Application of the Gateway in Integrated Supervisory Control System

尹　濤

(國電南瑞科技股份有限公司，江蘇 南京　210000)

網關機在綜合監(jiān)控系統(tǒng)中的應用

Application of the Gateway in Integrated Supervisory Control System

尹濤

(國電南瑞科技股份有限公司，江蘇 南京210000)

摘要：為了保障指揮中心系統(tǒng)免受攻擊，減少指揮中心系統(tǒng)負擔，提高綜合監(jiān)控系統(tǒng)健壯性，對綜合監(jiān)控系統(tǒng)與子系統(tǒng)之間相連的網關機進行了研究。通過在網關機中使用協(xié)議轉換、程序設計等方法，使得網關機起到網絡隔離的作用。試驗觀察發(fā)現(xiàn)，使用網關機之后，綜合監(jiān)控系統(tǒng)開發(fā)工作明顯減少，系統(tǒng)很難受到攻擊。綜合監(jiān)控系統(tǒng)與子系統(tǒng)網絡隔離與通信的解決方案，為今后其他綜合系統(tǒng)與子系統(tǒng)網絡通信提供了技術參考。

關鍵詞：綜合監(jiān)控系統(tǒng)子系統(tǒng)網關機協(xié)議轉換網絡攻擊網絡隔離

Abstract：In order to protect integrated supervisory control system(ISCS) from attacks, reduce the burden on the system and improve the robustness of ISCS, the gateway that connects the ISCS and sub systems is researched. By using methods of protocol conversion and program design in the gateway, the gateway is made to play the role of network isolation. Through experimental observation, it is found that after the gateway being used, the developing work of ISCS is significantly reduced, and the system is difficult to be attacked. A set of solutions of network isolation and communication for ISCS and sub system provides technical reference and innovation for network communication of other integrated systems and sub systems in future.

Keywords：ISCSSub systemGatewayProtocol conversionNetwork attackNetwork isolation

0引言

隨著社會經濟的發(fā)展、智能化水平的提高，智能設備得到廣泛應用。各行各業(yè)都對智能化提出了自己的要求，特別是大型實時監(jiān)控系統(tǒng)(integrated supervisory control system，ISCS)，比如石化、地鐵等。為了滿足要求，更好地管理各智能設備，需要采用綜合監(jiān)控系統(tǒng)管理平臺，對各個專業(yè)和子系統(tǒng)的智能設備進行有效的監(jiān)視與控制。綜合監(jiān)控系統(tǒng)是一個管理監(jiān)控決策的平臺，它實時監(jiān)視控制各個專業(yè)和各個子系統(tǒng)的智能設備。不同的專業(yè)與綜合監(jiān)控系統(tǒng)相連，增加了綜合監(jiān)控系統(tǒng)網絡風險；同時，各個專業(yè)或者子系統(tǒng)可能采用不同的協(xié)議格式與綜合監(jiān)控系統(tǒng)通信，需要同時處理不同的協(xié)議請求，這又增加了綜合監(jiān)控系統(tǒng)的負擔。因此，為了確保網絡安全，防止綜合監(jiān)控系統(tǒng)受到攻擊，降低綜合監(jiān)控系統(tǒng)服務器的運行負擔，在綜合監(jiān)控系統(tǒng)與子系統(tǒng)之間加入網關機。網關機不僅可以有效地防止網絡攻擊，提高綜合監(jiān)控系統(tǒng)的安全性；而且能降低綜合監(jiān)控服務器的負擔，提高其自身的健壯性。

1綜合監(jiān)控系統(tǒng)概述

子系統(tǒng)與綜合監(jiān)控系統(tǒng)的配置如圖1所示。

圖1　網關機架構圖

1.1　系統(tǒng)與子系統(tǒng)的關系

在綜合監(jiān)控系統(tǒng)中，通過建立通信鏈路與分散的各個子系統(tǒng)和專業(yè)實現(xiàn)互聯(lián)互通。綜合監(jiān)控系統(tǒng)采集各個子系統(tǒng)和智能設備的運行狀態(tài)并實時顯示，然后通過對采集數(shù)據(jù)的分析，方便操作人員決策控制，提高對突發(fā)事件的反應與應急能力[1-2]。

1.2　綜合監(jiān)控系統(tǒng)與子系統(tǒng)通信方案

綜合監(jiān)控系統(tǒng)負責整個系統(tǒng)的指揮、決策與控制，而各個子系統(tǒng)則負責某一專業(yè)監(jiān)視與控制。綜合監(jiān)控系統(tǒng)以各個子系統(tǒng)為基礎。綜合監(jiān)控系統(tǒng)調控的基礎則是子系統(tǒng)轉發(fā)來的信號，操作人員通過綜合監(jiān)控系統(tǒng)推理分析決策等步驟，下發(fā)控制命令。一般情況下，子系統(tǒng)直接將信號通過網絡送給綜合監(jiān)控系統(tǒng)。這增加了綜合監(jiān)控系統(tǒng)受到網絡攻擊的風險，嚴重影響了綜合監(jiān)控系統(tǒng)的安全運行。由于各個子系統(tǒng)與綜合監(jiān)控系統(tǒng)的通信協(xié)議不同，增加了綜合監(jiān)控系統(tǒng)運行負荷與難度。在綜合監(jiān)控系統(tǒng)與子系統(tǒng)智能設備之間增加協(xié)議轉換的網關機，一是起到屏蔽網絡攻擊的作用，二是起到屏蔽不同協(xié)議的作用。網關機協(xié)議轉換如圖2所示。

圖2　網關機協(xié)議轉換示意圖

2網關機概述

網關機在綜合監(jiān)控ISCS與子系統(tǒng)之間起到一個橋梁的作用。利用網關機可以有效、方便地連接綜合監(jiān)控與子系統(tǒng)，既起到網絡隔離的作用，又起到協(xié)議轉換的作用。對外可以選擇多種協(xié)議與子系統(tǒng)進行通信，對內可以選擇一種協(xié)議與綜合監(jiān)控系統(tǒng)進行通信，減少綜合監(jiān)控系統(tǒng)負擔。

2.1　網關機設計方案

網關機在綜合監(jiān)控系統(tǒng)中主要起到防火墻和橋梁的作用。在網關機中，通過網關機配置工具，配置兩個通道程序，一個是采集程序，另一個是轉發(fā)程序。采集程序主要負責與子系統(tǒng)智能設備進行通信，轉發(fā)程序負責與綜合監(jiān)控ISCS通信，中間利用共享內存進行信息交換。采集程序和轉發(fā)程序可以配置成不同類型的協(xié)議，比如采集程序可以配置成IEC104或者DNP協(xié)議，而轉發(fā)程序可配置成Modbus TCP協(xié)議，這樣可以起到協(xié)議轉換的作用。子系統(tǒng)智能設備與綜合監(jiān)控可以配置成各種不同的協(xié)議通信類型，但是采集到的信息匯總后，利用轉發(fā)程序發(fā)送給綜合監(jiān)控系統(tǒng)。這樣綜合監(jiān)控系統(tǒng)不需要考慮不同協(xié)議類型的問題，既能減少綜合監(jiān)控系統(tǒng)負擔，又能起到網絡隔離，保證綜合監(jiān)控系統(tǒng)安全運行。網關機設計方案如圖3所示[3]。

圖3　網關機設計方案

2.2　采集與轉發(fā)程序設計流程

客戶端程序設計如圖4所示[4-5]。

圖4　客戶端程序設計圖

2.2.1客戶端程序設計

采集與轉發(fā)程序客戶端主要負責主動連接并讀取對方數(shù)據(jù)，通常用于采集端。工程人員通過配置工具配置IP地址、端口號等信息，由客戶端程序讀取?？蛻舳顺绦蚋鶕?jù)配置文件，主動向對應的IP和端口號發(fā)起連接請求。在客戶端向對應IP和端口號發(fā)起連接請求時，可通過配置文件配置客戶端在主動連接請求幾次不成功的情況下，退出本次連接請求，轉而請求下一個IP地址和端口號。在通信鏈路連通的情況下，向對方請求數(shù)據(jù)，并將請求到的數(shù)據(jù)寫入共享內存中。

2.2.2服務端程序設計

服務端程序流程圖如圖5所示[6-7]。

圖5　服務端程序設計圖

采集與轉發(fā)服務端程序主要用于向對方提供數(shù)據(jù)服務，一般情況下，用于數(shù)據(jù)轉發(fā)端。通過配置工具配

置IP地址和端口號，其中，IP地址用于校驗連接過來的請求地址，端口號用于向外界提供訪問的端口號。

服務端程序根據(jù)客戶端發(fā)送過來的請求，取出對應共享內存中的數(shù)據(jù)，將其轉發(fā)給請求鏈路端。為了便于控制，在同一時間只允許一條客戶端保持連接，若有多條鏈路發(fā)起連接請求，切斷原有的通信鏈路，與新的客戶端請求保持通信。

3采集與轉發(fā)程序配置

在采集與轉發(fā)程序設計完成之后，需要讀取配置文件獲取通信參數(shù)、連接方式以及采集與轉發(fā)之間映射點號、映射關系等信息，這些信息需要在配置文件中配置。配置工具采用人機界面方式，提供配置系統(tǒng)信息，方便工程人員操作。

4結束語

隨著社會經濟的發(fā)展，智能設備不斷涌現(xiàn)，越來越需要綜合監(jiān)控系統(tǒng)管理信息的平臺，將各個智能設備子系統(tǒng)連接起來進行綜合管理。在連接和管理的過程中，為了保障綜合監(jiān)控系統(tǒng)服務器免受網絡攻擊的危害，提高其健壯性。需要引入網關機進行網絡隔離，通過引入網關機，大大提高了綜合監(jiān)控服務器的安全性。

參考文獻

[1] 劉曉娟.城市軌道交通智能控制系統(tǒng)[M].北京：中國鐵道出版社，2003.

[2] 吉春山，周韜，張?zhí)旒t，等.淺談網關機技術在實時數(shù)據(jù)采集系統(tǒng)中的應用[J].自動化技術與應用,2013(3)：81-84.

[3] 賈歡歡.通用短信平臺中協(xié)議轉換功能的設計與實現(xiàn)[D].成都：西南交通大學，2010.

[4] 篤竣，祁忠.基于IEC61850的變電站新型遠動網關機[J].電力自動化設備,2011(2)：112-114.

[5] 周慎.一種串口與UDP協(xié)議實現(xiàn)透明轉換的方法[J].信息通信,2013(6):77-79.

[6] 張超.基于OPC技術的通信協(xié)議轉換平臺[J].企業(yè)技術開發(fā)，2013(19):38-39.

[7] 張成俊，張李超，史玉升.以太網轉RS232轉換器設計[J].儀表技術與傳感器，2013(6)：35-36.

中圖分類號：TP23

文獻標志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201503026

修改稿收到日期： 2014-06-14。

作者尹濤(1984-)，男，2010年畢業(yè)于南京理工大學自動化專業(yè)，獲碩士學位，工程師；主要從事通信方面的研究工作。