一种多协议转换工业智能加密网关_李鹏.pdf

1、 年第期 一种多协议转换工业智能加密网关李鹏，裴丽娜，夏凯旋，丁子健，樊怡（国能信控互联技术（河北）有限公司，固安 ；国能信控互联技术有限公司）摘要：为了解决工业现场不同通信规约的设备无法通信以及明文数据通信过程中的安全隐患问题，设计了一种基于嵌入式技术的多协议转换工业智能加密网关设备。从系统设计角度介绍了网关主要子系统：核心控制器模块、协议通信模块、通信加密模块和人机界面的设计原理和设计策略；从软件功能设计角度介绍了核心控制器实现协议转换的策略和方法。该网关可连接不同种通信规约设备，实现多种协议互转功能，且对数据进行加密传输，完成异构网络之间的信息交换。关键词：协议转换；异构；加密；网关；嵌

2、入式系统中图分类号：；文献标识码：，（），；，）：，：，：；引言随着信息化技术的进步，工业通信经常需要多个设备之间的信息共享和数据交换。工业现场的许多设备采用的通信接口各不相同，由于各种通信结构的协议不兼容，使得异构网络之间的操作和信息交换难以进行。目前市面上能买到的简易协议转换器只能完成点对点的转换，多种协议之间的相互转换无法实现。也有一些网关产品可以进行协议转换，但大部分都无法进行协议解析，都是直接透传，透传的数据带着各种复杂的协议头和格式信息，给有效数据的使用带来很多不便。为了弥补现有技术的不足，本文提供多协议转换工业智能加密网关，具备多通信接口功能和数据采集功能，可连接多种通信规约设备

3、，实现多种协议互转功能，同时在数据传输过程设置了加密传输功能，保证数据的安全加密。系统设计一种多协议转换加密工业智能网关主要由核心控制器模块、协议通信模块、数据加密模块和人机界面部分构成，如图所示。核心控制器作为网关的大脑，通过通信参数配置，对配置好的协议进行分析、数据处理和协议转换；协议通信模块由多个子通信模块构成，子通信模块是网关与外部设备进行通信的桥梁；若用户需要对往来数据进行加密，则通过数据加密模块对接入网关的数据进行加密解密处理；人机界面用来进行参数配置以及网关状态显示。核心控制器模块设计核心控制器模块基于“嵌入式组态”架构，选用 公司的 处理器，该处理器是一款单核计算机处理器，具备

4、最高可达 的 位精简指令集、单指令流多数据流协处理器、敬请登录网站在线投稿（）年第期 图网关系统结构图 指令和 带有单位检错的数据缓存。该处理器具备丰富的对外接口，包括多个 口、控制器、通用并行三总线接口、接口、以太网接口等各类通信接口。存储模块包括掉电易失性存储和掉电非易失性存储，其中掉电非易失性存储选择 存储介质。在数据传输速率和读写速度效率上都明显高于 ；在功耗方面，能实现低电压供电，比 具有更低的功耗和发热量。本文网关选择使用两个 设计，为系统提供 的运行内存空间。针对掉电非易失性存储，本文网关选择使用大容量存储介质 ，同时支持 卡的外扩存储，方便进行固件更新和临时存储。另外，系统中预

5、留了一组外扩 卡接口，可以在以后的设计中增加 卡设备。此外系统还预留了一组 总线，可以扩展更多的 接口通信模组。核心控制器架构示意图如图所示。图核心控制器架构示意图嵌入式平台选择 操作系统，的内核设计分成进程管理、内存管理、进程间通信、虚拟文件系统、网络部分，并且内核可以被高度剪裁定制，以方便在不同的场景下使用，是一个真正的多用户多任务的操作系统。嵌入式组态采用欧神思公司的 软件。提供良好的应用层编程环境，支持 标准、六种 编程语言，用户可以在 上进行功能块开发以及边缘计算。本网关还为用 户 提 供 各 种 基 于 的 协 议 功 能 接 口，如 协议栈、协议栈以及 协议栈等。协议通信模块设计

6、协议通信模块由多个子通信模块组成，是本文网关设备与外部设备连接的关键部分。根据芯片支持接口类型，本文中的网关硬件接口提供以太网端口（个 快速以太网端口，个 以太网端口，个、个）、工业串行接口（，）以及调试端口（形态）。协议通信模块架构示意图如图所示。图协议通信模块架构示意图工业串行接口均采用磁耦隔离方式，隔离电压高达 ，有效保护设备及人身安全，隔开潜在的高压危险；以太网端口均连接网络变压器，驱动能力显著增强，可以使信号传输更远的距离，减少 芯片接收的干扰，增强 芯片接收端和发送端的兼容性。基于以上硬件特性以及 和 平台上丰富的库资源开发了 、西门子 、规约、和 等多种工业协议栈，满足工业用户的

7、协议转换需求。数据加密模块设计数据加密模块包括网关内置的加密模组和外部单独连接设备的加密模组。每个加密模组均可以进行加密和解密两种操作，确保数据明文进入网关，密文从网关输出，到了设备侧密文进入外置加密模组，明文输出给设备。数据加密模块可以动态旁路，加密模组配置了切换按钮，用户通过选择按钮可进行“加密”与“不加密”切换。针对网络通信，主要采用 网络数据包加密方式，针对 层数据包进行解析，对载荷数据进行加密，以及再封装后完成。协议封装在高速安全芯片内部完成处 年第期 理，确保安全与高效。如图所示，安全网关从 网口收到明文数据包后根据策略对包进行解析，拆出 包载荷内容，使用相应的加密算法、密钥和初始

8、化向量对载荷进行加密，再组装成新数据包，从网口发出。图网络数据包加密示意图加密后的密文数据包相比加密前的明文数据包，以下数据内容完全一致：原 地址和源端口、目的 地址和目的端口、层网络协议标识和数据包长度。针对串 口 通 信，数 据 加 密 主 要 采 用 技 术。具有两个 接口，一个为内通口，另一个为外通口。内通口为明文（有分组，无数据格式），外通口为密文（有分组，有数据格式），主要将明文通信升级为密文通信，提高安全等级，可支持 国密对称算法，也可支持 、等国际对称算法。人机界面设计人机界面采用 提供的视图工具完成组态画面，并用 服务实现浏览器访问，用户通过访问浏览器打开网关的人机界面。人机

9、界面主要提供了协议选择、协议参数配置和通信状态监控功能。图是人机界面协议选择视图，用户可设置协议和协议进行协议转换；加入选择 和 进行协议转换，单击 进行协议参数配置，如图和图所示；配置好参数后启动协议，从系统状态栏中可以看到此时的网关通信状态，如图所示。软件功能设计多协议互转功能是本文网关设备的主要功能，主要由核心控制器模块完成，包括通信配置、协议分析、数据处理和协议转换。其中，通信配置是通过网关的人机界面进行参数设置、端口和协议选择。协议分析功能是对收到的报文按照设置好的协议进行报文分析，判断是否需要进行报文拆包，以及如何进行重新组包。数据处理功能是指根据协议分析进行具体的报文拆包和组包。

10、协议转换功能是将要传输的数据放在重新组好的报文中发送出去。图人机界面协议选择视图图人机界面参数配置视图图人机界面参数配置视图网关 协 议 转 换 实 例 示 意 图 如 图 所 示，设 备 为 主站协议，设备为 从站协议。经过网关，设备与设备可以实现串口和网口间的加密通信功能。图 为实现 协议与 协议的数据加密交换具体实例流程图，对核心控制器模块的功能做了具体介绍。敬请登录网站在线投稿（）年第期 图人机界面通信状态视图图网关协议转换实例示意图图 数据加密交换流程图 结语本文介绍了一种多协议转换加密工业智能网关。用户根据实际通信需要对网关进行参数设置，便可实现多个不同通信规约设备间的数据通信，完

11、成异构网络之间的信息交互。另外，用户可以根据场景需求选择是否对传输的数据进行加密处理，满足工业工控安全要求。参考文献王峰，于青民，黄颖，等 工业互联网网络关键技术与发展研究 电信科学，（）：余晓晖，张恒升，彭炎，等工业互联网网络连接架构和发展趋势 中国工程科学，（）：冯涛，鲁晔，方君丽 工业以太网协议脆弱性与安全防护技术综述 通信学报，（）：陈晓芳，蔡小庆，鲁小利 自动化系统中信息系统的多协议网关应用电子技术与软件工程，（）：王啸，张状状，胡静，等 机场物联网融合网关的设计与实现信息化研究，（）：姚梦涛，杭佳，赵汉青，等基于 的嵌入式软硬件系统设计与实现电子技术与软件工程，（）：石岩，张小虎基

12、于 的三端口高速光纤通信接口卡的设计 通化师范学院学报，（）：冯江杉网络安全技术在网络安全维护中的应用研究 网络安全技术与应用，（）：宋午阳，姜霞网络传输中数据安全及加密技术分析 网络安全技术与应用，（）：马立新，陆国君开放式控制系统编程技术：基于 国际标准北京：人民邮电出版社，：李鹏（工程师），主要研究方向为智能网关设计、控制器设计；裴丽娜（工程师），主要研究方向为嵌入式应用软件技术、组态、协议分析；夏凯旋（工程师），主要研究方向为嵌入式驱动软件技术、协议栈移植开发；丁子健（工程师），主要研究方向为嵌入式硬件技术、电路板设计；樊怡（工程师），主要研究方向为控制工程、需求分析。通信作者：裴丽娜，。（责任编辑：薛士然收稿日期：）