[发明专利]面向工业嵌入式系统的网络信息安全防护单元和防护方法

说明书

本发明涉及面向工业嵌入式系统的网络信息安全防护单元和防护方法，具体方法为通过集成访问控制、身份认证与通信数据加密等安全技术形成网络安全单元NGU来为现场控制设备提供主动防护。NGU包括访问控制模块、身份认证模块、数据加密模块、密钥协商模块和PCIE通信模块，支持双网卡与PCIE总线通信模式。本发明在保证工业控制系统中各类终端设备安全的正确性及可行性基础上，结合信息安全领域主动防护技术手段为工业控制系统构建安全可信的运行环境。

技术领域

本发明涉及一种面向工业嵌入式系统的网络信息安全防护单元架构及设计方法。不同于传统防火墙及单一网络防护设备等被动防御技术，本发明针对工业嵌入式系统设备的应用场景及功能特性，将传统信息安全的多种安全防护机制应用到了嵌入式设备软硬件设计中，以提高嵌入式工业通讯设备自身信息安全风险防范能力，属于工业控制网络安全领域。

背景技术

面临工业控制系统存在的各类安全隐患，传统的工业控制系统信息安全防护技术与产品方案主要有如下几种：

(1)工业防火墙，在种类与关键技术方面与一般IT防火墙种类类似，总体上分为包过滤、状态包检测和代理服务器等几大类型。可以依据系统内设置的过滤逻辑，也成为访问控制表来对数据包关键因素进行筛查来决定是否允许该数据包通过。

(2)虚拟专用网(VPN)技术，是一种采用加密、认证等安全机制，在公共网络基础设施上建立安全、独占、自治的逻辑网络技术。通过虚拟的组网技术可以构建出高安全等级、高可靠性的专用通信网络。

(3)网络隔离，在公司管理网络和工业控制系统网络之间，采用不同的架构进行网络，加强网络信息安全。通常采用防火墙等信息安全产品在管理网和工业控制系统网络之间建立中间非军事化区(DMZ)网络，防止两个网络直接相互通信。

目前工业控制系统中广泛应用的安全防护类产品主要以工业防火墙为主，这种防火墙在传统IT防火墙的基础上支持多种工业控制系统通信协议及现场总线。但是这类防火墙只是一种基于IP地址的认证，本身不具备身份认证与加密通信等功能。其包过滤判别的条件为数据包首部的部分信息，这部分信息具有不确定性，容易被伪装。

其次，部分防火墙不提供深度协议解析，不具备检测通过应用层协议而实现的攻击。并且防火墙的安全等级通常依赖指定的过滤规则表，没有很好的测试工具检验其正确性与冲突性，容易导致漏洞。

最后对于采用动态或随机分配端口的服务，该防火墙很难进行有效认证。如远程过程调用服务(RPC)等。

综上所述，本发明针对工业控制系统领域的嵌入式设备的应用特点与组成结构，基于主动防护技术，采用集访问控制、身份认证、数据加密及可信启动等多种安全防护手段来实现对工业控制系统中需要进行保护的关键设备进行保护。在不影响关键设备正常运行的前提下，对工业控制系统网络中的数据流量进行鉴别与过滤，防止恶意数据包对过程控制系统设备如PLC等造成危害，从而实现对工业控制系统的保护。

发明内容

针对上述技术不足，本发明的目的提供一种面向工业嵌入式系统的网络信息安全单元(Network Guard Unit)，简称为NGU。

本发明解决其技术问题所采用的技术方案是：面向工业嵌入式系统的网络信息安全防护单元，包括：

访问控制主动检测模块，用于过滤拦截无访问权限的数据流，检测到非法访问流量时，立即阻断数据通信并报警；

身份认证模块，用于使用NGU的现场控制设备通过自己的设备证书与其他通信节点进行身份合法性认证；通过认证后允许通信；

密钥协商模块，用于检测通信加密功能所使用的密钥是否存在脆弱性和/或过期；若是，则进行对会话密钥的协商操作；

通信数据加解密模块，用于使用NGU的现场控制设备通过身份认证后建立加解密通信连接；对需要通信的数据采用国产商用密码系列算法进行加解密；