一种工业控制系统的可信网关系统的制作方法
【专利摘要】本实用新型提供一种工业控制系统的可信网关系统,能够解决工业网络外联面临的安全问题。所述系统包括:可信网关和工控机,其中,所述可信网关包括:可信网关安全控制单元、内网通信单元、外网通信单元;可信网关安全控制单元,用于对内网通信单元发送的工业控制系统数据信息进行入侵检测和深度数据包检测,判断工业控制系统是否发生异常,若是,则产生报警信息,并对发来的工业控制系统数据信息进行加密、协议转换,并将协议转换后的信息发送至外网通信单元;工控机,用于对接收到工业控制系统数据信息进行解密,并根据解密后的工业控制系统数据信息发出控制指令对工业控制系统进行控制。本实用新型适用于工业控制系统信息安全技术领域。
【专利说明】
一种工业控制系统的可信网关系统
技术领域
[0001]本实用新型涉及工业控制系统信息安全技术领域,特别是指一种工业控制系统的可信网关系统。
【背景技术】
[0002]近年来,以太网技术的传递速率和实时性随其自身的发展得到了大幅度的提高,这也使其逐步的应用到工业控制网络中,使现场总线型网络技术与以太网型网络技术自然而然的结合在一起。以太网带给传统工业的巨大利好时,信息安全这个过去与工业领域鲜有关联的问题却凸显在所有人的面前,给工业信息网络和核心设备带了严重的破坏。
[0003]工业网络安全,与传统的商业网络不同,工业网络之间面对的是现场工作人员和工作设备,即使是微小的误差也可能引起工业网络的崩溃,导致难以估量的生命财产损失。
[0004]国内外工业企业管理网络对工业控制系统的相关数据并没有做到完全的安全防护,甚至没有安全防护措施,这给工业网络带来了严重的威胁。
【实用新型内容】
[0005]本实用新型要解决的技术问题是提供一种工业控制系统的可信网关系统,以解决现有技术所存在的工业控制系统数据传输安全性低的问题。
[0006]为解决上述技术问题,本实用新型实施例提供一种工业控制系统的可信网关系统,包括:可信网关和与所述可信网关连接的工控机,其中,所述可信网关包括:可信网关安全控制单元、与工业控制系统和可信网关安全控制单元进行通信的内网通信单元、与工控机和可信网关安全控制单元进行通信的外网通信单元;
[0007]所述可信网关安全控制单元,用于对内网通信单元发送的工业控制系统数据信息进行入侵检测和深度数据包检测,判断工业控制系统是否发生异常,若是,则产生报警信息,并对发来的工业控制系统数据信息进行加密、协议转换,并将协议转换后的信息发送至外网通信单元;
[0008]所述可信网关安全控制单元,还用于对外网通信单元发送的控制指令进行入侵检测和深度数据包检测,判定所述指令是否异常,若是,则丢弃该指令并产生报警信息,否则,对该指令进行协议转换,并将协议转换后的指令发送至内网通信单元;
[0009]所述工控机,用于对接收到工业控制系统数据信息进行解密,并根据解密后的工业控制系统数据信息发出控制指令对工业控制系统进行控制。
[0010]进一步地,所述可信网关系统还包括:报警日志管理器,所述可信网关还包括:RS232接口 ;
[0011]所述可信网关安全控制单元,还用于通过所述RS232接口将产生的报警信息发送至报警日志管理器;
[0012]所述报警日志管理器,用于根据接收到的报警信息进行实时报警,并对所述报警信息进行存储。
[0013]进一步地,所述工控机包括:数据库;
[0014]所述工控机,还用于对接收到的工业控制系统的数据信息进行显示并存储。
[0015]进一步地,所述可信网关还包括:第一RJ45以太网接口;
[0016]所述内网通信单元利用所述第一 RJ45以太网接口通过工业以太网与工业控制系统进行连接;
[0017]所述内网通信单元与工业控制系统之间通过UDP/IP组播进行数据通信。
[0018]进一步地,所述可信网关还包括:第二RJ45以太网接口;
[0019]所述外网通信单元通过所述第二 RJ45以太网接口与以太网进行连接;
[0020]所述外网通信单元与以太网之间通过标准的TCP/IP协议进行数据通讯。
[0021]进一步地,所述可信网关还包括:光耦隔离单元;
[0022]所述光耦隔离单元,用于将内网通信单元获取到的工业控制系统数据信息与工业控制现场原始的数据信息进行隔离。
[0023]进一步地,所述可信网关安全控制单元包括:USB硬件加密模块;
[0024]所述USB硬件加密模块:用于对获取到的工业控制系统数据信息进行加密。
[0025]进一步地,所述可信网关安全控制单元包括:协议转换模块;
[0026]所述协议转换模块,用于将工业控制系统的UDP组播内的工业控制系统私有协议解析转换为TCP/IP协议;或者,将以太网的TCP/IP协议转换为工业控制系统私有协议。
[0027]进一步地,所述可信网关安全控制单元包括:深度数据包检测模块;
[0028]所述深度数据包检测模块,用于结合通信协议对工业控制系统数据信息或外部控制指令进行比对分析,检测出异常的工业控制系统数据信息或指令。
[0029]进一步地,所述可信网关还包括:USB接口;
[0030]通过所述USB接口将工业控制系统数据信息拷贝/写入到USB存储设备中。
[0031 ]本实用新型的上述技术方案的有益效果如下:
[0032]上述方案中,对内网通信单元发送的工业控制系统数据信息进行入侵检测和深度数据包检测,判断工业控制系统是否发生异常,若是,则产生报警信息,并对发来的工业控制系统数据信息进行加密、协议转换,并将协议转换后的信息发送至外网通信单元,最后,通过工控机对接收到工业控制系统数据信息进行解密,并根据解密后的工业控制系统数据信息发出控制指令对工业控制系统进行控制;对外网通信单元发送的控制指令进行入侵检测和深度数据包检测,判定所述指令是否异常,若是,则丢弃该指令并产生报警信息,否则,对该指令进行协议转换,并将协议转换后的指令发送至内网通信单元。这样,对工业控制系统数据信息进行入侵检测、深度数据包检测、加密、同时将加密后的工业控制系统数据信息接入到以太网,能够在不改变原有工业控制系统布局的前提下,即插即用,实现工控网络由现场总线分布控制,便捷安全的接入到以太网,实现工控网络和信息网络的有机融合,从而有效解决了工业网络外联面临的安全问题。
【附图说明】
[0033]图1为本实用新型实施例提供的工业控制系统的可信网关系统的结构示意图一;
[0034]图2为本实用新型实施例提供的工业控制系统的可信网关系统的应用示意图一;
[0035]图3为本实用新型实施例提供的可信网关的接口示意图;
[0036]图4为本实用新型实施例提供的工业控制系统的可信网关系统的应用示意图二。
【具体实施方式】
[0037]为使本实用新型要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0038]本实用新型针对现有的工业控制系统数据传输安全性低的问题,提供一种工业控制系统的可信网关系统。
[0039]如图1所示为本实用新型实施例提供的一种工业控制系统的可信网关系统,其特征在于,包括:可信网关和与所述可信网关连接的工控机,其中,所述可信网关包括:可信网关安全控制单元、与工业控制系统和可信网关安全控制单元进行通信的内网通信单元、与工控机和可信网关安全控制单元进行通信的外网通信单元;
[0040]所述可信网关安全控制单元,用于对内网通信单元发送的工业控制系统数据信息进行入侵检测和深度数据包检测,判断工业控制系统是否发生异常,若是,则产生报警信息,并对发来的工业控制系统数据信息进行加密、协议转换,并将协议转换后的信息发送至外网通信单元;
[0041]所述可信网关安全控制单元,还用于对外网通信单元发送的控制指令进行入侵检测和深度数据包检测,判定所述指令是否异常,若是,则丢弃该指令并产生报警信息,否则,对该指令进行协议转换,并将协议转换后的指令发送至内网通信单元;
[0042]所述工控机,用于对接收到工业控制系统数据信息进行解密,并根据解密后的工业控制系统数据信息发出控制指令对工业控制系统进行控制。
[0043]本实用新型实施例所述的工业控制系统的可信网关系统,对内网通信单元发送的工业控制系统数据信息进行入侵检测和深度数据包检测,判断工业控制系统是否发生异常,若是,则产生报警信息,并对发来的工业控制系统数据信息进行加密、协议转换,并将协议转换后的信息发送至外网通信单元,最后,通过工控机对接收到工业控制系统数据信息进行解密,并根据解密后的工业控制系统数据信息发出控制指令对工业控制系统进行控制;对外网通信单元发送的控制指令进行入侵检测和深度数据包检测,判定所述指令是否异常,若是,则丢弃该指令并产生报警信息,否则,对该指令进行协议转换,并将协议转换后的指令发送至内网通信单元。这样,对工业控制系统数据信息进行入侵检测、深度数据包检测、加密、同时将加密后的工业控制系统数据信息接入到以太网,能够在不改变原有工业控制系统布局的前提下,即插即用,实现工控网络由现场总线分布控制,便捷安全的接入到以太网,实现工控网络和信息网络的有机融合,从而有效解决了工业网络外联面临的安全问题。
[0044]本实用新型实施例中,所述工业控制系统包括:工控设备/工业现场设备、工业现场传感器等,所述工业控制系统数据信息包括:工业现场设备的数据信息、工业现场传感器采集到的信息、采集到的现场环境信息。
[0045]本实用新型实施例中,所述可信网关可以是基于ARM-cortex8架构AM335x核心处理芯片的四层硬件电路,利用标准以太网接口实现对工业控制系统数据信息进行采集,并利用标准的以太网遵循IEEE 802.3标准实现与以太网的通信,从而实现网络数据的输入输出功能、标准的TCP/IP和UDP/IP功能。本实用新型实施例中,所述可信网关包括:内网通信单元、可信网关安全控制单元、外网通信单元,其中,内网通信单元、可信网关安全控制单元和外网通信单元依次通过数据流连接。
[0046]本实用新型实施例中,所述外网通信单元与以太网或者通讯主机(如:工控机)相连,所述外网通信单元包括:通讯功能、TCP网络服务器配置以及日志记录,用于标准的TCP/IP协议以太网通讯;所述内网通信单元与工业控制系统相连,所述内网通信单元包括:通讯功能、UDP组播配置和日志记录,用于实现工业控制系统UDP组播通讯。这样,通过所述外网通信单元和内网通信单元进而实现可信网关的以太网双向通讯。
[0047]本实用新型实施例中,如图2所示,所述可信网关安全控制单元包括:USB硬件加密模块、入侵检测模块、深度数据包检测模块、报警模块和协议转换模块;其中:
[0048]所述USB硬件加密模块集成USB接口硬件加密芯片,所述USB接口硬件加密芯片可以采用32位RISC 0?1]为核心处理器,内部集成公钥(3]?2、1?440:)、分组(3]\11、3]^4、33?33、DES/3DES、AES)和散列(SM3、SHA-1、SHA-256)等三类多种加密引擎算法,覆盖了国际和国内标准的主流加密算法,完全满足工控网络数据安全加密和远程身份认证的需求,从而能够实现工业控制系统数据信息的加密操作。且所述USB接口硬件加密芯片,利用USB接口进行数据交互,通讯协议可以采用USB2.0全速协议,通讯速率可达12Mps,在实现了数据加密和身份认证的同时节省了可信网关的运行空间,方便、效率高。
[0049]所述入侵检测模块是基于snort入侵检测系统,实时监听网络数据包检测网络入侵行为,一旦发现网络入侵行为马上通过报警模块将报警信息记录显示,并且将报警信息发送出去。
[0050]所述深度数据包检测模块是根据工业要求,结合通信协议对网络数据包进行比对分析,对有违背工艺控制过程的控制指令、指令组合、恶意修改敏感变量,关键数据异常进行检测,一旦发现网络入侵行为马上通过报警模块将报警信息记录显示,并且将报警信息发送出去,从底层防护设备的安全,更具有针对性和实用性。
[0051 ]所述协议转换模块,用于将工业控制系统(内网)的UDP组播内的工业控制系统私有协议解析转换为常用协议转换成TCP/IP协议传输,或者将以太网的TCP/IP协议转换为工业控制系统私有协议,从而保证了工业网络的独立性和完整性,具有强大的数据处理和协议交换能力。
[0052]本实用新型实施例中,所述可信网关安全控制单元还可以包括:访问控制模块,所述访问控制模块,可以采用权限分级和网络白名单,限制接入工业控制系统的网络地址IP和网络端口,仅允许规定的地址接入设备,同时进行用户权限分级和用户权限认证,不同的用户拥有不同的控制权限,禁止越权访问。
[0053]本实用新型实施例中,所述可信网关还设有工业控制系统级I/O口对工业现场传感器信息、工业现场环境信息进行采集。如图3所示,所述可信网关还包括:两个IEEE 802.3标准的千兆以太网RJ45接口(包括:第一RJ45以太网接口和第二RJ45以太网接口,两个RJ45以太网接口是由两个AR8031千兆网络芯片扩展出来的),两路RS232串行通讯接口(串口O用于连接报警日志管理器传输报警信息,串口 I用于连接工控机进行网关参数配置,两路RS232串行通讯接口是由MAX3232芯片扩展出来的),一路RS485串行通讯接口,三路USB接口,光耦隔离I/O口,CAN总线接口,从而可以有效地应对多种设备接口的连接的要求,实现通信功能的扩展。
[0054]本实用新型实施例中,如图4所示,所述内网通信单元利用可信网关上的第一RJ45以太网接口通过工业以太网与工业控制系统相连接,所述内网通信单元与工业控制系统之间利用UDP/IP组播进行数据通信。所述内网通信单元与工业控制系统连接后设置UDP组播地址与端口,配置网络连接实现UDP/IP组播。
[0055]本实用新型实施例中,所述外网通信单元通过可信网关上的第二RJ45以太网接口与以太网进行连接,所述外网通信单元与以太网之间利用标准的TCP/IP协议进行数据通信。所述外网通信单元与以太网连接后配置网关服务器地址与端口,以便与工控机进行连接。
[0056]本实用新型实施例中,所述可信网关还包括:光耦隔离单元;所述光耦隔离单元通过光耦隔离I/O 口接入可信网关,所述光耦隔离单元可以为PS2801-4光耦隔离芯片,用于将内网通信单元获取到的工业控制系统数据信息与工业控制现场原始的数据信息隔离开来,保证了可信网关系统和工业控制现场传输信号互补干扰,从而保证了可信网关系统的稳定性。
[0057]本实用新型实施例中,还可以通过可信网关的USB接口将工业控制系统数据信息拷贝/写入到USB存储设备中。
[0058]本实用新型实施例中,当网络被入侵时以太网接数据将不再可信,为防止可信网关系统产生的报警信息被入侵者篡改或者报警信息的丢失,所述可信网关系统还包括:报警日志管理器;所述可信网关安全控制单元通过RS232接口(串口O)将产生的报警信息发送至报警日志管理器;由所述报警日志管理器根据接收到的报警信息进行实时报警,并对所述报警信息进行存储备份,从而防止网络被攻击时数据被篡改、无法传输或丢失。
[0059]本实用新型实施例中,所述工控机不仅对接收到工业控制系统数据信息进行解密,并根据解密后的工业控制系统数据信息发出控制指令对工业控制系统进行控制,还可以对解密后的工业控制系统数据信息进行数据监控、显示及存储到数据库中。
[0060]本实用新型实施例中,例如,所述工业控制系统可以为DCS工业控制系统,如图2所示为该可信网关系统的应用系统,通过可信网关可以接收DCS工业控制系统的数据并进行控制。工控机需要插上与USB硬件加密模块配对的USBKEY解密芯片进行工业控制系统数据信息的解密工作。
[0061]本实用新型实施例中,可信网关系统启动后,可信网关的外网通信单元、可信网关安全控制单元、内网通信单元和报警功能都将启动,其中,可信网关安全控制单元将进行必要的安全防护。内网通信单元连接DCS工业控制系统,采集DCS工业控制系统的实时数据。采集到的DCS工业控制系统数据信息通过数据流进入snort入侵检测系统及深度数据包检测模块,检测DCS工业控制系统运行是否发生异常,若发生异常则产生报警信息,并且通过可信网关的RS232接口将报警信息传输给报警日志管理器以便进行及时的安全处理;接着,数据流进入USB硬件加密模块,进行数据加密工作,加密完成后,数据流进入协议转换模块将UDP数据段内封装的私有协议,解析转换成TCP/IP协议,数据流进入外网通信单元,将数据流传输到以太网,工控机接收以太网数据,实时显示进行数据监控并存储至数据库。
[0062]本实用新型实施例中,工控机发出的外部控制指令进入所述可信网关时,外网通信单元接收所述指令(数据流)后,将数据流送入snort入侵检测系统,一旦发现入侵行为,丢弃数据包,并马上通过报警模块将报警信息记录显示,并且利用可信网关的RS232串口将报警信息传输给报警日志管理器以便进行及时的安全处理,之后,正常的指令,进入深度数据包检测模块,结合通信协议对数据变量进行比对分析,对有违背工艺控制过程的控制指令、指令组合、有恶意修改敏感变量,关键数据异常进行检测,之后,正常的数据流进入协议转换模块,根据已解析的DCS工业控制系统通信私有协议,将标准以太网数据转换过程DCS内部私有协议,并通过UDP/IP组播将控制指令送入DCS设备。
[0063]以上所述是本实用新型的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本实用新型所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本实用新型的保护范围。
【主权项】
1.一种工业控制系统的可信网关系统,其特征在于,包括:可信网关和与所述可信网关连接的工控机,其中,所述可信网关包括:可信网关安全控制单元、与工业控制系统和可信网关安全控制单元进行通信的内网通信单元、与工控机和可信网关安全控制单元进行通信的外网通信单元; 所述可信网关安全控制单元,用于对内网通信单元发送的工业控制系统数据信息进行入侵检测和深度数据包检测,判断工业控制系统是否发生异常,若是,则产生报警信息,并对发来的工业控制系统数据信息进行加密、协议转换,并将协议转换后的信息发送至外网通信单元; 所述可信网关安全控制单元,还用于对外网通信单元发送的控制指令进行入侵检测和深度数据包检测,判定所述指令是否异常,若是,则丢弃该指令并产生报警信息,否则,对该指令进行协议转换,并将协议转换后的指令发送至内网通信单元; 所述工控机,用于对接收到工业控制系统数据信息进行解密,并根据解密后的工业控制系统数据信息发出控制指令对工业控制系统进行控制。2.根据权利要求1所述的工业控制系统的可信网关系统,其特征在于,所述可信网关系统还包括:报警日志管理器,所述可信网关还包括:RS232接口 ; 所述可信网关安全控制单元,还用于通过所述RS232接口将产生的报警信息发送至报警日志管理器; 所述报警日志管理器,用于根据接收到的报警信息进行实时报警,并对所述报警信息进行存储。3.根据权利要求1所述的工业控制系统的可信网关系统,其特征在于,所述工控机包括:数据库; 所述工控机,还用于对接收到的工业控制系统的数据信息进行显示并存储。4.根据权利要求1所述的工业控制系统的可信网关系统,其特征在于,所述可信网关还包括:第一RJ45以太网接口 ; 所述内网通信单元利用所述第一 RJ45以太网接口通过工业以太网与工业控制系统进行连接; 所述内网通信单元与工业控制系统之间通过UDP/IP组播进行数据通信。5.根据权利要求1所述的工业控制系统的可信网关系统,其特征在于,所述可信网关还包括:第二 RJ45以太网接口; 所述外网通信单元通过所述第二 RJ45以太网接口与以太网进行连接; 所述外网通信单元与以太网之间通过标准的TCP/IP协议进行数据通讯。6.根据权利要求1所述的工业控制系统的可信网关系统,其特征在于,所述可信网关还包括:光親隔离单元; 所述光耦隔离单元,用于将内网通信单元获取到的工业控制系统数据信息与工业控制现场原始的数据信息进行隔离。7.根据权利要求1所述的工业控制系统的可信网关系统,其特征在于,所述可信网关还包括:USB接口; 通过所述USB接口将工业控制系统数据信息拷贝/写入到USB存储设备中。
【文档编号】G05B19/418GK205670253SQ201620239838
【公开日】2016年11月2日
【申请日】2016年3月25日
【发明人】戎豫, 金良辰, 马绍彪, 张洪利
【申请人】北京辰极国泰科技有限公司