物聯網智能網閘的研究與應用論文
隨著物聯網技術的不斷發展以及生產運營精細化管理的需要,信息網絡與控制網絡的互聯互通已是大勢所趨,但是網絡安全問題也隨之而來。本文介紹了一種基于物聯網的智能網閘設備,詳細闡述了智能網閘的原理、架構、技術特點。該設備不但具備智能網關的功能,而且具備網絡物理隔離的功能,在物聯網領域中得到了廣泛的應用。
1 引言
工業物聯網依托自動化、信息化和業務智能化技術,它的建立使經營管理層與車間執行層實現了雙向信息流交互,消除了信息孤島與斷層現象[1]。但信息網絡與控制網絡實現互聯時,如何保證過程控制網絡的安全就成了一個嚴峻的問題。特別是對于石油、電力、鋼鐵等行業,對連續生產的安全性和可靠性有著極高的要求。控制網絡一旦受到了惡意攻擊,感染了病毒、蠕蟲,很可能導致整個控制網絡癱瘓。因此,在網絡互聯的同時必須采取有效的手段保護控制網絡,防止來自外網的各種威脅。
傳統的方式是選擇網絡防火墻等設備來解決網絡安全問題。網絡防火墻雖然具有較強的抗攻擊能力,但它是提供信息安全服務、實現網絡和信息安全的一種基礎設施,用于滿足各種通用的網絡應用。防火墻只能做網絡四層以下的控制,對于應用層內的病毒、蠕蟲都沒有辦法,不能滿足工業網絡較高的防護要求[2]。
2 智能網閘的原理
智能網閘是專為工業網絡應用設計的安全設備,用于解決工業控制系統的數據如何快捷、安全傳輸到信息網絡的問題。它與防火墻等網絡安全設備本質不同的.地方是它阻斷網絡的直接連接,只完成特定工業應用數據的交換。由于沒有了網絡的連接,攻擊就沒有了載體,如同網絡的“物理隔離”。由于目前的安全技術,無論防火墻、UTM等防護系統都不能保證攻擊的強制阻斷,入侵檢測等監控系統也不能保證入侵行為完全捕獲,所以最安全的方式就是物理的分開。智能網閘可以實現在物理層、鏈路層和應用層不同級別的隔離。根據不同的網絡隔離,即保證數據傳輸的效率,也保證足夠的安全等級。物理層隔離是通過專門電路,在物理層實現電信號的單向傳輸,確保被保護一方的絕對安全。
3 智能網閘的架構
3.1 智能網閘的硬件架構
如圖1所示,智能網閘內部兩端由兩個獨立主機系統組成,每個主機系統分別具有獨立
圖1 智能網閘的硬件架構圖
的運算單元和存儲單元,各自運行獨立的操作系統和核心程序。連接保護網絡的一端為控制端,負責接入到SCADA控制網絡;另一端為信息端,負責接入到信息網絡。
每端主機的硬件均采用高性能嵌入式計算機芯片,底板上各有多個以太網接口用來連接要隔離的兩個網絡。每側主機的總線上各安裝一塊專用隔離通信卡實現雙機之間的數據傳輸,數據流向為內網數據單向流向外網。設計了專門的硬件看門狗時刻監視系統狀態,保證裝置的穩定、可靠運行。
3.2 智能網閘的軟件架構
如圖2所示,智能網閘的控制端與信息端主機分別運行嵌入式高性能工業通信軟件。智能網閘隔離設備中運行獨立的通訊數采軟件,控制端提供基本的設備數據采集,如主流PLC、智能儀表、智能設備、各種標準協議(如Modbus,DNP,IEC-104,Bacnet,OPCClient),實現對各種設備數據的接入。
信息端主機提供數據服務,支持以標準協議將數據轉發給第三方系統或各種數據庫。并且具有一系列高附加值的功能模塊,如報警服務,存儲系統,斷線緩存,腳本引擎,觸發器等。
圖1 智能網閘的軟件架構圖
4 技術特點
4.1微內核技術
智能網閘采用ARM+Linux/RT-Thread平臺,內核中除了與工業標準通信的服務與端口外,裁剪掉了其它所有無關的網絡服務、系統功能,屏蔽了無關端口,進一步提高了系統安全性和抗攻擊能力,免于hacker對操作系統的攻擊,并有效抵御Dos/DDos 攻擊。
4.2 網絡隔離技術
智能網閘采用截斷TCP連接的方法,徹底割斷穿透性的TCP連接。智能網閘的控制端與信息端主機之間采用專有的網絡隔離傳輸技術。物理層采用專用隔離硬件,鏈路層和應用層采用私有通信協議,數據流采用128 位以上加密方式傳輸,更加充分保障數據安全。
通過物理隔離與專有隔離傳輸技術,實現了數據完全自我定義、自我解析、自我審查,傳輸機制具有徹底不可攻擊性,從根本上杜絕了非法數據的通過,確保控制端不會受到攻擊、侵入。
4.3 數據點訪問控制
智能網閘實現了對工業現場通信協議的解析,可以實現工業控制系統具體測點的安全控制,更可以實現現場設備具體寄存器地址的安全控制。
4.4 單向控制
數據的流向完全是由控制端單向傳輸到信息端,這種限制保障了控制端的數據可及時、完整的傳到信息網,又可完全杜絕外網的錯誤數據、惡意數據、病毒等傳向控制端。
4.5 可靠性技術
智能網閘采用基于RISK架構,采用低功耗、無飛線、無風扇設計,具備斷電保護、鏈路冗余、多層看門狗(硬件看門狗+軟件看門狗)等功能,最大限度的提高了可靠性,是一種真正的工業級設備,
4.6 平臺開放技術
智能網閘是一個完全開放的平臺,任何開發者都可使用智能網閘提供的開放接口來開發相關的應用,如采集驅動,數據應用等,支持C/C++、WebService等多種開發形式。開發者可通過這些接口快速方便的訪問智能網閘中的任何信息,并可擴展智能網閘的功能。
5 結語
智能網閘設備具備安全性高、穩定性好、適用性廣等特點,該設備可以較好的解決企業內外網之間的數據安全傳輸問題。隨著物聯網理念的逐步深入,智能網閘設備在SCADA控制網絡接入企業信息網,企業各個子系統之間的數據通訊等領域的應用將會更加廣泛。
【物聯網智能網閘的研究與應用論文】相關文章:
物聯網與智能交通論文04-12
物聯網論文06-12
基于物聯網的草莓無土栽培智能管理系統設計與實現研究論文10-21
物聯網的技術論文07-14
關于物聯網的論文05-13
互聯網時代的口碑營銷及應用策略研究論文11-08