一种以太网物理层防物理入侵检测方法和系统与流程

    专利2022-07-07  129


    本发明属于工业通信技术领域,具体涉及一种以太网物理层防物理入侵检测方法和系统。



    背景技术:

    以太网交换机通常基于双绞网线或者光纤传输,长距离的布线可能穿越楼道、管道、走廊等各种区域,这些区域很可能是非安全管控范围,对于涉密网络,若物理信号(电或者光)被监听,则面临重大的信息泄露,而这类泄密在网络层面,无论是硬件防火墙、软件防火墙还是传统的网络设备管理软件无法被感知这类入侵。

    现有技术通常在数据链路层或者以上的网络层工作,通过对数据报文进行加密以防被窃取,但是绝大部分涉密网络,仍然会有大量的明文信息传递,传统的加密手段根本无法感知到物理层电或者光信号被监听,对于工业及军用网络存在重大的安全隐患。

    为了解决以太网物理层物理入侵的一系列问题,为此我们提出一种以太网物理层防物理入侵检测方法和系统。



    技术实现要素:

    本发明的目的在于提供一种以太网物理层防物理入侵检测方法和系统,解决以太网物理层物理入侵的一系列问题。

    为实现上述目的,本发明提供如下技术方案:一种以太网物理层防物理入侵检测方法和系统,所述方法如下:

    对以太网进行网络部署;

    选择传输端口;

    判定传输端口;

    监测传输端口之间的所述延时值或/和所述损耗值;

    判定所述延时值或/和所述损耗值是否在预设告警阈值内;

    若所述延时值或/和损耗值在预设告警阈值内则将信息发送给网络管理平台,反之,则继续下一周期的监测。

    优选的,所述传输端口为电口互联和/或光口互联。

    优选的,所述网络管理平台可控制告警器告警。

    优选的,所述网络管理平台可禁用对应的传输端口。

    优选的,所述延时值采用ieee1588精确时钟同步技术,所述损耗值采用i2c端口读取发送光功率及接收光功率的信息特征的技术。

    一种以太网物理层防物理入侵系统,其特征在于:由数据中心库、录入模块、监测模块、判定模块、告警模块、处理模块组成,所述第二判定模块包括第一判定模块和第二判定模块,其中:

    数据中心库为数据提供录入端口;

    录入模块用于预设告警阈值的录入;

    监测模块实时监测传输端口之间的损耗值;

    第一判定模块用于判定传输端口类型;

    第二判定模块将所述延时值或/和损耗值与所述预设告警阈值进行比较;

    告警模块用于告警;

    处理模块用于控制传输端口。

    优选的,还包括秘钥加密模块,用于信息传输中的加密。

    与现有技术相比,本发明的有益效果是:

    本发明重新利用主流交换芯片的基本特性进行技术实现,无需额外添加硬件,也不必改变设备基本的软硬件构架,在最大程度上保护了用户的投资;

    通过设计的秘钥加密模块,对信息交换进行加密保护,避免报文被伪造而造成的严重影响,真正解决了物理线路信号在非管控区域网络安全管理盲区可能被窃取的风险问题。

    附图说明

    图1为本发明的方法流程图;

    图2为在纯电口互联条件下无非法入侵设备时的工作原理图;

    图3为在纯电口互联条件下有非法监听设备入侵设备时的工作原理图;

    图4为在纯光口互联条件下无非法入侵设备时的工作原理图;

    图5为在纯光口互联条件下有非法分光器入侵设备时的工作原理图;

    图6为在电口互联、光口互联条件下无非法入侵设备时的工作原理图;

    图7为在电口互联、光口互联条件下有非法监听设备入侵设备时的工作原理图;

    图8为在电口互联、光口互联条件下有非法分光器入侵设备时的工作原理图;

    图9为在电口互联、光口互联条件下有非法监听设备、非法分光器同时入侵设备时的工作原理图。

    具体实施方式

    下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

    请参阅图1至图9,本发明提供一种技术方案:一种以太网物理层防物理入侵检测方法和系统,方法如下:

    对以太网进行网络部署;

    传输端口的选用有三种方式:仅使用电口互联;仅使用光口互联;光口互联和电口互联同时使用;

    第一判定模块可以判定传输端口的类型;

    监测传输端口之间的损耗值,即监测模块监测电口与电口之间的延时值,光口与光口之间的损耗值(光信号损耗值),并将数据信息传输至第二判定模块;

    第二判定模块判定所述延时值和/或所述损耗值是否在预设告警阈值内,即电口与电口之间的延时值是否在预设告警阈值内,光口与光口之间的损耗值(光信号损耗值)是否在预设告警阈值内;

    若任一所述损耗值在预设告警阈值内则第二判定模块将数据信息发送给网络管理平台。

    本实施例中,优选的,网络管理平台可控制告警器告警,即当网络管理平台接收到来自第二判定模块的数据信息后,工作人员可以人为选择是否使用告警器进行告警,已达到提示作用。

    本实施例中,优选的,网络管理平台可禁用对应的传输端口,即当网络管理平台接收到来自第二判定模块的数据信息后,工作人员可以人为选择是否将对应的传输端口——电口或光口进行禁用,以避免数据报文被继续窃取。

    本实施例中,优选的,所述延时值采用ieee1588精确时钟同步技术,所述损耗值采用i2c端口读取发送光功率及接收光功率的信息特征的技术。

    一种以太网物理层防物理入侵系统,其特征在于:由数据中心库、录入模块、监测模块、判定模块、告警模块、处理模块组成,所述判定模块包括第一判定模块和第二判定模块,其中:

    数据中心库为数据提供录入端口;

    录入模块用于预设告警阈值的录入;

    监测模块实时监测传输端口之间的损耗值;

    第一判定模块用于判定传输端口类型;

    第二判定模块将所述延时值或/和损耗值与所述预设告警阈值进行比较;

    告警模块用于告警;

    处理模块用于控制传输端口。

    本实施例中,优选的,还包括秘钥加密模块,用于信息传输中的加密。

    本发明的工作原理:

    对于以太网电口,在网络部署实施完毕后,交换机利用ieee1588同步技术,测量无物理入侵时互联电口之间的延时值;

    t1时刻通过电口-a发送特定协议报文;

    t2时刻,电口-b收到对应的报文;

    而后,

    电口b-2在t3时刻,发送特定协议报文;

    t4时刻,电口-b收到对应的报文;

    则电口-a和电口-b之间的延时值δt=((t2-t1) (t4-t3))/2,多次测量记录平均值,设为δt_common,并计入数据中心库中。

    电信号在网线上的传播时延为纳秒级(每英寸电信号传播时延约150皮秒,对于100米网线,传播时延约60纳秒),而非法入侵设备造成的时延通常为10微秒以上,通常差2个数量级以上,因此δt的预设告警阈值应参考此数据进行设置。

    对于以太网光口,在网络部署实施完毕后,运用光模块通过i2c接口可读取发送光功率及接收光功率的特征,测量互联光接口的光信号的光信号损耗值;

    交换机光口-a发送光功率平均值记录为p1(以dbm为单位);

    光口-b接收到的光口-a发出的激光,接收光功率平均值记录为p2;

    交换机光口-b发送光功率平均值记录为p3;

    光口-a接收到的光口-b发出的激光,接收光功率平均值为p4;

    则光口-a和光口-b之间的光信号损耗值为δp=((p2-p1) (p4-p3))/2,多次测量记录平均值,设为δp_common,并计入数据中心库中。

    对于单模光纤,每公里衰减经验值为0.2-0.35db/km,在实际应用中和激光的中心波长及光纤物理质量有关,具体可以参考光纤相关技术规格书;

    而对于分光器,1:2分光衰减为3.2db,1:4分光衰减为7.2db,1:8为10.5db;

    因此,对于局域网来说,正常损耗和分光器的损耗差异很明显(1个数量级),因此δp的预设告警阈值应参考此数值进行设置。

    各个交换机定时刷新和计算:

    对于电口δt,当δt大于δt_common*(1 x%)或δt δt_tolerance其中任一种情况时,判定为网络物理层被非法入侵,存在跨接交换机、hub等设备的可能性,触发非法入侵告警,系统禁用对应的传输端口。

    其中x%为相对偏移值,δt_tolerance为绝对偏离值,用户可结合实际网络进行进行设置。

    对于光口δp,当δp大于δp_common*(1 y%)或δp δp_tolerance其中任一种情况时,判定为被非法入侵,存在光纤线路接入分光设备的可能性,系统禁用对应的传输端口。

    其中y%为相对偏移值,δp_tolerance为绝对偏离值,用户可结合实际网络进行进行设置。

    延时值和光信号损耗值均可以通过第二判定模块将所述损耗值与各自对应预设告警阈值进行比较从而完成后续工序。

    尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。


    技术特征:

    1.一种以太网物理层防物理入侵的检测方法,其特征在于,所述方法如下:

    对以太网进行网络部署;

    选择传输端口;

    判定传输端口;

    监测传输端口之间的延时值或/和损耗值;

    判定所述延时值或/和损耗值是否在预设告警阈值内;

    若所述延时值或/和损耗值在预设告警阈值内则将信息发送给网络管理平台,反之,则继续下一周期的监测。

    2.根据权利要求1所述的一种以太网物理层防物理入侵的检测方法,其特征在于:传输端口为电口互联和/或光口互联。

    3.根据权利要求1所述的一种以太网物理层防物理入侵的检测方法,其特征在于:网络管理平台可控制告警器告警。

    4.根据权利要求1所述的一种以太网物理层防物理入侵的检测方法,其特征在于:网络管理平台可禁用对应的传输端口。

    5.根据权利要求1所述的一种以太网物理层防物理入侵的检测方法,其特征在于:所述延时值采用ieee1588精确时钟同步技术,所述损耗值采用i2c端口读取发送光功率及接收光功率的信息特征的技术。

    6.一种以太网物理层防物理入侵系统,其特征在于:由数据中心库、录入模块、监测模块、判定模块、告警模块、处理模块组成,所述判定模块包括第一判定模块和第二判定模块,其中:

    数据中心库为数据提供录入端口;

    录入模块用于预设告警阈值的录入;

    监测模块实时监测传输端口之间的损耗值;

    第一判定模块用于判定传输端口类型;

    第二判定模块将所述延时值或/和损耗值与所述预设告警阈值进行比较;

    告警模块用于告警;

    处理模块用于控制传输端口。

    7.根据权利要求6所述的一种以太网物理层防物理入侵系统,其特征在于:还包括秘钥加密模块,用于信息传输中的加密。

    技术总结
    本发明公开了一种以太网物理层防物理入侵检测方法和系统,属于工业通信技术领域,方法如下,对以太网进行网络部署;选择传输端口;判定传输端口;监测传输端口之间的延时值或/和损耗值;判定所述延时值或/和损耗值是否在预设告警阈值内;若所述延时值或/和损耗值在预设告警阈值内则将信息发送给网络管理平台,反之,则继续下一周期的监测;本发明利用主流交换芯片的基本特性进行技术实现,无需额外添加硬件,也不必改变设备基本的软硬件构架,在最大程度上保护了用户的投资;通过设计的秘钥加密模块,对信息交换进行加密保护,避免报文被伪造而造成的严重影响,真正解决了物理线路信号在非管控区域网络安全管理盲区可能被窃取的风险问题。

    技术研发人员:戴多好;徐君
    受保护的技术使用者:江苏中安智信通信科技股份有限公司
    技术研发日:2020.11.25
    技术公布日:2021.03.12

    转载请注明原文地址:https://wp.8miu.com/read-7871.html

    最新回复(0)