一种基于嵌入式系统的工业安全网关的通信方法及装置的制造方法
【技术领域】
[0001]本发明涉及工业自动化信息安全技术领域,特别是指一种基于嵌入式系统的工业安全网关的通信方法及装置。
【背景技术】
[0002]传统的工业生产中,通过拷盘或人力传递的方式(比如:人工抄表,定期报表上报)获取工业现场的数据,例如:设备运行状态参数信息。这些传统方式难以满足当今工业控制网络对生产控制和信息管理的长周期、大数据量、实时监控以及精确性的要求。
[0003]如今,各种嵌入式设备构成的工业控制网络已经广泛地渗透到科学研宄、工程设计、军事技术以及人们的日常生活等方方面面,实现嵌入式设备与信息网络互联已经成为了现代工业控制系统的发展趋势,但外部网络与嵌入式设备的工业控制网络实现互联时,由于外部网络的开放性,如何保证工业控制网络的数据安全就变成了一个严峻的问题。特别是对于石油、电力、钢铁及煤矿等生产工业和基础设施工业,它们对连续生产的安全性和可靠性有着极高的要求,而一旦实现了外部网络与工业控制网络之间的互联,就相当于将工业控制网络直接暴露给外部网络而面临被攻击的可能。
[0004]在工业控制市场,一般的企业从安全性考虑,不会选择联接外部网络,而是完全与外部网络隔离,从而形成了各种各样的“信息孤岛”。虽然有一部分公司在与外部网络进行联接时,选择常规的方法例如网络防火墙来进行防护,但常规的网络产品由于自身存在的缺陷与不足,不能满足工业控制网络较高的防护要求,或者因为不是专门针对工业控制网络设计,难以在工业场合安全稳定的应用。
【发明内容】
[0005]本发明要解决的技术问题是提供一种基于嵌入式系统的工业安全网关的通信方法及装置,以解决现有技术所存在的工业控制网络中数据传输的安全性问题。
[0006]为解决上述技术问题,本发明实施例提供一种基于嵌入式系统的工业安全网关的通信方法,包括:
[0007]获取工业现场的数据信息;
[0008]通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;
[0009]将加密后的所述数据信息及生成的数字签名信息发送至服务端。
[0010]可选地,所述获取工业现场的数据信息之后包括:
[0011]将获取的所述数据信息与所述安全网关中预设的工业流程数据特征值进行比较;
[0012]若所述数据信息小于所述工业流程预设的数据特征值,则启动所述加密和数字签名的操作对所述数据信息进行加密和数字签名的处理;
[0013]否则,生成报警信息并启动所述加密和数字签名的操作对所述报警信息进行加密和数字签名的处理,并将加密后的所述报警信息及生成的数字签名信息发送至服务端。
[0014]可选地,所述方法还包括:
[0015]获取外部网络的数据信息。
[0016]可选地,所述获取外部网络的数据信息之后包括:
[0017]将获取的所述数据信息与所述安全网关的规则库中预设的规则进行匹配,若匹配失败,则允许所述数据信息访问工业现场,若匹配成功,则禁止所述数据信息访问工业现场。
[0018]可选地,所述获取外部网络的数据信息之后包括:
[0019]将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址进行比对,若所述数据信息的ip地址包含在所述白名单列表中,则允许所述数据信息访问工业现场,否则,禁止所述数据信息访问工业现场。
[0020]本发明实施例所述的基于嵌入式系统的工业安全网关的通信方法,获取工业现场的数据信息,再通过选择和/或定制的加密算法对获取的所述工业现场的数据信息进行加密和数字签名处理,最后将加密后的所述数据信息及生成的数字签名信息发送至服务端。这样,本发明实施例能根据工业现场的条件、数据规模、安全性要求及实时性要求,主动合理的选择各类加密算法及密钥长度对获取的工业现场的数据信息进行加密和数字签字处理,从而提高工业控制网络中数据传输的安全性。
[0021]另一方面,本发明实施例还提供一种基于嵌入式系统的工业安全网关的通信装置,包括:
[0022]获取单元:用于获取工业现场的数据信息;
[0023]加密单元:用于通过选择和/或定制的加密算法对获取的所述数据信息进行加密和数字签名处理;
[0024]第一发送单元:用于将加密后的所述数据信息及生成的数字签名信息发送至服务端。
[0025]可选地,所述装置还包括:
[0026]比较单元:用于将获取的所述数据信息与所述安全网关中预设的工业流程数据特征值进行比较;
[0027]启动单元:用于当所述数据信息小于所述工业流程预设的数据特征值时,则启动所述加密和数字签名的操作对所述数据信息进行加密和数字签名的处理;
[0028]生成单元:用于当所述数据信息不小于所述工业流程预设的数据特征值时,生成报警信息;
[0029]所述启动单元:还用于启动所述加密和数字签名的操作对所述报警信息进行加密和数字签名的处理;
[0030]第二发送单元:用于将加密后的所述报警信息及生成的数字签名信息发送至服务端。
[0031]可选地,所述获取单元:还用于获取外部网络的数据信息。
[0032]可选地,所述装置还包括:
[0033]匹配单元:用于将获取的所述数据信息与所述安全网关的规则库中预设的规则进行匹配;
[0034]允许单元:用于当匹配失败时,允许所述数据信息访问工业现场;
[0035]禁止单元:用于当匹配成功时,禁止所述数据信息访问工业现场。
[0036]可选地,所述装置还包括:
[0037]比对单元:将获取的所述数据信息的ip地址与所述安全网关的白名单列表中预设的ip地址进行比对;
[0038]所述允许单元:还用于当所述数据信息的ip地址包含在所述白名单列表时,允许所述数据信息访问工业现场;
[0039]所述禁止单元:还用于当所述数据信息的ip地址不包含在所述白名单列表时,禁止所述数据信息访问工业现场。
[0040]本发明实施例所述的基于嵌入式系统的工业安全网关的通信方法,获取单元获取工业现场的数据信息,再通过加密单元选择和/或定制的加密算法对获取的所述工业现场的数据信息进行加密和数字签名处理,最后通过第一发送单元将加密后的所述数据信息及生成的数字签名信息发送至服务端。这样,本发明实施例能根据工业现场的条件、数据规模、安全性要求及实时性要求,主动合理的选择各类加密算法及密钥长度对获取的工业现场的数据信息进行加密和数字签字处理,从而提高工业控制网络中数据传输的安全性。
【附图说明】
[0041]图1为本发明实施例一提供的基于嵌入式系统的工业安全网关的通信方法流程图;
[0042]图2为本发明实施例提供的串口扩展电路不意图;
[0043]图3为本发明实施例提供的网口扩展电路示意图;
[0044]图4为本发明实施例提供的ARM核心板扩展接口示意图;
[0045]图5为本发明实施例提供的USB接口扩展电路示意图;
[0046]图6为本发明实施例提供的SD卡槽扩展电路不意图;
[0047]图7为本发明实施例提供的USBKEY设备电路示意图;
[0048]图8为本发明实施例提供的USBKEY设备与SPI接口的连接电路示意图;
[0049]图9为本发明