本發明實施例提供了一種分散控制系統與第三方系統的安全通訊方法及系統，包括分散控制系統側通訊部分、第三方系統通訊部分以及網絡傳輸加密部分。通過通訊配置文件的加密、自定義的通訊協議、端口和鏈路上通訊報文加密等方法實現分散控制系統與第三方系統的安全雙向通訊，也可以應用于要求嚴格的單向通訊場合，以滿足越來越高的工控網絡安全要求。

技術領域

本發明涉及分散控制系統通訊技術領域，具體而言，涉及一種分散控制系統與第三方系統的安全通訊方法及系統。

背景技術

隨著分散控制系統技術的發展，其功能性能不斷增強，所能控制的范圍越來越廣，與第三方系統的交互也越來越多，傳統的硬接線方式由于缺乏靈活性和經濟性已難以滿足用戶的需求。采用通訊方式進行交互在工程上的應用越來越廣泛。

常規采用的通訊方法比如采用Modbus或OPC協議的串口或以太網通訊由于報文通常采用明文傳輸，協議內容又是公開的，可以方便地被解析和篡改被發回到鏈路上，其安全性越來越受到關注。其中OPC協議由于依賴DCOM技術，且需打開高風險的通訊端口，越來越難以滿足越來越高的工控網絡安全要求。

發明內容

有鑒于此，本發明實施例的目的在于提供一種分散控制系統與第三方系統的安全通訊方法及系統，包括分散控制系統側通訊部分、第三方系統通訊部分以及網絡傳輸加密部分。通過通訊配置文件的加密、自定義的通訊協議、端口和鏈路上通訊報文加密等方法實現分散控制系統與第三方系統的安全雙向通訊，也可以應用于要求嚴格的單向通訊場合，以滿足越來越高的工控網絡安全要求。

根據本發明實施例的一個方面，提供一種分散控制系統與第三方系統的安全通訊系統，包括分散控制系統側通訊部分、第三方系統通訊部分以及網絡傳輸加密部分；

所述分散控制系統通訊部分包括第一通訊加密配置模塊、分散控制系統數據讀取/訂閱/組織/發送模塊、分散控制系統數據接收/解析/寫入模塊；

所述第三方系統通訊部分包括第二通訊加密配置模塊、第三方系統數據數據包接收/解析/寫入模塊、第三方系統數據讀取/組織/發送模塊；

所述網絡傳輸加密部分包括數據加密與解密模塊；

所述第一通訊加密配置模塊，用于對明文通訊點表進行加密、對通訊配置進行加密以及根據所述明文通訊點表的加密和對通訊配置的加密生成對應的加密配置文件；

所述分散控制系統數據讀取/訂閱/組織/發送模塊用于從加密的配置文件中讀取第一通訊點表信息和第一通訊配置信息，并進行分散控制系統實時數據庫的數據讀取和訂閱，同時根據從分散控制系統數據庫讀取的數據和訂閱的內部地址、數據類型生成對應的組織通訊報文并向指定網絡地址發送，其中，所述第一通訊點表信息包括數據類型、標簽名、描述、通訊方向、死區、內部地址，所述第一通訊配置信息包括本機IP地址與端口、單播或組播IP地址與端口、對時服務器IP地址與端口、通訊協議；

所述分散控制系統數據接收/解析/寫入模塊用于根據所述通訊配置信息從所述指定網絡地址接收從第三方系統發送的數據包，并根據第一通訊點表信息和第一通訊配置信息對所述數據包進行解析，將其中的輸入點部分寫入到自身實時數據庫中；

所述第二通訊加密配置模塊用于對明文通訊點表進行加密、對通訊配置信息進行加密以及用于根據加密的明文通訊點表和通訊配置信息生成對應的加密配置文件；

所述第三方系統數據讀取/組織/發送模塊用于從所述加密配置文件中讀取第二通訊點表信息和第二通訊配置信息，并根據所述第二通訊點表信息和第二通訊配置信息進行數據讀取，根據讀取到的數據、內部地址、數據類型和通訊協議生成組織通訊報文并向指定網絡地址發送；