CN111797371A - 一种交换机加密系统 - Google Patents
一种交换机加密系统 Download PDFInfo
- Publication number
- CN111797371A CN111797371A CN202010546067.0A CN202010546067A CN111797371A CN 111797371 A CN111797371 A CN 111797371A CN 202010546067 A CN202010546067 A CN 202010546067A CN 111797371 A CN111797371 A CN 111797371A
- Authority
- CN
- China
- Prior art keywords
- module
- message
- packet
- processing
- perform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 claims abstract description 48
- 238000005111 flow chemistry technique Methods 0.000 claims abstract description 12
- 238000004891 communication Methods 0.000 claims abstract description 11
- 238000001914 filtration Methods 0.000 claims abstract description 10
- 238000004458 analytical method Methods 0.000 claims abstract description 7
- 230000009471 action Effects 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 4
- 238000007493 shaping process Methods 0.000 claims description 3
- 230000007704 transition Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 abstract description 21
- 230000006870 function Effects 0.000 abstract description 11
- 238000012544 monitoring process Methods 0.000 abstract description 7
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 230000003044 adaptive effect Effects 0.000 abstract description 3
- 230000002776 aggregation Effects 0.000 abstract description 3
- 238000004220 aggregation Methods 0.000 abstract description 3
- 238000013500 data storage Methods 0.000 abstract description 3
- 238000013501 data transformation Methods 0.000 abstract description 3
- 238000001514 detection method Methods 0.000 abstract description 3
- 238000009826 distribution Methods 0.000 abstract description 3
- 230000007246 mechanism Effects 0.000 abstract description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000003739 neck Anatomy 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种交换机加密系统,该系统包括:CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块。通过该系统,实现了数据变换、数据过滤、运算处理、历史数据存储、统计处理、报警处理、服务请求等基础功能;芯片采用软件多级检测和硬件多重保护机制来提高稳定性,完全满足了工业级标准和工业用户的需求;兼具入侵监测、流量预测与智能调度等能力,实现了数据汇聚、数据分流和控制流数据的自适应传输,为工控网络提供安全的服务信息通信功能。
Description
技术领域
本发明涉及网络安全技术领域,具体来说,涉及一种交换机加密系统。
背景技术
近年来,随着工控网络日益发展,技术、新应用的不断推出,各种工控网络协议的不断完善的同时,工控网络信息安全威胁的问题日渐突出,例如之前出现的震网病毒及最近出现的西门子分布式控制系统SPPA-T3000漏洞,直接威胁并影响到工控网络的设备、机密和整体运维的可靠性和安全性。在5G和工业互联网快速部署的情况下,工控网络的安全问题将更为突出。目前我国工控网络使用的是传统的安全解决方案,存在以下问题:
基于安全服务器平台实现网络安全,无法满足工控网络实时性要求;而普通硬件网关无法满足工业控制网络对于多业务传输的高带宽大容量需求;
目前市面上的商用工业网关(如Easy ProfiBus)虽然能够完成工业现场设备的维护、管理以及信息转发,但是解决问题相对单一,无法解决工业网络差异化需求;
高度集成化的工业网关以CPU、GPU等通用型芯片以及半定制的FPGA为核心,体积大、功耗高、可靠性和保密性无法满足特定工业应用的定制化需求;
市场上解决当前工业网络所面临问题的工业网关设备主要以国外产品为主,价格昂贵,且产品不具备自主知识产权,很容易被 国外“卡脖子”。
发明内容
针对相关技术中的上述技术问题,本发明提出一种交换机加密系统,能够克服现有技术的上述不足。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种交换机加密系统,该系统包括:
CPU控制管理系统,所述CPU控制管理系统用于整个系统的软硬件初始化,安全配置管理,计划调度和用户认证鉴权服务,所述CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;
核心芯片网络流处理系统,所述核心芯片网络流处理系统用于接收从 4 个千兆接口和 4 个万兆接口进入的网络数据流,所述核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块,其中,
所述CPU控制管理系统、核心芯片网络流处理系统之间的接口是 PCI-E总线,采用专用硬件通信协议和控制协议进行互联。
进一步的,所述包头分析模块用于解析报文L2-L5的信息域,并进行报文合法性检查,根据 L2-L5信息域的MATCH规则,用户基于报文信息域进行过滤规则设置,其中,L2-L5为网络协议的不同层级。
进一步的,所述2层交换模块用于支持MAC地址的学习与查找,透明模式的转发;所述3层交换模块用于支持子网表、主机路由表和用户表的查找,基于用户的认证和会话数量限制,路由模式的转发。
进一步的,所述状态检查模块用于根据报文的L3 和 L4 包头信息查找状态表,其中,当找到状态表时,按照协议做状态迁移检查;当未找到状态表时,认为当前包是首包,状态检查模块不做任何处理,传递给下级模块。
进一步的,所述白名单策略查找模块用于对于状态检查模块完整的报文,通过9元组进行策略匹配查找比对,并记录相应的比对结果,执行白名单动作,所述9元组包括接口、源MAC、目的MAC、VLAN、EthernetType、IP协议、源IP、目的IP、端口。
进一步的,所述黑名单策略查找模块用于对于状态检查模块完整的报文,通过9元组进行策略匹配查找比对,同时根据报文应用层内容字段进行比对,并记录相应的比对结果,执行黑名单动作。
进一步的,所述流分类与流量控制模块用于按照用户、策略规则对报文数据流进行分类,并对各分类进行带宽管理和流量整形处理。
进一步的,所述输入输出模块包括输入模块、输出模块。
进一步的,所述输入模块用于根据输入的报文类型进行缓存处理,把报文整个推入包缓存,提取报文头部信息,打上报文的包ID送到后续模块继续处理;输出模块用于根据前级所有硬件处理的结果,进行执行动作和修改报文内容的操作,通过包 ID 读取包缓存内报文,处理完成后通过以太网接口输出。
进一步的,所述输出模块用于根据前级所有硬件处理的结果,进行执行动作和修改报文内容的操作,通过包 ID 读取包缓存内报文,处理完成后通过以太网接口输出。
本发明的有益效果:通过该系统,解决了工业4.0时代工控网络所面临问题的自研工业网关产品,填补了国内自主知识产权工控网关领域的技术空白;实现了数据变换、数据过滤、运算处理、历史数据存储、统计处理、报警处理、服务请求等基础功能;采用高性能工业级通信处理器,其计算能力和计算效率可直接根据算法需要定制,与国内外同类产品相比体积小、功耗低、可靠性高、保密性强、计算性能高和计算效率更快;芯片采用软件多级检测和硬件多重保护机制来提高稳定性,完全满足了工业级标准和工业用户的需求;基于自研芯片实现具备SDN/NFV等扩展功能的智能网关硬件设备,该产品可具备多个千兆和万兆的安全交换能力,整体吞吐能力大于20Gbps,网络延迟达到微秒级;有效针对各种安全威胁的黑白名单灵活控制、自主过滤和安全检查,规避了远程恶意代码、蠕虫DoS等网络攻击;兼具入侵监测、流量预测与智能调度等能力,实现了数据汇聚、数据分流和控制流数据的自适应传输,为工控网络提供安全的服务信息通信功能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例所述的一种交换机加密系统的原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明实施例所述的一种交换机加密系统,包括:
CPU控制管理系统,所述CPU控制管理系统用于整个系统的软硬件初始化,安全配置管理,计划调度和用户认证鉴权服务,所述CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;
核心芯片网络流处理系统,所述核心芯片网络流处理系统用于接收从 4 个千兆接口和 4 个万兆接口进入的网络数据流,所述核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块,其中,
所述CPU控制管理系统、核心芯片网络流处理系统之间的接口是 PCI-E总线,采用专用硬件通信协议和控制协议进行互联。
在本发明的一个具体实施例中,所述包头分析模块用于解析报文L2-L5的信息域,并进行报文合法性检查,根据 L2-L5信息域的MATCH规则,用户基于报文信息域进行过滤规则设置,其中,L2-L5为网络协议的不同层级。
在本发明的一个具体实施例中,所述2层交换模块用于支持MAC地址的学习与查找,透明模式的转发;所述3层交换模块用于支持子网表、主机路由表和用户表的查找,基于用户的认证和会话数量限制,路由模式的转发。
在本发明的一个具体实施例中,所述状态检查模块用于根据报文得L3 和 L4 包头信息查找状态表,其中,当找到状态表时,按照协议做状态迁移检查;当未找到状态表时,认为当前包是首包,状态检查模块不做任何处理,传递给下级模块。
在本发明的一个具体实施例中,所述白名单策略查找模块用于对于状态检查模块完整的报文,通过9元组进行策略匹配查找比对,并记录相应的比对结果,执行白名单动作,所述9元组包括接口、源MAC、目的MAC、VLAN、EthernetType、IP协议、源IP、目的IP、端口。
在本发明的一个具体实施例中,所述黑名单策略查找模块用于对于状态检查模块完整的报文,通过9元组进行策略匹配查找比对,同时根据报文应用层内容字段进行比对,并记录相应的比对结果,执行黑名单动作。
在本发明的一个具体实施例中,所述流分类与流量控制模块用于按照用户、策略规则对报文数据流进行分类,并对各分类进行带宽管理和流量整形处理。
在本发明的一个具体实施例中,所述输入输出模块包括输入模块、输出模块。
在本发明的一个具体实施例中,所述输入模块用于根据输入的报文类型进行缓存处理,把报文整个推入包缓存,提取报文头部信息,打上报文的包ID送到后续模块继续处理;输出模块用于根据前级所有硬件处理的结果,进行执行动作和修改报文内容的操作,通过包 ID 读取包缓存内报文,处理完成后通过以太网接口输出。
在本发明的一个具体实施例中,所述输出模块用于根据前级所有硬件处理的结果,进行执行动作和修改报文内容的操作,通过包 ID 读取包缓存内报文,处理完成后通过以太网接口输出。
为了方便理解本发明的上述技术方案,以下对本发明的上述技术方案进行详细说明。
安全交换机模块采用自主研发的专用硬件架构和国产自主的加密协议,提供高性能的主要工控网络安全功能包括:
支持IPv4和IPv6混合的工控网络环境;
用户行为访问控制;
用户安全配置管理;
用户安全鉴权和授权;
支持基于黑白名单策略的工控协议控制和安全过滤;
登录和报警;
防止攻击威胁处理等;
提供专用带外安全管理配置接口。
同时基于全定制化的硬件设计架构,满足性能需求:支持高性能多个千兆以太网接口,整个产品吞吐量支持20Gbps,网络延迟小于1ms,支持可保护节点数至1000个。
整个安全工业交换机模块分两个大的子系统,分别是CPU控制管理子系统和核心芯片网络流处理子系统。核心芯片处理子系统和CPU子系统之间的接口是PCI-E 总线,采用专用硬件通信协议和控制协议进行互联。
CPU的控制管理子系统负责整个系统的软硬件初始化,安全配置管理,计划调度和用户认证鉴权等服务。核心芯片网络流处理子系统,负责接收从 4 个千兆接口和 4 个万兆接口进入的网络数据流,实现20Gbps 的数据并行处理性能,过程如下:
(1)基于各个网络层次(以太网,VLAN,ARP,IP,IGMP,ICMP,TCP/UDP)的协议解析,深层过滤和安全检查;
(2)进行网络数据的交换和输入输出处理;
(3)进行白名单策略的匹配处理;
(4)进行会话连接状态的安全处理;
(5)进行工控协议的识别和匹配预处理;
(6)进行工控协议的内容匹配和安全过滤控制处理;
(7)进行黑名单的策略匹配控制出来;
(8)进行网络攻击防御和安全过滤处理;
(10)支持基于策略的监控和镜像功能;
(11)芯片直接根据内容和会话发送日志和统计信息到专用日志服务器;
(12)芯片完成所有功能预处理和最终动作执行处理,并进行交换输出模块加密部分采用国产自主的SM7加密算法,在FPGA中设计实现。
综上所述,借助于本发明的上述技术方案,通过该系统,解决了工业4.0时代工控网络所面临问题的自研工业网关产品,填补了国内自主知识产权工控网关领域的技术空白;实现了数据变换、数据过滤、运算处理、历史数据存储、统计处理、报警处理、服务请求等基础功能;采用高性能工业级通信处理器,其计算能力和计算效率可直接根据算法需要定制,与国内外同类产品相比体积小、功耗低、可靠性高、保密性强、计算性能高和计算效率更快;芯片采用软件多级检测和硬件多重保护机制来提高稳定性,完全满足了工业级标准和工业用户的需求;基于自研芯片实现具备SDN/NFV等扩展功能的智能网关硬件设备,该产品可具备多个千兆和万兆的安全交换能力,整体吞吐能力大于20Gbps,网络延迟达到微秒级;有效针对各种安全威胁的黑白名单灵活控制、自主过滤和安全检查,规避了远程恶意代码、蠕虫DoS等网络攻击;兼具入侵监测、流量预测与智能调度等能力,实现了数据汇聚、数据分流和控制流数据的自适应传输,为工控网络提供安全的服务信息通信功能。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种交换机加密系统,其特征在于,包括:
CPU控制管理系统,所述CPU控制管理系统用于整个系统的软硬件初始化,安全配置管理,计划调度和用户认证鉴权服务,所述CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;
核心芯片网络流处理系统,所述核心芯片网络流处理系统用于接收从 4 个千兆接口和 4 个万兆接口进入的网络数据流,所述核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块,其中,
所述CPU控制管理系统、核心芯片网络流处理系统之间的接口是 PCI-E总线,采用专用硬件通信协议和控制协议进行互联。
2. 根据权利要求1所述的一种交换机加密系统,其特征在于,所述包头分析模块用于解析报文L2-L5的信息域,并进行报文合法性检查,根据 L2-L5信息域的MATCH规则,用户基于报文信息域进行过滤规则设置,其中,L2-L5为网络协议的不同层级。
3.根据权利要求1所述的一种交换机加密系统,其特征在于,所述2层交换模块用于支持MAC地址的学习与查找,透明模式的转发;所述3层交换模块用于支持子网表、主机路由表和用户表的查找,基于用户的认证和会话数量限制,路由模式的转发。
4. 根据权利要求1所述的一种交换机加密系统,其特征在于,所述状态检查模块用于根据报文的L3 和 L4 包头信息查找状态表,其中,当找到状态表时,按照协议做状态迁移检查;当未找到状态表时,认为当前包是首包,状态检查模块不做任何处理,传递给下级模块。
5.根据权利要求1所述的一种交换机加密系统,其特征在于,所述白名单策略查找模块用于对于状态检查模块完整的报文,通过9元组进行策略匹配查找比对,并记录相应的比对结果,执行白名单动作,所述9元组包括接口、源MAC、目的MAC、VLAN、EthernetType、IP协议、源IP、目的IP、端口。
6.根据权利要求1所述的一种交换机加密系统,其特征在于,所述黑名单策略查找模块用于对于状态检查模块完整的报文,通过9元组进行策略匹配查找比对,同时根据报文应用层内容字段进行比对,并记录相应的比对结果,执行黑名单动作。
7.根据权利要求1所述的一种交换机加密系统,其特征在于,所述流分类与流量控制模块用于按照用户、策略规则对报文数据流进行分类,并对各分类进行带宽管理和流量整形处理。
8.根据权利要求1所述的一种交换机加密系统,其特征在于,所述输入输出模块包括输入模块、输出模块。
9. 根据权利要求8所述的一种交换机加密系统,其特征在于,所述输入模块用于根据输入的报文类型进行缓存处理,把报文整个推入包缓存,提取报文头部信息,打上报文的包ID送到后续模块继续处理;输出模块用于根据前级所有硬件处理的结果,进行执行动作和修改报文内容的操作,通过包 ID 读取包缓存内报文,处理完成后通过以太网接口输出。
10. 根据权利要求8所述的一种交换机加密系统,其特征在于,所述输出模块用于根据前级所有硬件处理的结果,进行执行动作和修改报文内容的操作,通过包 ID 读取包缓存内报文,处理完成后通过以太网接口输出。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010546067.0A CN111797371A (zh) | 2020-06-16 | 2020-06-16 | 一种交换机加密系统 |
| PCT/CN2020/096954 WO2021253366A1 (zh) | 2020-06-16 | 2020-06-19 | 一种交换机加密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010546067.0A CN111797371A (zh) | 2020-06-16 | 2020-06-16 | 一种交换机加密系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111797371A true CN111797371A (zh) | 2020-10-20 |
Family
ID=72804380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010546067.0A Pending CN111797371A (zh) | 2020-06-16 | 2020-06-16 | 一种交换机加密系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN111797371A (zh) |
| WO (1) | WO2021253366A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113505349A (zh) * | 2021-07-24 | 2021-10-15 | 山东三未信安信息科技有限公司 | 一种嵌入式uboot下Mini PCI-E密码卡运行方法 |
| CN114584338A (zh) * | 2021-12-31 | 2022-06-03 | 网络通信与安全紫金山实验室 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
| CN116405281A (zh) * | 2023-04-04 | 2023-07-07 | 扬州万方科技股份有限公司 | 一种实时信息检测网络交换系统 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363018B (zh) * | 2021-12-20 | 2023-09-22 | 北京六方云信息技术有限公司 | 工业数据传输方法、装置、设备与存储介质 |
| CN114205193B (zh) * | 2022-01-11 | 2024-10-08 | 沈阳麦克奥迪能源科技有限公司 | 一种远程调试配置的能效物联网网关 |
| CN114745176A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 数据传输控制方法、装置、计算机设备和存储介质 |
| CN115484127A (zh) * | 2022-09-27 | 2022-12-16 | 成都成电光信科技股份有限公司 | 一种基于片上系统的fc与以太网混合交换装置及其方法 |
| CN116743500B (zh) * | 2023-08-10 | 2024-06-14 | 北京天融信网络安全技术有限公司 | 工业防火墙系统、报文处理方法和工控系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004112313A2 (fr) * | 2003-06-18 | 2004-12-23 | Lenovo (Beijing) Limited | Equipement de securite reseau et son procede de production |
| CN101321163A (zh) * | 2008-07-03 | 2008-12-10 | 江苏华丽网络工程有限公司 | 融合多层并行处理的网络接入设备一体化硬件实现方法 |
| CN104917776A (zh) * | 2015-06-23 | 2015-09-16 | 北京威努特技术有限公司 | 一种工控网络安全防护设备与方法 |
| CN108809864A (zh) * | 2018-06-15 | 2018-11-13 | 中国电子科技集团公司第四十研究所 | 一种基于fpga的多线卡高密度tap交换机 |
| CN109120602A (zh) * | 2018-07-25 | 2019-01-01 | 中国人民公安大学 | 一种IPv6攻击溯源方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| US9094407B1 (en) * | 2014-11-21 | 2015-07-28 | Citrix Systems, Inc. | Security and rights management in a machine-to-machine messaging system |
| CN106411820B (zh) * | 2015-07-29 | 2019-05-21 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| CN108494672A (zh) * | 2018-04-17 | 2018-09-04 | 上海振华重工(集团)股份有限公司 | 一种工业通信网关、工业数据安全隔离系统及其方法 |
-
2020
- 2020-06-16 CN CN202010546067.0A patent/CN111797371A/zh active Pending
- 2020-06-19 WO PCT/CN2020/096954 patent/WO2021253366A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004112313A2 (fr) * | 2003-06-18 | 2004-12-23 | Lenovo (Beijing) Limited | Equipement de securite reseau et son procede de production |
| CN101321163A (zh) * | 2008-07-03 | 2008-12-10 | 江苏华丽网络工程有限公司 | 融合多层并行处理的网络接入设备一体化硬件实现方法 |
| CN104917776A (zh) * | 2015-06-23 | 2015-09-16 | 北京威努特技术有限公司 | 一种工控网络安全防护设备与方法 |
| CN108809864A (zh) * | 2018-06-15 | 2018-11-13 | 中国电子科技集团公司第四十研究所 | 一种基于fpga的多线卡高密度tap交换机 |
| CN109120602A (zh) * | 2018-07-25 | 2019-01-01 | 中国人民公安大学 | 一种IPv6攻击溯源方法 |
Non-Patent Citations (2)
| Title |
|---|
| 宣力 等: "《计算机安全用户指南》", 30 June 2000, pages: 114 * |
| 聂真理 等: "《计算机网络基础教程》", 31 October 2002, pages: 184 - 189 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113505349A (zh) * | 2021-07-24 | 2021-10-15 | 山东三未信安信息科技有限公司 | 一种嵌入式uboot下Mini PCI-E密码卡运行方法 |
| CN114584338A (zh) * | 2021-12-31 | 2022-06-03 | 网络通信与安全紫金山实验室 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
| CN114584338B (zh) * | 2021-12-31 | 2024-03-26 | 网络通信与安全紫金山实验室 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
| CN116405281A (zh) * | 2023-04-04 | 2023-07-07 | 扬州万方科技股份有限公司 | 一种实时信息检测网络交换系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021253366A1 (zh) | 2021-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111797371A (zh) | 一种交换机加密系统 | |
| WO2021196911A1 (zh) | 基于人工智能的网络安全防护方法、装置、电子设备 | |
| Ye et al. | A DDoS attack detection method based on SVM in software defined network | |
| CN100558089C (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
| US8776207B2 (en) | Load balancing in a network with session information | |
| CN105282169B (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
| US7555774B2 (en) | Inline intrusion detection using a single physical port | |
| US20070230445A1 (en) | Integrated Circuit Apparatus And Method For High Throughput Signature Based Network Applications | |
| WO2013053407A1 (en) | A method and a system to detect malicious software | |
| Ma | Analysis of anomaly detection method for Internet of things based on deep learning | |
| CN112995238B (zh) | 一种减轻DDoS攻击的方法、可编程交换机及SDN控制器 | |
| Tsikoudis et al. | LEoNIDS: A low-latency and energy-efficient network-level intrusion detection system | |
| CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
| CN103475559A (zh) | 一种根据报文内容对报文进行处理并转发的方法和系统 | |
| Trabelsi et al. | Dynamic rule and rule‐field optimisation for improving firewall performance and security | |
| CN116405281A (zh) | 一种实时信息检测网络交换系统 | |
| Qi et al. | Towards system-level optimization for high performance unified threat management | |
| CN116264520A (zh) | 使用数据处理单元的人工智能支持的网络遥测 | |
| Liu et al. | All‐Packets‐Based Multi‐Rate DDoS Attack Detection Method in ISP Layer | |
| Salopek | Hybrid hardware/software datapath for near real-time reconfigurable high-speed packet filtering | |
| Shankar et al. | Deep packet inspection in residential gateways and routers: Issues and challenges | |
| Farhady et al. | TagFlow: Efficient flow classification in SDN | |
| Cuong et al. | Hpofs: a high performance and secured openflow switch architecture for fpga. | |
| CN114826775B (zh) | 数据包的过滤规则生成方法及装置、系统、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |