专利名称:一种隔离式网关的制作方法
技术领域:
本发明涉及一种隔离式网关。
背景技术:
在现代工业企业的信息系统中,由各种DCS (Distributed ControlSystem,分散控制系统)、PLC (Programmable logic Controller,可编程控制器)、测控设备、SCADA(Supervisory Control And Data Acquisition,数据
采集与监视控制系统)构成了过程控制系统。现有技术中过程控制系统位于底层车间,负责完成基本的生产控制。
随着企业信息化建设的发展,迫切要求实现过程控制系统与上层的管理信息系统之间的互联。这样可以实时完成经营管理层与车间执行层的双向信息流交互,使企业对生产情况保证实时反应,消除信息孤岛与断层现象。
在这种需要实现信息网络与控制网络互联的情况下,如何保证过程控制网络的安全就变成了一个严峻的问题。特别是对于石油、石化、电力、钢铁、煤矿等生产行业,对连续生产的安全性和可靠性有着极高的要求。这种企业对于过程控制网络的安全性要求极高, 一旦实现了信息网络与控制网络之间的互联,就相当于将控制网络直接暴露给外网,导致过程控制网络面临被攻击的可能。
为了获取现场的生产信息,许多企业采用拷盘或人力传递的方式传送信息,包括人工抄表,定期上报的方式。人工釆集不仅极不方便也无法实时地采集到现场的数据,很难满足当今工业控制行业对生产控制和信息管理方面的要求。
目前自动化市场上现有的数据采集与监控系统、工业通信网关、工业以太网采集设备等,有的虽然内嵌了防火墙功能,但都不能提供真正的物理隔离,网络安全防护性很差。
现在国内也有一部分网络技术公司,针对这一 问题推出了专用的安全隔离类产品,或称网闸。但由于网闸类产品本身不具备工业数据采集与协议解析能力,仅仅实现单纯的网络隔离,因此对数据通信方向(一般都是
单向隔离)和数据字节长度都有严格的限制,导致在应用时现有的SCADA系统均要为适应网闸重新开发通信接口,大大增加了开发成本与实施难度。另外由于通信功能受限,对于通信过程复杂的应用场合特别是需要数据控制的情况难以实现甚至无法实现。
发明内容
针对现有技术中存在的缺陷和不足,本发明的目的是提出一种隔离式网关,能够实现真正的物理隔离,提高网络安全性。
为了达到上述目的,本发明提出了一种隔离式网关,包括-
控制端连接模块、客户机连接模块、隔离模块,所述控制端连接模块和所述客户机连接模块分别电连接所述隔离模块;所述控制端连接模块电连接控制端,所述客户机连接模块连接客户机;
控制模块,所述控制模块控制所述控制端连接模块及客户机连接模块;当所述控制端通过所述控制端连接模块连接隔离模块时,所述客户机与隔离模块断开连接;当所述客户机通过所述客户机连接模块连接隔离模块时,所述控制端与隔离模块断开连接。
在上述技术方案中,控制端连接模块与控制端之间可通过各种标准通信协议通信;客户机连接模块与客户机之间可通过各种标准通信协议通信。
作为上述技术方案的优选,还包括数据传输模块,所述数据传输模块控制所述控制端和客户机之间的数据流,使所述控制端与客户机之间单向或双向数据传输。
作为上述技术方案的优选,所述控制端连接模块、客户机连接模块、隔离模块之间通过总线连接。
本发明提出了一种隔离式网关,主要应用于工业企业的信息系统,特别是对于过程控制网络的安全性要求极高的工业企业。本发明的隔离式网关包括控制端连接模块、客户机连接模块、隔离模块,所述控制端连接模块和所述客户机连接模块分别电连接所述隔离模块;所述控制端连接模块电连接控制端,所述客户机连接模块连接客户机;控制模块,所述控制模块控制所述控制端连接模块及客户机连接模块;当所述控制端通过所述控制端连接模块连接隔离模块时,所述客户机与隔离模块断开连接;当所述客户机通过所述客户机连接模块连接隔离模块时,所述控制端与隔离模块断开连接。这种"双机非网"的物理隔离技术,能够有效的阻断网络直接连接,保证控制端和客户端不能同时连接到隔离模块,实现真正的物理隔离。
图1为本发明提出的隔离式网关的结构示意图。
具体实施例方式
下面结合附图,对本发明的具体实施方式
作进一步的详细说明。对于所属技术领域的技术人员而言,从对本发明的详细说明中,本发明的上述和其他目的、特征和优点将显而易见。
本发明提出的隔离式网关的第一优选实施例如图l所示,包括-
控制端连接模块、客户机连接模块、隔离模块,所述控制端连接模块和所述客户机连接模块分别电连接所述隔离模块;所述控制端连接模块电连接控制端,所述客户机连接模块连接客户机;
控制模块,所述控制模块控制所述控制端连接模块及客户机连接模块;当所述控制端通过所述控制端连接模块连接隔离模块时,所述客户机与隔离模块断开连接;当所述客户机通过所述客户机连接模块连接隔离模块时,所述控制端与隔离模块断开连接。这种方式是为了使控制端与客户机不会同时与隔离模块连接,实现真正的物理隔离。当然断开的方式有多种,例如在该隔离式开关内部通过控制模块将控制端连接模块、客户机连接模块分别与隔离模块断开,或是将控制端连接模块、客户机连接模块分别与控制端、客户机断开。这两种方式都可以实现本发明提出的这种"双机非网"的物理隔离。同时控制端连接模块与控制端之间可通过各种标准通信协议通信;客户机连接模块与客户机之间可通过各种标准通信协议通信。
为了进一步提高网络的安全性,本发明第二优选实施例的隔离式网关还包括数据传输模块,所述数据传输模块控制所述控制端和客户机之间的数据流,使所述控制端与客户机之间单向或双向数据传输。所谓单向传输模式,是指只允许位于客户端的主机向控制端发送数据,这样同样可以保证数据的实时性,且不会产生控制端主机对客户机的数据流,降低客户机受到攻击的可能性。双向传输模式时,由于本发明的"双机非网"的物理隔离,同时可以定义控制端向客户端发送指令的私有协议,保证通讯的安全性。
为了进一步提高网络的安全性,本发明第二优选实施例的隔离式网关中所述控制端连接模块、客户机连接模块、隔离模块之间通过总线连接。这样可以极大的提高隔离式网关自身的安全性,防止外部侵入。
虽然,本发明已通过以上实施例及其附图而清楚说明,然而在不背离本发明精神及其实质的情况下,所属技术领域的技术人员当可根据本发明作出各种相应的变化和修正,但这些相应的变化和修正都应属于本发明的权利要求的保护范围。
权利要求
1、一种隔离式网关,其特征在于,包括控制端连接模块、客户机连接模块、隔离模块,所述控制端连接模块和所述客户机连接模块分别电连接所述隔离模块;所述控制端连接模块电连接控制端,所述客户机连接模块连接客户机;控制模块,所述控制模块控制所述控制端连接模块及客户机连接模块;当所述控制端通过所述控制端连接模块连接隔离模块时,所述客户机与隔离模块断开连接;当所述客户机通过所述客户机连接模块连接隔离模块时,所述控制端与隔离模块断开连接。
2、 根据权利要求1所述的隔离式网关,其特征在于,还包括数据传输模块,所述数据传输模块控制所述控制端和客户机之间的数据流,使所述控制端与客户机之间单向或双向数据传输。
3、 根据权利要求1所述的隔离式网关,其特征在于,所述控制端连接模块、客户机连接模块、隔离模块之间通过总线连接。
全文摘要
本发明提出了一种隔离式网关,主要应用于工业企业的信息系统。本发明的隔离式网关包括控制端连接模块、客户机连接模块、隔离模块,所述控制端连接模块和所述客户机连接模块分别电连接所述隔离模块;所述控制端连接模块电连接控制端,所述客户机连接模块连接客户机;控制模块,所述控制模块控制所述控制端连接模块及客户机连接模块;当所述控制端通过所述控制端连接模块连接隔离模块时,所述客户机与隔离模块断开连接;当所述客户机通过所述客户机连接模块连接隔离模块时,所述控制端与隔离模块断开连接。本发明能够有效的阻断网络直接连接,保证控制端和客户端不能同时连接到隔离模块。
文档编号G05B19/418GK101634850SQ20081011705
公开日2010年1月27日 申请日期2008年7月23日 优先权日2008年7月23日
发明者林威汉 申请人:北京三维力控科技有限公司