一种应用于PROFINET工业以太网的安全隔离系统技术方案

技术编号:14233096 阅读:204 留言:0更新日期:2016-12-20 22:54
本发明专利技术公开了一种应用于PROFINET工业以太网的安全隔离系统。以应用前景广泛的PROFINET实时以太网为研究对象,将PROFINET通信协议深度检测功能与通用工业防火墙功能相结合,研发基于PROFINET的专用工业信息安全设备。除实现阻断网络攻击和病毒防护、防止控制网络和现场设备未经授权访问,以及数据加密、身份鉴别等通用信息安全保护功能外,还深入分析PROFINET网络通信特点,通过在组网初期根据组态信息预测网络通信行为、在线监测通信关系、实时吞吐量与非实时带宽,以及深度检测PROFINET应用层数据包等,来有效识别网络上异常通信情况。当出现安全威胁时,及时“隔离”PROFINET网络与外部网络的联系,并发送危险识别处理与报警日志,可对失控或故障主站进行安全下装。

Safety isolation system applied in PROFINET Industrial Ethernet

The invention discloses a safety isolation system applied to PROFINET industrial ethernet. The PROFINET real-time Ethernet wide application prospect as the research object, the communication protocol of PROFINET depth detection function and general industrial firewall function combination, based on the research and development of PROFINET special industrial information security equipment. In addition to realize blocking network attacks and virus protection, prevent and control network equipment, unauthorized access, data encryption, authentication and other general information security protection function, but also analyzes the characteristics of PROFINET network communication in the network, through the early prediction according to the configuration information network communication behavior, online monitoring, communication between real-time and non real-time throughput bandwidth, as well as the depth of detection of PROFINET application layer data packet, to effectively identify abnormal network communication. When there is a security threat, timely isolation of PROFINET network and the external network connection, and send the risk recognition and treatment of alarm log, can be out of control or safety under fault station.

【技术实现步骤摘要】

:本专利技术涉及工业以太网与信息安全领域,特别是PROFINET工业以太网的安全隔离领域。
技术介绍
:随着工业通信技术应用日益广泛,实践中,工业控制系统面临着日益突出的安全威胁问题。过去对工业控制系统的安全考虑较少,因为工业控制系统的通信网络是专用网络,普遍认为很难对工业控制系统造成安全威胁。但目前的技术发展趋势是:工业企业管控一体化和智能化,即工业企业的管理不在局限于上层信息交互,而是频繁获取底层生产制造系统的数据,甚至在有些场合下会直接与底层控制系统进行交互。最近国内外发生的多起由于安全导致的工业控制系统事故已引起国家相关部委高度重视,已充分认识到加强工业控制系统信息安全管理的重要性和紧迫性,并对重点领域工业控制系统提出了信息安全管理要求。近期在国内外发生的多起由于信息安全原因造成的工业控制系统事故,引起了国家相关部门的高度重视,在工信部协[2011]451号文件《关于加强工业控制系统信息安全管理的通知》,明确规定了重点领域工业控制系统信息安全管理要求,包括:连接管理要求、组网管理要求、配置管理要求、数据管理要求等。而且电力行业、石化行业都已出台或酝酿出台相关针对本行业的控制系统安全要求。这对于国内的工业控制设备及系统制造商提供了机遇和挑战。但目前国内工业控制设备及系统制造商在工业控制系统的安全技术研发投入严重不足,而且国内也没有相关的技术和产品。本专利技术的确立适时地填补了国内在工业以太网安全技术和产品的空白,将为行业提供急需的工业控制系统的安全解决方案,并带动国内企业加强工业控制系统的安全技术研究。对于国内的自动化设备及系统制造商,面临来自国外企业的巨大竞争压力。国内企业与国外公司的差距主要体现在系统级产品的技术水平,如:与整个生产和管理系统的信息共享、系统的诊断和管理功能、系统可靠性及安全性。提高系统诊断和管理功能,以及系统安全性都需构建系统级的通信网络。相比国外公司,国内企业工业通信的研发能力较弱,但国内企业对工业通信技术的研发投入明显加大,这可由国内企业生产的产品每年通过工业通信认证的数量得到验证。从目前情况判断,工业通信的安全技术必将是工业自动化技术的下一个热点技术,国外对工业通信的安全技术也处在起步阶段,与国内的研发情况大致相当。本专利技术技术方向为“工业以太网安全隔离技术”,其研发成果都可用于工业现场环境,并可将
这些安全隔离工具整合到工业控制系统中,构成工业控制系统的多层安全防御,这将提高工业产品和系统制造企业的产品竞争力。
技术实现思路
:为解决
技术介绍
所存在的问题,本专利技术公开了一种可长时间应用于现场的PROFINET安全隔离系统,将PROFINET通信协议深度检测功能与通用工业防火墙功能相结合,研发基于PROFINET的专用工业信息安全设备。本专利技术的系统包括通用防火墙的端口防护功能,检测并阻断网络攻击和病毒防护。本专利技术的系统可防止控制网络和现场设备的未授权访问,保护设备信息和数据不被泄漏和非法改变。本专利技术的系统基于PROFINET应用层数据包进行深度检测、协议分析,识别总线上的危险报文,如:恶意攻击报文、伪装报文等。本专利技术的系统具有PROFINET网络通信行为预测,根据组态信息来预测网络上正常的通信关系、带宽与吞吐量,通过将预测情况与实际通信进行对比来识别由于攻击或病毒影响的非正常通信。本专利技术的系统具有PROFINET网络用户数据加密技术,防止工程数据泄露,防止病毒的恶意攻击。本专利技术的系统具有关键信息预先存储和备份功能,可基于预先存储信息,对关键信息的访问和更改进行核查,也可对失控或故障主站的进行安全下装。本专利技术的系统具有智能交互技术,图形化显示网络通信统计,可接受对安全隔离器的功能配置,可发送危险识别处理与报警日志。附图说明:图1为本专利技术的系统原理图。图2为本专利技术的系统组成图。具体实施方式:本专利技术公开了一种可长时间应用于现场的PORFINET安全隔离系统,本专利技术的系统基于PROFINET通信特点,确定识别危险报文考虑的具体要素,如:通信质量统计数据、通信报文之间的逻辑关系、通信报文的时序关系、通信报文的协议符合性、具体应用限定条件等,提高安全识别程序的智能性和效率。本专利技术的系统具有通用防火墙功能、深度的PROFINET协议解析功能、分级的危险识别处理与报警功能、以及报文转发功能通过硬件FPGA实现,以提高实时性。图1示出了本专利技术的安全隔离系统的原理,该系统包括工业以太网安全隔离设备HMI模块和工业以太网安全隔离设备硬件模块两个子模块:其中工业以太网安全隔离HMI模块包括HMI界面(1)、配置单元(2)、状态查询单元(3)、日志记录单元(4)、报警单元(5)和安全隔离HMI智能通信单元(6),其中配置单元(2)、状态查询单元(3)、日志记录单元(4)、报警单元(5)相互独立工作,并都与安全隔离HMI智能通信单元进行数据后台共享,安全隔离HMI智能通信单元(6)通过以太网实现工业以太网安全隔离设备HMI和工业以太网安全隔离设备硬件模块的通信;工业以太网安全隔离设备硬件模块包括安全隔离智能交互单元(7)、工业以太网防火墙功能(8)、工业以太网深度解析单元(9)、危险报文智能识别单元(10)、关键数据预存单元(11)、关键信息附加审核单元(12)、用户数据加密单元(13)。其中各个安全功能单元从工业以太网主干网向工业以太网分支网具有次序关系,各个安全功能模块均接收来自安全隔离器智能交互单元的配置命令,并向其传递状态报警信息。进一步,安全隔离智能交互单元(7)由嵌入式处理器实现,可接受对安全隔离系统的功能配置,对危险报文的识别程序按专家系统模式进行设计,可发送危险识别处理和报警日志,通过以太网实现通信。进一步,工业以太网工业防火墙(8)由FPGA实现,主要作用于工业以太网的网络层和传输层,通过可配置的服务访问规则,保护工业控制网络免受非法用户的侵入,过滤非PROFINET协议报文,以及必要时将控制网络与上层网络隔离开。该工业以太网工业防火墙(8)
依据源IP地址、源端口号、目的IP地址、目的端口号、服务类型多种属性进行网络层报文过滤。进一步,工业以太网深度解析单元(9)由FPGA实现,完成从总线上实时将数据采集到设备中,根据报文结构在各通信层(如应用层、用户层)进行报文的解析。PROFINET协议通信速率较高,以太网络隔离器对PROFINET报文的接收、存储、分析、转发四个环节的实时性要求很高,因此模块实现时必须保证PROFINET时间要求。将PROFINET协议中有关各种报文结构、基本状态机、诊断机制等在该模块中以硬件子模块的形式实现。进一步,危险报文智能识别单元(10)由嵌入式处理器实现,接收从智能交互模块输入的现场总线控制系统正确的网络组态信息,作为网络通信状况的基本判定条件(如,合法主站的报文、合法的从站地址、合法的输入/输出数据等);根据这些判定条件以及其他网络特性(如,报文时序、设备状态等)识别危险报文并分析可能受到的攻击。进一步,关键数据预存单元(11)由嵌入式处理器实现,对于PROFINET控制网络中传输的关键信息,如应用关系建立,参数化和组态信息进行附加的安全审核,以进一步保障网络关键信息的可靠和安全,以及对失控主机实现安全重新下载安装。进一本文档来自技高网
...
一种<a href="http://www.xjishu.com/zhuanli/62/201510114276.html" title="一种应用于PROFINET工业以太网的安全隔离系统原文来自X技术">应用于PROFINET工业以太网的安全隔离系统</a>

【技术保护点】
一种应用于PROFINET工业以太网的安全隔离系统,其包括工业以太网安全隔离设备HMI模块和工业以太网安全隔离设备硬件模块,其中,所述的工业以太网安全隔离HMI模块包括HMI界面(1)、配置单元(2)、状态查询单元(3)、日志记录单元(4)、报警单元(5)和安全隔离HMI智能通信单元(6);所述的工业以太网安全隔离设备硬件模块包括安全隔离智能交互单元(7)、工业以太网防火墙(8)、工业以太网深度解析单元(9)、危险报文智能识别单元(10)、关键数据预存单元(11)、关键信息附加审核单元(12)、用户数据加密单元(13)。

【技术特征摘要】
1.一种应用于PROFINET工业以太网的安全隔离系统,其包括工业以太网安全隔离设备HMI模块和工业以太网安全隔离设备硬件模块,其中,所述的工业以太网安全隔离HMI模块包括HMI界面(1)、配置单元(2)、状态查询单元(3)、日志记录单元(4)、报警单元(5)和安全隔离HMI智能通信单元(6);所述的工业以太网安全隔离设备硬件模块包括安全隔离智能交互单元(7)、工业以太网防火墙(8)、工业以太网深度解析单元(9)、危险报文智能识别单元(10)、关键数据预存单元(11)、关键信息附加审核单元(12)、用户数据加密单元(13)。2.根据权利要求1所述的安全隔离系统,其特征在所述的配置单元(2)、所述的状态查询单元(3)、所述的日志记录单元(4)、所述的报警单元(5)相互独立工作,并都与所述的安全隔离HMI智能通信单元(6)进行数据后台共享,所述的安全隔离HMI智能通信单元(6)通过以太网实现工业以太网安全隔离设备HMI模块和工业以太网安全隔离设备硬件模块的通信。3.根据权利要求2所述的安全隔离系统,所述的安全隔离智能交互单元(7)由嵌入式处理器实现,可接受对安全隔离系统的功能配置,对危险报文的识别程序按专家系统模式进行设计,发送危险识别处理和报警日志,通过以太网实现通信。4.根据权利要求3所述的安全隔离系统,其特征在于:所述的工业以太网工业防火墙(8)由FPGA实现,用于工业以太网的网络层和传输层,通过可配置的服务访问规则,保护工业控制网络免受非法用户的侵入,过滤非PROFINET协议报文,以...

【专利技术属性】
技术研发人员:闫晓风赵艳领刘敏刘丹谢素芬
申请(专利权)人:机械工业仪器仪表综合技术经济研究所
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1