本实用新型专利技术涉及一种用于工业互联网的业务安全接入网关,其包括第一、二网卡,第一、二业务交换机单元,第一、二微分片转发业务单元,第一、二协议接入模块,带内业务模块,本地业务模块,其中,所述第一业务交换机单元包括第一入站交换机模块和第一出站交换机模块;所述第二业务交换机单元包括第二入站交换机模块和第二出站交换机模块;所述第一、二微分片转发业务单元均包括认证模块、加解密模块。本用于工业互联网的业务安全接入网关能够实现带内业务与带外业务逻辑分离,利用业务微分片与协议接入过滤多因素认证结合,提升了数据流量的安全性和业务部署的灵活性,适用于多种工业互联网应用场景。联网应用场景。联网应用场景。
【技术实现步骤摘要】
一种用于工业互联网的业务安全接入网关
[0001]本技术涉及网络信息安全
,具体涉及一种用于工业互联网的业务安全接入网关。
技术介绍
[0002]在工业互联网环境中,网络环境异构复杂,设备业务协议多样化,设备部署位置分散化,可移动设备随时随地接入业务网络,这些都增加了业务安全网络的攻击面和不同安全等级的接入需求。传统边界防护中,有些工业设备系统补丁更新较慢,或者认为设备处于内网环境,相对安全,疏于更新。当网络边缘上部署的安全设备,如网闸、防火墙等由于配置不当或因自身漏洞被攻破后,内网设备被劫持作为横向攻击跳板,造成攻击在网络内横向蔓延,窃取数据和攻击服务。
技术实现思路
[0003]本技术要解决的技术问题是:提供一种用于工业互联网的业务安全接入网关,其能够实现带内业务与带外业务逻辑分离,各业务独自使用不同的认证和加解密密码套件,利用业务微分片与协议接入过滤多因素认证结合,提升了数据流量的安全性和业务部署的灵活性,同时对不满足标识匹配的流量都被拒绝入站,提升了业务内网的防护性和接入设备的安全性,适用于多种工业互联网应用场景。
[0004]本用于工业互联网的业务安全接入网关包括第一、二网卡,第一、二业务交换机单元,第一、二微分片转发业务单元,第一、二协议接入模块,带内业务模块,本地业务模块,其中,
[0005]所述第一业务交换机单元,包括第一入站交换机模块和第一出站交换机模块;所述第一入站交换机模块接收第一网卡接入的数据流量,根据数据流中的标识字段交换业务数据,对于标识为带内数据流量,交换到带内业务模块;对于标识为带外数据流量,交换到下级第一微分片转发业务单元的第一认证模块;不符合标识规则匹配的数据流量交换到第一协议接入模块;所述第一出站交换机模块汇聚前级第二微分片单元转发业务单元经过认证和解密复原的明文数据流量,或第二协议接入模块允许放行的数据流量,通过第一网卡发出;所述第二业务交换机单元,包括第二入站交换机模块和第二出站交换机模块;所述第二入站交换机模块第二网卡接入的数据流量,然后根据网络五元组信息,首先尝试交换到由第二认证模块、第二加解密模块组成的第二微分片转发业务单元;若失败,再尝试交换到本地业务模块;若失败,最后交换到第二协议接入模块;所述第二出站交换机模块汇聚第一微分片转发业务单元转发的流量,以及第一协议接入模块接入的流量,然后组标准网络数据包,通过第二网卡发出;所述第一、二微分片转发业务单元,均包括认证模块、加解密模块;所述认证模块用于逐包认证,基于包序号和上文提到的标识,标识分为源标识和目的标识,记为ID对,标识着业务接入信任链路的发起端和接收端,起到标识这一业务微分片目的,也起到源认证作用;所述加密模块保证业务数据的机密性和完整性;所述第一、二协议
接入模块,用于根据过滤策略过滤输入的数据流量;所述带内业务模块,用于处理业务安全接入网关之间,或与处于控制端的安全管理平台之间的管理业务,如建立信任链路;向管理平台上传日志、异常事件以及心跳等其他网关自身运转所需的业务;所述本地业务模块,用于扩展网关功能,如接入与第三方安全业务,实现安全防护级联;如接入第二业务交换机单元,接受其交换的入站数据流,对接第三方数据采集、数据分拣或是态势感知业务。
[0006]具体的,所述第一网卡经第一业务交换机单元的第一入站交换机模块分别连接带内业务模块、第一微分片转发业务单元和第一协议接入模块,第一微分片转发业务单元和第一协议接入模块经第二业务交换机单元的第二出站交换机模块后连接第二网卡;所述第二网卡经第二业务交换机单元的第二入站交换机模块分别连接本地业务模块、第二微分片转发业务单元和第二协议接入模块,第二微分片转发业务单元和第二协议接入模块经第一业务交换机单元的第一出站交换机模块后连接第一网卡。
[0007]进一步的,还包括认证与加解密策略模块、异常事件采集与上传模块、本地管理工具模块,其中,所述认证与加解密策略模块,用于向安全管理平台请求策略,并解析执行,建立业务安全接入网关之间信任链路,信任链路会有多条,每一条由一个标识标记,该标识会由链路上的流量携带,用于微分片转发业务单元识别不同的业务微分片;所述协议接入规则模块,用于同步控制端发送的协议过滤策略,并解析存储;所述异常事件采集与上传模块,用于采集网关异常事件,如协议接入规则匹配失败事件、网关设备状态异常事件等,并本地存储或上传安全管理平台,实现安全联通;所述本地管理工具模块,用于管理本机的部署、注册,固件升级等维护业务。
[0008]本技术一种用于工业互联网的业务安全接入网关,能够实现带内业务与带外业务逻辑分离,各业务独自使用不同的认证和加解密密码套件,利用业务微分片与协议接入过滤多因素认证结合,提升了数据流量的安全性和业务部署的灵活性,同时对不满足标识匹配的流量都被拒绝入站,提升了业务内网的防护性和接入设备的安全性,适用于多种工业互联网应用场景。
附图说明
[0009]下面结合附图对本技术一种用于工业互联网的业务安全接入网关作进一步说明:
[0010]图1是本用于工业互联网的业务安全接入网关的逻辑结构连接原理线框图。
具体实施方式
[0011]在本技术中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本技术中的具体含义。
[0012]在本技术的描述中,需要理解的是,术语“左”、“右”、“前”、“后”、“顶”、“底”、“内”、“外”等指示的方位或位置关系均为基于附图所示的方位或位置关系,仅是为了便于描述本技术和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、
以特定的方位构造和操作,因此不能理解为对本技术的限制。
[0013]以下用具体实施例对本技术技术方案做进一步描述,但本技术的保护范围不限制于下列实施例。
[0014]实施方式1:如图1所示,本用于工业互联网的业务安全接入网关包括第一、二网卡,第一、二业务交换机单元,第一、二微分片转发业务单元,第一、二协议接入模块,带内业务模块,本地业务模块,其中,所述第一业务交换机单元,包括第一入站交换机模块和第一出站交换机模块;所述第一入站交换机模块接收第一网卡接入的数据流量,根据数据流中的标识字段交换业务数据,对于标识为带内数据流量,交换到带内业务模块;对于标识为带外数据流量,交换到下级第一微分片转发业务单元的第一认证模块;不符合标识规则匹配的数据流量交换到第一协议接入模块;所述第一出站交换机模块汇聚前级第二微分片单元转发业务单元经过认证和解密复原的明文数据流量,或第二协议接入模块允许放行的数据流量,通过第一网卡发出;所述第二业务交换机单元,包括第二入站交换机模块和第二出站交换机模块;所述第二入站交换机模块第二网本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于工业互联网的业务安全接入网关,其特征是:包括第一、二网卡,第一、二业务交换机单元,第一、二微分片转发业务单元,第一、二协议接入模块,带内业务模块,本地业务模块,其中,所述第一业务交换机单元,包括第一入站交换机模块和第一出站交换机模块;用于根据第一网卡发来的数据流中的标识字段向下级单元模块交换业务数据,以进行数据流量处理,以及接收来自第二业务交换机单元并处理后放行的数据流量,通过第一网卡发出;所述第二业务交换机单元,包括第二入站交换机模块和第二出站交换机模块;用于根据第二网卡发来的数据流中的标识字段向下级单元模块交换业务数据,以进行数据流量处理,以及接收来自第一业务交换机单元并处理后放行的数据流量,通过第二网卡发出;所述第一、二微分片转发业务单元,均包括认证模块、加解密模块;所述认证模块用于逐包认证,基于包序号和上文提到的标识,标识分为源标识和目的标识,记为ID对,标识着业务接入信任链路的发起端和接收端,起到标识这一业务微分片目的,也起到源认证作用;所述加密模块保证业务数据的机密性和完整性;所述第一、二协议接入模块,用于根据过滤策略过滤输入的数据流量;所述带内业务模块,用于处理与其他业务安全接入网关之间的业务;所述本地业务模块,用于扩展网关功能。2.根据权...
【专利技术属性】
技术研发人员:唐慧林,荆晓亮,张铮铮,
申请(专利权)人:郑州信大信息技术研究院有限公司,
类型:新型
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。