CN209964093U - 一种工业总线分级隔离信息交换设备 - Google Patents
一种工业总线分级隔离信息交换设备 Download PDFInfo
- Publication number
- CN209964093U CN209964093U CN201921253950.XU CN201921253950U CN209964093U CN 209964093 U CN209964093 U CN 209964093U CN 201921253950 U CN201921253950 U CN 201921253950U CN 209964093 U CN209964093 U CN 209964093U
- Authority
- CN
- China
- Prior art keywords
- module
- industrial
- unit panel
- optical
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本实用新型涉及一种工业总线分级隔离信息交换设备,包括电源板、工业单元板、仲裁单元板和外网单元板,电源板用于给工业单元板、仲裁单元板和外网单元板供电,工业单元板通过FTP和SMB协议与工业总线网络进行通讯连接,工业单元板和仲裁单元板之间通过第一光通讯模块进行双向连接,工业单元板与外网单元板之间通过第二光通讯模块进行单向连接,以单向接收工业总线数据,仲裁单元板与外网单元板之间通过RS485进行通讯连接,用以反馈外网单元板的数据接收情况,并且通过RJ45以太网模块进行双向物理连接,外网单元板通过FTP和SMB协议与办公网络和/或公共网络进行通讯连接,仲裁单元板用于检查数据的合规性并根据检查结果接收或拒收数据。
Description
技术领域
本实用新型涉及工业自动化领域,具体地涉及一种工业总线分级隔离信息交换设备。
背景技术
随着信息技术的发展,如今工业智能化和工业上云进行的如火如荼。在快速推进工业智能化和工业上云尤其是上公有云的过程中急需一种能够保障工业生产和信息安全且易实施的数据安全交换设备。
工业智能化对于信息交换的主要需求有以下几个方面:
1、在生产车间铺设工业专网,将所有生产制造设备通过网络进行连接,形成工业专网,并以总线形式提供统一对接;
2、将工业总线与办公网络进行连接,实现生产数据、能耗数据与MES、ERP等系统进行数据交换;
3、通过办公网反向下发PLC编程指令实现远端控制生产设备;
4、保障数据交换过程的安全性和可控性。
工业上云对于信息交换的主要需求有以下几个方面:
1、将工业专网与公共网络进行安全连接;
2、生产数据、节能数据经过裁剪后通过公共网络上传到远端数据中心,如:企业总部、公有云、政府监管平台;
3、由于公共网络的不可控性,需要保障不被黑客通过公共网络链路反向侵入到工业专网。
发明内容
本实用新型旨在提供一种工业总线分级隔离信息交换设备,以解决工业智能化和工业上云的数据安全性问题。为此,本实用新型采用的具体技术方案如下:
一种工业总线分级隔离信息交换设备,包括电源板、工业单元板、仲裁单元板和外网单元板,电源板用于给工业单元板、仲裁单元板和外网单元板供电,工业单元板通过FTP和SMB协议与工业总线网络进行通讯连接,工业单元板和仲裁单元板之间通过第一光通讯模块进行双向连接,工业单元板与外网单元板之间通过第二光通讯模块进行单向连接,以单向接收工业总线数据,仲裁单元板与外网单元板之间通过RS485进行通讯连接,用以反馈外网单元板的数据接收情况,并且通过RJ45以太网模块进行双向物理连接,外网单元板通过FTP和SMB协议与办公网络和/或公共网络进行通讯连接,仲裁单元板用于检查数据的合规性并根据检查结果接收或拒收数据。
进一步地,工业单元板、仲裁单元板和外网单元板各自为一块基于Intel x86/x64架构的单独主板。
进一步地,工业单元板包括一个MCU模块、一个光收发器、一个光发送模块、一个光接收模块和分光器;其中光收发器作为设备与工业总线网络唯一连接通道对工业总线数据进行收发;MCU模块负责数据的具体处理;处理后的数据通过光发送模块经分光器将光信号一分为二后向仲裁单元板和外网单元板发送数据;光接收模块用于接收仲裁单元板的反馈数据。
进一步地,仲裁单元板包括一个MCU模块、一个光发送模块、一个光接收模块、一个RS485模块和一个RJ45以太网模块;其中光接收模块和光发送模块与工业网单元板的光发送模块和光接收模块相连实现光信号的双向收发;RJ45以太网模块与外网单元板的RJ45以太网模块之间使用双绞线进行连接;RS485模块与外网单元板的RS485模块通过双绞线连接。
进一步地,仲裁单元板还包括另一个RJ45以太网模块、两个USB接口和一个VGA接口。
进一步地,外网单元板包括一个MCU模块、一个光接收模块、一个RS485模块和三个RJ45以太网模块;其中光接收模块用于接收工业网单元板发送的数据;RS485模块与仲裁单元板的RS485模块通过双绞线连接;一个RJ45以太网模块通过双绞线与单元板的RJ45以太网模块相连,另外两个RJ45以太网模块分别用于与办公网络和公共网络连接。
进一步地,RJ45以太网模块是10/100/1000Mb自适应的RJ45以太网模块。
本实用新型采用上述技术方案,具有的有益效果是:本实用新型从硬件结构上将两个大网域“内网(工业网)”和“外网”(办公网络和公共网络)的网络进行完全物理隔离,无论数据流向如何都不会让两个网域之间产生直接的网络通信,大大提高了内外网之间数据信息交换的安全性,有助于工业智能化和工业上云。
附图说明
为进一步说明各实施例,本实用新型提供有附图。这些附图为本实用新型揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本实用新型的优点。图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
图1是本实用新型的工业总线分级隔离信息交换设备的硬件框图;
图2是图1所示的工业总线分级隔离信息交换设备的原理框图。
具体实施方式
现结合附图和具体实施方式对本实用新型进一步说明。
如图1和2所示,一种工业总线分级隔离信息交换设备,包括电源板1、工业单元板2、仲裁单元板3和外网单元板4。其均为独立的PCB板,电源模块之间通过电线连接,光通信模块之间通过光纤(单模双纤)连接,RS485模块之间通过双绞线(五类线)连接。下面分别对其进行详细说明。
电源板1作为整台设备的总电源控制,电源统一接入该电源板后再输出到其他三块单元板,以此实现电源的统一开关、复位。电源板1上可设有电源开关、复位开关和电源控制模块。
工业网单元板2为基于Intel x86/x64架构的主板,可包括一个工控模块(MCU模块)、一个直流供电模块、一个光收发器、一个光发送模块、一个光接收模块、分光器及相应存储器。其中,直流供电模块与电源板1通过电源线连接,为工业网单元板2的其它组件模块供电。光收发器作为设备与工业总线网络唯一连接通道对工业总线数据进行收发(采用FTP和SMB协议)。工控模块负责数据的具体处理。分光器将发送纤芯一分为二,一路接至仲裁单元板3,另一路接至外网单元板4。即,处理后的数据通过光发送模块经分光器将光信号一分为二后向仲裁单元板3和外网单元板4发送数据。工业网单元板2与外网单元板4之间仅采用一根单模光纤连接,以实现单向通讯。即,外网单元板4只保留一根接收纤芯(RX),这样一来就从物理上彻底阻断了从外网到内网的网络通道,从而实现单向传输。光接收模块负责接收仲裁单元板3的反馈数据。
仲裁单元板3为基于Intel x86/x64架构的主板,该单元板也是整台设备的主控制板,可包括一个工控模块(MCU模块)、一个直流供电模块、两个USB接口、一个VGA接口、一个光发送模块、一个光接收模块、一个RS485模块和两个RJ45以太网模块。其中,直流供电模块与电源板1通过电源线连接,为仲裁单元板3的其它组件模块供电。光接收模块和光发送模块与工业网单元板2的光发送模块和光接收模块相连,以实现光信号的双向收发,即实现双向数据传输。其中一个RJ45以太网模块与外网单元板的RJ45以太网模块之间使用双绞线进行连接,实现物理上的双向网络通讯。RS485模块与外网单元板的RS485模块通过双绞线连接,用以反馈外网单元数据接收情况,保证数据接收的完整性。另一个RJ45以太网模块、两个USB接口和VGA接口均不与其它3块PCB板发生任何物理连接和逻辑连接,它们的主要作用是为系统管理员提供物理管理通道,即它们是管理员专用接口。其中,另一个RJ45以太网模块的使用场景是:管理员通过笔记本电脑的网络口使用双绞线与其相连实现通讯;两个USB接口以及VGA接口的使用场景是:管理员通过外接显示器、鼠标、键盘实现对设备工作状态的查看与控制。
外网单元板4为基于Intel x86/x64架构的主板,可包括一个工控模块(MCU模块)、一个直流供电模块、一个光接收模块、一个RS485模块、三个RJ45以太网模块。其中,直流供电模块与电源板1通过电源线连接,为外网单元板4的其它组件模块供电。光接收模块用于接收工业网单元板2发送的数据。RS485模块与仲裁单元板3的RS485模块通过双绞线连接,用以反馈本单元数据接收情况,保证数据接收的完整性。一个RJ45以太网模块通过双绞线与单元板的RJ45以太网模块相连,另外两个RJ45以太网模块分别用于与办公网络和公共网络连接。外网单元板4与办公网络和公共网络之间均采用FTP和SMB协议进行数据和信息传输,以确保数据安全性。
优选地,上述各单元板中的RJ45以太网模块是10/100/1000Mb自适应的RJ45以太网模块,以适应于各种网络。
本实用新型将工业数据传输分为两个大网域并对其应用两种不同级别的网络物理隔离和信息交换方式。这两个网域分别是:一是内网,即工业总线网络,是可信任网络,里面连接了所有的生产制造设备和计量仪表数据最终汇总到工业总线网关服务器;二是外网,对于工业总线网络来说,外网中的一切设备和通信都是不可靠的。在外网中再进一步区分为“公共网络”和“办公网络”,公共网络可能接入互联网,因此为完全不可信任网络。工业总线网络的数据经过筛选后单向传输到公共网络,公共网络不允许向工业网络回写任何数据。因此,硬件上采用三个单元隔离+单模双纤传输的物理特性,只接其中的发送纤芯,从物理上杜绝一切回写数据的可能性。办公网的可信任级别要略高于公共网络,办公网络中通常部署了MES等生产协同软件将会产生订单下发、作业书下发、PCL点位数据调整等反写数据的场景,不能采用光纤单向传输手段,因此硬件上采用三个单元板隔离+RJ45以太网+双绞线的方法,实现网络物理隔离,但符合预设规则的数据是可以回写到工业总线网络。
该设备从硬件结构上将两个大网域“内网”和“外网”的网络进行完全物理隔离,无论数据流向如何都不会让两个安全网域之间产生直接的网络通信。该设备的具体控制策略如下:
1、该设备布置在内网和外网之间,是一切TCP/IP通讯的终结点,对内外网只提供FTP和SMB网络通讯服务,阻断其它一切网络通讯;
2、所有需要交换的数据需先落地存储为数据文件(格式后缀不限);
3、数据传输由对应网域的单元板接收(办公网和公共网发送对应外网单元板接收、工业网发送对应工业网单元板接收);
4、在各单元板上部署有工控模块,该工控模块对通讯中传输的数据进行剥离和重新打包,不符合预设规则的数据将被丢弃;
5、符合预设规则的数据则被抽出成打包成.edata私有应用数据文件,采用非公开的私有传输协议将.edata文件发送到仲裁单元板上;
6、仲裁单元板对数据再次进行合规检查,协议不正确或者.edata不合规都将被拒绝,负责发送文件的设备收到被拒绝回复后自动删除.edata文件,通讯中断;
7、通过合规检查的.edata文件能够被传输到另一个网域的设备上;
8、设备收到文件后根据.edata约定的帧格式将其还原为原始文件格式和后缀;
9、数据交换完成。
.edata文件结构是本实用新型自定义的特殊文件结构,它是被传输数据的再次封装,其结构分为三个部分:
文件头,包含信息:文件开始标记、来源主机IP、来源主机MAC、文件原始类型、文件原始长度、目标主机IP、目标端口(工业总线网端口、办公网端口、公共网端口);
文件主体,包含信息:被传输数据的原始二进制数据;
文件尾,包含信息:文件结束标记。
控制系统依据.edata文件头内的信息来决定数据该发往哪个单元的哪个网络模块;
控制系统依据.edata文件头内记录的原始类型和原始长度来校验文件主体中的原始二进制数据是否正确,并将二进制数据还原成原始文件;
控制系统依据.edata文件的开始标记和文件尾的结束标记来判定一次传输任务是否完成。
尽管结合优选实施方案具体展示和介绍了本实用新型,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本实用新型的精神和范围内,在形式上和细节上可以对本实用新型做出各种变化,均为本实用新型的保护范围。
Claims (7)
1.一种工业总线分级隔离信息交换设备,其特征在于,包括电源板、工业单元板、仲裁单元板和外网单元板,电源板用于给工业单元板、仲裁单元板和外网单元板供电,工业单元板通过FTP和SMB协议与工业总线网络进行通讯连接,工业单元板和仲裁单元板之间通过第一光通讯模块进行双向连接,工业单元板与外网单元板之间通过第二光通讯模块进行单向连接,以单向接收工业总线数据,仲裁单元板与外网单元板之间通过RS485进行通讯连接,用以反馈外网单元板的数据接收情况,并且通过RJ45以太网模块进行双向物理连接,外网单元板通过FTP和SMB协议与办公网络和/或公共网络进行通讯连接,仲裁单元板用于检查数据的合规性并根据检查结果接收或拒收数据。
2.如权利要求1所述的工业总线分级隔离信息交换设备,其特征在于,工业单元板、仲裁单元板和外网单元板各自为一块基于Intel x86/x64架构的单独主板。
3.如权利要求2所述的工业总线分级隔离信息交换设备,其特征在于,工业单元板包括一个MCU模块、一个光收发器、一个光发送模块、一个光接收模块和分光器模块;其中光收发器作为设备与工业总线网络唯一连接通道对工业总线数据进行收发;MCU模块负责数据的具体处理;处理后的数据通过光发送模块经分光器模块将光信号一分为二后向仲裁单元板和外网单元板发送数据;光接收模块用于接收仲裁单元板的反馈数据。
4.如权利要求3所述的工业总线分级隔离信息交换设备,其特征在于,仲裁单元板包括一个MCU模块、一个光发送模块、一个光接收模块、一个RS485模块和一个RJ45以太网模块;其中光接收模块和光发送模块与工业网单元板的光发送模块和光接收模块相连实现光信号的双向收发;RJ45以太网模块与外网单元板的RJ45以太网模块之间使用双绞线进行连接;RS485模块与外网单元板的RS485模块通过双绞线连接。
5.如权利要求4所述的工业总线分级隔离信息交换设备,其特征在于,仲裁单元板还包括另一个RJ45以太网模块、两个USB接口和一个VGA接口。
6.如权利要求4所述的工业总线分级隔离信息交换设备,其特征在于,外网单元板包括一个MCU模块、一个光接收模块、一个RS485模块和三个RJ45以太网模块;其中光接收模块用于接收工业网单元板发送的数据;RS485模块与仲裁单元板的RS485模块通过双绞线连接;一个RJ45以太网模块通过双绞线与单元板的RJ45以太网模块相连,另外两个RJ45以太网模块分别用于与办公网络和公共网络连接。
7.如权利要求1至6中任一项所述的工业总线分级隔离信息交换设备,其特征在于,RJ45以太网模块是10/100/1000Mb自适应的RJ45以太网模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201921253950.XU CN209964093U (zh) | 2019-08-05 | 2019-08-05 | 一种工业总线分级隔离信息交换设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201921253950.XU CN209964093U (zh) | 2019-08-05 | 2019-08-05 | 一种工业总线分级隔离信息交换设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN209964093U true CN209964093U (zh) | 2020-01-17 |
Family
ID=69249407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201921253950.XU Active CN209964093U (zh) | 2019-08-05 | 2019-08-05 | 一种工业总线分级隔离信息交换设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN209964093U (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351036A (zh) * | 2020-11-06 | 2021-02-09 | 浙江安点科技有限责任公司 | 基于2+1架构下工业网闸实现数据采集与转发的技术 |
| CN112468496A (zh) * | 2020-11-26 | 2021-03-09 | 中铁信安(北京)信息安全技术有限公司 | 一种双重物理隔离数据单向传输系统和方法 |
-
2019
- 2019-08-05 CN CN201921253950.XU patent/CN209964093U/zh active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351036A (zh) * | 2020-11-06 | 2021-02-09 | 浙江安点科技有限责任公司 | 基于2+1架构下工业网闸实现数据采集与转发的技术 |
| CN112468496A (zh) * | 2020-11-26 | 2021-03-09 | 中铁信安(北京)信息安全技术有限公司 | 一种双重物理隔离数据单向传输系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101488878B (zh) | 一种智能平台接口管理装置及服务器 | |
| US11100036B2 (en) | Serial connection between management controller and microcontroller | |
| CN209964093U (zh) | 一种工业总线分级隔离信息交换设备 | |
| CN1929490B (zh) | 一种无反馈单向传输的物理隔离方法 | |
| CN109684246A (zh) | 不同接口协议的设备之间进行数据传输的方法及系统 | |
| CN110635982B (zh) | 通讯总线上双主机通讯方法、系统、工控网关及储存介质 | |
| CN108667817A (zh) | 报文转换系统和报文转换方法 | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN102884515B (zh) | 串口重定向处理方法、设备和系统 | |
| CN110493052A (zh) | 一种兼容不同通信协议的安全计算机平台通信架构 | |
| CN104468497B (zh) | 监控系统的数据隔离方法及装置 | |
| JP2008522550A (ja) | マルチレート光トランスポンダ | |
| CN203206281U (zh) | 源代码保护机和源代码保护系统 | |
| US20100229041A1 (en) | Device and method for expediting feedback on changes of connection status of monitioring equipments | |
| CN210518371U (zh) | 一种变电站网络拓扑定位装置 | |
| CN112804265B (zh) | 一种单向网闸接口电路、方法及可读存储介质 | |
| CN107395478A (zh) | 一种用于高速卷烟包装设备的网络控制系统以及网络通信模块 | |
| CN209267603U (zh) | 一种物联网智能接收器 | |
| CN207882728U (zh) | 一种控制系统 | |
| CN113347161A (zh) | 一种计算机文件单向传输装置 | |
| CN112953947A (zh) | 一种单片机安全网关的单向数据透明传输方法 | |
| CN207099099U (zh) | 一种用于高速卷烟包装设备的arcnet模块 | |
| CN105429871A (zh) | 一种基于Wi-Fi和PROFIBUS-DP总线互连的嵌入式Web网关和通信系统 | |
| CN111611181A (zh) | 基于广域网无需bios及ipmi支持的hid和cdrom复合usb仿真设备 | |
| CN113014610A (zh) | 一种远程访问方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |