[发明专利]嵌入式工业以太网安全网关

说明书

技术领域

本发明涉及通信技术、网络安全技术和自动控制技术，具体是一种安全网关。

背景技术

随着技术的发展，信息化推动工业化进程的加速，越来越多的计算机技术和网络通信技术应用于工业控制系统，比如嵌入式技术、PCS、ERP、MES等企业信息自动化的应用；企业信息网络与Internet相连等。这些技术应用的同时，随之带来了控制网路的安全和实时性问题，如何保障工业控制系统的互连性、保密性、完整性、可用性和实时性则成了现代控制系统需要考虑的一个重要问题。

工业以太网EPA标准的推广导致越来越多的EPA相关产品开始进入实际应用领域，EPA作为一个开放系统，其潜在的安全风险是不可避免的。由于工业控制网络对实时性、可靠性、准确性的高要求，普通的安全网关均不能满足EPA网络应用的要求。

工业以太网EPA网络有其自身的特点，如向IEEE注册分配了特定值(0x88BC)标识EPA报文，在MAC层与网络层之间定义了EPA通信调度管理实体，定义了应用层服务与协议规范等。目前应用于工业现场的安全网关存在着不能很好的兼容EPA报文，对工业现场设备的各种安全威胁不能提供很好的安全保护，不能提供整个EPA系统内的时间同步，不能对接收的EPA数据报文进行确定性调度等问题。正是基于以上考虑，因此有必要开发针对EPA网络的EPA安全网关。

发明内容

本发明针对EPA工业控制网络中通信转发、网络安全和实时性、可靠性的要求，提出适用于EPA工业控制网络的，采用模块化结构设计实现的EPA安全网关。该EPA安全网关是连接EPA网络中现场设备层和过程监控层的设备，是上下层网络通信的唯一接口，起连接双方、隔离现场设备层和外部网络的作用，对现场设备层实施边界保护，从而达到保证现场设备层网络在一个开放的环境中能够安全地运行的目的。

本发明解决上述技术问题的技术方案是：根据EPA工业控制网络的特点，采用EPA报文转发部分，EPA安全部分和EPA调度部分来实现EPA安全网关的功能。

EPA报文转发部分由EPA底层驱动模块、EPA桥接模块和EPA路由模块组成，EPA底层驱动模块是CPU与网卡的软件接口，实现了报文的发送与接收功能，对上层屏蔽了底层硬件具体的实现细节，为上层提供了应用接口。EPA桥接模块主要负责在两个相同的微网段的设备之间互相通信的报文进行转发与控制。EPA路由模块主要负责在两个不同的微网段或监控级微网段和现场设备级微网段的设备之间互相通信的报文进行转发与控制。

EPA安全部分由EPA防火墙处理模块、EPA安全报文处理模块和EPA设备鉴别处理模块组成。EPA防火墙处理模块主要针对进出的外部网络报文进行监控和处理；EPA安全报文处理模块主要针对进出的EPA安全报文进行处理，从而监控现场设备的运作。这种独特的两层保护可以有效地防止未授权用户的接入和访问，阻止各种非法报文进出EPA现场设备层，帮助保护现场设备层网络及终端现场设备。EPA设备鉴别处理模块在EPA安全网关接入网络时发送设备鉴别服务报文，由上位机组态软件完成鉴别过程，确保EPA安全设备接入EPA网络的合法性。

EPA调度部分由EPA时间同步模块和EPA确定性调度模块组成。EPA时间同步模块用来实现EPA系统中EPA设备与时间服务器之间的时间同步；在EPA系统时间同步的基础上，EPA确定性调度模块对EPA安全网关的数据报文进行确定性调度。

本发明的有益效果，采用EPA报文转发功能，EPA安全功能和EPA调度功能三项核心技术的实现，对EPA网络提供可靠的报文转发，有效的边界保护，精确的时间同步和数据报文的确定性调度，从而建立具有安全性、实时性、高效性的工业控制网络。

附图说明

图1 EPA安全网关硬件系统结构图

图2 EPA安全网关软件功能模块组成图

图3 EPA安全网关报文处理流程图

图4 EPA报文转发功能模块关系图

图5 EPA安全功能模块关系图

图6 EPA安全报文处理流程图

具体实施方式