CN107248982A - 一种工业无线设备接入装置 - Google Patents
一种工业无线设备接入装置 Download PDFInfo
- Publication number
- CN107248982A CN107248982A CN201710413915.9A CN201710413915A CN107248982A CN 107248982 A CN107248982 A CN 107248982A CN 201710413915 A CN201710413915 A CN 201710413915A CN 107248982 A CN107248982 A CN 107248982A
- Authority
- CN
- China
- Prior art keywords
- central switching
- access device
- switching module
- industrial equipment
- wireless industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种工业无线设备接入装置,包括作为安全防火墙的中央交换模块,均相互独立地与所述中央交换模块连接的至少三个作为无线接入点的传输模块,其中,每个所述传输模块用于相互独立地与所述中央交换模块进行数据传输,所述中央交换模块用于检验输入的每个数据包并只转发检验合格的数据包。上述工业无线设备接入装置,通过合并设置工业无线接入点和工业安全防火墙,能够增强无线接入的安全性,简化系统结构,降低制作成本。
Description
技术领域
本发明属于工业互联网技术领域,特别是涉及一种工业无线设备接入装置。
背景技术
由于无线应用普遍存在安全性问题,所以工业无线应用方案通常都是工业无线接入设备(AP)和工业防火墙两部分组成,传统的防火墙采用包过滤的方案,适合于传统信息网络通信协议复杂,而数据量大的环境通常采用黑名单制度,也就是没有明确禁止的数据包都被允许通过,这种方式要求防火墙必须高速处理大量的数据包,进行大量许可协议过滤,导致系统设计异常复杂,成本较高,性能要求很高,而且不能满足工业应用对安全性的较高的要求。
发明内容
为解决上述问题,本发明提供了一种工业无线设备接入装置,通过合并设置工业无线接入点和工业安全防火墙,能够增强无线接入的安全性,简化系统结构,降低制作成本。
本发明提供的一种工业无线设备接入装置,包括作为安全防火墙的中央交换模块,均相互独立地与所述中央交换模块连接的至少三个作为无线接入点的传输模块,其中,每个所述传输模块用于相互独立地与所述中央交换模块进行数据传输,所述中央交换模块用于检验输入的每个数据包并只转发检验合格的数据包。
优选的,在上述工业无线设备接入装置中,所述中央交换模块用于利用代理方式对输入的每个数据包进行检验并只转发检验合格的数据包。
优选的,在上述工业无线设备接入装置中,所述传输模块包括以太网模块、Wi-Fi模块和RS485模块。
优选的,在上述工业无线设备接入装置中,所述中央交换模块为CPU。
优选的,在上述工业无线设备接入装置中,所述中央交换模块与所述传输模块共用相同的供配电部件、浪涌保护部件和机壳。
优选的,在上述工业无线设备接入装置中,所述传输模块利用相互独立的串行数据总线与所述中央交换模块连接。
通过上述描述可知,本发明提供的上述工业无线设备接入装置,由于包括作为安全防火墙的中央交换模块,均相互独立地与所述中央交换模块连接的至少三个作为无线接入点的传输模块,其中,每个所述传输模块用于相互独立地与所述中央交换模块进行数据传输,所述中央交换模块用于检验输入的每个数据包并只转发检验合格的数据包,因此通过合并设置工业无线接入点和工业安全防火墙,能够增强无线接入的安全性,简化系统结构,降低制作成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的第一种工业无线设备接入装置的示意图;
图2为本申请实施例提供的第三种工业无线设备接入装置的示意图;
图3为代理转发机制的示意图。
具体实施方式
本发明的核心思想在于提供一种工业无线设备接入装置,通过合并设置工业无线接入设备和工业安全防火墙,能够增强无线接入的安全性,简化系统结构,降低制作成本。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例提供的第一种工业无线设备接入装置如图1所示,图1为本申请实施例提供的第一种工业无线设备接入装置的示意图,该装置包括作为安全防火墙的中央交换模块101,均相互独立地与所述中央交换模块101连接的至少三个作为无线接入点的传输模块102,其中,每个所述传输模块102用于相互独立地与所述中央交换模块101进行数据传输,所述中央交换模块101用于检验输入的每个数据包并只转发检验合格的数据包。
需要说明的是,在现有技术中,工业安全网关(防火墙)和无线接入点(AP)分离设置,无线接入点(AP)强调无线接入功能和管控,其普遍采用民用商业无线接入点(AP)的设计方式,重点考虑工业应用环境强化要求;而工业安全网关(防火墙)强调工业网络安全,采用白名单机制,过滤工业通信协议,而且,现有的无线接入点(AP)和工业安全网关(防火墙)是不同的两个设备,价格昂贵。而在本方案中,为了保证网络安全问题,将这两种设备合二为一,通过二者的结合,使得工业自动化无线接入设备的成本得到大幅度的降低。
通过上述描述可知,本申请实施例提供的第一种工业无线设备接入装置,由于包括作为安全防火墙的中央交换模块,均相互独立地与所述中央交换模块连接的至少三个作为无线接入点的传输模块,其中,每个所述传输模块用于相互独立地与所述中央交换模块进行数据传输,所述中央交换模块用于检验输入的每个数据包并只转发检验合格的数据包,因此通过合并设置工业无线接入点和工业安全防火墙,能够增强无线接入的安全性,简化系统结构,降低制作成本。
本申请实施例提供的第二种工业无线设备接入装置,是在上述第一种工业无线设备接入装置的基础上,还包括如下技术特征:
所述中央交换模块用于利用代理方式对输入的每个数据包进行检验并只转发检验合格的数据包。
在这种方案中,外部连接只能传输数据包到中央交换模块,中央交换模块检查验证合格的数据包,再通过中央交换模块发起远端连接到接收端,并转发数据包,实现可信包转发。也就是说,至少3个独立的传输模块,必须通过中央交换模块才能实现数据包转发。采用这种特殊设计的物理架构和代理转发软件包过滤方式,进一步增强无线接入的安全性,简化系统结构,降低制作成本。
本申请实施例提供的第三种工业无线设备接入装置,是在上述第二种工业无线设备接入装置的基础上,还包括如下技术特征:
参考图2,图2为本申请实施例提供的第三种工业无线设备接入装置的示意图,所述传输模块包括以太网模块201、Wi-Fi模块202和RS485模块203。
需要说明的是,这三个模块作为数据接口,各自的传输实现物理隔离,必须通过中央交换模块进行数据转发,这种架构从根本上消除了数据直连旁通可能,更好的确保数据安全。在这种情况下,接收外部上位系统数据包的端口定义为主端口,处理后转发的端口定义为从端口,也就是说每一个传输模块都可以作为主端口和从端口,这取决于数据传输方向。主端口接收上位系统下发的命令包,然后根据定义的转发协议,调用相应的协议包处理进程,处理后的协议包经过从端口发送出去,而返回的数据包按相反顺序返回到主端口。数据包转发协议可根据应用需要进行选择,包括支持端口透明转发、Modbus TCP和ModbusRTU协议,并可根据需求扩展支持更多的协议,数据包接收过程会进行解码,符合条件的数据包将在转发端口重新组装,这种全解码方式保证了每个数据包都得到彻底检查,保证了系统安全性。
本申请实施例提供的第四种工业无线设备接入装置,是在上述第三种工业无线设备接入装置的基础上,还包括如下技术特征:
继续参考图2,所述中央交换模块为CPU204。
在这种情况下,参考图3,图3为代理转发机制的示意图。该CPU内部同时分为服务器(SERVER)和客户端(CLIENT)两部分,上位系统作为外部客户端(CLIENT),连接到CPU的服务器部分,CPU的客户端(CLIENT)部分作为代理连接至下位系统外部服务器,内部服务器(SERVER)和客户端(CLIENT)两部分之间通过协议过滤和信息双向摆渡(CPU双向进行接收、检查、发送信息传输,对主从端口而言,信息不能直接穿透CPU,而是必须和CPU建立通信连接,从主从任一端口而言,通信对象是本网关,不是另一端的设备),实现数据包代理转发的机制。这种机制将网关上下位系统完全隔离,对上位系统而言,所有的连接都是针对网关,对下位系统而言,所有的连接都来自网关,上下端口之间没有路由关系,所有数据包源和目的地址都是明确的,整个网络干净、透明、简单,更符合工业应用需求。
本申请实施例提供的第五种工业无线设备接入装置,是在上述第一种工业无线设备接入装置的基础上,还包括如下技术特征:
所述中央交换模块与所述传输模块共用相同的供配电部件、浪涌保护部件和机壳。
采用这种一体化集成设计的方案,能够简化冗余软硬件,降低生产成本。其生产成本可以低至传统工业无线接入点(AP)和工业安全网关(防火墙)组合的1/10,体积可以达到类似产品的1/20,具有极高的性价比。
本申请实施例提供的第六种工业无线设备接入装置,是在上述第一种至第五种工业无线设备接入装置中任一种的基础上,还包括如下技术特征:
所述传输模块利用相互独立的串行数据总线与所述中央交换模块连接。
这种数据包串行输入并且中心交换的方案,通过至少3个传输模块单独传输数据,从系统架构上消除了传统的1个CPU通过数据总线连接多个外部设备,外部设备共享总线方式存在数据包可能的旁通路径,确保数据包100%通过安全机制检查过滤。
另外,与常规基于Windows、Linux等操作系统进行软件开发的方案不同,为防止任何可能存在的系统漏洞,本实施例可以采取基于底层硬件,没有操作系统支撑的底层软件开发方案,即使软件可能存在一定的漏洞,攻击者或病毒等外部入侵也无法穿透防火墙,因为系统软硬件资源没有入侵可用的资源。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (6)
1.一种工业无线设备接入装置,其特征在于,包括作为安全防火墙的中央交换模块,均相互独立地与所述中央交换模块连接的至少三个作为无线接入点的传输模块,其中,每个所述传输模块用于相互独立地与所述中央交换模块进行数据传输,所述中央交换模块用于检验输入的每个数据包并只转发检验合格的数据包。
2.根据权利要求1所述的工业无线设备接入装置,其特征在于,所述中央交换模块用于利用代理方式对输入的每个数据包进行检验并只转发检验合格的数据包。
3.根据权利要求2所述的工业无线设备接入装置,其特征在于,所述传输模块包括以太网模块、Wi-Fi模块和RS485模块。
4.根据权利要求3所述的工业无线设备接入装置,其特征在于,所述中央交换模块为CPU。
5.根据权利要求1所述的工业无线设备接入装置,其特征在于,所述中央交换模块与所述传输模块共用相同的供配电部件、浪涌保护部件和机壳。
6.根据权利要求1-5任一项所述的工业无线设备接入装置,其特征在于,所述传输模块利用相互独立的串行数据总线与所述中央交换模块连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710413915.9A CN107248982A (zh) | 2017-06-05 | 2017-06-05 | 一种工业无线设备接入装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710413915.9A CN107248982A (zh) | 2017-06-05 | 2017-06-05 | 一种工业无线设备接入装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107248982A true CN107248982A (zh) | 2017-10-13 |
Family
ID=60017812
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710413915.9A Pending CN107248982A (zh) | 2017-06-05 | 2017-06-05 | 一种工业无线设备接入装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107248982A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN2621365Y (zh) * | 2003-06-09 | 2004-06-23 | 深圳市世纪经纬数据系统有限公司 | 一种无线ap路由器 |
CN1595918A (zh) * | 2003-10-29 | 2005-03-16 | 深圳市研祥智能科技股份有限公司 | 多功能宽带网关及其通信方法 |
CN101064628A (zh) * | 2006-04-28 | 2007-10-31 | 华为技术有限公司 | 家庭网络设备安全管理系统及方法 |
CN201910819U (zh) * | 2011-01-07 | 2011-07-27 | 郑州优游网络科技有限公司 | 无线网络统一威胁管理网关 |
US20140233951A1 (en) * | 2003-01-31 | 2014-08-21 | Centurylink Intellectual Property Llc | Antenna System and Methods for Wireless Optical Network Termination |
-
2017
- 2017-06-05 CN CN201710413915.9A patent/CN107248982A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140233951A1 (en) * | 2003-01-31 | 2014-08-21 | Centurylink Intellectual Property Llc | Antenna System and Methods for Wireless Optical Network Termination |
CN2621365Y (zh) * | 2003-06-09 | 2004-06-23 | 深圳市世纪经纬数据系统有限公司 | 一种无线ap路由器 |
CN1595918A (zh) * | 2003-10-29 | 2005-03-16 | 深圳市研祥智能科技股份有限公司 | 多功能宽带网关及其通信方法 |
CN101064628A (zh) * | 2006-04-28 | 2007-10-31 | 华为技术有限公司 | 家庭网络设备安全管理系统及方法 |
CN201910819U (zh) * | 2011-01-07 | 2011-07-27 | 郑州优游网络科技有限公司 | 无线网络统一威胁管理网关 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103428094B (zh) | 开放流OpenFlow系统中的报文转发方法及装置 | |
CN103944865B (zh) | 隔离保护系统及其执行双向数据包过滤检查的方法 | |
CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
CN106341404A (zh) | 基于众核处理器的IPSec VPN系统及加解密处理方法 | |
CN105530259A (zh) | 报文过滤方法及设备 | |
US20140211808A1 (en) | Switch with dual-function management port | |
EP2961112B1 (en) | Message forwarding system, method and device | |
CN106953788A (zh) | 一种虚拟网络控制器及控制方法 | |
CN105939291B (zh) | 报文处理方法和网络设备 | |
CN104519065B (zh) | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 | |
CN105245555B (zh) | 一种用于电力串口服务器通信协议安全防护系统 | |
CN104767748A (zh) | Opc服务器安全防护系统 | |
CN107809365B (zh) | 一种基于OpenStack架构提供VPN服务的实现方法 | |
CN104539408A (zh) | 具有报文多级滤清及业务分类控制的冗余工业以太网系统 | |
US20120044937A1 (en) | Method and Apparatus for Simulating IP Multinetting | |
CN102984057A (zh) | 一种多业务一体化双冗余网络系统 | |
CN105471907A (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
CN104539600B (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
CN110324244B (zh) | 一种基于Linux虚拟服务器的路由方法及服务器 | |
CN104144130B (zh) | 虚拟机系统互联的方法、系统和接入交换机 | |
CN107749798B (zh) | 通信网络系统、分流器设备及其接入双向传输网络的方法 | |
CN104168200B (zh) | 一种基于Open vSwitch实现ACL功能的方法及系统 | |
CN100399767C (zh) | 一种虚拟交换机系统接入ip公网的方法 | |
CN105530205B (zh) | 一种微波设备汇聚的装置和方法 | |
CN102347932B (zh) | 一种数据报文的处理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171013 |
|
RJ01 | Rejection of invention patent application after publication |