一种应用于PROFINET工业以太网的安全隔离系统的制作方法

本发明涉及工业以太网与信息安全领域，特别是PROFINET工业以太网的安全隔离领域。

背景技术：
：

随着工业通信技术应用日益广泛，实践中，工业控制系统面临着日益突出的安全威胁问题。过去对工业控制系统的安全考虑较少，因为工业控制系统的通信网络是专用网络，普遍认为很难对工业控制系统造成安全威胁。但目前的技术发展趋势是：工业企业管控一体化和智能化，即工业企业的管理不在局限于上层信息交互，而是频繁获取底层生产制造系统的数据，甚至在有些场合下会直接与底层控制系统进行交互。最近国内外发生的多起由于安全导致的工业控制系统事故已引起国家相关部委高度重视，已充分认识到加强工业控制系统信息安全管理的重要性和紧迫性，并对重点领域工业控制系统提出了信息安全管理要求。

近期在国内外发生的多起由于信息安全原因造成的工业控制系统事故，引起了国家相关部门的高度重视，在工信部协[2011]451号文件《关于加强工业控制系统信息安全管理的通知》，明确规定了重点领域工业控制系统信息安全管理要求，包括：连接管理要求、组网管理要求、配置管理要求、数据管理要求等。而且电力行业、石化行业都已出台或酝酿出台相关针对本行业的控制系统安全要求。这对于国内的工业控制设备及系统制造商提供了机遇和挑战。但目前国内工业控制设备及系统制造商在工业控制系统的安全技术研发投入严重不足，而且国内也没有相关的技术和产品。本发明的确立适时地填补了国内在工业以太网安全技术和产品的空白，将为行业提供急需的工业控制系统的安全解决方案，并带动国内企业加强工业控制系统的安全技术研究。

对于国内的自动化设备及系统制造商，面临来自国外企业的巨大竞争压力。国内企业与国外公司的差距主要体现在系统级产品的技术水平，如：与整个生产和管理系统的信息共享、系统的诊断和管理功能、系统可靠性及安全性。提高系统诊断和管理功能，以及系统安全性都需构建系统级的通信网络。相比国外公司，国内企业工业通信的研发能力较弱，但国内企业对工业通信技术的研发投入明显加大，这可由国内企业生产的产品每年通过工业通信认证的数量得到验证。从目前情况判断，工业通信的安全技术必将是工业自动化技术的下一个热点技术，国外对工业通信的安全技术也处在起步阶段，与国内的研发情况大致相当。本发明技术方向为“工业以太网安全隔离技术”，其研发成果都可用于工业现场环境，并可将 这些安全隔离工具整合到工业控制系统中，构成工业控制系统的多层安全防御，这将提高工业产品和系统制造企业的产品竞争力。

技术实现要素：
：

为解决背景技术所存在的问题，本发明公开了一种可长时间应用于现场的PROFINET安全隔离系统，将PROFINET通信协议深度检测功能与通用工业防火墙功能相结合，研发基于PROFINET的专用工业信息安全设备。

本发明的系统包括通用防火墙的端口防护功能，检测并阻断网络攻击和病毒防护。

本发明的系统可防止控制网络和现场设备的未授权访问，保护设备信息和数据不被泄漏和非法改变。

本发明的系统基于PROFINET应用层数据包进行深度检测、协议分析，识别总线上的危险报文，如：恶意攻击报文、伪装报文等。

本发明的系统具有PROFINET网络通信行为预测，根据组态信息来预测网络上正常的通信关系、带宽与吞吐量，通过将预测情况与实际通信进行对比来识别由于攻击或病毒影响的非正常通信。

本发明的系统具有PROFINET网络用户数据加密技术，防止工程数据泄露，防止病毒的恶意攻击。

本发明的系统具有关键信息预先存储和备份功能，可基于预先存储信息，对关键信息的访问和更改进行核查，也可对失控或故障主站的进行安全下装。

本发明的系统具有智能交互技术，图形化显示网络通信统计，可接受对安全隔离器的功能配置，可发送危险识别处理与报警日志。

附图说明：

图1为本发明的系统原理图。

图2为本发明的系统组成图。

具体实施方式：

本发明公开了一种可长时间应用于现场的PORFINET安全隔离系统，本发明的系统基于PROFINET通信特点，确定识别危险报文考虑的具体要素，如：通信质量统计数据、通信报文之间的逻辑关系、通信报文的时序关系、通信报文的协议符合性、具体应用限定条件等，提高安全识别程序的智能性和效率。

本发明的系统具有通用防火墙功能、深度的PROFINET协议解析功能、分级的危险识别处理与报警功能、以及报文转发功能通过硬件FPGA实现，以提高实时性。

图1示出了本发明的安全隔离系统的原理，该系统包括工业以太网安全隔离设备HMI模块和工业以太网安全隔离设备硬件模块两个子模块：其中工业以太网安全隔离HMI模块包括HMI界面(1)、配置单元(2)、状态查询单元(3)、日志记录单元(4)、报警单元(5)和安全隔离HMI智能通信单元(6)，其中配置单元(2)、状态查询单元(3)、日志记录单元(4)、报警单元(5)相互独立工作，并都与安全隔离HMI智能通信单元进行数据后台共享，安全隔离HMI智能通信单元(6)通过以太网实现工业以太网安全隔离设备HMI和工业以太网安全隔离设备硬件模块的通信；工业以太网安全隔离设备硬件模块包括安全隔离智能交互单元(7)、工业以太网防火墙功能(8)、工业以太网深度解析单元(9)、危险报文智能识别单元(10)、关键数据预存单元(11)、关键信息附加审核单元(12)、用户数据加密单元(13)。其中各个安全功能单元从工业以太网主干网向工业以太网分支网具有次序关系，各个安全功能模块均接收来自安全隔离器智能交互单元的配置命令，并向其传递状态报警信息。

进一步，安全隔离智能交互单元(7)由嵌入式处理器实现，可接受对安全隔离系统的功能配置，对危险报文的识别程序按专家系统模式进行设计，可发送危险识别处理和报警日志，通过以太网实现通信。

进一步，工业以太网工业防火墙(8)由FPGA实现，主要作用于工业以太网的网络层和传输层，通过可配置的服务访问规则，保护工业控制网络免受非法用户的侵入，过滤非PROFINET协议报文，以及必要时将控制网络与上层网络隔离开。该工业以太网工业防火墙(8) 依据源IP地址、源端口号、目的IP地址、目的端口号、服务类型多种属性进行网络层报文过滤。

进一步，工业以太网深度解析单元(9)由FPGA实现，完成从总线上实时将数据采集到设备中，根据报文结构在各通信层(如应用层、用户层)进行报文的解析。PROFINET协议通信速率较高，以太网络隔离器对PROFINET报文的接收、存储、分析、转发四个环节的实时性要求很高，因此模块实现时必须保证PROFINET时间要求。将PROFINET协议中有关各种报文结构、基本状态机、诊断机制等在该模块中以硬件子模块的形式实现。

进一步，危险报文智能识别单元(10)由嵌入式处理器实现，接收从智能交互模块输入的现场总线控制系统正确的网络组态信息，作为网络通信状况的基本判定条件(如，合法主站的报文、合法的从站地址、合法的输入/输出数据等)；根据这些判定条件以及其他网络特性(如，报文时序、设备状态等)识别危险报文并分析可能受到的攻击。

进一步，关键数据预存单元(11)由嵌入式处理器实现，对于PROFINET控制网络中传输的关键信息，如应用关系建立，参数化和组态信息进行附加的安全审核，以进一步保障网络关键信息的可靠和安全，以及对失控主机实现安全重新下载安装。

进一步，关键信息附加审核单元(12)由嵌入式处理器实现，对于PROFINET控制网络中传输的关键信息，如应用关系建立，参数化和组态信息进行附加的安全审核，以进一步保障网络关键信息的可靠和安全。

进一步，用户数据加密单元(13)通过FPGA硬件实现，对PROFINET用户数据进行加密传输可配置，避免了重要的流程数据在网络中的明文传输，防止工程数据泄露，防止病毒的恶意攻击。

图2示出是本发明的安全隔离系统组成图，该系统包括：主干网侧PHY芯片(1)、主干网侧MAC芯片(2)、FPGA(3)、分支网侧MAC芯片(4)、分支网侧PHY芯片(5)、NOR FLASH(6)、处理器(7)、HMI配置PHY芯片(8)和旁路直连模块(9)；其中主干网侧PHY芯片(1)、主干网侧MAC芯片(2)、FPGA(3)、分支网侧MAC芯片(4)、分支网侧PHY芯片(5)构成了一个从工业以太主干网到分支网的通信路径，模块在正确配置后工业以太网报文由此路径接收并转发，因实时性要求，工业以太网数据报文的接收，安全审核与过滤，关键数据储存，以及数据的发送主要由FPGA实现，NOR FLASH(6)为FPGA中的程序提供非易失性存储空间；处理器(7)和HMI配置PHY芯片(8)实现了上位机软件配置功能和部分非实时的报文分析功能，处理器(7)和FPGA(3)的数据交换通过FPGA(3)内部的实现的双口RAM实现；旁路直连模块(9)实现模块在未配置和发生故障的情况下将切换到直连模式，不会影响工业以太网的正常通信。

以上是对本发明的系统的较佳实施进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可以做出种种的等同变形或替换，这些等同的变形或者替换均包含在本申请权利要求所限的范围内。