国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種增強網(wǎng)絡(luò)安全性能的方法及系統(tǒng)的制作方法

      文檔序號:7857203閱讀:194來源:國知局
      專利名稱:一種增強網(wǎng)絡(luò)安全性能的方法及系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種增強網(wǎng)絡(luò)安全性能的方法及系統(tǒng)。
      背景技術(shù)
      在工業(yè)環(huán)境下或者要求高可靠性的數(shù)據(jù) 通信領(lǐng)域中,例如,工廠自動化系統(tǒng)、智能交通運輸系統(tǒng)(ITS)、變電站或者其他惡劣環(huán)境中等,相應的網(wǎng)絡(luò)部署廣泛使用以太網(wǎng)技術(shù),以組建相應的專用網(wǎng)絡(luò)來連接工業(yè)設(shè)備,并通常通過冗余的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來為數(shù)據(jù)通信鏈路提供保護。具體地,如圖I所示,在工業(yè)冗余以太網(wǎng)中,采用若干工業(yè)以太網(wǎng)交換機(以下簡稱交換機)連接成的環(huán)狀網(wǎng)絡(luò),為嚴苛工業(yè)環(huán)境提供高可靠性的數(shù)據(jù)通信。工業(yè)冗余以太網(wǎng)面臨著多方面的安全性挑戰(zhàn)。例如,如圖2所示,攻擊者的攻擊方式可以為以下三種中的任意一種或多種(I)攻擊者可以偽造身份(假冒終端)接入專用網(wǎng)絡(luò)(即工業(yè)冗余以太網(wǎng));(2)攻擊者也可以在網(wǎng)絡(luò)上竊聽或篡改通信數(shù)據(jù);(3)攻擊者還可以通過管理交換機來破壞工業(yè)冗余以太網(wǎng)的正常工作。目前,為保證工業(yè)冗余以太網(wǎng)的安全性能,具體采用了以下技術(shù)手段技術(shù)手段一廣播風暴控制技術(shù)廣播風暴控制技術(shù)是通過在交換機端口配置廣播風暴抑制策略來限制廣播數(shù)據(jù)流量;具體地,如圖3所示,若在交換機端口上配置廣播風暴抑制策略,則只有指定速率內(nèi)的廣播流量能夠通過交換機,超過的流量將被丟棄。技術(shù)手段二 劃分VLAN劃分VLAN (虛擬局域網(wǎng))的方式可以縮小廣播域,以實現(xiàn)業(yè)務(wù)隔離。具體地,如圖4所示,將交換機端口劃分成不同的VLAN,進入交換機的廣播流量只會被轉(zhuǎn)發(fā)到屬于相同VLAN的端口,例如,從VLANlO進入交換機的廣播流量只會被轉(zhuǎn)發(fā)到同屬于VLANlO的端口,屬于其他VLAN的端口則接收不到該流量。技術(shù)手段三IEEE802. Ix安全認證技術(shù)在IEEE802. Ix安全認證技術(shù)中,具體是對連接到交換機物理端口的設(shè)備進行用戶認證和授權(quán),從而禁止未授權(quán)設(shè)備的接入。例如,參照圖5所示,在啟用了 IEEE802. Ix認證技術(shù)之后,交換機端口處于未授權(quán)的初始狀態(tài),此時,通過該端口不能訪問網(wǎng)絡(luò)。當有終端接入該端口時,交換機向終端發(fā)起認證要求,并對終端響應的用戶信息及口令信息進行認證若認證成功,則交換機對該端口進行授權(quán),允許終端訪問網(wǎng)絡(luò);若認證失敗,則交換機將該端口置成未授權(quán)狀態(tài),禁止終端訪問網(wǎng)絡(luò)。對于上述三種目前用來保證網(wǎng)絡(luò)安全的技術(shù)手段,其并不能夠很好地克服圖2中所示的3種攻擊形式。其中,廣播風暴控制技術(shù)和劃分VLAN的方式雖然可以抵御泛洪攻擊,但其對網(wǎng)絡(luò)上的竊聽和偽裝等攻擊行為毫無作用;IEEE802. Ix安全認證技術(shù)雖然可以有效防范假冒終端接入網(wǎng)絡(luò),卻無法解決環(huán)路上的竊聽和篡改等安全問題。
      總之,現(xiàn)有的工業(yè)以太網(wǎng)交換機安全技術(shù)所提供的保護能力比較有限,無法有效保證工業(yè)冗余以太網(wǎng)數(shù)據(jù)通信保密性和完整性。

      發(fā)明內(nèi)容
      本發(fā)明的目的是提供一種增強網(wǎng)絡(luò)安全性能的方法及系統(tǒng),以保證工業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)傳遞的安全性能。本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的一種增強網(wǎng)絡(luò)安全性能的方法,包括在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù);在數(shù)據(jù)發(fā)送端,將所述數(shù)據(jù)基于建立的隧道進行加密處理,并發(fā)送經(jīng)過加密處理后的數(shù)據(jù);·在數(shù)據(jù)接收端,基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備??蛇x地,所述的數(shù)據(jù)發(fā)送端包括終端設(shè)備或交換機或接入設(shè)備;所述的數(shù)據(jù)接收端包括終端設(shè)備或交換機或接入設(shè)備。可選地,所述的工業(yè)網(wǎng)絡(luò)包括工業(yè)冗余以太網(wǎng)。進一步地,該方法還包括數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,對所述第一終端設(shè)備進行接入認證,并僅對通過接入認證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理;和/ 或,網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進行認證,并僅對通過認證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應的管理操作;和/ 或,數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,根據(jù)預先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理;和/ 或,數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。進一步地,所述的接入認證包括基于IEEE802. Ix的認證,或者,基于端口安全的接入認證??蛇x地,若所述的接入認證為基于IEEE802. Ix的認證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認證服務(wù)器之間進行認證信息的交互,且所述認證信息通過所述建立的隧道進行傳遞??蛇x地,所述的第一 ACL中預先定義了終端設(shè)備的源地址及允許該終端設(shè)備訪問的目的地址或網(wǎng)絡(luò)服務(wù),第二 ACL中的預先定義了經(jīng)過隧道加密的數(shù)據(jù)幀的特性。一種增強網(wǎng)絡(luò)安全性能的系統(tǒng),包括
      數(shù)據(jù)發(fā)送端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,將所述數(shù)據(jù)基于建立的隧道進行加密處理,并將經(jīng)過加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端;數(shù)據(jù)接收端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。進一步地,該系統(tǒng)還包括所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還對所述第一終端設(shè)備進行接入認證,并僅對通過接入認證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理;和/ 或,網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進行認證,并·僅對通過認證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應的管理操作;和/ 或,所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還根據(jù)預先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理;和/ 或,所述數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。若所述的接入認證為基于IEEE802. Ix的認證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認證服務(wù)器之間進行認證信息的交互,且所述認證信息通過所述建立的隧道進行傳遞。由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明實施例提供了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下,增強網(wǎng)絡(luò)安全特性的技術(shù)方案。在該技術(shù)方案中,采用加密隧道技術(shù)保護網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性,從而可以有效保證工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)傳遞的安全性能。進一步地,還可以采用ACL技術(shù)過濾經(jīng)過交換機等設(shè)備的數(shù)據(jù);以及可以采用IEEE802. Ix或者端口安全技術(shù)有效防范交換機物理端口上未授權(quán)設(shè)備的接入,從而進一步加強交換機等設(shè)備的自身抗攻擊能力。


      為了更清楚地說明本發(fā)明實施例的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域的普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他附圖。圖I為現(xiàn)有技術(shù)中工業(yè)冗余以太網(wǎng)的結(jié)構(gòu)示意圖;圖2為現(xiàn)有技術(shù)中工業(yè)冗余以太網(wǎng)的安全隱患示意圖;圖3為現(xiàn)有技術(shù)中的廣播風暴抑制技術(shù)不意圖;圖4為現(xiàn)有技術(shù)中的VLAN劃分技術(shù)示意圖5為現(xiàn)有技術(shù)中的接入認證技術(shù)處理過程示意圖;圖6為本發(fā)明提供的處理過程示意圖;圖7為本發(fā)明提供的應用實施例的處理過程示意圖;圖8為本發(fā)明提供的工業(yè)冗余以太網(wǎng)的安全策略示意圖;圖9為本發(fā)明提供的本地數(shù)據(jù)的處理過程示意圖;圖10為本發(fā)明提供的遠端數(shù)據(jù)處理過程示意圖。
      具體實施例方式下面結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實 施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明的保護范圍。下面將結(jié)合附圖對本發(fā)明實施例作進一步地詳細描述。本發(fā)明提供了一種增強網(wǎng)絡(luò)安全性能的方法,如圖6所示,其實現(xiàn)過程具體可以包括以下處理步驟步驟S600,在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù);其中,相應的工業(yè)網(wǎng)絡(luò)可以但不限于包括工業(yè)冗余以太網(wǎng),或者,也可以為其他在類似網(wǎng)絡(luò)安全保護需求的工業(yè)網(wǎng)絡(luò)。步驟S602,在數(shù)據(jù)發(fā)送端,將所述數(shù)據(jù)基于建立的隧道進行加密處理,并發(fā)送經(jīng)過加密處理后的數(shù)據(jù);其中,相應的數(shù)據(jù)發(fā)送端可以但不限于采用終端設(shè)備或交換機或接入設(shè)備等等,同樣,相應的數(shù)據(jù)接收端也可以但不限于采用終端設(shè)備或交換機或接入設(shè)備等等;步驟S604,在數(shù)據(jù)接收端,基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。在本發(fā)明中,為進一步提高網(wǎng)絡(luò)安全性能,還可以但不限于采用以下任意一種或多種技術(shù)處理手段對網(wǎng)絡(luò)中傳送的數(shù)據(jù)的安全性提供保護,具體包括技術(shù)處理手段一數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,對所述第一終端設(shè)備進行接入認證,并僅對通過接入認證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理,對于未通過接入認證的第一終端設(shè)備發(fā)送來的數(shù)據(jù),則丟棄或忽略,即不允許其在網(wǎng)絡(luò)中傳遞;其中,在上述技術(shù)處理手段一中,相應的的接入認證可以但不限于采用基于IEEE802. Ix的認證,或者,基于端口安全的接入認證;進一步地,若所述的接入認證為基于IEEE802. Ix的認證,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認證服務(wù)器之間進行認證信息的交互,且所述認證信息通過所述建立的隧道進行傳遞;技術(shù)處理手段二網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進行認證,并僅對通過認證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應的管理操作;相應的網(wǎng)絡(luò)設(shè)備可以為交換機或接入設(shè)備等;其中,在上述技術(shù)處理手段二中,若所述的認證為基于認證服務(wù)器的認證,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認證服務(wù)器之間進行認證信息的交互,且所述認證信息通過所述建立的隧道進行傳遞;技術(shù)處理手段三數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,根據(jù)預先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理,對于不符合第一 ACL中預先定義的條件的數(shù)據(jù),則丟棄或忽略,即不允許其在網(wǎng)絡(luò)中傳遞;技術(shù)處理手段四數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作,同樣,對于不符合第二 ACL中預先定義的條件的數(shù)據(jù),則丟棄或忽略,即不允許其在網(wǎng)絡(luò)中傳遞。需要說明的是,在上述的第一 ACL中具體可以預先定義終端設(shè)備的源地址及允許該終端設(shè)備訪問的目的地址或網(wǎng)絡(luò)服務(wù),第二 ACL中的預先定義了經(jīng)過隧道加密的數(shù)據(jù)幀的特性,從而使得數(shù)據(jù)發(fā)送端和數(shù)據(jù)接收端均可以根據(jù)相應的ACL對經(jīng)過的數(shù)據(jù)進行過濾·處理,即僅允許符合第一 ACL或者第二 ACL中預先定義的規(guī)則的數(shù)據(jù)在網(wǎng)絡(luò)中傳遞,從而進一步有效保證網(wǎng)絡(luò)的安全性能。通過上述技術(shù)方案,本發(fā)明給出了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下,增強網(wǎng)絡(luò)安全特性的技術(shù)方案。在該技術(shù)方案中,采用加密隧道技術(shù)保護網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性。進一步地,還可以采用ACL技術(shù)過濾經(jīng)過交換機等設(shè)備的數(shù)據(jù);以及可以采用IEEE802. Ix或者端口安全技術(shù)有效防范交換機物理端口上未授權(quán)設(shè)備的接入,其中,采用IEEE802. Ix認證技術(shù)過程中,具體可以與AAA (即認證Authentication,授權(quán)Authorization,記帳Accounting)認證服務(wù)器通信,以實現(xiàn)相應的AAA認證,從而有效加強交換機等設(shè)備的自身抗攻擊能力。為便于理解,下面將結(jié)合具體的應用實施例對本發(fā)明的實現(xiàn)過程進行詳細描述。在下述本發(fā)明實施例中,具體為采用冗余協(xié)議、訪問控制列表、IEEE802. Ix認證或端口安全技術(shù),以及加密隧道協(xié)議組建安全的工業(yè)冗余以太網(wǎng)。在下述描述過程中,具體將相應的交換機作為上述數(shù)據(jù)發(fā)送端和相應的數(shù)據(jù)接收端,且為便于描述和理解,還將交換機連接到工業(yè)冗余以太網(wǎng)的端口稱為網(wǎng)絡(luò)側(cè)端口,將交換機上除網(wǎng)絡(luò)側(cè)端口以外的所有端口稱之為設(shè)備側(cè)端口。如圖7和圖8所示,本發(fā)明實施例的具體實現(xiàn)過程可以包括以下步驟步驟S700,可以但不限于采用VLAN技術(shù)將交換機端口劃分成網(wǎng)絡(luò)側(cè)端口和設(shè)備側(cè)端口。網(wǎng)絡(luò)側(cè)端口用于將交換機連接到冗余以太網(wǎng)(即工業(yè)冗余以太網(wǎng)),設(shè)備側(cè)端口用于連接終端設(shè)備。步驟S702,在交換機的網(wǎng)絡(luò)側(cè)端口上采用鏈路冗余協(xié)議,例如,可以但不限于采用RSTP (快速生成樹協(xié)議),構(gòu)建環(huán)形網(wǎng)絡(luò),以便于為數(shù)據(jù)通信提供冗余備份鏈路。步驟S704,在交換機上的網(wǎng)絡(luò)側(cè)端口采用加密隧道的方式分別對業(yè)務(wù)數(shù)據(jù)進行加密,以防范網(wǎng)絡(luò)上的竊聽、偽裝或中間人攻擊等,有效保證上、下行鏈路數(shù)據(jù)的保密性和完整性;其中,相應的加密隧道可以但不限于包括基于IPSec (互聯(lián)網(wǎng)協(xié)議安全性)、PPTP(點對點隧道協(xié)議)、L2TP (二層隧道協(xié)議)等VPN (虛擬專用網(wǎng))中建立的隧道;例如,如果通信業(yè)務(wù)全部為IP數(shù)據(jù),則可以采用IPSec隧道機制對通信業(yè)務(wù)進行加密和驗證,即建立相應的IPSec隧道,以用于進行后續(xù)數(shù)據(jù)的安全傳送;如果通信業(yè)務(wù)為多協(xié)議數(shù)據(jù),則可以采用PPTP或L2TP等第二層隧道機制對通信業(yè)務(wù)提供保護,即建立相應的二層隧道,以用于進行后續(xù)數(shù)據(jù)的安全傳送。步驟S706,在交換機上所有的設(shè)備側(cè)端口還可以采用IEEE802. Ix或者端口安全技術(shù),以防范未授權(quán)終端設(shè)備的接入。若采用IEEE802. Ix認證技術(shù),則需要接入以太網(wǎng)的終端設(shè)備必須支持IEEE802. Ix客戶端(請求者)協(xié)議。若采用認證服務(wù)(如=RADIUS(遠端驗證撥入用戶服務(wù))、TACACS+ (終端訪問控制器訪問控制系統(tǒng)))對IEEE802. Ix請求進行認證,則認證服務(wù)器(或稱AAA認證服務(wù)器)必須放置于VPN服務(wù)器之后,從而使認證流量受到步驟S704所述加密隧道的保護;進一步地,對于不支持IEEE802. Ix認證技術(shù)或端口安全技術(shù)的交換機或接入終端設(shè)備,還可以采用IP-MAC地址綁定的方式進行接入限制,即將接入設(shè)備的MAC地址綁定到指定端口上,并禁止其他所有MAC地址的出現(xiàn)?!げ襟ES708,可以在交換機的所有端口上采用ACL,只允許安全流量通過,過濾(SP屏蔽)所有其他數(shù)據(jù);當然,若交換機或接入設(shè)備中不支持ACL技術(shù),則可以省略該步驟;具體地,為保證在交換機中的雙向數(shù)據(jù)均能夠得到控制,具體可以包括在交換機所有設(shè)備側(cè)端口配置ACL (即前面所述第一 ACL),只允許已授權(quán)的終端設(shè)備的數(shù)據(jù)進入作為數(shù)據(jù)發(fā)送端的交換機,過濾所有其他數(shù)據(jù)。使用的過濾規(guī)則可以有MAC地址、IP地址、所需服務(wù)(協(xié)議)類型。在交換機網(wǎng)絡(luò)側(cè)端口配置ACL (即前面所述第二 ACL),只允許步驟S704所述隧道機制的加密流量進入作為數(shù)據(jù)接收端的交換機,過濾所有其他數(shù)據(jù)。步驟S710,在所有交換機上可以但不限于采用AAA認證服務(wù)(如RADIUS、TACACS+),以確保交換機是以安全的方式被管理,即在認證服務(wù)器上建立交換機管理員的用戶及權(quán)限信息,僅有通過認證的用戶才可以作為交換機管理員對交換機進行管理操作。與上述步驟S706類似,該認證服務(wù)器也必須放置于VPN服務(wù)器之后,從而使認證流量受到步驟S704所述加密隧道的保護; 需要說明的是,在該步驟S710中,若交換機不支持AAA認證技術(shù),則還可以采用其他權(quán)限管理手段對交換機或接入設(shè)備的管理權(quán)限進行限制?;谏鲜鎏幚恚旅鎸⒁韵鄳臄?shù)據(jù)傳遞過程為例,對本發(fā)明的具體實現(xiàn)過程作進一步地描述。如圖9所示,在按照步驟S700至步驟S710實施了本發(fā)明方案之后,從終端設(shè)備發(fā)出的本地數(shù)據(jù)在通過交換機的過程中所經(jīng)歷的處理流程可以包括(I)終端設(shè)備發(fā)出的本地數(shù)據(jù)進入交換機的設(shè)備側(cè)端口之后,將進行IEEE802. Ix認證狀態(tài)或端口安全的判定;其中,當采用IEEE802. Ix認證技術(shù)時,若本地數(shù)據(jù)屬于該端口已授權(quán)的終端用戶數(shù)據(jù),則執(zhí)行步驟(2),否則將被丟棄;當采用端口安全技術(shù)時,若本地數(shù)據(jù)幀的源MAC (媒體接入控制)地址包含于該端口的安全MAC地址列表,則執(zhí)行步驟
      (2),否則將被丟棄。(2)交換機將依據(jù)在該設(shè)備側(cè)端口上預定義的ACL中預先定義的規(guī)則對本地數(shù)據(jù)進行匹配處理若匹配成功且預定義的ACL動作為放行,則對本地數(shù)據(jù)執(zhí)行步驟(3),否則,本地數(shù)據(jù)將被丟棄;其中,ACL中的規(guī)則定義了該終端設(shè)備的源地址以及所允許訪問的目的地址、網(wǎng)絡(luò)服務(wù)等信息。(3)交換機依據(jù)交換(或路由)轉(zhuǎn)發(fā)規(guī)則將本地數(shù)據(jù)轉(zhuǎn)發(fā)到對應的網(wǎng)絡(luò)側(cè)端口上,并執(zhí)行步驟(4)。(4)交換機使用預先建立好的隧道對本地數(shù)據(jù)進行加密處理,并將經(jīng)過隧道加密的本地數(shù)據(jù)通過網(wǎng)絡(luò)側(cè)端口發(fā)送到工業(yè)冗余以太網(wǎng)上。對應的,如圖10所示,在按照步驟S700至步驟S710實施了本發(fā)明方案之后,來自工業(yè)冗余以太網(wǎng)上的遠端數(shù)據(jù)在通過交換機的過程中所經(jīng)歷的處理流程包括(5)遠端數(shù)據(jù)從網(wǎng)絡(luò)側(cè)端口進入交換機之后,將依據(jù)在該網(wǎng)絡(luò)側(cè)端口上預定義的ACL規(guī)則對本地數(shù)據(jù)進行匹配處理若匹配成功且預定義的ACL動作為放行,則針對遠端數(shù)·據(jù)執(zhí)行步驟(6),否則,本地數(shù)據(jù)將被丟棄;其中,該ACL中的規(guī)則定義了經(jīng)過隧道加密的數(shù)據(jù)幀的特性。(6)交換機依據(jù)交換(或路由)轉(zhuǎn)發(fā)規(guī)則將本地數(shù)據(jù)轉(zhuǎn)發(fā)到對應的設(shè)備側(cè)端口上,并執(zhí)行步驟(7)。(7)交換機使用預先建立好的隧道對遠端數(shù)據(jù)進行解密處理,并將解密后的數(shù)據(jù)通過設(shè)備側(cè)端口發(fā)送出去。在上述處理過程中,通過采用隧道加密和ACL技術(shù),從數(shù)據(jù)通道的層面提供經(jīng)過加密的安全數(shù)據(jù)通道,抵御網(wǎng)絡(luò)上的竊聽和偽裝等攻擊行為。進一步地,還通過采用IEEE802. lx(或端口安全)和ACL技術(shù),從終端接入的層面防止未授權(quán)設(shè)備接入網(wǎng)絡(luò)。另外,本發(fā)明實施例中還采用AAA認證技術(shù),并將認證服務(wù)器放置于VPN服務(wù)器之后,從網(wǎng)絡(luò)管理的層面確保以安全的方式對網(wǎng)絡(luò)設(shè)備進行管理。總而言之,本發(fā)明能夠有效地增強工業(yè)冗余以太網(wǎng)的安全性能,在工業(yè)環(huán)境下的要求高可靠性、高安全性的數(shù)據(jù)通信領(lǐng)域具有重要的實用意義。在本發(fā)明方案所述的步驟S604中,加密隧道不一定要建立在交換機和遠端設(shè)備之間,可以建立在本地終端設(shè)備和遠端設(shè)備之間。本發(fā)明還提供了一種一種增強網(wǎng)絡(luò)安全性能的系統(tǒng),其具體可以包括數(shù)據(jù)發(fā)送端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,將所述數(shù)據(jù)基于建立的隧道進行加密處理,并將經(jīng)過加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端;數(shù)據(jù)接收端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。在該系統(tǒng)中,數(shù)據(jù)發(fā)送端可以但不限于采用終端設(shè)備或交換機或接入設(shè)備等等,同樣,數(shù)據(jù)接收端也可以但不限于采用終端設(shè)備或交換機或接入設(shè)備等等。為進一步提高系統(tǒng)的安全性能,在該系統(tǒng)中還可以但不限于包括以下至少一種技術(shù)處理手段,具體包括(一)數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,還對所述第一終端設(shè)備進行接入認證,并僅對通過接入認證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理;
      (二)網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進行接入認證,并僅對通過接入認證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應的管理操作;相應的網(wǎng)絡(luò)設(shè)備可以為交換機或接入設(shè)備等;(三)數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還根據(jù)預先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理;(四)數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加 密處理后的數(shù)據(jù)后,根據(jù)預先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。其中,若所述的接入認證為基于IEEE802. Ix的認證,則所述數(shù)據(jù)發(fā)送端或網(wǎng)絡(luò)設(shè)備需要與網(wǎng)絡(luò)側(cè)的認證服務(wù)器之間進行認證信息的交互,且所述認證信息通過所述建立的隧道進行傳遞。在該系統(tǒng)中,數(shù)據(jù)發(fā)送端和數(shù)據(jù)接收端所采用的具體處理方式在之前的方法描述中已經(jīng)詳細描述,故在些不再贅述。以上所述,僅為本發(fā)明較佳的具體實施方式
      ,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明披露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應該以權(quán)利要求書的保護范圍為準。
      權(quán)利要求
      1.一種增強網(wǎng)絡(luò)安全性能的方法,其特征在于,包括 在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù); 在數(shù)據(jù)發(fā)送端,將所述數(shù)據(jù)基于建立的隧道進行加密處理,并發(fā)送經(jīng)過加密處理后的數(shù)據(jù); 在數(shù)據(jù)接收端,基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。
      2.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述的數(shù)據(jù)發(fā)送端包括終端設(shè)備或交換機或接入設(shè)備;所述的數(shù)據(jù)接收端包括終端設(shè)備或交換機或接入設(shè)備。
      3.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述的工業(yè)網(wǎng)絡(luò)包括工業(yè)冗余以太網(wǎng)。
      4.根據(jù)權(quán)利要求1、2或3所述的方法,其特征在于,該方法還包括 數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,對所述第一終端設(shè)備進行接入認證,并僅對通過接入認證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理; 和/或, 網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進行認證,并僅對通過認證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應的管理操作; 和/或, 數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,根據(jù)預先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理; 和/或, 數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。
      5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述的接入認證包括基于IEEE802.Ix的認證,或者,基于端口安全的接入認證。
      6.根據(jù)權(quán)利要求5所述的方法,其特征在于,若所述的接入認證為基于IEEE802.Ix的認證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認證服務(wù)器之間進行認證信息的交互,且所述認證信息通過所述建立的隧道進行傳遞。
      7.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述的第一ACL中預先定義了終端設(shè)備的源地址及允許該終端設(shè)備訪問的目的地址或網(wǎng)絡(luò)服務(wù),第二 ACL中的預先定義了經(jīng)過隧道加密的數(shù)據(jù)幀的特性。
      8.一種增強網(wǎng)絡(luò)安全性能的系統(tǒng),其特征在于,包括 數(shù)據(jù)發(fā)送端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于在確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,將所述數(shù)據(jù)基于建立的隧道進行加密處理,并將經(jīng)過加密處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)接收端; 數(shù)據(jù)接收端,設(shè)置于工業(yè)網(wǎng)絡(luò)中,用于基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。
      9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,該系統(tǒng)還包括所述數(shù)據(jù)發(fā)送端在探測到第一終端設(shè)備的接入后,或接收第一終端設(shè)備發(fā)送來的數(shù)據(jù)后,還對所述第一終端設(shè)備進行接入認證,并僅對通過接入認證的第一終端設(shè)備發(fā)送來的數(shù)據(jù)執(zhí)行后續(xù)的所述加密處理; 和/或, 網(wǎng)絡(luò)設(shè)備接收管理用戶發(fā)送來的管理操作信息后,對所述管理用戶進行認證,并僅對通過認證的管理用戶發(fā)送來的管理操作信息執(zhí)行對應的管理操作; 和/或, 所述數(shù)據(jù)發(fā)送端接收第一終端設(shè)備發(fā)送來的需要發(fā)送給第二終端設(shè)備的數(shù)據(jù)后,還根據(jù)預先定義的第一訪問控制列表ACL確定是否允許發(fā)送所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的加密處理; 和/或, 所述數(shù)據(jù)接收端接收到數(shù)據(jù)發(fā)送端發(fā)送來的加密處理后的數(shù)據(jù)后,根據(jù)預先定義的第二訪問控制列表ACL確定是否允許繼續(xù)接收所述數(shù)據(jù),并僅在確定允許的情況下,對所述數(shù)據(jù)執(zhí)行后續(xù)的解密操作。
      10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,若所述的接入認證為基于IEEE802. Ix的認證,則所述數(shù)據(jù)發(fā)送端或數(shù)據(jù)接收端需要與網(wǎng)絡(luò)側(cè)的認證服務(wù)器之間進行認證信息的交互,且所述認證信息通過所述建立的隧道進行傳遞。
      全文摘要
      本發(fā)明公開了一種增強網(wǎng)絡(luò)安全性能的方法及系統(tǒng),包括在工業(yè)網(wǎng)絡(luò)中,確定第一終端設(shè)備需要發(fā)送給第二終端設(shè)備的數(shù)據(jù);在數(shù)據(jù)發(fā)送端,將所述數(shù)據(jù)基于建立的隧道進行加密處理,并發(fā)送經(jīng)過加密處理后的數(shù)據(jù);在數(shù)據(jù)接收端,基于建立的隧道對接收到的加密處理后的數(shù)據(jù)進行解密操作,并將解密后的數(shù)據(jù)發(fā)送所述第二終端設(shè)備。本發(fā)明實施例提供了一種能夠在工業(yè)冗余以太網(wǎng)等工業(yè)網(wǎng)絡(luò)環(huán)境下,增強網(wǎng)絡(luò)安全特性的技術(shù)方案。在該技術(shù)方案中,采用加密隧道技術(shù)保護網(wǎng)絡(luò)上數(shù)據(jù)的保密性和完整性,從而可以有效保證工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)傳遞的安全性能。
      文檔編號H04L12/46GK102790775SQ20121027179
      公開日2012年11月21日 申請日期2012年8月1日 優(yōu)先權(quán)日2012年8月1日
      發(fā)明者張建良, 張立殷, 鄭毅彬 申請人:北京映翰通網(wǎng)絡(luò)技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1