(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210836881.5 (22)申请日 2022.07.15 (71)申请人 桂林电子科技大 学 地址 541004 广西壮 族自治区桂林市七 星 区金鸡路1号 (72)发明人 丁勇　王春晖　李振宇　杨炳年　 (74)专利代理 机构 桂林文必达专利代理事务所 (特殊普通 合伙) 45134 专利代理师 张学平 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 41/40(2022.01) (54)发明名称 一种实现工业控制网络分布式控制与安全 防护的方法 (57)摘要 本发明涉及工控安全技术领域， 具体涉及一 种实现工业控制 网络分布式控制与安全防护的 方法， 收集工业以太网中的控制信息； 通过解析 器解析并转化所述控制信息， 得到流规则； 将所 述流规则发布到分布式控制器上； 交换机获取所 述流规则， 并解析通过交换机的数据包， 依据所 述流规则得到转发规则； 交换机基于所述转发规 则对所述数据包进行处理， 并将处理后的转发至 其他交换机或下发至终端设备或现场网关， 该方 法将软件定义网络用于工业以太网， 基于以太网 的工业控制协议的安全 过滤与转发， 能与传统工 业以太网良好的融合， 与传统工控以太网相比， 极大的提高了安全性。 权利要求书1页 说明书4页 附图4页 CN 115333780 A 2022.11.11 CN 115333780 A 1.一种实现工业控制网络分布式控制与安全防护的方法， 其特 征在于， 包括以下步骤： 收集工业以太网中的控制信息； 通过解析器解析并转 化所述控制信息， 得到流 规则； 将所述流规则发布到分布式控制器上； 交换机获取所述流规则， 并解析经过所述交换机的数据包， 依据所述流规则得到转发 规则； 所述交换机基于所述转发规则对所述数据包进行处理， 并将处理后的所述数据包转发 至其他交换机或下发至终端设备或现场网关。 2.如权利要求1所述的一种实现工业控制网络分布式控制与安全防护的方法， 其特征 在于， 所述控制信 息包括工业以太网中的网络拓扑和转发规则的原始控制信 息、 由运维人员 编写的控制信息以及 在原有流 规则的基础上修改的控制信息 。 3.如权利要求1所述的一种实现工业控制网络分布式控制与安全防护的方法， 其特征 在于， 所述交换机获取 所述流规则， 并解析 数据包， 得到转发规则的具体方式： 所述交换机从所述分布式控制器上获取 所述流规则； 当网络数据包到达交换机时， 交换机解析数据包的协议格式与转发信息， 并基于所述 流规则解析 数据包， 得到所述 转发规则。 4.如权利要求1所述的一种实现工业控制网络分布式控制与安全防护的方法， 其特征 在于， 所述分布式控制器由区块链网络和交换机通讯组成。 5.如权利要求1所述的一种实现工业控制网络分布式控制与安全防护的方法， 其特征 在于， 所述交换机基于所述转发规则对所述数据包进行处理， 并将处理后的所述数据包转发 至其他交换机或下发至终端设备或现场网关的具体方式： 所述交换机根据所述转发规则对所述数据包进行封装、 签名和校验处理， 得到处理数 据包； 通过所述转发规则将所述处理数据包转发至其他交换机或下发至终端设备或现场网 关。权　利　要　求　书 1/1 页 2 CN 115333780 A 2一种实现工 业控制网 络分布式控制与安全防护的方 法 技术领域 [0001]本发明涉及工控安全技术领域， 尤其涉及 一种实现工业控制网络分布式控制与安 全防护的方法。 背景技术 [0002]传统的工业控制以太网通常采用树形拓扑结构， 使用工业交换机进行域内通讯， 使用网关设备进 行域间通讯， 通常情况下使用手动配置地址或基于简单的规则自动分配一 定的地址， 基本不具备对域内网络的控制能力， 而域间通讯则通过位于网关的防火墙进行 过滤。 [0003]在工业以太网中协议繁杂， 具有大量的私有协议， 普通的安全网关与交换机等设 备， 安全性 不高。 发明内容 [0004]本发明的目的在于提供一种实现工业控制网络分布式控制 与安全防护的方法， 旨 在解决工业以太网通讯安全性 不高的问题。 [0005]为实现上述目的， 本发明提供了一种实现工业控制网络分布式控制与安全防护的 方法， 包括以下步骤： [0006]收集工业以太网中的控制信息； [0007]通过解析器解析并转 化所述控制信息， 得到流 规则； [0008]将所述流规则发布到分布式控制器上； [0009]交换机获取所述流规则， 并解析经过所述交换机 的数据包， 根据所述流规则得到 转发规则； [0010]所述交换机基于所述转发规则对所述数据包进行处理， 并将处理后的所述数据包 转发至其 他交换机或下发至终端设备或现场网关。 [0011]其中， 所述控制信息包括工业以太网中的网络拓扑和转发规则的原始控制信息、 或由运维人员编写的控制信息以及 在原有流 规则的基础上修改控制信息 。 [0012]其中， 所述交换机获取 所述流规则， 并解析 数据包， 得到转发规则的具体方式： [0013]所述交换机从所述分布式控制器上获取 所述流规则； [0014]当网络数据包到达交换机时， 交换机解析数据包的协议格式与转发信息， 并基于 所述流规则解析 数据包， 得到所述 转发规则。 [0015]其中， 所述分布式控制器由区块链网络和交换机通讯组成。 [0016]其中， 所述交换机基于所述转发规则对所述数据包进行处理， 并将处理后的所述 数据包转发至其 他交换机或下发至终端设备或现场网关的具体方式： [0017]所述交换机根据所述转发规则对所述数据包进行封装、 签名和校验处理， 得到处 理数据包； [0018]通过所述转发规则将所述处 理数据包下发至终端设备或现场网关。说　明　书 1/4 页 3 CN 115333780 A 3