[发明专利]AFDX安全网关系统及其传输方法

摘要

本发明提供了一种AFDX安全网关系统及其传输方法，涉及工业互联网安全领域，AFDX安全网关系统收到MAC帧后，提交数据包给安全检查功能模块，并进行安全检查，安全检查后将MAC帧提交给UDP协议，封装成UDP包后发送给OPC/Web服务器，当协议转换功能模块接收到UDP包后，解封成原始的MAC帧，提交给服务器处理，对于OPC/Web服务器返回的OPC/HTTP应答包，服务器端和ASGS做协议转换处理，ASGS接收到UDP包后，解封成原始的MAC帧，然后发送给OPC/Web客户端，完成对OPC/Web客户端请求的应答。本发明由于通过部署ASGS，支持工业互联网及其OPC/Web应用，使企业信息网中的用户能够以安全方式访问工业控制系统提供的服务和资源，提高了工业互联网的安全防护能力。

主权项

1.一种AFDX安全网关系统，其特征在于：所述的AFDX安全网关系统，安装有两个网卡：非AFDX以太网卡和AFDX网卡，分别用于收发企业信息网和AFDX网络的数据包，并采用不同的收发机制；当ASGS的非AFDX以太网卡驱动程序接收到MAC帧后，将MAC帧传递给用户态下的数据包解析功能模块，提取出封装在MAC帧中的字段，只允许用户使用OPC/HTTP协议来访问AFDX网络中的服务器，而其它协议被视为非法操作，并提交数据包给安全检查功能模块，数据包依次进行如下四个方面的安全检查：用户访问可信性、数据包合规性、数据包内容安全性以及通信行为日志记录；安全检查后，调用AFDX网卡提供的API函数，将MAC帧提交给AFDX网卡内置的UDP协议，封装成UDP包后发送给AFDX网络中的OPC/Web服务器；在OPC/Web服务器上配置两个网卡，一个是AFDX网卡，用于连接AFDX网络；另一个是非AFDX以太网卡，处于空闲状态，当协议转换功能模块接收到ASGS的UDP包后，解封成原始的MAC帧，传递给内核态下的以太网卡驱动程序，由非AFDX以太网卡驱动程序提交给TCP/IP协议栈解封成OPC/HTTP请求包，提交给服务器处理；对于OPC/Web服务器返回的OPC/HTTP应答包，服务器端和ASGS均只做协议转换处理，不再做任何的安全检查，OPC/HTTP应答包经过TCP/IP协议栈封装成MAC帧，然后传递给用户态下的服务器协议转换功能模块，服务器协议转换功能模块调用AFDX网卡提供的API函数，通过AFDX网卡内置的UDP协议，封装成UDP包发送给ASGS；ASGS从AFDX网卡内置的UDP协议接收到UDP包后，解封成原始的MAC帧，然后传递给内核态下的非AFDX以太网卡驱动程序发送给OPC/Web客户端，完成对OPC/Web客户端请求的应答。