WO2020037632A1

WO2020037632A1 - 一种工控设备网络的仿真***、方法、计算机可读存储介质及计算机设备

Info

Publication number: WO2020037632A1
Application number: PCT/CN2018/102062
Authority: WO
Inventors: 孙建国; 赵国冬; 刘铎
Original assignee: 哈尔滨工程大学计算机科学与技术学院
Priority date: 2018-08-24
Filing date: 2018-08-24
Publication date: 2020-02-27
Also published as: SG11202101752VA

Abstract

一种工控设备网络的仿真***（100）、方法、计算机可读存储介质及计算机设备。所提供的工控设备网络的仿真***（100）包括：虚拟化管理模块（101），用于创建进行工控设备网络的***仿真的虚拟环境；仿真参数配置模块（103），用于配置用于进行***仿真的配置参数；执行模块（105），用于基于配置参数在虚拟环境中创建模拟网络资源，基于模拟网络资源或者基于模拟网络资源和工控设备网络的真实网络资源进行仿真。解决了模拟实际工控设备网络进行仿真的问题。

Description

一种工控设备网络的仿真***、方法、计算机可读存储介质及计算机设备

技术领域

本发明涉及但不限于工业自动化、信息化和计算机领域，尤其涉及一种工控设备网络的仿真***、方法、计算机可读存储介质及计算机设备。

背景技术

工控设备在工业信息化中有着举足轻重的位置，其广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业，工控设备的控制对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节，保证工业设施的正常运转，是国家关键基础设施和信息***的重要组成部分。

随着工业4.0及工业化和信息化两化融合的趋势的到来，越来越多的工控设备接入到了互联网，致使工控设备的漏洞和脆弱性不断增加，因而需要对工控设备网络进行信息安全防护操作。

然而，为了避免误操作，针对工控设备的信息安全防护操作所进行的研究工作通常不能直接运行于处于生产环境中的实际工控设备网络中。

因此，需要提出用于模拟实际工控设备网络的技术方案。

发明内容

本发明实施例旨在解决上面描述的问题。

根据本发明的第一方面，提供了一种工控设备网络的仿真***，包括：

虚拟化管理模块，用于创建进行工控设备网络的***仿真的虚拟环境；

仿真参数配置模块，用于配置用于进行***仿真的配置参数；

执行模块，用于基于配置参数在虚拟环境中创建模拟网络资源，基于模拟网络资源或者基于模拟网络资源和工控设备网络的真实网络资源进行仿真。

根据本发明的工控设备网络的仿真***，还包括：

真实网络资源信息获取模块，用于实时获取真实网络资源的信息，

其中，执行模块还用于：

基于真实网络资源的信息更新模拟网络资源的对应信息，

其中，真实网络资源的信息包括下列中的至少一项：

网络资源的资产信息、网络资源的性能信息、与网络资源相关的事件信息、与网络资源相关的安全漏洞信息、与网络资源相关的安全威胁信息、与网络资源相关的流量信息、网络拓扑信息。

根据本发明的工控设备网络的仿真***，其仿真参数配置模块包括下列中的至少一项：

组网参数配置模块，用于配置用于描述工控设备网络的拓扑结构的第一配置参数；

网络资源配置模块，用于配置用于描述网络资源的第二配置参数。

根据本发明的工控设备网络的仿真***，其虚拟化管理模块采用软件定义基础架构，

其中，软件定义基础架构包括开源的OpenStack云计算管理堆栈和开源的软件定义存储Ceph，虚拟环境包含虚拟计算资源、虚拟存储资源、虚拟网络资源。

根据本发明的工控设备网络的仿真***，其网络资源包括下列中的至少一种：

PLC、RTU、DCS控制器、工控设备、工作站、历史站、工业应用软件产品、安全防护产品。

根据本发明的工控设备网络的仿真***，其模拟网络资源是在所述虚拟环境中使用虚拟机创建的。

根据本发明的第二方面，提供了一种工控设备网络的仿真方法，包括：

经由虚拟化管理模块，创建进行工控设备网络的***仿真的虚拟环境；

经由仿真参数配置模块，配置用于进行***仿真的配置参数；

经由执行模块，基于配置参数在虚拟环境中创建模拟网络资源，基于模拟网络资源或者基于模拟网络资源和工控设备网络的真实网络资源进行仿真。

根据本发明的工控设备网络的仿真方法，还包括：

经由真实网络资源信息获取模块，实时获取真实网络资源的信息；

经由执行模块，基于真实网络资源的信息更新模拟网络资源的对应信息，

其中，真实网络资源的信息包括下列中的至少一项：

根据本发明的工控设备网络的仿真方法，还包括下列步骤中的至少一个步骤：

经由组网参数配置模块，配置用于描述工控设备网络的拓扑结构的第一配置参数；

经由网络资源配置模块，配置用于描述网络资源的第二配置参数。

根据本发明的工控设备网络的仿真方法，还包括：

采用软件定义基础架构实现虚拟化管理模块，

根据本发明的工控设备网络的仿真方法，其网络资源包括下列中的至少一种：

根据本发明的工控设备网络的仿真方法，还包括：

在虚拟环境中使用虚拟机来创建模拟网络资源。

根据本发明的第三方面，提供了一种计算机可读存储介质，存储介质上存储有计算机程序，程序被处理器执行时实现上文所述的方法的步骤。

根据本发明的第四方面，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现下列步骤中的至少一个步骤：

经由仿真参数配置模块，配置用于进行***仿真的配置参数；

经由执行模块，基于配置参数在虚拟环境中创建模拟网络资源，基于模拟网络资源或者基于模拟网络资源和工控设备网络的真实网络资源进行仿真；

经由执行模块，基于真实网络资源的信息更新模拟网络资源的对应信息；

经由网络资源配置模块，配置用于描述网络资源的第二配置参数；

采用软件定义基础架构实现虚拟化管理模块；

在虚拟环境中使用虚拟机来创建模拟网络资源。

本发明提供了一种工控设备网络的仿真***、方法、计算机可读存储介质及计算机设备，解决了模拟实际工控设备网络进行仿真的问题。

参照附图来阅读对于示例性实施例的以下描述，本发明实施例的其他特性特征和优点将变得清晰。

附图说明

并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例，并且与描述一起用于解释本发明实施例的原理。在这些附图中，类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例，而不是全部实施例。对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，可以根据这些附图获得其他的附图。

图1示例性地示出了根据本发明的第一方面的工控设备网络的仿真***的示意框图；

图2示例性地示出了根据本发明的第一方面的工控设备网络的仿真***可以采用的软件定义基础架构的示意图；

图3示例性地示出了根据本发明的第一方面的工控设备网络的仿真***可以采用的虚拟网络的示意图；

图4示例性地示出了根据本发明的第二方面的工控设备网络的仿真方法的示意流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明实施例保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图1示例性地示出了根据本发明的第一方面的工控设备网络的仿真***100的示意框图。

如图1的实线框所示，根据本发明的第一方面的工控设备网络的仿真***100，包括：

虚拟化管理模块101，用于创建进行工控设备网络的***仿真的虚拟环境；

仿真参数配置模块103，用于配置用于进行***仿真的配置参数；

执行模块105，用于基于配置参数在虚拟环境中创建模拟网络资源，基于模拟网络资源或者基于模拟网络资源和工控设备网络的真实网络资源进行仿真。

可选地，如图1的虚线框所示，工控设备网络的仿真***100还包括：

真实网络资源信息获取模块107，用于实时获取真实网络资源的信息，

其中，执行模块105还用于：

基于真实网络资源的信息更新模拟网络资源的对应信息，

其中，真实网络资源的信息包括下列中的至少一项：

可选地，仿真参数配置模块103包括下列中的至少一项：

可选地，虚拟化管理模块101采用软件定义基础架构(SDI)，

图2示例性地示出了根据本发明的第一方面的工控设备网络的仿真***可以采用的软件定义基础架构的示意图。

如图2所示，可以采用开源的OpenStack云计算管理堆栈、开源的软件定义存储Ceph，并将二者结合而成超融合解决方案，以此作为整个软件定义基础架构的底层平台。还可以对Linux以及KVM虚拟化引擎进行工业级改造，使其支持工业网络要求，并利用DPDK硬加速等新技术来保障整个基础架构的性能及实时性要求，使得根据本发明的第一方面的工控设备网络的仿真***100在仿真和模拟工业网络环境时更加贴近工业现场的环境。

为了使本领域技术人员更清楚地了解如何实现上述软件定义基础架构，下面将结合一个具体实施例进行描述。

1、规划用于进行工控设备网络的***仿真的虚拟环境

例如，可以采用多台X86服务器构建针对超大规模工业网络进行仿真的虚拟环境。

1)采用多台(例如，4台)Host实现计算存储超融合：计算节点和存储节点可以设置在同一个物理节点上，可以通过存储资源池，做副本和冗余方式实现镜像的高可用，可以针对某些特定需求的VM，做VM的HA。

2)采用多台(例如，2台)Host实现网络控制超融合：网络模式可以选择VLAN，网络节点和控制节点服务可以放在同一个物理节点上，可以同时提供网络和控制服务，可以通过HAproxy、Corsync等实现心跳检测和高可用等。

另外，还可以采用下列方法来增大链路带宽，消除交换网络中因带宽引起的网络瓶颈，实现网络资源的高可用，以及提高服务器网卡数据传输效率等：

1)服务器网卡做绑定

2)交换机做链路聚合(端口聚合)

3)使用STP(生成树协议)

2、规划用于进行工控设备网络的***仿真的虚拟网络

图3示例性地示出了根据本发明的第一方面的工控设备网络的仿真***可以采用的虚拟网络的示意图。

如图3所示，可以规划计算(存储)节点和(网络)控制节点这两种虚拟网络节点。由于计算存储节点做了HA高可用，所以任何一个计算存储节点宕机，只会影响其上面承载的虚拟机，不会影响其他计算存储节点，如果宕机是可以预知的，则可以先将其上的虚拟机迁移到其他计算存储节点，这样就可以将对服务的影响降到最低。

另外，网络控制节点可以采用主备模式来实现HA高可用，并且采用冷备的方式，但是数据库保持实时同步。因为这种私有云的架构对控制节点的依赖非常小，控制节点宕机，在不重启计算节点的openvswitch-agent的情况下，几乎不会影响虚拟机的正常运行。

在网络的架构上，虚拟机网络通过网桥，采用Trunk模式，直接连接到物理路由器或交换机，具有较好的性能和极高的稳定性。管理网络是OpenStack各个组件通信的网络，包括镜像分发、虚拟机迁移等。存储网络是虚拟机访问共享存储GlusterFS或Ceph的网络(超融合架构中，存储网络一般不独立使用)。

在这种支持超融合计算存储的网络控制架构中，使用了基于VLAN的Neutron模式，由于VLAN的数据包直接经过IP网络出外网，所以不需要L3的虚拟路由器。另外，L3-Agent存在稳定性和性能问题，L3存在复杂性问题。因此，淘汰了L3-Agent。

在这种支持超融合计算存储的网络控制架构中，虚拟机首先连接到br-int,，br-int连接到br-em3上，通过Trunk就可以达到外部网络，这样的架构解决了两个问题：第一，能够保证网络的性能和稳定性，第二，能实现和内网其他机器无缝互通。

由于虚拟化管理模块101采用了上述软件定义基础架构，根据本发明的第一方面的工控设备网络的仿真***100具有以下优点：

1、能够进行灵活统一的资源管理

SDI平台具有统一资源调度功能，即具有多中心融合统一管理和多资源池智能调度的功能。多中心融合统一管理可实现多个数据中心统一管理、分权分域运维等多数据中心特性，并能实现融合云与非云的统一管理，基础架构和基础设施的联动管理；多资源池智能调度能够根据服务和资源制定调度策略，自动执行操作流程，实现所需资源的选择和部署。

统一资源调度可实现软硬件资源统一管理、精确量化、共享利用，充分发挥资源效率；可实现多中心融合统一集约化管理，降低运营成本。

2、能够进行自动化快速部署

SDI平台采用了基于策略与意图驱动基础设施的解决方案，增强了IT资源调配的自动化能力。SDI平台能自动将策略和意图转化为相应基础设施上的命令而不需要人工干涉，管理员只需要根据业务类型制定相应的自动部署策略和业务模板，管理平台根据制定的自动化策略完成资源的申请和业务部署/卸载，实现资源的快速分配与回收。同时，SDI管理平台持续监视事件和变化的工控设备网络的基础设施，当某个应用或者虚拟资源到达策略所设置的阈值时，能够根据制定的策略实时地自动做出响应，进行服务器的扩容变更，或者动态迁移。

可选地，网络资源包括下列中的至少一种：

PLC、RTU、DCS控制器、工控设备、工作站、历史(数据存储)站、工业应用软件产品、安全防护产品。

可选地，模拟网络资源是在所述虚拟环境中使用虚拟机创建的。

如图4的实线框所示，根据本发明的第二方面的工控设备网络的仿真方法，包括：

步骤S402：经由虚拟化管理模块，创建进行工控设备网络的***仿真的虚拟环境；

步骤S404：经由仿真参数配置模块，配置用于进行***仿真的配置参数；

步骤S406：经由执行模块，基于配置参数在虚拟环境中创建模拟网络资源，基于模拟网络资源或者基于模拟网络资源和工控设备网络的真实网络资源进行仿真。

可选地，如图4的虚线框所示，根据本发明的第二方面的工控设备网络的仿真方法，还包括：

步骤S408：经由真实网络资源信息获取模块，实时获取真实网络资源的信息；

步骤S410：经由执行模块，基于真实网络资源的信息更新模拟网络资源的对应信息，

其中，真实网络资源的信息包括下列中的至少一项：

可选地，如图4的虚线框所示，根据本发明的第二方面的工控设备网络的仿真方法，还包括下列步骤中的至少一个步骤：

步骤S412：经由组网参数配置模块，配置用于描述工控设备网络的拓扑结构的第一配置参数；

步骤S414：经由网络资源配置模块，配置用于描述网络资源的第二配置参数。

步骤S416：采用软件定义基础架构实现虚拟化管理模块，

步骤S418：在虚拟环境中使用虚拟机来创建模拟网络资源。

经由仿真参数配置模块，配置用于进行***仿真的配置参数；

采用软件定义基础架构实现虚拟化管理模块；

在虚拟环境中使用虚拟机来创建模拟网络资源。

上面描述的内容可以单独地或者以各种方式组合起来实施，而这些变型方式都在本发明实施例的保护范围之内。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制。尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例的技术方案的精神和范围。

工业实用性

Claims

一种工控设备网络的仿真***，其特征在于，包括：

虚拟化管理模块，用于创建进行所述工控设备网络的***仿真的虚拟环境；

仿真参数配置模块，用于配置用于进行所述***仿真的配置参数；

执行模块，用于基于所述配置参数在所述虚拟环境中创建模拟网络资源，基于所述模拟网络资源或者基于所述模拟网络资源和所述工控设备网络的真实网络资源进行仿真。
如权利要求1所述的工控设备网络的仿真***，其特征在于，还包括：

真实网络资源信息获取模块，用于实时获取所述真实网络资源的信息，

其中，所述执行模块还用于：

基于所述真实网络资源的信息更新所述模拟网络资源的对应信息，

其中，所述真实网络资源的信息包括下列中的至少一项：

网络资源的资产信息、网络资源的性能信息、与网络资源相关的事件信息、与网络资源相关的安全漏洞信息、与网络资源相关的安全威胁信息、与网络资源相关的流量信息、网络拓扑信息。
如权利要求1所述的工控设备网络的仿真***，其特征在于，所述仿真参数配置模块包括下列中的至少一项：

组网参数配置模块，用于配置用于描述所述工控设备网络的拓扑结构的第一配置参数；

网络资源配置模块，用于配置用于描述网络资源的第二配置参数。
如权利要求1所述的工控设备网络的仿真***，其特征在于，所述虚拟化管理模块采用软件定义基础架构，

其中，所述软件定义基础架构包括开源的OpenStack云计算管理堆栈和开源的软件定义存储Ceph，所述虚拟环境包含虚拟计算资源、虚拟存储资源、虚拟网络资源。
如权利要求1所述的工控设备网络的仿真***，其特征在于，网络资源包括下列中的至少一种：

PLC、RTU、DCS控制器、工控设备、工作站、历史站、工业应用软件产品、安全防护产品。
如权利要求5所述的工控设备网络的仿真***，其特征在于，所述模拟网络资源是在所述虚拟环境中使用虚拟机创建的。
一种工控设备网络的仿真方法，其特征在于，包括：

经由虚拟化管理模块，创建进行所述工控设备网络的***仿真的虚拟环境；

经由仿真参数配置模块，配置用于进行所述***仿真的配置参数；

经由执行模块，基于所述配置参数在所述虚拟环境中创建模拟网络资源，基于所述模拟网络资源或者基于所述模拟网络资源和所述工控设备网络的真实网络资源进行仿真。
如权利要求7所述的工控设备网络的仿真方法，其特征在于，还包括：

经由真实网络资源信息获取模块，实时获取所述真实网络资源的信息；

经由所述执行模块，基于所述真实网络资源的信息更新所述模拟网络资源的对应信息，

其中，所述真实网络资源的信息包括下列中的至少一项：

网络资源的资产信息、网络资源的性能信息、与网络资源相关的事件信息、与网络资源相关的安全漏洞信息、与网络资源相关的安全威胁信息、与网络资源相关的流量信息、网络拓扑信息。
如权利要求7所述的工控设备网络的仿真方法，其特征在于，还包括下列步骤中的至少一个步骤：

经由组网参数配置模块，配置用于描述所述工控设备网络的拓扑结构的第一配置参数；

经由网络资源配置模块，配置用于描述网络资源的第二配置参数。
如权利要求7所述的工控设备网络的仿真方法，其特征在于，还包括：

采用软件定义基础架构实现所述虚拟化管理模块，

其中，所述软件定义基础架构包括开源的OpenStack云计算管理堆栈和开源的软件定义存储Ceph，所述虚拟环境包含虚拟计算资源、虚拟存储资源、虚拟网络资源。
如权利要求7所述的工控设备网络的仿真方法，其特征在于，网络资源包括下列中的至少一种：

PLC、RTU、DCS控制器、工控设备、工作站、历史站、工业应用软件产品、安全防护产品。
如权利要求11所述的工控设备网络的仿真方法，其特征在于，还包括：

在所述虚拟环境中使用虚拟机来创建所述模拟网络资源。
一种计算机可读存储介质，所述存储介质上存储有计算机程序，所述程序被处理器执行时实现权利要求7至12中任意一项所述方法的步骤。
一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现下列步骤中的至少一个步骤：

经由虚拟化管理模块，创建进行所述工控设备网络的***仿真的虚拟环境；

经由仿真参数配置模块，配置用于进行所述***仿真的配置参数；

经由执行模块，基于所述配置参数在所述虚拟环境中创建模拟网络资源，基于所述模拟网络资源或者基于所述模拟网络资源和所述工控设备网络的真实网络资源进行仿真；

经由真实网络资源信息获取模块，实时获取所述真实网络资源的信息；

经由所述执行模块，基于所述真实网络资源的信息更新所述模拟网络资源的对应信息；

经由组网参数配置模块，配置用于描述所述工控设备网络的拓扑结构的第一配置参数；

经由网络资源配置模块，配置用于描述网络资源的第二配置参数；

采用软件定义基础架构实现所述虚拟化管理模块；

在所述虚拟环境中使用虚拟机来创建所述模拟网络资源。