[发明专利]一种安全可信网关系统、控制方法、介质、设备及终端

权利要求书

1.一种安全可信网关系统的控制方法，其特征在于，安全可信网关系统的控制方法包括：利用网关客户端与网关服务端建立TLS连接，捕获目的地为内部网络的用户数据包，将用户的数据包以隧道的形式通过TLS连接发往网关服务端，并将从TLS连接收到的隧道包正确解包并发往对应的用户进程；利用网关服务端与网关客户端建立TLS连接，接收和解析来自TLS连接的隧道包，按照过滤的规则正确过滤数据包，按照流量控制的要求正确控制数据包的流量，将数据包经NAT后发往内部网络，将来自内部网络的数据包以隧道的方式通过对应的TLS连接发送，并对网关的过滤规则与流量控制规则进行管理。

2.如权利要求1所述的安全可信网关系统的控制方法，其特征在于，安全可信网关系统的控制方法包括以下步骤：

步骤一，进行安全网关的网络边界协议过滤；

步骤二，进行安全网关的网络隔离与流量控制；

步骤三，进行安全网关的可信网络边界防护；

步骤四，基于可信计算3.0实现高速加密和访问控制。

3.如权利要求2所述的安全可信网关系统的控制方法，其特征在于，步骤一中的安全网关的网络边界协议过滤包括：

(1)针对由web应用层的数据传输：使用HTTPS代理，认证方式如下：

单向认证：客户端向服务器发送消息，服务器接到消息后，用服务器端的密钥库中的私钥对数据进行加密；将加密后的数据和服务器端的公钥一起发送到客户端，客户端用服务器发送来的公钥对数据解密；在用传到客户端的服务器公钥对数据加密传给服务器端，服务器用私钥对数据进行解密；

双向认证：

1)客户端向服务器发送消息，将消息用客户端证书加密后连同客户端证书一起发送到服务器端；

2)服务器接到消息后用用客户端证书把消息解密，再用服务器私钥将消息加密，将服务器证书和消息共同发送到客户端；

3)客户端用发来的服务器证书对消息进行解密，用服务器的证书对消息加密；在用客户端的证书对消息在进行一次加密，连同加密消息和客户端证书一起发送到服务器端；

4)到服务器端用客户端传来的证书对消息进行解密，确保消息是客户发送；再用服务器端的私钥对消息在进行解密，得到明文数据；

在网关的TCP传输层使用TLS代理，经过网关后以TLS通信与开放式数控系统中DNC、MDC、MES和ERP的应用进行数据传输交互；

安全网关针对内部子网采取网络加密代理，在经过安全网关后使用TLS代理，在通过虚拟网卡与数控系统中的应用交互；

(2)针对NC-Link层的数据传输：使用NC-Link加密网关，辅助产线进行安全数据交互；由于NC-Link协议涉及数据采集、G代码文件传输、指令下发的上行或下行数据，分类对NC-Link的接入设备进行认证和访问控制，对数据传输进行加密和完整性保护。