一种工业安全隔离网关的制作方法

本发明属于工业控制网络技术领域，更具体地说，尤其涉及一种工业安全隔离网关。

背景技术：

物联网、云计算、移动应用技术是当今信息领域重点发展的三大信息技术。其中，物联网作为一种正在高速发展的先进技术，其信息安全问题正在越来越受到国家的重视。完善的工业物联网系统网络包括数据、物理、网络在内的多方面信息安全问题，要维持整体系统的稳定运行，保证生产过程不受影响，就需要制定行使有效的安全解决方案，scada、dcs、pcs、plc等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

系统中通信协议、操作系统、安全策略和管理流程、杀毒软件、应用软件等任何一点受到攻击都有可能导致整个系统的瘫痪。现有技术合作，中国专利cn201721923252.7公开了一种隔离网关，其包括：认证隔离单元、内网后台处理单元和外网后台处理单元；所述内网后台处理单元和所述外网后台处理单元均与所述认证隔离单元电性连接；所述内网后台处理单元用于对内网用户报文内容进行格式以及规则匹配确认；所述外网后台处理单元用于对外网用户报文内容进行格式以及规则匹配确认；所述认证隔离单元用于对用户安全接入的认证许可以及对内外网的网络隔离。该隔离网关设备可实现内外网之间通信的安全可控。该隔离网关，虽然扩展了功能，但是对于有多台套自动化设备构成的工业生产设备网络，其工业安全隔离尚不够可靠、高效和完善。

针对上述提出的问题，我们提出一种工业安全隔离网关，来增强工业设备网络的信息安全。

技术实现要素：

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种工业安全隔离网关。

为实现上述目的，本发明提供如下技术方案：

一种工业安全隔离网关，包括外网接收模块、内网接收模块及隔离摆渡模块，所述外网接收模块和内网接收模块为两个相互独立的控制系统，均具备运算模块、存储模块、逻辑电路模块，且外网接收模块和内网接收模块之间通过隔离摆渡模块进行数据传递，传递过程包括协议剥离、校验、加密、解密、保存过程，所述外网接收模块包括网络接收模块、信息认证模块、防火墙模块、信息过滤模块、反病毒模块，所述内网接收模块包括信息审核模块、无线传输模块，所述无线传输模块与生产控制区业务主机连接。

优选的，所述外网接收模块与外网连接，采集外网数据，通过身份认证后，还原成原始数据，并重新保存成内部自由协议，通过构建内部自由协议通道传输给隔离摆渡模块，并通过逻辑电路和隔离摆渡模块共同实现内外网隔离。

优选的，所述无线传输模块采用双口ram并行加密高速传输技术，配套嵌入式驱动对双口ram的数据读写进行读写控制，数据流采用128位以上加密方式传输。

优选的，所述信息认证模块用于进行报文过滤的数据流向控制模块；采用ipsec协议，用于进行数据加密安全传输，保护ip层安全的vpn模块；采用抵御拒绝服务，防范攻击或恶意软件的转移、屏蔽其他网络系统、保护网络流量的完整性和保密性。

优选的，所述网络接收模块包括2路千兆工业以太网口、4路百兆工业以太网口，所述串口包括16路的232、422、485串口，能实现多台设备同时采集数据的功能，并且可通过链路的聚合进一步拓宽带宽。

优选的，所述外网接收模块包括电源管理器和led指示器，所述电源管理器与电源开关电连接，所述led指示器与电源管理器电连接。

优选的，所述信息认证模块，只有在认证后数据包才进行解密，得到原始数据，对原始数据进行校验，并通过无线传输模块发出。

优选的，所述逻辑电路模块逻辑电路负责切断外网接收模块与隔离摆渡模块的连接。

本发明的技术效果和优点：

1、本发明可以实现对多台套自动化设备组成的工业网络与信息网络的数据安全隔离，采用物理隔离与逻辑隔离相结合的手段提高隔离的可靠性，支持数据加密、防病毒、网络防火墙、用户认证、入侵防护等功能，能够确保工业控制系统的安全稳定运行；

2、本发明采用多网口多串口可同时对多台设备仪表进行数据采集处理，可实现链路聚合来拓展带宽；而且本发明采用2路千兆工业以太网口，4路百兆工业以太网口，以及多达16路的232,422,485串口，能实现多台设备同时采集数据的功能，还能满足工业生产领域需求，适用于工业领域复杂的设备环境中，提高了工作效率；

3、本发明可以实现工业设备和云端通信之间的无缝连接，通过无线传输模块会在网关桌面或通过email、短信等方式向网管人员发出告警提示，为工厂网络故障的及时排查、分析提供可靠依据从而提高工业通信系统的安全性与稳定性，使其功能得到完善。

附图说明

图1为本发明的整体模块组成结构示意图；

图2为本发明的隔离摆渡模块连接结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合具体实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-2，本发明提供的工业安全隔离网关，其包括外网接收模块、内网接收模块及隔离摆渡模块，所述外网接收模块和内网接收模块为两个相互独立的控制系统，均具备运算模块、存储模块、逻辑电路模块，且外网接收模块和内网接收模块之间通过隔离摆渡模块进行数据传递，传递过程包括协议剥离、校验、加密、解密、保存过程，所述外网接收模块包括网络接收模块、信息认证模块、防火墙模块、信息过滤模块、反病毒模块，所述内网接收模块包括信息审核模块、无线传输模块，所述无线传输模块与生产控制区业务主机连接。

其中，所述外网接收模块与外网连接，采集外网数据，通过身份认证后，还原成原始数据，并重新保存成内部自由协议，通过构建内部自由协议通道传输给隔离摆渡模块，并通过逻辑电路和隔离摆渡模块共同实现内外网隔离。

所述无线传输模块采用双口ram并行加密高速传输技术，配套嵌入式驱动对双口ram的数据读写进行读写控制，数据流采用128位以上加密方式传输。

所述信息认证模块用于进行报文过滤的数据流向控制模块；采用ipsec协议，用于进行数据加密安全传输，保护ip层安全的vpn模块；采用抵御拒绝服务，防范攻击或恶意软件的转移、屏蔽其他网络系统、保护网络流量的完整性和保密性。

所述网络接收模块包括2路千兆工业以太网口、4路百兆工业以太网口，所述串口包括16路的232、422、485串口，能实现多台设备同时采集数据的功能，并且可通过链路的聚合进一步拓宽带宽。

所述外网接收模块包括电源管理器和led指示器，所述电源管理器与电源开关电连接，所述led指示器与电源管理器电连接。

较佳的，所述信息认证模块，只有在认证后数据包才进行解密，得到原始数据，对原始数据进行校验，并通过无线传输模块发出。

所述逻辑电路模块逻辑电路负责切断外网接收模块与隔离摆渡模块的连接。

参见图1，该隔离网关由外网接收模块、内网接收模块及隔离摆渡模块构成，所述外网接收模块和内网接收模块为两个相互独立的控制系统，均具备运算模块、存储模块、逻辑电路模块，且外网接收模块和内网接收模块之间通过隔离摆渡模块进行数据传递，传递过程包括协议剥离、校验、加密、解密、保存过程，所述外网接收模块包括网络接收模块、信息认证模块、防火墙模块、信息过滤模块、反病毒模块，所述内网接收模块包括信息审核模块、无线传输模块，所述无线传输模块与生产控制区业务主机连接，采用物理隔离与逻辑隔离手段，支持数据加密、防病毒、网络防火墙、用户认证、入侵防护等功能，能够确保工业控制系统的安全稳定运行，采用ipsec协议，用于进行数据加密安全传输，保护ip层安全的vpn模块；采用抵御拒绝服务，防范攻击或恶意软件的转移、屏蔽其他网络系统、保护网络流量的完整性和保密性；

所述外网接收模块与外网连接，采集外网数据，通过身份认证后，还原成原始数据，并重新保存成内部自由协议，通过构建内部自由协议通道传输给隔离摆渡模块，并通过逻辑电路和隔离摆渡模块共同实现内外网隔离，通过无线传输模块可以实现设备和云端之间无缝连接，网关桌面或通过email、短信等方式向网管人员发出告警提示，为工厂网络故障的及时排查、分析提供可靠依据从而提高工业通信系统的安全性与稳定性。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。