一种工业网络安全防护系统及安全防护方法技术方案

本发明专利技术公开了一种工业网络安全防护系统，包括设备管理器、网络控制器、工业网关、工业路由器，网络安全侦听与设备管理器，特点是通过网络控制器对对接入工业路由器的设备进行身份认证和鉴权，只有当身份认证和鉴权通过后由网络控制器才允许该设备访问工业路由器和工业网关，随后网络控制器持续的对设备之间的信息通道进行管理和调度，即当设备申请向另一个设备进行数据传输时，网络控制器判段数据传输的链路和链路上的路由信息是否合法，若判断结果为不合法则由网络控制器终止该设备向另一个设备进行数据传输，还公开了使用该安全防护系统的安全防护方法；优点是能够有效降低工业网络存在的安全问题与风险，有效的避免与阻断工业网络的入侵。工业网络的入侵。工业网络的入侵。

【技术实现步骤摘要】
一种工业网络安全防护系统及安全防护方法


[0001]本专利技术涉及一种网络安全防护系统及防护方法，尤其是一种工业网络安全防护系统及安全防护方法。

技术介绍

[0002]通常在IP网络下，只要IP地址与相关路由设置好，网络内部的设备都可以自由不受限制的互相访问；这个在工业网络中是非常致命的，如果一个节点被攻击或者接入不安全的设备，整个网络都将面临被攻击的风险，而且当前的IP网络对网络下的节点都是不受控制的；而在工业网络中工业设备由于使用的频次远低于消费电子产品，相关漏洞较难被发现，而且发现后相关修复补丁发布迟缓，同时即便有补丁，几乎很难对相关设备进行修补；因此工业互联网未来，将会面临很大的网络安全风险。

技术实现思路

[0003]本专利技术所要解决的技术问题是提供一种能够对工业网络起到安全有效防护作用的工业网络安全防护系统及安全防护方法。
[0004]本专利技术解决上述技术问题所采用的技术方案为：一种工业网络安全防护系统，包括网络控制器、工业网关和工业路由器，所述的网络控制器用于根据预存的身份鉴权信息对接入工业路由器的设备进行身份认证和鉴权，当身份认证和鉴权未通过则由所述的网络控制器控制所述的工业路由器和所述的工业网关拒绝该设备访问网络，当身份认证和鉴权通过后由所述的网络控制器允许该设备访问所述的工业路由器和所述的工业网关，所述的工业路由器用于为允许访问的设备分配相应的IP地址和端口并将IP地址和端口绑定该设备，所述的网络控制器用于持续的对通过身份认证和鉴权的设备之间的信息通道进行管理和调度，当设备申请向另一个设备进行数据传输时，网络控制器根据预存的合法链路信息和合法路由信息判段数据传输的链路和链路上的路由信息合法后允许该设备向另一个设备进行数据传输，否则终止该设备向另一个设备进行数据传输。
[0005]还包括网络侦听器，所述的网络侦听器分别与所述的工业路由器上设置的镜像端口及所述的工业网关上设置的镜像端口连接，所述的网络侦听器用于通过镜像的方式获取网络中的数据包并分析判断数据是否异常，如有异常则发出相应的告警信号。可以实现对不安全数据流进行预警以及封堵，从开始到结束全程实现对工业网络中安全风险的侦测和防护，可以极大提高工业网络的安全等级，进一步增加了安全防护效果。
[0006]使用以上所述的工业网络安全防护系统的安全防护方法，包括以下步骤：步骤1）：在网络控制器中预存身份鉴权信息、合法链路信息和合法路由信息，网络控制器根据预存的身份鉴权信息对接入工业路由器的设备进行身份认证和鉴权；步骤2）：若身份认证和鉴权未通过则由网络控制器控制工业路由器和工业网关拒绝该设备访问网络；若身份认证和鉴权通过后由网络控制器允许该设备访问工业路由器和工业网关，并执行步骤3）；
步骤3）：工业路由器为允许访问的设备分配相应的IP地址和端口并将IP地址和端口绑定该设备；步骤4）：网络控制器持续的对通过身份认证和鉴权的设备之间的信息通道进行管理和调度，当设备申请向另一个设备进行数据传输时，网络控制器根据预存的合法链路信息和合法路由信息判段数据传输的链路和链路上的路由信息是否合法，若判断结果为合法则由网络控制器允许该设备向另一个设备进行数据传输，若判断结果为不合法则由网络控制器终止该设备向另一个设备进行数据传输。
[0007]与现有技术相比，本专利技术的优点在于通过网络控制器对对接入工业路由器的设备进行身份认证和鉴权，若未通过则由网络控制器控制工业路由器和工业网关拒绝该设备访问网络；只有当身份认证和鉴权通过后由网络控制器才允许该设备访问工业路由器和工业网关，工业路由器为允许访问的设备分配相应的IP地址和端口并将IP地址和端口绑定该设备；随后网络控制器持续的对通过身份认证和鉴权的设备之间的信息通道进行管理和调度，即当设备申请向另一个设备进行数据传输时，网络控制器根据预存的合法链路信息和合法路由信息判段数据传输的链路和链路上的路由信息是否合法，若判断结果为合法则由网络控制器允许该设备向另一个设备进行数据传输，若判断结果为不合法则由网络控制器终止该设备向另一个设备进行数据传输；通过以上防护系统及防护方法能够有效降低工业网络存在的安全问题与风险。
附图说明
[0008]图1为本专利技术的结构原理框图。
具体实施方式
[0009]以下结合附图实施例对本专利技术作进一步详细描述。
[0010]实施例一：一种工业网络安全防护系统，包括网络控制器1、工业网关2、工业路由器3，网络控制器1用于根据预存的身份鉴权信息对接入工业路由器3的设备4进行身份认证和鉴权，当身份认证和鉴权未通过则由网络控制器1控制工业路由器3和工业网关2拒绝该设备4访问网络，当身份认证和鉴权通过后由网络控制器1允许该设备4访问工业路由器3和工业网关2，工业路由器3用于为允许访问的设备4分配相应的IP地址和端口并将IP地址和端口绑定该设备4，网络控制器1用于持续的对通过身份认证和鉴权的设备4之间的信息通道进行管理和调度，当设备4申请向另一个设备4进行数据传输时，网络控制器1根据预存的合法链路信息和合法路由信息判段数据传输的链路和链路上的路由信息合法后允许该设备4向另一个设备4进行数据传输，否则终止该设备4向另一个设备4进行数据传输。
[0011]实施例二：其余部分与实施例一相同，其不同之处在于还包括网络侦听器5，网络侦听器5分别与工业路由器3上设置的镜像端口及工业网关2上设置的镜像端口连接，网络侦听器5用于通过镜像的方式获取网络中的数据包并分析判断数据是否异常，如有异常则发出相应的告警信号。
[0012]实施例三：使用实施例一中工业网络安全防护系统的安全防护方法，包括以下步骤：步骤1）：在网络控制器1中预存身份鉴权信息、合法链路信息和合法路由信息，网
络控制器1根据预存的身份鉴权信息对接入工业路由器3的设备4进行身份认证和鉴权；步骤2）：若身份认证和鉴权未通过则由网络控制器1控制工业路由器3和工业网关2拒绝该设备4访问网络；若身份认证和鉴权通过后由网络控制器1允许该设备4访问工业路由器3和工业网关2，并执行步骤3）；步骤3）：工业路由器3为允许访问的设备4分配相应的IP地址和端口并将IP地址和端口绑定该设备4；步骤4）：网络控制器1持续的对通过身份认证和鉴权的设备4之间的信息通道进行管理和调度，当设备4申请向另一个设备4进行数据传输时，网络控制器1根据预存的合法链路信息和合法路由信息判段数据传输的链路和链路上的路由信息是否合法，若判断结果为合法则由网络控制器1允许该设备4向另一个设备4进行数据传输，若判断结果为不合法则由网络控制器1终止该设备4向另一个设备4进行数据传输。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工业网络安全防护系统，包括网络控制器、工业网关和工业路由器，其特征在于所述的网络控制器用于根据预存的身份鉴权信息对接入工业路由器的设备进行身份认证和鉴权，当身份认证和鉴权未通过则由所述的网络控制器控制所述的工业路由器和所述的工业网关拒绝该设备访问网络，当身份认证和鉴权通过后由所述的网络控制器允许该设备访问所述的工业路由器和所述的工业网关，所述的工业路由器用于为允许访问的设备分配相应的IP地址和端口并将IP地址和端口绑定该设备，所述的网络控制器用于持续的对通过身份认证和鉴权的设备之间的信息通道进行管理和调度，当设备申请向另一个设备进行数据传输时，网络控制器根据预存的合法链路信息和合法路由信息判段数据传输的链路和链路上的路由信息合法后允许该设备向另一个设备进行数据传输，否则终止该设备向另一个设备进行数据传输。2.根据权利要求1所述的一种工业网络安全防护系统，其特征在于还包括网络侦听器，所述的网络侦听器分别与所述的工业路由器上设置的镜像端口及所述的工业网关上设置的镜像端口连接，所述的网络侦听器用于通过镜像的方式...

【专利技术属性】
技术研发人员：苏建明，何良，杨柳，柳春，
申请(专利权)人：浙江清捷智能科技有限公司，
类型：发明
国别省市：