本发明专利技术提供一种可信协议转换方法,用于第一工控系统和第二工控系统之间的协议转换,所述方法包括:接收待发送至第一工控系统的外部访问请求;根据预设白名单判断外部访问请求的合法性,并判断外部访问请求的访问类型,所述类型包括数据查询请求和控制操作请求;当外部访问请求为数据查询请求时,将自第一工控系统查询到的状态数据按照第二工控系统的协议进行组包,并发送至第二工控系统;当外部访问请求为控制操作请求时,按照第一工控系统的协议对控制操作请求进行组包,并发送给第一工控系统;相应的本发明专利技术还提供一种可信协议转换系统;本发明专利技术减少了工控系统间通信的延时,并提升了工控系统间通信的可靠性。
【技术实现步骤摘要】
本专利技术涉及工业信息
,特别涉及一种可信协议转换方法和系统。
技术介绍
随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备(Intelligent Electric Device,简称“ IED”)互联在一起,形成生产控制系统网络。各类工业控制网络协议都是基于IS0/0SI开放式系统互联模型,0SI参考模型共分为7层,工业控制网络通信协议则根据自身的特定加以简化,采用了物理层、数据链路层和网络层,同时考虑到现场装置的控制功能和具体运用又增加了应用层,实现异构网络之间的通信需要在不同的协议之间进行转换,这可通过网关来完成,网关又被称作网间协议转换器,用户连接采用不同通信协议的网络,实现网络之间的数据传输,协议转换器在具体实现技术上与它所互联的两个具体网络的协议有关,支持不同网络协议之间转换的协议转换器是不同的,由于各种工业控制网络协议在物理层、数据链路层、网络层和应用层上的定义基本都是不同的,因此针对工业控制协议的协议转换器宜采用协议网关的方式,在协议的上层实现协议转换。协议转换就是一种协议A映射到另一种协议B的过程,在协议转换的过程中,协议转换网关根据协议A的定义,分析出该协议数据包的内容,包括数据包中的传输控制部分和数据部分,再根据数据部分的信息分析出数据所包含的特定含义,通过数据映射定义表,将协议A数据包中的数据转换成协议B网络所支持数据内容,然后将数据封装入支持网络协议B的数据包,并通过协议B网络传送到指定的网络设备,在协议转换的过程中,协议的转换主要在网络层和应用层进行。由于工控系统管控一体化趋势逐渐加强,使得工控系统与信息管理系统与互联网相连通,同时工控系统日益复杂化,已经开始大量采用通用软件、通用硬件及通用协议,这使传统封闭的工控系统逐步暴露出来,直接面对来自外界网络的种种威胁,增加了工控系统的安全隐患。工控系统通常是从简单独立的系统发展成为复杂的网络系统,各个子系统之间设计缺乏保护措施,从而导致一个区域出现问题,很快就会传染到整个工控系统网络。传统的实现工业信息安全的方法是在工控系统网络中相互连接的子工控系统之间增设工业防火墙,虽然这种方式在一定程度上解决了安全隐患,但是这种情况下两个工控系统之间通信既要通过工业防火墙对请求信息进行“审核”又要经过协议转换器的转换,从而导致了工控系统间通信时延长、可靠性低的问题;此外,还存在由于普通工业防火墙针对应用层协议在链路层分包传输后,无法有效实施应用层白名单访问控制导致的安全风险的技术问题。
技术实现思路
本专利技术的实施方式提供一种可信协议转换方法及系统,以用于解决现有工控系统间通信时延长、可靠性低的问题。根据本专利技术的一个方面,提供了一种可信协议转换方法,用于第一工控系统和第二工控系统之间的协议转换,所述方法包括:接收待发送至第一工控系统的外部访问请求;根据预设白名单判断所述外部访问请求的合法性,并判断所述外部访问请求的访问类型,所述类型包括数据查询请求和控制操作请求;当所述外部访问请求为数据查询请求时,将自所述第一工控系统查询到的状态数据按照第二工控系统的协议进行组包,并发送至所述第二工控系统;当所述外部访问请求为控制操作请求时,按照第一工控系统的协议对所述控制操作请求进行组包,并发送给所述第一工控系统。根据本专利技术的另一个方面,还提供了一种可信协议转换系统,包括访问请求接收端口,接收待发送至第一工控系统的外部访问请求;访问合法性/访问类型判定模块,配置以根据预设白名单判断所述外部访问请求的合法性,并判断所述外部访问请求的访问类型,所述类型包括数据查询请求和控制操作请求;状态数据获取模块,配置以当所述外部访问请求是数据查询请求时,将自所述第一工控系统查询到的状态数据按照第二工控系统的协议进行组包,并发送至所述第二工控系统;数据组包模块,配置以当所述外部访问请求为控制操作请求时,按照第一工控系统的协议对所述控制操作请求进行组包,并发送给所述第一工控系统。本专利技术的实施方式的可信协议转换方法及系统通过将防火墙技术与工业协议转换技术进行融合,实现了工控系统的边界安全,通过提升工业协议转换器的边界安全防护能力,增强了工业协议转换器的自身安全防护功能,将协议转换过程与基于白名单的访问控制策略相结合,可通过一套装置、一次协议分析,实现使用不同应用层协议的两个或多个工控系统间的应用层协议转换、通信数据包过滤和阻断、入侵检测和病毒防护等工控系统信息安全防护功能,降低传统工控系统协议转换和信息安全防护需要同时部署协议转换器和工业防火墙两套装置导致的系统延时长、可靠性低等问题。【附图说明】为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术的可信协议转换方法一实施方式的流程图;图2为本专利技术的可信协议转换方法另一实施方式的流程图;图3为本专利技术的可信协议转换方法又一实施方式的流程图;图4为本专利技术的可信协议转换方法再一实施方式的流程图;图5为本专利技术的可信协议转换系统一实施方式的原理图;图6为本专利技术的可信协议转换系统另一实施方式的原理图;图7为本专利技术的可信协议转换系统再一实施方式的原理图。【具体实施方式】为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施方式及实施方式中的特征可以相互组合。还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”,不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。[003当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种可信协议转换方法,用于第一工控系统和第二工控系统之间的协议转换,所述方法包括:接收待发送至第一工控系统的外部访问请求;根据预设白名单判断所述外部访问请求的合法性,并判断外部访问请求的访问类型,所述访问类型包括数据查询请求和控制操作请求;当所述外部访问请求为数据查询请求时,将自所述第一工控系统查询到的状态数据按照第二工控系统的协议进行组包,并发送至所述第二工控系统;当所述外部访问请求为控制操作请求时,按照第一工控系统的协议对所述控制操作请求进行组包,并发送给所述第一工控系统。
【技术特征摘要】
【专利技术属性】
技术研发人员:潘洪勤,
申请(专利权)人:英赛克科技北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。