中華工控網(wǎng)首頁
中國自動化學會專家咨詢工作委員會指定宣傳媒體
免費注冊 中華工控網(wǎng) 廣告服務 | 客服中心
新聞詳情
gkongbbs

賽遠基于S-Link遠程網(wǎng)絡監(jiān)控的方法及系統(tǒng)正式獲得國家發(fā)明專利證書

http://casecurityhq.com 2013-05-10 14:34 來源:深圳市賽遠自動化系統(tǒng)有限公司

  近日,賽遠自動化的基于S-Link和VLAN技術的遠程工業(yè)網(wǎng)絡監(jiān)控的方法及系統(tǒng)(專利號:ZL 201110000683.7)正式獲得國家發(fā)明專利證書。

  一種基于S-Link和VLAN技術的遠程工業(yè)網(wǎng)絡監(jiān)控的方法及系統(tǒng),方法包括S-Link協(xié)議和虛擬局域網(wǎng)VLAN,其中:A想把一段明文通過雙鑰加密的技術發(fā)送給B,B有一對公鑰和私鑰,那么加密解密的過程如下:B將B的公開密鑰傳送給A;A用B的公開密鑰加密A的消息,然后傳送給B;B用B的私人密鑰解密A的消息;反之,B要將明文發(fā)送給A,過程如下:A收到B的明文;A的私鑰解密;A的公鑰加密;B收到的A明文。系統(tǒng)包括管理計算機、服務器、遠程安全通訊模塊、3G通訊模塊、PLC主站、PLC從站、攝像頭、變頻器、多功能面板HMI、Internet互聯(lián)網(wǎng)。

1、通過S-Link協(xié)議實現(xiàn)工業(yè)現(xiàn)場總線數(shù)據(jù)的安全性和完整性

在Internet的傳遞中,數(shù)據(jù)多采用標準的協(xié)議,互聯(lián)網(wǎng)協(xié)議(IP,Internet Protocol,網(wǎng)絡連接協(xié)議)是互聯(lián)網(wǎng)協(xié)議群(Internet Protocol Suite ,IPS)中眾多通信協(xié)議中的一個,也是其中最重要的一個。但是,IP協(xié)議是一個不可靠的傳輸機制,IP協(xié)議不承擔在數(shù)據(jù)源主機和目的主機間建立連接的責任,只負責從數(shù)據(jù)源主機建立數(shù)據(jù)報并發(fā)送出去的工作,目標主機收到數(shù)據(jù)報后不需要向發(fā)送源主機提交確認信息,IP協(xié)議會盡量確保目標主機能夠獲得發(fā)送給它的數(shù)據(jù)報,但是并不是絕對保證。
在Internet的通信協(xié)議中,可靠的數(shù)據(jù)傳輸是由TCP協(xié)議(Transfer Control Protocol,傳輸控制協(xié)議)來保證的。TCP(Transfer Control Protocol) 是專門設計用于在不可靠的 Internet 上提供可靠的、端到端的字節(jié)流通信的協(xié)議。 Internet 不同于一個單獨的網(wǎng)絡,不同部分可能具有不同的拓撲結構、帶寬、延遲、分組大小以及其它特性。 TCP 被設計成能動態(tài)滿足 Internet 的要求,并且足以健壯地面對多種出錯。
TCP/IP技術是最常見的一種面向連接的傳輸方式,但是在安全性方面,由于數(shù)據(jù)格式為標準格式,所以無法保證其安全性,任何在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)均可以被攔截后解密并可能產(chǎn)生新的偽數(shù)據(jù)繼續(xù)傳遞,從而對工業(yè)網(wǎng)絡的設備控制器產(chǎn)生錯誤的指令。
在保證像信息的機密性、真實性、完整性這些必要的信息安全中,公鑰加密技術扮演著非常重要的角色。為了增強互聯(lián)網(wǎng)的安全機制,主要采用防火墻技術、公開密鑰加密技術、數(shù)據(jù)加密技術、數(shù)字簽名、數(shù)字時間戳技術、身份認證和安全協(xié)議等。
上述常用的安全技術,由于和工業(yè)現(xiàn)場總線的機制不同,對于現(xiàn)場總線的實時性和完整性無法保證,存在打包和解包的協(xié)議差異,需要不斷重新握手,容易造成通訊丟包,容易造成協(xié)議的中斷,不適合采用標準的協(xié)議進行傳輸。
S-Link協(xié)議正是基于標準協(xié)議的不通用性,以及工業(yè)現(xiàn)場總線的特殊要求,以協(xié)議轉換準確和安全性為首要目標的一種非公開密鑰方式的專用協(xié)議,除了支持標準的TCP/IP協(xié)議外,也支持工業(yè)實時以太網(wǎng)如西門子的PROFINET,EtherCAT等在互聯(lián)網(wǎng)上的傳輸。
如西門子的主要最新一代現(xiàn)場總線PROFINET,是由PROFIBUS國際組織(PROFIBUS International,PI)推出,是新一代基于工業(yè)以太網(wǎng)技術的自動化總線標準。作為一項戰(zhàn)略性的技術創(chuàng)新,PROFINET為自動化通信領域提供了一個完整的網(wǎng)絡解決方案,囊括了諸如實時以太網(wǎng)、運動控制、分布式自動化、故障安全以及網(wǎng)絡安全等當前自動化領域的熱點話題,并且,作為跨供應商的技術,可以完全兼容工業(yè)以太網(wǎng)和現(xiàn)有的現(xiàn)場總線(如PROFIBUS)技術,保護現(xiàn)有投資。作為國際標準IEC61158的重要組成部分,PROFINET是完全開放的協(xié)議。
EtherCAT 是開放的實時以太網(wǎng)絡通訊協(xié)議,最初由德國倍福自動化有限公司(Beckhoff Automation GmbH) 研發(fā)。EtherCAT為系統(tǒng)的實時性能和拓撲的靈活性樹立了新的標準,同時,它還符合甚至降低了現(xiàn)場總線的使用成本。EtherCAT的特點還包括高精度設備同步,可選線纜冗余,和功能性安全協(xié)議(SIL3)EtherCAT主張"以太網(wǎng)控制自動化技術" 。它是一個開放源代碼,高性能的系統(tǒng),目的是利用以太網(wǎng)協(xié)議(最惠國待遇系統(tǒng)局域網(wǎng)),在一個工業(yè)環(huán)境,特別是對工廠和其他制造業(yè)的關注,其中利用機器人和其他裝備線上的技術。EtherCATIEC規(guī)范(IEC/PAS 62407)。
S-Link協(xié)議基于應用層,是公鑰和私鑰結合使用的方式進行加密,實現(xiàn)工業(yè)以太網(wǎng)的安全加密傳輸,符合IEC 61748-3標準中的FSCP 12(功能安全通訊設備行規(guī))。
加密和解密是采用不同的密鑰(公開密鑰),也就是非對稱密鑰密碼系統(tǒng),每個通信方均需要兩個密鑰,即公鑰和私鑰,這兩把密鑰可以互為加解密。公鑰是公開的,不需要保密,而私鑰是由雙方通訊設備持有。發(fā)送方通過使用接收方的公鑰對數(shù)據(jù)進行加密操作,然后數(shù)據(jù)接收方使用自己的私鑰就可以對數(shù)據(jù)進行解密。接收方通過解密操作就能知道數(shù)據(jù)是否完整傳輸,如果能夠使用自己的私鑰解密數(shù)據(jù),說明數(shù)據(jù)是真實的,否則傳輸?shù)臄?shù)據(jù)可能在傳輸過程中被篡改。
本質上私鑰加密體制和公鑰加密體制的沒有任何區(qū)別,定義了一個私鑰的加密體制以私鑰E 加密,公鑰D 解密。兩個定義的不同在于安全定義的建立中,在一個公鑰加密體制中,攻擊者或“攻擊算法”是給定E,作為附加的輸出;這里攻擊者沒有私鑰體制E

S-Link基于公開密鑰的加密過程,兩個站點A和B,A想把一段明文通過雙鑰加密的技術發(fā)送給B,B有一對公鑰和私鑰,那么加密解密的過程如下:
B將B的公開密鑰傳送給A;
A用B的公開密鑰加密A的消息,然后傳送給B;
B用B的私人密鑰解密A的消息。
反之,B要將明文發(fā)送給A,過程如下:

S-Link采用的算法為RSA算法,密鑰為128位加密,保證了工業(yè)數(shù)據(jù)的安全。
為了保證數(shù)據(jù)的完整性,S-Link采用了小包數(shù)據(jù)分發(fā)以及嚴格的數(shù)據(jù)校驗機制,各個數(shù)據(jù)包在被確認校驗正確后,將組成一個完整的數(shù)據(jù)包,并且依據(jù)工業(yè)實時以太網(wǎng)的格式,傳遞給具有目標IP地址的設備。
S-Link相對于無結構的數(shù)據(jù)流的TCP/IP 協(xié)議,S-Link區(qū)分了結構化的數(shù)據(jù)流,使用數(shù)據(jù)流符合工業(yè)以太網(wǎng)總線的格式,在傳輸之前就已經(jīng)進行了規(guī)劃。
S-Link定義了一個重發(fā)機制,采用一種 “帶重傳功能的肯定確認”的技術作為提供可靠數(shù)據(jù)傳輸服務的方式。這項技術要求接收方收到數(shù)據(jù)之后向源站回送確認信息ACK。發(fā)送方對發(fā)出的每個分組都保存一份記錄,在發(fā)送下一個分組之前等待確認信息。發(fā)送方還在送出分組的同時啟動一個定時器,并在定時器的定時期滿而確認信息還沒有到達的情況下,重發(fā)剛才發(fā)出的分組。

(此處省去數(shù)千字......)

本發(fā)明具有的優(yōu)點是,通過基于S-Link和VLAN技術實現(xiàn)PLC程序級的遠程工業(yè)網(wǎng)絡監(jiān)控系統(tǒng),將現(xiàn)場控制器、人機界面、變頻器等控制系統(tǒng)設備和本地的管理計算機實時互連,既可完成工業(yè)數(shù)據(jù)的實時通訊,也可以作為對現(xiàn)場工業(yè)控制設備程序級的控制,通過最為便利的互聯(lián)網(wǎng)實現(xiàn)遠程診斷和遠程調試,遠程監(jiān)控,極大地降低了設備系統(tǒng)的調試、維護成本。并且通過S-Link和VLAN技術實現(xiàn)了工業(yè)數(shù)據(jù)的安全性、實時性和完整性,確保了通過公共網(wǎng)絡傳輸?shù)目煽亢头€(wěn)定。
本技術不同于以往的兩臺電腦遠程桌面訪問的方式,所有的PLC等現(xiàn)場設備的軟件均在本地管理計算機上,而且連接到現(xiàn)場可以是無人值守就可完成。本技術也可以將現(xiàn)場的視頻信號實時傳回,可以做到如同在現(xiàn)場調試一樣,可以在很短的時間里就進行在線的遠程連接和遠程診斷。
本發(fā)明不同于以往的VPN方式,通過基于S-Link和VLAN技術實現(xiàn)PLC程序級的遠程工業(yè)網(wǎng)絡監(jiān)控系統(tǒng),在公共網(wǎng)絡上傳輸工業(yè)數(shù)據(jù)的安全性、完整性、實時性得到了保證。
本發(fā)明還可以通過3G的公共網(wǎng)絡,做到遠程工業(yè)網(wǎng)絡監(jiān)控系統(tǒng)搭建的快速和便利性,只要加上了3G上網(wǎng)通訊模塊,在需要遠程通訊的時候,插上日常用的3G卡,就可以完成和遠程的連接。不管是在設備端,還是在管理計算機端,均可以通過3G進行連接,在3G信號覆蓋區(qū)域即可進行隨時隨地的在線監(jiān)控,做到對系統(tǒng)的實時響應和維護。
由于可編程控制PLC的應用具有相當廣泛性,所以遠程工業(yè)網(wǎng)絡監(jiān)控系統(tǒng)在各種使用可編程控制器PLC的場合,具有相當大的應用空間,如在工程機械、風力發(fā)電、水泥攪拌站、水處理泵站、港口機械、糧站、隧道、灌溉設備、灌裝機、鋁材設備、物流倉庫、油井控制、換熱站供熱采集、水文水資源測報系統(tǒng)、雨情雨量測報系統(tǒng)、環(huán)境監(jiān)測等系統(tǒng)的遠程通訊控制中均可以使用。

版權所有 中華工控網(wǎng) Copyright?2024 Gkong.com, All Rights Reserved