物聯網智慧網閘的研究與應用論文

隨著物聯網技術的不斷髮展以及生產運營精細化管理的需要，資訊網路與控制網路的互聯互通已是大勢所趨，但是網路安全問題也隨之而來。本文介紹了一種基於物聯網的智慧網閘裝置，詳細闡述了智慧網閘的原理、架構、技術特點。該裝置不但具備智慧閘道器的功能，而且具備網路物理隔離的功能，在物聯網領域中得到了廣泛的應用。

1 引言

工業物聯網依託自動化、資訊化和業務智慧化技術，它的建立使經營管理層與車間執行層實現了雙向資訊流互動，消除了資訊孤島與斷層現象[1]。但資訊網路與控制網路實現互聯時，如何保證過程控制網路的安全就成了一個嚴峻的問題。特別是對於石油、電力、鋼鐵等行業，對連續生產的安全性和可靠性有著極高的要求。控制網路一旦受到了惡意攻擊，感染了病毒、蠕蟲，很可能導致整個控制網路癱瘓。因此，在網路互聯的同時必須採取有效的手段保護控制網路，防止來自外網的各種威脅。

傳統的方式是選擇網路防火牆等裝置來解決網路安全問題。網路防火牆雖然具有較強的抗攻擊能力，但它是提供資訊保安服務、實現網路和資訊保安的一種基礎設施，用於滿足各種通用的網路應用。防火牆只能做網路四層以下的控制，對於應用層內的病毒、蠕蟲都沒有辦法，不能滿足工業網路較高的防護要求[2]。

2 智慧網閘的原理

智慧網閘是專為工業網路應用設計的.安全裝置，用於解決工業控制系統的資料如何快捷、安全傳輸到資訊網路的問題。它與防火牆等網路安全裝置本質不同的地方是它阻斷網路的直接連線，只完成特定工業應用資料的交換。由於沒有了網路的連線，攻擊就沒有了載體，如同網路的“物理隔離”。由於目前的安全技術，無論防火牆、UTM等防護系統都不能保證攻擊的強制阻斷，入侵檢測等監控系統也不能保證入侵行為完全捕獲，所以最安全的方式就是物理的分開。智慧網閘可以實現在物理層、鏈路層和應用層不同級別的隔離。根據不同的網路隔離，即保證資料傳輸的效率，也保證足夠的安全等級。物理層隔離是通過專閘電路，在物理層實現電訊號的單向傳輸，確保被保護一方的絕對安全。

3 智慧網閘的架構

3.1 智慧網閘的硬體架構

如圖1所示，智慧網閘內部兩端由兩個獨立主機系統組成，每個主機系統分別具有獨立

圖1 智慧網閘的硬體架構圖

的運算單元和儲存單元，各自執行獨立的作業系統和核心程式。連線保護網路的一端為控制端，負責接入到SCADA控制網路;另一端為資訊端，負責接入到資訊網路。

每端主機的硬體均採用高效能嵌入式計算機晶片，底板上各有多個乙太網介面用來連線要隔離的兩個網路。每側主機的匯流排上各安裝一塊專用隔離通訊卡實現雙機之間的資料傳輸，資料流向為內網資料單向流向外網。設計了專門的硬體看門狗時刻監視系統狀態，保證裝置的穩定、可靠執行。

3.2 智慧網閘的軟體架構

如圖2所示，智慧網閘的控制端與資訊端主機分別執行嵌入式高效能工業通訊軟體。智慧網閘隔離裝置中執行獨立的通訊數採軟體，控制端提供基本的裝置資料採集，如主流PLC、智慧儀表、智慧裝置、各種標準協議(如Modbus，DNP，IEC-104，Bacnet，OPCClient)，實現對各種裝置資料的接入。

資訊端主機提供資料服務，支援以標準協議將資料轉發給第三方系統或各種資料庫。並且具有一系列高附加值的功能模組，如報警服務，儲存系統，斷線快取，指令碼引擎，觸發器等。

圖1 智慧網閘的軟體架構圖

4 技術特點

4.1微核心技術

智慧網閘採用ARM+Linux/RT-Thread平臺，核心中除了與工業標準通訊的服務與埠外，裁剪掉了其它所有無關的網路服務、系統功能，遮蔽了無關埠，進一步提高了系統安全性和抗攻擊能力，免於hacker對作業系統的攻擊，並有效抵禦Dos/DDos 攻擊。

4.2 網路隔離技術

智慧網閘採用截斷TCP連線的方法，徹底割斷穿透性的TCP連線。智慧網閘的控制端與資訊端主機之間採用專有的網路隔離傳輸技術。物理層採用專用隔離硬體，鏈路層和應用層採用私有通訊協議，資料流採用128 位以上加密方式傳輸，更加充分保障資料安全。

通過物理隔離與專有隔離傳輸技術，實現了資料完全自我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根本上杜絕了非法資料的通過，確保控制端不會受到攻擊、侵入。

4.3 資料點訪問控制

智慧網閘實現了對工業現場通訊協議的解析，可以實現工業控制系統具體測點的安全控制，更可以實現現場裝置具體暫存器地址的安全控制。

4.4 單向控制

資料的流向完全是由控制端單向傳輸到資訊端，這種限制保障了控制端的資料可及時、完整的傳到資訊網，又可完全杜絕外網的錯誤資料、惡意資料、病毒等傳向控制端。

4.5 可靠性技術

智慧網閘採用基於RISK架構，採用低功耗、無飛線、無風扇設計，具備斷電保護、鏈路冗餘、多層看門狗(硬體看門狗+軟體看門狗)等功能，最大限度的提高了可靠性，是一種真正的工業級裝置，

4.6 平臺開放技術

智慧網閘是一個完全開放的平臺，任何開發者都可使用智慧網閘提供的開放介面來開發相關的應用，如採集驅動，資料應用等，支援C/C++、WebService等多種開發形式。開發者可通過這些介面快速方便的訪問智慧網閘中的任何資訊，並可擴充套件智慧網閘的功能。

5 結語

智慧網閘裝置具備安全性高、穩定性好、適用性廣等特點，該裝置可以較好的解決企業內外網之間的資料安全傳輸問題。隨著物聯網理念的逐步深入，智慧網閘裝置在SCADA控制網路接入企業資訊網，企業各個子系統之間的資料通訊等領域的應用將會更加廣泛。