CN115001821B - 一种基于usb通讯的数控机床用通讯安全防护系统 - Google Patents
一种基于usb通讯的数控机床用通讯安全防护系统 Download PDFInfo
- Publication number
- CN115001821B CN115001821B CN202210621879.6A CN202210621879A CN115001821B CN 115001821 B CN115001821 B CN 115001821B CN 202210621879 A CN202210621879 A CN 202210621879A CN 115001821 B CN115001821 B CN 115001821B
- Authority
- CN
- China
- Prior art keywords
- module
- file
- communication connection
- communication
- safety protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Numerical Control (AREA)
Abstract
本发明公开一种基于USB通讯的数控机床用通讯安全防护系统,外设设备通过USB通信接口与USB数据采集模块通信连接,USB数据采集模块与文件信息安全防护模块通信连接,文件信息安全防护模块与NC文件类型识别模块通信连接,NC文件类型识别模块与NC指令匹配模块通信连接,NC指令匹配模块与文件处理模块通信连接,文件处理模块与NC文件加工轨迹模拟模块通信连接,NC文件加工轨迹模拟模块与数控机床通信连接。本发明能够有效阻断数控机床的USB攻击,并对数控机床与USB外接设备之间的通信提供安全防护。
Description
技术领域
本发明涉及数控机床技术领域。具体地说是一种基于USB通讯的数控机床用通讯安全防护系统。
背景技术
随着信息化建设和自动化生产制造的不断推进,数控设备已形成DNC(DirectNumerical Control,直接数据控制)网络化的状态。为了充分发挥数控编程和数控设备效率,数控设备需要与办公网络中的PDM、CAPP等应用系统进行大量信息交互,DNC数控网络系统与办公系统网之间安全防护迫在眉睫。
对于数控网络系统的网络交换机、DNC服务器及客户端、数控机床上设有各类接口,例如串口、网口和USB接口,通过这类接口接入数控网络系统,就会带来非法接入或破坏等安全隐患。而USB外接设备是一种常用的外接设备,其带来的安全风险也是常见且不可预估的风险,因此需要对经由USB接口向数控网络传输信息的途径进行安全防护。
发明内容
为此,本发明所要解决的技术问题在于提供一种基于USB通讯的数控机床用通讯安全防护系统,能够有效阻断数控机床的USB攻击,并对数控机床与USB外接设备之间的通信提供安全防护。
为解决上述技术问题,本发明提供如下技术方案:
一种基于USB通讯的数控机床用通讯安全防护系统,包括:
USB通信接口,用于连接外设设备;
USB数据采集模块,用于通过USB通信接口采集外设设备内的数据;
文件信息安全防护模块,用于对USB数据采集模块采集的数据进行杀毒处理;
NC文件类型识别模块,用于对经过杀毒处理的数据中的NC文件进行识别;
NC指令匹配模块,用于对NC文件类型识别模块识别出来的NC文件进行NC指令匹配;
文件处理模块,用于对经过NC指令匹配模块处理且与预设NC指令相匹配的NC文件进行解包、加密、数据重组和再加密;
外设设备通过USB通信接口与USB数据采集模块通信连接,USB数据采集模块与文件信息安全防护模块通信连接,文件信息安全防护模块与NC文件类型识别模块通信连接,NC文件类型识别模块与NC指令匹配模块通信连接,NC指令匹配模块与文件处理模块通信连接,文件处理模块与NC文件加工轨迹模拟模块通信连接,NC文件加工轨迹模拟模块与数控机床通信连接。
上述基于USB通讯的数控机床用通讯安全防护系统,还包括通讯接口转换模块和数据共享模块,NC指令匹配模块依次通过通讯接口转换模块和数据共享模块与NC文件加工轨迹模拟模块通信连接。
上述基于USB通讯的数控机床用通讯安全防护系统,还包括非NC文件类型识别模块和文件关键字过滤模块,文件信息安全防护模块与非NC文件类型识别模块通信连接,非NC文件类型识别模块与文件关键字过滤模块通信连接,文件关键字过滤模块与NC文件类型识别模块通信连接。
上述基于USB通讯的数控机床用通讯安全防护系统,还包括日志模块,日志模块用于记录外设设备接入事件。
上述基于USB通讯的数控机床用通讯安全防护系统,文件信息安全防护模块包括端口权限判断单元、Budusb防护单元和时间控制单元,文件处理模块与端口权限判断单元通信连接,端口权限判断单元与Budusb防护单元通信连接,Budusb防护单元与时间控制单元通信连接,时间控制单元与NC文件类型识别模块通信连接。
上述基于USB通讯的数控机床用通讯安全防护系统,文件信息安全防护模块还包括用于对外设设备权限进行判断的设备权限判断单元,端口权限判断单元与设备权限判断单元通信连接,设备权限判断单元与Budusb防护单元通信连接。
上述基于USB通讯的数控机床用通讯安全防护系统,NC文件加工轨迹模拟模块通过端口权限判断单元与外设设备通信连接。
上述基于USB通讯的数控机床用通讯安全防护系统,NC文件加工轨迹模拟模块包括NC文件缓存单元、NC加工参数轨迹预制单元和模拟轨迹对比单元,NC服务器、外设设备和串口服务器分别与NC文件缓存单元通信连接,NC文件缓存单元与NC加工参数轨迹预制单元通信连接,NC加工参数轨迹预制单元与模拟轨迹对比单元通信连接,模拟轨迹对比单元与数控机床通信连接。
本发明的技术方案取得了如下有益的技术效果:
1.本发明综合运用身份鉴别、双重访问控制、多重接口防护策略、移动存储设备权限管理和病毒查杀、文件深度解析、文件真实性检查、文件传输权限管理、安全审计和设备集中管理一系列技术手段,有效阻断数控机床的网络攻击、篡改指令、USB攻击、串口攻击、非法接入等恶意行为,并同时对三种对外通讯方式进行安全防护。灵活的集中管理平台可以在任意客户端间进行切换,适用多种应用环境部署、多种工业协议、兼容性强、直观展示、操作配置简单等优点。
2.通过一种防护系统实现多重安全防护效果,降低硬件成本。
3.保障NC加工程序准确性,降低容错率。保障生产,提高生产效益。
4.通过内部操作到外部网络进行全面的安全防护措施,保障数控机床安全稳定进行生产,延长数控机床的生命周期。
附图说明
图1为本发明基于USB通讯的数控机床用通讯安全防护系统的工作原理图;
图2为本发明中业务流量处理流程图;
图3为本发明中外设设备接入以及业务流量处理流程图;
图4为NC文件加工轨迹模拟模块轨迹模拟界面;
图5为本发明中外设设备接入处理流程图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,本发明基于USB通讯的数控机床用通讯安全防护系统,包括USB通信接口、USB数据采集模块、文件信息安全防护模块、NC文件类型识别模块、NC指令匹配模块和文件处理模块:外设设备通过USB通信接口与USB数据采集模块通信连接,USB数据采集模块与文件信息安全防护模块通信连接,文件信息安全防护模块与NC文件类型识别模块通信连接,NC文件类型识别模块与NC指令匹配模块通信连接,NC指令匹配模块与文件处理模块通信连接,文件处理模块与NC文件加工轨迹模拟模块通信连接,NC文件加工轨迹模拟模块与数控机床通信连接。其中,USB通信接口,用于连接外设设备;USB数据采集模块,用于通过USB通信接口采集外设设备内的数据;文件信息安全防护模块,用于对USB数据采集模块采集的数据进行杀毒处理;NC文件类型识别模块,用于对经过杀毒处理的数据中的NC文件进行识别;NC指令匹配模块,用于对NC文件类型识别模块识别出来的NC文件进行NC指令匹配;文件处理模块,用于对经过NC指令匹配模块处理且与预设NC指令相匹配的NC文件进行解包、加密、数据重组和再加密。
本实施例中,本发明基于USB通讯的数控机床用通讯安全防护系统还包括通讯接口转换模块、数据共享模块、非NC文件类型识别模块、文件关键字过滤模块和日志模块,NC指令匹配模块依次通过通讯接口转换模块和数据共享模块与NC文件加工轨迹模拟模块通信连接;文件信息安全防护模块与非NC文件类型识别模块通信连接,非NC文件类型识别模块与文件关键字过滤模块通信连接,文件关键字过滤模块与NC文件类型识别模块通信连接;日志模块用于记录外设设备接入事件。其中,文件关键字过滤模块中的过滤策略可以根据实际需要进行关键字进行配置;非NC文件类型识别模块用于识别外设设备通过基于USB通讯的数控机床用通信安全防护系统向数控机床传输的文件中的数控机床用非NC文件的文件并将这些文件发送至数控机床并由数控机床进行相应处理,而剩余的文件则继续进行后续处理。例如需要通过外设设备向数控机床发送一些驱动程序,这些文件并非NC文件,但仍需要传送给数控机床。
文件信息安全防护模块包括端口权限判断单元、Budusb防护单元、时间控制单元和用于对外设设备权限进行判断的设备权限判断单元,文件处理模块与端口权限判断单元通信连接,端口权限判断单元端口权限判断单元与设备权限判断单元通信连接,设备权限判断单元与Budusb防护单元通信连接,Budusb防护单元与时间控制单元通信连接,时间控制单元与NC文件类型识别模块通信连接。
NC文件加工轨迹模拟模块通过端口权限判断单元与外设设备通信连接。NC文件加工轨迹模拟模块包括NC文件缓存单元、NC加工参数轨迹预制单元和模拟轨迹对比单元,NC服务器、外设设备和串口服务器分别与NC文件缓存单元通信连接,NC文件缓存单元与NC加工参数轨迹预制单元通信连接,NC加工参数轨迹预制单元与模拟轨迹对比单元通信连接,模拟轨迹对比单元与数控机床通信连接。如图4所示,NC文件加工模拟单元的轨迹模拟界面。
对于源自外设设备的NC文件处理流程如图2和图3所示:
I)对源自外设设备的业务流量中的端口进行扫描,以确定外设设备是通过经过认证或备案的端口向数控机床发送业务流量;对来自经过认证或备案的端口发送的业务流量予以放行;当业务流量来自经过认证或备案的端口时,则对外设设备是否属于经过认证或备案的设备进行判断,当外设设备为经过认证或者备案的设备时,则对于该业务流量进行放行;
II)对经过步骤I)处理并予以放行的业务流量进行Budusb防护处理,以免有人通过Budusb侵入数控机床等设备,并对不存在通过Budusb入侵风险的业务流量予以放行;
III)对经过步骤II)处理并予以放行的业务流量的发送时间或者发布时间进行检测,以确定该业务流量是在预设的时间段或时间点发送或发布的,对在预设的时间段或时间点发送或发布的业务流量予以放行;
IV)对经过步骤III)处理并予以放行的业务流量进行杀毒处理;
V)对经过步骤IV)杀毒处理的业务流量进行文件类型识别、关键字过滤以及指令匹配,对符合预设条件的业务流量与予以放行;
VI)NC文件加工轨迹模拟模块对经过步骤V)处理并予以放行的业务流量中的NC文件中的加工指令进行模拟,以确认NC文件中的指令是否存在合法却非正常的修改,以便及时发现NC文件中存在的问题,当业务流量中的NC文件不存在任何问题后,在将业务流量发送给数控机床,并由数控机床进行加工成产。
如图5所示,外设设备通过基于USB通讯的数控机床用通讯安全防护系统向数控机床传输业务流量具体操作流程为:
将外设设备通过USB接口与基于USB通讯的数控机床用通讯安全防护系统通信连接,USB数据采集模块采集外设设备所用的USB接口信息,并将该信息发送给端口权限判断单元,然后由端口权限判断单元判断外设设备所用的USB接口是否为禁用端口,如果是禁用端口则,对外设设备接入不进行响应,反之,再由USB数据采集模块采集外设设备信息并将该信息经端口权限判断单元发送至设备权限判断单元对外设设备是否为禁用设备进行判断,如果是禁用设备,则对外设设备接入不进行响应,反之,则由设备权限判断单元判断外设设备是否为直通设备,如果是直通设备,则由USB数据采集模块采集外设设备发送的业务流量,并将业务流量经端口权限判断单元、设备权限判断单元发送至Budusb防护单元进行杀毒处理,并将杀毒处理后的业务流量发送至时间控制单元对业务流量发送的时间进行判断,当业务流量发送时间在预设的时间范围内发送的,则将业务流量发送至非NC文件类型识别模块内进行处理,反之,则对USB数据采集模块从外设设备采集到的数据进行过滤,再将过滤后得到的数据发送至非NC文件类型识别模块内进行处理,接着依次由文件关键字过滤模块、NC文件类型识别模块和NC指令匹配模块进行处理,并将处理后的业务流量发送至NC文件加工轨迹模拟模块进行模拟。
将本发明数控机床用通讯安全防护系统应用于发那科、西门子、海德汉、沈阳数控和广州数控的数控机床时,防护效果如表1所示。
表1本发明数控机床用通讯安全防护系统对主流数控机床的安全防护效果
由表1中的数据可知,本发明对主流数控机床的防护效果较好,尤其是对USB病毒攻击、串口攻击具有良好的防护效果。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。
Claims (7)
1.一种基于USB通讯的数控机床用通讯安全防护系统,其特征在于,包括:
USB通信接口,用于连接外设设备;
USB数据采集模块,用于通过USB通信接口采集外设设备内的数据;
文件信息安全防护模块,用于对USB数据采集模块采集的数据进行杀毒处理;
NC文件类型识别模块,用于对经过杀毒处理的数据中的NC文件进行识别;
NC指令匹配模块,用于对NC文件类型识别模块识别出来的NC文件进行NC指令匹配;
文件处理模块,用于对经过NC指令匹配模块处理且与预设NC指令相匹配的NC文件进行解包、加密、数据重组和再加密;
外设设备通过USB通信接口与USB数据采集模块通信连接,USB数据采集模块与文件信息安全防护模块通信连接,文件信息安全防护模块与NC文件类型识别模块通信连接,NC文件类型识别模块与NC指令匹配模块通信连接,NC指令匹配模块与文件处理模块通信连接,文件处理模块与NC文件加工轨迹模拟模块通信连接,NC文件加工轨迹模拟模块与数控机床通信连接,NC文件加工轨迹模拟模块通过端口权限判断单元与外设设备通信连接;NC文件加工轨迹模拟模块对NC文件中的加工指令进行模拟,以确认NC文件中的指令是否存在合法却非正常的修改,以便及时发现NC文件中存在的问题,当业务流量中的NC文件不存在任何问题后,在将业务流量发送给数控机床,并由数控机床进行加工成产。
2.根据权利要求1所述的基于USB通讯的数控机床用通讯安全防护系统,其特征在于,还包括通讯接口转换模块和数据共享模块,NC指令匹配模块依次通过通讯接口转换模块和数据共享模块与NC文件加工轨迹模拟模块通信连接。
3.根据权利要求1所述的基于USB通讯的数控机床用通讯安全防护系统,其特征在于,还包括非NC文件类型识别模块和文件关键字过滤模块,文件信息安全防护模块与非NC文件类型识别模块通信连接,非NC文件类型识别模块与文件关键字过滤模块通信连接,文件关键字过滤模块与NC文件类型识别模块通信连接。
4.根据权利要求1所述的基于USB通讯的数控机床用通讯安全防护系统,其特征在于,还包括日志模块,日志模块用于记录外设设备接入事件。
5.根据权利要求1所述的基于USB通讯的数控机床用通讯安全防护系统,其特征在于,文件信息安全防护模块包括端口权限判断单元、Budusb防护单元和时间控制单元,文件处理模块与端口权限判断单元通信连接,端口权限判断单元与Budusb防护单元通信连接,Budusb防护单元与时间控制单元通信连接,时间控制单元与NC文件类型识别模块通信连接。
6.根据权利要求5所述的基于USB通讯的数控机床用通讯安全防护系统,其特征在于,文件信息安全防护模块还包括用于对外设设备权限进行判断的设备权限判断单元,端口权限判断单元与设备权限判断单元通信连接,设备权限判断单元与Budusb防护单元通信连接。
7.根据权利要求1~6任一所述的数控机床用通讯安全防护系统,其特征在于,NC文件加工轨迹模拟模块包括NC文件缓存单元、NC加工参数轨迹预制单元和模拟轨迹对比单元,NC服务器、外设设备和串口服务器分别与NC文件缓存单元通信连接,NC文件缓存单元与NC加工参数轨迹预制单元通信连接,NC加工参数轨迹预制单元与模拟轨迹对比单元通信连接,模拟轨迹对比单元与数控机床通信连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210621879.6A CN115001821B (zh) | 2022-06-01 | 2022-06-01 | 一种基于usb通讯的数控机床用通讯安全防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210621879.6A CN115001821B (zh) | 2022-06-01 | 2022-06-01 | 一种基于usb通讯的数控机床用通讯安全防护系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115001821A CN115001821A (zh) | 2022-09-02 |
CN115001821B true CN115001821B (zh) | 2023-05-12 |
Family
ID=83030792
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210621879.6A Active CN115001821B (zh) | 2022-06-01 | 2022-06-01 | 一种基于usb通讯的数控机床用通讯安全防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115001821B (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016218592A (ja) * | 2015-05-18 | 2016-12-22 | ファナック株式会社 | パソコンのシャットダウンユニットを備えた工作機械 |
CN105978871A (zh) * | 2016-05-09 | 2016-09-28 | 北京航天数控系统有限公司 | 一种针对数控系统的通信防护设备 |
CN108429744A (zh) * | 2018-03-05 | 2018-08-21 | 中国电子科技网络信息安全有限公司 | 一种数控机床通信接口安全防护方法及装置 |
CN109976239B (zh) * | 2019-04-29 | 2020-06-16 | 北京京航计算通讯研究所 | 工控系统终端安全防护系统 |
CN109995796B (zh) * | 2019-04-29 | 2021-06-01 | 北京京航计算通讯研究所 | 工控系统终端安全防护方法 |
CN111885179B (zh) * | 2020-07-28 | 2022-05-10 | 北京中科麒麟信息工程有限责任公司 | 一种基于文件监测服务的外接式终端防护设备及防护系统 |
-
2022
- 2022-06-01 CN CN202210621879.6A patent/CN115001821B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN115001821A (zh) | 2022-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109922085B (zh) | 一种基于plc中cip协议的安全防护系统及方法 | |
CN109739203B (zh) | 一种工业网络边界防护系统 | |
CN107450386B (zh) | 模块化安全控制装置 | |
CN105812387A (zh) | 一种单向数据安全交换设备 | |
CN110636075A (zh) | 一种运维管控、运维分析方法及装置 | |
CN105978871A (zh) | 一种针对数控系统的通信防护设备 | |
CN114567463B (zh) | 一种工业网络信息安全监测与防护系统 | |
CN110113336B (zh) | 一种用于变电站网络环境的网络流量异常分析与识别方法 | |
CN112799358A (zh) | 一种工业控制安全防御系统 | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
CN112149120A (zh) | 一种透传式双通道电力物联网安全检测系统 | |
CN113596028A (zh) | 一种网络异常行为的处置方法及装置 | |
CN111628994A (zh) | 一种工控环境的异常检测方法、系统及相关装置 | |
CN106326736A (zh) | 数据处理方法及系统 | |
CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
CN114500068B (zh) | 一种基于安全隔离网闸的信息数据交换系统 | |
CN102752289A (zh) | 一种用于用电信息采集系统的主站 | |
CN115001821B (zh) | 一种基于usb通讯的数控机床用通讯安全防护系统 | |
CN112822209A (zh) | 一种单向数据传输的工业网络系统 | |
EP1126655A1 (de) | Verfahren zur Authentizitätssicherung von Hard- und Software in einem vernetzten System | |
CN116527260A (zh) | 一种电网通讯系统的接入方法、装置、设备和介质 | |
CN115550034A (zh) | 一种配网电力监控系统业务流量监测方法及装置 | |
CN114760075A (zh) | 一种基于区块链与看门狗wdgm的多重网络信息应急安全系统 | |
CN115150209A (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
CN113141362A (zh) | 一种智能终端和服务器安全交互控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |