存在有可能形成SQL注入和XSS攻击的可疑URL字符串;为了提高识别率,采用基于逻辑回归算法的机器学习方法,即通过学习机器算法提取出异常的URL字符串模式,存储在黑名单中;如果检测到当前HTTP数据包中存在黑名单中异常URL字符串模式,说明当前HTTP数据包中可能存在SQL注入或XSS攻击,则丢弃该HTTP数据包,防止AFDX网络中的Web服务器受到攻击;
(4)通信行为日志记录。
通过检查和未通过安全检查的所有通信行为都被记录的系统的日志文件中,供管理员日后查询、审计和追溯;同时,对于未通过安全检查的异常通信行为,通过邮件、短信的方式向管理员发出报警信息;
通过上述安全检查的OPC/HTTP数据包被认为是可信、安全的,将当前MAC帧提交给数据包转发功能模块,转发给AFDX网络中的OPC/Web服务器;
步骤4:数据包转发。
调用AFDX网卡提供的API函数,将MAC帧提交给AFDX网卡内置的UDP协议,封装成UDP包后发送给AFDX网络中的OPC/Web服务器;
步骤5:服务器端协议转换
服务器端协议转换作为ASGS的配套功能模块,运行在OPC/Web服务器系统上,在OPC/Web服务器上配置两个网卡,一个是AFDX网卡,用于连接AFDX网络;另一个是非AFDX以太网卡,处于空闲状态,但需要安装网卡驱动程序和TCP/IP协议栈,OPC/Web服务器建立在该网卡驱动程序和TCP/IP协议栈上,网卡驱动程序和 TCP/IP协议栈运行在系统的内核态,而协议转换功能模块则运行在系统的用户态,当协议转换功能模块接收到ASGS的UDP包后,解封成原始的MAC帧,传递给内核态下的非AFDX以太网卡驱动程序,由非AFDX以太网卡驱动程序提交给TCP/IP协议栈解封成OPC/HTTP请求包,提交给相应的服务器处理;
步骤6:OPC/HTTP应答包处理。
对于OPC/Web服务器返回的OPC/HTTP应答包,服务器端和ASGS均只做协议转换处理,不再做任何的安全检查;首先服务器发送的OPC/HTTP应答包经过TCP/IP 协议栈封装成MAC帧,然后传递给用户态下的服务器协议转换功能模块,协议转换功能模块调用AFDX网卡提供的API函数,通过AFDX网卡内置的UDP协议,封装成UDP包发送给ASGS;ASGS从AFDX网卡内置的UDP协议接收到UDP包后,解封成原始的MAC帧,然后传递给内核态下的非AFDX以太网卡驱动程序发送给 OPC/Web客户端,完成对OPC/Web客户端请求的应答,即完成一次OPC/HTTP“请求-应答”通信的全过程。
本发明的ASGS可采用硬件和软件相结合的方法来实施。
1.采用嵌入式计算机来构造ASGS的基本硬件和软件环境,包括CPU、内存、主板、硬盘、AFDX网卡、普通以太网卡以及嵌入式操作系统。
2.使用C语言开发ASGS系统软件,主要包括数据包收发、数据包深度解析、数据包转发、日志记录和系统管理等功能模块,并集成一体,形成一个完整的ASGS系统。为了提高ASGS系统的执行效率,其中的检查算法可采用程序硬件化方式,如 FPGA(FieldProgrammable Gate Array)方式来实现。另外,还要开发服务器端协议转换功能模块,作为配套软件运行在OPC/Web服务器上。
3.还要开发一个基于C/S三层结构的远程管理软件工具,主要为管理员提供 ASGS系统的安全配置管理、系统运行管理、异常事件管理、日志查询以及安全审计等功能。
Claims (2)
1.一种AFDX安全网关系统,其特征在于:
所述的AFDX安全网关系统,安装有两个网卡:非AFDX以太网卡和AFDX网卡,分别用于收发企业信息网和AFDX网络的数据包,并采用不同的收发机制;
当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后,将MAC帧传递给用户态下的数据包解析功能模块,提取出封装在MAC帧中的字段,只允许用户使用OPC/HTTP协议来访问AFDX网络中的服务器,而其它协议被视为非法操作,并提交数据包给安全检查功能模块,数据包依次进行如下四个方面的安全检查:用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录;安全检查后,调用AFDX网卡提供的API函数,将MAC帧提交给AFDX网卡内置的UDP协议,封装成UDP包后发送给AFDX网络中的OPC/Web服务器;
在OPC/Web服务器上配置两个网卡,一个是AFDX网卡,用于连接AFDX网络;另一个是非AFDX以太网卡,处于空闲状态,当协议转换功能模块接收到ASGS的UDP包后,解封成原始的MAC帧,传递给内核态下的以太网卡驱动程序,由非AFDX以太网卡驱动程序提交给TCP/IP协议栈解封成OPC/HTTP请求包,提交给服务器处理;
对于OPC/Web服务器返回的OPC/HTTP应答包,服务器端和ASGS均只做协议转换处理,不再做任何的安全检查,OPC/HTTP应答包经过TCP/IP协议栈封装成MAC帧,然后传递给用户态下的服务器协议转换功能模块,服务器协议转换功能模块调用AFDX网卡提供的API函数,通过AFDX网卡内置的UDP协议,封装成UDP包发送给ASGS;ASGS从AFDX网卡内置的UDP协议接收到UDP包后,解封成原始的MAC帧,然后传递给内核态下的非AFDX以太网卡驱动程序发送给OPC/Web客户端,完成对OPC/Web客户端请求的应答。
2.一种利用权利要求1所述的AFDX安全网关系统的传输方法,其特征在于包括下述步骤:
步骤1:一种AFDX安全网关系统安装有两个网卡:非AFDX以太网卡和AFDX网卡,分别用于收发企业信息网和AFDX网络的数据包,并采用不同的收发机制;对于非AFDX以太网卡,采用通过操作系统内核态的以太网卡驱动程序收发MAC帧,并通过对MAC帧的层层解析,提取相关协议字段,实现对数据包的安全检查;对于AFDX网卡,采用AFDX网卡提供的API函数,调用AFDX网卡内部的UDP协议收发数据包,数据包的载荷便是通过安全检查的MAC帧;面向AFDX网卡的数据包收发程序工作在操作系统的用户态,因此需要利用操作系统提供的API函数在用户态和内核态之间建立数据通信管道,用于接收或发送MAC帧;
步骤2:数据包深度解析
当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后,将MAC帧传递给用户态下的数据包解析功能模块,提取出封装在MAC帧中的字段,所述字段包括但不限于源IP地址、目的IP地址、目的TCP端口号、协议类型以及TCP数据包载荷,然后根据协议类型字段判断是否为TCP协议,否则丢弃该MAC帧;再根据TCP数据包载荷中的应用层协议头字段判断是否为OPC协议或HTTP协议,否则丢弃该MAC帧,即只允许用户使用OPC/HTTP协议来访问AFDX网络中的服务器,而其它协议被视为非法操作,如判断是OPC协议,则提交OPC数据包给OPC协议安全检查功能模块,并转步骤3;如果是HTTP协议,则提交HTTP协议数据包给HTTP协议安全检查功能模块,并转步骤3;
步骤3:数据包安全检查
数据包依次进行如下四个安全检查:用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录;
(1)用户访问可信性检查
在预先建立的白名单中,可信用户使用源IP地址标识,目标服务器使用目地IP地址标识,目标服务器上运行的服务程序使用目的TCP端口号标识;如果从MAC帧中提取出的源IP地址、目的IP地址、目的TCP端口号出现在白名单中,则认为是可信的用户访问,并进入步骤(2);否则认为是不可信的用户访问,丢弃该MAC帧,中止后续处理;
(2)OPC协议安全检查
OPC协议安全检查包括OPC客户端安全认证和OPC数据包合规性检查,OPC客户端安全认证采用白名单策略,预先将允许与OPC服务器通信的OPC客户端及用户名列入白名单中,通过解析当前OPC数据包,提取出OPC数据包中所包含的OPC客户端及用户信息,然后依据白名单进行检查,禁止任何未列入白名单中的OPC客户端及用户名与OPC服务器进行通信,防止非法用户入侵工业控制系统;OPC数据包合规性检查也是采用白名单策略,预先将OPC协议规范与通信规则列入白名单中,通过解析当前OPC数据包,提取出OPC数据包类型及格式等特征信息,然后依据白名单中的OPC协议规范与通信规则进行检查,丢弃任何违反OPC协议规范与通信规则的异常或变异OPC数据包,防止AFDX网络中的OPC服务器受到攻击;
(3)HTTP协议安全检查
HTTP协议安全检查为检查HTTP数据包中是否包含URL字符串,如果有URL字符串,检查是否存在有可能形成SQL注入和XSS攻击的可疑URL字符串;本发明采用基于逻辑回归算法的机器学习方法,即通过学习机器算法提取出异常的URL字符串模式,存储在黑名单中;如果检测到当前HTTP数据包中存在黑名单中异常URL字符串模式,说明当前HTTP数据包中可能存在SQL注入或XSS攻击,则丢弃该HTTP数据包,防止AFDX网络中的Web服务器受到攻击;
(4)通信行为日志记录
通过检查和未通过安全检查的所有通信行为都被记录的系统的日志文件中,供管理员日后查询、审计和追溯;同时,对于未通过安全检查的异常通信行为,通过邮件、短信的方式向管理员发出报警信息;
通过上述安全检查的OPC/HTTP数据包被认为是可信、安全的,将当前MAC帧提交给数据包转发功能模块,转发给AFDX网络中的OPC/Web服务器;
步骤4:数据包转发
调用AFDX网卡提供的API函数,将MAC帧提交给AFDX网卡内置的UDP协议,封装成UDP包后发送给AFDX网络中的OPC/Web服务器;
步骤5:服务器端协议转换
服务器端协议转换作为ASGS的配套功能模块,运行在OPC/Web服务器系统上,在OPC/Web服务器上配置两个网卡,一个是AFDX网卡,用于连接AFDX网络;另一个是非AFDX以太网卡,处于空闲状态,但需要安装网卡驱动程序和TCP/IP协议栈,OPC/Web服务器建立在该网卡驱动程序和TCP/IP协议栈上,网卡驱动程序和TCP/IP协议栈运行在系统的内核态,而协议转换功能模块则运行在系统的用户态,当协议转换功能模块接收到ASGS的UDP包后,解封成原始的MAC帧,传递给内核态下的非AFDX以太网卡驱动程序,由非AFDX以太网卡驱动程序提交给TCP/IP协议栈解封成OPC/HTTP请求包,提交给相应的服务器处理;
步骤6:OPC/HTTP应答包处理
对于OPC/Web服务器返回的OPC/HTTP应答包,服务器端和ASGS均只做协议转换处理,不再做任何的安全检查;首先服务器发送的OPC/HTTP应答包经过TCP/IP协议栈封装成MAC帧,然后传递给用户态下的服务器协议转换功能模块,协议转换功能模块调用AFDX网卡提供的API函数,通过AFDX网卡内置的UDP协议,封装成UDP包发送给ASGS;ASGS从AFDX网卡内置的UDP协议接收到UDP包后,解封成原始的MAC帧,然后传递给内核态下的非AFDX以太网卡驱动程序发送给OPC/Web客户端,完成对OPC/Web客户端请求的应答,即完成一次OPC/HTTP“请求-应答”通信的全过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810366375.8A CN108768841A (zh) | 2018-04-23 | 2018-04-23 | Afdx安全网关系统及其传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810366375.8A CN108768841A (zh) | 2018-04-23 | 2018-04-23 | Afdx安全网关系统及其传输方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108768841A true CN108768841A (zh) | 2018-11-06 |
Family
ID=64011572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810366375.8A Pending CN108768841A (zh) | 2018-04-23 | 2018-04-23 | Afdx安全网关系统及其传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108768841A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587082A (zh) * | 2019-01-10 | 2019-04-05 | 烽火通信科技股份有限公司 | 一种基于Linux操作系统的报文异步转发系统及方法 |
| CN111212061A (zh) * | 2019-12-31 | 2020-05-29 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于afdx的套接字的实现方法 |
| CN117376442A (zh) * | 2023-12-07 | 2024-01-09 | 中国民航大学 | 基于硬件处理架构的远程数据集中器协议转换方法及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110103268A1 (en) * | 2009-11-05 | 2011-05-05 | Societe Par Actions Simplifiee | Aircraft communication system |
| CN103023784A (zh) * | 2012-12-20 | 2013-04-03 | 中电科航空电子有限公司 | 航空数据总线与以太网之间安全通信的系统及方法 |
| CN203661095U (zh) * | 2013-11-20 | 2014-06-18 | 中电科航空电子有限公司 | 用于航电网络和以太网络协议转换的网关设备 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| CN104767748A (zh) * | 2015-03-30 | 2015-07-08 | 西北工业大学 | Opc服务器安全防护系统 |
-
2018
- 2018-04-23 CN CN201810366375.8A patent/CN108768841A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110103268A1 (en) * | 2009-11-05 | 2011-05-05 | Societe Par Actions Simplifiee | Aircraft communication system |
| CN103023784A (zh) * | 2012-12-20 | 2013-04-03 | 中电科航空电子有限公司 | 航空数据总线与以太网之间安全通信的系统及方法 |
| CN203661095U (zh) * | 2013-11-20 | 2014-06-18 | 中电科航空电子有限公司 | 用于航电网络和以太网络协议转换的网关设备 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| CN104767748A (zh) * | 2015-03-30 | 2015-07-08 | 西北工业大学 | Opc服务器安全防护系统 |
Non-Patent Citations (2)
| Title |
|---|
| NEJLA REJEB等: ""Modeling of a heterogeneous AFDX-CAN network gateway"", 《2014 WORLD SYMPOSIUM ON COMPUTER APPLICATIONS & RESEARCH (WSCAR)》 * |
| 尚伟林: ""AFDX Gateway软件的设计与实现"", 《北京邮电大学硕士学位论文》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587082A (zh) * | 2019-01-10 | 2019-04-05 | 烽火通信科技股份有限公司 | 一种基于Linux操作系统的报文异步转发系统及方法 |
| CN109587082B (zh) * | 2019-01-10 | 2020-12-29 | 烽火通信科技股份有限公司 | 一种基于Linux操作系统的报文异步转发系统及方法 |
| CN111212061A (zh) * | 2019-12-31 | 2020-05-29 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于afdx的套接字的实现方法 |
| CN111212061B (zh) * | 2019-12-31 | 2021-11-23 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于afdx的套接字的实现方法 |
| CN117376442A (zh) * | 2023-12-07 | 2024-01-09 | 中国民航大学 | 基于硬件处理架构的远程数据集中器协议转换方法及设备 |
| CN117376442B (zh) * | 2023-12-07 | 2024-03-08 | 中国民航大学 | 基于硬件处理架构的远程数据集中器协议转换方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7475138B2 (en) | Access control list checking | |
| CN101567888B (zh) | 网络反馈主机安全防护方法 | |
| CN104767748B (zh) | Opc服务器安全防护系统 | |
| US10454896B2 (en) | Critical infrastructure security framework | |
| CN104734903B (zh) | 基于动态跟踪技术的opc协议的安全防护方法 | |
| CN110337799A (zh) | 具有车辆内部的数据网络的机动车以及运行机动车的方法 | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| CN104539600B (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
| CN104753936A (zh) | Opc安全网关系统 | |
| CN105245555B (zh) | 一种用于电力串口服务器通信协议安全防护系统 | |
| CN108494672A (zh) | 一种工业通信网关、工业数据安全隔离系统及其方法 | |
| CN103139058A (zh) | 一种物联网安全接入网关 | |
| CN116055254B (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| CN108768841A (zh) | Afdx安全网关系统及其传输方法 | |
| CN110768965B (zh) | 一种基于报文置换的电网调度远方操作安全许可方法 | |
| WO2010121542A1 (zh) | 一种基于家庭网关的防病毒方法及相关装置 | |
| JP2002533792A (ja) | 信頼された内部ネットワ−クの作動を保護方法およびシステム | |
| US20060156400A1 (en) | System and method for preventing unauthorized access to computer devices | |
| Paul et al. | Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO | |
| CN112437070B (zh) | 一种基于操作生成树状态机完整性验证计算方法及系统 | |
| CN112468464A (zh) | 基于服务链的状态机完整性验证系统及方法 | |
| CN109831438B (zh) | 基于虚拟化的航电网络域与信息网络域间的双向通信系统和方法 | |
| CA2510633C (en) | Access control list checking | |
| Yi | The Network Security Analysis System Design Based on B/S Structure: An Approach Research |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181106 |