一种工业网络的安全网关的系统的制作方法

1.本发明涉及网络安全、linux操作系统、文件系统、数据加密和认证的
技术领域：
：，尤其涉及到一种工业网络的安全网关的系统。
背景技术：
：：2.工业网络负责国家关键基础设施的生产过程控制及其管理。如今，这些工业网络仍依赖于经过良好测试的、固定的、封闭的和基于电缆的以太网网络，因为工业网络必须遵守严格的要求，例如，严格的性能要求和通信免受未知威胁的要求。然而，当需要升级或向关键基础设施中添加新组件时，这类封闭的工业网络仍然存在着限制，例如，在网络上部署新组件可能意味着需要部署新的网络线路，从而增加运营的总体成本。3.幸运的是，新兴的5g通信技术能够应用于所述的关键基础设施，并已经开始大规模的商用部署。5g提供的技术将在带宽、延迟和可扩展性方面改善整体移动通信。这种改进将能够确保超低延迟和大带宽，从而支持所述工业网络应用程序的性能要求，并允许将关键基础设施的应用程序迁移到开放的5g通信环境，从而更容易在网络上集成和部署新的设备。4.传统的关键基础设施的工业通信网络中使用的设备主要是ied(intelligentelectronicdevices智能电子设备)，也是需要重点保护的设备，它们是国家关键基础设施中基于计算机的控制器，该控制器通过从传统工业网络中的传感器采集数据、进行数据分析、向其它传统工业网络中设施组件发出控制命令以及发出故障告警信号等进行监控与管理。因此，有必要分析从封闭网络迁移到开放网络的安全问题以及如何解决这些安全问题。技术实现要素：5.为了解决上述技术问题，本发明提供了一种工业网络的安全网关的系统，采用安全库和桥接技术，以充当关键基础设施中ied的安全网关，能够解决从封闭式通信环境转向使用5g通信环境与互联网集成的工业网络所面临的安全威胁。6.一种工业网络的安全网关的系统，其特征在于，所述系统，由安全库和桥接设备组成；7.所述安全库，实现了一组安全机制，这些机制可以在独立模式下直接集成到ied中，或者被部署在受保护设备和它所连接的网络之间的框架组件中，提供其它应用程序使用的函数集合，确保数据包的完整性、身份认证和机密性的安全属性，包括加密算法和与协议相关函数；8.所述加密算法，包含一组诸如hmac-sha256或aes256-gcm那样的加密函数；9.所述协议相关函数，实现负责处理每个协议的特定方面的函数；10.所述桥接设备，采用linux操作系统，包括用户空间的应用程序、netfilter和iptable；11.所述用户空间的应用程序，侦听iptable移动到nfqueue的数据包，接收从内核空间移动到用户空间的数据包，修改数据包和将它们发回到内核空间；12.所述netfilter，提供一些库来管理nfqueue队列的数据包，管理方式与套接字相同，当收到数据包时，根据数据包的网络协议的类型调用相应的回调函数来处理每个数据包；13.所述iptable，使用它的特性，允许使用nfqueue在用户空间中执行自定义数据包过滤，基于此功能，用户空间的应用程序对给定的数据包进行判定，甚至修改或创建新的数据包，然后将其重新注入iptable链。14.进一步地，所述数据包，不仅包括goose或r-goose协议的数据包，而且还包括其它任何协议的数据包，用户空间应用程序将侦听iptable移动到nfqueue的数据包，当收到数据包时，调用根据不同的网络协议自定义的回调函数来处理相应的每个数据包。15.本发明的技术效果在于：16.在本发明中，提供了一种工业网络的安全网关的系统，其特征在于，所述系统，由安全库和桥接设备组成；所述安全库，实现了一组安全机制，这些机制可以在独立模式下直接集成到ied中，或者被部署在受保护设备和它所连接的网络之间的框架组件中，提供其它应用程序使用的函数集合，确保数据包的完整性、身份认证和机密性的安全属性，包括加密算法和与协议相关函数；所述桥接设备，采用linux操作系统，包括用户空间的应用程序、netfilter和iptable。通过本发明，能够解决从封闭式的工业网络的通信环境转向使用5g开放式通信环境与互联网集成的工业网络所面临的安全威胁。附图说明17.图1是一种工业网络的安全网关的系统的r-goosepdu的示意图；18.图2是一种工业网络的安全网关的系统的桥接设备的示意图。具体实施方式19.下面是根据附图和实例对本发明的进一步详细说明：20.本技术的目标是开发一种产品，以提供能够确保国家关键基础设施的关键应用的安全要求的安全机制，以保证消息完整性、消息身份认证和消息机密性。同样重要的是，这些安全机制不影响这些系统的严格性能要求。考虑到这些事实，本技术提供了安全网关，它将实现一组安全机制。正如所了解到的，目前使用的一些ied可能无法应用此类安全机制，因此需要为此类设备找到解决方案。该安全网关包括桥接设备和安全库，桥接设备将应用安全库中存在的安全机制。21.图1是一种工业网络的安全网关的系统的r-goosepdu的示意图。在传统的工业网络中，ied存在着许多不同的网络协议，这里重点分析使用goose/或r-goose协议的国家关键基础设施的传统的工业网络，主要关注从封闭和专用网络向开放网络的转变，分析这些关键基础设施面临的新威胁，并提出使这种转变成为可行解决方案的解决方案。之所以选择r-goose，是因为考虑到采用开放式通信环境的目标，r-goose代表了一类在安全方面构成挑战的关键应用。关键基础设施管理的一个有趣步骤是从封闭和专有的通信环境转移到开放和无线网络，从而更容易在网络上集成和部署新设备。考虑到这一点，转向基于ip而非基于以太网的协议(如goose)在该领域正变得越来越普遍。为此，使其能够在基于ip的网络上运行，从而本技术考虑了可路由goose(r-goose)协议。iec61850(internationalelectrotechnicalcommission国际电工委员会)标准中定义的r-goose是goose协议的扩展。goose通过多播或以太网广播，提供快速可靠的机制来维持子站之间的相互通信。作为goose的一个扩展，r-goose提供了相同的主要功能，但是通过基于ip的网络。goose和r-goose的主要目标都是以快速可靠的方式向其他节点传递事件数据。本质上，r-goose消息是udp数据包中“包装”的goose消息的有效负载，其中goose消息的有效负载是分组数据的数据集，例如(状态、值)格式。这些消息是事件驱动的，这意味着每条消息中的内容或数据与事件相关，或具有生成事件的目标。22.如图1所示，可以从传输轮廓和应用轮廓的角度分析r-goose消息。从传输轮廓的角度来看，r-goose消息是udp数据报，封装在ip数据包中。对于应用轮廓，r-goose由几个头字段组成。在这些字段中，与安全分析最相关的是安全信息字段和签名字段。安全信息字段包含与安全算法使用的密钥相关的数据，即timeofcurrentkey、timetonextkey、安全算法和keyid。timeofcurrentkey是一个4字节长的字段，表示从“公历元”开始的时间(以秒为单位)。字段timetonextkey是2字节长的字段，包含使用新密钥前的分钟数。安全算法字段的第一个字节包含所使用的加密算法，而第二个字节包含用于生成mac的算法。最后，keyid字段包含标识所用密钥的信息，由密钥管理系统设置。其他相关字段块是签名字段。它们出现在r-goose有效负载的末尾，并包含该数据包的身份验证标签。23.安全库提供可供其它应用程序使用的函数集合，以确保数据包的完整性、身份认证和机密性等安全属性。可以将安全库分为两部分：加密算法和协议相关函数。第一部分包含一组加密函数，例如hmac-sha256或aes256-gcm。在库的第二部分中，可以实现负责处理每个协议的特定方面的函数，例如，使用第一部分中包含的加密函数加密数据包有效载荷并更改协议的所有其他可变字段。24.桥接设备是部署在本技术中想要“保护”的系统组件和它所连接的网络之间的框架组件上。该设备捕获从受保护设备发送的数据包，对其进行分析，如有必要，应用安全方法以确保安全要求的设置。为了实现这个目标，桥接设备求助于所述的安全库来应用安全机制。在硬件方面，桥接设备运行raspbianlinux，并配备usb到以太网适配器，以提供额外的以太网端口。该设备的目标是证明可以使用现成的硬件来提高由ied等专用设备组成的系统的安全性，这些设备通常无法执行此类任务。桥接设备将允许使用必要的安全机制保护传统和低容量设备，从而为无法执行此类任务的设备提供保护。所采取的方法是创建一个由内核处理的linux桥接设备，例如，该桥接设备的软件和硬件的配置为：内存4gb、千兆以太网、usb2.0外部以太网口、raspbiangnu/linux10(buster)操作系统。该网桥捕获传入接口上的数据包，将这些数据包从内核空间移动到用户空间应用程序(因为有些应用程序不能在内核空间中使用)。这个应用程序修改数据包并将它们发回到内核空间，内核空间又将安全数据包连接到传出接口。25.在一个实施例中，可以使用brctlutls工具来实现由内核处理的linux桥，该工具连接两个物理以太网接口，创建一个新的逻辑接口到桥接设备上，可在raspbianos操作系统上使用。26.建立网桥后，需要将数据包从内核空间移动到用户空间。本技术使用iptable和另一个netfilter模块实现了这一点。在iptable上，可以使用它的特性，允许使用nfqueue在用户空间中执行自定义数据包过滤。使用此功能，用户空间应用程序可以对给定的数据包进行判定，甚至修改或创建新的数据包，然后将其重新注入iptable链。27.最后，用户空间应用程序将侦听iptable移动到nfqueue的数据包。netfilter提供了一个库来管理此类队列，处理方式与套接字相同。当收到数据包时，调用回调函数来处理每个数据包。此功能可以自定义并设计为适合任何协议，也就是说，不仅适合goose/r-goose协议，而且也适合其它任何协议。在另一个实施例中，创建了一组配置来处理每个r-goose数据包，这取决于数据包到达的接口和一组预配置，例如，用于不安全数据包的身份认证和加密算法。当识别出有效的r-goose数据包且有必要应用安全机制(当不安全数据包到达时)时，使用开发的安全库并修改数据包或使其生效/失效。28.图2是一种工业网络的安全网关的系统的桥接设备的示意图。图2提供了本技术的桥接解决方案，详细显示了iptable、nfqueue、用户空间程序与安全库之间的交互。实线箭头表示到达的数据包将穿过的路径，虚线箭头表示程序向iptable发布的结论，而虚线双箭头表示用户空间程序与安全库之间的交互。图2也示出了分组被接受的情况，尽管可以拒绝分组，导致iptable丢弃分组。此图2表示本技术的解决方案的体系结构，该解决方案在桥接设备内部使用安全库，主要用于确保传统设备之间通信的安全属性。但是，安全库也可以在独立模式下使用，并且可以直接集成到真正的ied中，这是一个能够确保传统ied或上一代ied安全属性的解决方案。29.以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；凡是依本发明所作的等效变化与修改，都被视为本发明的专利范围所涵盖。当前第1页12当前第1页12
技术特征：
1.一种工业网络的安全网关的系统，其特征在于，所述系统，由安全库和桥接设备组成；所述安全库，实现了一组安全机制，这些机制可以在独立模式下直接集成到ied中，或者被部署在受保护设备和它所连接的网络之间的框架组件中，提供其它应用程序使用的函数集合，确保数据包的完整性、身份认证和机密性的安全属性，包括加密算法和与协议相关函数；所述加密算法，包含一组诸如hmac-sha256或aes256-gcm那样的加密函数；所述协议相关函数，实现负责处理每个协议的特定方面的函数；所述桥接设备，采用linux操作系统，包括用户空间的应用程序、netfilter和iptable；所述用户空间的应用程序，侦听iptable移动到nfqueue的数据包，接收从内核空间移动到用户空间的数据包，修改数据包和将它们发回到内核空间；所述netfilter，提供一些库来管理nfqueue队列的数据包，管理方式与套接字相同，当收到数据包时，根据数据包的网络协议的类型调用相应的回调函数来处理每个数据包；所述iptable，使用它的特性，允许使用nfqueue在用户空间中执行自定义数据包过滤，基于此功能，用户空间的应用程序对给定的数据包进行判定，甚至修改或创建新的数据包，然后将其重新注入iptable链。2.如权利要求1所述的一种工业网络的安全网关的系统，所述数据包，不仅包括goose或r-goose协议的数据包，而且还包括其它任何协议的数据包，用户空间应用程序将侦听iptable移动到nfqueue的数据包，当收到数据包时，调用根据不同的网络协议自定义的回调函数来处理相应的每个数据包。

技术总结
本发明公开了一种工业网络的安全网关的系统，其特征在于，所述系统，由安全库和桥接设备组成；所述安全库，实现了一组安全机制，这些机制可以在独立模式下直接集成到IED中，或者被部署在受保护设备和它所连接的网络之间的框架组件中，提供其它应用程序使用的函数集合，确保数据包的完整性、身份认证和机密性的安全属性，包括加密算法和与协议相关函数；所述桥接设备，采用Linux操作系统，包括用户空间的应用程序、Netfilter和IPTable。通过本发明，能够解决从封闭式的工业网络的通信环境转向使用5G开放式通信环境与互联网集成的工业网络所面临的安全威胁。络所面临的安全威胁。络所面临的安全威胁。


技术研发人员：林薇 凌飞
受保护的技术使用者：南京联成科技发展股份有限公司
技术研发日：2022.02.17
技术公布日：2023/8/31