CN115333780A - 一种实现工业控制网络分布式控制与安全防护的方法 - Google Patents

一种实现工业控制网络分布式控制与安全防护的方法 Download PDF

Info

Publication number
CN115333780A
CN115333780A CN202210836881.5A CN202210836881A CN115333780A CN 115333780 A CN115333780 A CN 115333780A CN 202210836881 A CN202210836881 A CN 202210836881A CN 115333780 A CN115333780 A CN 115333780A
Authority
CN
China
Prior art keywords
data packet
switch
rule
forwarding
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210836881.5A
Other languages
English (en)
Inventor
丁勇
王春晖
李振宇
杨炳年
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Electronic Technology
Original Assignee
Guilin University of Electronic Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Electronic Technology filed Critical Guilin University of Electronic Technology
Priority to CN202210836881.5A priority Critical patent/CN115333780A/zh
Publication of CN115333780A publication Critical patent/CN115333780A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及工控安全技术领域,具体涉及一种实现工业控制网络分布式控制与安全防护的方法,收集工业以太网中的控制信息;通过解析器解析并转化所述控制信息,得到流规则;将所述流规则发布到分布式控制器上;交换机获取所述流规则,并解析通过交换机的数据包,依据所述流规则得到转发规则;交换机基于所述转发规则对所述数据包进行处理,并将处理后的转发至其他交换机或下发至终端设备或现场网关,该方法将软件定义网络用于工业以太网,基于以太网的工业控制协议的安全过滤与转发,能与传统工业以太网良好的融合,与传统工控以太网相比,极大的提高了安全性。

Description

一种实现工业控制网络分布式控制与安全防护的方法
技术领域
本发明涉及工控安全技术领域,尤其涉及一种实现工业控制网络分布式控制与安全防护的方法。
背景技术
传统的工业控制以太网通常采用树形拓扑结构,使用工业交换机进行域内通讯,使用网关设备进行域间通讯,通常情况下使用手动配置地址或基于简单的规则自动分配一定的地址,基本不具备对域内网络的控制能力,而域间通讯则通过位于网关的防火墙进行过滤。
在工业以太网中协议繁杂,具有大量的私有协议,普通的安全网关与交换机等设备,安全性不高。
发明内容
本发明的目的在于提供一种实现工业控制网络分布式控制与安全防护的方法,旨在解决工业以太网通讯安全性不高的问题。
为实现上述目的,本发明提供了一种实现工业控制网络分布式控制与安全防护的方法,包括以下步骤:
收集工业以太网中的控制信息;
通过解析器解析并转化所述控制信息,得到流规则;
将所述流规则发布到分布式控制器上;
交换机获取所述流规则,并解析经过所述交换机的数据包,根据所述流规则得到转发规则;
所述交换机基于所述转发规则对所述数据包进行处理,并将处理后的所述数据包转发至其他交换机或下发至终端设备或现场网关。
其中,所述控制信息包括工业以太网中的网络拓扑和转发规则的原始控制信息、或由运维人员编写的控制信息以及在原有流规则的基础上修改控制信息。
其中,所述交换机获取所述流规则,并解析数据包,得到转发规则的具体方式:
所述交换机从所述分布式控制器上获取所述流规则;
当网络数据包到达交换机时,交换机解析数据包的协议格式与转发信息,并基于所述流规则解析数据包,得到所述转发规则。
其中,所述分布式控制器由区块链网络和交换机通讯组成。
其中,所述交换机基于所述转发规则对所述数据包进行处理,并将处理后的所述数据包转发至其他交换机或下发至终端设备或现场网关的具体方式:
所述交换机根据所述转发规则对所述数据包进行封装、签名和校验处理,得到处理数据包;
通过所述转发规则将所述处理数据包下发至终端设备或现场网关。
本发明的一种实现工业控制网络分布式控制与安全防护的方法,收集工业以太网中的控制信息;通过解析器解析并转化所述控制信息,得到流规则;将所述流规则发布到分布式控制器上;交换机获取所述流规则,并解析经过所述交换机的数据包,依据所述流规则得到转发规则;所述交换机基于所述转发规则对所述数据包进行处理,并将处理后的所述数据包转发至其他交换机或下发至终端设备或现场网关,该方法通过所述转发规则处理后的数据包到其他交换机或转发到终端设备以及现场网关或者直接丢弃,将软件定义网络用于工业以太网,基于以太网的工业控制协议的安全过滤与转发,能与传统工业以太网良好的融合,与传统工控以太网相比,极大的提高了安全性,解决工业以太网通讯安全性不高的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种实现工业控制网络分布式控制与安全防护的方法的数据包处理与转发的工作流程图。
图2是本发明提供的一种实现工业控制网络分布式控制与安全防护的方法的流程图。
图3是所述交换机从所述分布式控制器上获取所述流规则的具体方式流程图。
图4是本发明提供的一种实现工业控制网络分布式控制系统网络结构图。
图5是本发明提供的传输协议结构图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
请参阅图1至图5,本发明提供一种实现工业控制网络分布式控制与安全防护的方法,包括以下步骤:
S1收集工业以太网中的控制信息;
具体的,所述控制信息包括工业以太网中的网络拓扑和转发规则的原始控制信息、由运维人员编写的控制信息以及在原有流规则的基础上修改的控制信息。
S2通过解析器解析并转化所述控制信息,得到流规则;
具体的,假设工业以太网由n个交换机组成,则工业以太网中交换机的集合为S={s1,s2,s3,…,sn}
假设交换机之间的连接数为k,则交换机之间的连线的集合为Es={es1,es2,es3,…,esk}
假设交换机共连接m个终端设备,则工业以太网中终端设备与交换机之间的集合为Ds={ds1,ds2,ds3,…,dsm}
类似的,可以得到交换机之间的传输代价Ts,交换机与终端设备之间的传输代价Td
则可以得到网络拓扑为G=<S,<Es,Ed>,<Ts,Td>>,G为有向图
通过有向图最短路径算法KSP得到在整个网络中传输的合法路径P=KSP(G)
将具有相同特征或转发行为的数据包抽象成一条数据流,流规则即为数据流的控制规则。流规则描述了一条数据流合法的起始地址、目的地址与转发路径,交换机通过流规则判断下一次转发的目标。
S3将所述流规则发布到分布式控制器上;
具体的,所述分布式控制器由区块链网络和交换机通讯组成,所述交换机通过接口与所述区块链网络通讯,并订阅监听区块链网络中所发布流规则的变化,各个软件所述交换机生成公私钥对,使用所述区块链网络实现对工业SDN交换机的分布式控制,所述交换机将所述公私钥对发布到所述分布式控制器上,所述分布式控制器将其接收并整理所述规则流与所述公私钥对,并将整理的结果下发到各个所述交换机上,通过通用传输协议(图5),实现异构工业以太网协议的统一管理,完成与具体协议无关的转发与过滤,通过通用传输协议与基于区块链分布式网络的公钥分发机制,实现对数据负载的签名与验证,保证数据传输的完整性与安全性。
S4交换机获取所述流规则,并解析经过所述交换机的数据包,依据所述流规则得到转发规则;
具体方式:
S41所述交换机从所述分布式控制器上获取所述流规则;
S42当网络数据包到达交换机时,交换机解析数据包的协议格式与转发信息,并基于所述流规则解析数据包,得到所述转发规则;
S5所述交换机基于所述转发规则对所述数据包进行处理,并将处理后的所述数据包转发至其他交换机或下发至终端设备或现场网关。
具体方式:
S51所述交换机根据所述转发规则对所述数据包进行封装、签名和校验处理,得到处理数据包;
S52通过所述转发规则将所述处理数据包转发至其他交换机或下发至终端设备或现场网关。
具体的,所述交换机等待所述数据包到达,当所述数包到达起始软件交换机时,所述交换机检查所述数据包协议格式,并依据所述流规则判断是否接受所述数据包,并根据所述流规则判断所述数据包是否合法,解析所述数据包类型,并根据类型执行不同的操作。
所述交换机将接受的所述数据包转换为负载传输协议以进行转发,并将数据负载部分进行签名后,依据所述流规则转发到下一个所述交换机。
如果所述数据包从终端设备或现场网关到达所述交换机,则执行步骤2,对所述数据包进行签名与封装。
如果所述数据包从其他软件到达所述交换机,则执行步骤3,对所述数据包的签名进行验证。
其中,假设原始数据包为Po,数据包的起始地址为As,目的地址为Ad,原始协议的信息为I,签名为S=Signature(Po),则封装后的数据包为Pn=Join(As,Ad,I,S,Po)。
具体方式:将所述解析数据和所述交换机匹配,匹配失败则将把当前所述数据包封装到通用传输协议中并对所述数据包数部分进行签名,之后根据流规则转发到下一个所述交换机直至匹配成功,匹配成功则对当前所述数据包中的签名进行验证,验证之后转发到目的终端设备或现场网关。
具体的,如果当所述数据包的目的地址不与当前所述交换机的直接连接,则将把当前所述数据包封装到通用传输协议中并对数部分进行签名,之后根据流规则转发到下一个所述交换机;如果当所述数据包的目的地址与当前所述交换机的直接连接,则直接转发到目的地址。如果当所述数据包的目的地址不与当前所述交换机的直接连接,则对当前所述数据包中的签名进行随机验证,之后根据流规则转发到下一个所述交换机;如果当所述数据包的目的地址与当前所述交换机的直接连接,则对当所述前数据包中的签名进行验证,之后转发到目的终端设备或现场网关。
进一步的,本发明的技术方案包括如下模块:规则生成模块、分布式控制模块和转发过滤模块,所述规则生成模块、所述分布式控制模块和所述转发过滤模块依次连接;
所述规则生成模块,用于收集工业以太网的网络拓扑与转发规则,并将收集到的网络数据编译成可以被所述转发过滤模块使用的格式,并发布到所述分布式控制器。
所述分布式控制模块,用于将规则所述生成模块生成的所述流规则分发到各个所述交换机上的所述转发过滤模块。
所述转发过滤模块用于验证、转发或过滤接收到的所述数据包。
本发明的具体实施例如下:
现存在终端设备d1、d2,所述交换机s1、s2。假设终端设备d1发出所述数据包发往终端设备d2,经过所述交换机s1、s2,路径表示为d1->s1->s2->d2。
所述数据包从d1出发,到达所述交换机s1,所述交换机s1查阅从所述分布式控制器上订阅到流规则,判断当前所述数据包需要转发到所述交换机s2,于是对所述数据包进行封装并签名,之后发往所述交换机s2。
所述数据包到达所述交换机s2,所述交换机s2查阅从所述分布式控制器上订阅到流规则,判断当前所述数据包需要转发到终端设备d2,于是验证所述数据包的签名,并将所述数据包的负载部分转发到终端设备d2。
以上所揭露的仅为本发明一种专利名称较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (5)

1.一种实现工业控制网络分布式控制与安全防护的方法,其特征在于,包括以下步骤:
收集工业以太网中的控制信息;
通过解析器解析并转化所述控制信息,得到流规则;
将所述流规则发布到分布式控制器上;
交换机获取所述流规则,并解析经过所述交换机的数据包,依据所述流规则得到转发规则;
所述交换机基于所述转发规则对所述数据包进行处理,并将处理后的所述数据包转发至其他交换机或下发至终端设备或现场网关。
2.如权利要求1所述的一种实现工业控制网络分布式控制与安全防护的方法,其特征在于,
所述控制信息包括工业以太网中的网络拓扑和转发规则的原始控制信息、由运维人员编写的控制信息以及在原有流规则的基础上修改的控制信息。
3.如权利要求1所述的一种实现工业控制网络分布式控制与安全防护的方法,其特征在于,
所述交换机获取所述流规则,并解析数据包,得到转发规则的具体方式:
所述交换机从所述分布式控制器上获取所述流规则;
当网络数据包到达交换机时,交换机解析数据包的协议格式与转发信息,并基于所述流规则解析数据包,得到所述转发规则。
4.如权利要求1所述的一种实现工业控制网络分布式控制与安全防护的方法,其特征在于,
所述分布式控制器由区块链网络和交换机通讯组成。
5.如权利要求1所述的一种实现工业控制网络分布式控制与安全防护的方法,其特征在于,
所述交换机基于所述转发规则对所述数据包进行处理,并将处理后的所述数据包转发至其他交换机或下发至终端设备或现场网关的具体方式:
所述交换机根据所述转发规则对所述数据包进行封装、签名和校验处理,得到处理数据包;
通过所述转发规则将所述处理数据包转发至其他交换机或下发至终端设备或现场网关。
CN202210836881.5A 2022-07-15 2022-07-15 一种实现工业控制网络分布式控制与安全防护的方法 Pending CN115333780A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210836881.5A CN115333780A (zh) 2022-07-15 2022-07-15 一种实现工业控制网络分布式控制与安全防护的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210836881.5A CN115333780A (zh) 2022-07-15 2022-07-15 一种实现工业控制网络分布式控制与安全防护的方法

Publications (1)

Publication Number Publication Date
CN115333780A true CN115333780A (zh) 2022-11-11

Family

ID=83916737

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210836881.5A Pending CN115333780A (zh) 2022-07-15 2022-07-15 一种实现工业控制网络分布式控制与安全防护的方法

Country Status (1)

Country Link
CN (1) CN115333780A (zh)

Similar Documents

Publication Publication Date Title
US8559302B2 (en) Systems and methods for distributed service protection across plug-in units
WO2013115177A1 (ja) ネットワークシステム、及びトポロジー管理方法
US20130177016A1 (en) Communication system, control apparatus, packet handling operation setting method, and program
US9426025B2 (en) Method and a controller device for configuring a software-defined network
WO2012111222A1 (ja) ネットワークシステム、及びネットワークフロー追跡方法
CN112751733B (zh) 一种链路检测方法、装置、设备、系统及交换机
CN103117946B (zh) 基于隔离装置与隔离网关结合应用的流量分担方法
JP2007006054A (ja) パケット中継装置及びパケット中継システム
CN106550241A (zh) 视频业务识别系统及虚拟化部署方法
CN103595712B (zh) 一种Web认证方法、装置及系统
CN104796340A (zh) 一种组播数据传输方法和设备
WO2015154588A1 (zh) 一种串口信息传递方法、单板设备和公用单板
WO2016074126A1 (zh) 控制器、服务节点和数据包转发方法
CN115333780A (zh) 一种实现工业控制网络分布式控制与安全防护的方法
CN108366002B (zh) 一种多功能计算机网络监护系统
CN115001831B (zh) 基于恶意行为知识库动态部署网络安全服务的方法及系统
CN111211982A (zh) 数据转发方法及装置、电子设备、存储介质
CN102739537A (zh) 以太网数据包的转发方法及装置
CN109495371B (zh) 面向dtn/ip协议栈的网络连通设备
Cisco Cisco IOS Bridging and IBM Networking Command Reference, Volume 1 Release 12.1
Cisco Cisco IOS Bridging and IBM Networking Command Reference Volume 1 of 2 Release 12.2
CN113382023A (zh) 一种专网跨网监管的方法和系统
CN107749875B (zh) 一种大数据人工智能分析系统
CN103780412B (zh) 虚拟南向接口的实现方法、装置及物联网管理平台
WO2015045275A1 (ja) 制御装置、ネットワークシステム、パケット転送制御方法、制御装置用プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination