本发明专利技术公开了一种隔离保护系统及其执行双向数据包过滤检查的方法,该隔离保护系统设置在通信线路中对通信双方的通信设施进行隔离保护,它包括:第一保护装置和第二保护装置,用于分别与所述通信方之一的通信设施连接;双向数据传输模块,设置在所述第一保护装置和所述第二保护装置之间,用于连接所述第一保护装置和所述第二保护装置,而且根据专有通信协议将所述第一保护装置输出的数据传送到所述第二保护装置,以及将所述第二保护装置输出的数据传送到所述第一保护装置;其特征在于:所述第一保护装置和所述第二保护装置具有完全独立的硬件结构并分别运行于独立的中央处理器。
【技术实现步骤摘要】
隔离保护系统及其执行双向数据包过滤检查的方法
本专利技术涉使用在通信线路上的隔离保护系统及其执行双向数据包过滤检查的方法,设置在通信路径中(例如通信网络之间、网关路径中以及不同的通信终端之间),实现网络安全保障、通信双方的设施的隔离保护、及其双向数据包过滤检查。尤其适用于工业现场的信息网络和控制网络。
技术介绍
现有工业现场的信息网络和控制网络之间部署的安全性产品多采用防火墙或者网关产品。现有防火墙技术存在的不足是对工业通信协议支持不够充分。例如工业现场应用OPC工业协议时,需要使用1024到65535的动态端口,所以防火墙必须开放上述范围内的所有端口,这样做显著增加了网络的安全性风险。另外,防火墙实现了IP层的读取控制,但是不支持对数据的读取控制。防火墙支持对一般网络的数据链路层、网络层、传输层进行检查,但是对应用层的检查功能存在一定的不足,尤其是对工业协议的检查功能有所欠缺。网关技术首先从控制系统网络的服务器采集数据,网关代理了控制系统网络的服务器的功能,MES/ERP层的客户端再通过网关采集数据,以此达到防护控制系统网络的服务器的目的。网关技术存在的不足在于网关产品有自己的IP地址,即使已经配置好的控制系统网络,其MES/ERP层的客户端仍然需要重新设定(更改服务器的IP以及服务器名等、注册网关服务器)。另外,网关的防火墙功能不足,由于网关产品有IP地址,可能会被攻击。当网关产品被入侵时,控制系统中设备的风险增加了。作为保护网络安全、尤其是保护工业现场应用网络的现有技术可以参见例如中国专利公开CN101014048(申请日2007年02月12、申请号200710063822.4、专利技术名称:分布式防火墙系统及实现防火墙内容检测的方法),以及多芬诺(TOFINO)工业网络安全保护技术(可通过链接http://www.doc88.com/p-649582721525.html来查看)。上述已有技术作为
技术介绍
结合在本申请中作为参考。可以将上述的已有技术用图1的框图来概括:在通信的双方(N1,N2)的通信线路中设置有安全防护装置100,其中的过滤模块F0对于“来往”的数据包进行过滤。上述已有技术的缺陷在于,现有技术中的防火墙安全过滤检查模块都运行于单个中央处理器(CPU)上。在这种情况下,当防火墙在从一通信方向另一通信方传输数据时被攻击,则由于整个防火墙运行于单个中央处理器上,则整个安全防火墙将被损坏而无法使用。而且,上述已有技术中的安全防火墙技术并不对于数据包进行深度检查,例如对包体内容的深度检查,从而使得深入隐藏在包体内的病毒数据有可能破坏通信设施(N1,N2)的操作。
技术实现思路
本专利技术所要解决的技术问题是提供一种设置在通信线路中对通信双方的通信设施进行隔离保护的隔离保护系统及其执行双向数据包过滤检查的方法,该隔离保护系统集成有分别针对通信双方的运行于独立的中央处理器上的两个保护装置以及按照专有通信协议在两个保护装置之间进行双向数据通信的一个双向数据传输模块,以在确保在通信双方之间的数据包传输的安全性的同时避免由于针对一通信方的中央处理器受到攻击而被破坏时整个隔离保护系统都受到损坏而无法使用。为此,本专利技术提供了一种隔离保护系统,设置在通信线路中对通信双方的通信设施进行隔离保护,它包括:第一保护装置和第二保护装置,用于分别与所述通信方之一的通信设施连接;双向数据传输模块,设置在所述第一保护装置和所述第二保护装置之间,用于连接所述第一保护装置和所述第二保护装置,而且根据专有通信协议将所述第一保护装置输出的数据传送到所述第二保护装置,以及将所述第二保护装置输出的数据传送到所述第一保护装置;其特征在于:所述第一保护装置和所述第二保护装置具有完全独立的硬件结构并分别运行于独立的中央处理器,其中所述第一保护装置和所述第二保护装置的每一个包括:第一接口,用于分别从所连接的通信方的通信设施接收数据流的数据包并将来自另一通信方的数据输出到所连接的通信设施;过滤模块,用于对从所述第一接口接收的数据流执行过滤检查,并输出符合安全性要求的数据;第二接口,用于接收所述的符合安全性要求的数据,并将该符合安全性要求的数据传送到所述双向数据传输模块;以及传输通道,用于将来自所述第二接口的数据传送到所述第一接口。本专利技术的上述隔离保护系统采用了本专利技术的“2+1”的结构,即采用了包括具有完全独立的硬件结构并分别运行于独立的中央处理器的第一保护装置和第二保护装置以及连接在第一保护装置和第二保护装置之间使通信双方根据专有通信协议进行通信的双向数据传输模块的结构,来在通信双方之间实现安全的双向数据通信。由于两个保护装置运行于独立的中央处理器上,因此当其中的一个保护装置受到攻击或者物理损坏时,另一个保护装置不会受其影响;由于构成隔离保护系统的两个保护装置运行于独立的中央处理器上,因此在硬件实现上可以以分立的方式构建每个保护装置,这样当其中一个保护装置受到攻击或者物理损坏时,可以方便地进行替换和有针对性地修复和维护;另外,由于构成隔离保护系统的两个保护装置的硬件结构完全独立,因此在制造上可以分开制造硬件结构完全独立控制的保护装置,然后根据各保护装置所连接的通信方或目的通信方的安全性需求对其硬件结构进行程序化,与现有技术中的运行于单个中央处理器上的防火墙安全过滤检查模块相比,本专利技术的这种配置可以在整体上简化硬件制造工艺的同时,提供对于通信双方设施的分别保护。另外,根据本专利技术的隔离保护系统中所包括的设置于两个保护装置之间的双向数据通信模块按照专有通信协议在针对通信双方的两个保护装置之间架构通信链路,也就是说,通过了一个保护装置的数据流的数据包必须满足专有通信协议才能够进入另一个保护装置,因此双向数据传输模块在两个保护装置之间(也就是在通信双方之间)设置了另一道保护屏障。由于根据本专利技术的隔离保护系统是通过保护装置中的过滤模块和双向数据传输模块在通信双方之间实现安全的双向数据传输,因此本专利技术的隔离保护系统克服了现有网关技术中存在的网关产品必须有自己的IP地址的问题,也就是说,在通信双方采用根据本专利技术的隔离保护系统建立通信时,不需要对已经配置好的各个网络端进行重新设置,这样,由于没有IP地址,被攻击的可能性得到了进一步降低。其中,所述的通信方的通信设施可以是计算机、服务器或其它网络信息的输入/输出装置。优选地,所述数据过滤模块可以包括分别用于对传输的数据流的数据包执行基本防火墙检查的内置防火墙模块和用于执行数据包深度过滤的数据包过滤模块。其中,所述内置防火墙模块可以对数据流的数据包执行包头内容检查,而所述数据包过滤模块可以对数据流的数据包执行包体内容检查。其中,所述包头内容涉及IP地址、MAC地址、协议类型信息、端口信息,而所述包体内容涉及通信目标、通信源、通信目的、通信类型和通信内容。本专利技术的隔离保护系统的每个保护装置中包括的内置防火墙模块和数据包过滤模块对流经的数据流的数据包先后进行两道过滤检查,其中内置防火墙模块对所流经的数据流的数据包的包头执行基本防火墙检查,而数据包过滤模块对数据流的数据包执行数据包深度过滤检查。进一步地,执行基本防火墙检查可以包括对数据流的数据包执行包头内容检查,而对数据流的数据包执行数据包深度过滤检查可以包括对数据流本文档来自技高网...
【技术保护点】
一种隔离保护系统,设置在通信线路中对通信双方的通信设施进行隔离保护,它包括:第一保护装置(10)和第二保护装置(20),用于分别与所述通信方之一的通信设施连接;双向数据传输模块(4),设置在所述第一保护装置(10)和所述第二保护装置(20)之间,用于连接所述第一保护装置(10)和所述第二保护装置(20),而且根据专有通信协议将所述第一保护装置(10)输出的数据传送到所述第二保护装置(20),以及将所述第二保护装置(20)输出的数据传送到所述第一保护装置(10);其特征在于:所述第一保护装置(10)和所述第二保护装置(20)具有完全独立的硬件结构并分别运行于独立的中央处理器(CPU1,CPU2),其中所述第一保护装置(10)和所述第二保护装置(20)的每一个包括:第一接口(A1,A2),用于从所连接的通信方的通信设施接收数据流的数据包并将来自另一通信方的数据输出到所连接的通信设施;过滤模块(F1,F2),用于对从所述第一接口(A1,A2)接收的数据流执行过滤检查,并输出符合安全性要求的数据;第二接口(B1,B2),用于接收所述的符合安全性要求的数据,并将该符合安全性要求的数据传送到所述双向数据传输模块(4);以及传输通道(C1,C2),用于将来自所述第二接口(B2,B1)的数据传送到所述第一接口(A1,A2)。...
【技术特征摘要】
1.一种隔离保护系统,设置在通信线路中对通信双方的通信设施进行隔离保护,它包括:第一保护装置(10)和第二保护装置(20),用于分别与所述通信双方之一的通信设施连接;双向数据传输模块(4),设置在所述第一保护装置(10)和所述第二保护装置(20)之间,用于连接所述第一保护装置(10)和所述第二保护装置(20),而且根据专有通信协议将所述第一保护装置(10)输出的数据传送到所述第二保护装置(20),以及将所述第二保护装置(20)输出的数据传送到所述第一保护装置(10);其特征在于:所述第一保护装置(10)和所述第二保护装置(20)具有完全独立的硬件结构并分别运行于独立的中央处理器(CPU1,CPU2),其中所述第一保护装置(10)和所述第二保护装置(20)的每一个包括:第一接口(A1,A2),用于从所连接的通信方的通信设施接收数据流的数据包并将来自另一通信方的数据输出到所连接的通信设施;过滤模块(F1,F2),用于对从所述第一接口(A1,A2)接收的数据流执行过滤检查,并输出符合安全性要求的数据;第二接口(B1,B2),用于接收所述的符合安全性要求的数据,并将该符合安全性要求的数据传送到所述双向数据传输模块(4);以及传输通道(C1,C2),用于将来自所述第二接口(B2,B1)的数据传送到所述第一接口(A1,A2),其中所述过滤模块(F1,F2)包括分别用于对传输的数据流的数据包执行基本防火墙检查的内置防火墙模块(K1,K2)和用于执行数据包深度过滤的数据包过滤模块(S1,S2),以及其中所述内置防火墙模块(K1,K2)对数据流的数据包执行包头内容检查,而所述数据包过滤模块(S1,S2)对数据流的数据包执行包体内容检查。2.根...
【专利技术属性】
技术研发人员:杨磊,杨剑楠,赵岳云,
申请(专利权)人:横河电机株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。