CN105022335A - 一种基于rs232通讯协议的plc上位机链接命令过滤方法及装置 - Google Patents
一种基于rs232通讯协议的plc上位机链接命令过滤方法及装置 Download PDFInfo
- Publication number
- CN105022335A CN105022335A CN201510388441.8A CN201510388441A CN105022335A CN 105022335 A CN105022335 A CN 105022335A CN 201510388441 A CN201510388441 A CN 201510388441A CN 105022335 A CN105022335 A CN 105022335A
- Authority
- CN
- China
- Prior art keywords
- double
- module
- hostlink
- plc
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于RS232通讯协议的PLC上位机链接命令过滤方法及装置,能够提高PLC应对网络攻击的能力。所述方法包括:根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库;拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码;将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC。本发明适用工业控制系统信息安全技术领域。
Description
技术领域
本发明涉及工业控制系统信息安全技术领域,特别是指一种基于RS232通讯协议的PLC上位机链接命令过滤方法及装置。
背景技术
工业控制系统是国家关键基础设施的重要组成部分,广泛应用于石油化工、污水处理、冶金、电力、交通和国家电网等领域。2010年,“震网”病毒攻击了伊朗布什尔核电站控制系统,此事件引起社会对工业控制系统安全问题的广泛关注。2011年9月,工信部印发《关于加强工业控制系统信息安全管理的通知》,明确提出重点领域工控系统信息安全管理要求。2012年6月,国务院发布《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》,将保障工业控制系统信息安全作为一个重要方面来强调。
可编程逻辑控制器(Programmable Logic Controller,PLC)作为核心控制组件,广泛应用在工业控制系统当中,提高PLC的安全性对于保证工业控制系统的可靠运行具有重要意义。由于PLC内存较小,计算资源有限,而工业控制系统对PLC运行的实时性和可靠性要求较高,所以PLC自身缺乏安全机制;此外,由于一些厂商的PLC通信协议(如:欧姆龙的RS232串口通讯协议)是公开的,并且缺乏相应的安全防护措施,使得PLC与上位机之间的通信存在着很大的安全隐患。上位机通过链接指令控制PLC的状态,公开的通信协议和公开的链接指令为黑客非法控制PLC提供了便利条件。
目前,许多攻击PLC的方法,都是基于对PLC程序的分析和篡改,这就要求黑客能够对PLC程序进行读写;此外,读PLC状态、读PLC型号等链接指令可以为黑客提供有关目标PLC的重要信息,而写PLC状态、强制置位和强制复位等链接指令则可以成为黑客攻击PLC的手段。当上位机与PLC之间的通信链路被黑客入侵,整个工业控制系统将面临巨大的安全风险,一个非法的恶意控制指令很有可能会导致重大社会经济损失。
发明内容
本发明要解决的技术问题是提供一种基于RS232通讯协议的PLC上位机链接命令过滤方法及装置,以解决现有技术所存在的当上位机与PLC之间的通信链路被入侵,将导致PLC与上位机之间的通信存在着巨大的安全隐患的问题。
为解决上述技术问题,本发明实施例提供一种基于RS232通讯协议的PLC上位机链接命令过滤方法,包括:
根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库;
拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码;
将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC。
其中,所述方法还包括:
通过过滤功能开关模块来开启和关闭上位机链接命令过滤功能,其中,所述过滤功能开关模块包括:第一双刀双掷开关和第二双刀双掷开关,所述第一双刀双掷开关位于数据接收模块和数据处理模块之间,第二双刀双掷开关位于数据发送模块和数据处理模块之间,且所述第一双刀双掷开关和第二双刀双掷开关为联动开关;
所述通过过滤功能开关模块来开启和关闭上位机链接命令过滤功能包括:
当第一双刀双掷开关将数据接收模块与数据处理模块接通时,第二双刀双掷开关会将数据发送模块和数据处理模块接通,从而开启上位机链接命令过滤功能;
当第一双刀双掷开关将数据接收模块与数据处理模块断开时,第二双刀双掷开关也会将数据发送模块和数据处理模块断开,使得所述数据接收模块和数据发送模块连通,从而关闭上位机链接命令过滤功能。
其中,所述根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库包括:
初始化上位机链接命令库,其中,所述上位机链接命令库包括:PLC所提供的可通过RS232端口传输的所有上位机链接命令;
根据通信需求及已经初始化的链接命令库中的识别码信息,手动设置需要过滤的识别码;
根据设置的需要过滤的识别码生成链接命令过滤规则库,并将所述链接命令过滤规则库存储至数据存储模块中;
所述设置链接命令过滤项,并生成链接命令过滤规则库还包括:
若没有手动设置需要过滤的识别码,则根据默认的过滤项,生成相应的链接命令过滤规则库,并将所述链接命令过滤规则库存储至数据存储模块中。
其中,所述拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码包括:
通过数据接收模块拦截上位机发送给PLC的数据包,并根据上位机链接命令帧格式通过数据处理模块对拦截的数据包进行解析、并提取解析结果中的识别码。
其中,所述将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC包括:
将提取的识别码与生成的链接命令过滤规则库中的识别码逐一进行字符串匹配;
若链接命令过滤规则库中匹配到相同的识别码,则过滤所述数据包,并输出过滤状态报警信息,同时将当前时间、过滤的所述数据包的内容及输出的过滤状态报警信息存储到匹配结果库中;
否则,则通过所述数据发送模块将拦截的数据包发送到PLC。
本发明实施例还提供一种基于RS232通讯协议的PLC上位机链接命令过滤装置,包括:数据接收模块、数据处理模块、数据发送模块、人机交互模块及电源模块;
所述人机交互模块,用于向用户提供显示信息和操作界面;
所述数据接收模块,用于拦截上位机发送给PLC的数据包;
所述数据处理模块,用于对拦截的数据包进行解析、提取识别码,根据设置的链接命令过滤项生成链接命令过滤规则库,并将提取的识别码与所述链接命令过滤规则库进行匹配,若链接命令过滤规则库中匹配到相同的识别码,则过滤所述数据包,否则,则通过数据发送模块将拦截的数据包发送到PLC;
所述电源模块包括:电源保护电路,用于为所述装置供电。
其中,所述装置还包括:数据存储模块;
所述数据存储模块,用于存储上位机链接命令库、生成的链接命令过滤规则库和匹配结果库,其中,所述匹配结果库包括:当链接命令过滤规则库中匹配到相同的识别码时,用于存储当前时间、过滤的所述数据包的内容和数据处理模块生成的过滤状态报警信息。
其中,所述装置还包括:过滤功能开关模块;
所述过滤功能开关模块,用于开启和关闭所述装置的上位机链接命令过滤功能,其中,所述过滤功能开关模块包括:第一双刀双掷开关和第二双刀双掷开关,所述第一双刀双掷开关位于数据接收模块和数据处理模块之间,第二双刀双掷开关位于数据发送模块和数据处理模块之间,且所述第一双刀双掷开关和第二双刀双掷开关为联动开关;
所述开启和关闭所述装置的上位机链接命令过滤功能包括:
当第一双刀双掷开关将数据接收模块与数据处理模块接通时,第二双刀双掷开关会将数据发送模块和数据处理模块接通,从而开启上位机链接命令过滤功能;
当第一双刀双掷开关将数据接收模块与数据处理模块断开时,第二双刀双掷开关也会将数据发送模块和数据处理模块断开,使得所述数据接收模块和数据发送模块连通,从而关闭上位机链接命令过滤功能。
其中,所述装置还包括:指示模块;
所述指示模块,用于指示所述电源模块、数据接收模块和数据发送模块的工作状态,同时也用于指示所述装置的过滤状态。
其中,所述数据接收模块和数据发送模块均具备RS232端口,其中,所述数据接收模块的RS232端口与上位机的RS232端口相连,数据发送模块的RS232端口与PLC的RS232端口相连;
所述人机交互模块,用于向用户显示上位机链接命令选项、数据接收模块和数据发送模块的通信状态、上位机链接命令过滤的实时状态;还用于配置所述数据接收模块和数据发送模块的RS232端口的通讯参数,设置链接命令过滤项,显示过滤状态报警信息,查看过滤状态报警记录和被过滤的数据包内容。
本发明的上述技术方案的有益效果如下:
上述方案中,通过根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库,然后拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码,最后,将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC。这样,根据设置的链接命令过滤项,在不影响上位机与PLC正常通信的情况下,能够有效限制PLC生产运行时不需要的链接命令,从而提高了PLC应对网络攻击的能力,提升了工业控制系统的安全性和可靠性。
附图说明
图1为本发明实施例提供的基于RS232通讯协议的PLC上位机链接命令过滤方法的方法流程图一;
图2为本发明实施例提供的基于RS232通讯协议的PLC上位机链接命令过滤方法的应用场景示意图;
图3为本发明实施例提供的基于RS232通讯协议的PLC上位机链接命令过滤方法的硬件结构示意图;
图4为本发明实施例提供的过滤功能开关模块的原理示意图;
图5为本发明实施例提供的生成链接命令过滤规则库的流程示意图;
图6为本发明实施例提供的PLC上位机链接通信的命令帧格式图;
图7为本发明实施例提供的基于RS232通讯协议的PLC上位机链接命令过滤方法的方法流程图二。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的当上位机与PLC之间的通信链路被入侵,将导致PLC与上位机之间的通信存在着巨大的安全隐患的问题,提供一种基于RS232通讯协议的PLC上位机链接命令过滤方法及装置。
实施例一
参看图1所示,本发明实施例提供的一种基于RS232通讯协议的PLC上位机链接命令过滤方法,包括:
S1:根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库;
S2:拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码;
S3:将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC。
本发明实施例所述的基于RS232通讯协议的PLC上位机链接命令过滤方法,通过根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库,然后拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码,最后,将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC。这样,根据设置的链接命令过滤项,在不影响上位机与PLC正常通信的情况下,能够有效限制PLC生产运行时不需要的链接命令,从而提高了PLC应对网络攻击的能力,提升了工业控制系统的安全性和可靠性。
本发明实施例中,参看图2所示,本发明构成的装置通过RS232端口与上位机和PLC相连,所述装置位于两者通信链路之间,能够过滤由上位机发送至PLC的链接命令,对于PLC发送至上位机的数据,本装置不做任何处理,接收后会直接转发至上位机,本发明实施例中,PLC为欧姆龙PLC为例。
本发明实施例中,参看图3所示,本发明可以采用TI(德州仪器)工业级Cortex-A8架构AM335x系列的AM3354处理器最为CPU,主频最高支持720MHz,64KB通用片载存储器控制器,支持快速唤醒保持,配有512M DDR3内存和256M SLC NandFlash,运行温度范围可达-40℃-+90℃,并通过MAX3232芯片扩展了两个RS232串口COM0和COM1,其中,COM0作为RS232接收端口,用于拦截上位机发送给PLC的数据包;COM1作为RS232发送端口,用于将通过本发明过滤后的数据包发送至PLC。本发明采用工业级元器件和密封性良好的外壳,可以适应工业现场的恶劣环境,持续可靠的稳定运行。
在前述基于RS232通讯协议的PLC上位机链接命令过滤方法的具体实施方式中,可选地,所述方法还包括:
通过过滤功能开关模块来开启和关闭上位机链接命令过滤功能,其中,所述过滤功能开关模块包括:第一双刀双掷开关和第二双刀双掷开关,所述第一双刀双掷开关位于数据接收模块和数据处理模块之间,第二双刀双掷开关位于数据发送模块和数据处理模块之间,且所述第一双刀双掷开关和第二双刀双掷开关为联动开关;
所述通过过滤功能开关模块来开启和关闭上位机链接命令过滤功能包括:
当第一双刀双掷开关将数据接收模块与数据处理模块接通时,第二双刀双掷开关会将数据发送模块和数据处理模块接通,从而开启上位机链接命令过滤功能;
当第一双刀双掷开关将数据接收模块与数据处理模块断开时,第二双刀双掷开关也会将数据发送模块和数据处理模块断开,使得所述数据接收模块和数据发送模块连通,从而关闭上位机链接命令过滤功能。
本发明实施例中,参看图4所示为过滤功能开关模块的工作原理图,双刀双掷开关1位于RS232接收端口COM0和MAX3232之间,双刀双掷开关2位于RS232发送端口COM1和MAX3232之间,其中,RS232接收端口COM0为数据发送模块,RS232发送端口COM1为数据接收模块。双刀双掷开关1和双刀双掷开关2为联动关系,当双刀双掷开关1拨向左侧时,双刀双掷开关2也拨向左侧,此时来自于上位机的数据包将经过COM0端口发送至处理器,即上位机链接命令过滤功能开启;当双刀双掷开关1拨向右侧时,双刀双掷开关2也拨向右侧,此时COM0端口和COM1端口连通,上位机链接命令过滤功能关闭,上位机向PLC发送数据不受本发明提供的上位机链接命令过滤功能的影响。这样,与软件实现的开启或关闭上位机链接命令过滤功能相比,通过物理上的过滤功能开关模块来选择开启或关闭上位机链接命令过滤功能具有更高的安全性,能够提升本发明自身对网络威胁的防护力。
本发明实施例中,当用户可以在调试PLC时,可以关闭上位机链接命令过滤功能;当PLC投入生产运行时,再开启上位机链接命令过滤功能,上位机链接命令过滤功能开启和关闭的可选择性,使本发明更适应工业现场的需求,即不影响工程师正常的调试,又可以对PLC起到保护作用。
本发明实施例中,所述数据处理模块的功能由处理器实现,用于对拦截的数据包进行解析、提取识别码,根据设置的链接命令过滤项生成链接命令过滤规则库,并将提取的识别码与所述链接命令过滤规则库进行匹配,若链接命令过滤规则库中匹配到相同的识别码,则过滤所述数据包,否则,则通过数据发送模块将拦截的数据包发送到PLC,其中,过滤所述数据包是指,不把拦截到的数据包发送给PLC。
本发明实施例中,所述数据接收模块和数据发送模块均具备RS232端口,其中,所述数据接收模块的RS232端口与上位机的RS232端口相连,数据发送模块的RS232端口与PLC的RS232端口相连;
在前述基于RS232通讯协议的PLC上位机链接命令过滤方法的具体实施方式中,可选地,所述根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库包括:
初始化上位机链接命令库,其中,所述上位机链接命令库包括:PLC所提供的可通过RS232端口传输的所有上位机链接命令;
根据通信需求及已经初始化的链接命令库中的识别码信息,手动设置需要过滤的识别码;
根据设置的需要过滤的识别码生成链接命令过滤规则库,并将所述链接命令过滤规则库存储至数据存储模块中;
所述设置链接命令过滤项,并生成链接命令过滤规则库还包括:
若没有手动设置需要过滤的识别码,则根据默认的过滤项,生成相应的链接命令过滤规则库,并将所述链接命令过滤规则库存储至数据存储模块中。
本发明实施例中,参看图5所示为生成链接命令过滤规则库的流程示意图,初始化上位机链接命令库后,读取上位机链接命令库中的所有识别码信息,更新人机交互模块的显示内容。用户通过所述人机交互模块,根据通信需求以及人机交互模块提供的上位机链接命令库中的所有识别码信息选择要过滤的识别码。用户完成选择之后,本发明会根据用户的选择项通过数据处理模块生成链接命令过滤规则库,如果用户未做任何选择,本发明会显示默认的过滤项,并生成相应的链接命令过滤规则库。这样,通过本发明提供可配置的上位机链接命令过滤项,用户可以根据工业现场的通信需求,随时更改链接命令过滤规则库的各个过滤项,这样在提高PLC安全性的同时,也不会影响系统正常的通信需求。
本发明实施例中,所述人机交互模块,用于向用户显示信息,并为用户提供操作界面,具体的,用于向用户显示上位机链接命令选项、数据接收模块和数据发送模块的通信状态、上位机链接命令过滤的实时状态;还用于配置所述数据接收模块和数据发送模块的RS232端口的通讯参数,设置链接命令过滤项,显示过滤状态报警信息,查看过滤状态报警记录和被过滤的数据包内容。例如,可以采用型号为AT070TN92的7寸超薄屏幕作为人机交互模块,分辨率为800x(RGB)x480,可视区域为154.08(W)x85.92(H)mm,模组尺寸为164.9(W)x 100.0(H)x5.7(D)mm,具备触摸和显示功能。
本发明实施例中,所述数据存储模块,是指512M DDR3内存和256M SLCNandFlash,其中,NandFlash用于存储本发明的程序、存储上位机链接命令库、生成的链接命令过滤规则库和匹配结果库,其中,所述匹配结果库包括:当链接命令过滤规则库中匹配到相同的识别码时,用于存储当前时间、过滤的所述数据包的内容和数据处理模块生成的过滤状态报警信息,所述程序是指本发明所述的基于RS232通讯协议的PLC上位机链接命令过滤方法的相应程序,所述程序可以在Linux操作系统上运行。
在前述基于RS232通讯协议的PLC上位机链接命令过滤方法的具体实施方式中,可选地,所述拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码包括:
通过数据接收模块拦截上位机发送给PLC的数据包,并根据上位机链接命令帧格式通过数据处理模块对拦截的数据包进行解析、并提取解析结果中的识别码。
本发明实施例中,通过数据接收模块拦截上位机发送给PLC的数据包,并根据上位机链接命令帧格式通过数据处理模块对拦截的数据包进行解析、并提取解析结果中的识别码,其中,所述上位机链接命令帧格式如图6所示,对拦截的数据包所要提取的识别码位于节点号之后的第4个和第5个字节。
本发明中,以欧姆龙PLC为例,上位机链接命令库中的识别码信息如表1所示:
表1 上位机链接命令库中的识别码信息
| 识别码 | 名称 | 识别码 | 名称 |
| RR | 读IR/SR区 | RE | 写RM区 |
| RL | 读LR区 | WR | 写IR/SR区 |
| RH | 读HR区 | WL | 写LR区 |
| RC | 读PV | WH | 写HR区 |
| RG | 读TC状态 | WC | 写PV区 |
| RD | 读DM区 | WG | 写TC状态 |
| RJ | 读AR区 | WD | 写DM区 |
| 识别码 | 名称 | 识别码 | 名称 |
| WJ | 写AR区 | WE | 写EM区 |
| R# | SV读1 | R$ | SV读2 |
| R% | SV读3 | W# | SV改变1 |
| W$ | SV改变2 | W% | SV改变3 |
| MS | 读状态 | SC | 写状态 |
| MF | 读错误 | KS | 强制置位 |
| KR | 强制复位 | FK | 多重强制置位/复位 |
| KC | 强制置位/复位的取消 | MM | 读PC类型 |
| TS | 测试 | RP | 读程序 |
| WP | 写程序 | MI | I/O表生成 |
| 组合命令 | XZ | 终止 | |
| ** | 初始化 |
在前述基于RS232通讯协议的PLC上位机链接命令过滤方法的具体实施方式中,可选地,所述将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC包括:
将提取的识别码与生成的链接命令过滤规则库中的识别码逐一进行字符串匹配;
若链接命令过滤规则库中匹配到相同的识别码,则过滤所述数据包,并输出过滤状态报警信息,同时将当前时间、过滤的所述数据包的内容及输出的过滤状态报警信息存储到匹配结果库中;
否则,则通过所述数据发送模块将拦截的数据包发送到PLC。
本发明实施例中,当用户将图4中的开关1和开关2拨向左侧时,上位机链接命令过滤功能开启,参看图7所示为上位机链接命令过滤方法的流程图,当图4中的COM0端口拦截到来来上位机的数据包后,会根据上位机链接命令帧格式解析数据,并提取其中的识别码。之后,将提取的识别码会与生成的链接命令过滤规则库中的各项识别码做匹配,所述匹配,是指提取的识别码与链接命令过滤规则库的识别码做字符串比较。当链接命令过滤规则库中匹配到相同的识别码时,会生成过滤状态报警信息,并将当前时间、本次拦截的数据包和生成的过滤状态报警信息一同存储到匹配结果库中,同时将报警信息输出到图3所示的AT070TN92显示屏进行显示,并点亮指示模块中的过滤状态指示灯。如果过滤规则库中不包含此次提取的识别码,则将拦截的数据包通过图4中的COM1口发送给PLC。
本发明实时例中,参看图3所示,所述指示模块包括:电源指示灯、发送指示灯、接收指示灯及过滤状态指示灯,用于指示电源模块、接收模块和发送模块的工作状态,同时也用于指示过滤状态。电源关闭时,电源指示灯灭,电源接通时,电源指示灯亮;接收模块和发送模块有数据通信时,接收指示灯和发送指示灯闪烁,无数据通信时,接收指示灯和发送指示灯灭;链接命令过滤时,出现过滤规则库中的匹配项,则过滤状态指示灯亮,当用户确认所有过滤状态报警信息后,则过滤状态指示灯灭。本发明实施例中,例如,所述电源指示灯可以采用Risym 5mm绿色LED灯珠,发送指示灯和接收指示灯可以采用Risym 5mm蓝色LED灯珠,过滤状态指示灯可以采用Risym 5mm红色LED灯珠。
本发明实施例,所述电源模块包括:电源保护电路,用于为本发明提供安全的电源。
实施例二
本发明还提供一种基于RS232通讯协议的PLC上位机链接命令过滤装置的具体实施方式,由于本发明提供的基于RS232通讯协议的PLC上位机链接命令过滤装置与前述基于RS232通讯协议的PLC上位机链接命令过滤方法的具体实施方式相对应,该基于RS232通讯协议的PLC上位机链接命令过滤装置可以通过执行上述方法具体实施方式中的流程步骤来实现本发明的目的,因此上述基于RS232通讯协议的PLC上位机链接命令过滤方法具体实施方式中的解释说明,也适用于本发明提供的基于RS232通讯协议的PLC上位机链接命令过滤装置的具体实施方式,在本发明以下的具体实施方式中将不再赘述。
本发明实施例还提供一种基于RS232通讯协议的PLC上位机链接命令过滤装置,包括:数据接收模块、数据处理模块、数据发送模块、人机交互模块及电源模块;
所述人机交互模块,用于向用户提供显示信息和操作界面;
所述数据接收模块,用于拦截上位机发送给PLC的数据包;
所述数据处理模块,用于对拦截的数据包进行解析、提取识别码,根据设置的链接命令过滤项生成链接命令过滤规则库,并将提取的识别码与所述链接命令过滤规则库进行匹配,若链接命令过滤规则库中匹配到相同的识别码,则过滤所述数据包,否则,则通过数据发送模块将拦截的数据包发送到PLC;
所述电源模块包括:电源保护电路,用于为所述装置供电。
本发明实施例所述的基于RS232通讯协议的PLC上位机链接命令过滤装置,通过数据接收模块拦截上位机发送给PLC的数据包,再通过数据处理模块对拦截的数据包进行解析、提取识别码,最后,将提取的识别码与生成的链接命令过滤规则库进行匹配,若链接命令过滤规则库中匹配到相同的识别码,则过滤所述数据包,否则,则将拦截的数据包发送到PLC。这样,根据设置的链接命令过滤项,在不影响上位机与PLC正常通信的情况下,能够有效限制PLC生产运行时不需要的链接命令,从而提高了PLC应对网络攻击的能力,提升了工业控制系统的安全性和可靠性。
在前述基于RS232通讯协议的PLC上位机链接命令过滤装置的具体实施方式中,可选地,所述装置还包括:数据存储模块;
所述数据存储模块,用于存储上位机链接命令库、生成的链接命令过滤规则库和匹配结果库,其中,所述匹配结果库包括:当链接命令过滤规则库中匹配到相同的识别码时,用于存储当前时间、过滤的所述数据包的内容和数据处理模块生成的过滤状态报警信息。
在前述基于RS232通讯协议的PLC上位机链接命令过滤装置的具体实施方式中,可选地,所述装置还包括:过滤功能开关模块;
所述过滤功能开关模块,用于开启和关闭所述装置的上位机链接命令过滤功能,其中,所述过滤功能开关模块包括:第一双刀双掷开关和第二双刀双掷开关,所述第一双刀双掷开关位于数据接收模块和数据处理模块之间,第二双刀双掷开关位于数据发送模块和数据处理模块之间,且所述第一双刀双掷开关和第二双刀双掷开关为联动开关;
所述开启和关闭所述装置的上位机链接命令过滤功能包括:
当第一双刀双掷开关将数据接收模块与数据处理模块接通时,第二双刀双掷开关会将数据发送模块和数据处理模块接通,从而开启上位机链接命令过滤功能;
当第一双刀双掷开关将数据接收模块与数据处理模块断开时,第二双刀双掷开关也会将数据发送模块和数据处理模块断开,使得所述数据接收模块和数据发送模块连通,从而关闭上位机链接命令过滤功能。
在前述基于RS232通讯协议的PLC上位机链接命令过滤装置的具体实施方式中,可选地,所述装置还包括:指示模块;
所述指示模块,用于指示所述电源模块、数据接收模块和数据发送模块的工作状态,同时也用于指示所述装置的过滤状态。
在前述基于RS232通讯协议的PLC上位机链接命令过滤装置的具体实施方式中,可选地,所述数据接收模块和数据发送模块均具备RS232端口,其中,所述数据接收模块的RS232端口与上位机的RS232端口相连,数据发送模块的RS232端口与PLC的RS232端口相连;
所述人机交互模块,用于向用户显示上位机链接命令选项、数据接收模块和数据发送模块的通信状态、上位机链接命令过滤的实时状态;还用于配置所述数据接收模块和数据发送模块的RS232端口的通讯参数,设置链接命令过滤项,显示过滤状态报警信息,查看过滤状态报警记录和被过滤的数据包内容。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于RS232通讯协议的PLC上位机链接命令过滤方法,其特征在于,包括:
根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库;
拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码;
将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC。
2.根据权利要求1所述的方法,其特征在于,还包括:
通过过滤功能开关模块来开启和关闭上位机链接命令过滤功能,其中,所述过滤功能开关模块包括:第一双刀双掷开关和第二双刀双掷开关,所述第一双刀双掷开关位于数据接收模块和数据处理模块之间,第二双刀双掷开关位于数据发送模块和数据处理模块之间,且所述第一双刀双掷开关和第二双刀双掷开关为联动开关;
所述通过过滤功能开关模块来开启和关闭上位机链接命令过滤功能包括:
当第一双刀双掷开关将数据接收模块与数据处理模块接通时,第二双刀双掷开关会将数据发送模块和数据处理模块接通,从而开启上位机链接命令过滤功能;
当第一双刀双掷开关将数据接收模块与数据处理模块断开时,第二双刀双掷开关也会将数据发送模块和数据处理模块断开,使得所述数据接收模块和数据发送模块连通,从而关闭上位机链接命令过滤功能。
3.根据权利要求1或2的方法,其特征在于,所述根据已初始化的上位机链接命令库,设置链接命令过滤项,并生成链接命令过滤规则库包括:
初始化上位机链接命令库,其中,所述上位机链接命令库包括:PLC所提供的可通过RS232端口传输的所有上位机链接命令;
根据通信需求及已经初始化的链接命令库中的识别码信息,手动设置需要过滤的识别码;
根据设置的需要过滤的识别码生成链接命令过滤规则库,并将所述链接命令过滤规则库存储至数据存储模块中;
所述设置链接命令过滤项,并生成链接命令过滤规则库还包括:
若没有手动设置需要过滤的识别码,则根据默认的过滤项,生成相应的链接命令过滤规则库,并将所述链接命令过滤规则库存储至数据存储模块中。
4.根据权利要求1或2所述的方法,其特征在于,所述拦截上位机发送给PLC的数据包,并对拦截的数据包进行解析、提取识别码包括:
通过数据接收模块拦截上位机发送给PLC的数据包,并根据上位机链接命令帧格式通过数据处理模块对拦截的数据包进行解析、并提取解析结果中的识别码。
5.根据权利要求1或2所述的方法,其特征在于,所述将提取的识别码与生成的链接命令过滤规则库进行匹配,若有匹配项,则过滤所述数据包,否则,则将拦截的数据包发送到PLC包括:
将提取的识别码与生成的链接命令过滤规则库中的识别码逐一进行字符串匹配;
若链接命令过滤规则库中匹配到相同的识别码,则过滤所述数据包,并输出过滤状态报警信息,同时将当前时间、过滤的所述数据包的内容及输出的过滤状态报警信息存储到匹配结果库中;
否则,则通过所述数据发送模块将拦截的数据包发送到PLC。
6.一种基于RS232通讯协议的PLC上位机链接命令过滤装置,其特征在于,包括:数据接收模块、数据处理模块、数据发送模块、人机交互模块及电源模块;
所述人机交互模块,用于向用户提供显示信息和操作界面;
所述数据接收模块,用于拦截上位机发送给PLC的数据包;
所述数据处理模块,用于对拦截的数据包进行解析、提取识别码,根据设置的链接命令过滤项生成链接命令过滤规则库,并将提取的识别码与所述链接命令过滤规则库进行匹配,若链接命令过滤规则库中匹配到相同的识别码,则过滤所述数据包,否则,则通过数据发送模块将拦截的数据包发送到PLC;
所述电源模块包括:电源保护电路,用于为所述装置供电。
7.根据权利要求6所述的装置,其特征在于,还包括:数据存储模块;
所述数据存储模块,用于存储上位机链接命令库、生成的链接命令过滤规则库和匹配结果库,其中,所述匹配结果库包括:当链接命令过滤规则库中匹配到相同的识别码时,用于存储当前时间、过滤的所述数据包的内容和数据处理模块生成的过滤状态报警信息。
8.根据权利要求6所述的装置,其特征在于,还包括:过滤功能开关模块;
所述过滤功能开关模块,用于开启和关闭所述装置的上位机链接命令过滤功能,其中,所述过滤功能开关模块包括:第一双刀双掷开关和第二双刀双掷开关,所述第一双刀双掷开关位于数据接收模块和数据处理模块之间,第二双刀双掷开关位于数据发送模块和数据处理模块之间,且所述第一双刀双掷开关和第二双刀双掷开关为联动开关;
所述开启和关闭所述装置的上位机链接命令过滤功能包括:
当第一双刀双掷开关将数据接收模块与数据处理模块接通时,第二双刀双掷开关会将数据发送模块和数据处理模块接通,从而开启上位机链接命令过滤功能;
当第一双刀双掷开关将数据接收模块与数据处理模块断开时,第二双刀双掷开关也会将数据发送模块和数据处理模块断开,使得所述数据接收模块和数据发送模块连通,从而关闭上位机链接命令过滤功能。
9.根据权利要求6所述的装置,其特征在于,还包括:指示模块;
所述指示模块,用于指示所述电源模块、数据接收模块和数据发送模块的工作状态,同时也用于指示所述装置的过滤状态。
10.根据权利要求6所述的装置,其特征在于,所述数据接收模块和数据发送模块均具备RS232端口,其中,所述数据接收模块的RS232端口与上位机的RS232端口相连,数据发送模块的RS232端口与PLC的RS232端口相连;
所述人机交互模块,用于向用户显示上位机链接命令选项、数据接收模块和数据发送模块的通信状态、上位机链接命令过滤的实时状态;还用于配置所述数据接收模块和数据发送模块的RS232端口的通讯参数,设置链接命令过滤项,显示过滤状态报警信息,查看过滤状态报警记录和被过滤的数据包内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510388441.8A CN105022335B (zh) | 2015-07-03 | 2015-07-03 | 一种基于rs232通讯协议的plc上位机链接命令过滤方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510388441.8A CN105022335B (zh) | 2015-07-03 | 2015-07-03 | 一种基于rs232通讯协议的plc上位机链接命令过滤方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105022335A true CN105022335A (zh) | 2015-11-04 |
| CN105022335B CN105022335B (zh) | 2017-07-11 |
Family
ID=54412381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510388441.8A Active CN105022335B (zh) | 2015-07-03 | 2015-07-03 | 一种基于rs232通讯协议的plc上位机链接命令过滤方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105022335B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471895A (zh) * | 2015-12-29 | 2016-04-06 | 成都科来软件有限公司 | 一种可视化数据包过滤器配置系统及实现方法 |
| CN106909121A (zh) * | 2015-12-22 | 2017-06-30 | 中国石油天然气股份有限公司 | 防呆控制方法及系统 |
| CN107169383A (zh) * | 2017-06-08 | 2017-09-15 | 滨州学院 | 一种计算机网络安全控制器 |
| CN112997123A (zh) * | 2018-10-29 | 2021-06-18 | 三菱电机株式会社 | 可编程逻辑控制器、可编程逻辑控制器系统以及数据解析方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2400708A1 (de) * | 2010-06-22 | 2011-12-28 | Siemens Aktiengesellschaft | Netzwerk-Schutzeinrichtung |
| CN102932375A (zh) * | 2012-11-22 | 2013-02-13 | 北京奇虎科技有限公司 | 网络访问行为的防护方法和装置 |
| CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
| EP2579540A1 (de) * | 2011-10-04 | 2013-04-10 | Siemens Aktiengesellschaft | Computer-implementiertes Verfahren zur Kontrolle eines Kommunikations-Inputs einer speicherprogrammierbaren Steuerung einer Automatisierungskomponente einer technischen Anlage |
| CN103780602A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种阻止震网攻击的方法 |
| CN104394158A (zh) * | 2014-12-01 | 2015-03-04 | 浪潮电子信息产业股份有限公司 | 一种信息安全过滤方法 |
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
-
2015
- 2015-07-03 CN CN201510388441.8A patent/CN105022335B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2400708A1 (de) * | 2010-06-22 | 2011-12-28 | Siemens Aktiengesellschaft | Netzwerk-Schutzeinrichtung |
| EP2579540A1 (de) * | 2011-10-04 | 2013-04-10 | Siemens Aktiengesellschaft | Computer-implementiertes Verfahren zur Kontrolle eines Kommunikations-Inputs einer speicherprogrammierbaren Steuerung einer Automatisierungskomponente einer technischen Anlage |
| CN103780602A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种阻止震网攻击的方法 |
| CN102932375A (zh) * | 2012-11-22 | 2013-02-13 | 北京奇虎科技有限公司 | 网络访问行为的防护方法和装置 |
| CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
| CN104394158A (zh) * | 2014-12-01 | 2015-03-04 | 浪潮电子信息产业股份有限公司 | 一种信息安全过滤方法 |
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106909121A (zh) * | 2015-12-22 | 2017-06-30 | 中国石油天然气股份有限公司 | 防呆控制方法及系统 |
| CN106909121B (zh) * | 2015-12-22 | 2019-06-11 | 中国石油天然气股份有限公司 | 防呆控制方法及系统 |
| CN105471895A (zh) * | 2015-12-29 | 2016-04-06 | 成都科来软件有限公司 | 一种可视化数据包过滤器配置系统及实现方法 |
| CN107169383A (zh) * | 2017-06-08 | 2017-09-15 | 滨州学院 | 一种计算机网络安全控制器 |
| CN107169383B (zh) * | 2017-06-08 | 2019-12-31 | 滨州学院 | 一种计算机网络安全控制器 |
| CN112997123A (zh) * | 2018-10-29 | 2021-06-18 | 三菱电机株式会社 | 可编程逻辑控制器、可编程逻辑控制器系统以及数据解析方法 |
| CN112997123B (zh) * | 2018-10-29 | 2021-12-03 | 三菱电机株式会社 | 可编程逻辑控制器系统以及数据解析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105022335B (zh) | 2017-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105022335A (zh) | 一种基于rs232通讯协议的plc上位机链接命令过滤方法及装置 | |
| CN106845219B (zh) | 一种针对多种类型数据的入侵检测智能设备 | |
| CN102280929B (zh) | 一种电力scada系统信息安全防护系统 | |
| CN102984170A (zh) | 一种工业控制网络安全过滤系统及方法 | |
| CN104753936A (zh) | Opc安全网关系统 | |
| CN104917776A (zh) | 一种工控网络安全防护设备与方法 | |
| CN202373055U (zh) | 嵌入式一体化车道控制机 | |
| CN103020495B (zh) | 一种嵌入式软件防盗版加密方法 | |
| CN106647675A (zh) | 一种工业控制系统组态文件及组态数据的实时监测方法 | |
| CN2850148Y (zh) | 一种单向物理隔离型网络安全装置 | |
| CN105718825A (zh) | 一种恶意usb设备的检测方法及装置 | |
| CN103220040A (zh) | 一种内置式光口bypass的状态切换方法和系统 | |
| CN106021066A (zh) | 一种故障信息检测方法及电子设备 | |
| CN208848330U (zh) | 一种双核pos机安全芯片 | |
| CN105488395A (zh) | 基于usb通信数据进行恶意设备检测的方法及装置 | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN103824014A (zh) | 一种局域网内的usb端口设备的隔离认证及监控方法 | |
| CN102496192A (zh) | 嵌入式一体化车道控制机 | |
| CN106951790A (zh) | Usb存储介质透明加密方法 | |
| CN206454149U (zh) | 一种物联网消防预警系统 | |
| CN209692763U (zh) | 一种基于pxi总线的oc指令通信板卡 | |
| CN206042041U (zh) | 一种计算机网络安全系统 | |
| AU2019255300B2 (en) | Anti-virus device for industrial control systems | |
| CN209248685U (zh) | 一种金融自助设备通信安全控制系统 | |
| CN202979015U (zh) | 工控防火墙 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180615 Address after: 210000 5 floor, 3 software Avenue, Yuhuatai District, Nanjing, Jiangsu, 168 Patentee after: Jiangsu's software Polytron Technologies Inc Address before: 100083 No. 30, Haidian District, Beijing, Xueyuan Road Patentee before: University of Science and Technology Beijing |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 3, building 168, 5, 210000 software Avenue, Yuhuatai District, Jiangsu, Nanjing Patentee after: Bozhi Safety Technology Co.,Ltd. Address before: 3, building 168, 5, 210000 software Avenue, Yuhuatai District, Jiangsu, Nanjing Patentee before: JIANGSU ELEX SOFTWARE TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220414 Address after: 226000 room 1402, 14 / F, building 11B, Zilang science and Technology City, No. 60, Chongzhou Avenue, development zone, Nantong City, Jiangsu Province Patentee after: Bozhi Xin'an (Nantong) Technology Co.,Ltd. Address before: 210000 5 floor, 3 software Avenue, Yuhuatai District, Nanjing, Jiangsu, 168 Patentee before: Bozhi Safety Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |