[发明专利]一种PROFIBUS工控协议安全摆渡方法和装置

说明书

本发明公开了一种PROFIBUS工控协议安全摆渡方法和装置，包括：通过网络接口收到上层网络发起的PROFIBUS请求数据包，对PROFIBUS协议进行预处理并调度，在不重启系统的情况下，实现在线加载和卸载以及启动和关闭功能；对PROFIBUS请求数据包进行拆解、分析、过滤和封装，构建新的PROFIBUS请求数据包发送到内网目标；接收到新的PROFIBUS请求数据包，发送PROFIBUS应答数据包；接收PROFIBUS应答数据包，并进行拆解、分析、过滤和封装，构建新的PROFIBUS应答数据包发送到上层网络；用于使上下层网无法同步，没有直接的PROFIBUS会话。本发明实现工业控制系统PROFIBUS协议的上下层网络会话隔离，分时处理数据，减小数据交换延时，减少对工业控制系统效率的影响。

技术领域

本发明属于工业控制网络安全技术领域，特别涉及一种PROFIBUS工控协议安全摆渡方法和装置。

背景技术

过程现场总线(Process Fieldbus)是近年来迅速发展起来的一种工业控制数据协议，它主要解决工业现场的智能化仪器仪表、控制器、执行机构等现场设备间的数字通信以及这些现场控制设备和高级控制系统之间的信息传递问题。由于现场总线简单、可靠、经济实用等一系列突出的优点，因而受到了许多标准团体和计算机厂商的高度重视。

随着PROFIBUS等现场总线协议在工业控制领域的大量应用，工业控制系统已经由最初的封闭走向开放，由单机走向互联，由自动化走向智能化。在工业企业获得巨大发展动能的同时，也出现了大量安全隐患。PROFIBUS工控协议在工控领域的应用是公开、透明的，同所有工控协议一样，具有一定的程序设计漏洞并且容易受到网络攻击。目前，工控领域使用的防火墙、隔离网闸大多针对TCP/IP协议进行设计，还没有很好的方法对PROFIBUS工控协议进行安全过滤。

发明内容

针对上述技术问题，本发明提供一种PROFIBUS工业控制协议安全摆渡方法和装置，其实现工业控制系统PROFIBUS协议的上下层网络会话隔离，分时处理数据，减小数据交换延时，减少对工业控制系统效率的影响。

本发明采用如下技术方案来实现的：

一种PROFIBUS工控协议安全摆渡方法，包括以下步骤：

S1、通过网络接口收到上层网络发起的PROFIBUS请求数据包，对PROFIBUS协议进行预处理并调度，在不重启系统的情况下，实现在线加载和卸载以及启动和关闭功能；

S2、对PROFIBUS请求数据包进行拆解、分析、过滤和封装，构建新的PROFIBUS请求数据包发送到内网目标；

S3、接收到新的PROFIBUS请求数据包，发送PROFIBUS应答数据包；

S4、接收PROFIBUS应答数据包，并进行拆解、分析、过滤和封装，构建新的PROFIBUS应答数据包发送到上层网络；用于使上下层网无法同步，没有直接的PROFIBUS会话。

本发明进一步的改进在于，所述步骤S2具体包括：

将PROFIBUS请求数据包拆解并重组成工控协议数据包；

对工控协议数据包进行分析，提取关键字段；

基于过滤规则和策略对关键字段进行匹配，实现对“读”、“写”和“控制”指令的过滤；所述过滤依据功能码寄存器信息完成；

将允许通过的工控协议数据包重新封装，构建新的PROFIBUS请求数据包发送到内网目标。

本发明进一步的改进在于，该方法还包括在协议处理时记录所有安全事件，实现实时告警的步骤。

本发明进一步的改进在于，所述步骤S4具体包括：

S41、将PROFIBUS应答数据包拆解并重组成PROFIBUS协议数据包；