[0001] 本发明涉及工业数据摆渡安全技术领域，尤其是涉及一种工控数据摆渡系统。

[0002] 工业控制系统已经成为国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素，工业控制系统面临工业控制协议缺乏安全性考虑，工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为。

[0042] 为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

[0043] 目前工业控制系统面临工业控制协议缺乏安全性考虑，工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为，基于此，本发明实施例提供一种工控数据摆渡系统，以解决现有技术中工控数据摆渡时容易被攻击者利用信息携带病毒或恶意行为的技术问题，确保攻击者无法通过嗅探或中间人等攻击手段获取到业务数据，无法对数据进行篡改，保障了数据的完整性和机密性。

[0044] 为便于对本实施例进行理解，首先对本发明实施例所公开的一种工控数据摆渡系统进行详细介绍。

[0045] 实施例一：如图1所示的一种工控数据摆渡系统模块示意图，本发明实施例提供了一种工控数据摆渡系统包括：终端设备1、协议过滤装置2、工控隔离网闸3、第一工控防火墙5、第一交换机4、第一工控加密机6和第二交换机9；

[0046] 所述终端设备1与所述协议过滤装置2连接，利用其支持协议封装第一应用层数据得到第一数据包，向所述协议过滤器发送第一数据包；

[0047] 所述协议过滤装置2与所述工控隔离网闸3连接，所述协议过滤装置2内设有第一协议白名单，解析第一数据包应用层协议，若使用的应用层协议为第一协议白名单中协议，将所述第一数据包发送至工控隔离网闸3；

[0048] 所述工控隔离网闸3与所述第一交换机4连接，所述工控隔离网闸3用于安全传输数据包，解析所述第一数据包得到所述第一应用层数据，将所述第一应用层数据利用第一交换机4支持的协议封装所述第一应用层数据得到第二数据包，并将所述第二数据包发送至第一交换机4；

[0049] 所述第一交换机4向所述第一工控防火墙5发送所述第二数据包；

[0050] 所述第一工控防火墙5与所述第一交换机4连接，所述第一工控防火墙5内设有第二协议白名单，解析所述第二数据包的网络层协议和应用层协议，若使用的网络层协议和应用层协议为第二协议白名单中协议，向所述第一工控加密机6发送所述第二数据包；

[0051] 所述第一工控加密机6与所述第一工控防火墙5连接，所述第一工控加密机6解析所述第二数据包得到所述第一应用层数据，利用加密算法对所述第一应用层数据加密得到第一加密数据，利用预设协议封装所述第一加密数据得到第三数据包，向所述第二交换机9发送所述第三数据包。

[0052] 其中，所述协议过滤装置2解析任一数据包的应用层协议，若使用的应用层协议不在所述第一协议白名单中，将所述数据包拦截。同时还可以通过创建协议黑名单的方法达到预警和查漏的目的，例如：如图3所示的协议过滤装置内部模块示意图，当所述待检测协议不位于所述协议白名单中，将所述待检测协议存入协议黑名单中。判断所述协议黑名单中每个工控协议的写入次数是否超过预设阈值；若存在任一工控协议的写入次数超过预设阈值，发出协议验证提示，以提示工作人员验证所述工控协议的安全性；在接收到工作人员输入的安全性验证通过操作时，将所述工控协议从所述协议黑名单中删除，并将所述工控协议写入所述协议白名单。创建协议黑名单可以用于将协议黑名单共享，以实现提前预防攻击者使用协议黑名单中的不安全协议封装数据包攻击服务器，并设计一种阈值机制，若存在任一工控协议的写入次数超过预设阈值，发出协议验证提示，以提示工作人员验证所述工控协议的安全性，防止出现工作人员将协议录入协议白名单时出现遗漏掉安全的协议的情况。

[0053] 在本发明的又一实施例中，如图2所示的另一种工控数据摆渡系统模块示意图，所述的工控数据摆渡系统还包括：第二工控加密机7和第二工控防火墙8；

[0054] 所述第二工控加密机7与所述第二工控防火墙8连接，所述第二工控加密机7解析所述第三数据包得到所述第一加密数据，利用解密算法对所述第一加密数据解密得到第一应用层数据，利用预设协议封装所述第一应用层数据得到第四数据包，并将所述第四数据包发送给所述第二工控防火墙8；

[0055] 所述第二工控防火墙8内设有第二协议白名单，解析所述第四数据包的网络层协议和应用层协议，若使用的网络层协议和应用层协议为第二协议白名单中协议，向所述第二交换机9发送所述第四数据包。

[0056] 在本发明实施例中，工控防火墙是针对目前工控系统的特点，在传统工控防火墙功能基础上专门针对PLC、DCS、SCADA等工控环境研发的安全防护产品。其工控协议深度包解析技术不仅对二层、三层网络协议进行解析，更能进一步解析到工控网络包的应用层，可对OPC、Modbus、DNP3、IEC104、S7、Profinet等工控协议进行深度分析，防止应用层协议被篡改或破坏。

[0057] 在本发明实施例中，工控加密机是在控制系统的基础上增加的功能安全层，通过对消息使用加密函数和哈希链，同时也能够支持国密SM4、AES、3DES、CAST5等多种加密算法增强工控协议的认证和加密传输功能，从而使攻击者无法进行伪装，无法篡改传输指令，无需改变底层传输协议，即可实现系统的传输安全。加密机用于保护端到端通信的认证安全，保护数据的完整性和保密性。加密机从应用层中获取过程数据，通过加密算法对过程数据进行加密，确保无法通过嗅探或中间人等攻击手段获取到业务数据，无法对数据进行篡改，保障了数据的完整性和机密性。

[0058] 在本发明的又一实施例中，所述第二工控防火墙8还用于接收所述第二交换机9发送的第五数据包，解析所述第五数据包的网络层协议和应用层协议，若使用的网络层协议和应用层协议为第二协议白名单中协议，向所述第二工控加密机7发送所述第五数据包。

[0059] 所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

[0060] 在本发明的又一实施例中，所述第二工控加密机7还用于解析所述第五数据包得到所述第二应用层数据，利用加密算法对所述第二应用层数据加密得到第二加密数据，利用预设协议封装所述第二加密数据得到第六数据包，并将所述第六数据包发送给所述第一工控加密机6。

[0061] 所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

[0062] 在本发明的又一实施例中，所述第工控一加密机还用于解析所述第六数据包得到所述第二应用层数据，利用解密算法对所述第二加密数据解密得到第二应用层数据，利用预设协议封装所述第二应用层数据得到第七数据包，向所述第一工控防火墙5发送所述第七数据包。

[0063] 所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

[0064] 在发明的又一实施例中，所述第一工控防火墙5还用于解析所述第七数据包的网络层协议和应用层协议，若使用的网络层协议和应用层协议为第二协议白名单中协议，向所述第一交换机4发送所述第七数据包。

[0065] 所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

[0066] 在发明的又一实施例中，所述工控隔离网闸3还用于解析所述第七数据包得到所述第二应用层数据，将所述第二应用层数据利用终端设备1支持的协议封装所述第二应用层数据得到第八数据包，并将所述第八数据包发送给协议过滤器。

[0067] 在本发明实施例中，所述工控隔离网闸3是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

[0068] 在本发明的又一实施例中，所述协议过滤装置2还用于解析第八数据包应用层协议，若使用的应用层协议为所述第一协议白名单中协议，将所述第八数据包发送至终端设备1。

[0069] 所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

[0070] 实施例二：如图4所示的另一种工控数据摆渡系统模块示意图，本发明实施例还提供完整的一种工控数据摆渡系统，与上述实施例提供的一种工控数据摆渡系统具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。一种工控数据摆渡系统，包括：终端设备1、协议过滤装置2、工控隔离网闸3、第一工控防火墙5、第一交换机4、第一工控加密机6、第二交换机9、第二工控防火墙8和第二工控加密机7；

[0071] 所述终端设备1与所述协议过滤装置2连接，利用其支持协议封装第一应用层数据得到第一数据包，向所述协议过滤器发送第一数据包；以及接收第八数据包；

[0072] 所述协议过滤装置2与所述工控隔离网闸3连接，所述协议过滤装置2内设有第一协议白名单，解析第一数据包应用层协议，若使用的应用层协议为第一协议白名单中协议，将所述第一数据包发送至工控隔离网闸3；以及，解析第八数据包应用层协议，若使用的应用层协议为所述第一协议白名单中协议，将所述第八数据包发送至终端设备1；

[0073] 所述工控隔离网闸3与所述第一交换机4连接，所述工控隔离网闸3用于安全传输数据包，解析所述第一数据包得到所述第一应用层数据，将所述第一应用层数据利用第一交换机4支持的协议封装所述第一应用层数据得到第二数据包，并将所述第二数据包发送至第一交换机4；以及，解析所述第七数据包得到所述第二应用层数据，将所述第二应用层数据利用终端设备1支持的协议封装所述第二应用层数据得到第八数据包，并将所述第八数据包发送给协议过滤器；

[0074] 所述第一交换机4向所述第一工控防火墙5发送所述第二数据包；以及，接收第七数据包，并向所述工控隔离网闸3发送第七数据包；

[0075] 所述第一工控防火墙5与所述第一交换机4连接，所述第一工控防火墙5内设有第二协议白名单，解析所述第二数据包的网络层协议和应用层协议，若使用的网络层协议和应用层协议为第二协议白名单中协议，向所述第一工控加密机6发送所述第二数据包；以及，解析所述第七数据包的网络层协议和应用层协议，若使用的网络层协议和应用层协议为第二协议白名单中协议，向所述第一交换机4发送所述第七数据包；

[0076] 所述第一工控加密机6与所述第一工控防火墙5连接，所述第一工控加密机6解析所述第二数据包得到所述第一应用层数据，利用加密算法对所述第一应用层数据加密得到第一加密数据，利用预设协议封装所述第一加密数据得到第三数据包，向所述第二工控加密机7发送所述第三数据包；以及，解析所述第六数据包得到所述第二应用层数据，利用解密算法对所述第二加密数据解密得到第二应用层数据，利用预设协议封装所述第二应用层数据得到第七数据包，向所述第一工控防火墙5发送所述第七数据包；

[0077] 所述第二工控加密机7与所述第二工控防火墙8连接，所述第二工控加密机7解析所述第三数据包得到所述第一加密数据，利用解密算法对所述第一加密数据解密得到第一应用层数据，利用预设协议封装所述第一应用层数据得到第四数据包，并将所述第四数据包发送给所述第二工控防火墙8；以及，解析所述第五数据包得到所述第二应用层数据，利用加密算法对所述第二应用层数据加密得到第二加密数据，利用预设协议封装所述第二加密数据得到第六数据包，并将所述第六数据包发送给所述第一工控加密机6；

[0078] 所述第二工控防火墙8内设有第二协议白名单，解析所述第四数据包的网络层协议和应用层协议，若使用的网络层协议和应用层协议为第二协议白名单中协议，向所述第二交换机9发送所述第四数据包；以及，接收所述第二交换机9发送的第五数据包，解析所述第五数据包的网络层协议和应用层协议，若使用的网络层协议和应用层协议为第二协议白名单中协议，向所述第二工控加密机7发送所述第五数据包。

[0079] 本发明实施例所提供的系统，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，系统实施例部分未提及之处，可参考前述方法实施例中相应内容。

[0080] 另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

[0081] 最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。