CN103618735A - 一种关于现场级控制网络的安全性的监视方法 - Google Patents
一种关于现场级控制网络的安全性的监视方法 Download PDFInfo
- Publication number
- CN103618735A CN103618735A CN201310659271.3A CN201310659271A CN103618735A CN 103618735 A CN103618735 A CN 103618735A CN 201310659271 A CN201310659271 A CN 201310659271A CN 103618735 A CN103618735 A CN 103618735A
- Authority
- CN
- China
- Prior art keywords
- message
- fieldbus
- bus
- module
- profibus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开了一种关于现场级控制网络的安全性的监视方法,该方法使用现场级控制网络安全监测系统,该系统包括:PROFIBUS接收器(1),磁偶隔离(2),EPCS4(3),NOR型FLASH芯片(4),外扩SRAM芯片(5),FPGA(6),MCU(7),802.3物理层收发器(8),USB物理层收发器(9),LED指示灯(10),24V转5V隔离(11),5V转1.2V模块(12),电压监控(13),24V热插拔电路(14),24V转5V模块(15),5V转3.3V模块(16),其特征在于,该方法包括实时采集现场总线报文,为所述的现场总线报文添加时标信息,分析所述的现场总线报文,识别现场总线上的危险报文,监测现场总线流量以监视报警总线上的流量异常。
Description
技术领域:
本发明涉及工业自动化网络与信息安全领域,特别是PROFIBUS-DP/PA现场总线的安全性的监视领域。
背景技术:
随着工业通信技术应用日益广泛,实践中,工业控制系统面临着日益突出的安全威胁问题。过去对工业控制系统的安全考虑较少,因为工业控制系统的通信网络是专用网络,普遍认为很难对工业控制系统造成安全威胁。但目前的技术发展趋势是:工业企业管控一体化和智能化,即工业企业的管理不在局限于上层信息交互,而是频繁获取底层生产制造系统的数据,甚至在有些场合下会直接与底层控制系统进行交互。最近国内外发生的多起由于安全导致的工业控制系统事故已引起国家相关部委高度重视,已充分认识到加强工业控制系统信息安全管理的重要性和紧迫性,并对重点领域工业控制系统提出了信息安全管理要求。
近期在国内外发生的多起由于信息安全原因造成的工业控制系统事故,引起了国家相关部门的高度重视,在工信部协[2011]451号文件《关于加强工业控制系统信息安全管理的通知》,明确规定了重点领域工业控制系统信息安全管理要求,包括:连接管理要求、组网管理要求、配置管理要求、数据管理要求等。而且电力行业、石化行业都已出台或酝酿出台相关针对本行业的控制系统安全要求。这对于国内的工业控制设备及系统制造商提供了机遇和挑战。但目前国内工业控制设备及系统制造商在工业控制系统的安全技术研发投入严重不足,而且国内也没有相关的技术和产品。本发明的确立适时地填补了国内在现场级安全技术和产品的空白,将为行业提供急需的工业控制系统的安全解决方案,并带动国内企业加强工业控制系统的安全技术研究。
对于国内的自动化设备及系统制造商,面临来自国外企业的巨大竞争压力。国内企业与国外公司的差距主要体现在系统级产品的技术水平,如:与整个生产和管理系统的信息共享、系统的诊断和管理功能、系统可靠性及安全性。提高系统诊断和管理功能,以及系统安全性都需构建系统级的通信网络。相比国外公司,国内企业工业通信的研发能力较弱,但国内企业对工业通信技术的研发投入明显加大,这可由国内企业生产的产品每年通过工业通信认证的数量得到验证。从目前情况判断,工业通信的安全技术必将是工业自动化技术的下一个热点技术,国外对工业通信的安全技术也处在起步阶段,与国内的研发情况大致相当。本技术研发方向为“工业控制网络安全诊断技术及系统”,其研发成果都可用于工业现场环境,并可将这些安全诊断系统整合到工业控制系统中,构成工业控制系统的多层安全防御,这将提高工业产品和系统制造企业的产品竞争力。
发明内容:
为解决背景技术所存在的问题,本发明公开了一种可长时间应用于现场的PROFIBUS安全诊断监视系统,通过研究PROFIBUS控制网络通信特点,分析威胁工业网络通信安全的类型,研发基于PROFIBUS的现场总线安全诊断监视系统。
本发明涉及一种关于现场级控制网络的安全性的监视方法,该方法使用现场级控制网络安全监测系统,该系统包括:PROFIBUS接收器(1),磁偶隔离(2),EPCS4(3),NOR型FLASH芯片(4),外扩SRAM芯片(5),FPGA(6),MCU(7),802.3物理层收发器(8),USB物理层收发器(9),LED指示灯(10),24V转5V隔离(11),5V转1.2V模块(12),电压监控(13),24V热插拔电路(14),24V转5V模块(15),5V转3.3V模块(16),其特征在于,该方法包括实时采集现场总线报文,为所述的现场总线报文添加时标信息,分析所述的现场总线报文,识别现场总线上的危险报文,监测现场总线流量以诊断报警总线上的流量异常。
本发明中的现场总线是PROFIBUS,可通过现场的24V电源供电工作,也可通过USB总线供电工作。
本发明具有PROFIBUS-DP和PROFIBUS-PA通信接口,本发明通过磁耦实现硬件模块与PROFIBUS总线的电气隔离。
本发明具有通信报文实时采集和分析技术,包括:实时采集PROFIBUS总线上的通信报文,分析各通信层信息和状态,列出总线上在线的所有主站和从站设备,动态识别总线传输速度。
本发明通过FPGA实现PROFIBUS总线数据的采集,支持自适应波特率,支持的波特率包括:9.6Kbps、19.2Kbps、31.25Kbps、45.45Kbps、93.75Kbps、187.5Kbps、500Kbps、1.5Mbps、3Mbps、6Mbps、12Mbps。
本发明通过FPGA为PROFIBUS总线报文添加时标信息,保证本发明的上位机监控软件中显示报文时间的准确性,时间精度小于1Tbit。
本发明通过对PROFIBUS总线报文的智能分析,实现对总线设备组态配置信息的安全监控,识别总线上的危险报文,包括:恶意攻击通信报文,篡改正常组态报文、伪装过程数据以及与组态信息不相符的非正常通信报文。
本发明通过对PROFIBUS总线报文的智能分析,实现对PROFIBUS总线流量的安全监控,诊断报警总线上的流量异常。
本发明具有智能交互技术,本发明通过以太网与上位机监控软件通信:硬件模块将安全监视结果上报上位机监控软件,上位机监控软件可对硬件模块进行安全功能监视功能的安全策略配置和发送危险报文识别的经验知识。
附图说明:
图1为本发明的系统应用示意图
图2为本发明的功能框架示意图
图3为本发明的硬件框架示意图
具体实施方式:
本发明公开了一种可长时间应用于现场的PROFIBUS的安全性的监视系统,本发明可应用于工业控制网络从安装、调试、到运行的各个阶段,本发明包括对现场总线数据进行接收、分析、安全诊断报警的硬件模块和运行于上位机的监视配置软件。
参见图2本发明的功能架构,RROFIBUS总线数据的前端采集由FPGA实现,首先通过自适应波特率模块实现对PROFIBUS总线数据传输速度的自动检测,自动扫描的波特率包括9.6Kbps、19.2Kbps、31.25Kbps、45.45Kbps、93.75Kbps、187.5Kbps、500Kbps、1.5Mbps、3Mbps、6Mbps、12Mbps;将接收到的每一个字节分别存储到FPGA内部的缓存中,直到16.5Tbit的包间隔定时器溢出,为一个完整的报文加入时标信息和报文数据链路层的诊断信息,并将完整报文的全部信息拷贝至FIFO中,PROFIBUS报文FIFO、FPGA控制寄存器、FPGA状态寄存器统一编址,构成了PROFIBUS输入采集功能块,与安全诊断功能块连接,实现PROFIBUS基础数据的读取。
进一步,本发明的硬件模块部分,为实现对基础PROFIBUS数据进行可配置的安全诊断监控的功能,底层采用uCOSII实时操作系统,驱动层包括TCP/IP v4协议栈、Local Bus驱动、GPIO驱动、定时器驱动、USB驱动、USART驱动、ETHERNET驱动,采用XML文件技术存储安全策略,本发明的硬件模块将按照XML中安全检查的内容逐条执行,上位机软件通过读写硬件模块的安全配置XML文件,实现安全配置的修改和危险报文经验知识的发送。
进一步,本发明的硬件模块的应用层程序包括安全诊断、安全配置和TCP/IP Server三个进程:其中安全诊断实现了依据安全配置策略对PROFIBUS基础数据完成安全诊断报警功能,并且可读取前端FPGA数据采集模块的状态寄存器和配置前端FPGA数据采集模块的控制寄存器;安全配置实现了对XML安全配置文件的读写功能,并在修改安全策略后为整个硬件模块提供软复位;TCP/IP Server为上位机监控软件提供了TCP/IP套接口的读写访问服务,通过共享内存与安全诊断和安全配置实现数据交换。
参见图3本发明的硬件架构,本发明的硬件部分包括:PROFIBUS接收器(1),磁偶隔离(2),EPCS4(3),NOR型FLASH芯片(4),外扩SRAM芯片(5),FPGA(6),MCU(7),802.3物理层收发器(8),USB物理层收发器(9),LED指示灯(10),24V转5V隔离(11),5V转1.2V模块(12),电压监控(13),24V热插拔电路(14),24V转5V模块(15),5V转3.3V模块(16)。
所述的PROFIBUS接收器包含了现场侧保护电路,可配置的终端匹配,和PROFIBUS报文接收机三部分;现场侧保护电路对来自现场总线和其它外界的过压、浪涌、静电进行防护,保护电路包含自恢复保险丝、TVS管、压敏电组;通过FPGA(6)的控制寄存器可配置是否具有PROFIBUS终端匹配;PROFIBUS接收机针对PROFIBUS-DP总线采用高速485收发器,针对PROFIBUS-PA总线采用西门子公司的SIM1-2收发器。
所述的光耦隔离(2)实现了现场总线侧与本发明硬件模块的电气隔离。
所述的EPCS4(3)为船型接口的FLASH芯片与FPGA(6)相连,为FPGA(6)的配置芯片,存储FPGA目标程序。
所述的NOR型FLASH芯片(4)与FPGA(6)相连,为本发明在不连接上位机软件时离线存储现场的安全诊断日志。
所述的SRAM芯片(5)与FPGA(6)相连,为本发明提供更大的内存扩展空间,可提供更大的缓冲存储空间。
所述的FPGA(6)实现了PROFIBUS数据前端采集功能,通过由16bit的地址总线和8bit的数据总线构成的Local Bus与MCU(7)连接,实现数据交换。
所述的802.3物理层收发器(8)与MCU(7)相连,实现了本发明硬件模块部分与本发明上位机软件部分的TCP/IP通信。
所述的USB物理层收发器(9)与MCU(7)相连,本发明的硬件模块部分可由现场24V供电,适用长时间在工业现场工作;在缺少24V直流电源的情况下,也可以通过USB供电,适用于灵活的便携应用。
所述的LED指示灯(10)由MCU(7)控制,可以指示电源状态,现场总线通信状态,和安全报警状态。
所述的24V转5V隔离(11),为PROFIBUS接收器(1)提供了隔离的5V电源。
所述的5V转1.2V模块(12),为FPGA(6)提供了内核电压。
所述的电压监控(13),为5V、3.3V、1.2V提供了电压低压监测。
所述的24V热插拔电路(14),为本发明的硬件模块部分提供慢速上电功能,抑制在电源热插拔过程中产生的过冲。
所述的24V转5V模块(15)为5V转1.2V模块(12)和5V转3.3V模块(16)提供5V电源。
所述的5V转3.3V模块(16)为MCU(7)和FPGA(6)及其外围电路提供电源。
以上是对本发明的软硬件较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换,这些等同的变形或者替换均包含在本申请权利要求所限的范围内。
Claims (7)
1.一种关于现场级控制网络的安全性的监视方法,该方法使用现场级控制网络安全监视系统,该系统包括:PROFIBUS接收器(1),磁偶隔离(2),EPCS4(3),NOR型FLASH芯片(4),外扩SRAM芯片(5),FPGA(6),MCU(7),802.3物理层收发器(8),USB物理层收发器(9),LED指示灯(10),24V转5V隔离(11),5V转1.2V模块(12),电压监控(13),24V热插拔电路(14),24V转5V模块(15),5V转3.3V模块(16),其特征在于,该方法包括实时采集现场总线报文,为所述的现场总线报文添加时标信息,分析所述的现场总线报文,识别所述的现场总线上的危险报文,监测现场总线流量以监视报警总线上的流量异常。
2.根据权利要求1所述的监视方法,其中,所述的现场总线是PROFIBUS。
3.根据权利要求2所述的监视方法,其中,所述的实时采集现场总线报文是通过FPGA实现的。
4.根据权利要求3所述的监视方法,其中,所述的实时采集现场总线报文中,报文支持的波特率是9.6Kbps、19.2Kbps、31.25Kbps、45.45Kbps、93.75Kbps、187.5Kbps、500Kbps、1.5Mbps、3Mbps、6Mbps、12Mbps中的一个。
5.根据权利要求1所述的监视方法,其中,所述的现场总线报文添加时标信息的时间精度小于1Tbit。
6.根据权利要求1所述的监视方法,其中,所述的分析现场总线报文包括分析各通信层信息和状态,列出总线上在线的所有主站和从站设备,动态识别总线传输速度。
7.根据权利要求1所述的监视方法,其中,所述的识别现场总线上的危险报文中,危险报文包括恶意攻击通信报文,篡改正常组态报文、伪装过程数据以及与组态信息不相符的非正常通信报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310659271.3A CN103618735A (zh) | 2013-12-10 | 2013-12-10 | 一种关于现场级控制网络的安全性的监视方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310659271.3A CN103618735A (zh) | 2013-12-10 | 2013-12-10 | 一种关于现场级控制网络的安全性的监视方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103618735A true CN103618735A (zh) | 2014-03-05 |
Family
ID=50169439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310659271.3A Pending CN103618735A (zh) | 2013-12-10 | 2013-12-10 | 一种关于现场级控制网络的安全性的监视方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103618735A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106054822A (zh) * | 2015-04-08 | 2016-10-26 | 西门子公司 | 规划和工程设计方法,软件工具和模拟工具 |
| CN106161084A (zh) * | 2016-06-15 | 2016-11-23 | 中国电子科技网络信息安全有限公司 | 一种适用于现场总线网络的信息安全防护装置及方法 |
| CN115189917A (zh) * | 2022-06-13 | 2022-10-14 | 上海华瑞众信技术有限公司 | 一种使用fpga+mcu实现的隔离装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1972287A (zh) * | 2006-12-05 | 2007-05-30 | 深圳市国电南思系统控制有限公司 | 通讯规约记录分析装置及其分析方法 |
| CN2930062Y (zh) * | 2006-06-07 | 2007-08-01 | 珠海派诺电子有限公司 | 电能质量在线分析监控装置 |
| WO2008091775A2 (en) * | 2007-01-23 | 2008-07-31 | Nabors Global Holdings, Ltd. | Method, device and system for drilling rig modification |
| CN201837868U (zh) * | 2009-12-14 | 2011-05-18 | 重庆大唐科技股份有限公司 | 网络智能测控仪表 |
| CN102797452A (zh) * | 2012-08-29 | 2012-11-28 | 南车株洲电力机车研究所有限公司 | 一种司钻控制装置、系统及方法 |
-
2013
- 2013-12-10 CN CN201310659271.3A patent/CN103618735A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2930062Y (zh) * | 2006-06-07 | 2007-08-01 | 珠海派诺电子有限公司 | 电能质量在线分析监控装置 |
| CN1972287A (zh) * | 2006-12-05 | 2007-05-30 | 深圳市国电南思系统控制有限公司 | 通讯规约记录分析装置及其分析方法 |
| WO2008091775A2 (en) * | 2007-01-23 | 2008-07-31 | Nabors Global Holdings, Ltd. | Method, device and system for drilling rig modification |
| CN201837868U (zh) * | 2009-12-14 | 2011-05-18 | 重庆大唐科技股份有限公司 | 网络智能测控仪表 |
| CN102797452A (zh) * | 2012-08-29 | 2012-11-28 | 南车株洲电力机车研究所有限公司 | 一种司钻控制装置、系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李一君: "水质在线监测系统的研究与设计", 《中国优秀博硕士学位论文全文数据库》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106054822A (zh) * | 2015-04-08 | 2016-10-26 | 西门子公司 | 规划和工程设计方法,软件工具和模拟工具 |
| US10521550B2 (en) | 2015-04-08 | 2019-12-31 | Siemens Aktiengesellschaft | Planning and engineering method, software tool and simulation tool for an automation solution |
| CN106161084A (zh) * | 2016-06-15 | 2016-11-23 | 中国电子科技网络信息安全有限公司 | 一种适用于现场总线网络的信息安全防护装置及方法 |
| CN115189917A (zh) * | 2022-06-13 | 2022-10-14 | 上海华瑞众信技术有限公司 | 一种使用fpga+mcu实现的隔离装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102647320B (zh) | 适用于高速1553总线协议控制的集成电路 | |
| CN105785853A (zh) | 在过程控制系统中将现场设备通信地耦合到控制器的装置和方法 | |
| CN106027351B (zh) | 一种嵌入式Web服务器现场总线故障诊断通信模块 | |
| CN205105252U (zh) | 一种消防物联网传输设备 | |
| CN103532738A (zh) | 一种端口连接关系的确定方法及装置 | |
| CN111740879A (zh) | 一种数据采集与数据转发网关实现方法 | |
| CN103618735A (zh) | 一种关于现场级控制网络的安全性的监视方法 | |
| CN111341063A (zh) | 用电设备安全预警监测智控系统、方法、装置及终端设备 | |
| CN102736617A (zh) | 一种profibus-dp总线的诊断方法 | |
| CN109633345B (zh) | 一种二次设备在线监测与分析装置 | |
| CN206542427U (zh) | 一种数据机房监控设备及系统 | |
| CN202363972U (zh) | 变电站二次系统的远程运维平台 | |
| CN110658777A (zh) | 基于hmi实现控制终端间通讯、交互及报警管理的方法 | |
| CN106646105A (zh) | 一种主站与行波测距装置之间的数据传输方法 | |
| CN219372095U (zh) | 一种用于机房的电力监控系统 | |
| CN205240980U (zh) | 一种小型电梯远程监控系统及故障报警系统 | |
| CN204631168U (zh) | 一种工业变流器远程诊断及维护系统 | |
| CN207319048U (zh) | 流水线故障定位及远程报警装置 | |
| CN116260710A (zh) | ProfiBus-DP网络间歇性中断定位装置及方法 | |
| CN204287957U (zh) | 一种制丝线profibus pa从站诊断系统 | |
| CN101436043B (zh) | 一种通讯服务器的通讯方法 | |
| CN203180973U (zh) | 一种基于无线网络燃料电池监控及数据传输系统的应用结构 | |
| CN102331765A (zh) | 一种嵌入式数字家庭监控系统 | |
| CN201867791U (zh) | 用于轨道交通的车载atp安全计算机 | |
| CN104267651A (zh) | 基于总线通讯的数字量输入输出模块 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140305 |
|
| RJ01 | Rejection of invention patent application after publication |