[发明专利]一种安全可信网关系统、控制方法、介质、设备及终端

说明书

本发明属于通信技术领域，公开了一种安全可信网关系统、控制方法、介质、设备及终端，利用网关客户端与网关服务端建立TLS连接，捕获目的地为内部网络的用户数据包，将用户的数据包以隧道的形式通过TLS连接发往网关服务端，将从TLS连接收到的隧道包正确解包并发往对应用户进程；利用网关服务端与网关客户端建立TLS连接，接收和解析来自TLS连接的隧道包，按照过滤的规则正确过滤数据包，按照流量控制的要求正确控制数据包的流量，将数据包经NAT后发往内部网络，将来自内部网络的数据包以隧道的方式通过对应的TLS连接发送，对网关的过滤规则与流量控制规则进行管理。本发明简化身份认证和权限验证流程，提高安全访问效率。

技术领域

本发明属于通信技术领域，尤其涉及一种安全可信网关系统、控制方法、介质、设备及终端。

背景技术

高档数控系统是国家制造业核心竞争力的集中体现之一，是生产制造高精尖装备的母机，其产业具有重大战略意义，但在网络化、智能化的转型升级过程中正面临日益严峻的信息安全问题。以西门子、发那科为首的国际数控厂商以纵深防御为思路建设开放式安全数控系统，一定程度上形成技术壁垒，对我国自主可控不利。目前，对于开放式数控系统来说，典型智能产线包括来自不同厂家、支持不同的通信协议的数控系统、机器人、传送装备、AGV等多种装备，且大多数通信协议采用明文传输，给用户带来集成困难和安全隐患。尤其是对具有重大安全隐患的国外产品，无法将可信控制模块或安全密码模块集成到装备内部。如何适配这些异构形式的通信协议，保证产线的集成开放性和灵活性，同时又能以安全可信的方式接入数控网络，形成自主与国外混品牌混型号数控系统的安全可信互联互操作方案，并对上传/下载工艺文件、加工代码等进行密文传输和安全分析，是安全的智能数控产线必需要解决的关键科学问题。

通过上述分析，现有技术存在的问题及缺陷为：现有开放式数控系统大多数通信协议采用明文传输，给用户带来集成困难和安全隐患；对具有重大安全隐患的国外产品，无法将可信控制模块或安全密码模块集成到装备内部；数控系统在硬件结构、计算资源、业务行为等方面与通用计算机系统有较大差异，需要保证资源占有率小、计算实时性高、业务精度高等数控特征，构成了一个多高特性的数控系统本体环境，厂商企业无法接受对正常生产业务造成影响的安全可信防护方案；如何统筹考虑数控系统网关的硬件接口、计算资源、业务软件开放性以及插补控制实时性等约束条件，优化数控系统网关与安全可信关键技术的软硬件融合，实现安全可信增强对数控系统业务的零影响，是数控系统安全可信技术可用、可靠必须要解决的关键科学问题。

发明内容

针对现有技术存在的问题，本发明提供了一种安全可信网关系统、控制方法、介质、设备及终端，尤其涉及一种基于国密算法的安全可信网关系统、控制方法、介质、设备及终端。

本发明是这样实现的，一种安全可信网关系统的控制方法，安全可信网关系统的控制方法包括：利用网关客户端与网关服务端建立TLS连接，捕获目的地为内部网络的用户数据包，将用户的数据包以隧道的形式通过TLS连接发往网关服务端，并将从TLS连接收到的隧道包正确解包并发往对应的用户进程；利用网关服务端与网关客户端建立TLS连接，接收和解析来自TLS连接的隧道包，按照过滤的规则正确过滤数据包，按照流量控制的要求正确控制数据包的流量，将数据包经NAT后发往内部网络，将来自内部网络的数据包以隧道的方式通过对应的TLS连接发送，并对网关的过滤规则与流量控制规则进行管理。

进一步，安全可信网关系统的控制方法包括以下步骤：

步骤一，进行安全网关的网络边界协议过滤；

步骤二，进行安全网关的网络隔离与流量控制；

步骤三，进行安全网关的可信网络边界防护；

步骤四，基于可信计算3.0实现高速加密和访问控制。

进一步，步骤一中的安全网关的网络边界协议过滤包括：

(1)针对由web应用层的数据传输：使用HTTPS代理，认证方式如下：