本发明专利技术提供了一种隐藏控制系统IP地址的安全数据采集装置,该装置包括X86主机和ARM主机,两主机之间采用无IP地址通讯。ARM主机由数据采集模块、数据解析模块以及第一数据通讯接口构成;X86主机由第二数据通讯接口、数据缓存模块、数据处理模块、数据封装模块以及数据发布模块构成;装置内部两主机之间的通信不再基于IP地址连接,从物理上隔离了DCS与MES间的网络连接,控制系统的IP地址从管理层侧不可见,从而避免了外网基于TCP/IP的针对控制系统的网络攻击、入侵以及病毒等安全威胁。
【技术实现步骤摘要】
一种隐藏控制系统IP地址的安全数据采集装置及采集方法
本专利技术涉及控制系统与管理系统间的数据安全交换,实现控制系统与管理系统间的物理隔离,具体为一种隐藏控制系统IP地址的安全数据采集装置及采集方法。
技术介绍
工业化与信息化的发展实现了传统计算机网络与工业控制网络的紧密融合,越来越多的企业管理信息系统,如石油、化工等典型流程工业的生产执行系统(MES),采用国际标准的OPC协议从集散控制系统(DCS)采集实时数据,进而完成优化控制,然而开放性在为用户带来效益的同时,由此引发的工控网络安全风险却大大增加。当前,DCS系统也都采用与管理系统相同的技术,如X86主板、Windows操作系统、TCP/IP通信等。而目前的绝大部分网络攻击都是基于TCP/IP协议的,因此控制系统所暴露的IP地址也逐渐被网络攻击所利用。特别是DCS在与MES通讯时,必须提供OPC接口,而OPC协议是完全基于TCP/IP协议的,处理不善极易暴露OPC服务器端的IP地址,即DCS的IP地址。这导致近年来控制系统的网络攻击问题日益突出,安全事件频发。目前,普通的数据采集装置一般还是采用与管理网相似的技术,如X86主板、Windows操作系统、IP方式通信等。而这样的软硬件平台与管理网络具有相同的架构,还不能从根本上实现DCS与MES间的物理隔离,故给控制系统的网络安全带来隐患。
技术实现思路
为解决现有技术存在的问题,本专利技术公开了一种隐藏控制系统IP地址的安全数据采集装置。该装置采用无IP地址的通讯方式,隔离控制系统与管理系统,实现控制系统安全防护,其网络防护能力显著提高,大幅降低外网利用IP地址对控制系统的攻击。该专利技术通过以下技术方案实现,一种隐藏控制系统IP地址的安全数据采集装置,该装置包括X86主机和ARM主机,两主机之间采用无IP地址通讯,实现控制系统DCS与管理系统MES间的物理隔离。优选的,所述ARM主机由数据采集模块、数据解析模块以及第一数据通讯接口顺次构成,数据采集模块用于采集DCS的数据;X86主机由第二数据通讯接口、数据缓存模块、数据处理模块、数据封装模块以及数据发布模块顺次构成,第二数据通讯接口用于同第一数据通讯接口进行数据传输,数据发布模块用于向MES发布数据。更优的,所述的第一数据通讯接口与第二数据通讯接口间的通讯能够隐藏控制系统DCS的IP地址。更优的,所述数据通讯包括有线方式和无线方式,其中有线方式为USB和串口;无线方式为蓝牙4.0。更优的,所述USB为正常通讯方式,串口和蓝牙4.0作为辅助应急通讯方式。一种隐藏控制系统IP地址的安全数据的采集方法,工作流程如下:(1)启动数据采集模块;(2)数据采集模块以OPC报文形式从DCS中采集数据;(3)数据解析模块解析出OPC报文data区数据;(4)第一数据通讯接口通过物理层将data区数据传递到第二数据通讯接口;(5)数据缓存模块存储data区数据;(6)数据处理模块根据白名单规则对data区数据进行深度过滤;(7)如果数据合法且已发生变化,则将过滤后的data区数据进一步处理;否则跳转到步骤(10);(8)数据封装模块将过滤完成的data区数据封装成OPC报文;(9)数据发布模块通过OPC报文对外发布数据;(10)判断是否继续采集数据,如果是,则跳转到步骤(2);否则程序结束。优选的,所述步骤(4)中数据通讯时,对每一个信息包进行如下操作:首先,X86主机会发送一个IN令牌包,请求读数据;然后,ARM主机将数据通过DATA1/DATA0数据包回传给X86主机;最后,X86主机将以下列方式加以响应:当数据已经正确接收时,X86主机发送ACK令牌包;当X86主机正在忙碌时,发出NAK握手包;当发生错误时,X86主机发出STALL握手包。优选的,所述步骤(4)中所述数据通讯包括有线方式和无线方式,其中有线方式为USB和串口;无线方式为蓝牙4.0;其中:蓝牙地址分为三个部分:24位地址低端部分LAP、16位非重要地址部分NAP以及8位地址高端部分UAP,LAP和UAP是生产厂商的唯一标识码,NAP由厂商内部自由分配;USB包的基本格式为:同步字段、PID字段、数据字段、CRC字段和包结尾字段。USB通讯时,第二数据通讯接口接收到USB包后,首先放入数据缓存模块;然后数据处理模块对数据进行过滤,即对USB总线传递过来的data区数据进行检测、比对和筛选;数据封装模块将过滤后的合法且已发生改变的数据重新打包成OPC报文;数据发布模块把筛选出的数据以OPC协议上传到实时数据库。更具体的,工作流程为:(1)启动数据采集模块,当数据采集模块启动时:从启动输入参数中,获取指定采集配置文件opccollcfg.ini,预先读取初始化配置文件opcsvrcfg.ini,加载采集配置文件opccollcfg.ini。初始化完成后,读取采集配置对象中的OPC连接信息,并连接到DCS的OPCServer。连接成功后,遍历采集配置文件opccollcfg.ini中的分组信息,向OPCServer对象中添加待采集数据分组并设置数据采集周期,添加分组成功后并激活分组。(2)数据解析模块:从缓存中读取OPC报文并解析,提取出data区数据。(3)第一通讯接口和第二通讯接口:两主机间的通讯采用USB总线。包是USB系统中信息传输的基本单元,所有待采集标签点数据都经过打包后在总线上传输。传输中,首先传输字节最低位,最后传输字节最高位。在USB包中,数据字段包含设备地址、端点号、帧序列号以及数据等内容。(4)数据缓存:缓存模块存储USB总线传输过来的data区数据,以备数据处理模块进一步过滤。有益效果:本专利技术公开了一种隐藏控制系统IP地址的安全数据采集装置,装置内部两主机之间的通信不再基于IP地址连接,从物理上隔离了DCS与MES间的网络连接,控制系统的IP地址从管理层侧不可见,从而避免了外网基于TCP/IP的针对控制系统的网络攻击、入侵以及病毒等安全威胁。附图说明图1是本专利技术安全数据采集装置无IP地址双主机通讯硬件框图;图2是本专利技术安全数据采集装置结构框图;图3是本专利技术安全数据采集装置工作流程图。具体实施方式下面结合附图,对本专利技术的具体实施方式作进一步说明。本实施例以本专利技术技术方案为前提进行实施,但本专利技术的保护范围不限于下述的实施例。实施例通过本专利技术提供的无IP地址双主机通讯,在网络层隔离的情况下,实现若干DCS与MES层的实时数据库IP21间的数据采集。该企业DCS系统包括浙江中控ECS-700、横河CS3000以及HoneywellTPS等等,本实施例以浙江中控ECS-700为例说明,总计采集775个模拟量标签。采集和发布使用国际标准OPC协议,X86和ARM之间采用USB2.0通讯,USB2.0理论最大传输速率为480Mbps(60MB/s),本安全数据采集装置需要的传输速率上限为20MB/s,USB2.0满足要求。如图1所示,X86主机采用型号为WAFER-CV-D25501/N26001的通用X86主板,其中CPU使用1.8GHzAtomTMD2550双核处理器;同时采用目前广泛应用的AT91SAM9X25型号的ARM主板,其中ARM处理器采用内核为ARM926EJ-STM的处理本文档来自技高网...
【技术保护点】
一种隐藏控制系统IP地址的安全数据采集装置,其特征在于该装置包括X86主机和ARM主机,两主机之间采用无IP地址通讯,实现控制系统DCS与管理系统MES间的物理隔离。
【技术特征摘要】
1.一种隐藏控制系统IP地址的安全数据采集装置,其特征在于该装置包括X86主机和ARM主机,两主机之间采用无IP地址通讯,实现控制系统DCS与管理系统MES间的物理隔离。2.根据权利要求1所述的一种隐藏控制系统IP地址的安全数据采集装置,其特征在于所述ARM主机由数据采集模块、数据解析模块以及第一数据通讯接口顺次构成,数据采集模块用于采集DCS的数据;X86主机由第二数据通讯接口、数据缓存模块、数据处理模块、数据封装模块以及数据发布模块顺次构成,第二数据通讯接口用于同第一数据通讯接口进行数据传输,数据发布模块用于向MES发布数据。3.根据权利要求2所述的一种隐藏控制系统IP地址的安全数据采集装置,其特征在于所述的第一数据通讯接口与第二数据通讯接口间的通讯能够隐藏控制系统DCS的IP地址。4.根据权利要求3所述的一种隐藏控制系统IP地址的安全数据采集装置,其特征在于所述数据通讯包括有线方式和无线方式,其中有线方式为USB和串口;无线方式为蓝牙4.0。5.根据权利要求4所述的一种隐藏控制系统IP地址的安全数据采集装置,其特征在于所述USB为正常通讯方式,串口和蓝牙4.0作为辅助应急通讯方式。6.一种基于权利要求1所述的一种隐藏控制系统IP地址的安全数据采集装置的采集方法,其特征在于工作流程如下:(1)启动数据采集模块;(2)数据采集模块以OPC报文形式从DCS中采集数据;(3)数据解析模块解析出OPC报文data区数据;(4)第一数据通讯接口通过物理层将data区数据传递到第二数据通讯接口;(5)数据缓存模块存储data区数据;(6)数据处理模块根据白名单规则对data区数据进行深度过滤;(7)如果数据合法且已发生变化,则将过滤后的data区数据进一步处理;否则跳转到步骤(10);(8)数据封装模块将过滤完成的data区数据封装成OPC报文;(9)数据发布模块通过OPC报文对外发布数据;(10)判断是否继续采集数据,如果是,则跳转到步骤(2);否则程序结束。7.根据权利要求6所述的一种隐藏控制系统IP地址的安全数据采集方法,其特征在于所述步骤(4)中数据通讯时,对每一个信息包进行如下操作:首先,X86主机会发送一个IN令牌包,请求读数据;然后,ARM主机将数据通过DATA1/DATA0数据包回传给X86主机;最后,X8...
【专利技术属性】
技术研发人员:朱雨,陈夕松,方鑫,王杰,冯攀峰,
申请(专利权)人:南京富岛信息工程有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。