一种专线物理隔离工业数据通讯方法与系统技术方案

本发明专利技术涉及专线物理隔离工业数据通讯方法与系统，数据采集器与物理隔离器相互配合，前者负责通过企业内部互联网或有线、无线通信方式采集企业各节点数据并协议转换为加密报文，后者负责数据二次加密并通过互联网向云平台发布标准数据，两者之间通过专用数据通道进行数据交互。专用数据通道传输的数据经过算法加密处理，以加密报文的形式进行通讯，专用数据通道两端只能通过此种加密报文格式的数据。专有通道通讯采用专有介质，为非以太网，可以直接形成物理隔离，杜绝网络入侵，确保该专线只可传输定制的加密报文信息。本发明专利技术的实施，在解决工业云平台建设、工业大数据分析、工业系统整体优化、智能化建设等方面意义重大。

Method and system for industrial data communication of special line physical isolation

The present invention relates to a method of data communication line physical isolation and industrial system, data collector and physical isolator with each other, the former is responsible for converting the acquisition through intranet or wired and wireless communication protocol for each node enterprise data and message encryption, the latter two negative responsibility and standard data encryption data through the Internet platform between the two Xiang Yun. Data exchange through a dedicated data channel. The data transmitted by the special data channel is encrypted by the algorithm, and the communication is carried out in the form of encrypted message. The data channel of the special data channel can only pass the data of the encrypted message format. Proprietary channel communication uses proprietary media, is non Ethernet, can directly form physical isolation, stop network intrusion, to ensure that the line can only transmit customized encrypted message information. The implementation of the invention is of great significance in solving the problems of the construction of industrial cloud platforms, the analysis of large industrial data, the overall optimization of industrial systems, and the construction of intelligence.

【技术实现步骤摘要】
一种专线物理隔离工业数据通讯方法与系统
本专利技术涉及工业通信技术，更具体地说，涉及一种专线物理隔离工业数据通讯方法，以及一种专线物理隔离工业数据通讯系统。
技术介绍
随着互联网技术向工业领域的不断渗透，工业界对其流程数据上传互联网，建立工业专有云平台的需求越来越迫切。然而目前的现状是，工业企业因数据安全方面的顾虑，很少将现场流程数据上传互联网，最多只是做到将有限的管理数据或环保数据上传互联网。而产生这一现象的根本原因是，从当前技术层面上来讲，还没有一套完善的工业流程数据互联网案例上网的解决方案。中国专利技术专利申请201210553196.8公开的工业控制网络安全防护方法，包括以下步骤：(1)根据工业控制系统信息安全的技术要求，对工业企业信息系统进行分层处理，所述工业企业信息系统分为三个安全工作层次，即工业控制层、生产执行层和经营管理层，对所述工业控制层的数据交换采取安全防护策略措施；(2)根据所述工业控制系统的功能特点和控制范围，将所述工业控制层分为多个不同的自动化单元区域并采用防火墙进行区域隔离，实现报文过滤以及访问控制，对工业通信协议进行检查分析，实现对非法通信的实时报警、来源确认、历史记录，保证控制网络的实时诊断；(3)采用网络隔离模块实现所述工业控制层与所述生产执行层之间的非网络方式的安全的数据交换，并且保证安全隔离模块内外两个处理系统不同时连通，结合防穿透性TCP联接与访问控制技术，阻断所述生产执行层对所述工业控制层的潜在通信途径，从而实现所述工业控制层与所述生产执行层之间的单向隔离；(4)采用工业安全管理平台模块建立所述工业控制层网络的配置、管理、分析、告警及审计中心，对防火墙及网络隔离装置进行配置和管理，采集网络事件报警信息并存储、检索及划分等级进行报警，对定义在白名单范围内的终端应用允许通信，对工业控制协议的深度分析并捕获网络异常行为，分析潜在风险，准确捕获现场所的病毒、蠕虫及非法入侵，为工业控制系统网络故障的排查、分析及安全审计提供可靠依据。上述专利技术的技术方案中，工业控制层与生产执行层之间采用网络隔离模块实现的非网络方式的数据交换，安全隔离模块内外两个处理系统不同时连通，结合防穿透性TCP联接与访问控制技术，阻断所述生产执行层对所述工业控制层的潜在通信途径，从而实现所述工业控制层与所述生产执行层之间的单向隔离。而这种隔离方法实现手段较复杂，而且即使两个处理系统不同时连通，也不能保证攻击数据不在两个处理系统之间传播。只要是接入以太网，则必然存在风险，包括端口扫描、无效访问、网络监听、网络攻击等。而且，当前工业领域普遍采用层级式(Hierarchy)网络拓扑构架，包括：设备层、信息层、控制优化层、管理决策层，如图1所示。这种结构并不是一蹴而就的，而是由整个工控行业和计算机的长期发展历史积淀所形成的标准化结构。尽管层级式构架实现了集散式信息化监测与控制，将原先繁杂、分散的人工管控方式升级为集中式计算机监控、人工决策的模式，但是庞大的层级系统仍面临着构建维护成本高、技术瓶颈高、性能局限、信息孤岛、扩展性差等问题。传统的中控中心机房层级式构建，需要场地、软/硬件设备、SCADA/DCS软件系统、专业技术操作人员，这样初期投入与日常维护都需要一笔不小的开支，加之有些企业建设完中控中心后，长期使系统处于空闲状态，并未真正对企业运行起到很好的监管作用，无疑加重了企业的负担。现有技术成本高体现在：现场控制器(PLC/DDC)构建、中控中心构建、软硬件购买、监控软件配置、冗余系统配备、专业技术团队组建、日常操作与维护等；技术瓶颈包括：不同厂家通讯协议独立、控制器计算能力有限、稳定性、可维护性较差；性能局限主要为：层与层之间通讯效率局限、可靠性局限、扩展局限等。与此同时，层级构架是由微观底层(设备层)将信号逐层上送至宏观顶层(管理决策层)，顶层再将操作指令逐层下发至底层。信号经底层现场设备采集形成后，往顶层上送的每一层级都要进行数据管理和逻辑判断。当硬件设备越来越多，底层工作频率也会越来越高，这就意味着局部控制和逻辑处理也会越来越庞大，顶层汇聚的数据量级也将呈几何倍数增长。层级式构架的庞大与复杂的特点，对于大型企业尚有余力搭建此类系统，但对于中小微企业则往往心有余而力不足。
技术实现思路
本专利技术的目的在于克服现有技术的不足，提供一种保证工业数据安全上云，上云架构易搭建、成本低、性能高效、维护便捷的专线物理隔离工业数据通讯方法，以及专线物理隔离工业数据通讯系统。本专利技术的技术方案如下：一种专线物理隔离工业数据通讯方法，数据采集器通过内部互联网与内部信息系统连接，或者通过有线模块或无线模块与现场设备连接，进行数据采集，然后发送至物理隔离器，物理隔离器对数据进行处理后，上传至云平台；数据采集器通过专用数据通道将数据发送至物理隔离器，专用数据通道为非以太网的其他专有介质的数据通道，不支持通用互联网通讯协议；当数据采集器通过无线模块对现场设备进行数据采集，采用特定频段进行数据收发。作为优选，数据采集器将接收到采用不同通讯协议的数据，转换成统一协议的标准化数据，再将协议转换后的标准化数据进行加密、封装，得到加密报文，然后发送至数据隔离器；数据采集器的通讯属性包括单向传输与双向传输。作为优选，物理隔离器接收加密报文后，进行数据有效性判断，如果数据有效，则进行二次加密得到标准数据，并上传至云平台；数据只允许通过特定端口与云平台进行通讯。作为优选，物理隔离器设定了各个通讯节点的回写属性，规定各个通讯节点为单向通讯或双向通讯。作为优选，经物理隔离器处理的数据通过扁平式工控方法上传至云平台，具体为：设置通信层、云服务层，云平台部署于云服务层，数据采集器采集的数据通过专用数据通道发送至物理隔离器，物理隔离器对数据进行处理后，经通信层上传至云平台。作为优选，当通信层无法与云服务层进行通信时，将数据采集器采集的数据暂存于通信层，直至通信层与云服务层恢复通信，将暂存数据续发至云服务层。作为优选，通信层与云服务层间冗余配置有针对用户的私有云与备用公有云，当私有云故障时，切换至备用公有云进行数据处理。作为优选，设置与通信层连接的本地处置模块，当通信层无法与云服务层进行通信或云服务层无法正常工作时，通过本地处置模块进行数据处理。一种专线物理隔离工业数据通讯系统，实现所述的专线物理隔离工业数据通讯方法；包括数据采集器、物理隔离器，数据采集器通过内部互联网与内部信息系统连接，或者通过有线模块或无线模块与现场设备连接，物理隔离器与云平台进行数据连接；数据采集器通过专用数据通道将数据发送至物理隔离器，专用数据通道为非以太网的其他专有介质的数据通道，不支持通用互联网通讯协议；当数据采集器通过无线模块对现场设备进行数据采集，采用特定频段进行数据收发。作为优选，还包括扁平式工控系统，包括通信层、云服务层，通信层部署通信模块，云平台部署于云服务层，通信模块与物理隔离器连接，将数据发送至云服务层，云服务层下发的数据通过通信层返回至内部信息系统或现场设备。本专利技术的有益效果如下：本专利技术所述的专线物理隔离工业数据通讯方法与系统，数据采集器与物理隔离器相互配合，前者负责通过企业内部互联网Intranet或有线、无线通信方式采集企业各节点(包括内部信息系统或现有设本文档来自技高网...

【技术保护点】
一种专线物理隔离工业数据通讯方法，其特征在于，数据采集器通过内部互联网与内部信息系统连接，或者通过有线模块或无线模块与现场设备连接，进行数据采集，然后发送至物理隔离器，物理隔离器对数据进行处理后，上传至云平台；数据采集器通过专用数据通道将数据发送至物理隔离器，专用数据通道为非以太网的其他专有介质的数据通道，不支持通用互联网通讯协议；当数据采集器通过无线模块对现场设备进行数据采集，采用特定频段进行数据收发。

【技术特征摘要】
1.一种专线物理隔离工业数据通讯方法，其特征在于，数据采集器通过内部互联网与内部信息系统连接，或者通过有线模块或无线模块与现场设备连接，进行数据采集，然后发送至物理隔离器，物理隔离器对数据进行处理后，上传至云平台；数据采集器通过专用数据通道将数据发送至物理隔离器，专用数据通道为非以太网的其他专有介质的数据通道，不支持通用互联网通讯协议；当数据采集器通过无线模块对现场设备进行数据采集，采用特定频段进行数据收发。2.根据权利要求1所述的专线物理隔离工业数据通讯方法，其特征在于，数据采集器将接收到采用不同通讯协议的数据，转换成统一协议的标准化数据，再将协议转换后的标准化数据进行加密、封装，得到加密报文，然后发送至数据隔离器；数据采集器的通讯属性包括单向传输与双向传输。3.根据权利要求2所述的专线物理隔离工业数据通讯方法，其特征在于，物理隔离器接收加密报文后，进行数据有效性判断，如果数据有效，则进行二次加密得到标准数据，并上传至云平台；数据只允许通过特定端口与云平台进行通讯。4.根据权利要求2所述的专线物理隔离工业数据通讯方法，其特征在于，物理隔离器设定了各个通讯节点的回写属性，规定各个通讯节点为单向通讯或双向通讯。5.根据权利要求1所述的专线物理隔离工业数据通讯方法，其特征在于，经物理隔离器处理的数据通过扁平式工控方法上传至云平台，具体为：设置通信层、云服务层，云平台部署于云服务层，数据采集器采集的数据通过专用数据通道发送至物理隔离器，物理隔离器对数据进行处理后，经...

【专利技术属性】
技术研发人员：褚丹雷，
申请(专利权)人：厦门奥普拓自控科技有限公司，
类型：发明
国别省市：福建,35