专利名称:一种具有协议转换功能的单向隔离网闸的制作方法
技术领域:
本发明属于发电厂信息系统的计算机网络技术领域,尤其属于一种网络隔离技术领域。
背景技术:
火电厂厂级监控信息系统(Supervisory Information System,简称SIS)的出现, 使得电力企业的生产过程逐步实现了管控一体化,各种信息孤岛通过网络实现了互联, 极大的方便了生产的控制和管理。但是在SIS逐步发展完善过程中也发现了不少亟待完 善的地方,主要体现在以下几个方面。一、 下层控制系统与SIS系统的联接难以保证双网结构为保证工业过程数据的完整性和安全性,SIS系统的网络结构一般都设计为冗余双 网结构(见附图l),即在SIS系统内部保证双网结构,硬件方面体现为SIS内网安装群 集服务器(或容错服务器)、两台核心交换机,服务器双网卡绑定连接等;而数据源侧 设计为每台接口机均与一控制网络(如分散控制系统DCS、远程终端控制系统RTU、输 煤、化水等)相连,完成与下层控制网络及SIS内网的通讯;SIS网络和管理信息系统 (Management Information System,简称MIS)网络之间安装一台单向网络隔离装置, 由单向隔离装置保证数据的单向传输,从而保证生产网络的安全。所有设备均通过SIS 内网两台核心交换机完成通讯。按照目前的这种实施方案,SIS网络内部保证了双网的冗余结构,与MIS网络之间 基本也能够保证数据单向传输。但是在不同网络连接的部分,仍存在潜在的问题。工程 实际中,由于控制系统一般只给SIS系统留一个数据接口,即实际上每一控制系统仅与 一台核心交换机相连,即附图1中标号为1的线集实际上是没有联接的。 一旦该连接出 现故障,整个SIS系统就失去了数据源。目前工程中出现这种问题,只能靠人为去解决, 比如重新接线等。二、 接口设备没有完全切断数据回写的可能性其次,由于下层控制网络形式很多,不同厂家通讯协议迥异,协议转换功能基本都 是由接口设备上加载的接口软件实现的,并没有切断物理链路,因而不能完全排除数据 回写的可能性,其本身存在着一定的安全隐患。目前SIS与DCS、 SIS与MIS之间的网络安全隔离设备主要有硬件防火墙和物理隔离网闸(网闸)两种。防火墙是内网或下层网络(信任网络)与外网或上层网络(非信 任网络)间最常用的安全隔离手段,物理隔离技术则是近几年才出现的高强度的完全防 护技术。防火墙的优点是技术成熟、适用性强、效率高、可选择性好、使用维护方便;不足 之处是不能彻底避免安全漏洞,无法防御由于应用程序安全隐患带来的问题,无法抵御 病毒和未知的攻击,也不能完全满足电力监控系统等核心系统和敏感信息的安全和保密需求o物理隔离装置技术的优点是采用物理隔离技术,安全强度高(绝对隔离),没有穿透性传输协议(TCP)直接链接,能真正做到防攻击、防病毒,针对性很强。但其缺点 是价格普遍较高、通讯速率受限、使用维护较复杂,必须针对具体设备专门开发和改造 通讯程序。有些类似OPC等标准接口将无法采用。三、目前市场上常用的单向隔离装置性能及功能不能完全满足需求 另外,由于目前市场上使用的单向隔离装置, 一般都不支持双网卡,导致SIS内网 到外网事实上已经变成了单网(即附图1中的标号为2的联结是不存在的), 一旦该连 接(单网)出现故障,SIS数据向外传输的通路也就中断了,对系统运行也是不利的。 而且,目前市场上的单向隔离装置都存在着一定局限性,对目前SIS系统中常用数据库 的镜像数据传输支持有限(没有单独的接口,必须由集成商或用户单独开发接口程序), 影响了系统数据传输的速率,对使用者来说也是不方便的。SIS系统网络安全性问题日益突出,由于SIS系统直接连接到发电厂全厂的各个控 制系统,SIS系统的安全性极大程度上影响到发电厂全厂的安全生产,因此必须探讨一 种更为安全可靠的SIS网络安全机制。本发明提出的具有协议转换功能的一体化隔离网 通设备在满足原有网络功能基础上,增加新的功能,提出了一套方便适时地解决方案。发明内容根据以上背景分析,目前SIS系统实施中普遍采用的网络隔离方案难以实现整体隔离的目标,其根本原因在于1) 现有的网闸产品由于仅仅考虑了隔离的功能,没有针对SIS系统中常用的实时 数据库数据传输的专门接口,给工程实施带来很大的困难;2) 现有的网闸产品不能与核心交换机实现双网冗余的联接;3) 下层控制系统接口采集软件没有从硬件上割断数据回写的可能。 针对以上的问题本发明提出了下述技术方案一种具有协议转换功能的单向隔离网闸,用于发电厂不同安全等级网络系统之间的数据单向传输和安全隔离,其特征为-所述单向隔离网闸包括第一微处理器系统ARM1、先进先出存储器FIFO和第二微处 理器系统ARM2;下层网络数据输入到第一微处理器系统ARM1,第一微处理器系统ARM1 对其所接收的数据进行安全性检测、并由集成在第一微处理器系统ARM1中的协议转换 器根据协议类型、通讯模式及数据类型进行转换,转换为标准的TCP或UDP通讯方式, 并按照先入先出队列传输到先进先出存储器FIFO的输入端口,所述第二微处理器系统 ARM2的输入与先进先出存储器FIFO的输出端口相连,由第二微处理器系统ARM2读取先 进先出存储器FIFO中的数据,并将所读取的数据传输至上一层发电厂网络系统,所述 第一微处理器系统ARM1只能向先进先出存储器FIFO写入数据,所述第二微处理器系统 ARM2只能从先进先出存储器FIFO读取数据,所述先进先出存储器FIFO具有单向传输物 理特性,在物理层面上保证了数据的单向传输。本发明的单向隔离网闸在保证安全网通单向隔离基本功能基础上,首先增加协议转换模块,该模块为应用层次的软件系统,支持0PC、 IEC870-5-101、 IEC870-5-104等电 力行业标准协议转化,可完全替代"接口机"或"接口机+防火墙"的工作模式。同时, 由于该协议转换具有可开发性,集成了对市场上主要实时历史数据库的支持,适应性更 广,理论上协议转换器可支持所有实时数据库的镜像数据迁移。另外,安全网通单向 隔离装置因采用了服务器双网卡技术,首先在硬件上内、外两侧分别增加一个以太网口, 通过网卡绑定软件实现两块网卡的绑定,从而实现安全网闸与核心交换机及群集服务器 的连接,真正实现了 SIS系统这个系统的双网冗余。本发明提出的单向隔离网闸因兼具接口机、隔离器的功能,从根本上解决了下层接 口采集程序的不安全因素,同时由于采用一台安全网闸可取代原来接口机、隔离器或接 口机、防火墙两台设备,在最大限度保证安全性的同时,降低了用户的设备采购、工程 实施和维护成本,具有良好的经济效益。服务器双网卡技术的支持则实现了安全隔离网 闸与核心交换机的连接,真正实现了双网结构,系统稳定性、可靠性均有大幅度的提高, 同时由于集成了协议转换功能软件也降低了使用者的工作量,方便性大大增强。
图1为现有技术中SIS系统的网络结构示意图; 图2为使用本发明安全网闸的SIS网络拓扑图; 图3为FIFO工作原理图; 图4为本发明安全网闸硬件组成示意图。附图标记说明1- 普通网闸;2- GPS;3- 打印机;4- 磁盘阵列;5- MIS客户端;6- 防火墙;7- 路由器;8- 短信息中心;9- 本发明安全网闸;11-18为不同的下层控制系统;21-28为分别与各个下层控制系统通讯的接口机;31-32为冗余设计的两个核心交换机;41-42-数据库服务器;43, 44, 46为3个应用服务器;45为镜像服务器。
具体实施方式
下面根据说明书附图,结合优选实施例对本发明的技术方案进一步详细说明。尤其 需要说明的是,本发明提出的单向隔离网闸可作为信任网络(安全级别较高的下层网络) 与非信任网络(安全级别较低上层网络)之间的单向通讯隔离装置,因此可同时适用于 下层控制系统(如DCS)与SIS系统之间、SIS系统与MIS系统之间。在前一种应用场 合下,DCS安全级别较高,SIS安全级别较低,则DCS侧为内网(下层网络),SIS侧为 外网(上层网络)。同理,在后一种应用场合下,SIS侧为内网(下层网络),MIS侧为 外网(上层网络)。如图1所示,为现有技术中SIS系统的网络结构示意图。下层控制系统及应用于 SIS系统与MIS系统之间的单向隔离装置都必须通过两根接线分别连接到SIS内网的两 台核心交换机,方能保证冗余的网络结构。而实际上控制系统一般只给SIS系统一个网 络接口,而市场上现有的单向隔离装置基本都不支持服务器双网卡技术,只能连接到一 台核心交换机,因此不能保证网络的冗余结构,也就不能保证系统稳定性。应用本发明的单向隔离网闸整体隔离的典型SIS网络结构见附图2,发电厂分散控 制系统DCS、远程终端控制系统RTU、脱硫、除灰、化水、辅控等控制系统根据其与SIS 机房的远近关系,分别铺设一根电缆或光缆连接到一个本发明提出的单向隔离网闸上,由于单向隔离网闸支持服务器双网卡因此可分别连接到SIS系统两台核心交换机器上。一旦某一台核心交换机宕机,另一台交换机接管工作。只要安全网通网卡正常工作,控制系统数据仍然可以通过安全网通传送至SIS网络的内网实时数据库。SIS内网两台冗余数据库服务器分别连接到核心交换机,并通过磁盘阵列相连,并通过另一个单向网闸与电厂管理信息系统MIS的镜像服务器相连,从而实现分散控制系统DCS与厂级信息监 控系统SIS之间及厂级信息监控系统SIS与电厂信息管理系统MIS之间数据的单向传输、 安全隔离和SIS系统的双网冗余。图3表示出了先进先出存储器(First-In-First-Out)的工作原理,先进先出存储 器有两个相对独立的端口, 一个作为输入端口 (写端口),另一个作为输出端口 (读端 口)。当存储器非全满状态时,输入端允许将数据高速存入存储器, 一直到数据存满为 止。只要存储器中有数据存在,就允许按着"先进先出"原则,依次把存储器内容通过 缓存区输出。由于FIFO具有的单向传输物理特性,在物理层面上保证了数据的单向传 输,从而实现了内外网的单向隔离。如图4所示为本发明提出的单向隔离网闸的硬件组 成示意图,本发明公开的单向隔离网闸包括第一微处理器系统ARM1、先进先出存储器 FIF0和第二微处理器系统A賜2;下层网络数据输入到第一微处理器系统ARM1,第一微 处理器系统ARMl对其所接收的数据进行安全性检测、并由集成在第一微处理器系统 ARMl中的协议转换器根据协议类型、通讯模式及数据类型进行转换,转换为标准的TCP 或UDP通讯方式,并按照先入先出队列传输到先进先出存储器FIFO的输入端口,所述 第二微处理器系统ARM2的输入与先进先出存储器FIF0的输出端口相连,由第二微处理 器系统ARM2读取先进先出存储器FIFO中的数据,并将所读取的数据传输至上一层发电 厂网络系统,所述第一微处理器系统ARMl只能向先进先出存储器FIFO写入数据,所述 第二微处理器系统ARM2只能从先进先出存储器FIFO读取数据,所述先进先出存储器 FIFO具有单向传输物理特性,在物理层面上保证了数据的单向传输。所述的协议转换器支持OPC、 IEC870-5-101、 IEC870-5-104等电力行业常用的标准 协议转化。该协议转换器还具有可开发性,理论上可支持所有主流实时数据库的镜像数 据迁移。通常,协议转换器(协议转换功能模块)有两种实现方式, 一种是独立安装在下层 控制系统通讯站(如附图1中的11-18)上,另一种是集成在ARMl系统内。用户在实施 时应根据实际采用的通讯规约,选择具体的实现方式。对于OPC等不支持Linux系统的 通讯规约,协议转换模块采用第一种方式。具体工作过程独立安装的协议转换模块按 照规约定义的数据格式、读取规则完成数据采集,打包,并以TCP或UDP的方式发送给 本发明所述的单向隔离网闸。本发明所述单向隔离网闸的第一微处理器系统ARMl中集成的系统软件以标准的TCP或UDP通讯方式接收下层控制系统传来的数据包,对其进行 安全性检测,并按照先入先出队列传输到先进先出存储器FIFO的输入端口,所述第二 微处理器系统ARM2的输入与先进先出存储器FIF0的输出端口相连,由第二微处理器系 统ARM2中集成的系统软件读取先进先出存储器FIFO中的数据,并将所读取的数据以标 准的TCP或UDP通讯方式传输至上一层发电厂网络系统(如SIS系统实时历史数据库)。对支持Linux系统的通讯规约,由集成ARM1中协议转换器按照规约定义的数据格 式、读取规则完成数据采集、打包、安全性检测,并按照先入先出队列传输到先进先出 存储器FIFO的输入端口,所述第二微处理器系统ARM2的输入与先进先出存储器FIFO 的输出端口相连,由第二微处理器系统ARM2中集成的系统软件读取先进先出存储器 FIFO中的数据,并将所读取的数据以标准的TCP或UDP通讯方式传输至上一层发电厂网 络系统(如SIS系统实时历史数据库)。本发明公开的单向隔离网闸还包括第一网络信号通过物理层驱动PHY1、第二网络信 号通过物理层驱动PHY2;内网(安全级别较高)的网络信号通过物理层驱动PHY1,由 集成在ARM1芯片内部的MAC层MAC1接收,然后通过集成在第一微处理器系统ARM1中 的协议转换器进行根据协议类型、通讯模式及数据类型的转换,最后通过集成在第一微 处理器系统ARM1中的第一微处理器CPU1将转换后的数据传送到先进先出存储器FIFO; 第二微处理器系统ARM2中的第二微处理器CPU2从先进先出存储器FIFO中读出数据并 传送到第二微处理器系统ARM2中的第二 MAC层MAC2,通过第二网络信号通过物理层驱 动PHY2将网络信号传输到上一层网络。单向隔离网闸通过CPU1将数据写入FIF0, FIFO将全满(FF)和全空(EF)标志回 送到ARM1,将半满标志(HF)送到ARM2, ARM1通过FF和EF标志决定是否往FIFO写入 数据,ARM2通过HF标志决定是否从FIFO中读出数据,硬件设计可以保证ARM1只能往 FIFO中写入数据,不能读出数据,ARM2只能从FIFO中读出数据,不能写入数据。ARM2 的CPU2将读出的数据传送到集成在ARM芯片内部的MAC层MAC2,然后通过物理层驱动 PHY2将网络信号传输到外网。内网侧和外网侧(安全级别较低的一侧)电路是完全独立的,包括电源、时钟、复 位电路、FLASH和SDRAM等。每一侧ARM各有一个独立的RS-232接口 ,用于同时对两侧 ARM进行调试。本发明的单向隔离网闸支持设备双网卡绑定以实现与两台核心交换机连接完成通 讯,保证了数据库服务器与镜像服务器之间、数据库服务器与下层控制系统之间数据传 输的双网冗余结构。如图2所示,本发明的具有协议转换功能的单向隔离网闸可用于分 散控制系统DCS与厂级信息监控系统SIS之间及厂级信息监控系统SIS与信息管理系统MIS之间数据的单向传输和安全隔离。以上给出的实施例用以说明本发明和它的实际应用,并且因此使得本领域的技术人 员能够做出和使用本发明。但这仅仅是一个较佳的实施例,并非对本发明作任何形式上 的限制,任何一个本专业的技术人员在不偏离本发明技术方案的范围内,依据以上技术 和方法作一定的修饰和变更当视为等同变化的等效实施例。
权利要求
1、一种具有协议转换功能的单向隔离网闸,用于发电厂不同安全等级网络系统之间的数据单向传输和安全隔离,根据安全等级的高低,发电厂网络系统分为下层网络和上层网络,其特征为所述单向隔离网闸包括第一微处理器系统(ARM1)、先进先出存储器(FIFO)和第二微处理器系统(ARM2);下层网络数据输入到第一微处理器系统(ARM1),第一微处理器系统(ARM1)对其所接收的数据进行安全性检测、并由集成在第一微处理器系统(ARM1)中的协议转换器根据协议类型、通讯模式及数据类型进行转换,转换为标准的TCP或UDP通讯方式,并按照先入先出队列传输到先进先出存储器(FIFO)的输入端口,所述第二微处理器系统(ARM2)的输入与先进先出存储器(FIFO)的输出端口相连,由第二微处理器系统(ARM2)读取先进先出存储器(FIFO)中的数据,并将所读取的数据传输至上一层发电厂网络系统,所述第一微处理器系统(ARM1)只能向先进先出存储器(FIFO)写入数据,所述第二微处理器系统(ARM2)只能从先进先出存储器(FIFO)读取数据,所述先进先出存储器(FIFO)具有单向传输物理特性,在物理层面上保证了数据的单向传输。
2、 根据权利要求1所述的具有协议转换功能的单向隔离网闸,其特征为所述单 向隔离网闸还包括第一网络信号通过物理层驱动(PHY1)、第二网络信号通过物理层驱 动(PHY2);下层网络数据首先通过第一网络信号通过物理层驱动,由集成在第一微处 理器系统(ARM1)中的第一 MAC层(MAC1 )接收,然后通过集成在第一微处理器系统(ARM1) 中协议转换器进行根据协议类型、通讯模式及数据类型的转换,最后由集成在第一微处 理器系统(ARM1)中的第一微处理器(cpm)将转换后的数据传送到先进先出存储器(FIF0);第二微处理器系统(ARM2)中的第二微处理器(CPU2)从先进先出存储器(FIF0) 中读出数据并传送到第二微处理器系统(ARM2)中的第二 MAC层(MAC2),通过第二网 络信号通过物理层驱动(PHY2)将网络信号传输到上一层网络。
3、 根据权利要求2所述的具有协议转换功能的单向隔离网闸,其特征为所述第 一微处理器(CPU1)在向先进先出存储器FIFO写入数据时,先进先出存储器(FIFO) 将全满(FF)和全空(EF)标志回送到第一微处理器系统(ARM1),将半满标志(HF) 送到第二微处理器系统(ARM2),所述第一微处理器系统(ARM1)通过全满(FF)和全 空(EF)标志决定是否往FIFO写入数据,所述第二微处理器系统(ARM2)通过半满(HF) 标志决定是否从FIFO中读出数据。
4、 根据权利要求1所述的具有协议转换功能的单向隔离网闸,其特征为所述的协议转换器为应用层次的软件系统,支持0PC、正C870-5-101、 IEC870-5-104等电力行 业标准协议转化。
5、 根据权利要求1所述的具有协议转换功能的单向隔离网闸,其特征为所述单 向隔离网闸支持设备双网卡绑定以实现与两台核心交换机连接完成通讯,保证了数据库 服务器与镜像服务器之间、数据库服务器与下层控制系统之间数据传输的双网冗余结 构。
6、 根据权利要求1所述的具有协议转换功能的单向隔离网闸,其特征为所述的协议转换器具有可开发性,支持所有实时数据库的镜像数据迁移。
7、 根据权利要求1至6所述的具有协议转换功能的单向隔离网闸,其特征为所述单向隔离网闸用于分散控制系统DCS与厂级信息监控系统SIS之间及厂级信息监控系 统SIS与信息管理系统MIS之间数据的单向传输和安全隔离。
全文摘要
本发明提出了一个全新的发电厂信息系统网络隔离解决方法,采用本发明的具有协议转换功能的单向隔离网闸,在发电厂分散控制系统DCS与厂级信息监控系统SIS之间及厂级信息监控系统SIS与信息管理系统MIS之间实现数据的单向传输,在保证不同安全等级计算机网络数据单向传输的基础上,所述单相隔离网闸增加专门的协议转换器,支持设备双网卡绑定,可与冗余核心交换机及群集服务器相连,实现了接口功能与网络隔离功能的统一,增强了安全防护能力,具有显著的经济效益。
文档编号H04L29/06GK101325565SQ20081011739
公开日2008年12月17日 申请日期2008年7月30日 优先权日2008年7月30日
发明者黄振江 申请人:北京华电天仁电力控制技术有限公司