[发明专利]一种解析多协议的安全网关系统及其应用

权利要求书

1.一种解析多协议的安全网关系统，其特征在于，包括上层管理模块、底层过滤保护模块和数据库模块；所述上层管理模块采用web交互配置服务器，运用LAMP开放式源码搭建，采用B/S架构设计；所述上层管理模块实现用户设置、系统参数设置、通信策略设置和通过web界面进行设备日志查询；所述用户设置包括用户添加和用户删除；所示系统参数设置包括设置网关参数、串口信息和网口信息；受保护的设备按设置的通信策略进行工作；所述设备日志查询包括设备日志的查询与设备日志的删除；所述底层过滤保护模块实现源IP地址、目的IP地址的过滤，通信协议的解析，与所述通信策略的交互；对受保护的设备进行配置，记录设备日志并存储于数据库模块中；所述数据库模块对底层过滤保护模块的设备日志进行存储，与上层应用程序交互呈现；所述数据库模块将上层设置与底层配置进行联动，由上层的web界面呈现，上层管理模块设置的系统参数、通信策略通过所述数据库模块传递给底层执行。

2.根据权利要求1所述的解析多协议的安全网关系统，其特征在于，所述用户包括管理员和操作员；管理员的权限包括，用户添加和用户删除，修改用户信息、登录口令。

3.根据权利要求1所述的解析多协议的安全网关系统，其特征在于，所述上层管理模块通过自身的应用软件实现用户设置、系统参数设置、策略及规则设置和日志查询。

4.根据权利要求1所述的解析多协议的安全网关系统，其特征在于，所述设备日志包括操作日志和业务日志，所述设备日志为受保护的设备从相互之间建立连接到完成通信过程的日志。

5.根据权利要求1所述的解析多协议的安全网关系统，其特征在于，所述底层过滤保护模块采用Linux操作系统；所述数据库模块采用SQL Server数据库设计。

6.一种利用权利要求1-5任意一项所述的多协议安全网关系统进行通信的方法，其特征在于，包括步骤如下：

1)用户进行身份认证；管理员通过web管理界面进行身份认证，如果身份认证通过，则进入系统配置界面进行系统参数设置、通信策略设置；操作员通过web管理界面登录系统，进行设备操作；

所述底层过滤保护模块在进行数据收发时，首先根据通信策略对源IP和收发的数据进行检验，如果源IP为已配置的可信IP，则建立连接；如果收发的数据为业务数据，则对目的IP地址进行检测，如果目的IP地址为已配置的可信IP地址，则根据通信策略通过主控芯片内的加密算法对发送的报文进行加密，接收端收到报文数据包后，按照通信策略对加密的报文进行解密，并按通信协议将解密得到的报文进行解析过滤，获得报文内容。

7.根据权利要求6所述的多协议安全网关系统进行通信的方法，其特征在于，管理网与控制网进行数据通信时，基于白名单策略，通过状态检测、智能协议识别或CA数字认证的方式，接收方对发送方的身份信息及报文数据包内容进行了多次验证，实现对边界网络的防护。

8.根据权利要求6所述的多协议安全网关系统进行通信的方法，其特征在于，所述底层过滤保护模块还将通信过程中的审计日志存入数据库模块。

9.根据权利要求6所述的多协议安全网关系统进行通信的方法，其特征在于，所述步骤1)中管理员进行身份认证的方式包括，用户名密码及存储用户私钥和数字证书的USB Key的多重身份认证机制。

10.根据权利要求6所述的多协议安全网关系统进行通信的方法，其特征在于，所述步骤1)中，所述操作员通过用户名密码的方式登录，如果连续3次认证失败，则将设备锁定，重新开机后才能使用，并将认证过程记录至操作日志中。