一种适合工业现场的全程加密高集成边缘计算安全网关的制作方法

1.本发明涉及网络安全设备，尤其涉及一种适合工业现场的全程加密高集成边缘计算安全网关。


背景技术：

2.在工业现场网络中，经常会用到结合了防火墙和网关功能的安全网关，这些安全网关通过软件或硬件的方式，结合了防火墙和网关功能，在一定程度上集成了网络功能和安全功能，使设备数量得到一定的减少，更便于部署实施。然而现有的安全网关仍然存在以下问题：1.设备集成度仍然较低，通常仍需要配套交换机等网络传输设备才能完成网络搭建和部署；2.设备安全性较差，对于外网传输缺乏有效的高强度加密措施，只要有高等级加密传输需要，不论加密载荷多少，都需要增加专用加密机等设备来实现，这就势必造成只有在比较高级的核心信息节点上才具备高等级加密传输能力，而在高级的核心信息节点之外的低级节点和链路上，无法运行高等级加密运算，也就使得这些部分的数据传输处于不受保护的状态；3.设备扩展性较差，工业现场的众多轻量级应用如统计、发布、表单、数据采集等，虽然资源占用极低，但必须通过额外购置服务器和专用处理设备来实现，造成比较突出的网络接口浪费、现场设备浪费和集成实施困难等问题；4.即使是比较小的网络负载的项目中，为了安全也必须进行大量的性能冗余的设备部署，造成项目现场成本、空间和能耗的巨大浪费；5.大量的冗余设备部署，造成项目现场调试和运维的巨大负担和故障风险。


技术实现要素：

3.为此，本发明提供了一种网适合工业现场的全程加密高集成边缘计算安全网关，该安全网关更便于工业现场网络建设和维护，网关的功能集成度和应用灵活性大幅提高，安全网关的全流程传输的安全性也得到了较大的提升。
4.为实现本发明之目的，采用以下技术方案予以实现：
5.一种适合工业现场的全程加密高集成边缘计算安全网关，包括带防火墙功能的路由模组、交换模组、存储模组、边缘算力模组、高算力安全加解密模组、低算力安全加解密模组和工业现场接口模组，各模组通过机内高速数据总线连接，所述路由模组用于统一协调所述安全网关中的各模组的工作。
6.所述的安全网关，其中：所述路由模组运行于轻算力的路由芯片上，用于协调分配算力资源，完成任务切换。
7.所述的安全网关，其中：所述路由模组通过所述交换模组与其他机内模组高速通讯，或者与远端接入设备的交换模组的直接通讯。
8.所述的安全网关，其中：所述存储模组用于对安全网关接入数据的轻算力任务的本地处理提供存储支持。
9.所述的安全网关，其中：所述高算力安全加解密模组用于对选定数据进行模组内的硬件加解密处理。
10.所述的安全网关，其中：所述低算力安全加解密模组用于将所述工业现场接口模组通讯的数据进行模组内的硬件加解密处理。
11.所述的安全网关，其中：所述高算力安全加解密模组用于通过所述路由模组的本地代理服务建立加密vpn通道，并对通过所述vpn通道传输的数据进行加解密处理。
附图说明
12.图1为适合工业现场的全程加密高集成边缘计算安全网关整体架构示意图；
13.图2为安全模组的整体架构示意图；
14.图3为安全网关和安全终端中高算力安全加解密模组和低算力安全加解密模组的分布示意图；
15.图4为高算力安全加解密模组与路由模组连接结构示意图；
16.图5为低算力安全加解密模组与路由模组连接结构示意图；
17.图6为低算力安全加解密模组另一工作模式示意图。
具体实施方式
18.下面结合附图1-6，对本发明的具体实施方式进行详细说明。
19.如图1所示，本发明的适合工业现场的全程加密高集成边缘计算安全网关包括带防火墙功能的路由模组、交换模组、存储模组、边缘算力模组、高算力安全加解密模组、低算力安全加解密模组和工业现场接口模组。
20.其中各模组通过机内高速数据总线连接，通过路由模组内运行的固件程序统一协调各模组的工作。从而使高集成边缘计算安全网关不仅具备了基本的路由网关、防火墙和交换机功能，更直接具备了高强度的硬件加密解密能力和高存储、高算力，使高集成边缘计算安全网关能够胜任在公网和内网传输环境下保密传输关键数据的要求，能够胜任轻量化现场应用甚至密集数据处理的高算力应用。
21.带防火墙功能的路由模组可运行于轻算力的路由芯片上，通过linux系统协调分配算力资源，完成任务切换。本发明中防火墙功能和路由功能完全在一个处理器运行，共享cpu和ram，因此不需要额外硬件连接，完全使用最高效的ram级别的数据传递，确保了出口防火墙功能和路由功能的紧密结合与高效数据交换。另外，路由模组的闲余算力(cpu和ram占用均低于阈值时)可以同时处理现场安全网关接入数据的轻算力应用。
22.交换模组与路由模组通过1000base-tx(或类似功能)接口连接，确保具有高速数据吞吐能力和高度灵活性。路由模组通过交换模组可以直接与其他机内设备高速通讯，也可以与远端接入交换模组的设备直接通讯。同时，接入交换模组的远端设备之间也可以通过交换模组直接通讯。
23.交换模组可以支持1000base-tx(或更高等级)和1000base-fx(或更高等级)接口，并兼容低速接口的接入，为灵活配置网关本机和远端设备的兼容性和远端设备部署距离提供了多种选择。
24.交换模组可以支持环网协议和端口聚合功能，为灵活配置网关设备的连接功能和拓展网关性能奠定了基础。交换模组的端口可以支持电接口(tx)和光接口(fx)，适合于不同连接设备、连接距离和现场环境。电接口可以附加poe功能，按标准poe功能和握手协议对
外部设备供电。在进行网关级联时，可以分别配置成：普通单端口模式、高可靠环网模式、多端口聚合速度叠加模式。当两个传输设备(例如安全网关之间或远端设备之间)间配置了多端口聚合后，总速度相当于各端口速度之和，同时在可靠性上有一定物理冗余，但仍是同一个链路。
25.存储模组与路由模组通过usb、msata(或类似功能)接口连接，可直接从路由模组内部高速总线进行读写操作，确保具有高速数据吞吐能力和稳定的读写表现。可以为对网关接入数据的轻算力任务的本地处理提供存储支持。
26.如图3、4所示，高算力安全加解密模组与路由模组通过usb、pcie、msata(或类似功能)接口连接，可直接从路由模组内部高速总线进行高速通讯，确保具有高速数据吞吐能力和稳定的加解密表现。根据传输需要，高算力安全加解密模组可以通过路由模组的本地代理服务方式使用高算力加解密模组的硬件算力，建立加密vpn通道。在此模式下，对于全部通过vpn通道传输的数据均进行加解密处理。因为加解密运算完全由高算力加解密模组实现，路由模组仅负责协调数据传输，因此可在基本不占用路由模组处理算力的情况下提供本机系统内的实时加解密能力，可以确保安全网关传输的关键数据在网关外以密文形式传输，具备强大的处理能力和抗监听抗窃密的安全能力。
27.如图5所示，低算力安全加解密模组与路由模组通过uart(或类似功能)接口连接，可直接从路由模组内部总线进行直接通讯，确保具有直接的数据通讯链路和稳定的加解密表现。低算力安全加解密模组实际上是一个具备独立运算和处理能力的微系统，带有专用的加解密算法加速引擎和专用存储空间。因此，低算力安全加解密模组可以附带工业现场接口模组，可对工业现场其他设备进行直接的测控通讯，可将工业现场接口模组通讯的数据通过模组内的硬件加速资源进行aes、rsa、ecc等算法的加解密处理，因此可在基本不占用路由模组处理算力的情况下提供本机系统内的低速的实时加解密能力，可以确保安全网关传输的关键数据在网关外以密文形式传输，具备高效处理能力和抗监听抗窃密的安全能力。
28.如图6所示，除了对直接连接的工业现场接口模组通讯的数据进行加解密处理外，低算力安全加解密模组也可以对路由模组发送来的其他数据(比如本机的其他工业现场接口模组的数据、安全终端发来的部分数据或者本机策略认为需要处理的其他数据)进行加解密处理。
29.如图2所示，类似低算力安全加解密模组附带工业现场接口模组的模式，可在工业现场对其他设备(其他现场工业设备)进行直接的测控通讯的终端(指非网关形态，类似上述描述的低算力安全加解密模组附带工业现场接口模组的模式的，单独的用于单个设备测控用的终端，也称为低成本终端或称安全终端)中运用。此低成本终端，可将工业现场接口模组通讯的数据进行模组内的硬件加解密处理，然后与同样具备低算力安全加解密模组的安全网关进行加密通讯。可以确保终端与安全网关传输的关键数据在终端和网关外以密文形式传输，具备高效处理能力和抗监听抗窃密的安全能力。
30.因此，在安全网关和安全终端的部署使用中，可以根据现场项目需求情况，分别对应的打开安全终端和安全网关上的低算力加解密模组和高算力加解密模组。
31.本发明中，可采用的策略举例如下：安全终端或安全网关还能够进行网络安全性判断，当判断二者之间的网络为安全网络(例如内部网络)的时候，安全终端向安全网关传
输数据前不进行加密处理，或者只对关键数据(例如产品加工工艺，加工参数，产品结构等数据)进行加密处理，以节省带宽，提高数据传输速度。
32.安全网关亦可根据相互通信的网关之间的物理距离或者ip地址重合度决定两台安全网关之间是否采用加密的方式传输数据，例如两台安全网关之间的距离不超过预定距离(例如100公里)，此时可判定台安全网关是在同城通信，因此可不对通信数据进行加密或者只对关键数据进行加密，如果超过预定距离则认为是非同城通信，此时对全部通信数据进行加密；对于ip地址来说，可根据两台安全网关的ip地址从左端向右的顺序中重合度是否达到或超过预定值(例如重合度90％)，如果是，则认为两台安全网关之间的通信较为安全，因此可不对通信数据进行加密或者只对关键数据进行加密，如果否，则认为是非同城通信，此时对全部通信数据进行加密。优选的，为了更好的兼顾安全性和传输带宽，本发明中的两台安全网关在通信之前，先对上述物理距离和ip地址重合度都作判断，只有当两台安全网关之间的距离不超过预定距离且两台安全网关的ip地址从左端向右的顺序中重合度达到或超过预定值这两个条件均满足的情况下，在两台安全网关通信时，才选择不对通信数据进行加密或者只对关键数据进行加密的数据传送方式。
33.本发明还可根据数据来源是外部的安全终端还是本机，可以形成更多的复合加解密组合(比如：安全终端明文-网关低加密-网关高加密，安全终端低加密-网关低解密-网关高加密，这都是可能的合理组合形式，分别进行加解密或不作额外处理。这些加解密运算都是在相应的硬件模组里进行，几乎不占用路由模组的主要算力。
34.最终在安全网关对外的传输中，可以采用明文模式、高算力加密模式、低算力加密模式、高算力-低算力复合加密模式等加密传输模式，同时允许不同的加密次数的密文和明文混合传输，分别进行数据包标记识别处理。从而可以实现从获取数据到处理上传的全流程数据加密，大大有利于传输安全性和减少路由模组的处理负担。
35.边缘算力模组是独立于路由模组的高性能计算体系，具有独立的处理器、运行内存、外部存储、甚至具备推理加速器(tpu，可选)和人机交互接口(hdmi等，可选)的，独立的运算处理系统。仅用于路由模组的轻算力无法快速处理的重度运算任务，比如提供重载任务处理服务器、ai算力模式识别应用等，也可以做为整个网关系统的人机交互接口来使用。边缘算力模组不参与路由模组的路由处理功能和工控数据处理功能。边缘算力模组完全通过ip化数据包进行数据吞吐，独立处理数据和运算密集任务。
36.边缘算力模组与路由模组可以通过1000base-tx(或类似功能)接口直接连接，也可以通过交换模组间接连接。此类连接确保具有高速数据吞吐能力和高度灵活性，后者还可以在处理重载网络数据时绕开路由模组直接与数据源端通讯，从而降低路由模组的占用负载。
37.以上各模组均在高集成边缘计算安全网关机内协调工作，实现完整的网络传输、安全加密和数据处理服务等功能。
38.本发明的高集成边缘计算安全网关，完全集成化的解决了一般网络系统中的绝大部分服务和支持需求，非常易于部署，具有体积小、能耗低和成本低的优势。
39.本发明的高集成边缘计算安全网关可以配置交换模组具有两个以上1000base-fx(或更高等级)高速光纤接口，通过对这两个光纤接口配置成环网模式，就可以通过高集成边缘计算安全网关的交换模组组建工业现场的高可靠环网骨干网络。高可靠环网骨干网络
中，即使一边光纤故障或被破坏时，仍可自动切换到另一边光纤，保证骨干网络通信不中断。而高集成边缘计算安全网关的交换模组上其他1000base-tx(或更高等级)高速电接口，可以就近连接其他设备，比如其他下级安全网关、其他扩展的服务器、存储设备、计算机、安防设备等。
40.通过部署高集成边缘计算安全网关，综合利用高集成边缘计算安全网关内的各功能模组。可以灵活满足一般网络系统中的绝大部分服务和支持需求，使得整体从应用层面极具使用体验和性价比优势。
41.高集成边缘计算安全网关具有以下优点：
42.1、具备防火墙、路由网关、工业交换机和加密机的核心功能，精简了外部网络架构和接口连接，更便于安装、部署、使用和维护。
43.2、对内部数据流可进行深度优化，更便于提升性能。
44.3、可以支持同步处理现场给安全网关接入数据的轻算力应用。
45.4、可对桌面和机柜级别的密集算力和ai算力应用提供支持，具备强大的功能扩展能力。
46.5、具备人机交互接口，降低了现场it总成本。
47.6、可以作为核心处理设备集中处理现场数据或作为汇聚处理设备分布式处理现场数据。
48.7、形成安全网关与安全终端配合的全流程加密应用体系。
49.8、形成高、低算力硬件安全加解密能力可组合的高强度、复合加密应用体系。
50.本发明可用于具有网络安全连接需求的很多领域，如工厂、工地、交通网络等，可以有力的拓展相应设备的应用场景。