The present invention relates to network information security protection unit and protection method for industrial embedded system. The specific method is to form network security unit NGU through integrated access control, identity authentication and communication data encryption to provide active protection for field control equipment. NGU includes access control module, identity authentication module, data encryption module, key agreement module and PCIE communication module. It supports the communication mode between dual network card and PCIE bus. On the basis of guaranteeing the correctness and feasibility of the safety of various terminal equipment in industrial control system, the invention combines the active protection technology in the field of information security to construct a safe and credible operation environment for industrial control system.
【技术实现步骤摘要】
面向工业嵌入式系统的网络信息安全防护单元和防护方法
本专利技术涉及一种面向工业嵌入式系统的网络信息安全防护单元架构及设计方法。不同于传统防火墙及单一网络防护设备等被动防御技术,本专利技术针对工业嵌入式系统设备的应用场景及功能特性,将传统信息安全的多种安全防护机制应用到了嵌入式设备软硬件设计中,以提高嵌入式工业通讯设备自身信息安全风险防范能力,属于工业控制网络安全领域。
技术介绍
面临工业控制系统存在的各类安全隐患,传统的工业控制系统信息安全防护技术与产品方案主要有如下几种:(1)工业防火墙,在种类与关键技术方面与一般IT防火墙种类类似,总体上分为包过滤、状态包检测和代理服务器等几大类型。可以依据系统内设置的过滤逻辑,也成为访问控制表来对数据包关键因素进行筛查来决定是否允许该数据包通过。(2)虚拟专用网(VPN)技术,是一种采用加密、认证等安全机制,在公共网络基础设施上建立安全、独占、自治的逻辑网络技术。通过虚拟的组网技术可以构建出高安全等级、高可靠性的专用通信网络。(3)网络隔离,在公司管理网络和工业控制系统网络之间,采用不同的架构进行网络,加强网络信息安全。通常采用防火墙等信息安全产品在管理网和工业控制系统网络之间建立中间非军事化区(DMZ)网络,防止两个网络直接相互通信。目前工业控制系统中广泛应用的安全防护类产品主要以工业防火墙为主,这种防火墙在传统IT防火墙的基础上支持多种工业控制系统通信协议及现场总线。但是这类防火墙只是一种基于IP地址的认证,本身不具备身份认证与加密通信等功能。其包过滤判别的条件为数据包首部的部分信息,这部分信息具有不确定性,容易...
【技术保护点】
1.面向工业嵌入式系统的网络信息安全防护单元,其特征在于,包括:访问控制主动检测模块,用于过滤拦截无访问权限的数据流,检测到非法访问流量时,立即阻断数据通信并报警;身份认证模块,用于使用NGU的现场控制设备通过自己的设备证书与其他通信节点进行身份合法性认证;通过认证后允许通信;密钥协商模块,用于检测通信加密功能所使用的密钥是否存在脆弱性和/或过期;若是,则进行对会话密钥的协商操作;通信数据加解密模块,用于使用NGU的现场控制设备通过身份认证后建立加解密通信连接;对需要通信的数据采用国产商用密码系列算法进行加解密;NGU双网卡模式通信模块和/或NGU网卡+PCIE通信模块;其中,NGU双网卡模式通信模块,用于NGU作为单独模块外置到嵌入式设备通信网络中时,通过采用一对NGU构建虚拟通讯链路,实现对嵌入式设备之间的通讯数据加密处理;NGU网卡+PCIE通信模块,用于NGU与嵌入式设备组成系统时,通讯接口方式为PCIE;PLC为主设备,NGU为从设备;两个设备共用NGU内部的两个数据区进行资源交换以达到PCIE与网卡通信数据转换。
【技术特征摘要】
1.面向工业嵌入式系统的网络信息安全防护单元,其特征在于,包括:访问控制主动检测模块,用于过滤拦截无访问权限的数据流,检测到非法访问流量时,立即阻断数据通信并报警;身份认证模块,用于使用NGU的现场控制设备通过自己的设备证书与其他通信节点进行身份合法性认证;通过认证后允许通信;密钥协商模块,用于检测通信加密功能所使用的密钥是否存在脆弱性和/或过期;若是,则进行对会话密钥的协商操作;通信数据加解密模块,用于使用NGU的现场控制设备通过身份认证后建立加解密通信连接;对需要通信的数据采用国产商用密码系列算法进行加解密;NGU双网卡模式通信模块和/或NGU网卡+PCIE通信模块;其中,NGU双网卡模式通信模块,用于NGU作为单独模块外置到嵌入式设备通信网络中时,通过采用一对NGU构建虚拟通讯链路,实现对嵌入式设备之间的通讯数据加密处理;NGU网卡+PCIE通信模块,用于NGU与嵌入式设备组成系统时,通讯接口方式为PCIE;PLC为主设备,NGU为从设备;两个设备共用NGU内部的两个数据区进行资源交换以达到PCIE与网卡通信数据转换。2.根据权利要求1所述的面向工业嵌入式系统的网络信息安全防护单元,其特征在于所述访问控制主动检测模块,执行以下步骤:a)首先,通过网卡的混杂模式对数据流进行捕获;b)对捕获的数据进行协议分析;c)对协议的应用层协议进行解析;d)匹配数据流中的协议解析内容与设定的匹配规则内容是否相符;若相符,则放行数据流;否则对数据流进行拦截并报警。3.根据权利要求1所述的面向工业嵌入式系统的网络信息安全防护单元,其特征在于所述NGU双网卡模式通信模块的实现包括以下步骤:a)首先,设置一对NGU分别为服务端与客户端,将服务器端NGU的物理网卡2与嵌入式设备A进行关联,创建虚拟网卡设备TAP0;b)将客户端NGU的物理网卡2与嵌入式设备B进行关联,创建虚拟网卡设备TAP1,并与服务端NGU进行通讯;c)将服务器端NGU的物理网卡2与虚拟网卡设备TAP0进行桥接,作为网桥设备br0;将客户端NGU的物理网卡2与虚拟网卡设备TAP1进行桥接,作为网桥设备br1;d)将服务器端NGU与客户端NGU连入到实际网络中,即建立一条NGU之间的虚拟通讯连接,用于负责将嵌入式设备之间的通信数据进行加密。4.根据权利要求1所述的面向工业嵌入式系统的网络信息安全防护单元,其特征在于所述NGU设备网卡+PCIE通信模块的实现包括以下步骤:a)NGU建立两个缓存区,分别为bar0、bar1,bar0为32位FIFO,作为NGU与PLC主控制器之间descripter的交互,bar1用作轮询模式数据缓冲区;轮询模式下,有数据交互时,首先将数据写入bar1缓冲区内,然后将写入bar1缓冲区的长度和地址组合成descripter,写入bar0中,另一端读取bar0数据,读出bar1中的数据;b)数据通信过程中,NGU视为PLC主控制器的外接网卡,数据通过NGU的网口进入,NGU通过libpcap抓包程序抓到数据包;随后,NGU将数据包写入bar1缓冲区中,并将写入地址与写入长度组合成32位descripter,将descripter写入bar0中;写入过程中,首先检测bar0状态,若已写满,则返回错误;c)PLC主控制器接收到bar0数据后,按descripter读出bar1中的数据,并进行网络数据包的处理。5.根据权利要求4所述的面向工业嵌入式系统的网络信息安全防护单元,其特征在于还包括NGU发送网络数据包,包括以下步骤:首先将数据包写入bar1缓存区,并根据写入地址与长度组合出descripter,在bar0未满的情况下写入bar0;NGU端每若干ms轮询一次bar0,当bar0非空,NGU读出bar0中的descripter,并根据descripter读出bar1中缓存的数据包,再将数据包通过libpcap经由网...
【专利技术属性】
技术研发人员:尚文利,尹隆,赵剑明,刘贤达,袁贵扬,曾鹏,
申请(专利权)人:中国科学院沈阳自动化研究所,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。