一种适用于现场总线网络的信息安全防护装置及方法与流程

本发明涉及工业控制技术领域，尤其是一种适用于工业现场总线网络的信息安全防护的方法。

背景技术：

随着自动化技术的发展，现场总线技术被广泛应用于工业控制系统中，它将控制器、输入和输出模块、传感器和执行机构等现场设备相互连接，构成了现场总线控制系统。当前市场主流现场总线系统包括：Profibus、Modbus、CAN、FF等。此外，市场上还存在一些针对特定行业应用而开发的行业性较强的特殊现场总线规范，如构成列车通信网络的WTB及MVB总线。

对于不同种类的现场总线，当前市场上已有厂商推出针对特定总线的诊断工具。例如对于市场保有量较大、应用较广泛的Profibus-DP总线，已有荷兰Procentec公司的Profitrace、德国西门子的BT200、德国Comsoft的PB Diagnostic Plug等诊断工具上市销售。这些诊断工具通常由PC端诊断程序和专用总线接口模块组成。总线接口模块一端接入现场总线系统，一端通过USB端口与PC机相连，完成从总线上获取报文，并将总线报文通过USB端口传送给PC端诊断程序。最后由运行在PC上的诊断程序完成总线诊断功能。

由于功能定位等因素，现有技术的主要局限在于：

1.总线诊断工具仅适用于检测工业现场总线运行中的常规通信错误，而不能监测识别恶意的总线入侵行为并报警；

2.总线诊断工具一般是针对某种特定的现场总线而设计，无法同时监测多种现场总线；

3.总线诊断工具通常采用“实时获取总线报文->离线解析”的方式完成诊断功能，无法反应现场总线的实时运行状态；

4.诊断工具通常仅在需要分析已发生的总线错误时使用，而错误的重现通常是困难的。当总线网络发生不可重现的瞬时错误时，诊断工具所能起到作用将变得微乎其微；

5.恶意的总线入侵行为通常是不可预知、不可复现的，因而试图通过诊断工具发现恶意入侵行为的方法是不可行的；

综上所述，现有的总线诊断技术并不能适用于工业现场总线网络的信息安全防护。

技术实现要素：

本发明所要解决的技术问题是：针对上述存在的问题，提供一种适用于工业现场总线网络的信息安全防护的装置及方法。

本发明装置包括总线网络接口单元、总线信号解码单元、主控器、存储器及供电单元；

所述供电单元用于向装置中的用电单元供电；

所述总线网络接口单元具有至少一种总线接口，总线网络接口单元与总线信号解码单元具有信号连接；

总线信号解码单元具有至少一种总线信号解码器，总线信号解码单元与主控器具有信号连接；

存储器与主控制器具有信号连接。

进一步，所述总线网络接口单元用于接收工业现场总线信号，并将其进行电平转换。

进一步，所述总线信号解码单元用于将总线网络接口单元输出的信号进行解码得到报文数据。

进一步，所述存储器用于存储报文数据。

进一步，所述主控器用于对所述报文数据进行分析从而发现网络入侵行为。

本发明基于上述装置提供了一种适用于现场总线网络的信息安全防护方法，包括：

步骤1：接收工业现场总线信号；

步骤2：对所述工业现场总线信号进行电平转换；

步骤3：对电平转换后的工业现场总线信号解码得到报文数据；

步骤4：根据报文数据判断是否存在网络入侵行为。

所述步骤4进一步包括：查找报文数据中的站点接入信息，判断该站点是否为陌生站点，如是则生成报警信息。

所述步骤4进一步包括：检测报文数据的流量，如数据流量变化量Δ大于设定值，则认为总线数据流量异常并生成报警信息。

所述步骤4进一步包括：根据报文数据的发送情况判断工业现场某设备是否下线，如下线则认为出现站点异常下线并生成报警信息。

所述步骤4进一步包括：根据报文数据内容判断是否出现报文异常或总线应答错误，若是则生成报警信息。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

本发明所述信息安全防护装置具有多种总线接口，能兼容对多种总线网络的入侵检测功能，并能同时完成对多种总线网络的信息安全防护功能。

本发明所述信息安全防护装置能够在线获取并实时解析所接入总线的所有运行数据报文。

本发明所述信息安全防护装置能够识别“陌生站点接入”、“系统站点异常下线”、“异常报文”及“总线数据流量突变”等多种可能由恶意入侵行为导致的总线异常。

本发明所述信息安全防护装置能够根据入侵行为的不同而分类产生报警信息，并能够将报警信息上传至外部管理系统，从而实现现场总线层面的信息安全防护。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为本发明装置接入工业现场总线网络的原理示意图。

图2为本发明装置内部的原理框图。

图3为本发明方法中的入侵行为检测流程图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

如图2所示，本发明装置包括总线网络接口单元、总线信号解码单元、主控器、存储器及供电单元。

所述供电单元负责将直流5V电源输入转换成3.3V、1.2V及1.0V电压信号，为总线网络接口单元、总线信号解码单元、主控器等提供正常运行所必需的电源供应。

所述总线网络接口单元具有至少一种总线接口，本实施例中总线网络接口单元包括：

常规RS485总线接口：接口形式为PHOENIX端子，适用于Modbus总线及低速率下的Profibus总线接入；

高速Profibus接口：通信波特率可达31.25kbps～12Mbps，接口形式为孔式DB9连接器，适用于运行于高波特率下的Profibus总线接入；

冗余MVB接口：通信波特率1.5Mbps，接口形式为两个双路冗余DB9连接器（一个孔式、一个针式），适用于MVB总线接入；

以及以太网接口：10/100M自适应，用于向外部管理系统上传报警事件信息。

总线网络接口单元与总线信号解码单元具有信号连接；总线网络接口单元将接收到的总线信号进行电平转换后输出给总线信号解码单元。

总线信号解码单元具有至少一种总线信号解码器，在一个优选实施例中该解码器还具有编码功能，即为总线信号编解码单元。

本实施例中的总线信号编解码单元采用Xilinx XC6SLX100-2FFG484I FPGA模块实现，其内部由编码器、译码器、数据缓冲器及配置寄存器阵列等逻辑功能块组成。所有功能块都是通过VHDL语言对FPGA编程实现的。

本发明所述装置具有多种总线接口，支持多种总线接入，由此决定了所述总线信号编解码模块具有如下特点: 支持多种编码方式，可同时支持同步码与异步码，主要支持的编码方式包含NRZ码、曼彻斯特码等。

其中解码流程为：

所述总线信号编解码单元的解码工作主要由译码器完成。译码器具有数据采样、数据帧起始定位、从数据帧中提取数据并存入数据缓冲器等功能。对于FPGA实现的译码器，解码异步码的过程并不复杂，而解码同步码的关键在于同步检测，只有检测到同步信息,才能开始解码周期。例如MVB总线，协议主、从帧都有帧头、帧尾同步信息，而且其数据编码采用的曼彻斯特编码本身也包含了同步信息。因而，对于MVB总线，译码过程首先是实现曼彻斯特码的解码，实现方法为采样判断信号沿，上升沿为0,下降沿为1；然后根据协议判别帧头和帧尾信息，进而提取并解码帧数据，将解码后的帧数据存入数据缓冲器，并通过中断方式通知主控单元处理。

本发明中的主控制器采用飞思卡尔公司生产的P1010 PowerPC处理器，主频500MHz，其上搭载VxWorks 5.5嵌入式操作系统，而装置的安全防护功能正是由运行于VxWorks操作系统之上的应用程序实现的。主控制器与总线信号编解码单元间以Local Bus连接，从而实现将已解码的总线报文快速传送到微处理器程序的过程，保证了总线数据的及时处理，有效避免了总线数据包的丢失，保证了安全防护装置对于总线行为监测的实时性与准确性。主控制器用于对解码后的总线报文数据进行分析，从而判断是否存在网络入侵行为。

本发明中的存储器主要由FLASH存储器及系统内存组成，其与总线信号编解码单元具有信号连接。其中系统内存采用1GB容量的DDR3 SDRAM随机存取存储器，为系统及安全防护程序提供了足够的运行空间；FLASH存储器容量为64MB，主要用于存储操作系统映像及系统正常运行所必需的引导和配置文件。

如图3所示，本发明所述装置接入现场总线网络后，各硬件模块对于总线网络信号的处理过程如下：

总线信号接口单元负责引入现场总线网络信号，并对其进行必要电平转换（如将RS485电平转换为TTL电平）；

总线信号编解码单元接收电平转换后的总线网络信号，并将其译码为标准的信号数据；

编解码单元将译码后的数据存入数据缓冲器，并通过中断的方式通知主控制器处理；

主控制器通过Local Bus寻址、读取数据缓冲器中的数据，并对数据作进一步的处理，最终实现现场总线层面的信息安全防护功能。

具体的，主控制器对报文数据进行分析，检测总线入侵行为，从陌生站点接入检测、系统站点异常下线检测、异常报文检测及总线数据流量监测等多个角度全方位的识别现场总线层面的信息安全风险，并分别生成报警信息。该方法以总线数据报文分析为基础，不同总线协议具体检测细节略有差别，典型检测流程如图3所示。图中示意了Profibus-DP总线异常行为检测的具体流程，主要检测步骤及方法如下：

1.检测报文是否符合协议约定：若符合则记录源地址SA、目的地址DA、功能码FC等关键信息，否则程序将生成“异常报文”报警信息；

2.判断发站号为SA的站点是否属于系统站点：若不属于，则生成“陌生站点接入”报警信息；若属于，则将该站点对应的站点下线监测计时器清零，并重启计时；

3.逐一判断系统各站点下线监测计时器是否超时：若有站点计时大于时限T，则生成对应的“站点异常下线”报警信息，其中时限T由所监测总线系统的周期参数决定；

4.检测报文类别：若该帧数据为应答报文，且前一帧报文不为需应答的请求帧，则生成“总线应答错误”报警信息。

此外，还对总线数据流量进行检测，该功能依托于总线数据捕获模块所产生的接收统计数据，由专用的总线流量监测任务实现。该任务周期性的计算总线流量数据，并将实时流量与历史流量进行比较，若总线流量数据发生了较大突变，一般我们认为数据流量变化量Δ大于设定值时总线流量数据的发生了较大的突变，则上传该流量信息，并生成“总线数据流量突变”报警信息。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。