近日,赛远自动化的基于S-Link和VLAN技术的远程工业网络监控的方法及系统(专利号:ZL 201110000683.7)正式获得国家发明专利证书。
一种基于S-Link和VLAN技术的远程工业网络监控的方法及系统,方法包括S-Link协议和虚拟局域网VLAN,其中:A想把一段明文通过双钥加密的技术发送给B,B有一对公钥和私钥,那么加密解密的过程如下:B将B的公开密钥传送给A;A用B的公开密钥加密A的消息,然后传送给B;B用B的私人密钥解密A的消息;反之,B要将明文发送给A,过程如下:A收到B的明文;A的私钥解密;A的公钥加密;B收到的A明文。系统包括管理计算机、服务器、远程安全通讯模块、3G通讯模块、PLC主站、PLC从站、摄像头、变频器、多功能面板HMI、Internet互联网。
1、通过S-Link 协议实现工业现场总线数据的安全性和完整性
在Internet的传递中,数据多采用标准的协议,互联网协议(IP,Internet Protocol,网络连接协议)是互联网协议群(Internet Protocol Suite ,IPS)中众多通信协议中的一个,也是其中最重要的一个。但是,IP协议是一个不可靠的传输机制,IP 协议不承担在数据源主机和目的主机间建立连接的责任,只负责从数据源主机建立数据报并发送出去的工作,目标主机收到数据报后不需要向发送源主机提交确认信息, IP 协议会尽量确保目标主机能够获得发送给它的数据报,但是并不是绝对保证。
在Internet的通信协议中,可靠的数据传输是由TCP协议(Transfer Control Protocol,传输控制协议)来保证的。TCP(Transfer Control Protocol) 是专门设计用于在不可靠的 Internet 上提供可靠的、端到端的字节流通信的协议。 Internet 不同于一个单独的网络,不同部分可能具有不同的拓扑结构、带宽、延迟、分组大小以及其它特性。 TCP 被设计成能动态满足 Internet 的要求,并且足以健壮地面对多种出错。
TCP/IP技术是最常见的一种面向连接的传输方式,但是在安全性方面,由于数据格式为标准格式,所以无法保证其安全性,任何在网络上传输的数据均可以被拦截后解密并可能产生新的伪数据继续传递,从而对工业网络的设备控制器产生错误的指令。
在保证像信息的机密性、真实性、完整性这些必要的信息安全中,公钥加密技术扮演着非常重要的角色。为了增强互联网的安全机制,主要采用防火墙技术、公开密钥加密技术、数据加密技术、数字签名、数字时间戳技术、身份认证和安全协议等。
上述常用的安全技术,由于和工业现场总线的机制不同,对于现场总线的实时性和完整性无法保证,存在打包和解包的协议差异,需要不断重新握手,容易造成通讯丢包,容易造成协议的中断,不适合采用标准的协议进行传输。
S-Link协议正是基于标准协议的不通用性,以及工业现场总线的特殊要求,以协议转换准确和安全性为首要目标的一种非公开密钥方式的专用协议,除了支持标准的TCP/IP协议外,也支持工业实时以太网如西门子的PROFINET,EtherCAT等在互联网上的传输。
如西门子的主要最新一代现场总线PROFINET,是由PROFIBUS国际组织(PROFIBUS International,PI)推出,是新一代基于工业以太网技术的自动化总线标准。作为一项战略性的技术创新,PROFINET为自动化通信领域提供了一个完整的网络解决方案,囊括了诸如实时以太网、运动控制、分布式自动化、故障安全以及网络安全等当前自动化领域的热点话题,并且,作为跨供应商的技术,可以完全兼容工业以太网和现有的现场总线(如PROFIBUS)技术,保护现有投资。作为国际标准 IEC61158 的重要组成部分, PROFINET 是完全开放的协议。
而 EtherCAT 是开放的实时以太网络通讯协议,最初由德国倍福自动化有限公司 (Beckhoff Automation GmbH) 研发。 EtherCAT 为系统的实时性能和拓扑的灵活性树立了新的标准,同时,它还符合甚至降低了现场总线的使用成本。 EtherCAT 的特点还包括高精度设备同步,可选线缆冗余,和功能性安全协议 (SIL3) 。 EtherCAT 主张 " 以太网控制自动化技术 " 。 它是一个开放源代码,高性能的系统,目的是利用以太网协议(最惠国待遇系统局域网),在一个工业环境,特别是对工厂和其他制造业的关注,其中利用机器人和其他装备线上的技术。 EtherCAT 是 IEC 规范 (IEC/PAS 62407) 。
S-Link 协议基于应用层,是公钥和私钥结合使用的方式进行加密,实现工业以太网的安全加密传输,符合 IEC 61748-3 标准中的 FSCP 12 (功能安全通讯设备行规)。
加密和解密是采用不同的密钥(公开密钥),也就是非对称密钥密码系统,每个通信方均需要两个密钥,即公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由双方通讯设备持有。 发送方通过使用接收方的公钥对数据进行加密操作,然后数据接收方使用自己的私钥就可以对数据进行解密。接收方通过解密操作就能知道数据是否完整传输,如果能够使用自己的私钥解密数据,说明数据是真实的,否则传输的数据可能在传输过程中被篡改。
本质上私钥加密体制和公钥加密体制的没有任何区别,定义了一个私钥的加密体制以私钥 E 加密,公钥 D 解密。两个定义的不同在于安全定义的建立中,在一个公钥加密体制中,攻击者或“攻击算法”是给定 E ,作为附加的输出;这里攻击者没有私钥体制 E 。
S-Link基于公开密钥的加密过程,两个站点A和B,A想把一段明文通过双钥加密的技术发送给B,B有一对公钥和私钥,那么加密解密的过程如下:
B将B的公开密钥传送给A;
A用B的公开密钥加密A的消息,然后传送给B;
B用B的私人密钥解密A的消息。
反之,B要将明文发送给A,过程如下:
S-Link采用的算法为RSA算法,密钥为128位加密,保证了工业数据的安全。
为了保证数据的完整性,S-Link采用了小包数据分发以及严格的数据校验机制,各个数据包在被确认校验正确后,将组成一个完整的数据包,并且依据工业实时以太网的格式,传递给具有目标IP地址的设备。
S-Link相对于无结构的数据流的TCP/IP 协议,S-Link区分了结构化的数据流,使用数据流符合工业以太网总线的格式,在传输之前就已经进行了规划。
S-Link定义了一个重发机制,采用一种 “带重传功能的肯定确认”的技术作为提供可靠数据传输服务的方式。这项技术要求接收方收到数据之后向源站回送确认信息ACK。发送方对发出的每个分组都保存一份记录,在发送下一个分组之前等待确认信息。发送方还在送出分组的同时启动一个定时器,并在定时器的定时期满而确认信息还没有到达的情况下,重发刚才发出的分组。
(此处省去数千字......)
本发明具有的优点是,通过基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统,将现场控制器、人机界面、变频器等控制系统设备和本地的管理计算机实时互连,既可完成工业数据的实时通讯,也可以作为对现场工业控制设备程序级的控制,通过最为便利的互联网实现远程诊断和远程调试,远程监控,极大地降低了设备系统的调试、维护成本。并且通过S-Link和VLAN技术实现了工业数据的安全性、实时性和完整性,确保了通过公共网络传输的可靠和稳定。
本技术不同于以往的两台电脑远程桌面访问的方式,所有的PLC等现场设备的软件均在本地管理计算机上,而且连接到现场可以是无人值守就可完成。本技术也可以将现场的视频信号实时传回,可以做到如同在现场调试一样,可以在很短的时间里就进行在线的远程连接和远程诊断。
本发明不同于以往的VPN方式,通过基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统,在公共网络上传输工业数据的安全性、完整性、实时性得到了保证。
本发明还可以通过3G的公共网络,做到远程工业网络监控系统搭建的快速和便利性,只要加上了3G上网通讯模块,在需要远程通讯的时候,插上日常用的3G卡,就可以完成和远程的连接。不管是在设备端,还是在管理计算机端,均可以通过3G进行连接,在3G信号覆盖区域即可进行随时随地的在线监控,做到对系统的实时响应和维护。
由于可编程控制PLC的应用具有相当广泛性,所以远程工业网络监控系统在各种使用可编程控制器PLC的场合,具有相当大的应用空间,如在工程机械、风力发电、水泥搅拌站、水处理泵站、港口机械、粮站、隧道、灌溉设备、灌装机、铝材设备、物流仓库、油井控制、换热站供热采集、水文水资源测报系统、雨情雨量测报系统、环境监测等系统的远程通讯控制中均可以使用。