改进网络控制系统安全保障技术方案.docVIP

改进网络控制系统安全保障技术方案 　　摘 要:安全可靠性是网络控制系统所面临的主要问题之一。本文针对该问题，设计了一种新的网络控制方案。该方案利用工业现场主控台的网络隔离及内核网卡NDIS中间层过滤技术，实现控制系统的网络隐蔽保护。实验结果表明，这不仅减轻了控制器的通讯负担，提高了系统的控制实时性，而且有力保障了整个系统的安全和可靠性。 　　关键词:网络控制系统NDIS中间层驱动过滤规则二叉树网卡适配器 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2010）10-0090-03 　　 　　The network control system of improved safety and security 　　 　　Li weihe,Chen Zhihua,Deng Zhonghua 　　Control Science and Engineering,Huazhong University of Science and Technology (Wuhan) 　　 　　Abstract:The security and the reliability are the main problems that the network control system face.This paper design a new network control scheme to resolve the problems.It draws on the network isolation of the main monitoring station of the industrial site and the filter technology of the NDIS intermediate driver to realize the system’s hidden protection.The results show that it not only reduce the communication burden of the industrial controller,improve the real Time Capabilities of the system,but also effectively guarantee the safety and reliability of the system. 　　Key words:Network Control System,Intermediate driver of NDIS,Filtering rules,Binary Tree,Network adapter 　　 　　0 引言 　　一般而言，网络化控制系统存在三种结构：径直结构、分层结构和两者的混合结构。其中，径直结构是由控制器、传感器、执行器及被控对象组成的一个远程系统，控制信号和传感器信号均通过网络进行传输，而网络的不确定性及拥塞中断等潜在问题，致使系统控制的实时性和安全性无法得以保证；分层结构则是由主控制器和一个远程闭环系统组成，主控制器周期性的通过数据网络将计算好的参考信号送至远程系统，远程系统根据参考信号执行本地的闭环控制，并将传感器测量数据返回给主控制器。目前应用比较广泛的一种多监控扩展结构如图1所示。 　　主控台与控制系统同处于工业现场，并通过局域网连接，对其进行实时监控；而远程监控终端与控制系统的连接一般采用以下两种方法： 　　(1)如图中标号①所示，远程监控端直接与控制系统进行网络互连，在获取系统运行状态的同时，又进行远程操控和调试。但由于远程监控端无法全面感知现场工作环境，越权操控很可能导致系统崩溃甚至生产事故。 　　(2)如图中标号②所示，主控台实时获取系统信息，并保存至本机以供远程监控端读取；但主控台的存储和转发，无法保证数据的更新实时性，更难以进行远程操控。 　　由此看出，两种连接方式均存有不足。 　　此外，由于控制系统暴露于局域网中，内部广播或其他干扰包的网络冲击，将增加控制系统的通讯负担，影响其控制实时性。为解决以上不足，本文对图1网络结构进行优化，基于Windows 2000/Xp平台，采用网卡NDIS中间层驱动过滤转发技术，在主控台系统内核对网络数据进行过滤和监控，以提高控制系统的网络安全及可靠性。 　　1 网络驱动接口规范（NDIS） 　　NDIS【1】（Network Driver Interface -Specification）,是Microsoft和3Com公司于1989年联合开发出的Window平台下的网络驱动接口规范。它支持下列几种网络驱动程序形式:微端口驱动程序(Miniport driv-ers)、