网络安全检测网关及系统技术方案

本实用新型专利技术提供了一种网络安全检测网关及系统，涉及网络安全技术领域，本实用新型专利技术提供的网络安全检测网关及系统，能够通过身份识别装置有效鉴别配电网无线公网中的网络入侵，结合协议识别装置的协议类型识别和业务识别装置的业务类型识别，有效提高了配电网用户端与服务器间无线公网通信的安全性，提高了网络服务质量，从而实现了对配电网多样化业务的高效支撑。

Network Security Detection Gateway and System

【技术实现步骤摘要】
网络安全检测网关及系统
本技术涉及网络安全
，尤其是涉及一种网络安全检测网关及系统。
技术介绍
随着无线公网在配电网中的广泛接入，使得配电网网络数据不仅数量庞大而且数据结构非常复杂。且由于无线公网通信方式的特殊性和网络协议与系统的弱点，其面临着网络内外所带来的各种安全威胁。网络入侵和攻击对电力行业所造成的危害极为严重，不仅可能导致电力运营数据的泄露，间接导致国家生产经济数据的泄露以及用户身份信息的泄露，甚至造成生产经营中关键系统、系统配置信息、生产经营数据信息的删除或损坏，势必产生巨大的社会负面影响。因此需要对无线公网接入业务采用更好的安全认证方式。网关作为连结异构网络的中枢，在配电通信系统中起到数据传输承上启下的作用，并负责整个配电网无线公网的管理、调度和优化，是电力无线公网的安全接入的重要保证。然而现有的网关无法准确检测配电网无线公网中的网络入侵，配电网无线公网的安全性得不到保证。
技术实现思路
有鉴于此，本技术的目的在于提供一种网络安全检测网关及系统，以提高配电网无线公网的安全性。第一方面，本技术实施例提供了一种网络安全检测网关，包括主控芯片、身份识别装置、协议识别装置和业务识别装置，所述身份识别装置、所述协议识别装置和所述业务识别装置分别与所述主控芯片连接；所述身份识别装置用于验证用户身份，并将身份验证结果发送至所述主控芯片；所述协议识别装置用于对目标网络中的网络数据的协议类型进行识别，并将协议识别结果发送至所述主控芯片；所述业务识别装置用于对所述网络数据的业务类型进行识别，并将业务识别结果发送至所述主控芯片；所述主控芯片用于接收所述身份验证结果、所述协议识别结果和所述业务识别结果，并确定所述网络数据的安全性。结合第一方面，本技术实施例提供了第一方面的第一种可能的实施方式，其中，所述身份识别装置包括身份识别单片机控制器、解码器、动态口令生成模块和生物特征认证模块，所述解码器、所述动态口令生成模块和所述生物特征认证模块分别与所述身份识别单片机控制器连接；所述解码器用于对用户的静态密码进行解码；所述动态口令生成模块用于基于解码得到的静态密码生成动态口令；所述生物特征认证模块用于进行生物特征认证，得到所述身份验证结果。结合第一方面的第一种可能的实施方式，本技术实施例提供了第一方面的第二种可能的实施方式，其中，所述生物特征认证模块包括指纹认证模块、人脸认证模块和虹膜认证模块中的一种或多种。结合第一方面，本技术实施例提供了第一方面的第三种可能的实施方式，其中，所述协议识别装置包括协议识别单片机控制器、分类模块、数据包识别模块、数据流识别模块和协议对比模块，所述分类模块、所述数据包识别模块、所述数据流识别模块和所述协议对比模块分别与所述协议识别单片机控制器连接；所述分类模块用于对所述网络数据进行加密与非加密的区分；所述数据包识别模块用于识别非加密数据的协议类型；所述数据流识别模块用于识别加密数据的协议类型；所述协议对比模块用于将所述数据包识别模块或所述数据流识别模块识别出的协议类型与预先建立的协议特征库进行对比，得到所述协议识别结果。结合第一方面，本技术实施例提供了第一方面的第四种可能的实施方式，其中，所述业务识别装置包括业务识别单片机控制器、近似筛选模块和精准筛选模块，所述近似筛选模块和所述精准筛选模块分别与所述业务识别单片机控制器连接；所述近似筛选模块用于对所述网络数据进行业务特征的近似匹配筛选；所述精准筛选模块用于基于所述近似筛选模块的筛选结果对所述网络数据进行业务特征的精准匹配筛选，得到所述业务识别结果。结合第一方面，本技术实施例提供了第一方面的第五种可能的实施方式，其中，所述网络安全检测网关还包括隔离分区存储器，所述隔离分区存储器与所述主控芯片连接；所述隔离分区存储器用于根据网络数据的安全性和业务类型对所述网络数据进行分区缓存。结合第一方面，本技术实施例提供了第一方面的第六种可能的实施方式，其中，所述网络安全检测网关还包括通信设备，所述通信设备与所述主控芯片连接；所述通信设备用于实现与配电主站服务器和客户终端的通信。结合第一方面的第六种可能的实施方式，本技术实施例提供了第一方面的第七种可能的实施方式，其中，所述通信设备包括以太网接口电路和4G通信模块，所述以太网接口电路和所述4G通信模块分别与所述主控芯片连接；所述以太网接口电路与所述配电主站服务器连接，所述4G通信模块与所述客户终端连接。结合第一方面，本技术实施例提供了第一方面的第八种可能的实施方式，其中，所述网络安全检测网关还包括人机接口，所述人机接口与所述主控芯片连接。第二方面，本技术实施例还提供一种网络安全检测系统，包括如上述第一方面或其任一种可能的实施方式所述的网络安全检测网关，还包括配电主站服务器；所述配电主站服务器与所述网络安全检测网关通信连接。本技术实施例带来了以下有益效果：本技术实施例中，网络安全检测网关包括主控芯片、身份识别装置、协议识别装置和业务识别装置，身份识别装置、协议识别装置和业务识别装置分别与主控芯片连接；身份识别装置用于验证用户身份，并将身份验证结果发送至主控芯片；协议识别装置用于对目标网络中的网络数据的协议类型进行识别，并将协议识别结果发送至主控芯片；业务识别装置用于对该网络数据的业务类型进行识别，并将业务识别结果发送至主控芯片；主控芯片用于接收身份验证结果、协议识别结果和业务识别结果，并确定该网络数据的安全性。本技术实施例提供的网络安全检测网关及系统，能够通过身份识别装置有效鉴别配电网无线公网中的网络入侵，结合协议识别装置的协议类型识别和业务识别装置的业务类型识别，有效提高了配电网用户端与服务器间无线公网通信的安全性，提高了网络服务质量，从而实现了对配电网多样化业务的高效支撑。本技术的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术而了解。本技术的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。为使本技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本技术实施例提供的一种基于无线公网的配电业务架构示意图；图2为本技术实施例提供的一种网络安全检测网关的结构示意图；图3为本技术实施例提供的一种身份识别装置的结构示意图；图4为在图1所示架构下进行无线公网接入安全认证的流程示意图；图5为本技术实施例提供的一种协议识别装置的结构示意图；图6为本技术实施例提供的一种业务识别装置的结构示意图；图7为本技术实施例提供的另一种网络安全检测网关的结构示意图。图标：100-主控芯片；200-身份识别装置；201-身份识别单片机控制器；202-解码器；203-动态口令生成模块；204-生物特征认证模块；205-第一电源；300-协议识别本文档来自技高网...

【技术保护点】
1.一种网络安全检测网关，其特征在于，包括主控芯片、身份识别装置、协议识别装置和业务识别装置，所述身份识别装置、所述协议识别装置和所述业务识别装置分别与所述主控芯片连接；所述身份识别装置用于验证用户身份，并将身份验证结果发送至所述主控芯片；所述协议识别装置用于对目标网络中的网络数据的协议类型进行识别，并将协议识别结果发送至所述主控芯片；所述业务识别装置用于对所述网络数据的业务类型进行识别，并将业务识别结果发送至所述主控芯片；所述主控芯片用于接收所述身份验证结果、所述协议识别结果和所述业务识别结果，并确定所述网络数据的安全性。

【技术特征摘要】
1.一种网络安全检测网关，其特征在于，包括主控芯片、身份识别装置、协议识别装置和业务识别装置，所述身份识别装置、所述协议识别装置和所述业务识别装置分别与所述主控芯片连接；所述身份识别装置用于验证用户身份，并将身份验证结果发送至所述主控芯片；所述协议识别装置用于对目标网络中的网络数据的协议类型进行识别，并将协议识别结果发送至所述主控芯片；所述业务识别装置用于对所述网络数据的业务类型进行识别，并将业务识别结果发送至所述主控芯片；所述主控芯片用于接收所述身份验证结果、所述协议识别结果和所述业务识别结果，并确定所述网络数据的安全性。2.根据权利要求1所述的网络安全检测网关，其特征在于，所述身份识别装置包括身份识别单片机控制器、解码器、动态口令生成模块和生物特征认证模块，所述解码器、所述动态口令生成模块和所述生物特征认证模块分别与所述身份识别单片机控制器连接；所述解码器用于对用户的静态密码进行解码；所述动态口令生成模块用于基于解码得到的静态密码生成动态口令；所述生物特征认证模块用于进行生物特征认证，得到所述身份验证结果。3.根据权利要求2所述的网络安全检测网关，其特征在于，所述生物特征认证模块包括指纹认证模块、人脸认证模块和虹膜认证模块中的一种或多种。4.根据权利要求1所述的网络安全检测网关，其特征在于，所述协议识别装置包括协议识别单片机控制器、分类模块、数据包识别模块、数据流识别模块和协议对比模块，所述分类模块、所述数据包识别模块、所述数据流识别模块和所述协议对比模块分别与所述协议识别单片机控制器连接；所述分类模块用于对所述网络数据进行加密与非加密的区分；所述数据包识别模块用于识别非加密数据的协议类型；所述数据流识别模块用于识...

【专利技术属性】
技术研发人员：李舒，范群滔，黄翠莲，刘永平，赖阳涌，周永强，李伟青，古俊馥，王映萍，刘燕龙，刘新让，戴金万，黄晓明，
申请(专利权)人：广东电网有限责任公司，广东电网有限责任公司梅州供电局，
类型：新型
国别省市：广东,44