近日,賽遠自動化的基于S-Link和VLAN技術的遠程工業網絡監控的方法及系統(專利號:ZL 201110000683.7)正式獲得國家發明專利證書。
一種基于S-Link和VLAN技術的遠程工業網絡監控的方法及系統,方法包括S-Link協議和虛擬局域網VLAN,其中:A想把一段明文通過雙鑰加密的技術發送給B,B有一對公鑰和私鑰,那么加密解密的過程如下:B將B的公開密鑰傳送給A;A用B的公開密鑰加密A的消息,然后傳送給B;B用B的私人密鑰解密A的消息;反之,B要將明文發送給A,過程如下:A收到B的明文;A的私鑰解密;A的公鑰加密;B收到的A明文。系統包括管理計算機、服務器、遠程安全通訊模塊、3G通訊模塊、PLC主站、PLC從站、攝像頭、變頻器、多功能面板HMI、Internet互聯網。
1、通過S-Link 協議實現工業現場總線數據的安全性和完整性
在Internet的傳遞中,數據多采用標準的協議,互聯網協議(IP,Internet Protocol,網絡連接協議)是互聯網協議群(Internet Protocol Suite ,IPS)中眾多通信協議中的一個,也是其中最重要的一個。但是,IP協議是一個不可靠的傳輸機制,IP 協議不承擔在數據源主機和目的主機間建立連接的責任,只負責從數據源主機建立數據報并發送出去的工作,目標主機收到數據報后不需要向發送源主機提交確認信息, IP 協議會盡量確保目標主機能夠獲得發送給它的數據報,但是并不是絕對保證。
在Internet的通信協議中,可靠的數據傳輸是由TCP協議(Transfer Control Protocol,傳輸控制協議)來保證的。TCP(Transfer Control Protocol) 是專門設計用于在不可靠的 Internet 上提供可靠的、端到端的字節流通信的協議。 Internet 不同于一個單獨的網絡,不同部分可能具有不同的拓撲結構、帶寬、延遲、分組大小以及其它特性。 TCP 被設計成能動態滿足 Internet 的要求,并且足以健壯地面對多種出錯。
TCP/IP技術是最常見的一種面向連接的傳輸方式,但是在安全性方面,由于數據格式為標準格式,所以無法保證其安全性,任何在網絡上傳輸的數據均可以被攔截后解密并可能產生新的偽數據繼續傳遞,從而對工業網絡的設備控制器產生錯誤的指令。
在保證像信息的機密性、真實性、完整性這些必要的信息安全中,公鑰加密技術扮演著非常重要的角色。為了增強互聯網的安全機制,主要采用防火墻技術、公開密鑰加密技術、數據加密技術、數字簽名、數字時間戳技術、身份認證和安全協議等。
上述常用的安全技術,由于和工業現場總線的機制不同,對于現場總線的實時性和完整性無法保證,存在打包和解包的協議差異,需要不斷重新握手,容易造成通訊丟包,容易造成協議的中斷,不適合采用標準的協議進行傳輸。
S-Link協議正是基于標準協議的不通用性,以及工業現場總線的特殊要求,以協議轉換準確和安全性為首要目標的一種非公開密鑰方式的專用協議,除了支持標準的TCP/IP協議外,也支持工業實時以太網如西門子的PROFINET,EtherCAT等在互聯網上的傳輸。
如西門子的主要最新一代現場總線PROFINET,是由PROFIBUS國際組織(PROFIBUS International,PI)推出,是新一代基于工業以太網技術的自動化總線標準。作為一項戰略性的技術創新,PROFINET為自動化通信領域提供了一個完整的網絡解決方案,囊括了諸如實時以太網、運動控制、分布式自動化、故障安全以及網絡安全等當前自動化領域的熱點話題,并且,作為跨供應商的技術,可以完全兼容工業以太網和現有的現場總線(如PROFIBUS)技術,保護現有投資。作為國際標準 IEC61158 的重要組成部分, PROFINET 是完全開放的協議。
而 EtherCAT 是開放的實時以太網絡通訊協議,最初由德國倍福自動化有限公司 (Beckhoff Automation GmbH) 研發。 EtherCAT 為系統的實時性能和拓撲的靈活性樹立了新的標準,同時,它還符合甚至降低了現場總線的使用成本。 EtherCAT 的特點還包括高精度設備同步,可選線纜冗余,和功能性安全協議 (SIL3) 。 EtherCAT 主張 " 以太網控制自動化技術 " 。 它是一個開放源代碼,高性能的系統,目的是利用以太網協議(最惠國待遇系統局域網),在一個工業環境,特別是對工廠和其他制造業的關注,其中利用機器人和其他裝備線上的技術。 EtherCAT 是 IEC 規范 (IEC/PAS 62407) 。
S-Link 協議基于應用層,是公鑰和私鑰結合使用的方式進行加密,實現工業以太網的安全加密傳輸,符合 IEC 61748-3 標準中的 FSCP 12 (功能安全通訊設備行規)。
加密和解密是采用不同的密鑰(公開密鑰),也就是非對稱密鑰密碼系統,每個通信方均需要兩個密鑰,即公鑰和私鑰,這兩把密鑰可以互為加解密。公鑰是公開的,不需要保密,而私鑰是由雙方通訊設備持有。 發送方通過使用接收方的公鑰對數據進行加密操作,然后數據接收方使用自己的私鑰就可以對數據進行解密。接收方通過解密操作就能知道數據是否完整傳輸,如果能夠使用自己的私鑰解密數據,說明數據是真實的,否則傳輸的數據可能在傳輸過程中被篡改。
本質上私鑰加密體制和公鑰加密體制的沒有任何區別,定義了一個私鑰的加密體制以私鑰 E 加密,公鑰 D 解密。兩個定義的不同在于安全定義的建立中,在一個公鑰加密體制中,攻擊者或“攻擊算法”是給定 E ,作為附加的輸出;這里攻擊者沒有私鑰體制 E 。
S-Link基于公開密鑰的加密過程,兩個站點A和B,A想把一段明文通過雙鑰加密的技術發送給B,B有一對公鑰和私鑰,那么加密解密的過程如下:
B將B的公開密鑰傳送給A;
A用B的公開密鑰加密A的消息,然后傳送給B;
B用B的私人密鑰解密A的消息。
反之,B要將明文發送給A,過程如下:
S-Link采用的算法為RSA算法,密鑰為128位加密,保證了工業數據的安全。
為了保證數據的完整性,S-Link采用了小包數據分發以及嚴格的數據校驗機制,各個數據包在被確認校驗正確后,將組成一個完整的數據包,并且依據工業實時以太網的格式,傳遞給具有目標IP地址的設備。
S-Link相對于無結構的數據流的TCP/IP 協議,S-Link區分了結構化的數據流,使用數據流符合工業以太網總線的格式,在傳輸之前就已經進行了規劃。
S-Link定義了一個重發機制,采用一種 “帶重傳功能的肯定確認”的技術作為提供可靠數據傳輸服務的方式。這項技術要求接收方收到數據之后向源站回送確認信息ACK。發送方對發出的每個分組都保存一份記錄,在發送下一個分組之前等待確認信息。發送方還在送出分組的同時啟動一個定時器,并在定時器的定時期滿而確認信息還沒有到達的情況下,重發剛才發出的分組。
(此處省去數千字......)
本發明具有的優點是,通過基于S-Link和VLAN技術實現PLC程序級的遠程工業網絡監控系統,將現場控制器、人機界面、變頻器等控制系統設備和本地的管理計算機實時互連,既可完成工業數據的實時通訊,也可以作為對現場工業控制設備程序級的控制,通過最為便利的互聯網實現遠程診斷和遠程調試,遠程監控,極大地降低了設備系統的調試、維護成本。并且通過S-Link和VLAN技術實現了工業數據的安全性、實時性和完整性,確保了通過公共網絡傳輸的可靠和穩定。
