一种关于现场级控制网络的安全性的监视方法
【专利摘要】本发明公开了一种关于现场级控制网络的安全性的监视方法,该方法使用现场级控制网络安全监测系统,该系统包括:PROFIBUS接收器(1),磁偶隔离(2),EPCS4(3),NOR型FLASH芯片(4),外扩SRAM芯片(5),FPGA(6),MCU(7),802.3物理层收发器(8),USB物理层收发器(9),LED指示灯(10),24V转5V隔离(11),5V转1.2V模块(12),电压监控(13),24V热插拔电路(14),24V转5V模块(15),5V转3.3V模块(16),其特征在于,该方法包括实时采集现场总线报文,为所述的现场总线报文添加时标信息,分析所述的现场总线报文,识别现场总线上的危险报文,监测现场总线流量以监视报警总线上的流量异常。
【专利说明】一种关于现场级控制网络的安全性的监视方法
【技术领域】:
[0001]本发明涉及工业自动化网络与信息安全领域,特别是PR0FIBUS-DP / PA现场总线的安全性的监视领域。
【背景技术】:
[0002]随着工业通信技术应用日益广泛,实践中,工业控制系统面临着日益突出的安全威胁问题。过去对工业控制系统的安全考虑较少,因为工业控制系统的通信网络是专用网络,普遍认为很难对工业控制系统造成安全威胁。但目前的技术发展趋势是:工业企业管控一体化和智能化,即工业企业的管理不在局限于上层信息交互,而是频繁获取底层生产制造系统的数据,甚至在有些场合下会直接与底层控制系统进行交互。最近国内外发生的多起由于安全导致的工业控制系统事故已引起国家相关部委高度重视,已充分认识到加强工业控制系统信息安全管理的重要性和紧迫性,并对重点领域工业控制系统提出了信息安全管理要求。
[0003]近期在国内外发生的多起由于信息安全原因造成的工业控制系统事故,引起了国家相关部门的高度重视,在工信部协[2011] 451号文件《关于加强工业控制系统信息安全管理的通知》,明确规定了重点领域工业控制系统信息安全管理要求,包括:连接管理要求、组网管理要求、配置管理要求、数据管理要求等。而且电力行业、石化行业都已出台或酝酿出台相关针对本行业的控制系统安全要求。这对于国内的工业控制设备及系统制造商提供了机遇和挑战。但目前国内工业控制设备及系统制造商在工业控制系统的安全技术研发投入严重不足,而且国内也没有相关的技术和产品。本发明的确立适时地填补了国内在现场级安全技术和产品的空白,将为行业提供急需的工业控制系统的安全解决方案,并带动国内企业加强工业控制系统的安全技术研究。
[0004]对于国内的自动化设备及系统制造商,面临来自国外企业的巨大竞争压力。国内企业与国外公司的差距主要体现在系统级产品的技术水平,如:与整个生产和管理系统的信息共享、系统的诊断和管理功能、系统可靠性及安全性。提高系统诊断和管理功能,以及系统安全性都需构建系统级的通信网络。相比国外公司,国内企业工业通信的研发能力较弱,但国内企业对工业通信技术的研发投入明显加大,这可由国内企业生产的产品每年通过工业通信认证的数量得到验证。从目前情况判断,工业通信的安全技术必将是工业自动化技术的下一个热点技术,国外对工业通信的安全技术也处在起步阶段,与国内的研发情况大致相当。本技术研发方向为“工业控制网络安全诊断技术及系统”,其研发成果都可用于工业现场环境,并可将这些安全诊断系统整合到工业控制系统中,构成工业控制系统的多层安全防御,这将提高工业产品和系统制造企业的产品竞争力。
【发明内容】
:
[0005]为解决【背景技术】所存在的问题,本发明公开了 一种可长时间应用于现场的PR0FIBUS安全诊断监视系统,通过研究PR0FIBUS控制网络通信特点,分析威胁工业网络通信安全的类型,研发基于PROFIBUS的现场总线安全诊断监视系统。
[0006]本发明涉及一种关于现场级控制网络的安全性的监视方法,该方法使用现场级控制网络安全监测系统,该系统包括:PR0FIBUS接收器(I),磁偶隔离(2),EPCS4(3),NOR型FLASH 芯片(4),外扩 SRAM 芯片(5),FPGA (6),MCU (7),802.3 物理层收发器(8),USB 物理层收发器(9),LED指示灯(10),24V转5V隔离(11),5V转1.2V模块(12),电压监控(13),24V热插拔电路(14),24V转5V模块(15),5V转3.3V模块(16),其特征在于,该方法包括实时采集现场总线报文,为所述的现场总线报文添加时标信息,分析所述的现场总线报文,识别现场总线上的危险报文,监测现场总线流量以诊断报警总线上的流量异常。
[0007]本发明中的现场总线是PR0FIBUS,可通过现场的24V电源供电工作,也可通过USB总线供电工作。
[0008]本发明具有PR0FIBUS-DP和PR0FIBUS-PA通信接口,本发明通过磁耦实现硬件模块与PROFIBUS总线的电气隔离。
[0009]本发明具有通信报文实时采集和分析技术,包括:实时采集PROFIBUS总线上的通信报文,分析各通信层信息和状态,列出总线上在线的所有主站和从站设备,动态识别总线传输速度。
[0010]本发明通过FPGA实现PROFIBUS总线数据的采集,支持自适应波特率,支持的波特率包括:9.6Kbps、19.2Kbps、31.25Kbps、45.45Kbps、93.75Kbps、187.5Kbps、500Kbps、1.5Mbps、3Mbps、6Mbps、12Mbps。
[0011]本发明通过FPGA为PROFIBUS总线报文添加时标信息,保证本发明的上位机监控软件中显示报文时间的准确性,时间精度小于1Tbit。
[0012]本发明通过对PROFIBUS总线报文的智能分析,实现对总线设备组态配置信息的安全监控,识别总线上的危险报文,包括:恶意攻击通信报文,篡改正常组态报文、伪装过程数据以及与组态信息不相符的非正常通信报文。
[0013]本发明通过对PROFIBUS总线报文的智能分析,实现对PROFIBUS总线流量的安全监控,诊断报警总线上的流量异常。
[0014]本发明具有智能交互技术,本发明通过以太网与上位机监控软件通信:硬件模块将安全监视结果上报上位机监控软件,上位机监控软件可对硬件模块进行安全功能监视功能的安全策略配置和发送危险报文识别的经验知识。
【专利附图】
【附图说明】:
[0015]图1为本发明的系统应用示意图
[0016]图2为本发明的功能框架示意图
[0017]图3为本发明的硬件框架示意图
【具体实施方式】:
[0018]本发明公开了一种可长时间应用于现场的PROFIBUS的安全性的监视系统,本发明可应用于工业控制网络从安装、调试、到运行的各个阶段,本发明包括对现场总线数据进行接收、分析、安全诊断报警的硬件模块和运行于上位机的监视配置软件。
[0019]参见图2本发明的功能架构,RR0FIBUS总线数据的前端采集由FPGA实现,首先通过自适应波特率模块实现对PROFIBUS总线数据传输速度的自动检测,自动扫描的波特率包括 9.6Kbps、19.2Kbps,31.25Kbps,45.45Kbps,93.75Kbps、187.5Kbps、500Kbps、
1.5Mbps、3Mbps、6Mbps、12Mbps ;将接收到的每一个字节分别存储到FPGA内部的缓存中,直到16.5Tbit的包间隔定时器溢出,为一个完整的报文加入时标信息和报文数据链路层的诊断信息,并将完整报文的全部信息拷贝至FIFO中,PROFIBUS报文FIFO、FPGA控制寄存器、FPGA状态寄存器统一编址,构成了 PROFIBUS输入采集功能块,与安全诊断功能块连接,实现PROFIBUS基础数据的读取。
[0020]进一步,本发明的硬件模块部分,为实现对基础PROFIBUS数据进行可配置的安全诊断监控的功能,底层采用UCOSII实时操作系统,驱动层包括TCP / IP V4协议栈、LocalBus驱动、GPIO驱动、定时器驱动、USB驱动、USART驱动、ETHERNET驱动,采用XML文件技术存储安全策略,本发明的硬件模块将按照XML中安全检查的内容逐条执行,上位机软件通过读写硬件模块的安全配置XML文件,实现安全配置的修改和危险报文经验知识的发送。
[0021]进一步,本发明的硬件模块的应用层程序包括安全诊断、安全配置和TCP / IPServer三个进程:其中安全诊断实现了依据安全配置策略对PROFIBUS基础数据完成安全诊断报警功能,并且可读取前端FPGA数据采集模块的状态寄存器和配置前端FPGA数据采集模块的控制寄存器;安全配置实现了对XML安全配置文件的读写功能,并在修改安全策略后为整个硬件模块提供软复位;TCP / IP Server为上位机监控软件提供了 TCP / IP套接口的读写访问服务,通过共享内存与安全诊断和安全配置实现数据交换。
[0022]参见图3本发明的硬件架构,本发明的硬件部分包括:PR0FIBUS接收器(I),磁偶隔离(2),EPCS4 (3),NOR 型 FLASH 芯片(4),外扩 SRAM 芯片(5),FPGA (6),MCU (7),802.3 物理层收发器(8),USB物理层收发器(9),LED指示灯(10),24V转5V隔离(11),5V转1.2V模块(12),电压监控(13),24V热插拔电路(14),24V转5V模块(15),5V转3.3V模块(16)。
[0023]所述的PROFIBUS接收器包含了现场侧保护电路,可配置的终端匹配,和PROFIBUS报文接收机三部分;现场侧保护电路对来自现场总线和其它外界的过压、浪涌、静电进行防护,保护电路包含自恢复保险丝、TVS管、压敏电组;通过FPGA(6)的控制寄存器可配置是否具有PROFIBUS终端匹配;PR0FIBUS接收机针对PR0FIBUS-DP总线采用高速485收发器,针对PR0FIBUS-PA总线采用西门子公司的SM1-2收发器。
[0024]所述的光耦隔离(2)实现了现场总线侧与本发明硬件模块的电气隔离。
[0025]所述的EPCS4 (3)为船型接口的FLASH芯片与FPGA (6)相连,为FPGA (6)的配置芯片,存储FPGA目标程序。
[0026]所述的NOR型FLASH芯片(4)与FPGA(6)相连,为本发明在不连接上位机软件时离线存储现场的安全诊断日志。
[0027]所述的SRAM芯片(5)与FPGA(6)相连,为本发明提供更大的内存扩展空间,可提供更大的缓冲存储空间。
[0028]所述的FPGA (6)实现了 PROFIBUS数据前端采集功能,通过由16bit的地址总线和8bit的数据总线构成的Local Bus与MCU(7)连接,实现数据交换。
[0029]所述的802.3物理层收发器(8)与MCU (7)相连,实现了本发明硬件模块部分与本发明上位机软件部分的TCP / IP通信。
[0030]所述的USB物理层收发器(9)与MCU(7)相连,本发明的硬件模块部分可由现场24V供电,适用长时间在工业现场工作;在缺少24V直流电源的情况下,也可以通过USB供电,适用于灵活的便携应用。
[0031]所述的LED指示灯(10)由MCU(7)控制,可以指示电源状态,现场总线通信状态,和安全报警状态。
[0032]所述的24V转5V隔离(11),为PROFIBUS接收器⑴提供了隔离的5V电源。
[0033]所述的5V转I.2V模块(I2),为FPGA (6)提供了内核电压。
[0034]所述的电压监控(13),S5V、3.3V、1.2V提供了电压低压监测。
[0035]所述的24V热插拔电路(14),为本发明的硬件模块部分提供慢速上电功能,抑制在电源热插拔过程中产生的过冲。
[0036]所述的24V转5V模块(15)为5V转1.2V模块(12)和5V转3.3V模块(16)提供5V电源。
[0037]所述的5V转3.3V模块(16)为MCU (7)和FPGA (6)及其外围电路提供电源。
[0038]以上是对本发明的软硬件较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换,这些等同的变形或者替换均包含在本申请权利要求所限的范围内。
【权利要求】
1.一种关于现场级控制网络的安全性的监视方法,该方法使用现场级控制网络安全监视系统,该系统包括:PROFIBUS接收器(I),磁偶隔离(2),EPCS4 (3),NOR型FLASH芯片(4),外扩SRAM芯片(5),FPGA (6),MCU (7),802.3物理层收发器(8),USB物理层收发器(9),LED指示灯(10),24V转5V隔离(11),5V转1.2V模块(12),电压监控(13),24V热插拔电路(14),24V转5V模块(15),5V转3.3V模块(16),其特征在于,该方法包括实时采集现场总线报文,为所述的现场总线报文添加时标信息,分析所述的现场总线报文,识别所述的现场总线上的危险报文,监测现场总线流量以监视报警总线上的流量异常。
2.根据权利要求1所述的监视方法,其中,所述的现场总线是PR0FIBUS。
3.根据权利要求2所述的监视方法,其中,所述的实时采集现场总线报文是通过FPGA实现的。
4.根据权利要求3所述的监视方法,其中,所述的实时采集现场总线报文中,报文支持的波特率是 9.6Kbps、19.2Kbps,31.25Kbps,45.45Kbps,93.75Kbps、187.5Kbps、500Kbps、1.5Mbps、3Mbps、6Mbps、12Mbps 中的一个。
5.根据权利要求1所述的监视方法,其中,所述的现场总线报文添加时标信息的时间精度小于1Tbit。
6.根据权利要求1所述的监视方法,其中,所述的分析现场总线报文包括分析各通信层信息和状态,列出总线上在线的所有主站和从站设备,动态识别总线传输速度。
7.根据权利要求1所述的监视方法,其中,所述的识别现场总线上的危险报文中,危险报文包括恶意攻击通信报文,篡改正常组态报文、伪装过程数据以及与组态信息不相符的非正常通信报文。
【文档编号】H04L29/06GK103618735SQ201310659271
【公开日】2014年3月5日 申请日期:2013年12月10日 优先权日:2013年12月10日
【发明者】谢素芬, 闫晓风, 张春庭, 郑秋平, 刘丹, 王麟琨 申请人:机械工业仪器仪表综合技术经济研究所