CN112910847A - 一种基于切片的工业网络安全实现方法 - Google Patents
一种基于切片的工业网络安全实现方法 Download PDFInfo
- Publication number
- CN112910847A CN112910847A CN202110056573.6A CN202110056573A CN112910847A CN 112910847 A CN112910847 A CN 112910847A CN 202110056573 A CN202110056573 A CN 202110056573A CN 112910847 A CN112910847 A CN 112910847A
- Authority
- CN
- China
- Prior art keywords
- network
- slices
- access
- slice
- factory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于切片的工业网络安全实现方法,包括IT网络与OT网络互通,对于OT网络于IT网络使用不同协议情况,使用网关进行协议的转换;利用Overlay技术对工厂的网络进行虚拟化;基于虚拟化的网络,将网络分为生产制造网络,本发明通过IT网络与OT网络互通、利用Overlay技术对工厂的网络进行虚拟化、基于虚拟化的网络,将网络分为生产制造网络,运营支撑网络,可访问外网网络三个切片、网络切片最终终止于工厂网络控制器,三个切片间的网络访问全部经由网络控制器进行控制,不同切片中的成员默认不可以互访,需要互访的成员,只需要在网络控制器增加对应的安全访问策略即可互访通过使能将工厂网络的切片技术,工厂内不同网络可以安全互访。
Description
技术领域
本发明属于工业网络安全相关技术领域,具体涉及一种基于切片的工业网络安全实现方法。
背景技术
工业网络包括工厂的IT网络和工厂的OT网络两部分。IT网络负责工厂信息化部分,如ERP系统,MES系统等,工厂的OT网络负责工厂的生产制造,如智能化机床,各种传感器,信息采集系统等。通常情况下,IT网络为OT网络制定生产计划,下发生产任务等;OT网络为IT网络提供生成数据,因此这两个网络需要互联互通。
现有的技术存在以下问题:IT网络的不安全性,一旦IT网络被攻击就会严重影响OT网络,最终对工厂的生产造成影响,因此很多工厂没有将IT网络和OT网络互通,对生产效率产生一定的影响。
发明内容
本发明的目的在于提供一种基于切片的工业网络安全实现方法,以解决上述背景技术中提出的IT网络的不安全性,一旦IT网络被攻击就会严重影响OT网络,最终对工厂的生产造成影响,因此很多工厂没有将IT网络和OT网络互通,对生产效率产生一定的影响的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于切片的工业网络安全实现方法,包括IT网络与OT网络互通,对于OT网络于IT网络使用不同协议情况,使用网关进行协议的转换;利用Overlay技术对工厂的网络进行虚拟化;基于虚拟化的网络,将网络分为生产制造网络,运营支撑网络,可访问外网网络三个切片;网络切片最终终止于工厂网络控制器,三个切片间的网络访问全部经由网络控制器进行控制;工厂网络控制器集成安全访问策略对于跨切片的访问进行安全控制和工厂网络控制器可以调整三个切片的成员,使不同的成员可以灵活加入切片。
优选的,所述IT网络与OT网络互通,对于OT网络于IT网络使用不同协议情况,使用网关进行协议的转换,IT网络一般情况为不封装的IPv4/IPv6网络,这样的网络可以实现相互之间IP互通。
优选的,所述利用Overlay技术对工厂的网络进行虚拟化,工厂的网络设备使用支持Overlay技术的设备,主要是指实现VXLAN、MPLSoGRE、MPLSoUDP的交换机及路由器,每个交换机通过配置的方式(集中配置或单独配置),实现多个设备之间形成N*(N-1)的逻辑隧道,接入网络的设备之间通信都基于逻辑隧道,由于Overlay的封装,不在同一虚拟化网络内的设备默认无法通信,从而形成隔离的虚拟化网络,不同的设备接入交换机之后,逻辑划分到不同的虚拟化网络中。
优选的,所述基于虚拟化的网络,将网络分为生产制造网络,运营支撑网络,可访问外网网络三个切片,基于上述中的Overlay配置,划分出三个互相隔离的生产制造网络,运营支撑网络和访问外网网络,三个虚拟化网络默认相互不可通信,每个设备根据实际的需求选择逻辑接入对应的网络,逻辑接入指的是通过配置的方式将IT设备/OT设备的MAC/IP加入对应的虚拟化网络中。
优选的,所述网络切片最终终止于工厂网络控制器,三个切片间的网络访问全部经由网络控制器进行控制,同一网络切片内设备的网络通信不经过工厂网络控制器,设备直接经过上述中的逻辑隧道直接通信,不同切片间的网络互访,设备的报文首先经过交换机和网络控制器之间的隧道到达网络控制器,经过检查后再由未来之器到达目的地交换机及目的设备。
优选的,所述工厂网络控制器集成安全访问策略对于跨切片的访问进行安全控制,网络控制器的转发流程中提供ACL方式的安全访问策略,ACL策略根据工厂的实际需求配置。
优选的,所述工厂网络控制器可以调整三个切片的成员,使不同的成员可以灵活加入切片,不同切片中的成员默认不可以互访,需要互访的成员,只需要在网络控制器增加对应的安全访问策略即可互访,已经实现的互访成员,如果不需要互访只需要删除对应的安全访问策略即可。
与现有技术相比,本发明提供了一种基于切片的工业网络安全实现方法,具备以下有益效果:
本发明通过IT网络与OT网络互通、利用Overlay技术对工厂的网络进行虚拟化、基于虚拟化的网络,将网络分为生产制造网络,运营支撑网络,可访问外网网络三个切片、网络切片最终终止于工厂网络控制器,三个切片间的网络访问全部经由网络控制器进行控制,工厂网络控制器集成安全访问策略对于跨切片的访问进行安全控制,工厂网络控制器可以调整三个切片的成员,使不同的成员可以灵活加入切片,不同切片中的成员默认不可以互访,需要互访的成员,只需要在网络控制器增加对应的安全访问策略即可互访,已经实现的互访成员,如果不需要互访只需要删除对应的安全访问策略即可,通过使能将工厂网络的切片技术,工厂内不同网络可以安全互访。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制,在附图中:
图1为本发明提出的一种基于切片的工业网络安全实现方法结构示意图;
图中:1、OT设备、IT设备、PC的接入交换机均为支持Overlay技术的交换机;
2、Overlay交换及网络控制器之间网络可达(IP可达,可以是IPv4或IPv6,图中以IPv4示意);
3、Overlay交换机及网络控制器之间根据实际需要部署一个或者多个,图中分为内网的网络控制器及外网的网络控制器;
4、三个切片网络分别为不同的用途,接入的设备分配的地址为切片网络地址;
5、网络控制器中默认不允许跨切片的访问,增加对应的安全策略后,跨切片的特定设备之间可以相互访问;
6、同一切片内的设备互访不需要经过网络控制器。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:
一种基于切片的工业网络安全实现方法,包括IT网络与OT网络互通,对于OT网络于IT网络使用不同协议情况,使用网关进行协议的转换;利用Overlay技术对工厂的网络进行虚拟化;基于虚拟化的网络,将网络分为生产制造网络,运营支撑网络,可访问外网网络三个切片;网络切片最终终止于工厂网络控制器,三个切片间的网络访问全部经由网络控制器进行控制;工厂网络控制器集成安全访问策略对于跨切片的访问进行安全控制和工厂网络控制器可以调整三个切片的成员,使不同的成员可以灵活加入切片。
IT网络与OT网络互通,对于OT网络于IT网络使用不同协议情况,使用网关进行协议的转换,IT网络一般情况为不封装的IPv4/IPv6网络,这样的网络可以实现相互之间IP互通;利用Overlay技术对工厂的网络进行虚拟化,工厂的网络设备使用支持Overlay技术的设备,主要是指实现VXLAN、MPLSoGRE、MPLSoUDP的交换机及路由器,每个交换机通过配置的方式(集中配置或单独配置),实现多个设备之间形成N*(N-1)的逻辑隧道,接入网络的设备之间通信都基于逻辑隧道,由于Overlay的封装,不在同一虚拟化网络内的设备默认无法通信,从而形成隔离的虚拟化网络,不同的设备接入交换机之后,逻辑划分到不同的虚拟化网络中;基于虚拟化的网络,将网络分为生产制造网络,运营支撑网络,可访问外网网络三个切片,基于上述中的Overlay配置,划分出三个互相隔离的生产制造网络,运营支撑网络和访问外网网络,三个虚拟化网络默认相互不可通信,每个设备根据实际的需求选择逻辑接入对应的网络,逻辑接入指的是通过配置的方式将IT设备/OT设备的MAC/IP加入对应的虚拟化网络中;网络切片最终终止于工厂网络控制器,三个切片间的网络访问全部经由网络控制器进行控制,同一网络切片内设备的网络通信不经过工厂网络控制器,设备直接经过上述中的逻辑隧道直接通信,不同切片间的网络互访,设备的报文首先经过交换机和网络控制器之间的隧道到达网络控制器,经过检查后再由未来之器到达目的地交换机及目的设备;工厂网络控制器集成安全访问策略对于跨切片的访问进行安全控制,网络控制器的转发流程中提供ACL方式的安全访问策略,ACL策略根据工厂的实际需求配置;工厂网络控制器可以调整三个切片的成员,使不同的成员可以灵活加入切片,不同切片中的成员默认不可以互访,需要互访的成员,只需要在网络控制器增加对应的安全访问策略即可互访,已经实现的互访成员,如果不需要互访只需要删除对应的安全访问策略即可。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (7)
1.一种基于切片的工业网络安全实现方法,其特征在于:包括IT网络与OT网络互通,对于OT网络于IT网络使用不同协议情况,使用网关进行协议的转换;利用Overlay技术对工厂的网络进行虚拟化;基于虚拟化的网络,将网络分为生产制造网络,运营支撑网络,可访问外网网络三个切片;网络切片最终终止于工厂网络控制器,三个切片间的网络访问全部经由网络控制器进行控制;工厂网络控制器集成安全访问策略对于跨切片的访问进行安全控制和工厂网络控制器可以调整三个切片的成员,使不同的成员可以灵活加入切片。
2.根据权利要求1所述的一种基于切片的工业网络安全实现方法,其特征在于:所述IT网络与OT网络互通,对于OT网络于IT网络使用不同协议情况,使用网关进行协议的转换,IT网络一般情况为不封装的IPv4/IPv6网络,这样的网络可以实现相互之间IP互通。
3.根据权利要求1所述的一种基于切片的工业网络安全实现方法,其特征在于:所述利用Overlay技术对工厂的网络进行虚拟化,工厂的网络设备使用支持Overlay技术的设备,主要是指实现VXLAN、MPLSoGRE、MPLSoUDP的交换机及路由器,每个交换机通过配置的方式(集中配置或单独配置),实现多个设备之间形成N*(N-1)的逻辑隧道,接入网络的设备之间通信都基于逻辑隧道,由于Overlay的封装,不在同一虚拟化网络内的设备默认无法通信,从而形成隔离的虚拟化网络,不同的设备接入交换机之后,逻辑划分到不同的虚拟化网络中。
4.根据权利要求1所述的一种基于切片的工业网络安全实现方法,其特征在于:所述基于虚拟化的网络,将网络分为生产制造网络,运营支撑网络,可访问外网网络三个切片,基于上述中的Overlay配置,划分出三个互相隔离的生产制造网络,运营支撑网络和访问外网网络,三个虚拟化网络默认相互不可通信,每个设备根据实际的需求选择逻辑接入对应的网络,逻辑接入指的是通过配置的方式将IT设备/OT设备的MAC/IP加入对应的虚拟化网络中。
5.根据权利要求1所述的一种基于切片的工业网络安全实现方法,其特征在于:所述网络切片最终终止于工厂网络控制器,三个切片间的网络访问全部经由网络控制器进行控制,同一网络切片内设备的网络通信不经过工厂网络控制器,设备直接经过上述中的逻辑隧道直接通信,不同切片间的网络互访,设备的报文首先经过交换机和网络控制器之间的隧道到达网络控制器,经过检查后再由未来之器到达目的地交换机及目的设备。
6.根据权利要求1所述的一种基于切片的工业网络安全实现方法,其特征在于:所述工厂网络控制器集成安全访问策略对于跨切片的访问进行安全控制,网络控制器的转发流程中提供ACL方式的安全访问策略,ACL策略根据工厂的实际需求配置。
7.根据权利要求1所述的一种基于切片的工业网络安全实现方法,其特征在于:所述工厂网络控制器可以调整三个切片的成员,使不同的成员可以灵活加入切片,不同切片中的成员默认不可以互访,需要互访的成员,只需要在网络控制器增加对应的安全访问策略即可互访,已经实现的互访成员,如果不需要互访只需要删除对应的安全访问策略即可。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110056573.6A CN112910847B (zh) | 2021-01-15 | 2021-01-15 | 一种基于切片的工业网络安全实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110056573.6A CN112910847B (zh) | 2021-01-15 | 2021-01-15 | 一种基于切片的工业网络安全实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112910847A true CN112910847A (zh) | 2021-06-04 |
| CN112910847B CN112910847B (zh) | 2023-04-07 |
Family
ID=76113778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110056573.6A Active CN112910847B (zh) | 2021-01-15 | 2021-01-15 | 一种基于切片的工业网络安全实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910847B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024020962A1 (en) * | 2022-07-28 | 2024-02-01 | Siemens Aktiengesellschaft | Method, apparatus and system for covert path discovering and computer-readable storage medium |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107925651A (zh) * | 2015-09-08 | 2018-04-17 | 西门子股份公司 | 用于运行工业网络的方法以及工业网络 |
| CN109921944A (zh) * | 2019-03-21 | 2019-06-21 | 青岛铁木真软件技术有限公司 | 用于工业互联网的网络边界控制方法及装置 |
| WO2019207251A1 (fr) * | 2018-04-25 | 2019-10-31 | Universite Grenoble Alpes | Systeme de securisation de procede cyber-physique |
| US20200076735A1 (en) * | 2018-08-31 | 2020-03-05 | Johnson Controls Technology Company | Systems and methods for interconnecting ot and it networks within a building automation system |
-
2021
- 2021-01-15 CN CN202110056573.6A patent/CN112910847B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107925651A (zh) * | 2015-09-08 | 2018-04-17 | 西门子股份公司 | 用于运行工业网络的方法以及工业网络 |
| WO2019207251A1 (fr) * | 2018-04-25 | 2019-10-31 | Universite Grenoble Alpes | Systeme de securisation de procede cyber-physique |
| US20200076735A1 (en) * | 2018-08-31 | 2020-03-05 | Johnson Controls Technology Company | Systems and methods for interconnecting ot and it networks within a building automation system |
| CN109921944A (zh) * | 2019-03-21 | 2019-06-21 | 青岛铁木真软件技术有限公司 | 用于工业互联网的网络边界控制方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024020962A1 (en) * | 2022-07-28 | 2024-02-01 | Siemens Aktiengesellschaft | Method, apparatus and system for covert path discovering and computer-readable storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112910847B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104272668B (zh) | 层3覆盖网关 | |
| AU2011202948B2 (en) | System and method for control of power distribution networks | |
| US9648143B2 (en) | Methods of processing data corresponding to a device that corresponds to a gas, water, or electric grid, and related devices and computer program products | |
| CN103026664B (zh) | 确定过程控制系统的基于交换的通信网络的vlan-id的方法、系统和配置工具 | |
| CN104426773A (zh) | 网络中继系统和交换机装置 | |
| CN103905523A (zh) | 一种基于sdn的云计算网络虚拟化实现方法及系统 | |
| CN106899478B (zh) | 电力测试业务通过云平台实现资源弹性扩展的方法 | |
| WO2016097459A1 (en) | Redundancy in process control system | |
| US9929993B2 (en) | Method for transmitting messages in an energy automation network, energy automation component and substation | |
| CN112910847B (zh) | 一种基于切片的工业网络安全实现方法 | |
| CN106059793A (zh) | 一种基于平滑重启的路由信息处理方法及装置 | |
| CA2972187A1 (en) | An inter-operable remote terminal unit | |
| CN109361585A (zh) | 一种主节点自动设置子节点波特率和地址的方法 | |
| CN108463975A (zh) | 用于建立独立网络路径的方法、节点和系统 | |
| US10122835B2 (en) | Method and radio communication system for an industrial automation system, radio subscriber station and serialization unit | |
| EP2090950A1 (en) | Critical device with increased availability | |
| Duan et al. | A multi-network control framework based on industrial internet of things | |
| CN103812752A (zh) | 一种电力通信网中vlan间资源共享的方法 | |
| Kalra et al. | Using software-defined networking to build modern, secure IEC 61850-based substation automation systems | |
| CN207377780U (zh) | 一种水泵控制系统 | |
| BR112021000119A2 (pt) | Sistema de rede segura em malha para compartilhamento de dados e respectivos dispositivos de acoplamento e interface | |
| CN103457882A (zh) | 一种智能变电站中安全接入方法 | |
| CN111147302A (zh) | 一种网络虚拟化实现方法及其系统 | |
| EP4362417A1 (en) | Communication device operable to switch between multiple control plane types | |
| US20240146641A1 (en) | Communication device operable under multiple control planes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |