CN218630792U - 一种plc信息安全保护装置 - Google Patents

Abstract

本实用新型提供了一种PLC信息安全保护装置，包括：2K1000处理器、安全智能数据存储卡、切换开关、可信模块和存储PMON；2K1000处理器与安全智能数据存储卡双向交互连接，2K1000处理器通过切换开关与可信模块连接，切换开关与存储PMON双向交互连接。本实用新型提供的一种PLC信息安全保护装置，通过在PLC内部嵌入可信模块，实现了对安全PLC的启动度量和运行过程中的静态和动态度量，保障了PLC运行环境的安全，安全智能数据存储卡采用IBC加密通讯方式，实现了工业设备密钥全生命周期的安全管理，有效保障了SM9在工业网络应用中的密钥安全，实现了PLC的通信安全。

Description

一种PLC信息安全保护装置

技术领域

本实用新型涉及信息安全保护技术领域，具体涉及一种PLC信息安全保护装置。

背景技术

自从PLC(Programmable Logic Controller，可编程逻辑控制器)诞生那天起，就一直占据整个自动化控制***的核心地位。早期PLC的发展主要是分布式控制能力，要能带很多的分布式站点，具备现场总线的连接能力。

全面以太网化已成为所有PLC厂家的共识，网络被连通以后，现场生产工艺设备和管理软件甚至云端连接在一起后，把一些管理和数据分析***和工业控制的专用***软件打开了，那么PLC的信息安全保障就要求更高了，如果信息安全在任何一个节点出现问题，都有可能造成相互之间的影响。

实用新型内容

因此，本实用新型要解决的技术问题在于解决现有技术中PLC的信息安全难以保障的问题，从而提供了一种PLC信息安全保护装置。

本实用新型实施例提供了一种PLC信息安全保护装置，包括：2K1000处理器、安全智能数据存储卡、切换开关、可信模块和存储PMON；

所述2K1000处理器与所述安全智能数据存储卡双向交互连接，所述2K1000处理器通过所述切换开关与所述可信模块连接，所述切换开关与所述存储PMON双向交互连接。

可选地，所述2K1000处理器与所述可信模块双向交互连接。

可选地，所述可信模块采用TPCM芯片。

可选地，所述2K1000处理器，还包括：

外设接口，所述外设接口包括一路SDIO接口、一路DDR3接口、一路SATA接口、两路SPI接口、两路串口和四路网络接口。

可选地，所述可信模块，包括：

两路可信接口，一路可信接口与一路SPI接口双向交互连接，剩余一路可信接口通过所述切换开关与剩余一路SPI接口连接。

可选地，还包括：

DDR3内存，所述DDR3内存通过所述DDR3接口与所述2K1000处理器双向交互连接。

可选地，还包括：

固态硬盘，所述固态硬盘通过所述SATA接口与所述2K1000处理器双向交互连接。

可选地，还包括：

指示灯控制器，所述指示灯控制器通过所述串口与所述2K1000处理器双向交互连接。

可选地，还包括：

RS323芯片，所述RS323芯片通过所述串口与所述2K1000处理器双向交互连接。

可选地，还包括：

分别与所述网络接口连接的四路链路，三路链路由PHY芯片、网络变压器和网络通讯接口依次连接组成，一路链路由所述PHY芯片、所述网络变压器和内部总线接口依次连接组成。

本实用新型技术方案，具有如下优点：

本实用新型实施例提供了一种PLC信息安全保护装置，通过在PLC内部嵌入可信模块，实现了对安全PLC的启动度量和运行过程中的静态和动态度量，保障了PLC运行环境的安全，安全智能数据存储卡采用IBC加密通讯方式，即根据IBC密码标准SM9中的密钥生成、密钥交换和信息加密传输、通信双方身份认证等流程规范，结合工业网络环境，实现了工控设备密钥的全生命周期管理过程，形成了设备密钥的管理中心，实现了工业设备密钥全生命周期的安全管理，有效保障了SM9在工业网络应用中的密钥安全，实现了PLC的通信安全。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本实用新型实施例中的一种PLC信息安全保护装置一个具体示例的结构示意图；

图2为本实用新型实施例中的IBC密钥全生命周期管理过程示意图；

图3为本实用新型实施例中的可信模块启动度量过程示意图。

图中，1-2K1000处理器；2-安全智能数据存储卡；3-切换开关；4-可信模块；5-存储PMON；6-外设接口；7-DDR3内存；8-固态硬盘；9-指示灯控制器；10-RS323芯片；11-PHY芯片；12-网络变压器；13-网络通讯接口；14-内部总线接口。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“上端”、“内部”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“设置”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体的连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

本实用新型提供一种PLC信息安全保护装置，如图1所示，包括：2K1000处理器1、安全智能数据存储卡2、切换开关3、可信模块4和存储PMON5；

所述2K1000处理器1与所述安全智能数据存储卡2双向交互连接，所述2K1000处理器1通过所述切换开关3与所述可信模块4连接，所述切换开关3与所述存储PMON5(PMON是一个兼有基本输入输出***BIOS和硬件引导程序boot loader部分功能的开放源码软件，多用于嵌入式***)双向交互连接。

具体地，2K1000处理器1主要面向于网络应用，采用40nm(纳米)工艺，片内集成2个GS264处理器核，主频1GHz(吉赫)，64位DDR3(是一种计算机内存规格)控制器，以及各种***IO接口(是主机与被控对象进行信息交换的纽带)，2K1000处理器1选用龙芯2K1000，除了自身具有2个高速以太网接口GMAC，还因为2K1000还具备其它高速接口，可以方便进行以太网扩展，即使用2K1000处理器1的2个PCIE(peripheral component interconnectexpress，一种高速串行计算机扩展总线标准)接口进行外扩，满足安全PLC的网络通讯方面的要求。

进一步地，所述2K1000处理器1与所述可信模块4双向交互连接。

进一步地，所述可信模块4采用TPCM芯片，TPCM芯片是可信模块4的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间，可信模块4在安全PLC中主要就是用来度量PLC里面运行的程序的安全性。

具体地，2K1000处理器1内部集成SDIO(Secure Digital Input and Output，安全数字输入输出)接口控制器，兼容SD Memory2.0/MMC/SDIO2.0协议；其中，安全智能数据存储卡2结合SD卡(一种基于半导体快闪记忆器的新一代记忆设备)和安全智能卡技术，既支持巨量用户数据存储，又支持证书和私钥数据存储、认证加密等安全功能，其密钥采用IBC体制密钥管理，安全智能卡与2K1000处理器1通过SDIO口进行连接。

进一步地，如图2所示，安全可信PLC的网络通讯数据都需要经过加密，加密密钥存储在安全智能数据存储卡2中，采用IBC(Identity-Based Cryptograph，基于标识的密码技术***)对PLC设备的密钥全生命周期进行管理，为工业网络通信***的安全提供保障；在工业网络中，IBC体制密钥全生命周期管理根据密钥的状态划分为密钥生成阶段、密钥正在使用阶段和密钥废弃阶段，主要包括以下几个过程：

1)设备登记：进行终端设备的信息登记，为生成“一对一”设备标识提供参数服务，过程包括对设备的物理序列号、名称、IP地址、所在位置、所在部门、设备状态、设备责任人等基础信息进行设备登记。

2)设备标识：为每个设备都分配唯一标识的过程，即终端设备授权过程。过程包括设备标识的创建、交换密码以及通过一定的算法为每台设备分配一对一的唯一标识等。

3)风电设置密钥参数：设置生成密钥所涉及的参数信息。

4)主密钥对的生成：根据设置的密钥参数生成主密钥对。

5)生成用户密钥：生成用户设备的用户密钥，过程包括由算法的KGC(知识图谱补全)根据加密主私钥、设备标识生成用户设备加密密钥；根据签名主私钥、设备标识生成用户设备签名密钥。

6)密钥生效：将用户密钥激活生效，并允许使用。

7)密钥备份：将密钥存储在一个独立的、安全的服务器中，以方便后续进行查询或用户密钥申请不成功时，再次申请使用密钥下发使用。

8)用户申请：用户的管理及用户申请设备密钥的管理，过程包括管理使用***用户的登录注册，授权用户的认证签名，用户申请成功后才可申请使用用户设备的密钥，并在授权申请成功时获得用户私钥。

9)密钥下发：对接收到申请密钥的用户设备进行终端私钥下发，下发的私钥包括用户终端加密密钥和签名密钥，过程包括在信息密钥下发时增加与设备标识的匹配，匹配成功后，利用加密算法再次对密钥进行加密，并传输下发密钥信息，用户设备端利用解密算法进行解密；因此，加大了对密钥下发过程的安全防护，充分保证了密钥的安全传输。

10)信息下发：对发出信息申请的终端设备进行信息下发，过程包括在信息下发时增加与设备标识的匹配，匹配成功后，利用加密算法对信息进行加密，并传输下发信息，用户设备端利用解密算法进行解密，充分保证了工控设备端信息的安全传输。

11)密钥撤销与归档：正常使用的密钥会设定一定的使用周期，密钥到期后自动失效并撤销，并进行归档备份；对出现正在使用但不想使用的密钥，可以手动进行撤销，并自动归档失效密钥；当感觉密钥有危险发生时，也可以进行手动密钥撤销。

12)密钥销毁：对不再使用的密钥或存在威胁的密钥进行彻底销毁，过程包括***根据设定密钥销毁日期自动销毁，另外，对确定不再使用的密钥进行手动销毁。

在一可选实施例中，所述2K1000处理器1，还包括：

外设接口6，所述外设接口6包括一路SDIO接口、一路DDR3接口、一路SATA接口(Serial Advanced Technology Attachment，一种基于行业标准的串行硬件驱动器接口)、两路SPI接口、两路串口和四路网络接口。

在一可选实施例中，所述可信模块4，包括：

两路可信接口，一路可信接口与一路SPI接口(Serial Peripheral Interface，串行外设接口)双向交互连接，剩余一路可信接口通过所述切换开关3与剩余一路SPI接口连接。

具体地，如图1所示，可信模块4有两路SPI接口，即TSPI1接口和TSPI2接口，TSPI1和2K1000处理器1的SPI1通过切换开关3与存储PMON5组成的SPI FLASH(通过串行的接口进行操作的闪存数据存储设备)相连，默认状态为可信模块4的TSPI1和PMON的SPI接口(即PSPI)连接，当启动度量完成后，可信模块4通过切换开关3将TSP1与PSPI端口连接到2K1000处理器1的SPI1上，2K1000处理器1开始启动；2K1000处理器1正常启动后，可以通过SPI2接口与可信模块4的TSPI2连接，获得可信策略，从而保证***的静态度量和动态度量安全可靠。

进一步地，如图3所示，可信模块4启动度量是实现是信任链传递，虚线为度量结果存储，整个度量过程如下：

1)2K1000处理器1加电后可信平台控制模块首先上电，通过控制主板的电源、时钟和复位信号使2K1000处理器1处于复位状态；

2)可信模块4通过SPI总线读取存储PMON5的内容，并对其进行完整性度量，与之前存储的度量值进行比较，如果校验不一致，则用可信模块4中存储的PMON映像覆盖现有PMON，完成PMON恢复；

3)如果PMON校验成功，则释放电源、时钟和复位信号，并将2K1000处理器1的SPI总线连接到PMON芯片上，此时***就可以访问PMON；

4)PMON中的度量代码度量将要加载到内核中的设备驱动程序和操作***引导；

5)如果以上度量未通过，就将可信模块4中存储的相应映像将其恢复；如果度量通过，则加载这些模块，然后度量操作***的内核文件；如果操作***内核度量通过，则开始加载内核，否则也用可信模块4中存储的内核映像恢复内核。

进一步地，可信启动成功后，PLC可信软件是部署在PLC的CPU(centralprocessing unit，中央处理器)模块上的可信软件(包括可信软件基和可信代理)，部署在终端操作***当中基于内核实现能够对操作***中的应用行为进行截获和控制，并结合可信根实现程序启动控制、动态度量等可信功能。

在一可选实施例中，还包括：

DDR3内存7，所述DDR3内存7通过所述DDR3接口与所述2K1000处理器1双向交互连接。

具体地，DDR3内存7的规格为2GB(吉字节)，可以满足程序运行流畅。

在一可选实施例中，还包括：

固态硬盘8，所述固态硬盘8通过所述SATA接口与所述2K1000处理器1双向交互连接。

具体地，固态硬盘8(简称SSD)采用16GB的SSD存储器，可以满足嵌入式***数据和应用程序的存储要求。

在一可选实施例中，还包括：

指示灯控制器9，所述指示灯控制器9通过所述串口与所述2K1000处理器1双向交互连接。

具体地，指示灯控制器9由单片机GD23F103和指示灯组成，如图1所示的串口1与单片机GD23F103连接，2K1000处理器1的串口1通过MODBUS RTU协议(是一种串行通信协议)来发送点灯命令，GD23F103通过GPIO(General-purpose input/output，通用输入/输出)负责点亮对应的指示灯；由于2K1000处理器1的IO接口数量比较少，通过串口1来外扩一个单片机，从而实现IO接口数量的增加。

在一可选实施例中，还包括：

RS323芯片10，所述RS323芯片10通过所述串口与所述2K1000处理器1双向交互连接。

具体地，RS323是一种通讯标准，因为高电平+15V低电平-15V电位差30V容错空间大,抗干扰能力强,一般用于工业设备直接通信电平转换；如图1所示的串口2主要用来输出232电平信号给RS323芯片10，进而打印内部调试信息。

在一可选实施例中，还包括：

分别与所述网络接口连接的四路链路，三路链路由PHY芯片11、网络变压器12和网络通讯接口13依次连接组成，一路链路由所述PHY芯片11、所述网络变压器12和内部总线接口14依次连接组成。

具体地，两个网络接口使用2K1000处理器1自带的GMAC接口与外部PHY(千兆以太网收发器)芯片11相连，PHY芯片11采用YT8521S，可以满足10/100/1000Mbps(兆比特每秒)的网络通讯要求，网络接口0通过网络变压器12与PLC内部总线连接，网络接口1通过网络变压器12对外通讯。

进一步地，2K1000处理器1可以配置多路PCIE接口，使用2路PCIE接口用来扩展2路网络接口，PCIE接口连接的PHY芯片11选择I210芯片，输出UTP(非屏蔽双绞线)经过网络变压器12对外通讯。

上述一种PLC信息安全保护装置，通过在PLC内部嵌入可信模块，实现了对安全PLC的启动度量和运行过程中的静态和动态度量，保障了PLC运行环境的安全，安全智能数据存储卡采用IBC加密通讯方式，即根据IBC密码标准SM9中的密钥生成、密钥交换和信息加密传输、通信双方身份认证等流程规范，结合工业网络环境，实现了工控设备密钥的全生命周期管理过程，形成了设备密钥的管理中心，实现了工业设备密钥全生命周期的安全管理，有效保障了SM9在工业网络应用中的密钥安全，实现了PLC的通信安全。

显然，上述实施例仅仅是为清楚地说明所作的举例，而非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本实用新型创造的保护范围之中。

Claims (10)

1.一种PLC信息安全保护装置，其特征在于，包括：2K1000处理器、安全智能数据存储卡、切换开关、可信模块和存储PMON；

所述2K1000处理器与所述安全智能数据存储卡双向交互连接，所述2K1000处理器通过所述切换开关与所述可信模块连接，所述切换开关与所述存储PMON双向交互连接。

2.根据权利要求1所述的一种PLC信息安全保护装置，其特征在于，所述2K1000处理器与所述可信模块双向交互连接。

3.根据权利要求1所述的一种PLC信息安全保护装置，其特征在于，所述可信模块采用TPCM芯片。

4.根据权利要求1所述的一种PLC信息安全保护装置，其特征在于，所述2K1000处理器，还包括：

外设接口，所述外设接口包括一路SDIO接口、一路DDR3接口、一路SATA接口、两路SPI接口、两路串口和四路网络接口。

5.根据权利要求4所述的一种PLC信息安全保护装置，其特征在于，所述可信模块，包括：

两路可信接口，一路可信接口与一路SPI接口双向交互连接，剩余一路可信接口通过所述切换开关与剩余一路SPI接口连接。

6.根据权利要求4所述的一种PLC信息安全保护装置，其特征在于，还包括：

DDR3内存，所述DDR3内存通过所述DDR3接口与所述2K1000处理器双向交互连接。

7.根据权利要求4所述的一种PLC信息安全保护装置，其特征在于，还包括：

固态硬盘，所述固态硬盘通过所述SATA接口与所述2K1000处理器双向交互连接。

8.根据权利要求4所述的一种PLC信息安全保护装置，其特征在于，还包括：

指示灯控制器，所述指示灯控制器通过所述串口与所述2K1000处理器双向交互连接。

9.根据权利要求4所述的一种PLC信息安全保护装置，其特征在于，还包括：

RS323芯片，所述RS323芯片通过所述串口与所述2K1000处理器双向交互连接。

10.根据权利要求4所述的一种PLC信息安全保护装置，其特征在于，还包括：

分别与所述网络接口连接的四路链路，三路链路由PHY芯片、网络变压器和网络通讯接口依次连接组成，一路链路由所述PHY芯片、所述网络变压器和内部总线接口依次连接组成。

Images