AFDX安全网关系统及其传输方法技术方案

本发明专利技术提供了一种AFDX安全网关系统及其传输方法，涉及工业互联网安全领域，AFDX安全网关系统收到MAC帧后，提交数据包给安全检查功能模块，并进行安全检查，安全检查后将MAC帧提交给UDP协议，封装成UDP包后发送给OPC/Web服务器，当协议转换功能模块接收到UDP包后，解封成原始的MAC帧，提交给服务器处理，对于OPC/Web服务器返回的OPC/HTTP应答包，服务器端和ASGS做协议转换处理，ASGS接收到UDP包后，解封成原始的MAC帧，然后发送给OPC/Web客户端，完成对OPC/Web客户端请求的应答。本发明专利技术由于通过部署ASGS，支持工业互联网及其OPC/Web应用，使企业信息网中的用户能够以安全方式访问工业控制系统提供的服务和资源，提高了工业互联网的安全防护能力。

【技术实现步骤摘要】
AFDX安全网关系统及其传输方法
本专利技术涉及工业互联网安全领域，尤其是一种安全网关系统，还涉及该系统的通信传输方法，通过本专利技术的安全网关系统，实现基于AFDX的工业控制网与企业信息网的互连互通和安全防护，构建可信、可控、安全的工业互联网，提高工业互联网的安全性和可用性。
技术介绍
工业互联网是“互联网+”向工业领域的延伸，企业信息网通过有线和无线链路以及TCP/IP协议实现与工业控制系统的互连互通。工业互联网主要有两大关键技术，一是实时性问题，即在复杂网络环境下，如何保证工业控制的实时性要求；二是工业互联网安全问题，随着工业互联网规模的增大和应用的增加，各种网络安全威胁也随之产生，“震网”病毒对伊朗核设施的攻击和破坏，成为当年轰动世界的安全事件，同时引起了世界各国的高度关注。因此，网络安全成为发展工业互联网必须解决的关键技术。工业控制系统涉及核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等国计民生相关领域，关系到国家安全和社会稳定，而我国工业控制系统的主要设备和系统80％是国外产品，网络安全自主可控能本文档来自技高网...

【技术保护点】
1.一种AFDX安全网关系统，其特征在于：所述的AFDX安全网关系统，安装有两个网卡：非AFDX以太网卡和AFDX网卡，分别用于收发企业信息网和AFDX网络的数据包，并采用不同的收发机制；当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后，将MAC帧传递给用户态下的数据包解析功能模块，提取出封装在MAC帧中的字段，只允许用户使用OPC/HTTP协议来访问AFDX网络中的服务器，而其它协议被视为非法操作，并提交数据包给安全检查功能模块，数据包依次进行如下四个方面的安全检查：用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录；安全检查后，调用AFDX网卡提供的API函数，将MA...

【技术特征摘要】
1.一种AFDX安全网关系统，其特征在于：所述的AFDX安全网关系统，安装有两个网卡：非AFDX以太网卡和AFDX网卡，分别用于收发企业信息网和AFDX网络的数据包，并采用不同的收发机制；当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后，将MAC帧传递给用户态下的数据包解析功能模块，提取出封装在MAC帧中的字段，只允许用户使用OPC/HTTP协议来访问AFDX网络中的服务器，而其它协议被视为非法操作，并提交数据包给安全检查功能模块，数据包依次进行如下四个方面的安全检查：用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录；安全检查后，调用AFDX网卡提供的API函数，将MAC帧提交给AFDX网卡内置的UDP协议，封装成UDP包后发送给AFDX网络中的OPC/Web服务器；在OPC/Web服务器上配置两个网卡，一个是AFDX网卡，用于连接AFDX网络；另一个是非AFDX以太网卡，处于空闲状态，当协议转换功能模块接收到ASGS的UDP包后，解封成原始的MAC帧，传递给内核态下的以太网卡驱动程序，由非AFDX以太网卡驱动程序提交给TCP/IP协议栈解封成OPC/HTTP请求包，提交给服务器处理；对于OPC/Web服务器返回的OPC/HTTP应答包，服务器端和ASGS均只做协议转换处理，不再做任何的安全检查，OPC/HTTP应答包经过TCP/IP协议栈封装成MAC帧，然后传递给用户态下的服务器协议转换功能模块，服务器协议转换功能模块调用AFDX网卡提供的API函数，通过AFDX网卡内置的UDP协议，封装成UDP包发送给ASGS；ASGS从AFDX网卡内置的UDP协议接收到UDP包后，解封成原始的MAC帧，然后传递给内核态下的非AFDX以太网卡驱动程序发送给OPC/Web客户端，完成对OPC/Web客户端请求的应答。2.一种利用权利要求1所述的AFDX安全网关系统的传输方法，其特征在于包括下述步骤：步骤1：一种AFDX安全网关系统安装有两个网卡：非AFDX以太网卡和AFDX网卡，分别用于收发企业信息网和AFDX网络的数据包，并采用不同的收发机制；对于非AFDX以太网卡，采用通过操作系统内核态的以太网卡驱动程序收发MAC帧，并通过对MAC帧的层层解析，提取相关协议字段，实现对数据包的安全检查；对于AFDX网卡，采用AFDX网卡提供的API函数，调用AFDX网卡内部的UDP协议收发数据包，数据包的载荷便是通过安全检查的MAC帧；面向AFDX网卡的数据包收发程序工作在操作系统的用户态，因此需要利用操作系统提供的API函数在用户态和内核态之间建立数据通信管道，用于接收或发送MAC帧；步骤2：数据包深度解析当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后，将MAC帧传递给用户态下的数据包解析功能模块，提取出封装在MAC帧中的字段，所述字段包括但不限于源IP地址、目的IP地址、目的TCP端口号、协议类型以及TCP数据包载荷，然后根据协议类型字段判断是否为TCP协议，否则丢弃该MAC帧；再根据TCP数据包载荷中的应用层协议头字段判断是否为OPC协议或HTTP协议，否则丢弃该MAC帧，即只允许用户使用OPC/HTTP协议来访问AFDX网络中的服务器，而其它协议被视为非法操作，如判断是OPC协议，则提交OPC数据包给OPC协议安全检查功能模块，并转步骤3；如果是HTTP协议，则提交HTTP协议数据包给HTTP协议安全检查功能模块，并转步骤3；步骤3：数据包安全检查数据包依次进行如下四个安全检查：用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录；(1)用户访问可信性检查在预先建立的白名单中，可信用户使用源IP地址标识，目标服务器使用目地IP地址标识，目标服务器上运行的服务程序...

【专利技术属性】
技术研发人员：蔡皖东，宋琪，蔡霖，
申请(专利权)人：西北工业大学，
类型：发明
国别省市：陕西,61