本发明专利技术公开了一种过程控制站安全通讯方法,包括响应于处于正常模式,接收并解析监控后台发送的数据包;响应于数据包不符合预设的访问控制规则,丢弃数据包;响应于数据包符合预设的访问控制规则并且数据包中读写权限足够,读写请求写入内部输出变量区;响应于数据包符合预设的访问控制规则并且数据包中读写权限不足,拒绝执行读写请求,向监控后台反馈错误。同时公开了过程控制站安全通讯系统和分散控制系统。本发明专利技术实现了过程控制站安全通讯,通过对数据包的访问控制规则和读写权限判断,可有效防御未经授权设备通过网络对数据包截取、分析、篡改、回放和插入,保障被控工艺过程的安全稳定运行。
A safe communication method, system and distributed control system for process control station
【技术实现步骤摘要】
一种过程控制站安全通讯方法、系统及分散控制系统
本专利技术涉及一种过程控制站安全通讯方法、系统及分散控制系统,属于分散控制系统
技术介绍
分散控制系统被广泛应用于电力、化工、水泥、船舶和石油等多种工业领域,其中有许多是关系到国计民生的基础设施行业,其运行的安全性和可靠性越来越受到重视。在分散控制系统中,通常包括监控后台、过程控制站、网络和输入输出模件。监控后台主要完成控制逻辑组态与下装、监控画面组态与运行、历史数据存储查询、报警收集查询、运行数据收集显示和控制指令下发等功能;监控后台与过程控制站通过网络连接。过程控制站是整个分散控制系统的核心与关键点,所有的数据采集、控制算法实现、控制指令发出与工艺过程的控制均由过程控制站完成,直接决定被控的工艺过程是否能安全稳定运行。过程控制站采用交换机与监控后台连接,过程控制站数据的上送,监控后台的指令下发均通过网络通讯方式实现,因此过程控制站的网络通讯安全显得尤为重要。当是目前的过程控制站没有适应网络环境的安全通讯方法。
技术实现思路
本专利技术提供了一种过程控制站安全通讯方法、系统及分散控制系统,解决了
技术介绍
中披露的问题。为了解决上述技术问题,本专利技术所采用的技术方案是:一种过程控制站安全通讯方法,包括,响应于处于正常模式,接收并解析监控后台发送的数据包;响应于数据包不符合预设的访问控制规则,丢弃数据包;响应于数据包符合预设的访问控制规则并且数据包中读写权限足够,读写请求写入内部输出变量区;r>响应于数据包符合预设的访问控制规则并且数据包中读写权限不足,拒绝执行读写请求,向监控后台反馈错误。一种过程控制站安全通讯系统,包括,解析模块:响应于处于正常模式,接收并解析监控后台发送的数据包;访问控制判断模块:响应于数据包不符合预设的访问控制规则,丢弃数据包;响应于数据包符合预设的访问控制规则,转至权限判断模块;权限判断模块:响应于数据包符合预设的访问控制规则并且数据包中读写权限足够,读写请求写入内部输出变量区;响应于数据包符合预设的访问控制规则并且数据包中读写权限不足,拒绝执行读写请求,向监控后台反馈错误。一种分散控制系统,包括监控后台和过程控制站,监控后台和过程控制站通过网络交换机连接,过程控制站包括模式开关、存储模块、输入输出模块、接口模块和处理器;模式开关、存储模块、输入输出模块和接口模块均与处理器连接;模式开关:控制过程控制站进入正常模式和配置模式;存储模块:存储控制逻辑组态文件和访问控制规则;处理器:装载有权利要求2所述的过程控制站安全通讯系统,根据控制逻辑组态文件执行控制任务,调度过程控制站安全通讯系统,进行访问控制;接口模块:与网络交换机连接,接收监控后台发送的数据包,向监控后台发送的反馈;输入输出模块:连接设备,采集控制任务对应的设备模拟量和开关量,向设备下发控制运算的结果。网络交换机采用冗余配置,监控后台和过程控制站均采用冗余网络连接,每台网络交换机连接所有监控后台和过程控制站。网络交换机内置管理模块,管理模块对每个端口进行配置,其中,未连接网线的端口被禁用。存储模块还存储过程控制站的固件程序,固件程序为只读的包含校验码的ISO格式。接口模块具有网络风暴、Dos攻击检测和抑制功能过程控制站进入正常模式,处理器执行控制逻辑组态文件,过程控制站安全通讯系统有效;过程控制站进入配置模式,处理器不执行控制逻辑组态文件,过程控制站安全通讯系统禁用。一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行过程控制站安全通讯方法。一种计算设备,包括一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行过程控制站安全通讯方法的指令。本专利技术所达到的有益效果:本专利技术实现了过程控制站安全通讯,通过对数据包的访问控制规则和读写权限判断,可有效防御未经授权设备通过网络对数据包截取、分析、篡改、回放和插入,保障被控工艺过程的安全稳定运行。附图说明图1为分散控制系统的结构图;图2为过程控制站的内部结构框图;图3为分散控制系统的流程图。具体实施方式下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。一种过程控制站安全通讯方法,包括以下步骤:步骤1,响应于处于正常模式,接收并解析监控后台发送的数据包。步骤2,响应于数据包不符合预设的访问控制规则,丢弃数据包;响应于数据包符合预设的访问控制规则,转至步骤3。步骤3,响应于数据包符合预设的访问控制规则并且数据包中读写权限足够,读写请求写入内部输出变量区(内部输出变量区是过程控制站的一块内存区域,用于存储计算输出值,每个计算周期末尾,将此区域的数据输出);响应于数据包符合预设的访问控制规则并且数据包中读写权限不足,拒绝执行读写请求,向监控后台反馈错误。一种过程控制站安全通讯系统,包括:解析模块:响应于处于正常模式,接收并解析监控后台发送的数据包;访问控制判断模块:响应于数据包不符合预设的访问控制规则,丢弃数据包;响应于数据包符合预设的访问控制规则,转至权限判断模块;权限判断模块:响应于数据包符合预设的访问控制规则并且数据包中读写权限足够,读写请求写入内部输出变量区;响应于数据包符合预设的访问控制规则并且数据包中读写权限不足,拒绝执行读写请求,向监控后台反馈错误。如图1所示,一种分散控制系统,包括监控后台和过程控制站,监控后台和过程控制站通过网络交换机连接。监控后台向过程控制站发下数据包,主要是一些读写控制指令,接收过程控制站反馈的数据。采用冗余双网络连接,使用不可路由的IP地址,无路由表,通过监控后台可设置多种对过程控制站的读写访问权限,这些信息都经过事先约定,包含在数据包中;数据包的部分内容进行加密,防止被监听和破译。网络交换机采用冗余配置,网络交换机包括多个端口,每台网络交换机连接所有监控后台和过程控制站,网络交换机内置管理模块,进行了安全增强,管理模块对每个端口进行配置,其中,未连接网线的端口被禁用。过程控制站也采用双网络连接,如图2所示,具体包括模式开关、存储模块、输入输出模块、接口模块、处理器和电源模块。模式开关、存储模块、输入输出模块和接口模块均与处理器连接,电源模块为各用电部件供电,并提供各种电压等级的电源。模式开关可以是认为拨动的开关,也可以通过程序进行控制,模式开关控制过程控制站进入正常模式和配置模式。过程控制站进入正常模式,处理器执行控制逻辑组态文件,装载在处理器中的过程控制站安全通讯系统有效;过程控制站进入配置模式,处理器不执行控制逻辑组态文件,过程控制站安全本文档来自技高网...
【技术保护点】
1.一种过程控制站安全通讯方法,其特征在于:包括,/n响应于处于正常模式,接收并解析监控后台发送的数据包;/n响应于数据包不符合预设的访问控制规则,丢弃数据包;/n响应于数据包符合预设的访问控制规则并且数据包中读写权限足够,读写请求写入内部输出变量区;/n响应于数据包符合预设的访问控制规则并且数据包中读写权限不足,拒绝执行读写请求,向监控后台反馈错误。/n
【技术特征摘要】
1.一种过程控制站安全通讯方法,其特征在于:包括,
响应于处于正常模式,接收并解析监控后台发送的数据包;
响应于数据包不符合预设的访问控制规则,丢弃数据包;
响应于数据包符合预设的访问控制规则并且数据包中读写权限足够,读写请求写入内部输出变量区;
响应于数据包符合预设的访问控制规则并且数据包中读写权限不足,拒绝执行读写请求,向监控后台反馈错误。
2.一种过程控制站安全通讯系统,其特征在于:包括,
解析模块:响应于处于正常模式,接收并解析监控后台发送的数据包;
访问控制判断模块:响应于数据包不符合预设的访问控制规则,丢弃数据包;响应于数据包符合预设的访问控制规则,转至权限判断模块;
权限判断模块:响应于数据包符合预设的访问控制规则并且数据包中读写权限足够,读写请求写入内部输出变量区;响应于数据包符合预设的访问控制规则并且数据包中读写权限不足,拒绝执行读写请求,向监控后台反馈错误。
3.一种分散控制系统,包括监控后台和过程控制站,监控后台和过程控制站通过网络交换机连接,其特征在于:过程控制站包括模式开关、存储模块、输入输出模块、接口模块和处理器;模式开关、存储模块、输入输出模块和接口模块均与处理器连接;
模式开关:控制过程控制站进入正常模式和配置模式;
存储模块:存储控制逻辑组态文件和访问控制规则;
处理器:装载有权利要求2所述的过程控制站安全通讯系统,根据控制逻辑组态文件执行控制任务,调度过程控制站安全通讯系统,进行访问控制;
接口模块:与网络交换机连接,接收监控后台发送的数据包,向监控后台发送的...
【专利技术属性】
技术研发人员:吴科,董胜刚,王鹏,周建玉,张明惠,朱能飞,乐凌志,
申请(专利权)人:南京国电南自维美德自动化有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。