专利名称:一种工业安全通信网关的制作方法
技术领域:
本发明涉及工业通信技术领域,尤其涉及一种工业安全通信网关。
背景技术:
目前,在“数字化”工厂进程中,需要对工厂的自动化、计量、衡器等下位机系统中的设备状态、工艺参数等进行统一监控。但由于监控的设备种类繁多,设备通讯协议的多样化,设备的地理位置分散,企业的信息化软件标准的不统一,导致各系统联网中通信协议转换的问题越来越突出,由于信息不能共享、数据相对孤立及通信协议的差异形成了企业的“信息孤岛”,已严重影响到企业信息化的进程。同时,传统的通讯网关只注重采集下位机系统的数据,在下位机系统网络和上位机系统网络上无法实现安全隔离,造成了各自网络的安全隐患,容易造成网络恶意攻击、病毒传播。如何在安全的前提下实现系统间的数据采集,已成为企业信息化过程中需要解决的难题。 为了对所述现场设备进行统一监控,采用工业安全通信网关将下位机系统中的数据采集并按照通用规约协议转发给上位机系统,上位机系统将按照通用规约协议接收工业安全通信网关传送过来的数据。然而,由于现有的工业通信网关仅仅只是采集与转发数据,所述下位系统与所述上位系统可直接进行数据交换,安全性能有待进一步提高。
发明内容
本发明的目的是提供一种可提高安全性能的工业安全通信网关。一种工业安全通信网关,包括连接下位机系统的一接收端口、连接上位机系统的一发送端口,及连接在所述接收端口与发送端口之间的嵌入式平台。所述嵌入式平台包括功能独立的两套嵌入式系统及一公共缓存,所述两套嵌入式系统通过公共缓存完成对下位机数据的采集、加密、解密、发送功能。定义所述两套嵌入式系统分别为第一嵌入式系统及第二嵌入式系统。其中所述第一嵌入式系统包括数据接收模块、数据解析模块及数据加密模块。所述数据接收模块通过接收端口接收下位机系统中的数据。数据解析模块将接收到的数据进行解析,完成对下位机数据的采集。数据加密模块将解析后的数据进行加密并存放于公共缓存中。所述公共缓存用于存放从第一嵌入式系统传送过来的加密数据,并供第二嵌入式系统读取。所述第二嵌入式系统包括数据解密模块及数据发送模块。该数据解密模块从公共缓存中提取加密后的数据进行解密,并将解密后的数据传送给数据发送模块。数据发送模块将接收到的数据通过发送端口发送给上位机系统。进一步地,所述接收端口包括以太网口、串口接口等,所述发送端口包括以太网口、RS485接口、总线口等接口。进一步地,所述接收端口连接的下位机系统包括自动化控制系统、计量仪表系统等。该下位机系统中的数据遵循的协议为工业通信协议,工业通信协议包括ModbuSRTU、IEC等通讯协议。发送端口连接的上位机系统包括能源管理系统、生产控制执行系统等信息化系统。上位机系统中的数据遵循的协议是TCP/IP协议,包括ModbusTCP、OPC、DDE等协议。
进一步地,所述第一嵌入式系统的数据接收模块包括多个通信接收规约库,从而能支持主流工业控制系统的数据通讯。所述第二嵌入式系统的数据发送模块包括多个通信转发规约库,可按照预先制定的规则进行转发数据。进一步地,所述嵌入式平台包括两个网关控制电路板,所述第一嵌入式系统及第二嵌入式系统分别设置在所述两个网关控制电路板。进一步地,所述数据解析模块用于将下位机系统中的工业通信协议数据转换为通用的标准协议数据。相对于现有技术,本发明提供的工业安全通信网关中设置有两个 独立的第一嵌入式系统与第二嵌入式系统,并通过第一嵌入式系统来采集与解析数据,通过所述第二嵌入式系统来转发数据。通过相互独立的嵌入式系统来完成数据的采集、加密、解密、发送等功能,从而实现下位机系统与上位机系统网路上的安全隔离,当其中一个系统安全受到威胁时难以影响到另一系统,从而能提高工业安全通信网关的安全性能,从而避免了网络恶意攻击及病毒传播。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举实施例,并配合附图,详细说明如下。
图I是本发明实施例提供的工业安全通信网关与下位机、上位机系统连接时的结构示意图。图2是图I所示的工业安全通信网关与下位机、上位机系统连接时的数据流向示意图。图3是图2所示的工业安全通信网关与下位机、上位机系统连接时的数据流向详细示意图。
具体实施例方式为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的工业安全通信网关,详细说明如下请参见图I、图2及图3,本发明提供一种工业安全通信网关100,连接在下位机系统200及上位机系统300之间。所述下位机系统200包括自动化控制系统、计量仪表系统。下位机系统200中的数据遵循的协议为工业通信协议,上位机系统300包括能源管理系统、生产过程执行系统等,上位机系统300中的数据遵循的协议是基于TCP/IP的通用协议,包括OPC、DDE、ODBC、MODBUSTCP、IEC60870-5-104等协议。工业安全通信网关100包括数据接收端口 101、数据发送端口 103、连接在接收端口 101与发送端口 103之间的嵌入式平台102。所述数据接收端口 101包括以太网口及串口。该数据接收端口 101连接下位机系统200,将下位机系统200传输过来的数据传输给嵌入式平台102。所述数据发送端口 103包括以太网口、USB及无线发射端口等。数据发送端口 103连接上位机系统300并将嵌入式平台102传输过来的数据传输给发送端口 103。
所述嵌入式平台102包括第一嵌入式系统110、公共缓存120及第二嵌入式系统130。第一嵌入式系统110、第二嵌入式系统130与公共缓存120均设置在所述嵌入式平台102中,嵌入式平台102的结构可根据实际需求而设置。所述第一嵌入式系统110与第二嵌入式系统130功能独立。在本实施例中,嵌入式平台102包括两个网关控制电路板,所述第一嵌入式系统110及第二嵌入式系统120分别设置在所述两个网关控制电路板。所述第一嵌入式系统110包括数据接收模块111、数据解析模块112及数据加密模块 113。该数据接收模块111通过所述接收端口 101接收下位机系统200中的数据并将接收到的数据传送到数据解析模块112。所述数据接收模块111包括多个通信接收规约库,从而能支持所有的主流工业控制系统的数据通讯,从而能识别从下位机系统200传输过来的数据。可以理解,从下位机系统200传输过来的数据遵循的协议是工业协议。 所述数据解析模块112将接收到的数据进行解析并将解析后的数据传送到数据加密模块113。所述数据解析模块112包括多个通信转发规约库,可按照预先制定的规则进行转发数据,从而能将下位机系统200中的工业通信协议数据转换为通用的标准协议数据。所述数据加密模块113将接收到的数据按照特定规则进行加密并存放于公共缓存120。所述数据加密模块113的加密方式不限,只要能对接收到的数据进行加密即可,从而提高数据的安全性。公共缓存120用于存放从第一嵌入式系统110传送过来的数据,供所述第二嵌入式系统130读取。可以理解,所述公共缓存120存放的数据经过加密后,必须有匹配的解密方式才能读取。第二嵌入式系统130包括数据解密模块131及数据发送模块132。所述解密模块从公共缓存120提取加密后的数据按照特定规则进行解密,并将解密后的数据传送给数据发送模块132。数据发送模块132将接收到的数据通过发送端口 103发送给上位机系统300。本发明提供的工业安全通信网关100中设置有两个功能相互独立的第一嵌入式系统110与第二嵌入式系统130,并通过所述第一嵌入式系统110来采集与解析数据,通过所述第二嵌入式系统130来转发数据。通过相互独立的嵌入式系统来完成数据的来完成数据的采集、加密、解密、发送等功能,从而实现下位机系统200与上位机系统300网路上的安全隔离,当其中一个系统安全受到威胁时难以影响到另一系统,,从而避免了网络恶意攻击及病毒传播,提高工业安全通信网关的安全性能。进一步地,所述第一嵌入式系统110与第二嵌入式系统130之间的数据交换,需要通过加密与解密方式进行,因此,数据安全性得到进一步提闻。以上所述,仅是本发明的实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
权利要求
1.一种工业安全通信网关,包括连接下位机系统的一接收端口、连接上位机系统的一发送端口,及连接在所述接收端口与发送端口之间的嵌入式平台,其特征在于所述嵌入式平台包括功能独立的两套嵌入式系统及一公共缓存,所述两套嵌入式系统通过公共缓存完成对下位机数据的采集、加密、解密、发送功能;定义所述两套嵌入式系统分别为第一嵌入式系统及第二嵌入式系统,其中 所述第一嵌入式系统包括数据接收模块、数据解析模块及数据加密模块;所述数据接收模块通过接收端口接收下位机系统中的数据;数据解析模块将接收到的数据进行解析,完成对下位机数据的采集;数据加密模块将解析后的数据进行加密并存放于公共缓存中; 所述公共缓存用于存放从第一嵌入式系统传送过来的加密数据,并供第二嵌入式系统读取; 所述第二嵌入式系统包括数据解密模块及数据发送模块,该数据解密模块从公共缓存中提取加密后的数据进行解密,并将解密后的数据传送给数据发送模块;数据发送模块将接收到的数据通过发送端口发送给上位机系统。
2.一种如权利要求I所述的工业安全通信网关,其特征在于所述接收端口包括以太网口、串口等接口,所述发送端口包括以太网口、RS485接口、总线口等。
3.—种如权利要求I所述的工业安全通信网关,其特征在于所述接收端口连接的下位机系统包括自动化控制系统、计量仪表系统等;该下位机系统中的数据遵循的协议为工业通信协议,工业通信协议包括ModbusRTU、IEC等通讯协议;发送端口连接的上位机系统包括能源管理系统、生产控制执行系统等信息化系统;上位机系统中的数据遵循的协议是TCP/IP 协议,包括 ModbusTCP、OPC、DDE 等协议。
4.一种如权利要求I所述的工业安全通信网关,其特征在于所述第一嵌入式系统的数据接收模块包括多个通信接收规约库,从而能支持主流工业控制系统的数据通讯;所述第二嵌入式系统的数据发送模块包括多个通信转发规约库,可按照预先制定的规则进行转发数据。
5.一种如权利要求I所述的工业安全通信网关,其特征在于所述嵌入式平台包括两个网关控制电路板,所述第一嵌入式系统及第二嵌入式系统分别设置在所述两个网关控制电路板。
6.一种如权利要求I所述的工业安全通信网关,其特征在于所述数据解析模块用于将下位机系统中的工业通信协议数据转换为通用的标准协议数据。
全文摘要
一种工业安全通信网关,包括连接下位机系统的数据接收端口、连接上位机系统的数据发送端口,及连接在两端口之间的嵌入式平台。所述工业安全通信网关包括两套嵌入式系统及一公共缓存,两套嵌入式系统负责各自不同的功能。第一嵌入式系统包括数据接收模块、数据解析模块及数据加密模块。第二嵌入式系统包括数据解密模块及数据发送模块。本发明提供的工业安全通信网关能提高工业安全通信网关的安全性能。
文档编号H04L12/66GK102891795SQ20121029796
公开日2013年1月23日 申请日期2012年10月11日 优先权日2012年10月11日
发明者吴疆, 周谦干, 蔡尹楚, 林初军, 王翔宇, 刘开勇 申请人:上海金自天正信息技术有限公司