一种单向安全隔离网关装置及其数据传输方法与流程

1.本发明涉及数据网络安全传输方法技术领域，尤其涉及一种单向安全隔离网关装置及其数据传输方法。


背景技术：

2.随着工业互联网、物联网、云计算、5g移动通信等新一代信息技术的广泛应用，工业互联网数据常态化呈现规模化产生、海量集中、频繁流动交互等特点，工业互联网数据已成为提升企业生产力、竞争力、创新力的关键要素，保障工业互联网数据安全的重要性愈发突出。工业互联网数据具有很高的商业价值，关系企业的生产经营，一旦遭到泄漏或篡改，将可能影响生产经营安全、国计民生甚至国家安全。然而，工业互联网现场网络环境多种多样，给数据联网和安全防护带来了困难和挑战，尤其是如何保证工业互联网数据在内外网之间的安全传输成为本领域亟需解决的技术问题之一。
3.为此，本技术人经过有益的探索和研究，找到了解决上述问题的方法，下面将要介绍的技术方案便是在这种背景下产生的。


技术实现要素：

4.本发明所要解决的技术问题之一在于：针对现有技术的不足而提供一种保证工业互联网数据在内外网之间的安全传输的单向安全隔离网关装置。
5.本发明所要解决的技术问题之二在于：提供一种上述单向安全隔离网关装置的数据传输方法。
6.作为本发明第一方面的一种单向安全隔离网关装置，包括：
7.安装在工业现场内网内且作为用于接收现场网络数据的内网接收端的网关接收单元；以及
8.安装在工业现场外网内且作为用于发送现场网络数据的外网发送端并与所述网关接收单元进行连接的网关发送单元；其特征在于，
9.所述网关接收单元与所述网关发送单元之间采用单向数据传输，只允许所述网关接收单元向所述网关发送单元传输数据，而禁止所述网关发送单元向所述网关接收单元传输数据。
10.在本发明的一个优选实施例中，所述网关接收单元与网关发送单元之间通过单向spi通讯接口和/或单向uart通讯接口进行通讯连接。
11.在本发明的一个优选实施例中，所述单向spi通讯接口或者单向uart通讯接口只保留由所述网关接收单元至所述网关发送单元的物理链路，去除由所述网关发送单元至所述网关接收单元的物理链路。
12.在本发明的一个优选实施例中，所述网关接收单元包括网关接收器、第一电源模块、第一rs232模块、第一网络接口模块和第一存储器，所述网关接收器分别与所述第一电源模块、第一rs232模块、第一网络接口模块和第一存储器连接；所述网关发送单元包括网
关发送器、第二电源模块、第二rs232模块、第二网络接口模块和第二存储器，所述网关发送器一方面与所述网关接收器连接，用于实现单向数据传输，另一方面分别与第二电源模块、第二rs232模块、第二网络接口模块和第二存储器连接。
13.在本发明的一个优选实施例中，所述网关接收器和/网关发送器采用型号为stm32f767的控制芯片。
14.作为本发明第二方面的一种上述单向安全隔离网关装置的数据传输方法，包括以下步骤：
15.对单向安全隔离网关装置中所有的网络硬件接口进行初始化处理，使得单向安全隔离网关装置进入程序配置状态；
16.接收用户配置信息，并根据用户配置信息对单向安全隔离网关装置进行配置处理；
17.单向安全隔离网关装置根据用户配置信息启动相应的网络硬件接口，以使得单向安全隔离网关装置进行数据收发状态；以及
18.单向安全隔离网关装置的内网接收端对现场网络数据进行接收，并将接收到的现场网络数据单向传输至单向安全隔离网关装置的外网发送端，再由单向安全隔离网关装置的外网发送端将接收到的现场网络数据发送至指定的服务器。
19.在本发明的一个优选实施例中，所述对单向安全隔离网关装置中所有的网络硬件接口进行初始化处理，包括以下步骤：
20.对单向安全隔离网关装置的内网接收端中所有的网络硬件接口进行初始化处理；以及
21.对单向安全隔离网关装置的外网发送端中所有的网络硬件接口进行初始化处理。
22.在本发明的一个优选实施例中，所述根据用户配置信息对单向安全隔离网关装置进行配置处理，包括以下步骤：
23.根据用户配置信息对单向安全隔离网关装置的内网接收端进行配置处理；以及
24.根据用户配置信息对单向安全隔离网关装置的外网发送端进行配置处理。
25.在本发明的一个优选实施例中，所述根据用户配置信息对单向安全隔离网关装置的内网接收端进行配置处理，包括以下步骤：
26.设置内网接收端的使用模式、服务器ip地址、服务器端口号以及log日志信息；
27.设置内网接收端的lan网络接口的ip地址、网关信息以及掩码信息；
28.设置内网接收端的本地监听端口号、本地监听ip地址信息；以及
29.将用户配置信息保存至内网接收端，以供下次启动时再次使用。
30.在本发明的一个优选实施例中，所述根据用户配置信息对单向安全隔离网关装置的外网发送端进行配置处理，包括以下步骤：
31.设置外网发送端的使用模式、服务器ip地址、服务器端口号以及log日志信息；
32.设置外网发送端的lan网络接口的ip地址、网关信息以及掩码信息；
33.设置外网发送端的目标服务器端口号、服务器ip地址信息；以及
34.将用户配置信息保存至外网发送端，以供下次启动时再次使用。
35.在本发明的一个优选实施例中，在接收用户配置信息时，若没有读取到新的用户配置信息，则采用最近一次设置的用户配置信息进行配置处理。
36.在本发明的一个优选实施例中，所述单向安全隔离网关装置根据用户配置信息启动相应的网络硬件接口，包括以下步骤：
37.根据用户配置信息启动单向安全隔离网关装置的内网接收端中相应的网络硬件接口；以及
38.根据用户配置信息启动单向安全隔离网关装置的外网发送端中相应的网络硬件接口。
39.在本发明的一个优选实施例中，所述根据用户配置信息启动单向安全隔离网关装置的内网接收端中相应的网络硬件接口，包括以下步骤：
40.对内网接收端的lan网络接口的状态进行初始化处理，并将lan网络接口的状态设置为udpserver服务，同时绑定需要监听的端口；以及
41.对内网接收端的spi通讯接口初始化为master和/或对uart通讯接口初始化为tx。
42.在本发明的一个优选实施例中，所述根据用户配置信息启动单向安全隔离网关装置的外网发送端中相应的网络硬件接口，包括以下步骤；
43.对外网发送端的lan网络接口的状态进行初始化处理，并将lan网络接口的状态设置为udpclient服务，同时绑定发送的服务器ip地址和端口；以及
44.对外网发送端的spi通讯接口初始化为slave和/或对uart通讯接口初始化为rx。
45.在本发明的一个优选实施例中，所述单向安全隔离网关装置的内网接收端对现场网络数据进行接收，并将接收到的现场网络数据单向传输至单向安全隔离网关装置的外网发送端，单向安全隔离网关装置的外网发送端将接收到的现场网络数据发送至指定的服务器，包括以下步骤：
46.通过单向安全隔离网关装置的内网接收端的lan网络接口监听udpserver端口是否接收到现场网络数据；
47.若接收到现场网络数据，则内网接收端通过spi协议和/或uart协议将接收到的现场网络数据单向传输到外网发送端；
48.外网发送端通过lan网络接口通过udp协议方式将接收到的现场网络数据发送至指定的服务器；
49.由于采用了如上技术方案，本发明的有益效果在于：
50.1.本发明的内网接收端与外网发送端之间采用了单向数据传输，即仅保留了现场网络数据从内网接收端至外网发送端的数据链路，去除了由外网发送端至内网接收端的数据链路，将现场网络数据与目标服务器的互联网网络数据进行隔离，现场采集到的现场网络数据只能单向发送至指定的服务器；同时，由于没有操作系统运行，远程服务器网络无法反向入侵现场网络，解决了现场网络安全与数据发送互联网矛盾的问题，既保证现场网络数据的传输安全性，满足大数据服务器的数据需求，又能保护现场网络，避免数据泄露或者黑客入侵等的安全风险。
51.2.本发明的内网接收端与外网发送端之间的单向数据传输通过单向spi通讯接口或单向uart通讯接口实现，而单向spi通讯接口或者单向uart通讯接口只保留由内网接收端至外网发送端的物理链路，去除了由外网发送端至内网接收端的物理链路，从物理层保证了内网接收端与外网发送端之间的单向数据传输，极大地提高了数据传输的安全性。
52.3.本发明可进行动态配置，修改设置现场的网络ip地址、端口、服务器ip地址、端
口、安全隔离方式、数据传输方式等多个参数，有效地解决了现场需求多变、功能需求多样化的问题。
附图说明
53.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
54.图1是本发明的单向安全隔离网关装置的结构示意图。
55.图2是本发明的单向安全隔离网关装置的数据传输方法的流程图。
具体实施方式
56.为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
57.参见图1，图中给出的是一种单向安全隔离网关装置，包括网关接收单元100和网关发送单元200。
58.网关接收单元100安装在工业现场内网内且作为用于接收现场网络数据的内网接收端。网关接收单元100包括网关接收器110、电源模块120、rs232模块130、网络接口模块140和存储器150。网关接收器110分别与电源模块120、rs232模块130、网络接口模块140和存储器150连接。网关接收器110采用型号为stm32f767的控制芯片，其作为内网接收端的“大脑”，控制各个模块和/或网络硬件接口进行协同工作。电源模块120用于为内网接收端的各个模块和网络硬件接口提供工作所需的电能，其可支持0
‑
40v的宽压输入范围，可有效地抵抗工业现场电压不稳的问题。rs232模块130起到串口通信的作用，用于程序功能的动态配置，即通过rs232模块130转换为com接口后，直接连接pc的com接口通讯，实现程序的动态配置。网络接口模块140用于现场网络数据的接收。存储器150用来存储内网接收端的动态配置数据。
59.网关发送单元200安装在工业现场外网内且作为用于发送现场网络数据的外网发送端并与网关接收单元100连接。具体地，网关发送单元200包括网关发送器210、电源模块220、rs232模块230、网络接口模块240和存储器250。网关发送器210一方面与网关接收器110连接，其另一方面分别与电源模块220、rs232模块230、网络接口模块240和存储器250连接。网关发送器210采用型号为stm32f767的控制芯片，其作为外网发送端的“大脑”，控制各个模块和/或网络硬件接口进行协同工作。电源模块220用于为外网发送端的各个模块和网络硬件接口提供工作所需的电能，其可支持0
‑
40v的宽压输入范围，可有效地抵抗工业现场电压不稳的问题。rs232模块230起到串口通信的作用，用于程序功能的动态配置，即通过rs232模块230转换为com接口后，直接连接pc的com接口通讯，实现程序的动态配置。网络接口模块240用于现场网络数据的发送。存储器250用来存储外网发送端的动态配置数据。
60.网关接收单元100(内网接收端)与网关发送单元200(外网发送端)之间采用单向数据传输，具体为网关接收器110与网关发送器210之间采用单向数据传输，只允许网关接收单元100向网关发送单元200传输数据，而禁止网关发送单元200向网关接收单元100传输
数据。本发明的网关接收单元100(内网接收端)与网关发送单元200(外网发送端)之间采用了单向数据传输，即仅保留了现场网络数据从内网接收端至外网发送端的数据链路，去除了由外网发送端至内网接收端的数据链路，将现场网络数据与目标服务器的互联网网络数据进行隔离，现场采集到的现场网络数据只能单向发送至指定的服务器；同时，由于没有操作系统运行，远程服务器网络无法反向入侵现场网络，解决了现场网络安全与数据发送互联网矛盾的问题，既保证现场网络数据的传输安全性，满足大数据服务器的数据需求，又能保护现场网络，避免数据泄露或者黑客入侵等的安全风险。
61.进一步地，网关接收单元100与网关发送单元200之间通过单向spi通讯接口和/或单向uart通讯接口进行通讯连接。具体地，该单向spi通讯接口或者单向uart通讯接口只保留由网关接收单元100(内网接收端)至网关发送单元200(外网发送端)的物理链路，去除由网关发送单元200(外网发送端)至网关接收单元100(内网接收端)的物理链路，从物理层保证了内网接收端与外网发送端之间的单向数据传输，极大地提高了数据传输的安全性。
62.参见图2，图中给出的是一种单向安全隔离网关装置的数据传输方法，包括以下步骤：
63.步骤s10，对单向安全隔离网关装置中所有的网络硬件接口进行初始化处理，使得单向安全隔离网关装置进入程序配置状态。
64.步骤s20，接收用户配置信息，并根据用户配置信息对单向安全隔离网关装置进行配置处理。
65.步骤s30，单向安全隔离网关装置根据用户配置信息启动相应的网络硬件接口，以使得单向安全隔离网关装置进行数据收发状态。
66.步骤s40，单向安全隔离网关装置的内网接收端对现场网络数据进行接收，并将接收到的现场网络数据单向传输至单向安全隔离网关装置的外网发送端，再由单向安全隔离网关装置的外网发送端将接收到的现场网络数据发送至指定的服务器。
67.在步骤s10中，对单向安全隔离网关装置中所有的网络硬件接口进行初始化处理，包括以下步骤：
68.步骤s11，对单向安全隔离网关装置的内网接收端中所有的网络硬件接口进行初始化处理，使得单向安全隔离网关装置的内网接收端进入程序配置状态；
69.步骤s12，对单向安全隔离网关装置的外网发送端中所有的网络硬件接口进行初始化处理，使得单向安全隔离网关装置的外网发送端进入程序配置状态。
70.在步骤s20中，根据用户配置信息对单向安全隔离网关装置进行配置处理，包括以下步骤：
71.步骤s21，根据用户配置信息对单向安全隔离网关装置的内网接收端进行配置处理。
72.步骤s22，根据用户配置信息对单向安全隔离网关装置的外网发送端进行配置处理。
73.在步骤s21中，根据用户配置信息对单向安全隔离网关装置的内网接收端进行配置处理，包括以下步骤：
74.步骤s211，设置内网接收端的使用模式、服务器ip地址、服务器端口号以及log日志信息；
75.步骤s212，设置内网接收端的lan网络接口(网络接口模块140)的ip地址、网关信息以及掩码信息；
76.步骤s213，设置内网接收端的本地监听端口号、本地监听ip地址信息；以及
77.步骤s214，将用户配置信息保存至内网接收端，具体保存至存储器150内，以供下次启动时再次使用。
78.在步骤s22中，根据用户配置信息对单向安全隔离网关装置的外网发送端进行配置处理，包括以下步骤：
79.步骤s221，设置外网发送端的使用模式、服务器ip地址、服务器端口号以及log日志信息；
80.步骤s222，设置外网发送端的lan网络接口(网络接口模块240)的ip地址、网关信息以及掩码信息；
81.步骤s223，设置外网发送端的目标服务器端口号、服务器ip地址信息；以及
82.步骤s224，将用户配置信息保存至外网发送端，具体保存至存储器250内，以供下次启动时再次使用。
83.在步骤s20中，在接收用户配置信息时，若没有读取到新的用户配置信息，则采用最近一次设置的用户配置信息进行配置处理，即从存储器150和250内读取最近一次设置的用户配置信息进行配置处理。
84.在步骤s30中，单向安全隔离网关装置根据用户配置信息启动相应的网络硬件接口，包括以下步骤：
85.步骤s31，根据用户配置信息启动单向安全隔离网关装置的内网接收端中相应的网络硬件接口。
86.步骤s32，根据用户配置信息启动单向安全隔离网关装置的外网发送端中相应的网络硬件接口。
87.在步骤s31中，根据用户配置信息启动单向安全隔离网关装置的内网接收端中相应的网络硬件接口，包括以下步骤：
88.步骤s311，对内网接收端的lan网络接口(网络接口模块140)的状态进行初始化处理，并将lan网络接口(网络接口模块140)的状态设置为udpserver服务，同时绑定需要监听的端口；
89.步骤s312，对内网接收端的spi通讯接口初始化为master和/或对uart通讯接口初始化为tx。
90.在步骤s32中，根据用户配置信息启动单向安全隔离网关装置的外网发送端中相应的网络硬件接口，包括以下步骤；
91.步骤s321，对外网发送端的lan网络接口(网络接口模块240)的状态进行初始化处理，并将lan网络接口(网络接口模块140)的状态设置为udpclient服务，同时绑定发送的服务器ip地址和端口；
92.步骤s322，对外网发送端的spi通讯接口初始化为slave和/或对uart通讯接口初始化为rx。
93.在步骤s40中，单向安全隔离网关装置的内网接收端对现场网络数据进行接收，并将接收到的现场网络数据单向传输至单向安全隔离网关装置的外网发送端，单向安全隔离
网关装置的外网发送端将接收到的现场网络数据发送至指定的服务器，包括以下步骤：
94.步骤s41，通过单向安全隔离网关装置的内网接收端的lan网络接口监听udpserver端口是否接收到现场网络数据；
95.步骤s42，若接收到现场网络数据，则内网接收端通过spi协议和/或uart协议将接收到的现场网络数据单向传输到外网发送端；
96.步骤s43，外网发送端通过lan网络接口通过udp协议方式将接收到的现场网络数据发送至指定的服务器；
97.以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。