CN114115099B - 支持网络安全的plc系统 - Google Patents
支持网络安全的plc系统 Download PDFInfo
- Publication number
- CN114115099B CN114115099B CN202111314813.4A CN202111314813A CN114115099B CN 114115099 B CN114115099 B CN 114115099B CN 202111314813 A CN202111314813 A CN 202111314813A CN 114115099 B CN114115099 B CN 114115099B
- Authority
- CN
- China
- Prior art keywords
- module
- network
- network security
- encryption
- cpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims abstract description 7
- 230000008569 process Effects 0.000 claims abstract description 7
- 238000013475 authorization Methods 0.000 claims description 30
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/054—Input/output
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/11—Plc I-O input output
- G05B2219/1103—Special, intelligent I-O processor, also plc can only access via processor
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种支持网络安全的PLC系统,包含:WAN口、LAN口、网络安全模块、CPU和PLC逻辑模块;LAN口、网络安全模块和PLC逻辑模块均连接至CPU;网络安全的另一端连接至WAN口;WAN口和LAN口分别用于接收网络报文;通过LAN口接收到的网络报文直接发送至CPU;通过WAN口接收到的网络报文经网络安全模块过滤处理后发送至CPU;CPU对接收到的网络报文进行处理后发送至PLC逻辑模块;PLC逻辑模块根据接收到的处理后的数据进行相关逻辑控制。本发明所提供的支持网络安全的PLC系统,WAN口收到网络报文后,先经网络安全模块处理过滤,如果不符合设置的安全规则,则丢弃报文,处理结束,对于符合安全规则的报文解密后送给CPU处理,提高了系统的安全性能。
Description
技术领域
本发明涉及一种支持网络安全的PLC系统。
背景技术
PLC(Programmable Logic Controller,可编程逻辑控制器)系统广泛用于工业、交通、电力、能源、水利和市政等领域,用于控制各种设备的运行。
目前主流厂商的PLC系统都是使用Modbus协议通讯的,Modbus是一种应用层的报文传输协议,它既可以在物理层面上选择串口进行简单的串行通信,也可以使用TCP的方式进行传输。据统计,支持Modbus的厂家超过400家,支持Modbus的产品超过600种。但是由于Modbus协议的设计缺陷,在认证、授权、加密等方面存在许许多多的安全隐患,在近几年来举办的工控安全比赛和信息安全大赛中,考题中常常出现Modbus安全问题的身影。一旦PLC控制系统出现网络安全问题,将对工业生产运行带来极大安全隐患和重大经济损失。目前的解决方案主要包括建立网络隔离专网、安装网络防火墙、安装成对的加解密装置、修改Modbus协议、CPU上增加软件加解密功能模块等。
目前解决网络安全问题有相应的方案,这些方案一般都是独自设计,没有关联考虑,增加防火墙设备、加解密卡等一方面大大增加了项目成本,另外也给运维人员带来了不便,修改Modbus协议虽然可以增加安全功能,但变成了私有协议,系统的通用性受影响。在CPU上增加软件加解密模块效率低,影响整个系统的性能。
发明内容
本发明提供了一种支持网络安全的PLC系统,采用如下的技术方案:
一种支持网络安全的PLC系统,包含:WAN口、LAN口、网络安全模块、CPU和PLC逻辑模块;
LAN口、网络安全模块和PLC逻辑模块均连接至CPU;
网络安全的另一端连接至WAN口;
WAN口和LAN口分别用于接收网络报文;
通过LAN口接收到的网络报文直接发送至CPU;
通过WAN口接收到的网络报文经网络安全模块过滤处理后发送至CPU;
CPU对接收到的网络报文进行处理后发送至PLC逻辑模块;
PLC逻辑模块根据接收到的处理后的数据进行相关逻辑控制。
进一步地,网络安全模块包含防火墙模块和加解密模块。
进一步地,防火墙模块根据预设的安全规则对接收自WAN口的网络报文进行过滤;
防火墙模块将过滤通过的无需解密的符合安全规则的网络报文直接发送至CPU并将过滤通过的需解密的符合安全规则的网络报文发送至加解密模块;
加解密模块对接收到的需解密的网络报文进行解密后再发送至CPU。
进一步地,支持网络安全的PLC系统还包含web配置模块;
web配置模块连接至网络安全模块对其内的防火墙模块和加解密模块进行配置。
进一步地,网络安全模块基于FPGA。
进一步地,加解密模块采用基于授权码的AES对称加解密算法。
进一步地,支持网络安全的PLC系统将FPGA特性区域初始化的随机值作为授权码;
授权码通过密钥生成算法生成AES加解密算法密码;
加解密模块通过AES加解密算法密码对网络报文进行解密。
进一步地,随机值为20字节;
AES加解密算法密码为16字节。
进一步地,20字节的授权码经过处理裂变成可变字节的新授权码;
新授权码通过MD5运算计算得到16字节的散列值,散列值即为AES加解密算法密码。
进一步地,对授权码的处理方式包括正序排列、倒序排列和奇偶排列中的至少一种。
本发明的有益之处在于所提供的支持网络安全的PLC系统,WAN口收到网络报文后,先经网络安全模块处理过滤,如果不符合设置的安全规则,则丢弃报文,处理结束,对于符合安全规则的报文解密后送给CPU处理,提高了系统的安全性能。
本发明的有益之处还在于所提供的支持网络安全的PLC系统,内嵌了轻量级的web配置模块给用户提供了简便的配置方式。
附图说明
图1是本发明的支持网络安全的PLC系统的示意图。
具体实施方式
以下结合附图和具体实施例对本发明作具体的介绍。
如图1所示为本申请的一种支持网络安全的PLC系统,主要包含:WAN口、LAN口、网络安全模块、CPU和PLC逻辑模块。LAN口、网络安全模块和PLC逻辑模块均连接至CPU。网络安全的另一端连接至WAN口。WAN口和LAN口分别用于接收网络报文。通过LAN口接收到的网络报文直接发送至CPU。通过WAN口接收到的网络报文经网络安全模块过滤处理后发送至CPU。CPU对接收到的网络报文进行处理后发送至PLC逻辑模块。PLC逻辑模块根据接收到的处理后的数据进行相关逻辑控制,实现可编程逻辑控制器核心功能。
在本申请中,网络安全模块主要采用基于FPGA实现的方案。FPGA处理速率快,独立的FPGA模块不影响原有的系统逻辑架构,对原系统改动成本小。
具体而言,网络安全模块包含防火墙模块和加解密模块。防火墙模块根据预设的安全规则对接收自WAN口的网络报文进行过滤。防火墙可以配置安全规则,针对源IP、源MAC、目的IP、目的MAC、协议类型、端口号等具体字段配置精细化过滤。对于不符合安全规则的网络报文直接丢弃,符合安全规则的网络报文则允许通过,进入下一流程处理。其中,如果系统没有启用加解密功能,防火墙模块将过滤通过的无需解密的符合安全规则的网络报文直接发送至CPU处理。如果系统开启了加解密功能,防火墙模块将过滤通过的需解密的符合安全规则的网络报文发送至加解密模块。加解密模块对接收到的需解密的网络报文进行解密后再发送至CPU。WAN口网络报文经过防火墙模块的处理过滤,实现了网络访问安全。WAN口网络报文经过加解密算法模块处理,实现了数据通讯安全。
本申请中,加解密模块采用基于授权码的AES对称加解密算法,对传输的网络报文进行加密和解密,防止网络报文被攻击者获取带来安全隐患。Modbus TCP协议没有安全认证机制,因此,原有的PLC系统的数据传输的安全性能无法得到保证。因此,在本申请中,通过加解密模块对需要加解密的网络报文进行处理。支持网络安全的PLC系统在出厂时都会在FPGA特性区域初始化20字节的随机值作为授权码,授权码通过密钥生成算法生成10字节的AES加解密算法密码。加解密模块通过AES加解密算法密码对网络报文进行解密。由于密钥生成算法是保密的,攻击者无法获取密钥,无法破解网络报文。
密钥生成过程具体为:20字节的授权码经过处理裂变成可变字节的新授权码。新授权码通过MD5运算计算得到16字节的散列值,散列值即为AES加解密算法密码。所谓可变字节是指20字节的授权码经过不同的处理方式后得到的新授权码的字节长度是不同的。本算法的核心在于20字节的授权码可以生成不同长度的内容作为MD5的输入源,而经过MD5运算,可以得到唯一的16字节作为生成的密钥。在本申请中,对授权码的处理方式包括正序排列、倒序排列和奇偶排列中的至少一种。可以理解的是,对授权码的处理方式还可以是其他的排列方式。在本申请中,对授权码的处理方式具体为:将20字节的授权码分别经过正序排列、倒序排列和奇偶排列后得到60字节的新授权码,再将这60字节的新授权码通过MD5运算计算得到16字节的散列值。
作为一种优选的实施方式,支持网络安全的PLC系统还包含web配置模块。web配置模块连接至网络安全模块对其内的防火墙模块和加解密模块进行配置。具体而言,系统集成了Mongoose轻量级的web功能,可以通过web对防火墙模块和加解密模块等进行配置,数据库采用轻量级的json格式文件存储。通过web配置模块可以配置防火墙模块的安全规则,针对源IP、源MAC、目的IP、目的MAC、协议类型、端口号等具体字段进行精细化配置。同时,通过web配置模块还可以配置加解密模块的加解密规则。
采用本申请的支持网络安全的PLC系统,可以解决现有PLC系统存在的网络安全问题,针对网络报文的源IP、源MAC、目的IP、目的MAC、协议类型等设置允许、拒绝等安全规则,解决访问控制的安全问题,另外可以通过配置加解密算法,确保网络报文传输安全。
以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解,上述实施例不以任何形式限制本发明,凡采用等同替换或等效变换的方式所获得的技术方案,均落在本发明的保护范围内。
Claims (6)
1.一种支持网络安全的PLC系统,其特征在于,包含:WAN口、LAN口、网络安全模块、CPU和PLC逻辑模块;
所述LAN口、所述网络安全模块和所述PLC逻辑模块均连接至所述CPU;
所述网络安全的另一端连接至所述WAN口;
所述WAN口和所述LAN口分别用于接收网络报文;
通过所述LAN口接收到的网络报文直接发送至所述CPU;
通过所述WAN口接收到的网络报文经所述网络安全模块过滤处理后发送至所述CPU;
所述CPU对接收到的网络报文进行处理后发送至所述PLC逻辑模块;
所述PLC逻辑模块根据接收到的处理后的数据进行相关逻辑控制;
所述网络安全模块包含防火墙模块和加解密模块;
所述防火墙模块根据预设的安全规则对接收自所述WAN口的网络报文进行过滤;
所述防火墙模块将过滤通过的无需解密的符合所述安全规则的网络报文直接发送至所述CPU并将过滤通过的需解密的符合所述安全规则的网络报文发送至所述加解密模块;
所述加解密模块对接收到的需解密的网络报文进行解密后再发送至所述CPU;
所述支持网络安全的PLC系统还包含web配置模块;
所述web配置模块连接至所述网络安全模块对其内的所述防火墙模块和所述加解密模块进行配置;
所述网络安全模块基于FPGA。
2.根据权利要求1所述的支持网络安全的PLC系统,其特征在于,
所述加解密模块采用基于授权码的AES对称加解密算法。
3.根据权利要求2所述的支持网络安全的PLC系统,其特征在于,
所述支持网络安全的PLC系统将FPGA特性区域初始化的随机值作为授权码;
所述授权码通过密钥生成算法生成AES加解密算法密码;
所述加解密模块通过所述AES加解密算法密码对网络报文进行解密。
4.根据权利要求3所述的支持网络安全的PLC系统,其特征在于,
所述随机值为20字节;
所述AES加解密算法密码为16字节。
5.根据权利要求4所述的支持网络安全的PLC系统,其特征在于,
20字节的所述授权码经过处理裂变成可变字节的新授权码;
所述新授权码通过MD5运算计算得到16字节的散列值,所述散列值即为所述AES加解密算法密码。
6.根据权利要求5所述的支持网络安全的PLC系统,其特征在于,
对所述授权码的处理方式包括正序排列、倒序排列和奇偶排列中的至少一种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111314813.4A CN114115099B (zh) | 2021-11-08 | 2021-11-08 | 支持网络安全的plc系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111314813.4A CN114115099B (zh) | 2021-11-08 | 2021-11-08 | 支持网络安全的plc系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114115099A CN114115099A (zh) | 2022-03-01 |
CN114115099B true CN114115099B (zh) | 2024-01-02 |
Family
ID=80381380
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111314813.4A Active CN114115099B (zh) | 2021-11-08 | 2021-11-08 | 支持网络安全的plc系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114115099B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567808A (zh) * | 2003-06-18 | 2005-01-19 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
CN104717205A (zh) * | 2015-02-04 | 2015-06-17 | 上海展湾信息科技有限公司 | 基于报文重构的工控防火墙控制方法 |
CN106341404A (zh) * | 2016-09-09 | 2017-01-18 | 西安工程大学 | 基于众核处理器的IPSec VPN系统及加解密处理方法 |
CN106549970A (zh) * | 2016-11-25 | 2017-03-29 | 济南浪潮高新科技投资发展有限公司 | 一种基于fpga的pcie接口数据加解密方法 |
CN107065750A (zh) * | 2017-05-15 | 2017-08-18 | 中国工程物理研究院计算机应用研究所 | 内生安全的工业控制网络动态防御方法 |
CN109558366A (zh) * | 2018-11-15 | 2019-04-02 | 浙江国利网安科技有限公司 | 一种基于多处理器架构的防火墙 |
CN113194097A (zh) * | 2021-04-30 | 2021-07-30 | 北京数盾信息科技有限公司 | 一种安全网关的数据处理方法、装置及安全网关 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7827602B2 (en) * | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
-
2021
- 2021-11-08 CN CN202111314813.4A patent/CN114115099B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567808A (zh) * | 2003-06-18 | 2005-01-19 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
CN104717205A (zh) * | 2015-02-04 | 2015-06-17 | 上海展湾信息科技有限公司 | 基于报文重构的工控防火墙控制方法 |
CN106341404A (zh) * | 2016-09-09 | 2017-01-18 | 西安工程大学 | 基于众核处理器的IPSec VPN系统及加解密处理方法 |
CN106549970A (zh) * | 2016-11-25 | 2017-03-29 | 济南浪潮高新科技投资发展有限公司 | 一种基于fpga的pcie接口数据加解密方法 |
CN107065750A (zh) * | 2017-05-15 | 2017-08-18 | 中国工程物理研究院计算机应用研究所 | 内生安全的工业控制网络动态防御方法 |
CN109558366A (zh) * | 2018-11-15 | 2019-04-02 | 浙江国利网安科技有限公司 | 一种基于多处理器架构的防火墙 |
CN113194097A (zh) * | 2021-04-30 | 2021-07-30 | 北京数盾信息科技有限公司 | 一种安全网关的数据处理方法、装置及安全网关 |
Also Published As
Publication number | Publication date |
---|---|
CN114115099A (zh) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10432404B2 (en) | Remote control of secure installations | |
US9674146B2 (en) | Network security module for Ethernet-receiving industrial control devices | |
CN108965215B (zh) | 一种多融合联动响应的动态安全方法与系统 | |
CN105049401B (zh) | 一种基于智能车的安全通信方法 | |
CN1938980A (zh) | 用于密码加密处理数据的方法和设备 | |
CN111770092B (zh) | 一种数控系统网络安全架构和安全通信方法及系统 | |
CN107181716A (zh) | 一种基于国家商用密码算法的网络安全通信系统及方法 | |
Bagaria et al. | Flexi-DNP3: Flexible distributed network protocol version 3 (DNP3) for SCADA security | |
CN105610837A (zh) | 用于scada系统主站与从站间身份认证的方法及系统 | |
CN108111308A (zh) | 一种基于动态随机加密的工业互联网通讯加密方法 | |
CN113472520B (zh) | 一种ModbusTCP协议安全增强方法及系统 | |
CN114115099B (zh) | 支持网络安全的plc系统 | |
CN103684759A (zh) | 一种终端数据加密方法和装置 | |
CN116996206B (zh) | 一种网络通讯信息加密传输方法及系统 | |
CN113676476A (zh) | 一种基于动作可编程软件定义网络的加密跳变方法 | |
Müller et al. | Protecting PROFINET cyclic real-time traffic: A performance evaluation and verification platform | |
CN106878985A (zh) | 一种终端页面的统一跳转方法、装置及终端 | |
CN113746861B (zh) | 基于国密技术的数据传输加密、解密方法及加解密系统 | |
KR20240041948A (ko) | 보안 모듈 및 보안 통신 방법 | |
Gao et al. | A kind of RFID security protocol based on the algorithm of present | |
CN115632863B (zh) | 一种数据传输方法及系统 | |
CN108566270A (zh) | 使用双分组密码的新型加密方法 | |
JP7273759B2 (ja) | 通信装置、通信方法、情報処理システムおよびプログラム | |
WO2023228623A1 (ja) | 暗号化システムおよび暗号化方法 | |
KR100863644B1 (ko) | 기기 간 인증 및 보안키 생성 시스템 그리고 그 방법. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |