[发明专利]一种隐藏控制系统IP地址的安全数据采集装置及采集方法

说明书

技术领域

本发明涉及控制系统与管理系统间的数据安全交换，实现控制系统与管理系统间的物理隔离，具体为一种隐藏控制系统IP地址的安全数据采集装置及采集方法。

背景技术

工业化与信息化的发展实现了传统计算机网络与工业控制网络的紧密融合，越来越多的企业管理信息系统，如石油、化工等典型流程工业的生产执行系统(MES)，采用国际标准的OPC协议从集散控制系统(DCS)采集实时数据，进而完成优化控制，然而开放性在为用户带来效益的同时，由此引发的工控网络安全风险却大大增加。

当前，DCS系统也都采用与管理系统相同的技术，如X86主板、Windows操作系统、TCP/IP通信等。而目前的绝大部分网络攻击都是基于TCP/IP协议的，因此控制系统所暴露的IP地址也逐渐被网络攻击所利用。特别是DCS在与MES通讯时，必须提供OPC接口，而OPC协议是完全基于TCP/IP协议的，处理不善极易暴露OPC服务器端的IP地址，即DCS的IP地址。这导致近年来控制系统的网络攻击问题日益突出，安全事件频发。

目前，普通的数据采集装置一般还是采用与管理网相似的技术，如X86主板、Windows操作系统、IP方式通信等。而这样的软硬件平台与管理网络具有相同的架构，还不能从根本上实现DCS与MES间的物理隔离，故给控制系统的网络安全带来隐患。

发明内容

为解决现有技术存在的问题，本发明公开了一种隐藏控制系统IP地址的安全数据采集装置。该装置采用无IP地址的通讯方式，隔离控制系统与管理系统，实现控制系统安全防护，其网络防护能力显著提高，大幅降低外网利用IP地址对控制系统的攻击。

该发明通过以下技术方案实现，一种隐藏控制系统IP地址的安全数据采集装置，该装置包括X86主机和ARM主机，两主机之间采用无IP地址通讯，实现控制系统DCS与管理系统MES间的物理隔离。

优选的，所述ARM主机由数据采集模块、数据解析模块以及第一数据通讯接口顺次构成，数据采集模块用于采集DCS的数据；X86主机由第二数据通讯接口、数据缓存模块、数据处理模块、数据封装模块以及数据发布模块顺次构成，第二数据通讯接口用于同第一数据通讯接口进行数据传输，数据发布模块用于向MES发布数据。

更优的，所述的第一数据通讯接口与第二数据通讯接口间的通讯能够隐藏控制系统DCS的IP地址。

更优的，所述数据通讯包括有线方式和无线方式，其中有线方式为USB和串口；无线方式为蓝牙4.0。

更优的，所述USB为正常通讯方式，串口和蓝牙4.0作为辅助应急通讯方式。

一种隐藏控制系统IP地址的安全数据的采集方法，工作流程如下：

(1)启动数据采集模块；

(2)数据采集模块以OPC报文形式从DCS中采集数据；

(3)数据解析模块解析出OPC报文data区数据；

(4)第一数据通讯接口通过物理层将data区数据传递到第二数据通讯接口；

(5)数据缓存模块存储data区数据；

(6)数据处理模块根据白名单规则对data区数据进行深度过滤；

(7)如果数据合法且已发生变化，则将过滤后的data区数据进一步处理；否则跳转到步骤(10)；

(8)数据封装模块将过滤完成的data区数据封装成OPC报文；

(9)数据发布模块通过OPC报文对外发布数据；

(10)判断是否继续采集数据，如果是，则跳转到步骤(2)；否则程序结束。

优选的，所述步骤(4)中数据通讯时，对每一个信息包进行如下操作：首先，X86主机会发送一个IN令牌包，请求读数据；然后，ARM主机将数据通过DATA1/DATA0数据包回传给X86主机；最后，X86主机将以下列方式加以响应：当数据已经正确接收时，X86主机发送ACK令牌包；当X86主机正在忙碌时，发出NAK握手包；当发生错误时，X86主机发出STALL握手包。

优选的，所述步骤(4)中所述数据通讯包括有线方式和无线方式，其中有线方式为USB和串口；无线方式为蓝牙4.0；其中：

蓝牙地址分为三个部分：24位地址低端部分LAP、16位非重要地址部分NAP以及8位地址高端部分UAP，LAP和UAP是生产厂商的唯一标识码，NAP由厂商内部自由分配；

USB包的基本格式为：同步字段、PID字段、数据字段、CRC字段和包结尾字段。