CN104539573A - 一种基于嵌入式系统的工业安全网关的通信方法及装置 - Google Patents
一种基于嵌入式系统的工业安全网关的通信方法及装置 Download PDFInfo
- Publication number
- CN104539573A CN104539573A CN201410597026.9A CN201410597026A CN104539573A CN 104539573 A CN104539573 A CN 104539573A CN 201410597026 A CN201410597026 A CN 201410597026A CN 104539573 A CN104539573 A CN 104539573A
- Authority
- CN
- China
- Prior art keywords
- data message
- digital signature
- described data
- industry spot
- industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于嵌入式系统的工业安全网关的通信方法及装置,有助于提高工业控制网络中数据传输的安全性。所述方法包括:获取工业现场的数据信息;通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;将加密后的所述数据信息及生成的数字签名信息发送至服务端。所述装置包括:获取单元,用于获取工业现场的数据信息;加密单元,用于通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;第一发送单元,用于将加密后的所述数据信息及生成的数字签名信息发送至服务端。本发明适用于工业自动化信息安全技术领域。
Description
技术领域
本发明涉及工业自动化信息安全技术领域,特别是指一种基于嵌入式系统的工业安全网关的通信方法及装置。
背景技术
传统的工业生产中,通过拷盘或人力传递的方式(比如:人工抄表,定期报表上报)获取工业现场的数据,例如:设备运行状态参数信息。这些传统方式难以满足当今工业控制网络对生产控制和信息管理的长周期、大数据量、实时监控以及精确性的要求。
如今,各种嵌入式设备构成的工业控制网络已经广泛地渗透到科学研究、工程设计、军事技术以及人们的日常生活等方方面面,实现嵌入式设备与信息网络互联已经成为了现代工业控制系统的发展趋势,但外部网络与嵌入式设备的工业控制网络实现互联时,由于外部网络的开放性,如何保证工业控制网络的数据安全就变成了一个严峻的问题。特别是对于石油、电力、钢铁及煤矿等生产工业和基础设施工业,它们对连续生产的安全性和可靠性有着极高的要求,而一旦实现了外部网络与工业控制网络之间的互联,就相当于将工业控制网络直接暴露给外部网络而面临被攻击的可能。
在工业控制市场,一般的企业从安全性考虑,不会选择联接外部网络,而是完全与外部网络隔离,从而形成了各种各样的“信息孤岛”。虽然有一部分公司在与外部网络进行联接时,选择常规的方法例如网络防火墙来进行防护,但常规的网络产品由于自身存在的缺陷与不足,不能满足工业控制网络较高的防护要求,或者因为不是专门针对工业控制网络设计,难以在工业场合安全稳定的应用。
发明内容
本发明要解决的技术问题是提供一种基于嵌入式系统的工业安全网关的通信方法及装置,以解决现有技术所存在的工业控制网络中数据传输的安全性问题。
为解决上述技术问题,本发明实施例提供一种基于嵌入式系统的工业安全网关的通信方法,包括:
获取工业现场的数据信息;
通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;
将加密后的所述数据信息及生成的数字签名信息发送至服务端。
可选地,所述获取工业现场的数据信息之后包括:
将获取的所述数据信息与所述安全网关中预设的工业流程数据特征值进行比较;
若所述数据信息小于所述工业流程预设的数据特征值,则启动所述加密和数字签名的操作对所述数据信息进行加密和数字签名的处理;
否则,生成报警信息并启动所述加密和数字签名的操作对所述报警信息进行加密和数字签名的处理,并将加密后的所述报警信息及生成的数字签名信息发送至服务端。
可选地,所述方法还包括:
获取外部网络的数据信息。
可选地,所述获取外部网络的数据信息之后包括:
将获取的所述数据信息与所述安全网关的规则库中预设的规则进行匹配,若匹配失败,则允许所述数据信息访问工业现场,若匹配成功,则禁止所述数据信息访问工业现场。
可选地,所述获取外部网络的数据信息之后包括:
将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址进行比对,若所述数据信息的ip地址包含在所述白名单列表中,则允许所述数据信息访问工业现场,否则,禁止所述数据信息访问工业现场。
本发明实施例所述的基于嵌入式系统的工业安全网关的通信方法,获取工业现场的数据信息,再通过选择和/或定制的加密算法对获取的所述工业现场的数据信息进行加密和数字签名处理,最后将加密后的所述数据信息及生成的数字签名信息发送至服务端。这样,本发明实施例能根据工业现场的条件、数据规模、安全性要求及实时性要求,主动合理的选择各类加密算法及密钥长度对获取的工业现场的数据信息进行加密和数字签字处理,从而提高工业控制网络中数据传输的安全性。
另一方面,本发明实施例还提供一种基于嵌入式系统的工业安全网关的通信装置,包括:
获取单元:用于获取工业现场的数据信息;
加密单元:用于通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;
第一发送单元:用于将加密后的所述数据信息及生成的数字签名信息发送至服务端。
可选地,所述装置还包括:
比较单元:用于将获取的所述数据信息与所述安全网关中预设的工业流程数据特征值进行比较;
启动单元:用于当所述数据信息小于所述工业流程预设的数据特征值时,则启动所述加密和数字签名的操作对所述数据信息进行加密和数字签名的处理;
生成单元:用于当所述数据信息不小于所述工业流程预设的数据特征值时,生成报警信息;
所述启动单元:还用于启动所述加密和数字签名的操作对所述报警信息进行加密和数字签名的处理;
第二发送单元:用于将加密后的所述报警信息及生成的数字签名信息发送至服务端。
可选地,所述获取单元:还用于获取外部网络的数据信息。
可选地,所述装置还包括:
匹配单元:用于将获取的所述数据信息与所述安全网关的规则库中预设的规则进行匹配;
允许单元:用于当匹配失败时,允许所述数据信息访问工业现场;
禁止单元:用于当匹配成功时,禁止所述数据信息访问工业现场。
可选地,所述装置还包括:
比对单元:将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址进行比对;
所述允许单元:还用于当所述数据信息的ip地址包含在所述白名单列表时,允许所述数据信息访问工业现场;
所述禁止单元:还用于当所述数据信息的ip地址不包含在所述白名单列表时,禁止所述数据信息访问工业现场。
本发明实施例所述的基于嵌入式系统的工业安全网关的通信方法,获取单元获取工业现场的数据信息,再通过加密单元选择和/或定制的加密算法对获取的所述工业现场的数据信息进行加密和数字签名处理,最后通过第一发送单元将加密后的所述数据信息及生成的数字签名信息发送至服务端。这样,本发明实施例能根据工业现场的条件、数据规模、安全性要求及实时性要求,主动合理的选择各类加密算法及密钥长度对获取的工业现场的数据信息进行加密和数字签字处理,从而提高工业控制网络中数据传输的安全性。
附图说明
图1为本发明实施例一提供的基于嵌入式系统的工业安全网关的通信方法流程图;
图2为本发明实施例提供的串口扩展电路示意图;
图3为本发明实施例提供的网口扩展电路示意图;
图4为本发明实施例提供的ARM核心板扩展接口示意图;
图5为本发明实施例提供的USB接口扩展电路示意图;
图6为本发明实施例提供的SD卡槽扩展电路示意图;
图7为本发明实施例提供的USBKEY设备电路示意图;
图8为本发明实施例提供的USBKEY设备与SPI接口的连接电路示意图;
图9为本发明实施例二提供的基于嵌入式系统的工业安全网关的通信装置的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的工业控制网络的数据安全的问题,提供一种基于嵌入式系统的工业安全网关的通信方法及装置。
实施例一
如图1所示为本发明实施例一提供的基于嵌入式系统的工业安全网关的通信方法的具体实施方式,包括:
S101:获取工业现场的数据信息;
S102:通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;
S103:将加密后的所述数据信息及生成的数字签名信息发送至服务端。
本发明实施例所述的基于嵌入式系统的工业安全网关的通信方法,获取工业现场的数据信息,再通过选择和/或定制的加密算法对获取的所述工业现场的数据信息进行加密和数字签名处理,最后将加密后的所述数据信息及生成的数字签名信息发送至服务端。这样,本发明实施例能根据工业现场的条件、数据规模、安全性要求及实时性要求,主动合理的选择各类加密算法及密钥长度对获取的工业现场的数据信息进行加密和数字签字处理,从而提高工业控制网络中数据传输的安全性。
本发明实施例中,例如,所述安全网关可以通过RS232接口、RS485接口和/或RJ45接口获取工业现场的数据信息。本发明实施例中,例如,所述安全网关可以采用Central Processing Unit(CPU)为德州仪器(Texas Instruments,TI)AM335X Cortex-A8处理器,运行主频最高可达1GHz,Cortex-A8架构,拥有512M DDR3内存,256M SLC NandFlash的高级精简指令集机器(AdvancedRISC Machine,ARM)核心板作为主控制板。所述ARM核心板运行在嵌入式Linux系统上,该Linux系统是开源的Linux3.2.0版本内核针对工业流程规则裁剪定制而来的,裁剪后的内核包括:基本的运行模块、串口驱动模块、安全数码卡(Secure Digital Memory Card,,SD卡)驱动模块、通用串行总线(Universal Serial Bus,USB)驱动模块、网卡驱动模块、串行外围设备接口(SerialPeripheral interface,SPI)驱动模块及针对A980加密芯片的电子钥匙(USBKEY)驱动模块,所述内核体积小、速度快、运行稳定,低功耗又有完备的网络通信协议,能够保障ARM核心板安全有效的运行。
本发明实施例中,如图3所示,例如,可以使用MAX3232芯片提扩展ARM核心板的串口部分,得到2个RS232接口,包括:串口0和串口1。默认情况下,串口0用于控制终端(如:PC上位机)对ARM核心板进行设置,串口1则可以用于接收工业现场的数据,同时使用MAX485芯片扩展ARM核心板的RS485接口,使得所述ARM核心板支持RS485总线通信。所述ARM核心板配有串口驱动模块,能够保证接入串口的设备可以按照串口的方式平稳有效的运行。
本发明实施例中,如图4所示,例如,通过两个AR8031芯片扩展所述ARM核心板的网络接口部分得到双网口ETH0(RJ45)及ETH1(RJ45)。默认配置下,网口ETH0(RJ45)作为网络数据的输入端口,用于接收工业现场的数据,比如电机的转速、转矩、电流及电压等参数信息,并且所述网口ETH0(RJ45)满足Modbus TCP或TCP/IP协议规范;所述网口ETH1(RJ45)则作为外部网络数据输入和输出端口,用于连接因特网(Internet)。所述ARM核心板配有网卡驱动模块,能够保证接入网口的设备可以平稳有效的运行。
本发明实施例中,参看图4所示,还可以通过外围扩展板扩展所述ARM核心板的其它接口,所述其它接口包括:SD卡槽、USB接口及SPI接口,且所述外围扩展板还包括电源保护电路,使电源在恶劣环境及突发故障情况下安全可靠地工作。
本发明实施例中,如图5所示,例如,可以使用一个USB2514B芯片对ARM核心板进行扩展,扩展出两个USB接口,即USB接口0和USB接口1。默认情况下,USB接口0用于连接USBKEY设备,USB接口1可用于连接U盘等外部移动设备。所述ARM核心板配有针对A980加密芯片的USBKEY驱动模块和USB驱动模块能够保证接入USB接口的设备可以平稳有效的运行。
本发明实施例中,如图6所示为ARM核心板扩展出的SD卡槽电路图,该SD卡槽一方面可以用于接入的SD卡批量烧写Linux内核,从而批量制作所述ARM核心板,另一方面当插入SD卡槽的SD卡内配有内核和文件系统的备份时,可以利用所述SD卡启动并运行所述ARM核心板。所述ARM核心板配有SD卡驱动模块,能够保证接入SD卡槽的设备可以按照SD卡的方式平稳有效的运行。
本发明实施例中,通过对原ARM核心板进行相应的接口扩展,使所述安全网关能够采集工业现场的数据和进行外部通信,且所述ARM核心板及外围扩展板都采用符合工业现场恶劣环境的元器件,并设计密封性良好的外壳,抗污及抗腐蚀能力强。
本发明实施例中,例如,可以通过加密设备去选择和/或定制的加密算法对获取的所述工业场所的数据信息进行加密,并生成数字签名信息,而不是采用纯软件加密的方式,能够保证数据加密速度和数字签名速度的同时,还能够减轻所述安全网关的计算负担,其中,所述加密设备是成对出现的,且采用复用模式,既可以采用USB接口进行数据交互,也可以使用SPI接口进行数据交互。
本发明实施例中,例如,可以通过USBKEY设备对所述数据信息进行加密并生成数字签名信息,具体的包括:所述USBKEY设备通过选定的加密算法(比如:DES加密算法)和密钥长度对所述数据信息(比如:电机的电流、电压、力矩及转速等参数信息)进行加密得到密文,并利用摘要算法得到所述密文的摘要,再利用已方的私钥对所述摘要进行加密得到数字签名信息。
本发明实施例中,例如,可以根据工业现场条件、数据规模、安全性要求及实时性要求,主动灵活选用的选用各类加密算法及密钥长度。这样,一方面保证数据加密的有效性,另一方面保证加密数据的实时性,所述加密算法包括对称加密算法和非对称加密算法,其中,对称加密算法包括DES/3DES加密算法、AES加密算法及SMS4加密算法等;非对称加密算法包括RSA加密算法,所述RSA加密算法的私钥用于对加密数据进行数字签名,公钥用于对加密数据进行认证,从而保证工业数据传输的安全性、完整性、可验证性以及防抵赖性。
本发明实施例中,如图7所示为使用A980加密芯片制作的USBKEY设备电路图,所述USBKEY设备采用复用模式,既可以按照USB通信方式与所述ARM核心板进行数据交互,也可以按照SPI通信方式与所述ARM核心板进行数据交互(如图8所示),因为,所述ARM核心板同时也配置有对应的SPI驱动程序,保证接入SPI接口的设备可以按照SPI的方式平稳有效的运行。所述USBKEY设备包括:晶振模块、复位模块、USB通信接口、电源指示模块及六针的SPI接口(其中的四针用于通信、时钟和片选信号,另外两针用于供给电压和接地)。无论采用何种通信方式,该USBKEY设备需成对出现,包括:USBKEY0及USBKEY1,其中,USBKEY0用于连接所述安全网关,同时USBKEY1用于连接服务端(如:PC上位机)。
本发明实施例中,例如,可以通过ETH1(RJ45)接口将所述密文及数字签名信息发送至服务端,由所述服务端通过配对的所述USBKEY设备对加密后的所述数据及数字签名信息进行解密认证,具体的步骤:对所述密文采用与相同的摘要算法得到所述密文的摘要,并利用公钥对所述数字签名信息进行解密,同时将得到所述密文的摘要和解密结果进行比较,若对比结果相同则认证通过,说明接收到的是有效数据,存入数据库,并根据解密后的数据通过所述安全网关向工业现场发送经过所述配对的USBKEY设备加密处理的控制指令,从而提高控制命令的安全性,否则,认证不通过,说明接收到的是无效数据,则丢弃。
本发明实施例中,例如,所述安全网关可以通过ETH1(RJ45)接口将所述数据信息发送至外部网络,这样实现了非网络协议向网络协议的转换,也就是所述安全网关支持多种现场协议与标准TCP/IP通信协议的相互转换(异构通信协议转换),通过对所述数据信息进行异构通信协议转换能够保证工业现场的数据信息准确、实时、安全的传输到服务端,同时服务端也能够根据接收的数据的状态主动的发出控制指令来控制工业现场设备的运行。所述异构通信协议包括:Profibus总线通信协议、Hostlink通信协议、Modbus RTU通信协议、Modbus TCP通信协议、USS通信协议、标准TCP/IP通信协议。
在前述基于嵌入式系统的工业安全网关的通信方法的具体实施方式中,可选地,所述获取工业现场的数据信息(S101)之后包括:
将获取的所述数据信息与所述安全网关中预设的工业流程数据特征值进行比较;
若所述数据信息小于所述工业流程预设的数据特征值,则启动所述加密和数字签名的操作对所述数据信息进行加密和数字签名的处理;
否则,生成报警信息并启动所述加密和数字签名的操作对所述报警信息进行加密和数字签名的处理,并将加密后的所述报警信息及生成的数字签名信息发送至服务端。
本发明实施例中,例如,可以根据各个工业生产流程的数据特征,所述工业生产流程包括:起重机设备控制、石油化工设备控制、轧钢设备控制等,以起重机设备控制为例,记录基于时间点的起重机设备控制数据流量值,通过精确推理或不精确推理方式(例如:可信度方法、概率方法、模糊逻辑方法)得到该工业流程的数据特征,所述数据特征包括:数据流量特征和/或参数阈值,并将该数据流量特征和/或参数阈值转化为特定的数据模型加入到所述安全网关中,并通过所述安全网关对获取的工业现场的数据信息进行主动的数据流量或参数阈值检测,从而确定是否向服务端发送报警。当获取的工业现场的数据信息小于所述工业流程预设的数据特征值时,则对所述数据信息进行加密和数字签名的处理,并将所述数据新发送至服务端,否则,生成报警信息并通过对所述报警信息进行加密和数字签名的处理,并将加密后的所述报警信息及生成的数字签名信息发送至服务端,例如,通过USBKEY设备选定加密算法和密钥长度对所述报警信息进行加密并生成数字签名信息。
在前述的基于嵌入式系统的工业安全网关的通信方法的具体实施方式中,可选地,还包括:获取外部网络的数据信息。
本实施例中,例如,可以通过RJ45接口获取外部网路的数据信息。
在前述的基于嵌入式系统的工业安全网关的通信方法的具体实施方式中,可选地,所述获取外部网络的数据信息之后包括:
将获取的所述数据信息与所述安全网关的规则库中预设的规则进行匹配,若匹配失败,则允许所述数据信息访问工业现场,若匹配成功,则禁止所述数据信息访问工业现场。
本发明实施例中,例如,可以依照Snort轻量级规则检验机制参照专家规则库建设包含现有攻击方式的经验规则库,并将所述规则库加入到所述安全网关中,当外部网路的数据信息访问所述安全网关时,所述安全网关可以按照预设的规则库中规则对所述外部网路的数据信息进行规则匹配,若匹配失败,则允许所述数据信息访问工业现场,若匹配成功,则禁止所述数据信息访问工业现场,这样,通过所述安全网关中预设的规则库对所述外部网络的数据信息进行实时检测及主动防御,从而杜绝已有的攻击方式,对工业现场进行及时的防护。
在前述的基于嵌入式系统的工业安全网关的通信方法的具体实施方式中,可选地,所述获取外部网络的数据信息之后包括:
将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址进行比对,若所述数据信息的ip地址包含在所述白名单列表中,则允许所述数据信息访问工业现场,否则,禁止所述数据信息访问工业现场。
本发明实施例中,例如,可以将可靠的IP地址加入到所述安全网关的白名单列表中,也可以将可靠的IP地址的范围加入到所述白名单列表中,当外部网路的数据信息访问所述安全网关时,将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址或ip地址范围进行比对,当所述数据信息的ip地址包含在所述白名单列表中时,则允许所述数据信息访问工业现场,否则,禁止所述数据信息访问工业现场,这样,通过白名单策略对所述外部网络的数据信息进行实时检测及主动防御,防止外部未授权的个人或者组织有意或无意的访问工业现场,从而进一步保证了工业现场的安全性。
实施例二
本发明还提供一种基于嵌入式系统的工业安全网关的通信装置的具体实施方式,由于本发明提供的基于嵌入式系统的工业安全网关的通信装置与前述基于嵌入式系统的工业安全网关的通信方法的具体实施方式相对应,该工业安全网关的通信装置可以通过执行上述方法具体实施方式中的流程步骤来实现本发明的目的,因此上述对工业安全网关的通信方法具体实施方式中的解释说明,也适用于本发明提供的工业安全网关的通信装置的具体实施方式,在本发明以下的具体实施方式中将不再赘述。
参看图9所示,本发明实施例二提供的基于嵌入式系统的工业安全网关的通信装置,包括:
获取单元101:用于获取工业现场的数据信息;
加密单元102:用于通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;
第一发送单元103:用于将加密后的所述数据信息及生成的数字签名信息发送至服务端。
本发明实施例所述的基于嵌入式系统的工业安全网关的通信方法,获取单元101获取工业现场的数据信息,再通过加密单元102选择和/或定制的加密算法对获取的所述工业现场的数据信息进行加密和数字签名处理,最后通过第一发送单元103将加密后的所述数据信息及生成的数字签名信息发送至服务端。这样,本发明实施例能根据工业现场的条件、数据规模、安全性要求及实时性要求,主动合理的选择各类加密算法及密钥长度对获取的工业现场的数据信息进行加密和数字签字处理,从而提高工业控制网络中数据传输的安全性。
在前述的基于嵌入式系统的工业安全网关的通信装置的具体实施方式中,可选地,还包括:
比较单元:用于将获取的所述数据信息与所述安全网关中预设的工业流程数据特征值进行比较;
启动单元:用于当所述数据信息小于所述工业流程预设的数据特征值时,则启动所述加密和数字签名的操作对所述数据信息进行加密和数字签名的处理;
生成单元:用于当所述数据信息不小于所述工业流程预设的数据特征值时,生成报警信息;
所述启动单元:还用于启动所述加密和数字签名的操作对所述报警信息进行加密和数字签名的处理;
第二发送单元:用于将加密后的所述报警信息及生成的数字签名信息发送至服务端。
在前述的基于嵌入式系统的工业安全网关的通信装置的具体实施方式中,可选地,所述获取单元:还用于获取外部网络的数据信息。
在前述的基于嵌入式系统的工业安全网关的通信装置的具体实施方式中,可选地,还包括:
匹配单元:用于将获取的所述数据信息与所述安全网关的规则库中预设的规则进行匹配;
允许单元:用于当匹配失败时,允许所述数据信息访问工业现场;
禁止单元:用于当匹配成功时,禁止所述数据信息访问工业现场。
在前述的基于嵌入式系统的工业安全网关的通信装置的具体实施方式中,可选地,还包括:
比对单元:将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址进行比对;
所述允许单元:还用于当所述数据信息的ip地址包含在所述白名单列表时,允许所述数据信息访问工业现场;
所述禁止单元:还用于当所述数据信息的ip地址不包含在所述白名单列表时,禁止所述数据信息访问工业现场。
本发明实施例中,通过外围扩展板扩展ARM核心板的接口,使所述安全网关能够通过获取单元101利用扩展的RS232接口、RS485接口和/或RJ45接口获取工业现场的数据信息,并对获取的所述数据信息进行异构通信协议转换,再通过加密单元102利用A980加密芯片制作的USBKEY设备通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理,并将加密后的数据通过第一发送单元103发送至服务端,从而提高工业控制网络中数据传输的安全性。所述安全网关还可以通过获取单元101利用扩展的RJ45接口获取外部网络的数据信息,并对获取的所述数据信息进行异构通信协议转换,再通过匹配单元利用规则库和白名单列表对获取的所述数据信息进行实时检测,杜绝已有的攻击方式或者未授权的个人及组织访问工业现场,对工业现场进行及时的防护。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于嵌入式系统的工业安全网关的通信方法,其特征在于,包括:
获取工业现场的数据信息;
通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;
将加密后的所述数据信息及生成的数字签名信息发送至服务端。
2.根据权利要求1所述的基于嵌入式系统的工业安全网关的通信方法,其特征在于,所述获取工业现场的数据信息之后包括:
将获取的所述数据信息与所述安全网关中预设的工业流程数据特征值进行比较;
若所述数据信息小于所述工业流程预设的数据特征值,则启动所述加密和数字签名的操作对所述数据信息进行加密和数字签名的处理;
否则,生成报警信息并启动所述加密和数字签名的操作对所述报警信息进行加密和数字签名的处理,并将加密后的所述报警信息及生成的数字签名信息发送至服务端。
3.根据权利要求1所述的基于嵌入式系统的工业安全网关的通信方法,其特征在于,还包括:
获取外部网络的数据信息。
4.根据权利要求3所述的基于嵌入式系统的工业安全网关的通信方法,其特征在于,所述获取外部网络的数据信息之后包括:
将获取的所述数据信息与所述安全网关的规则库中预设的规则进行匹配,若匹配失败,则允许所述数据信息访问工业现场,若匹配成功,则禁止所述数据信息访问工业现场。
5.根据权利要求3所述的基于嵌入式系统的工业安全网关的通信方法,其特征在于,所述获取外部网络的数据信息之后包括:
将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址进行比对,若所述数据信息的ip地址包含在所述白名单列表中,则允许所述数据信息访问工业现场,否则,禁止所述数据信息访问工业现场。
6.一种基于嵌入式系统的工业安全网关的通信装置,其特征在于,包括:
获取单元:用于获取工业现场的数据信息;
加密单元:用于通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;
第一发送单元:用于将加密后的所述数据信息及生成的数字签名信息发送至服务端。
7.根据权利要求6所述的基于嵌入式系统的工业安全网关的通信装置,其特征在于,还包括:
比较单元:用于将获取的所述数据信息与所述安全网关中预设的工业流程数据特征值进行比较;
启动单元:用于当所述数据信息小于所述工业流程预设的数据特征值时,则启动所述加密和数字签名的操作对所述数据信息进行加密和数字签名的处理;
生成单元:用于当所述数据信息不小于所述工业流程预设的数据特征值时,生成报警信息;
所述启动单元:还用于启动所述加密和数字签名的操作对所述报警信息进行加密和数字签名的处理;
第二发送单元:用于将加密后的所述报警信息及生成的数字签名信息发送至服务端。
8.根据权利要求6所述的基于嵌入式系统的工业安全网关的通信装置,其特征在于,所述获取单元:还用于获取外部网络的数据信息。
9.根据权利要求8所述的基于嵌入式系统的工业安全网关的通信装置,其特征在于,还包括:
匹配单元:用于将获取的所述数据信息与所述安全网关的规则库中预设的规则进行匹配;
允许单元:用于当匹配失败时,允许所述数据信息访问工业现场;
禁止单元:用于当匹配成功时,禁止所述数据信息访问工业现场。
10.根据权利要求8所述的基于嵌入式系统的工业安全网关的通信装置,其特征在于,还包括:
比对单元:将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址进行比对;
所述允许单元:还用于当所述数据信息的ip地址包含在所述白名单列表时,允许所述数据信息访问工业现场;
所述禁止单元:还用于当所述数据信息的ip地址不包含在所述白名单列表时,禁止所述数据信息访问工业现场。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410597026.9A CN104539573B (zh) | 2014-10-30 | 2014-10-30 | 一种基于嵌入式系统的工业安全网关的通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410597026.9A CN104539573B (zh) | 2014-10-30 | 2014-10-30 | 一种基于嵌入式系统的工业安全网关的通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104539573A true CN104539573A (zh) | 2015-04-22 |
| CN104539573B CN104539573B (zh) | 2018-07-27 |
Family
ID=52855042
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410597026.9A Active CN104539573B (zh) | 2014-10-30 | 2014-10-30 | 一种基于嵌入式系统的工业安全网关的通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104539573B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105046151A (zh) * | 2015-07-06 | 2015-11-11 | 北京科技大学 | 一种旋转类设备的码盘防护装置及方法 |
| CN105592107A (zh) * | 2016-03-01 | 2016-05-18 | 南京富岛信息工程有限公司 | 一种基于fpga的工业过程数据安全采集装置及方法 |
| CN107786404A (zh) * | 2017-09-20 | 2018-03-09 | 北京东土科技股份有限公司 | 工业互联网现场层宽带总线架构的安全性实现方法及装置 |
| CN107846422A (zh) * | 2017-12-22 | 2018-03-27 | 福建星网智慧软件有限公司 | 一种网关的配置文件加密压缩和解密解压缩的方法 |
| CN108023861A (zh) * | 2016-11-03 | 2018-05-11 | 沈阳高精数控智能技术股份有限公司 | 一种用于开放式数控系统的工业非军事区部署及访问方法 |
| CN110679129A (zh) * | 2017-05-23 | 2020-01-10 | 西门子股份公司 | 用于保护尤其是在工业制造和/或自动化的通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的方法和设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN200962604Y (zh) * | 2006-09-14 | 2007-10-17 | 北京科东电力控制系统有限责任公司 | 电力专用纵向加密认证网关设备 |
| US20100217967A1 (en) * | 2007-08-28 | 2010-08-26 | Abb Research Ltd | Real-time communication security for automation networks |
| CN102891795A (zh) * | 2012-10-11 | 2013-01-23 | 上海金自天正信息技术有限公司 | 一种工业安全通信网关 |
| CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
| CN103441926A (zh) * | 2013-08-27 | 2013-12-11 | 西北工业大学 | 数控机床网安全网关系统 |
| CN103475478A (zh) * | 2013-09-03 | 2013-12-25 | 广东电网公司电力科学研究院 | 终端安全防护方法和设备 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| CN103607316A (zh) * | 2012-03-15 | 2014-02-26 | 无锡信捷电气股份有限公司 | 一种基于工业物联网的状态防火墙状态检测系统及方法 |
-
2014
- 2014-10-30 CN CN201410597026.9A patent/CN104539573B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN200962604Y (zh) * | 2006-09-14 | 2007-10-17 | 北京科东电力控制系统有限责任公司 | 电力专用纵向加密认证网关设备 |
| US20100217967A1 (en) * | 2007-08-28 | 2010-08-26 | Abb Research Ltd | Real-time communication security for automation networks |
| CN103607316A (zh) * | 2012-03-15 | 2014-02-26 | 无锡信捷电气股份有限公司 | 一种基于工业物联网的状态防火墙状态检测系统及方法 |
| CN102891795A (zh) * | 2012-10-11 | 2013-01-23 | 上海金自天正信息技术有限公司 | 一种工业安全通信网关 |
| CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
| CN103441926A (zh) * | 2013-08-27 | 2013-12-11 | 西北工业大学 | 数控机床网安全网关系统 |
| CN103475478A (zh) * | 2013-09-03 | 2013-12-25 | 广东电网公司电力科学研究院 | 终端安全防护方法和设备 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105046151A (zh) * | 2015-07-06 | 2015-11-11 | 北京科技大学 | 一种旋转类设备的码盘防护装置及方法 |
| CN105046151B (zh) * | 2015-07-06 | 2018-04-24 | 北京科技大学 | 一种旋转类设备的码盘防护装置及方法 |
| CN105592107A (zh) * | 2016-03-01 | 2016-05-18 | 南京富岛信息工程有限公司 | 一种基于fpga的工业过程数据安全采集装置及方法 |
| CN105592107B (zh) * | 2016-03-01 | 2018-10-23 | 南京富岛信息工程有限公司 | 一种基于fpga的工业过程数据安全采集装置及方法 |
| CN108023861A (zh) * | 2016-11-03 | 2018-05-11 | 沈阳高精数控智能技术股份有限公司 | 一种用于开放式数控系统的工业非军事区部署及访问方法 |
| CN110679129A (zh) * | 2017-05-23 | 2020-01-10 | 西门子股份公司 | 用于保护尤其是在工业制造和/或自动化的通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的方法和设备 |
| US11336657B2 (en) | 2017-05-23 | 2022-05-17 | Siemens Aktiengesellschaft | Securing communication within a communication network using multiple security functions |
| CN107786404A (zh) * | 2017-09-20 | 2018-03-09 | 北京东土科技股份有限公司 | 工业互联网现场层宽带总线架构的安全性实现方法及装置 |
| CN107846422A (zh) * | 2017-12-22 | 2018-03-27 | 福建星网智慧软件有限公司 | 一种网关的配置文件加密压缩和解密解压缩的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104539573B (zh) | 2018-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104539573A (zh) | 一种基于嵌入式系统的工业安全网关的通信方法及装置 | |
| US9510195B2 (en) | Secured transactions in internet of things embedded systems networks | |
| CN107040459A (zh) | 一种智能工业安全云网关设备系统和方法 | |
| US10271207B2 (en) | Wireless dongle and method for wirelessly transmitting data from a computer to at least one field device | |
| CN103106744A (zh) | 嵌有信息安全管理模块的物联网智能燃气表 | |
| CN103809517B (zh) | 数控机床的控制系统及其加密方法 | |
| CN104035408A (zh) | 一种rtu控制器及其与scada系统通信方法 | |
| US8913749B2 (en) | Wireless communication apparatus and method of preventing leakage of encrypted key | |
| KR101133378B1 (ko) | 보안 기능이 적용된 원격 통신 장치 및 이를 이용한 보안 기능이 적용된 원격 전력 미터링 시스템 | |
| CN105278398A (zh) | 工业控制系统中的操作员动作认证 | |
| CN110958224A (zh) | 远程串口调试系统及方法 | |
| Apa et al. | Compromising industrial facilities from 40 miles away | |
| KR20100078323A (ko) | Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치 | |
| CN111818517B (zh) | 多通道安全通信模组、通信系统及方法 | |
| CN103198574A (zh) | 嵌有信息安全管理模块的远控智能水表 | |
| CN103136481A (zh) | 智能能源表信息安全管理模块 | |
| CN210515295U (zh) | 一种基于安全芯片的安全认证系统与信息处理装置 | |
| CN110278077B (zh) | 一种用于获取电能表数据信息的方法、装置、设备及存储介质 | |
| CN109104401B (zh) | 安全的基于实时的数据传输 | |
| Parvez et al. | Framework for implementation of AGA 12 for secured SCADA operation in Oil and Gas Industry | |
| CN111065091B (zh) | 一种基于lora的无线数据采集系统及数据传输方法 | |
| CN107819788B (zh) | 一种基于电力生产控制与监测数据的安全加密系统 | |
| CN103200570A (zh) | 物联网智能水表信息安全管理模块 | |
| CN101894233B (zh) | 一种可信赖的可重构器件及其使用方法 | |
| CN201741156U (zh) | 一种可信硬件设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |