ES2893656T3 - Método para inspección profunda de datos sobre un bus de banda ancha del campo de Internet industrial - Google Patents

Método para inspección profunda de datos sobre un bus de banda ancha del campo de Internet industrial Download PDF

Info

Publication number
ES2893656T3
ES2893656T3 ES16188030T ES16188030T ES2893656T3 ES 2893656 T3 ES2893656 T3 ES 2893656T3 ES 16188030 T ES16188030 T ES 16188030T ES 16188030 T ES16188030 T ES 16188030T ES 2893656 T3 ES2893656 T3 ES 2893656T3
Authority
ES
Spain
Prior art keywords
address
message
transmitted
bus
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16188030T
Other languages
English (en)
Inventor
Jinju Wei
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyland Technology Co Ltd
Original Assignee
Kyland Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyland Technology Co Ltd filed Critical Kyland Technology Co Ltd
Application granted granted Critical
Publication of ES2893656T3 publication Critical patent/ES2893656T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/106Mapping addresses of different types across networks, e.g. mapping telephone numbers to data network addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2801Broadband local area networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

Un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial que comprende dos hilos, caracterizado por que, siendo el método aplicable al bus de banda ancha de campo de Internet industrial, en donde los nodos respectivos se conectan a través de la red según su dirección IP, y los nodos respectivos se sincronizan en reloj, en donde el método comprende: recibir, por el primer nodo, el mensaje que se va a transmitir, transmitido por un segundo nodo; en donde el mensaje que se va a transmitir se genera por el segundo nodo al obtener un mensaje de datos, determinando una dirección de dispositivo de bus correspondiente a una dirección IP de destino y una dirección MAC de destino en el mensaje de datos usando una relación de correspondencia tridimensional preestablecida entre una dirección del dispositivo de bus, una dirección MAC y una dirección IP según la dirección IP de destino y la dirección MAC de destino en el mensaje de datos, y reemplazando la dirección IP de destino y la dirección MAC de destino en el mensaje de datos con la dirección del dispositivo de bus; juzgar, por el primer nodo, si una dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en un rango preestablecido de direcciones del dispositivo de bus; y si la dirección del dispositivo de bus se encuentra en el rango preestablecido de direcciones del dispositivo de bus, entonces transmitir, por el primer nodo, el mensaje que se va a transmitir a un procesador del primer nodo.

Description

DESCRIPCIÓN
Método para inspección profunda de datos sobre un bus de banda ancha del campo de Internet industrial Referencia cruzada a solicitudes relacionadas
Esta solicitud reivindica la prioridad de la Solicitud de Patente China N° 201610466509.4, presentada el 23 de junio de 2016.
Campo
La presente invención se refiere al campo del procesamiento de información y, en particular, a un método para la inspección profunda de datos a través de un bus de banda ancha del campo de Internet industrial.
Antecedentes
A medida que se están desarrollando las tecnologías de Internet, se han aplicado ampliamente varios buses a la automatización del campo de la industria para supervisar por un extremo de control un campo de la industria de una manera en tiempo real, y existen diferentes requisitos de transmisión de datos en diferentes campos de aplicación, donde particularmente el rendimiento de seguridad de los servosistemas, robots y otros sistemas que requieren alta precisión puede depender directamente de la exactitud de los datos de campo y de los datos de control; y los eventos de intrusión en la red ocurren con frecuencia a través de Internet, donde la información de virus se transmite a un sistema de bus en el que hay un error de programación en la detección de seguridad de modo que el sistema pueda fallar, poniendo en peligro así la seguridad de una nación, una empresa y un individuo debido a estos eventos.
Se ha descrito en la invención de la patente CN103438548B un sistema de terminal móvil y un método para controlar de forma remota un acondicionador de aire central, donde el software de control del acondicionador de aire en el terminal móvil está vinculado de manera uno a uno y se comunica con el controlador centralizado según una dirección MAC y una dirección IP introducidas por un usuario para así evitar que el terminal móvil opere sobre un objeto incorrecto a fin de mejorar la seguridad y fiabilidad del control de la condición del aire central, pero la transmisión de datos en el formato de mensaje, incluida la dirección MAC y la dirección IP, no se ha adaptado a la transmisión en tiempo real de la información del bus como se requiere en la actualidad, y la vinculación pura uno a uno de las direcciones puede no garantizar la seguridad de la información en el mensaje.
Se ha descrito en la invención de la patente CN202600464U una plataforma inteligente de control, supervisión y gestión del edificio, donde el sistema incluye un módulo de juicio de direcciones configurado para juzgar si la información de la dirección del controlador del dispositivo del edificio en una instrucción de control es correcta, y para determinar un tipo de protocolo de comunicación, donde diferentes tipos de codificación de dirección son aplicables a diferentes protocolos de comunicación. Esta solución solo se refiere al juicio sobre el tipo de codificación de dirección del dispositivo de bus convencional, pero no concierne a ningún método de establecimiento de tipo de codificación de dirección particular, y una aplicación del mismo para la detección de profundidad de datos sobre un bus de banda ancha especial. La RFC "An Ethernet address Resolution Protocol or Converting NetWork Protocol addresses to 48.bit Ethernet Address for transmission on Ethernet Hardware", de noviembre de 1982, describe cómo acceder a componentes en un bus de campo desde una red IP.
La solicitud de patente europea EP 3010183 A1 describe una pasarela para conectar buses de campo a Internet. La solicitud de patente internacional WO 01/45348 A2 describe un sistema para comunicar una Red de Área de Controlador con Internet.
En resumen, el autobús de la técnica anterior puede sufrir un riesgo oculto de seguridad en la transmisión.
Compendio
Las realizaciones de la invención proporcionan un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial para abordar el problema de un riesgo oculto de seguridad en la transmisión a través del bus en la técnica anterior.
Una realización de la invención proporciona un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial que incluye dos hilos, siendo el método aplicable al bus de banda ancha de campo de Internet industrial, en donde los nodos respectivos están conectados a través de la red según su dirección IP, y los respectivos nodos se sincronizan en reloj utilizando un protocolo de sincronización de reloj, en donde el método incluye:
recibir, por el primer nodo, el mensaje que se va a transmitir, transmitido por un segundo nodo; en donde el mensaje que se va a transmitir es generado por el segundo nodo al obtener un mensaje de datos, determinando una dirección del dispositivo de bus correspondiente a una dirección IP de destino y una dirección MAC de destino en el mensaje de datos usando una relación de correspondencia tridimensional preestablecida entre una dirección del dispositivo de bus, una dirección MAC y una dirección IP según la dirección IP de destino y la dirección MAC de destino en el mensaje de datos, y reemplazando la dirección IP de destino y la dirección MAC de destino en el mensaje de datos con la dirección del dispositivo de bus;
juzgar, por el primer nodo, si una dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en un rango preestablecido de direcciones del dispositivo de bus; y
si la dirección del dispositivo de bus se encuentra en el rango preestablecido de direcciones del dispositivo de bus, entonces se transmite, por el primer nodo, el mensaje que se va a transmitir a un procesador del primer nodo.
Además, después de juzgar, por el primer nodo, si la dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en el rango preestablecido de direcciones del dispositivo de bus, el método incluye además: si la dirección del dispositivo de bus no se encuentra en el rango preestablecido de direcciones del dispositivo de bus, descartando, por el primer nodo, el mensaje que se va a transmitir.
Además, antes de obtener, por el primer nodo, el mensaje que se va a transmitir, el método incluye además: determinar, por el primer nodo, el rango preestablecido de direcciones del dispositivo de bus según la información de configuración.
Además, antes de transmitir, por el primer nodo, el mensaje que se va a transmitir a un procesador del primer nodo, el método incluye además:
determinar, por el primer nodo, la dirección IP de destino y la dirección MAC de destino correspondientes a la dirección del dispositivo de bus en el mensaje que se va a transmitir, según la relación de correspondencia tridimensional; y
reemplazar, por el primer nodo, la dirección del dispositivo de bus en el mensaje que se va a transmitir, con la dirección IP de destino y la dirección MAC de destino.
Además, si el primer nodo es un controlador de bus, entonces:
antes de obtener, por el primer nodo, el mensaje que se va a transmitir, el método incluye además:
recibir, por el primer nodo, una solicitud de adquisición de dirección IP que incluye una dirección MAC de cada uno de los otros nodos; y
asignar, por el primer nodo, una dirección IP y una dirección de dispositivo de bus para cada uno de los otros nodos, y determinar una relación de correspondencia tridimensional entre la dirección IP asignada y la dirección del dispositivo de bus, y la dirección MAC.
Además, si el primer nodo es el controlador de bus, entonces:
después de reemplazar, por el primer nodo, la dirección del dispositivo de bus en el mensaje que se va a transmitir, con la dirección IP de destino y la dirección MAC de destino, el método incluye además:
juzgar, por el controlador de bus, si un protocolo de control de la industria en el mensaje que se va a transmitir se encuentra en una lista blanca de control industrial, y si es así, entonces transmitir, por el controlador de bus, el mensaje que se va a transmitir;
en caso contrario, descartar, por el controlador de bus, el mensaje que se va a transmitir;
la lista blanca de control industrial incluye Ethernet/IP, PROFINET, POWERLINK, EtherCAT, SERCOSIII.
Además, si el primer nodo es un terminal de bus, entonces:
obtener, por el primer nodo, del mensaje que se va a transmitir incluye:
recibir, por el primer nodo, el mensaje que se va a transmitir, transmitido por un segundo nodo, en donde el mensaje que se va a transmitir es un mensaje generado por el segundo nodo obtener un mensaje de datos, y determinar que un protocolo de control de la industria en el mensaje de datos se encuentra en la lista blanca de control industrial, y luego reemplazar una dirección IP de destino y una dirección MAC de destino en el mensaje de datos con la dirección del dispositivo de bus según la relación de correspondencia tridimensional preestablecida; la lista blanca de control industrial incluye Ethernet/IP, PROFINET, POWERLINK, EtherCAT, SERCOSIII.
Además, cuando el primer nodo es un controlador de bus, el segundo nodo es un terminal de bus; cuando el primer nodo es un terminal de bus, el segundo nodo es un controlador de bus.
Además, el protocolo de sincronización del reloj incluye cualquiera de los siguientes:
el Protocolo de Tiempo de Precisión (PTP), el Protocolo de Tiempo de Red (NTP) y el Protocolo de Tiempo de Red Simple (SNTP).
Un efecto ventajoso de la invención se encuentra en que el primer nodo obtiene la dirección del dispositivo de bus en el mensaje que se va a transmitir y juzga si la dirección del dispositivo de bus se encuentra en el rango preestablecido de direcciones del dispositivo de bus, y si es así, entonces el primer nodo determina que el mensaje que se va a transmitir es un mensaje legal, es decir, que el primer nodo puede controlar en efecto el mensaje recibido que se va a transmitir, que se va a reenviar de modo que el primer nodo solo reenvíe el mensaje que se va a transmitir en el rango preestablecido de direcciones del dispositivo de bus para mejorar así la seguridad de la transmisión del mensaje.
Breve descripción de los dibujos
Con el fin de hacer más evidentes las soluciones técnicas según las realizaciones de la invención, los dibujos a los que se refiere una descripción de las realizaciones se introducirán brevemente a continuación, y evidentemente los dibujos que se van a describir a continuación son meramente ilustrativos de algunas de las realizaciones de la invención, y los expertos habituales en la técnica pueden derivar a partir de estos dibujos otros dibujos sin ningún esfuerzo inventivo. En los dibujos:
La Figura 1 es un primer diagrama de arquitectura esquemático de una red de transferencia de datos de dos hilos según una realización de la invención.
La Figura 2 es un segundo diagrama de arquitectura esquemático de una red de transferencia de datos de dos hilos según una realización de la invención.
La Figura 3 es un diagrama de flujo de un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial según una realización de la invención.
La Figura 4 es un diagrama de flujo de un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial desde una red externa a una red de transferencia de dos hilos según una realización de la invención.
La Figura 5 es un diagrama de flujo de un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial desde una red de transferencia de dos hilos a una red externa según una realización de la invención, y
La Figura 6 es un diagrama estructural esquemático de un aparato para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial según una realización de la invención.
Descripción detallada de las realizaciones
La invención proporciona un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial, siendo el método aplicable a una red de transferencia de datos de dos hilos. Un nodo obtiene una dirección del dispositivo de bus en un mensaje que se va a transmitir y juzga si la dirección del dispositivo de bus se encuentra en un rango preestablecido de direcciones del dispositivo de bus y, si es así, el nodo determina que el mensaje que se va a transmitir es un mensaje legal, es decir, el nodo puede controlar en efecto el mensaje recibido que se va a transmitir, que se va a reenviar de modo que el nodo solo pueda reenviar el mensaje que se va a transmitir en el rango preestablecido de direcciones del dispositivo de bus para mejorar así la seguridad de transmitir el mensaje.
Con el fin de hacer más evidentes los objetos, las soluciones técnicas y las ventajas de las realizaciones de la invención, las soluciones técnicas según las realizaciones de la invención se describirán a continuación de forma clara y completa con referencia a los dibujos en las realizaciones de la invención, y evidentemente las realizaciones descritas a continuación son solo una parte pero no todas las realizaciones de la invención. En base a las realizaciones aquí de la invención, todas las demás realizaciones que se les puedan ocurrir a los expertos en la técnica sin ningún esfuerzo inventivo caerán dentro del alcance de la invención.
Como se ilustra en la Figura 1, que es un primer diagrama de arquitectura esquemático de una red de transferencia de datos de dos hilos según una realización de la invención, la red de transferencia de datos de dos hilos incluye un controlador de bus 101 y al menos un terminal de bus 102, donde el controlador de bus 101 y los respectivos terminales de bus 102 están conectados a través de la red de transferencia de datos de dos hilos. En la realización de la invención, un nodo puede ser el controlador de bus o un terminal de bus.
Como se ilustra en la Figura 2, que es un segundo diagrama de arquitectura esquemático de una red de transferencia de datos de dos hilos según una realización de la invención, la red de transferencia de datos de dos hilos incluye además un elemento de configuración y supervisión de bus 103, conectado con el controlador de bus 101, configurado para transmitir información de configuración o una instrucción de supervisión para al menos un dispositivo a través de la red de transferencia de datos de dos hilos al controlador de bus 101 de modo que el controlador de bus 101 transmita la información de configuración al dispositivo correspondiente; y recibir información del estado operativo, transmitida por el controlador de bus 101, generada por al menos un dispositivo a través de la red de transferencia de datos de dos hilos. La red de transferencia de datos de dos hilos incluye además un dispositivo de supervisión de aplicaciones 104, conectado con el controlador de bus 101, configurado para adquirir datos y controlar de una manera en tiempo real el controlador de bus 101 y los respectivos terminales de bus 102. La Figura 3 ilustra un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial según una realización de la invención, el método que incluye:
En la operación 201, un primer nodo obtiene un mensaje que se va a transmitir;
En la operación 202, el primer nodo juzga si una dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en un rango preestablecido de direcciones del dispositivo de bus; y
En la operación 203, si la dirección del dispositivo de bus se encuentra en el rango preestablecido de direcciones del dispositivo de bus, entonces el primer nodo transmite el mensaje que se va a transmitir a un procesador del nodo. En la operación 201, si el primer nodo es un controlador de bus, entonces el mensaje que se va a transmitir, obtenido por el primer nodo, puede ser un mensaje de datos transmitido por una red externa a una red de transferencia de datos de dos hilos, o puede ser un mensaje que se va a transmitir, recibido por el controlador de bus, transmitido por un terminal de bus a la red externa.
En una realización de la invención, si el primer nodo es un controlador de bus, entonces el controlador de bus puede convertir además los datos a través del bus que se van a transmitir al exterior en un mensaje en otro formato de red, por ejemplo, Profibus, Modbus, CANopen, RS485/CAN, u otro formato de bus, de modo que el bus de banda ancha de Internet industrial que se propone en la invención pueda interconectarse con la otra red de bus de campo.
En la operación 202, todas las direcciones en el rango preestablecido de direcciones del dispositivo de bus se consideran como direcciones legales, y las direcciones que no se encuentran en el rango de direcciones del dispositivo de bus son direcciones ilegales; y opcionalmente en una realización de la invención, el rango preestablecido de direcciones del dispositivo de bus es un rango de direcciones del dispositivo de bus determinado por el controlador de bus mientras se está desplegando la red de transferencia de datos de dos hilos, y particularmente si el controlador de bus recibe información de configuración que se va a transmitir al terminal de bus, donde la información de configuración incluye una solicitud de adquisición de dirección IP transmitida por el terminal de bus al controlador de bus, y la solicitud de adquisición de dirección IP incluye una dirección MAC del terminal de bus, entonces el controlador de bus puede asignar una IP dirección y una dirección del dispositivo de bus para el terminal de bus.
En una realización de la invención, como se ilustra en la Figura 1, por ejemplo, hay cuatro terminales de bus que son un terminal de bus A, un terminal de bus B, un terminal de bus C y un terminal de bus D respectivamente, donde el terminal de bus A transmite una solicitud de adquisición de dirección IP al controlador de bus, donde la solicitud de adquisición de dirección IP incluye una dirección MAC 00-01-6C-06-A6-29 del terminal de bus A, y el controlador de bus asigna una dirección IP de 111.112.0.1 y una dirección del dispositivo de bus de 0x34 para el terminal de bus A. Del mismo modo, el controlador de bus asigna direcciones IP y direcciones del dispositivo de bus para los otros terminales de bus.
En una realización de la invención, el controlador de bus aprende las direcciones MAC y las direcciones IP de todos los terminales de bus a través de la red de transferencia de datos de dos hilos, y vincula las direcciones MAC y las direcciones IP de los terminales de bus con las direcciones del dispositivo de bus de los terminales de bus, lo que da como resultado una tabla de relación de correspondencia como se representa en la Tabla 1:
Tabla 1: Tabla de correspondencia tridimensional entre una dirección del dispositivo de bus, una dirección MAC y una dirección IP
Figure imgf000005_0001
Opcionalmente, en una realización de la invención, el controlador de bus transmite las relaciones de tres correspondencias correspondientes a los terminales de bus en la Tabla 1 a los respectivos terminales de bus, por ejemplo, en una realización de la invención, el controlador de bus transmite la Tabla 2 al bus terminal A.
Tabla 2: Tabla de correspondencia tridimensional transmitida por el bus controlado al terminal de bus A
Figure imgf000006_0002
En una realización de la invención, al recibir el mensaje que se va a transmitir, el controlador de bus o el terminal de bus primero obtiene una dirección MAC de destino y una dirección IP de destino en el mensaje que se va a transmitir, y luego busca en la Tabla 1 una dirección del dispositivo de bus correspondiente a la dirección MAC de destino y la dirección IP de destino, y si la dirección del dispositivo de bus se encuentra en el rango de direcciones de dispositivo de bus en la Tabla 1, entonces el controlador de bus o el terminal de bus pueden determinar que el mensaje que se va a transmitir es un mensaje legal.
Por ejemplo, en una realización de la invención, el controlador de bus determina la dirección MAC de destino y la dirección IP de destino en el mensaje recibido que se va a transmitir como 00-01-6C-06-A6-29 y 111.112.0.1 respectivamente, luego el controlador de bus puede determinar a partir de la Tabla 1 la dirección del dispositivo de bus de 0x34 correspondiente a la dirección MAC de destino de 00-01-6C-06-A6-29 y la dirección IP de destino de 111.112.0.1, y así determinar que el mensaje que se va a transmitir es un mensaje legal.
En la operación 203, en una realización de la invención, el primer nodo puede ser el controlador de bus o un terminal de bus, y en una realización de la invención, el controlador de bus y el terminal de bus procesan el mensaje que se va a transmitir en la capa física como se describió anteriormente, y después de que se procese el mensaje que se va a transmitir, el controlador de bus y el terminal de bus pueden transmitir el mensaje que se va a transmitir a la capa superior por encima de una capa física del controlador de bus y el terminal de bus, es decir, el procesador del controlador de bus y el terminal de bus.
En la operación 203, si el primer nodo determina que el mensaje que se va a transmitir es un mensaje legal, entonces el primer nodo puede transmitir el mensaje que se va a transmitir a una capa física del controlador de bus y el terminal de bus, es decir, un procesador del controlador de bus y el terminal de bus.
En una realización de la invención, si el primer nodo determina que la dirección del dispositivo de bus del mensaje que se va a transmitir no se encuentra en el rango preestablecido de direcciones del dispositivo de bus, entonces el primer nodo puede determinar que existe un riesgo oculto de seguridad en el mensaje que se va a transmitir, y así descartar el mensaje que se va a transmitir. En una realización de la invención, dado que el mensaje que se va a transmitir puede transmitirse desde la red externa a la red de transferencia de datos de dos hilos, o puede transmitirse desde la red de transferencia de datos de dos hilos a la red externa, el método para detección en tiempo real de la profundidad de los datos sobre el bus en dos modos de transmisión se describirá a continuación, respectivamente.
Primera realización
En una realización de la invención, el primer nodo es un terminal de bus y un segundo nodo es el controlador de bus; y si el mensaje que se va a transmitir se transmite desde la red externa a la red de transferencia de datos de dos hilos, entonces el controlador de bus puede determinar en primer lugar que un protocolo de control industrial del mensaje que se va a transmitir, transmitido desde la red externa, se encuentra en una lista blanca de control industrial, al recibir el mensaje que se va a transmitir. En una realización de la invención, un formato de mensaje del mensaje que se va a transmitir como se representa en la Tabla 3 incluye una cabecera de protocolo de control industrial, una cabecera TCP, una cabecera IP, información de datos y una Secuencia de Comprobación de Tramas (FCS).
Tabla 3: Formato de mensaje del mensaje que se va a transmitir
Figure imgf000006_0001
En una realización de la invención, se puede determinar a partir de la cabecera del protocolo de control industrial en el mensaje analizado que se va a transmitir si el mensaje que se va a transmitir se encuentra en la lista blanca de control de la industria, donde la lista blanca de control de la industria incluye Ethernet/IP, PROFINET, POWERLINK, EtherCAT, SERCOSIII y otros protocolos de control de la industria en una realización de la invención.
En una realización de la invención, si el controlador de bus determina que el mensaje que se va a transmitir no se encuentra en la lista blanca de control industrial, entonces el controlador de bus puede determinar que existe un riesgo oculto de seguridad en el mensaje que se va a transmitir, y descartar el mensaje que se va a transmitir.
En una realización de la invención, si el controlador de bus determina que el mensaje que se va a transmitir se encuentra en la lista blanca de control de la industria, entonces con el fin de aliviar el problema de ocupación de crédito del mensaje que se va a transmitir a través de la red de transferencia de datos de dos hilos, si el mensaje que se va a transmitir se transmite desde la red externa a la red de transferencia de datos de dos hilos, es decir, el primer nodo es el controlador de bus, y el mensaje obtenido que se va a transmitir se transmite desde la red externa, entonces el controlador de bus que determina que el mensaje que se va a transmitir se encuentra en la lista blanca de control de la industria puede reemplazar la dirección IP y la dirección MAC del mensaje que se va a transmitir, con la dirección del dispositivo de bus según la relación de correspondencia entre una dirección IP de destino y una dirección MAC del mensaje que se va a transmitir, y una dirección del dispositivo de bus como se representa en la Tabla 1 para reducir así en efecto la longitud del mensaje que se va a transmitir.
Por ejemplo, en una realización de la invención, el controlador de bus recibe el mensaje que se va a transmitir en el formato de datos como se representa en la Tabla 3, incluida la cabecera del protocolo de control de la industria, la cabecera IP, la cabecera TCP, la información de datos y el FCS.
En una realización de la invención, la cabecera del protocolo de control de la industria, la cabecera IP y la cabecera TCP del mensaje que se va a transmitir se reemplazan con la dirección del dispositivo de bus correspondiente a la dirección IP de destino y la dirección MAC del mensaje que se va a transmitir, lo que da como resultado un nuevo mensaje como se muestra en la Tabla 4:
Tabla 4: Tabla de formato de mensaje de nuevo mensaje
Dirección del dispositivo de bus
Figure imgf000007_0001
Información de datos
Figure imgf000007_0002
En la realización anterior de la invención, opcionalmente se determina que la cabecera IP del mensaje que se va a transmitir es la dirección IP de destino del mensaje que se va a transmitir, y la cabecera TCP del mensaje que se va a transmitir es la dirección MAC de destino del mensaje que se va a transmitir; y dado que se ha detectado el protocolo de control de la industria en el mensaje que se va a transmitir, con el fin de reducir aún más la longitud del mensaje que se va a transmitir a través de la red de dos hilos, opcionalmente en una realización de la invención, la cabecera del protocolo de control de la industria en el mensaje que se va a transmitir también se descarta, lo que da como resultado así el nuevo mensaje como se representa en la Tabla 4.
En una realización de la invención, en un ejemplo donde el controlador de bus recibe el mensaje que se va a transmitir, con la dirección IP de destino 112.112.0.1 y la dirección MAC de destino 00-01-6C-06-A6-29, el controlador de bus puede determinar a partir de la Tabla 1 la dirección del dispositivo de bus de 0x34 correspondiente a la dirección IP de destino de 112.112.0.1, y la dirección MAC de destino de 00-01-6C-06-A6-29, y luego reemplazar la dirección IP de destino de 112.112.0.1, y la dirección MAC de destino de 00-01-6C-06-A6-29 en el mensaje que se va a transmitir, con 0x34, dando como resultado así el nuevo mensaje.
El controlador de bus transmite el nuevo mensaje al terminal de bus, donde, en una realización de la invención, el controlador de bus puede transmitir el nuevo mensaje transmitiéndolo; y todos los terminales de bus a través de la red de transferencia de datos de dos hilos reciben el mensaje difundido y determinan a partir de las direcciones del dispositivo de bus en la Tabla 1 si la dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en el rango preestablecido de direcciones del dispositivo de bus, y si los terminales de bus determinan que el mensaje que se va a transmitir es un mensaje legal, entonces los terminales de bus pueden determinar a qué terminal de bus se transmite el mensaje que se va a transmitir según las relaciones vinculantes entre una dirección MAC, una dirección IP y una dirección del dispositivo de bus en los respectivos terminales de bus; y si ninguno de los terminales de bus determina que existe una relación vinculante entre la dirección del dispositivo de bus en el mensaje que se va a transmitir, y la dirección MAC y la dirección IP en cualquier terminal de bus, entonces los terminales de bus pueden determinar que el mensaje que se va a transmitir es un mensaje ilegal, y luego descartar el mensaje que se va a transmitir.
En la realización anterior de la invención, si el terminal de bus determina que la dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en la tabla de relaciones de correspondencia entre una dirección MAC, una dirección IP y una dirección de dispositivo de bus vinculada en el terminal de bus, entonces el terminal de bus puede transmitir el mensaje que se va a transmitir a la capa superior por encima de la capa física del terminal de bus, es decir, el procesador.
Opcionalmente, en una realización de la invención, si la capa superior por encima de la capa física es el procesador, entonces el terminal de bus puede convertir además el formato del mensaje que se va a transmitir, determina la dirección MAC y la dirección IP correspondiente a la dirección del dispositivo de bus en el nuevo mensaje según la tabla de relaciones de correspondencia entre una dirección MAC, una dirección IP y una dirección del dispositivo de bus, reemplazar la dirección del dispositivo de bus con la dirección MAC y la dirección IP, es decir, recuperar el nuevo mensaje en el mensaje que se va a transmitir y transmitir el mensaje que se va a transmitir al procesador. Segunda realización
En una realización de la invención, el primer nodo es el controlador de bus y un segundo nodo es un terminal de bus; y un dispositivo en la red de transferencia de datos de dos hilos transmite el mensaje que se va a transmitir a la red externa, y el controlador de bus recibe el mensaje que se va a transmitir, transmitido por el terminal de bus y determina la dirección IP de destino y la dirección MAC de destino del mensaje que se va a transmitir, es decir, la dirección IP de destino y la dirección MAC de destino del mensaje que se va a transmitir, determinadas por el controlador de bus, son la dirección IP y la dirección MAC del controlador de bus; y el controlador de bus determina la dirección del dispositivo de bus del mensaje que se va a transmitir, es decir, la dirección de dispositivo del controlador de bus, según la tabla de relaciones de correspondencia en la Tabla 1.
Opcionalmente, en una realización de la invención, el controlador de bus reemplaza la dirección IP y la dirección MAC en el mensaje que se va a transmitir, con la dirección del dispositivo de bus correspondiente al mensaje que se va a transmitir para reducir así la longitud del mensaje con el fin de mejorar la eficiencia de transmitir el mensaje.
El controlador de bus juzga si la dirección del dispositivo de bus determinada se encuentra en el rango preestablecido de direcciones del dispositivo de bus y, si no es así, el controlador de bus puede descartar el mensaje que se va a transmitir; de lo contrario, el controlador de bus puede juzgar si la dirección del dispositivo de bus en el mensaje que se va a transmitir está vinculada con la dirección MAC y la dirección IP en la tabla de correspondencia tridimensional almacenada en el controlador de bus, y si no es así, entonces el controlador de bus puede determinar que la seguridad del mensaje que se va a transmitir no es alta y descartar el mensaje que se va a transmitir.
Si el controlador de bus determina que la dirección del dispositivo de bus en el mensaje que se va a transmitir está vinculada con la dirección MAC y la dirección IP en la tabla de correspondencia tridimensional almacenada en el controlador de bus, y si no es así, entonces el controlador de bus puede transmitir el mensaje que se va a transmitir a la capa superior por encima de la capa física del controlador de bus, es decir, el procesador del controlador de bus.
En la realización anterior de la invención, el controlador de bus reemplaza además la dirección del dispositivo de bus del mensaje que se va a transmitir, con la dirección MAC y la dirección IP antes de que el mensaje que se va a transmitir se transmita al procesador del controlador de bus, de modo que el formato del mensaje transmitido por el controlador de bus sea un formato de mensaje que puede ser recibido por la red externa.
En la realización anterior de la invención, opcionalmente el controlador de bus verifica además si el protocolo de control de la industria en el mensaje que se va a transmitir se encuentra en la lista blanca de control de la industria, donde la lista blanca de control de la industria incluye Ethernet/IP, PROFINET, POWERLINK, EtherCAT, SERCOSIII y otros protocolos de control de la industria en una realización de la invención, antes de que el mensaje que se va a transmitir se transmita al procesador del controlador de bus. El controlador de bus juzga a partir de la cabecera del protocolo de control de la industria en el mensaje que se va a transmitir si el protocolo de control de la industria en el mensaje que se va a transmitir se encuentra en la lista blanca de control de la industria, y si no es así, entonces el controlador de bus puede descartar el mensaje que se va a transmitir; de lo contrario, el controlador de bus puede transmitir el mensaje que se va a transmitir al procesador del controlador de bus.
Con el fin de describir las realizaciones de la invención con más detalles, a continuación se describirá un ejemplo de las mismas.
Como se ilustra en la Figura 4, una realización de la invención proporciona un método para la inspección profunda de datos sobre un bus de banda ancha de campo de Internet industrial, donde un primer nodo es un terminal de bus y un segundo nodo es un controlador de bus; y en una realización de la invención, el controlador de bus recibe un mensaje que se va a transmitir, transmitido desde una red externa, y transmite el mensaje que se va a transmitir al terminal de bus, como se ilustra en las siguientes operaciones particulares:
En la operación 401, el controlador de bus aprende y registra direcciones MAC e IP de todos los dispositivos a través de una red de transferencia de datos de dos hilos, asigna direcciones del dispositivo de bus para todos los dispositivos y crea una tabla de relaciones de correspondencia de tres dimensiones;
En la operación 402, el controlador de bus recibe un mensaje que se va a transmitir;
En la operación 403, el controlador de bus juzga si el mensaje que se va a transmitir se encuentra en una lista blanca de control de la industria y, si es así, el flujo procederá a la operación 404; de lo contrario, el flujo procederá a la operación 405;
En la operación 404, el controlador de bus determina una dirección del dispositivo de bus del mensaje que se va a transmitir según la tabla de relaciones de correspondencia tridimensional, y reemplaza una dirección MAC y una dirección de IP en el mensaje que se va a transmitir, con la dirección del dispositivo de bus y el flujo procede a la operación 406;
En la operación 405, el controlador de bus descarta el mensaje que se va a transmitir;
En la operación 406, el controlador de bus transmite el mensaje que se va a transmitir al terminal de bus;
En la operación 407, el terminal de bus juzga si la dirección del dispositivo de bus del mensaje que se va a transmitir se encuentra en un rango preestablecido de direcciones del dispositivo de bus, y si es así, entonces el flujo procederá a la operación 408; de lo contrario, el flujo procederá a la operación 409;
En la operación 408, el terminal de bus juzga si existe una relación vinculante entre la dirección del dispositivo de bus del mensaje que se va a transmitir y una dirección MAC y una dirección IP en una tabla de relaciones de correspondencia tridimensional almacenada en el terminal de bus, y si es así, entonces el flujo procederá a la operación 410; de lo contrario, el flujo procederá a la operación 409;
En la operación 409, el terminal de bus descarta el mensaje que se va a transmitir;
En la operación 410, el terminal de bus busca en la tabla de relaciones de correspondencia tridimensional la dirección MAC y la dirección IP correspondiente a la dirección del dispositivo de bus, y reemplaza la dirección del dispositivo de bus en el mensaje que se va a transmitir, con la dirección MAC y la dirección IP; y
En la operación 411, el terminal de bus transmite el mensaje que se va a transmitir a un procesador por encima de la capa física.
Como se ilustra en la Figura 5, una realización de la invención proporciona un método para la inspección profunda de datos sobre un bus de banda ancha de campo de Internet industrial, donde un primer nodo es un controlador de bus y un segundo nodo es un terminal de bus; y en una realización de la invención, el controlador de bus transmite un mensaje que se va a transmitir a una red externa, como se ilustra en las siguientes operaciones particulares: En la operación 501, el controlador de bus aprende y registra direcciones MAC e IP de todos los dispositivos a través de una red de transferencia de datos de dos hilos, asigna direcciones del dispositivo de bus para todos los dispositivos y crea una tabla de relaciones de correspondencia tridimensional;
En la operación 502, el terminal de bus recibe un mensaje que se va a transmitir, determina una dirección del dispositivo de bus del mensaje que se va a transmitir según la tabla de relaciones de correspondencia tridimensional y reemplaza una dirección MAC y una dirección IP en el mensaje que se va a transmitir, con la dirección del dispositivo de bus;
En la operación 503, el terminal de bus transmite el mensaje que se va a transmitir al controlador de bus;
En la operación 504, el controlador de bus juzga si la dirección del dispositivo de bus del mensaje que se va a transmitir se encuentra en un rango preestablecido de direcciones del dispositivo de bus, y si es así, entonces el flujo procederá a la operación 505; de lo contrario, el flujo procederá a la operación 509;
En la operación 505, el controlador de bus juzga si existe una relación vinculante entre la dirección del dispositivo de bus del mensaje que se va a transmitir y una dirección MAC y una dirección IP en la tabla de relaciones de correspondencia tridimensional almacenada en el controlador de bus, y si es así, entonces el flujo procederá a la operación 506; de lo contrario, el flujo procederá a la operación 509;
En la operación 506, el controlador de bus busca en la tabla de relaciones de correspondencia tridimensional la dirección MAC y la dirección IP correspondiente a la dirección del dispositivo de bus, y reemplaza la dirección del dispositivo de bus en el mensaje que se va a transmitir, con la dirección MAC y la dirección IP;
En la operación 507, el controlador de bus juzga si el mensaje que se va a transmitir se encuentra en una lista blanca de control de la industria y, si es así, el flujo procederá a la operación 508; de lo contrario, el flujo procederá a la operación 509;
En la operación 508, el controlador de bus transmite el mensaje que se va a transmitir a un procesador del controlador de bus; y
En la operación 509, el controlador de bus descarta el mensaje que se va a transmitir.
En una realización de la invención, los nodos respectivos se pueden sincronizar en reloj en una serie de protocolos de sincronización de reloj que incluyen el Protocolo de Tiempo de Precisión (PTP), el Protocolo de Tiempo de Red (NTP), el Protocolo de Tiempo de Red Simple (SNTP) o cualquier otro de otros protocolos de sincronización de reloj aplicables, y en una realización de la invención, en primer lugar, el controlador de bus se sincroniza temporalmente usando cualquiera de los protocolos de sincronización de reloj anteriores, y luego el controlador de bus se sincroniza temporalmente respectivamente con los otros terminales de bus, creando así un reloj de referencia para la red de transferencia de datos de dos hilos.
Con el fin de garantizar que todos los dispositivos en la red de transferencia de datos de dos hilos estén sincronizados temporalmente, en una realización de la invención, se puede preestablecer además un intervalo de tiempo de sincronización, y si llega el intervalo de tiempo de sincronización, entonces el controlador de bus se sincronizará temporalmente con los otros terminales de bus.
Sobre la base de la misma idea técnica, como se ilustra en la Figura 6, una realización de la invención proporciona además un aparato para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial según una realización de la invención, siendo el aparato aplicable a una red de transferencia de datos de dos hilos, donde el aparato incluye:
Una unidad de obtención 601 está configurada para obtener un mensaje que se va a transmitir;
Una unidad de evaluación 602 está configurada para juzgar si una dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en un rango preestablecido de direcciones del dispositivo de bus; y
Una unidad de transmisión 603 está configurada, si la dirección del dispositivo de bus se encuentra en el rango preestablecido de direcciones del dispositivo de bus, para transmitir el mensaje que se va a transmitir a un procesador del nodo.
Además, la unidad de evaluación 602 está configurada adicionalmente:
Si la dirección del dispositivo de bus no se encuentra en el rango preestablecido de direcciones del dispositivo de bus, descartar el mensaje que se va a transmitir.
Además, la unidad de obtención 601 está configurada además:
Para determinar el rango preestablecido de direcciones del dispositivo de bus según la información de configuración. Además, la unidad de obtención 601 está configurada:
Para que un primer nodo reciba el mensaje que se va a transmitir, transmitido por un segundo nodo;
Donde el mensaje que se va a transmitir es un mensaje generado por el segundo nodo que obtiene un mensaje de datos y luego determinar una dirección del dispositivo de bus correspondiente a una dirección IP de destino y una dirección MAC de destino en el mensaje de datos según una relación de correspondencia tridimensional entre una dirección del dispositivo de bus, una dirección MAC y una dirección IP utilizando la dirección IP de destino y la dirección MAC de destino en el mensaje de datos, y reemplazar la dirección IP de destino y la dirección MAC de destino en el mensaje de datos con la dirección del dispositivo de bus.
Además, la unidad de evaluación 602 está configurada además:
Para determinar que la dirección IP de destino y la dirección MAC de destino del mensaje que se va a transmitir son direcciones legales.
Además, la unidad de obtención 601 está configurada además:
Para determinar la dirección IP de destino y la dirección MAC de destino en el mensaje que se va a transmitir, correspondiente a la dirección del dispositivo de bus en el mensaje que se va a transmitir, según la relación de correspondencia tridimensional; y
Para reemplazar la dirección del dispositivo de bus en el mensaje que se va a transmitir, con la dirección IP de destino y la dirección MAC de destino.
Además, el nodo es un controlador de bus; y
La unidad de obtención 601 está configurada además:
Para recibir una solicitud de adquisición de dirección IP que incluya una dirección MAC de cada uno de los otros nodos; y
Para asignar una dirección IP y una dirección del dispositivo de bus para cada uno de los otros nodos, y para determinar una relación de correspondencia tridimensional entre la dirección IP asignada y la dirección del dispositivo de bus, y la dirección MAC.
Además, si el nodo es el controlador de bus, entonces la unidad de evaluación 602 se configura además:
Para juzgar si un protocolo de control de la industria en el mensaje que se va a transmitir se encuentra en una lista blanca de control de la industria y, si es así, que el controlador de bus transmita el mensaje que se va a transmitir; De lo contrario, el controlador de bus descarta el mensaje que se va a transmitir.
Además, si el primer nodo es un terminal de bus, entonces la unidad de obtención 601 se configura además:
Para que el primer nodo reciba el mensaje que se va a transmitir, transmitido por un segundo nodo, donde el mensaje que se va a transmitir es un mensaje generado por el segundo nodo obteniendo un mensaje de datos, y determinando que un protocolo de control de la industria en el mensaje de datos se encuentra en la lista blanca de control de la industria y luego reemplazar una dirección IP de destino y una dirección MAC de destino en el mensaje de datos con la dirección del dispositivo de bus.
Además, el primer nodo es un controlador de bus o un terminal de bus, y el segundo nodo es un controlador de bus o un terminal de bus; y el primer nodo y el segundo nodo no son el controlador de bus o el terminal de bus al mismo tiempo.
Además, el protocolo de sincronización de reloj incluye cualquiera de:
El Protocolo de Tiempo de Precisión (PTP), el Protocolo de Tiempo de Red (NTP) y el Protocolo de Tiempo de Red Simple (SNTP).
La invención se ha descrito en un diagrama de flujo y/o un diagrama de bloques del método, el dispositivo (sistema) y el producto de programa informático según las realizaciones de la invención. Se apreciará que los respectivos flujos y/o bloques en el diagrama de flujo y/o el diagrama de bloques y las combinaciones de los flujos y/o los bloques en el diagrama de flujo y/o el diagrama de bloques se pueden incorporar en las instrucciones del programa informático. Estas instrucciones del programa informático se pueden cargar en un ordenador de propósito general, un ordenador de propósito específico, un procesador integrado o un procesador de otro dispositivo de procesamiento de datos programable para producir una máquina de modo que las instrucciones se ejecuten en el ordenador o el procesador del otro dispositivo de procesamiento de datos programable crean medios para realizar las funciones especificadas en el flujo o los flujos del diagrama de flujo y/o el bloque o bloques del diagrama de bloques.
Estas instrucciones del programa informático también se pueden almacenar en una memoria legible por ordenador capaz de dirigir el ordenador o el otro dispositivo de procesamiento de datos programable para operar de una manera específica de modo que las instrucciones almacenadas en la memoria legible por ordenador creen un artículo de fabricación que incluye medios de instrucción que realizan las funciones especificadas en el flujo o flujos del diagrama de flujo y/o el bloque o bloques del diagrama de bloques.
Estas instrucciones del programa informático también se pueden cargar en el ordenador o en el otro dispositivo de procesamiento de datos programable de modo que se realice una serie de operaciones operativas en el ordenador o en el otro dispositivo de procesamiento de datos programable para crear un proceso implementado por ordenador de modo que las instrucciones se ejecuten en el ordenador o el otro dispositivo programable proporcionan operaciones para realizar las funciones especificadas en el flujo o flujos del diagrama de flujo y/o el bloque o bloques del diagrama de bloques.

Claims (9)

REIVINDICACIONES
1. Un método para la inspección profunda de datos a través de un bus de banda ancha de campo de Internet industrial que comprende dos hilos, caracterizado por que, siendo el método aplicable al bus de banda ancha de campo de Internet industrial, en donde los nodos respectivos se conectan a través de la red según su dirección IP, y los nodos respectivos se sincronizan en reloj, en donde el método comprende:
recibir, por el primer nodo, el mensaje que se va a transmitir, transmitido por un segundo nodo; en donde el mensaje que se va a transmitir se genera por el segundo nodo al obtener un mensaje de datos, determinando una dirección de dispositivo de bus correspondiente a una dirección IP de destino y una dirección MAC de destino en el mensaje de datos usando una relación de correspondencia tridimensional preestablecida entre una dirección del dispositivo de bus, una dirección MAC y una dirección IP según la dirección IP de destino y la dirección MAC de destino en el mensaje de datos, y reemplazando la dirección IP de destino y la dirección MAC de destino en el mensaje de datos con la dirección del dispositivo de bus;
juzgar, por el primer nodo, si una dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en un rango preestablecido de direcciones del dispositivo de bus; y
si la dirección del dispositivo de bus se encuentra en el rango preestablecido de direcciones del dispositivo de bus, entonces transmitir, por el primer nodo, el mensaje que se va a transmitir a un procesador del primer nodo.
2. El método según la reivindicación 1, en donde después de juzgar, por el primer nodo, si la dirección del dispositivo de bus en el mensaje que se va a transmitir se encuentra en el rango preestablecido de direcciones del dispositivo de bus, el método comprende además:
si la dirección del dispositivo de bus no se encuentra en el rango preestablecido de direcciones del dispositivo de bus, descartando, por el primer nodo, el mensaje que se va a transmitir.
3. El método según la reivindicación 1, en donde antes de obtener, por el primer nodo, el mensaje que se va a transmitir, el método comprende además:
determinar, por el primer nodo, el rango preestablecido de direcciones del dispositivos de bus según la información de configuración.
4. El método según la reivindicación 1, en donde antes de transmitir, por el primer nodo, el mensaje que se va a transmitir a un procesador del primer nodo, el método comprende además:
determinar, por el primer nodo, la dirección IP de destino y la dirección MAC de destino correspondientes a la dirección del dispositivo de bus en el mensaje que se va a transmitir, según la relación de correspondencia tridimensional; y
reemplazar, por el primer nodo, la dirección del dispositivo de bus en el mensaje que se va a transmitir, con la dirección IP de destino y la dirección MAC de destino.
5. El método según la reivindicación 4, en donde si el primer nodo es un controlador de bus, entonces:
antes de obtener, por el primer nodo, el mensaje que se va a transmitir, el método comprende además:
recibir, por el primer nodo, una solicitud de adquisición de dirección IP que comprende una dirección MAC de cada uno de los otros nodos; y
asignar, por el primer nodo, una dirección IP y una dirección del dispositivo de bus para cada uno de los otros nodos, y determinar una relación de correspondencia tridimensional entre la dirección IP asignada y la dirección del dispositivo de bus, y la dirección MAC.
6. El método según la reivindicación 5, comprende además:
después de reemplazar, por el primer nodo, la dirección del dispositivo de bus en el mensaje que se va a transmitir, con la dirección IP de destino y la dirección MAC de destino, el método comprende además:
juzgar, por el controlador de bus, si un protocolo de control de la industria en el mensaje que se va a transmitir se encuentra en una lista blanca de control de la industria, y si es así, entonces transmitir, por el controlador de bus, el mensaje que se va a transmitir;
en caso contrario, descartando, por el controlador de bus, el mensaje que se va a transmitir;
la lista blanca de control de la industria incluye Ethernet/IP, PROFINET, POWERLINK, EtherCAT, SERCOSIII.
7. El método según una cualquiera de las reivindicaciones 1 a 4, en donde si el primer nodo es un terminal de bus, entonces:
obtener, por el primer nodo, el mensaje que se va a transmitir comprende:
recibir, por el primer nodo, el mensaje que se va a transmitir, transmitido por un segundo nodo, en donde el mensaje que se va a transmitir es un mensaje generado por el segundo nodo obtener un mensaje de datos, y determinar que un protocolo de control de la industria en el mensaje de datos se encuentra en una lista blanca de control de la industria, y luego reemplazar una dirección IP de destino y una dirección MAC de destino en el mensaje de datos con la dirección del dispositivo de bus según la relación de correspondencia tridimensional preestablecida;
la lista blanca de control industrial incluye Ethernet/IP, PROFINET, POWERLINK, EtherCAT, SERCOSIII.
8. El método según una cualquiera de las reivindicaciones 1 a 4, en donde cuando el primer nodo es un controlador de bus, el segundo nodo es un terminal de bus; cuando el primer nodo es un terminal de bus, el segundo nodo es un controlador de bus.
9. El método según la reivindicación 8, en donde los nodos respectivos se sincronizan en reloj usando un protocolo de sincronización de reloj que comprende uno cualquiera de:
el Protocolo de Tiempo de Precisión, PTP, el Protocolo de Tiempo de Red, NTP, y el Protocolo de Tiempo de Red Simple, SNTP.
ES16188030T 2016-06-23 2016-09-09 Método para inspección profunda de datos sobre un bus de banda ancha del campo de Internet industrial Active ES2893656T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610466509.4A CN106100955B (zh) 2016-06-23 2016-06-23 工业互联网现场层宽带总线数据深度检测实现方法

Publications (1)

Publication Number Publication Date
ES2893656T3 true ES2893656T3 (es) 2022-02-09

Family

ID=57083059

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16188030T Active ES2893656T3 (es) 2016-06-23 2016-09-09 Método para inspección profunda de datos sobre un bus de banda ancha del campo de Internet industrial

Country Status (5)

Country Link
US (1) US10237288B2 (es)
EP (1) EP3261322B1 (es)
JP (1) JP6463708B2 (es)
CN (1) CN106100955B (es)
ES (1) ES2893656T3 (es)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109804610B (zh) 2017-03-23 2022-05-13 柏思科技有限公司 限制具有网络功能的设备的数据流量传输的方法和系统
CN108933784B (zh) * 2018-06-26 2021-02-09 北京威努特技术有限公司 一种工控协议解码规则的表述及优化解码方法
WO2021107259A1 (ko) * 2019-11-29 2021-06-03 (주) 앤앤에스피 네트워크 패킷 화이트리스트 연계 iacs 패킷 플로우 보안 감시 방법 및 시스템
CN111935061B (zh) * 2019-12-26 2021-06-11 长扬科技(北京)有限公司 一种工控主机的网络安全防护实现方法及工控主机
CN112003872B (zh) * 2020-08-31 2022-07-08 中国信息通信研究院 检测和调用工业互联网标识二级节点能力的方法及装置
CN113364659B (zh) * 2021-08-11 2021-11-12 浙江德塔森特数据技术有限公司 一种基于Modbus协议的数据采集系统
CN115086445B (zh) * 2022-06-10 2023-12-26 重庆邮电大学 一种POWERLINK与IPv6网络的协议转换方法

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7411916B2 (en) * 1998-02-26 2008-08-12 Nortel Networks Limited Data forwarding method and apparatus
US6654355B1 (en) * 1999-12-14 2003-11-25 Schneider Automation Inc. Bridge for CAN to TCP/IP connection
US7007194B1 (en) * 2000-06-29 2006-02-28 Emc Corporation Data storage system having point-to-point configuration
JP4419951B2 (ja) * 2005-12-22 2010-02-24 ブラザー工業株式会社 通信装置
US7984169B2 (en) * 2006-06-28 2011-07-19 Microsoft Corporation Anonymous and secure network-based interaction
CN100420228C (zh) * 2006-08-22 2008-09-17 哈尔滨工业大学 不同优先级can报文发送和接收显示系统及检测方法
CN101334760B (zh) * 2007-06-26 2010-04-07 展讯通信(上海)有限公司 监控总线非法操作的方法、装置及包含该装置的系统
CN101237415B (zh) * 2008-02-22 2010-10-13 浙江大学 一种实现arp协议ip核的方法
JP2011205451A (ja) * 2010-03-26 2011-10-13 Panasonic Electric Works Co Ltd 不正端末遮断システム及びこれに用いる不正端末遮断装置
JP5088403B2 (ja) * 2010-08-02 2012-12-05 横河電機株式会社 不正通信検出システム
WO2012106820A1 (en) * 2011-02-08 2012-08-16 Sierra Wireless, Inc. Method and system for forwarding data between network devices
US8433342B1 (en) * 2012-11-07 2013-04-30 Joingo, Llc Method and system for personalized venue marketing
CN202600464U (zh) 2012-05-28 2012-12-12 广州视声智能电气有限公司 智能化楼宇控制监控管理平台
US8891528B2 (en) * 2012-06-21 2014-11-18 Breakingpoint Systems, Inc. Managing the capture of packets in a computing system
CN103685386B (zh) * 2012-09-12 2019-04-12 北京百度网讯科技有限公司 用于确定计算设备在整机柜中的位置信息的方法和设备
CN103281261B (zh) * 2013-06-05 2016-08-24 浙江中控研究院有限公司 一种以太网通信方法和系统
CN103438548B (zh) 2013-08-06 2015-12-23 青岛海信日立空调系统有限公司 基于移动终端的远程控制中央空调的系统和方法
JP6406814B2 (ja) * 2013-11-29 2018-10-17 株式会社Nttドコモ 通信システム、サービス制御装置、mtcユーザ装置、ゲートウェイ装置及び通信方法
US9438435B2 (en) * 2014-01-31 2016-09-06 Intenational Business Machines Corporation Secure, multi-tenancy aware and bandwidth-efficient data center multicast
US9660994B2 (en) * 2014-09-30 2017-05-23 Schneider Electric USA, Inc. SCADA intrusion detection systems
EP3010183B1 (de) * 2014-10-13 2019-06-19 Deutsche Telekom AG Vorrichtung, System und Verfahren zum Verbinden von Feldbusgeräten mit dem Internet
IN2015CH03249A (es) * 2015-06-27 2015-07-10 Wipro Ltd
JP6690377B2 (ja) * 2015-11-05 2020-04-28 富士電機株式会社 コントローラおよび制御システム

Also Published As

Publication number Publication date
EP3261322A1 (en) 2017-12-27
JP2017229052A (ja) 2017-12-28
CN106100955A (zh) 2016-11-09
JP6463708B2 (ja) 2019-02-06
US10237288B2 (en) 2019-03-19
EP3261322B1 (en) 2021-08-25
US20170374085A1 (en) 2017-12-28
CN106100955B (zh) 2020-01-17

Similar Documents

Publication Publication Date Title
ES2893656T3 (es) Método para inspección profunda de datos sobre un bus de banda ancha del campo de Internet industrial
CN111670567B (zh) 在尤其是工业网络中进行数据通信的方法、控制方法、装置、计算机程序和计算机可读介质
US10873536B2 (en) Distribution node, automation network, and method for transmitting real-time-relevant and non-real-time-relevant data packets
RU2625935C2 (ru) Устройство связи для эксплуатируемой с избыточностью промышленной сети связи и способ эксплуатации устройства связи
US10116465B2 (en) Method for operating a network
US8634297B2 (en) Probing specific customer flow in layer-2 multipath networks
US10615997B2 (en) In-vehicle gateway device
US20070058682A1 (en) Method for optimizing bandwidth utilization in bus systems
US10397022B2 (en) Gateway device and computing device
TWI669934B (zh) 網路系統、通信裝置及通信方法
US20070242614A1 (en) Data transfer method and automation system used in said data transfer method
US11316654B2 (en) Communication device and method for operating a communication system for transmitting time critical data
US20220050442A1 (en) Communication Device, Communication Terminal, Communication Device and Method for Operating a Communication System for Transmitting Time-Critical Data
US11398919B2 (en) Method for detecting network subscribers in an automation network and automation network
CN111279656A (zh) 数据传输方法和通信网络
US20220350773A1 (en) Low complexity ethernet node (len) one port
CN107005593B (zh) 用于借助于以太网标准在机动车辆中传输安全相关数据的方法和控制设备
EP2720412A1 (en) Hardware-based granular traffic storm protection
ES2450469T3 (es) Dispositivo de protección de acceso para una red de automatización
ES2896022T3 (es) Sistema de puerta de enlace para bus de campo heterogéneo
US10182001B2 (en) Method for cross-trafficking between two slaves of an annular data network
US20180013619A1 (en) Modular Industrial Automation Device and Method for Configuring a Modular Industrial Automation Device
US10374834B2 (en) Modular industrial automation appliance and method for transmitting messages via a backplane bus system of the modular industrial automation appliance
CA3145978A1 (en) Method and data network for communicating data content, in particular in an elevator system
Varis et al. Time-sensitive networking for industrial automation