[0001] 本实用新型涉及网络信息安全技术领域，具体涉及一种用于工业互联网的业务安全接入网关。

[0002] 在工业互联网环境中，网络环境异构复杂，设备业务协议多样化，设备部署位置分散化，可移动设备随时随地接入业务网络，这些都增加了业务安全网络的攻击面和不同安全等级的接入需求。传统边界防护中，有些工业设备系统补丁更新较慢，或者认为设备处于内网环境，相对安全，疏于更新。当网络边缘上部署的安全设备，如网闸、防火墙等由于配置不当或因自身漏洞被攻破后，内网设备被劫持作为横向攻击跳板，造成攻击在网络内横向蔓延，窃取数据和攻击服务。实用新型内容

[0003] 本实用新型要解决的技术问题是：提供一种用于工业互联网的业务安全接入网关，其能够实现带内业务与带外业务逻辑分离，各业务独自使用不同的认证和加解密密码套件，利用业务微分片与协议接入过滤多因素认证结合，提升了数据流量的安全性和业务部署的灵活性，同时对不满足标识匹配的流量都被拒绝入站，提升了业务内网的防护性和接入设备的安全性，适用于多种工业互联网应用场景。

[0004] 本用于工业互联网的业务安全接入网关包括第一、二网卡，第一、二业务交换机单元，第一、二微分片转发业务单元，第一、二协议接入模块，带内业务模块，本地业务模块，其中，

[0005] 所述第一业务交换机单元，包括第一入站交换机模块和第一出站交换机模块；所述第一入站交换机模块接收第一网卡接入的数据流量，根据数据流中的标识字段交换业务数据，对于标识为带内数据流量，交换到带内业务模块；对于标识为带外数据流量，交换到下级第一微分片转发业务单元的第一认证模块；不符合标识规则匹配的数据流量交换到第一协议接入模块；所述第一出站交换机模块汇聚前级第二微分片单元转发业务单元经过认证和解密复原的明文数据流量，或第二协议接入模块允许放行的数据流量，通过第一网卡发出；所述第二业务交换机单元，包括第二入站交换机模块和第二出站交换机模块；所述第二入站交换机模块第二网卡接入的数据流量，然后根据网络五元组信息，首先尝试交换到由第二认证模块、第二加解密模块组成的第二微分片转发业务单元；若失败，再尝试交换到本地业务模块；若失败，最后交换到第二协议接入模块；所述第二出站交换机模块汇聚第一微分片转发业务单元转发的流量，以及第一协议接入模块接入的流量，然后组标准网络数据包，通过第二网卡发出；所述第一、二微分片转发业务单元，均包括认证模块、加解密模块；所述认证模块用于逐包认证，基于包序号和上文提到的标识，标识分为源标识和目的标识，记为ID对，标识着业务接入信任链路的发起端和接收端，起到标识这一业务微分片目的，也起到源认证作用；所述加密模块保证业务数据的机密性和完整性；所述第一、二协议接入模块，用于根据过滤策略过滤输入的数据流量；所述带内业务模块，用于处理业务安全接入网关之间，或与处于控制端的安全管理平台之间的管理业务，如建立信任链路；向管理平台上传日志、异常事件以及心跳等其他网关自身运转所需的业务；所述本地业务模块，用于扩展网关功能，如接入与第三方安全业务，实现安全防护级联；如接入第二业务交换机单元，接受其交换的入站数据流，对接第三方数据采集、数据分拣或是态势感知业务。

[0006] 具体的，所述第一网卡经第一业务交换机单元的第一入站交换机模块分别连接带内业务模块、第一微分片转发业务单元和第一协议接入模块，第一微分片转发业务单元和第一协议接入模块经第二业务交换机单元的第二出站交换机模块后连接第二网卡；所述第二网卡经第二业务交换机单元的第二入站交换机模块分别连接本地业务模块、第二微分片转发业务单元和第二协议接入模块，第二微分片转发业务单元和第二协议接入模块经第一业务交换机单元的第一出站交换机模块后连接第一网卡。

[0007] 进一步的，还包括认证与加解密策略模块、异常事件采集与上传模块、本地管理工具模块，其中，所述认证与加解密策略模块，用于向安全管理平台请求策略，并解析执行，建立业务安全接入网关之间信任链路，信任链路会有多条，每一条由一个标识标记，该标识会由链路上的流量携带，用于微分片转发业务单元识别不同的业务微分片；所述协议接入规则模块，用于同步控制端发送的协议过滤策略，并解析存储；所述异常事件采集与上传模块，用于采集网关异常事件，如协议接入规则匹配失败事件、网关设备状态异常事件等，并本地存储或上传安全管理平台，实现安全联通；所述本地管理工具模块，用于管理本机的部署、注册，固件升级等维护业务。

[0008] 本实用新型一种用于工业互联网的业务安全接入网关，能够实现带内业务与带外业务逻辑分离，各业务独自使用不同的认证和加解密密码套件，利用业务微分片与协议接入过滤多因素认证结合，提升了数据流量的安全性和业务部署的灵活性，同时对不满足标识匹配的流量都被拒绝入站，提升了业务内网的防护性和接入设备的安全性，适用于多种工业互联网应用场景。

[0011] 在本实用新型中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本实用新型中的具体含义。

[0012] 在本实用新型的描述中，需要理解的是，术语“左”、“右”、“前”、“后”、“顶”、“底”、“内”、“外”等指示的方位或位置关系均为基于附图所示的方位或位置关系，仅是为了便于描述本实用新型和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本实用新型的限制。

[0013] 以下用具体实施例对本实用新型技术方案做进一步描述，但本实用新型的保护范围不限制于下列实施例。

[0014] 实施方式1：如图1所示，本用于工业互联网的业务安全接入网关包括第一、二网卡，第一、二业务交换机单元，第一、二微分片转发业务单元，第一、二协议接入模块，带内业务模块，本地业务模块，其中，所述第一业务交换机单元，包括第一入站交换机模块和第一出站交换机模块；所述第一入站交换机模块接收第一网卡接入的数据流量，根据数据流中的标识字段交换业务数据，对于标识为带内数据流量，交换到带内业务模块；对于标识为带外数据流量，交换到下级第一微分片转发业务单元的第一认证模块；不符合标识规则匹配的数据流量交换到第一协议接入模块；所述第一出站交换机模块汇聚前级第二微分片单元转发业务单元经过认证和解密复原的明文数据流量，或第二协议接入模块允许放行的数据流量，通过第一网卡发出；所述第二业务交换机单元，包括第二入站交换机模块和第二出站交换机模块；所述第二入站交换机模块第二网卡接入的数据流量，然后根据网络五元组信息，首先尝试交换到由第二认证模块、第二加解密模块组成的第二微分片转发业务单元；若失败，再尝试交换到本地业务模块；若失败，最后交换到第二协议接入模块；所述第二出站交换机模块汇聚第一微分片转发业务单元转发的流量，以及第一协议接入模块接入的流量，然后组标准网络数据包，通过第二网卡发出；所述第一、二微分片转发业务单元，均包括认证模块、加解密模块；所述认证模块用于逐包认证，基于包序号和上文提到的标识，标识分为源标识和目的标识，记为ID对，标识着业务接入信任链路的发起端和接收端，起到标识这一业务微分片目的，也起到源认证作用；所述加密模块保证业务数据的机密性和完整性；所述第一、二协议接入模块，用于根据过滤策略过滤输入的数据流量；所述带内业务模块，用于处理业务安全接入网关之间，或与处于控制端的安全管理平台之间的管理业务，如建立信任链路；向管理平台上传日志、异常事件以及心跳等其他网关自身运转所需的业务；所述本地业务模块，用于扩展网关功能，如接入与第三方安全业务，实现安全防护级联；如接入第二业务交换机单元，接受其交换的入站数据流，对接第三方数据采集、数据分拣或是态势感知业务。

[0015] 实施方式2：本用于工业互联网的业务安全接入网关所述第一网卡经第一业务交换机单元的第一入站交换机模块分别连接带内业务模块、第一微分片转发业务单元和第一协议接入模块，第一微分片转发业务单元和第一协议接入模块经第二业务交换机单元的第二出站交换机模块后连接第二网卡；所述第二网卡经第二业务交换机单元的第二入站交换机模块分别连接本地业务模块、第二微分片转发业务单元和第二协议接入模块，第二微分片转发业务单元和第二协议接入模块经第一业务交换机单元的第一出站交换机模块后连接第一网卡。其余结构和部件如实施方式1所述，不再重复描述。

[0016] 实施方式3：本用于工业互联网的业务安全接入网关还包括认证与加解密策略模块、异常事件采集与上传模块、本地管理工具模块，其中，所述认证与加解密策略模块，用于向安全管理平台请求策略，并解析执行，建立业务安全接入网关之间信任链路，信任链路会有多条，每一条由一个标识标记，该标识会由链路上的流量携带，用于微分片转发业务单元识别不同的业务微分片；所述协议接入规则模块，用于同步控制端发送的协议过滤策略，并解析存储；所述异常事件采集与上传模块，用于采集网关异常事件，如协议接入规则匹配失败事件、网关设备状态异常事件等，并本地存储或上传安全管理平台，实现安全联通；所述本地管理工具模块，用于管理本机的部署、注册，固件升级等维护业务。其余结构和部件如实施方式1所述，不再重复描述。

[0017] 本用于工业互联网的业务安全接入网关能够实现带内业务与带外业务逻辑分离，各业务独自使用不同的认证和加解密密码套件，利用业务微分片与协议接入过滤多因素认证结合，提升了数据流量的安全性和业务部署的灵活性，同时对不满足标识匹配的流量都被拒绝入站，提升了业务内网的防护性和接入设备的安全性，适用于多种工业互联网应用场景。

[0018] 以上描述显示了本实用新型的主要特征、基本原理，以及本实用新型的优点。对于本领域技术人员而言，显然本实用新型不限于上述示范性实施方式或者实施例的细节，且在不背离本实用新型的精神或者基本特征的情况下，能够以其他的具体形式实现本实用新型。因此应将上述实施方式或者实施例看作示范性的，且非限制性的。本实用新型的范围由所附权利要求而非上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本实用新型内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

[0019] 此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。