一种针对数控系统的通信防护设备的制造方法
【专利摘要】本发明公开了一种针对数控系统的通信防护设备,所述防护设备包括访问控制与身份鉴别模块,将防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能通过防护设备与数控系统建立连接,不符合规则的计算机等通信设备是无法与数控系统进行通信;通信数据防护模块,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统;配置管理审计模块,用于进行安全防护策略的配置和解析,并对业务防护/维修/用户操作/攻击行为进行日志记录,同时进行安全管理和数据存储的设置。该设备能有效保护数控系统的通信数据安全,防止数控加工数据的非法外泄,阻止异常数据流入数控加工网络。
【专利说明】
一种针对数控系统的通信防护设备
技术领域
[0001]本发明涉及数控加工网络技术领域,尤其涉及一种针对数控系统的通信防护设备。
【背景技术】
[0002]近年来,随着科研生产效率的提升及数字化和信息化融合的迫切需要,企业普遍利用分布式数字控制(DNC)系统将数控机床组成数控加工网络,实现了数控加工文件的集中管理与高效传输;DNC系统能够实现加工设备的有效整合,提高了设备的利用率,实现车间的资源与信息透明化,降低了管理成本及管理难度。
[0003]数控加工网络由数控机床、交换机和DNC服务器组成,数控机床的控制单元称为数控系统,它是数控机床与外部进行数据交换的主要部件,高档的数控系统普遍采用了嵌入式或精简的操作系统,并提供了多种数据接口和大量的存储空间,这些系统一般无法更新操作系统补丁、安装查杀病毒软件和信息安全产品,缺少作为一台网络终端设备必需的安全防护措施;另外,黑客软件或木马病毒极易通过数控系统对数控加工网络服务器或其他联网设备发起攻击,盗取重要数据和文件,这些使得数控系统存在严重的安全隐患。
【发明内容】
[0004]本发明的目的是提供一种针对数控系统的通信防护设备,该设备能实现对数控系统的端口管控、访问控制、数据过滤和安全审计等功能,有效保护数控系统的通信数据安全,防止数控加工数据的非法外泄,阻止异常数据流入数控加工网络。
[0005]—种针对数控系统的通信防护设备,所述防护设备包括:
[0006]访问控制与身份鉴别模块,用于通过配置安全防护策略,以白名单的方式指定绑定的源/目的目的IP地址、源/目的端口号;利用该访问控制与身份鉴别模块将所述防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能与所述数控系统建立连接,不符合规则的通信端无法与所述数控系统进行通信;
[0007]通信数据防护模块,用于通过配置安全防护策略,以白名单的方式指定串口和网口传输数据的协议、类型和NC代码格式,同时按照指定的协议、类型和NC代码格式对待传输数据的内容进行审查,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统,同时阻断非法数据的传输;
[0008]配置管理审计模块,用于进行安全防护策略的配置和解析,设置传输协议、类型和NC代码格式的白名单,设置USB为双向或单向通信,并对业务防护/维修/用户操作/攻击行为进行日志记录,同时进行安全管理和数据存储的设置。
[0009]所述访问控制与身份鉴别模块进一步采用用户名、口令、USB-Key组合机制对用户身份进行鉴别,并对用户鉴别数据进行保密性和完整性保护。
[0010]所述访问控制与身份鉴别模块进一步设置有空闲操作时间阈值,当已通过身份鉴别的管理员的空闲操作时间超过该空闲操作时间阈值时,所述访问控制与身份鉴别模块对所述管理员的登录权限进行注销并断开所述管理员的会话操作,并对登录超时事件进行记录。
[0011]所述通信数据防护模块还用于通过配置安全策略,对通信协议类型、数据内容进行匹配审查,只有完全匹配预先设定的白名单时才能进行数据交换,对所述白名单外的通信设备的连接请求予以阻断。
[0012]所述待传输数据包括串口数据、网口数据和USB数据,其中:
[0013]所述串口数据为通信主/客体之间的RS232串行数据;
[0014]所述网口数据为通信主/客体之间的以太网数据报文;
[0015]所述USB数据为通信主/客体之间的通用串行总线数据。
[0016]所述配置管理审计模块所记录的日志包括业务防护日志、维修日志、用户操作日志和攻击日志;
[0017]并对传输的协议类型、数据类型、内容审查/过滤/交换/阻断、操作内容、维修情况进行记录;
[0018]同时提供完善的日志属性,包括:事件发生时间、文件名称、协议内容、源/目的MAC、源/目的IP、源/目的端□号、检测结果和事件描述。
[0019]所述防护设备为基于ARM处理器的嵌入式平台,具体包括用于与所述数控系统进行通信连接的串口、网口和USB接口,称为数控系统接入通信接口 ;
[0020]以及用于与外部设备进行通信连接的串口、网口和USB口,称为外部设备通信接
□ O
[0021]由上述本发明提供的技术方案可以看出,上述设备能实现对数控系统的端口管控、访问控制、数据过滤和安全审计等功能,有效保护数控系统的通信数据安全,防止数控加工数据的非法外泄,阻止异常数据流入数控系统网络。
【附图说明】
[0022]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
[0023]图1为本发明实施例所提供针对数控系统的通信防护设备的结构示意图;
[0024]图2为本发明实施例所提供防护设备的实现结构示意图;
[0025]图3为本发明实施例所提供的该防护设备使用时的示意图。
【具体实施方式】
[0026]下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
[0027]下面将结合附图对本发明实施例作进一步地详细描述,如图1所示为本发明实施例所提供针对数控系统的通信防护设备的结构示意图,所述防护设备主要包括有访问控制与身份鉴别模块、通信数据防护模块和配置管理审计模块,其中各模块的具体功能及实现过程为:
[0028]访问控制与身份鉴别模块,用于通过配置安全防护策略,以白名单的方式指定绑定的源/目的目的IP地址、源/目的端口号;利用该访问控制与身份鉴别模块将所述防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能与所述数控系统建立连接,不符合规则的通信端无法与所述数控系统进行通信。
[0029]在身份鉴别的过程中,该访问控制与身份鉴别模块可将进行管理的安全角色划分为系统管理员、安全保密管理员和安全审计管理员三种管理员角色,并进一步采用用户名、口令、USB-Key组合机制对用户身份进行鉴别,并对用户鉴别数据进行保密性和完整性保护,防护设备在执行任何与安全功能相关的操作之前都需要对操作者的身份进行鉴别,建立该防护设备与操作者的对应关系,只有授权用户身份合法,才能执行相关的操作。
[0030]另外,在所述访问控制与身份鉴别模块中还可以进一步设置空闲操作时间阈值,当已通过身份鉴别的管理员的空闲操作时间超过该空闲操作时间阈值时,所述访问控制与身份鉴别模块对所述管理员的登录权限进行注销并断开所述管理员的会话操作,并对登录超时事件进行记录,若该管理员需要继续访问操作,则需要重新进行身份鉴别并登录。
[0031]所述通信数据防护模块可以通过配置安全策略,对通信协议类型、数据内容进行匹配审查,只有完全匹配预先设定的白名单时才能进行数据交换,对所述白名单外的通信设备的连接请求予以阻断。
[0032]具体实现中,通过配置安全防护策略,以白名单的方式指定传输数据的协议、类型和NC代码格式。同时按照指定的协议、类型和NC代码格式对待传输数据的内容进行审查,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统,同时阻断非法数据的传输,从而实现对受保护数控系统的数据传输内容过滤功能。
[0033]所述待传输数据包括串口数据、网口数据和USB数据,其中,所述串口数据为通信主/客体之间的RS232串行数据;所述网口数据为通信主/客体之间的以太网数据报文;所述USB数据为通信主/客体之间的通用串行总线数据。
[0034]所述配置管理审计模块,用于进行安全防护策略的配置和解析,设置传输协议、类型和NC代码格式的白名单,并对业务防护/维修/用户操作/攻击行为进行日志记录,同时进行安全管理和数据存储的设置。另外,还可以将USB的通信方式设置为双向通信或是只允许从U盘向数控系统传输文件。
[0035]所记录的日志包括业务防护日志、维修日志、用户操作日志和攻击日志;
[0036]对传输的协议类型、数据类型、内容审查/过滤/交换/阻断、操作内容、维修情况进行记录;同时提供完善的日志属性,包括:事件发生时间、文件名称、协议内容、源/目的MAC、源/目的IP、源/目的端口号、检测结果和事件描述等,还可以提供对日志的条件查询功能。
[0037]如图2所示为本发明实施例所提供防护设备的实现结构示意图,参考图2:该防护设备为基于ARM处理器的嵌入式平台,平台设计充分利用ARM处理器上的外设接口,其中包括用于与所述数控系统进行通信连接的串口和网口,称为数控系统接入通信接口,如图2中的串口 1、网口 I等;以及用于与外部设备进行通信连接的串口、网口和USB口,称为外部设备通信接口,如图2中的串口2、网口2、USB1、USB2等。
[0038]如图3所示为本发明实施例所提供的该防护设备使用时的示意图,在该防护设备的使用过程中,具体可以将数控系统的串口、网口和USB接口与该防护设备的数控系统接入通信接口相连;而DNC服务器、维修计算机、U盘等外部设备与该防护设备的外部设备通信接口相连,操作人员可以利用U盘定期将所述数控系统输入输出接口的数据传输日志复制出来进行分析,从而对该数控系统的日常使用情况进行安全检查。
[0039]由上述技术方案可知,本发明实施例所提供的防护设备与数控系统采用一对一的保护方式,通过对数控系统的网口、串口、USB等接口的全面监控和接管,有效保护数控系统的通信数据安全,阻止异常数据流入数控系统,并阻断利用数控系统进行的一切网络攻击和非法数据窃取行为,保证数控系统与数控加工网络的正常安全运转。
[0040]同时,数控系统的通信接口与防护设备的接口采用直接连接的方式,不需要为数控系统安装任何软件,外部设备与数控系统进行通信时,用户感受不到防护设备的存在,不改变用户对于原有网络和资源的使用方式。
[0041]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
【主权项】
1.一种针对数控系统的通信防护设备,其特征在于,所述防护设备包括: 访问控制与身份鉴别模块,用于通过配置安全防护策略,以白名单的方式指定绑定的源/目的MAC地址、源/目的IP地址、源/目的端口号;利用该访问控制与身份鉴别模块将所述防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能与所述数控系统建立连接,不符合规则的通信端无法与所述数控系统进行通信; 通信数据防护模块,用于通过配置安全防护策略,以白名单的方式指定传输数据的协议、类型和NC代码格式,同时按照指定的协议、类型和NC代码格式对待传输数据的内容进行审查,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统,同时阻断非法数据的传输; 配置管理审计模块,用于进行安全防护策略的配置和解析,设置传输协议、类型和NC代码格式的白名单,设置USB为双向或单向通信;并对业务防护/维修/用户操作/攻击行为进行日志记录,同时进行安全管理和数据存储的设置。2.根据权利要求1所述针对数控系统的通信防护设备,其特征在于, 所述通信数据防护模块还用于通过配置安全策略,对通信协议类型、数据内容进行匹配审查,只有完全匹配预先设定的白名单时才能进行数据交换,并对所述白名单外的通信设备的连接请求予以阻断。3.根据权利要求1或2所述针对数控系统的通信防护设备,其特征在于, 所述访问控制与身份鉴别模块进一步采用用户名、口令、USB-Key组合机制对用户身份进行鉴别,并对用户鉴别数据进行保密性和完整性保护。4.根据权利要求1或2所述针对数控系统的通信防护设备,其特征在于, 所述访问控制与身份鉴别模块进一步设置有空闲操作时间阈值,当已通过身份鉴别的管理员的空闲操作时间超过该空闲操作时间阈值时,所述访问控制与身份鉴别模块对所述管理员的登录权限进行注销并断开所述管理员的会话操作,并对登录超时事件进行记录。5.根据权利要求1所述针对数控系统的通信防护设备,其特征在于,所述待传输数据包括串口数据、网口数据和USB数据,其中: 所述串口数据为通信主/客体之间的RS232串行数据; 所述网口数据为通信主/客体之间的以太网数据报文; 所述USB数据为通信主/客体之间的通用串行总线数据。6.根据权利要求1所述针对数控系统的通信防护设备,其特征在于,所述配置管理审计模块所记录的日志包括业务防护日志、维修日志、用户操作日志和攻击日志; 并对传输的协议类型、数据类型、内容审查/过滤/交换/阻断、操作内容、维修情况进行记录; 同时提供完善的日志属性,包括:事件发生时间、文件名称、协议内容、源/目的MAC、源/目的IP、源/目的端口号、检测结果和事件描述。7.根据权利要求1所述针对数控系统的通信防护设备,其特征在于, 所述防护设备为基于ARM处理器的嵌入式平台,具体包括用于与所述数控系统进行通信连接的串口、网口和USB接口,称为数控系统接入通信接口 ; 以及用于与外部设备进行通信连接的串口、网口和USB口,称为外部设备通信接口。
【文档编号】H04L29/06GK105978871SQ201610302617
【公开日】2016年9月28日
【申请日】2016年5月9日
【发明人】赵甫, 王琦魁, 宋永立
【申请人】北京航天数控系统有限公司