本发明专利技术公开了一种适合工业现场的全程加密高集成边缘计算安全网关,包括带防火墙功能的路由模组,交换模组、存储模组、边缘算力模组、高算力安全加解密模组、低算力安全加解密模组和工业现场接口模组有机,其中:各模组通过机内高速数据总线连接,所述路由模组用于统一协调所述安全网关中的各模组的工作。本发明专利技术可用于具有网络安全连接需求的诸多领域,如工厂、工地、交通网络等,可以有力的拓展相应设备的应用场景。的应用场景。的应用场景。
【技术实现步骤摘要】
一种适合工业现场的全程加密高集成边缘计算安全网关
[0001]本专利技术涉及网络安全设备,尤其涉及一种适合工业现场的全程加密高集成边缘计算安全网关。
技术介绍
[0002]在工业现场网络中,经常会用到结合了防火墙和网关功能的安全网关,这些安全网关通过软件或硬件的方式,结合了防火墙和网关功能,在一定程度上集成了网络功能和安全功能,使设备数量得到一定的减少,更便于部署实施。然而现有的安全网关仍然存在以下问题:1.设备集成度仍然较低,通常仍需要配套交换机等网络传输设备才能完成网络搭建和部署;2.设备安全性较差,对于外网传输缺乏有效的高强度加密措施,只要有高等级加密传输需要,不论加密载荷多少,都需要增加专用加密机等设备来实现,这就势必造成只有在比较高级的核心信息节点上才具备高等级加密传输能力,而在高级的核心信息节点之外的低级节点和链路上,无法运行高等级加密运算,也就使得这些部分的数据传输处于不受保护的状态;3.设备扩展性较差,工业现场的众多轻量级应用如统计、发布、表单、数据采集等,虽然资源占用极低,但必须通过额外购置服务器和专用处理设备来实现,造成比较突出的网络接口浪费、现场设备浪费和集成实施困难等问题;4.即使是比较小的网络负载的项目中,为了安全也必须进行大量的性能冗余的设备部署,造成项目现场成本、空间和能耗的巨大浪费;5.大量的冗余设备部署,造成项目现场调试和运维的巨大负担和故障风险。
技术实现思路
[0003]为此,本专利技术提供了一种网适合工业现场的全程加密高集成边缘计算安全网关,该安全网关更便于工业现场网络建设和维护,网关的功能集成度和应用灵活性大幅提高,安全网关的全流程传输的安全性也得到了较大的提升。
[0004]为实现本专利技术之目的,采用以下技术方案予以实现:
[0005]一种适合工业现场的全程加密高集成边缘计算安全网关,包括带防火墙功能的路由模组、交换模组、存储模组、边缘算力模组、高算力安全加解密模组、低算力安全加解密模组和工业现场接口模组,各模组通过机内高速数据总线连接,所述路由模组用于统一协调所述安全网关中的各模组的工作。
[0006]所述的安全网关,其中:所述路由模组运行于轻算力的路由芯片上,用于协调分配算力资源,完成任务切换。
[0007]所述的安全网关,其中:所述路由模组通过所述交换模组与其他机内模组高速通讯,或者与远端接入设备的交换模组的直接通讯。
[0008]所述的安全网关,其中:所述存储模组用于对安全网关接入数据的轻算力任务的本地处理提供存储支持。
[0009]所述的安全网关,其中:所述高算力安全加解密模组用于对选定数据进行模组内的硬件加解密处理。
[0010]所述的安全网关,其中:所述低算力安全加解密模组用于将所述工业现场接口模组通讯的数据进行模组内的硬件加解密处理。
[0011]所述的安全网关,其中:所述高算力安全加解密模组用于通过所述路由模组的本地代理服务建立加密VPN通道,并对通过所述VPN通道传输的数据进行加解密处理。
附图说明
[0012]图1为适合工业现场的全程加密高集成边缘计算安全网关整体架构示意图;
[0013]图2为安全模组的整体架构示意图;
[0014]图3为安全网关和安全终端中高算力安全加解密模组和低算力安全加解密模组的分布示意图;
[0015]图4为高算力安全加解密模组与路由模组连接结构示意图;
[0016]图5为低算力安全加解密模组与路由模组连接结构示意图;
[0017]图6为低算力安全加解密模组另一工作模式示意图。
具体实施方式
[0018]下面结合附图1
‑
6,对本专利技术的具体实施方式进行详细说明。
[0019]如图1所示,本专利技术的适合工业现场的全程加密高集成边缘计算安全网关包括带防火墙功能的路由模组、交换模组、存储模组、边缘算力模组、高算力安全加解密模组、低算力安全加解密模组和工业现场接口模组。
[0020]其中各模组通过机内高速数据总线连接,通过路由模组内运行的固件程序统一协调各模组的工作。从而使高集成边缘计算安全网关不仅具备了基本的路由网关、防火墙和交换机功能,更直接具备了高强度的硬件加密解密能力和高存储、高算力,使高集成边缘计算安全网关能够胜任在公网和内网传输环境下保密传输关键数据的要求,能够胜任轻量化现场应用甚至密集数据处理的高算力应用。
[0021]带防火墙功能的路由模组可运行于轻算力的路由芯片上,通过Linux系统协调分配算力资源,完成任务切换。本专利技术中防火墙功能和路由功能完全在一个处理器运行,共享CPU和RAM,因此不需要额外硬件连接,完全使用最高效的RAM级别的数据传递,确保了出口防火墙功能和路由功能的紧密结合与高效数据交换。另外,路由模组的闲余算力(CPU和RAM占用均低于阈值时)可以同时处理现场安全网关接入数据的轻算力应用。
[0022]交换模组与路由模组通过1000BASE
‑
TX(或类似功能)接口连接,确保具有高速数据吞吐能力和高度灵活性。路由模组通过交换模组可以直接与其他机内设备高速通讯,也可以与远端接入交换模组的设备直接通讯。同时,接入交换模组的远端设备之间也可以通过交换模组直接通讯。
[0023]交换模组可以支持1000BASE
‑
TX(或更高等级)和1000BASE
‑
FX(或更高等级)接口,并兼容低速接口的接入,为灵活配置网关本机和远端设备的兼容性和远端设备部署距离提供了多种选择。
[0024]交换模组可以支持环网协议和端口聚合功能,为灵活配置网关设备的连接功能和拓展网关性能奠定了基础。交换模组的端口可以支持电接口(TX)和光接口(FX),适合于不同连接设备、连接距离和现场环境。电接口可以附加PoE功能,按标准PoE功能和握手协议对
外部设备供电。在进行网关级联时,可以分别配置成:普通单端口模式、高可靠环网模式、多端口聚合速度叠加模式。当两个传输设备(例如安全网关之间或远端设备之间)间配置了多端口聚合后,总速度相当于各端口速度之和,同时在可靠性上有一定物理冗余,但仍是同一个链路。
[0025]存储模组与路由模组通过USB、mSATA(或类似功能)接口连接,可直接从路由模组内部高速总线进行读写操作,确保具有高速数据吞吐能力和稳定的读写表现。可以为对网关接入数据的轻算力任务的本地处理提供存储支持。
[0026]如图3、4所示,高算力安全加解密模组与路由模组通过USB、PCIE、mSATA(或类似功能)接口连接,可直接从路由模组内部高速总线进行高速通讯,确保具有高速数据吞吐能力和稳定的加解密表现。根据传输需要,高算力安全加解密模组可以通过路由模组的本地代理服务方式使用高算力加解密模组的硬件算力,建立加密VPN通道。在此模式下,对于全部通过VPN通道传输的数据均进行加解密处理。因为加解密运算完全由高算力加解密模组实现,路由模组仅负责协调数据传输,因此可在基本不占用路由模组处理算力的情况下本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种适合工业现场的全程加密高集成边缘计算安全网关,其特征在于:包括带防火墙功能的路由模组、交换模组、存储模组、边缘算力模组、高算力安全加解密模组、低算力安全加解密模组和工业现场接口模组,各模组通过机内高速数据总线连接,所述路由模组用于统一协调所述安全网关中的各模组的工作。2.根据权利要求1所述的安全网关,其特征在于:所述路由模组运行于轻算力的路由芯片上,用于协调分配算力资源,完成任务切换。3.根据权利要求1所述的安全网关,其特征在于:所述路由模组通过所述交换模组与其他机内模组高速通讯,或者与远端接入设备的交换模组的直接通讯。4.根...
【专利技术属性】
技术研发人员:查雅行,刘昕,吴志刚,杜思远,
申请(专利权)人:中国交通信息科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。