離網(wǎng)閘讀寫邏輯示意圖。
[0043]圖4為一種適用于工業(yè)控制網(wǎng)絡(luò)的安全隔離網(wǎng)閘工作流程圖。
【具體實(shí)施方式】
[0044]圖1?圖4為本發(fā)明的具體實(shí)施方案。下面結(jié)合附圖和棘突實(shí)施方式對(duì)本發(fā)明作進(jìn)一步說明。
[0045]如圖1所示，本隔離裝置采用“2+1”結(jié)構(gòu)，包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、擺渡單元模塊。所述內(nèi)網(wǎng)處理單元電路、外網(wǎng)處理單元電路和擺渡單元電路完全獨(dú)立，三個(gè)單元之間通過PCI總線相連。PCI總線可以解決數(shù)據(jù)交換速度慢、延時(shí)時(shí)間長(zhǎng)的問題。外網(wǎng)處理單元、內(nèi)網(wǎng)處理單元、擺渡單元之間通訊采用自有通訊協(xié)議，每種協(xié)議包括協(xié)議剝離、校驗(yàn)、解密、加密、封裝過程。
[0046]所述的外網(wǎng)處理單元、內(nèi)網(wǎng)處理單元是對(duì)稱結(jié)構(gòu)，包括:處理器、存儲(chǔ)器、RJ45網(wǎng)絡(luò)接口、數(shù)據(jù)安全模塊等。所述處理器為嵌入式高性能處理器，以太網(wǎng)口包括一個(gè)千兆網(wǎng)口、百兆網(wǎng)口。
[0047]所述數(shù)據(jù)安全模塊以插件形式存在于所述的裝置中，包括身份認(rèn)證模塊、標(biāo)準(zhǔn)協(xié)議檢查模塊、內(nèi)容過濾模塊、自有協(xié)議處理模塊。
[0048]所述標(biāo)準(zhǔn)協(xié)議檢查模塊，至少包括TCP/IP、OPC、Modbus/TCP協(xié)議檢查等。
[0049]所述OPC協(xié)議檢查包括工業(yè)協(xié)議通訊跟蹤、協(xié)議完整性檢查、數(shù)據(jù)加密與校驗(yàn)算法。
[0050]所述Modbus/TCP協(xié)議檢查包括協(xié)議深度包檢測(cè)。它深入?yún)f(xié)議內(nèi)部，檢查Modbus、寄存器和線圈列表，自動(dòng)阻止并報(bào)告不符合安全協(xié)議的通訊，檢查并阻止不符合Modbus通信協(xié)議的通訊內(nèi)容。
[0051]所述的內(nèi)容過濾模塊包括關(guān)鍵詞匹配、語義匹配的混合過濾模型。過濾模型基于具體的工業(yè)控制網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)。
[0052]所述外網(wǎng)處理單元負(fù)責(zé)與外網(wǎng)數(shù)據(jù)源通訊，采集外網(wǎng)數(shù)據(jù)并進(jìn)行數(shù)據(jù)處理。數(shù)據(jù)處理包括TCP/IP包剝離、工業(yè)協(xié)議檢查、還原原始數(shù)據(jù)、加密封裝成自有協(xié)議，通過PCI總線走自有協(xié)議通道傳送給擺渡單元。擺渡單元實(shí)現(xiàn)外網(wǎng)處理單元與內(nèi)網(wǎng)處理單元的連接與隔離。所述擺渡單元包括一個(gè)CPU、一個(gè)邏輯電路、兩個(gè)FIFO緩存器。CPU接收外網(wǎng)處理單元發(fā)送來的數(shù)據(jù)包，并進(jìn)行身份認(rèn)證、校驗(yàn)、解密、協(xié)議分析、封裝成擺渡自有協(xié)議，寫入FIFO緩存。邏輯電路負(fù)責(zé)切斷CHJ與外網(wǎng)處理單元之間的聯(lián)系，并通知CPU取回FIFO中的數(shù)據(jù)包，對(duì)數(shù)據(jù)包進(jìn)行身份認(rèn)證、校驗(yàn)、解密、協(xié)議分析、封裝成擺渡自有協(xié)議，通過PCI總線傳輸給內(nèi)網(wǎng)處理單元。內(nèi)網(wǎng)處理單元負(fù)責(zé)接收擺渡單元傳來的數(shù)據(jù)包，并進(jìn)行身份認(rèn)證、校驗(yàn)、解密、協(xié)議分析、封裝成標(biāo)準(zhǔn)協(xié)議，并傳輸給客戶端。
[0053]如圖2所示，以數(shù)據(jù)從外網(wǎng)流向內(nèi)網(wǎng)為例，說明隔離裝置工作流程:數(shù)據(jù)在外網(wǎng)處理單元的CPU上進(jìn)行第一次數(shù)據(jù)處理后被封裝成自有協(xié)議數(shù)據(jù)幀進(jìn)行傳輸。自有協(xié)議格式以文件插件的方式規(guī)定，包括幀頭、幀續(xù)和幀尾，每一幀包括網(wǎng)口號(hào)、IP號(hào)、端口號(hào)、原始數(shù)據(jù)、來源地、目的地、CRC校驗(yàn)等。數(shù)據(jù)幀通過PCI總線進(jìn)入擺渡單元，在擺渡單元CPU中進(jìn)過數(shù)據(jù)處理后，再次封裝成自有格式數(shù)據(jù)幀，每一幀包括來源地、目的地、IP地址、原始數(shù)據(jù)、CRC校驗(yàn)、加密數(shù)據(jù)等。數(shù)據(jù)幀存入FIFO緩存中，等待傳入內(nèi)網(wǎng)處理單元，并在內(nèi)網(wǎng)處理單元上進(jìn)行協(xié)議剝離與重建及數(shù)據(jù)處理。
[0054]如圖3所示，讀寫邏輯涉及兩個(gè)過程。將兩個(gè)DPRAM分別標(biāo)做緩存1、緩存2。外網(wǎng)處理單元只能向緩存I中寫入數(shù)據(jù)且只能從緩存2中讀取數(shù)據(jù)。內(nèi)網(wǎng)處理單元只能向緩存2中寫入數(shù)據(jù)且只能從緩存I中讀取數(shù)據(jù)。兩個(gè)DPRAM只能同時(shí)執(zhí)行一個(gè)動(dòng)作，或“讀”或“寫”，通過亦或邏輯控制。
[0055]如圖4所示，所述裝置的數(shù)據(jù)工作流程分為兩部分，分別為協(xié)議剝離及數(shù)據(jù)處理流程和協(xié)議封裝及數(shù)據(jù)傳輸流程。數(shù)據(jù)從外網(wǎng)流向內(nèi)網(wǎng)需要進(jìn)過多次協(xié)議剝離及協(xié)議重建過程。當(dāng)內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元接收訪問請(qǐng)求后，首先終結(jié)TCP/IP連接，保證該隔離裝置不會(huì)被TCP/IP協(xié)議直接穿透。切斷連接后，內(nèi)外網(wǎng)會(huì)對(duì)數(shù)據(jù)包進(jìn)行第一次協(xié)議剝離和安全性檢查，驗(yàn)證其合法性。通過檢查后，外網(wǎng)處理單元會(huì)對(duì)數(shù)據(jù)進(jìn)行格式化，將數(shù)據(jù)包中的合法有效信息重新封裝成自由協(xié)議格式，并通過PCI總線讀入擺渡單元。擺渡單元內(nèi)對(duì)數(shù)據(jù)進(jìn)行兩次協(xié)議剝離、安全檢查、協(xié)議重建。第一次發(fā)生在切斷與外網(wǎng)聯(lián)系之后，寫入FIFO緩存之前。第二次發(fā)生在讀取FIFO緩存之后，傳送給內(nèi)網(wǎng)處理單元之前。在內(nèi)網(wǎng)處理單元進(jìn)行最后一次協(xié)議剝離與安全檢查，通過后封裝成標(biāo)準(zhǔn)工業(yè)控制網(wǎng)絡(luò)協(xié)議格式，并進(jìn)一步封裝成TCP/IP協(xié)議格式，發(fā)送給客戶端。
[0056]以上對(duì)本發(fā)明實(shí)施方式提供的技術(shù)方案進(jìn)行了詳細(xì)的介紹，本文中應(yīng)用了具體實(shí)施例對(duì)本發(fā)明所實(shí)施的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說明只是用于幫助理解本發(fā)明實(shí)施的原理；同時(shí)，對(duì)于本領(lǐng)域的一般技術(shù)人員，本發(fā)明實(shí)施例，在【具體實(shí)施方式】以及應(yīng)用范圍上均有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
【主權(quán)項(xiàng)】
1.一種適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘，其特征在于，包括外網(wǎng)處理單元、數(shù)據(jù)擺渡單元、內(nèi)網(wǎng)處理單元。所述外網(wǎng)處理單元、數(shù)據(jù)擺渡單元、內(nèi)網(wǎng)處理單元的單路完全獨(dú)立，且三個(gè)單元之間采用自協(xié)議進(jìn)行通訊;外網(wǎng)處理單元與擺渡單元之間、內(nèi)網(wǎng)處理單元與擺渡單元之間采用對(duì)應(yīng)的通訊協(xié)議;外網(wǎng)處理單元與擺渡單元之間、內(nèi)網(wǎng)處理單元與擺渡單元之間的數(shù)據(jù)傳遞過程包括協(xié)議剝離、校驗(yàn)、加密、解密、封裝過程； 所述外網(wǎng)處理單元與外網(wǎng)連接，采集外網(wǎng)數(shù)據(jù)，通過身份認(rèn)證后，還原成原始數(shù)據(jù)，并重新封裝成內(nèi)部自由協(xié)議，通過構(gòu)建內(nèi)部自由協(xié)議通道傳輸給數(shù)據(jù)擺渡單元;數(shù)據(jù)擺渡單元內(nèi)部連接外網(wǎng)處理單元與內(nèi)部處理單元，并通過邏輯電路和擺渡單元CPU共同實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。2.根據(jù)權(quán)利要求1所述的適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘，其特征在于，所述外網(wǎng)處理單元包括身份可信認(rèn)證模塊、協(xié)議解封模塊、數(shù)據(jù)校驗(yàn)?zāi)K、自協(xié)議封包模塊、數(shù)據(jù)包加密模塊、數(shù)據(jù)包傳輸模塊;外網(wǎng)處理單元接收數(shù)據(jù)包后通過身份可信認(rèn)證模塊認(rèn)后，被協(xié)議解封模塊解封，經(jīng)過數(shù)據(jù)校驗(yàn)?zāi)K的校驗(yàn)后，被自協(xié)議封包模塊按自有協(xié)議加封，并被數(shù)據(jù)包加密模塊加密，最后通過數(shù)據(jù)包傳輸模塊傳輸給數(shù)據(jù)擺渡單元。3.根據(jù)權(quán)利要求2所述的適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘，其特征在于，所述身份可信認(rèn)證模塊包括IP認(rèn)證、端口認(rèn)證，只有經(jīng)過所述身份可信認(rèn)證模塊認(rèn)證后的數(shù)據(jù)包才可以發(fā)送到所述協(xié)議解封模塊進(jìn)行數(shù)據(jù)包解封;所述數(shù)據(jù)校驗(yàn)?zāi)K對(duì)工業(yè)協(xié)議數(shù)據(jù)進(jìn)行解封并校驗(yàn)，剝離出原始數(shù)據(jù)后通過所述數(shù)據(jù)加密模塊進(jìn)行加密;所述自協(xié)議封包模塊將加密后的原始數(shù)據(jù)按自定義協(xié)議格式進(jìn)行封裝，并通過所述數(shù)據(jù)包傳輸模塊發(fā)往數(shù)據(jù)擺渡單元。4.根據(jù)權(quán)利要求1所述的適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘，其特征在于，所述數(shù)據(jù)擺渡單元包括身份認(rèn)證模塊、自協(xié)議解封模塊、解密模塊、數(shù)據(jù)校驗(yàn)?zāi)K、自協(xié)議封包模塊、加密模塊、數(shù)據(jù)包傳輸模塊;數(shù)據(jù)擺渡單元接收數(shù)據(jù)包后通過身份可信認(rèn)證模塊認(rèn)后，被協(xié)議解封模塊解封，經(jīng)過解密模塊解密、數(shù)據(jù)校驗(yàn)?zāi)K的校驗(yàn)后，被自協(xié)議封包模塊按自有協(xié)議加封，并被數(shù)據(jù)包加密模塊加密，最后通過數(shù)據(jù)包傳輸模塊傳輸給數(shù)據(jù)擺渡單元； 數(shù)據(jù)擺渡單元存在一個(gè)CPU、兩個(gè)FIFO緩存和一個(gè)邏輯電路;CPU負(fù)責(zé)數(shù)據(jù)包的認(rèn)證、解密、解封、加密、封裝、物理鏈路校準(zhǔn);從外網(wǎng)處理單元接收到數(shù)據(jù)包以后，CPU首先對(duì)數(shù)據(jù)包進(jìn)行身份認(rèn)證，認(rèn)證通過后對(duì)數(shù)據(jù)包按照自議格式進(jìn)行解封，解封后對(duì)解封出的數(shù)據(jù)進(jìn)行解密，得到原始數(shù)據(jù)，寫入FIFO緩存;邏輯電路負(fù)責(zé)切斷外網(wǎng)處理單元與擺渡單元CPU的連接，并與內(nèi)網(wǎng)處理單元進(jìn)行連接;此時(shí)擺渡單元(PU讀取FIFO緩存中的數(shù)據(jù)，進(jìn)行加密、自協(xié)議封裝，并通過自協(xié)議通道發(fā)送給內(nèi)網(wǎng)處理單元；內(nèi)網(wǎng)處理單元接收到數(shù)據(jù)包后，進(jìn)行身份認(rèn)證，通過后對(duì)數(shù)據(jù)包進(jìn)行解封、加密、重新封裝成標(biāo)準(zhǔn)協(xié)議格式數(shù)據(jù)包，通過網(wǎng)口發(fā)送給客戶端。5.根據(jù)權(quán)利要求4所述的適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘，其特征在于，所述身份認(rèn)證模塊包括IP認(rèn)證、端口認(rèn)證，只有經(jīng)過所述身份可信認(rèn)證模塊認(rèn)證后數(shù)據(jù)包才可以發(fā)送到所述自協(xié)議解封模塊進(jìn)行解封;所述解密模塊將解封后的數(shù)據(jù)進(jìn)行解密得到原始數(shù)據(jù);所述數(shù)據(jù)校驗(yàn)?zāi)K，將原始數(shù)據(jù)進(jìn)行校驗(yàn);所述自協(xié)議封包模塊將原始按自定義協(xié)議格式進(jìn)行封裝;所述加密將封裝后的數(shù)據(jù)包進(jìn)行加密;所述數(shù)據(jù)包傳輸模塊將加密后的數(shù)據(jù)包發(fā)往內(nèi)網(wǎng)處理單元。6.根據(jù)權(quán)利要求1所述的適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘，其特征在于，所述內(nèi)網(wǎng)處理模塊包括身份認(rèn)證模塊、解密模塊、自協(xié)議解封模塊、數(shù)據(jù)校驗(yàn)?zāi)K、TCP封包模塊、數(shù)據(jù)包傳輸模塊；內(nèi)網(wǎng)處理單元接收數(shù)據(jù)包后通過身份可信認(rèn)證模塊認(rèn)后，被解密模塊解密、協(xié)議解封模塊解封，經(jīng)過數(shù)據(jù)校驗(yàn)?zāi)K的校驗(yàn)后，被TCP封包模塊按TCP協(xié)議加封，最后通過數(shù)據(jù)包傳輸模塊傳輸給數(shù)據(jù)擺渡單元。7.根據(jù)權(quán)利要求6所述的適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘，其特征在于，所述身份認(rèn)證模塊包括IP認(rèn)證、端口認(rèn)證，只有經(jīng)過所述身份可信認(rèn)證模塊認(rèn)證后數(shù)據(jù)包才可以發(fā)送到所述解密模塊進(jìn)行解密;所述自協(xié)議解封模塊將解密后的數(shù)據(jù)包解封，得到原始數(shù)據(jù);所述數(shù)據(jù)校驗(yàn)?zāi)K將原始數(shù)據(jù)進(jìn)行校驗(yàn);所述TCP封包模塊將通過校驗(yàn)的數(shù)據(jù)進(jìn)行封包，并通過所述數(shù)據(jù)包傳輸模塊發(fā)出。
【專利摘要】一種適用于工控網(wǎng)絡(luò)的單向傳輸內(nèi)外網(wǎng)安全隔離網(wǎng)閘，屬于工業(yè)控制網(wǎng)絡(luò)技術(shù)領(lǐng)域。包括外網(wǎng)處理單元、數(shù)據(jù)擺渡單元、內(nèi)網(wǎng)處理單元。外網(wǎng)處理單元通過數(shù)據(jù)擺渡單元與內(nèi)網(wǎng)處理單元相連，實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的軟件和硬件的同時(shí)隔離。所述的外網(wǎng)處理單元、數(shù)據(jù)擺渡單元、內(nèi)網(wǎng)處理單元三者完全獨(dú)立，其采用自定義協(xié)議進(jìn)行通信。優(yōu)點(diǎn)在于，該隔離網(wǎng)閘用于工控網(wǎng)絡(luò)與上位機(jī)公共網(wǎng)絡(luò)在物理隔離的條件下實(shí)現(xiàn)數(shù)據(jù)的單向傳輸，并可采用插件的形式控制身份認(rèn)證和內(nèi)容過濾，最大程度的保證了工控系統(tǒng)的可靠和安全。
【IPC分類】H04L29/06
【公開號(hào)】CN105656883
【申請(qǐng)?zhí)枴?br>【發(fā)明人】王麗娜, 孫希艷, 張權(quán), 付修章
【申請(qǐng)人】冶金自動(dòng)化研究設(shè)計(jì)院
【公開日】2016年6月8日
【申請(qǐng)日】2015年12月25日