一種基于嵌入式系統(tǒng)的工業(yè)安全網關的通信方法及裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及工業(yè)自動化信息安全技術領域,特別是指一種基于嵌入式系統(tǒng)的工業(yè)安全網關的通信方法及裝置。
【背景技術】
[0002]傳統(tǒng)的工業(yè)生產中,通過拷盤或人力傳遞的方式(比如:人工抄表,定期報表上報)獲取工業(yè)現(xiàn)場的數據,例如:設備運行狀態(tài)參數信息。這些傳統(tǒng)方式難以滿足當今工業(yè)控制網絡對生產控制和信息管理的長周期、大數據量、實時監(jiān)控以及精確性的要求。
[0003]如今,各種嵌入式設備構成的工業(yè)控制網絡已經廣泛地滲透到科學研宄、工程設計、軍事技術以及人們的日常生活等方方面面,實現(xiàn)嵌入式設備與信息網絡互聯(lián)已經成為了現(xiàn)代工業(yè)控制系統(tǒng)的發(fā)展趨勢,但外部網絡與嵌入式設備的工業(yè)控制網絡實現(xiàn)互聯(lián)時,由于外部網絡的開放性,如何保證工業(yè)控制網絡的數據安全就變成了一個嚴峻的問題。特別是對于石油、電力、鋼鐵及煤礦等生產工業(yè)和基礎設施工業(yè),它們對連續(xù)生產的安全性和可靠性有著極高的要求,而一旦實現(xiàn)了外部網絡與工業(yè)控制網絡之間的互聯(lián),就相當于將工業(yè)控制網絡直接暴露給外部網絡而面臨被攻擊的可能。
[0004]在工業(yè)控制市場,一般的企業(yè)從安全性考慮,不會選擇聯(lián)接外部網絡,而是完全與外部網絡隔離,從而形成了各種各樣的“信息孤島”。雖然有一部分公司在與外部網絡進行聯(lián)接時,選擇常規(guī)的方法例如網絡防火墻來進行防護,但常規(guī)的網絡產品由于自身存在的缺陷與不足,不能滿足工業(yè)控制網絡較高的防護要求,或者因為不是專門針對工業(yè)控制網絡設計,難以在工業(yè)場合安全穩(wěn)定的應用。
【發(fā)明內容】
[0005]本發(fā)明要解決的技術問題是提供一種基于嵌入式系統(tǒng)的工業(yè)安全網關的通信方法及裝置,以解決現(xiàn)有技術所存在的工業(yè)控制網絡中數據傳輸的安全性問題。
[0006]為解決上述技術問題,本發(fā)明實施例提供一種基于嵌入式系統(tǒng)的工業(yè)安全網關的通信方法,包括:
[0007]獲取工業(yè)現(xiàn)場的數據信息;
[0008]通過選擇和/或定制的加密算法對獲取的所述數據信息進行加密和數字簽名處理;
[0009]將加密后的所述數據信息及生成的數字簽名信息發(fā)送至服務端。
[0010]可選地,所述獲取工業(yè)現(xiàn)場的數據信息之后包括:
[0011]將獲取的所述數據信息與所述安全網關中預設的工業(yè)流程數據特征值進行比較;
[0012]若所述數據信息小于所述工業(yè)流程預設的數據特征值,則啟動所述加密和數字簽名的操作對所述數據信息進行加密和數字簽名的處理;
[0013]否則,生成報警信息并啟動所述加密和數字簽名的操作對所述報警信息進行加密和數字簽名的處理,并將加密后的所述報警信息及生成的數字簽名信息發(fā)送至服務端。
[0014]可選地,所述方法還包括:
[0015]獲取外部網絡的數據信息。
[0016]可選地,所述獲取外部網絡的數據信息之后包括:
[0017]將獲取的所述數據信息與所述安全網關的規(guī)則庫中預設的規(guī)則進行匹配,若匹配失敗,則允許所述數據信息訪問工業(yè)現(xiàn)場,若匹配成功,則禁止所述數據信息訪問工業(yè)現(xiàn)場。
[0018]可選地,所述獲取外部網絡的數據信息之后包括:
[0019]將獲取的所述數據信息的ip地址與所述安全網關的白名單列表中預設的ip地址進行比對,若所述數據信息的ip地址包含在所述白名單列表中,則允許所述數據信息訪問工業(yè)現(xiàn)場,否則,禁止所述數據信息訪問工業(yè)現(xiàn)場。
[0020]本發(fā)明實施例所述的基于嵌入式系統(tǒng)的工業(yè)安全網關的通信方法,獲取工業(yè)現(xiàn)場的數據信息,再通過選擇和/或定制的加密算法對獲取的所述工業(yè)現(xiàn)場的數據信息進行加密和數字簽名處理,最后將加密后的所述數據信息及生成的數字簽名信息發(fā)送至服務端。這樣,本發(fā)明實施例能根據工業(yè)現(xiàn)場的條件、數據規(guī)模、安全性要求及實時性要求,主動合理的選擇各類加密算法及密鑰長度對獲取的工業(yè)現(xiàn)場的數據信息進行加密和數字簽字處理,從而提高工業(yè)控制網絡中數據傳輸的安全性。
[0021]另一方面,本發(fā)明實施例還提供一種基于嵌入式系統(tǒng)的工業(yè)安全網關的通信裝置,包括:
[0022]獲取單元:用于獲取工業(yè)現(xiàn)場的數據信息;
[0023]加密單元:用于通過選擇和/或定制的加密算法對獲取的所述數據信息進行加密和數字簽名處理;
[0024]第一發(fā)送單元:用于將加密后的所述數據信息及生成的數字簽名信息發(fā)送至服務端。
[0025]可選地,所述裝置還包括:
[0026]比較單元:用于將獲取的所述數據信息與所述安全網關中預設的工業(yè)流程數據特征值進行比較;
[0027]啟動單元:用于當所述數據信息小于所述工業(yè)流程預設的數據特征值時,則啟動所述加密和數字簽名的操作對所述數據信息進行加密和數字簽名的處理;
[0028]生成單元:用于當所述數據信息不小于所述工業(yè)流程預設的數據特征值時,生成報警信息;
[0029]所述啟動單元:還用于啟動所述加密和數字簽名的操作對所述報警信息進行加密和數字簽名的處理;
[0030]第二發(fā)送單元:用于將加密后的所述報警信息及生成的數字簽名信息發(fā)送至服務端。
[0031]可選地,所述獲取單元:還用于獲取外部網絡的數據信息。
[0032]可選地,所述裝置還包括:
[0033]匹配單元:用于將獲取的所述數據信息與所述安全網關的規(guī)則庫中預設的規(guī)則進行匹配;
[0034]允許單元:用于當匹配失敗時,允許所述數據信息訪問工業(yè)現(xiàn)場;
[0035]禁止單元:用于當匹配成功時,禁止所述數據信息訪問工業(yè)現(xiàn)場。
[0036]可選地,所述裝置還包括:
[0037]比對單元:將獲取的所述數據信息的ip地址與所述安全網關的白名單列表中預設的ip地址進行比對;
[0038]所述允許單元:還用于當所述數據信息的ip地址包含在所述白名單列表時,允許所述數據信息訪問工業(yè)現(xiàn)場;
[0039]所述禁止單元:還用于當所述數據信息的ip地址不包含在所述白名單列表時,禁止所述數據信息訪問工業(yè)現(xiàn)場。
[0040]本發(fā)明實施例所述的基于嵌入式系統(tǒng)的工業(yè)安全網關的通信方法,獲取單元獲取工業(yè)現(xiàn)場的數據信息,再通過加密單元選擇和/或定制的加密算法對獲取的所述工業(yè)現(xiàn)場的數據信息進行加密和數字簽名處理,最后通過第一發(fā)送單元將加密后的所述數據信息及生成的數字簽名信息發(fā)送至服務端。這樣,本發(fā)明實施例能根據工業(yè)現(xiàn)場的條件、數據規(guī)模、安全性要求及實時性要求,主動合理的選擇各類加密算法及密鑰長度對獲取的工業(yè)現(xiàn)場的數據信息進行加密和數字簽字處理,從而提高工業(yè)控制網絡中數據傳輸的安全性。
【附圖說明】
[0041]圖1為本發(fā)明實施例一提供的基于嵌入式系統(tǒng)的工業(yè)安全網關的通信方法流程圖;
[0042]圖2為本發(fā)明實施例提供的串口擴展電路不意圖;
[0043]圖3為本發(fā)明實施例提供的網口擴展電路示意圖;
[0044]圖4為本發(fā)明實施例提供的ARM核心板擴展接口示意圖;
[0045]圖5為本發(fā)明實施例提供的USB接口擴展電路示意圖;
[0046]圖6為本發(fā)明實施例提供的SD卡槽擴展電路不意圖;
[0047]圖7為本發(fā)明實施例提供的USBKEY設備電路示意圖;
[0048]圖8為本發(fā)明實施例提供的USBKEY設備與SPI接口的連接電路示意圖;
[0049]圖9為本發(fā)明