CN102096405A - 基于S-Link和VLAN技术的远程工业网络监控的方法及系统 - Google Patents
基于S-Link和VLAN技术的远程工业网络监控的方法及系统 Download PDFInfo
- Publication number
- CN102096405A CN102096405A CN2011100006837A CN201110000683A CN102096405A CN 102096405 A CN102096405 A CN 102096405A CN 2011100006837 A CN2011100006837 A CN 2011100006837A CN 201110000683 A CN201110000683 A CN 201110000683A CN 102096405 A CN102096405 A CN 102096405A
- Authority
- CN
- China
- Prior art keywords
- vlan
- virtual lan
- link
- lan vlan
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于S-Link和VLAN技术的远程工业网络监控的方法及系统,方法包括S-Link协议和虚拟局域网VLAN,其中:A想把一段明文通过双钥加密的技术发送给B,B有一对公钥和私钥,那么加密解密的过程如下:B将B的公开密钥传送给A;A用B的公开密钥加密A的消息,然后传送给B;B用B的私人密钥解密A的消息;反之,B要将明文发送给A,过程如下:A收到B的明文;A的私钥解密;A的公钥加密;B收到的A明文。系统包括管理计算机、服务器、远程安全通讯模块、3G通讯模块、PLC主站、PLC从站、摄像头、变频器、多功能面板HMI、Internet互联网。
Description
技术领域
本发明所属的技术领域为工业自动化行业的通过internet远程工业控制数据传输,涉及到了一种工业设备中的可编程控制器PLC、智能控制系统PAC、多功能面板HMI、变频器、摄像头、管理计算机、服务器等控制系统中不同的硬件设备和软件通讯的方法及系统。
本方法及系统不同于普通数据的标准方式传输,而是通过S-Link安全加密协议,实现工业数据的完整性和高度安全性,并通过VLAN技术实现数据的实时性。
背景技术
目前,随着中国的装备制造产业的水平提升,以及劳动力紧缺,对于工业设备的智能化要求越来越高,沿海地区的劳动密集型生产性企业也渐渐内迁或者转型为高度自动化的生产。
而高度自动化的生产,对于设备的需求量越来越大,保持设备的稳定运行,对于连续生产的产品品质和生产周期具有相当重要的意义。而对于现场设备的远程在线工业数据实时通讯,对设备进行前瞻性的预诊断和系统参数存档,对于设备的故障及时诊断,保证工业设备的稳定运行具有巨大的意义。由于设备使用方对设备的熟悉程度不如专业的设备制造商,而他们通常不在同地区,随着全球化的发展,甚至远隔万里,因此需要通过公共的网络进行工业数据的传输,不仅仅实现简单的数据对话通讯,为了更好的完成系统的诊断,还需要进行程序级的控制,完成对控制系统中的软件上下载和在线诊断,既可以作为在线系统调试,作为在线监控系统,也可以作为在线故障诊断系统判断设备的故障,将诊断系统故障信息之后,得出的现场设备故障点检查方案,传递到现场的维护电工即可。
该系统将大大节省设备制造商的设备调试和维护成本,并有效地解决了设备的故障响应速度,并提供了大量的历史存储数据作为预警机制和机器改善之用,具有重大的价值。
但所有数据通过了公共网络进行传递,为了避免数据受到公共网络上的病毒攻击,以及恶意的数据篡改,造成工业设备的误动作,产生设备和人员安全的问题,因此,在此过程中,需要确保工业数据传输的安全性,完整性和实时性。
发明内容
本发明的目的是为了解决工业自动化行业中通过internet远程工业控制数据传输的安全性,完整性和实时性,而提供一种通过S-Link安全加密协议,实现工业数据的高度安全性和完整性,并通过VLAN技术实现数据的和实时性,实现工业设备中的可编程控制器PLC、智能控制系统PAC、多功能面板(人机界面)HMI、变频器、上位机等控制系统中不同的硬件设备和软件通讯的通过Internet进行数据传输的有效方法及系统。
实现本发明的方法是:包括数据源主机与目标主机之间的数据包发送与接收,包括S-Link协议和虚拟局域网VLAN,其中:
1、通过S-Link协议实现工业现场总线数据的安全性和完整性。
在Internet的传递中,数据多采用标准的协议,互联网协议(IP,Internet Protocol,网络连接协议)是互联网协议群(Internet Protocol Suite ,IPS)中众多通信协议中的一个,也是其中最重要的一个。但是,IP协议是一个不可靠的传输机制,IP协议不承担在数据源主机和目的主机间建立连接的责任,只负责从数据源主机建立数据包并发送出去的工作,目标主机收到数据报后不需要向发送源主机提交确认信息,IP协议会尽量确保目标主机能够获得发送给它的数据包,但是并不是绝对保证。
在Internet的通信协议中,可靠的数据传输是由TCP协议(Transfer Control Protocol,传输控制协议)来保证的。TCP(Transfer Control Protocol) 是专门设计用于在不可靠的 Internet 上提供可靠的、端到端的字节流通信的协议。 Internet 不同于一个单独的网络,不同部分可能具有不同的拓扑结构、带宽、延迟、分组大小以及其它特性。 TCP 被设计成能动态满足 Internet 的要求,并且足以健壮地面对多种出错。
TCP/IP技术是最常见的一种面向连接的传输方式,但是在安全性方面,由于数据格式为标准格式,所以无法保证其安全性,任何在网络上传输的数据均可以被拦截后解密并可能产生新的伪数据继续传递,从而对工业网络的设备控制器产生错误的指令。
在保证像信息的机密性、真实性、完整性这些必要的信息安全中,公钥加密技术扮演着非常重要的角色。为了增强互联网的安全机制,主要采用防火墙技术、公开密钥加密技术、数据加密技术、数字签名、数字时间戳技术、身份认证和安全协议等。
上述常用的安全技术,由于和工业现场总线的机制不同,对于现场总线的实时性和完整性无法保证,存在打包和解包的协议差异,需要不断重新握手,容易造成通讯丢包,容易造成协议的中断,不适合采用标准的协议进行传输。
S-Link协议正是基于标准协议的不通用性,以及工业现场总线的特殊要求,以协议转换准确和安全性为首要目标的一种非公开密钥方式的专用协议,除了支持标准的TCP/IP协议外,也支持工业实时以太网如西门子的PROFINET,EtherCAT等在互联网上的传输。
如西门子的主要最新一代现场总线PROFINET,是由PROFIBUS国际组织(PROFIBUS International,PI)推出,是新一代基于工业以太网技术的自动化总线标准。作为一项战略性的技术创新,PROFINET为自动化通信领域提供了一个完整的网络解决方案,囊括了诸如实时以太网、运动控制、分布式自动化、故障安全以及网络安全等当前自动化领域的热点话题,并且,作为跨供应商的技术,可以完全兼容工业以太网和现有的现场总线(如PROFIBUS)技术,保护现有投资。作为国际标准IEC61158的重要组成部分,PROFINET是完全开放的协议。
而EtherCAT 是开放的实时以太网络通讯协议,最初由德国倍福自动化有限公司(Beckhoff Automation GmbH) 研发。EtherCAT为系统的实时性能和拓扑的灵活性树立了新的标准,同时,它还符合甚至降低了现场总线的使用成本。EtherCAT的特点还包括高精度设备同步,可选线缆冗余,和功能性安全协议(SIL3)。EtherCAT主张"以太网控制自动化技术" 。 它是一个开放源代码,高性能的系统,目的是利用以太网协议(最惠国待遇系统局域网),在一个工业环境,特别是对工厂和其他制造业的关注,其中利用机器人和其他装备线上的技术。EtherCAT是IEC规范(IEC/PAS 62407)。
S-Link协议基于应用层,是公钥和私钥结合使用的方式进行加密,实现工业以太网的安全加密传输,符合IEC 61748-3标准中的FSCP 12(功能安全通讯设备行规)。
加密和解密是采用不同的密钥(公开密钥),也就是非对称密钥密码系统,每个通信方均需要两个密钥,即公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由双方通讯设备持有。发送方通过使用接收方的公钥对数据进行加密操作,然后数据接收方使用自己的私钥就可以对数据进行解密。接收方通过解密操作就能知道数据是否完整传输,如果能够使用自己的私钥解密数据,说明数据是真实的,否则传输的数据可能在传输过程中被篡改。
本质上私钥加密体制和公钥加密体制的没有任何区别,定义了一个私钥的加密体制以私钥E 加密,公钥D 解密。两个定义的不同在于安全定义的建立中,在一个公钥加密体制中,攻击者或“攻击算法”是给定E,作为附加的输出;这里攻击者没有私钥体制E。
S-Link基于公开密钥的加密过程,两个站点A和B,A想把一段明文通过双钥加密的技术发送给B,B有一对公钥和私钥,那么加密解密的过程如下:
B将B的公开密钥传送给A;
A用B的公开密钥加密A的消息,然后传送给B;
B用B的私人密钥解密A的消息。
反之,B要将明文发送给A,过程如下:
A收到B的明文;
A的私钥解密;
A的公钥加密;
B收到的A明文。
S-Link采用的算法为RSA算法,密钥为128位加密,保证了工业数据的安全。
为了保证数据的完整性,S-Link采用了小包数据分发以及严格的数据校验机制,各个数据包在被确认校验正确后,将组成一个完整的数据包,并且依据工业实时以太网的格式,传递给具有目标IP地址的设备。
S-Link相对于无结构的数据流的TCP/IP 协议,S-Link区分了结构化的数据流,使用数据流符合工业以太网总线的格式,在传输之前就已经进行了规划。
S-Link定义了一个重发机制,采用一种 “带重传功能的肯定确认”的技术作为提供可靠数据传输服务的方式。这项技术要求接收方收到数据之后向源站回送确认信息ACK。发送方对发出的每个分组都保存一份记录,在发送下一个分组之前等待确认信息。发送方还在送出分组的同时启动一个定时器,并在定时器的定时期满而确认信息还没有到达的情况下,重发刚才发出的分组。
为了避免由于网络延迟引起迟到的确认和重复的确认,S-Link协议规定在确认信息中稍带一个分组的序号,使接收方能正确将分组与确认关联起来。
S-Link以此保证了数据的完整性。
2、通过VLAN技术实现工业现场总线数据的实时性
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。和普通的LAN没有物理区别,VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。VLAN是一个在物理网络上根据用途,工作组、应用等来逻辑划分的局域网络,是一个广播域,与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。
远程安全通讯模块采用VLAN技术,主要是抑制网络上的广播风暴,降低网络节点的负载,保证数据的传输通畅和及时性,增加网络的安全性,集中化的管理控制。
为了能够在虚拟局域网中集成不支持VLAN的终端设备和子网,远程安全通讯模块SY-RSCM300担负起增加和删除增加的VLAN信息的职责。
加入一个VLAN所依据的标准是多种多样的,本发明采用的是按端口划分方案加入VLAN。
将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。这种按网络端口来划分VLAN网络成员的配置过程简单明了。
VLAN交换机需了解VLAN的成员关系,即要让交换机知道哪一个工作站属于哪一个VLAN。基于VLAN交换机端口来组建的VLAN,其VLAN成员是以直接的形式与其他成员联系的;
本发明采用了帧标签技术,即在每个数据包都加上一个标签,用来标明数据包属于哪个VLAN,这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。在VLAN TAG的帧中,4个字节中有3位用于表示VLAN的优先级,第一个队列处理最高优先级的数据帧,也就是可以处理工业以太网如PROFINET实时的数据帧,保证工业以太网数据的优先和实时性。
同时,为了提高通讯效率,保证通讯的实时性,还采用了虚连接方式。网络用户A和B第一次通信时,发送地址解析(ARP)广播包,VLAN交换机将学习到的MAC和所连接的VLAN交换机的端口号保存到动态条目MAC地址列表中,当A和B有数据要传时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查动态条目MAC地址列表,得到目的站点所在的VLAN交换机端口,这样两个端口间就建立起一条虚连接,数据包就可从源端口转发到目的端口。数据包一旦转发完毕,虚连接即被撤销。这种方式使带宽资源得到了很好利用,提高了VLAN交换机效率。
VLAN接入链路是用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个VLAN交换机端口的一个LAN网段。它不能承载标记数据。
VLAN中继链路,是指承载标记数据(即具有VLANID标签的数据包)的干线链路,只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备,中继链路是连接两个VLAN交换机的链路。
本发明采用了链路聚合(Trunking)技术,该技术采用VTP(VLANTrunkingProtoco1)协议,即在物理上每台VLAN交换机的多个物理端口是独立的,多条链路是平行的,采用VTP技术处理以后,逻辑上VLAN交换机的多个物理端口为一个逻辑端口,多条物理链路为一条逻辑链路。这样,VLAN交换机上使用生成树协议STP(SpanningTreeProtocol)就不会将物理上的多条平行链路构成的环路中止掉,而且,带有VLAN ID标签的数据流可以在多条链路上同时进行传输共享,实现数据流的高效快速平衡传输。
实现本发明的系统是:包括管理计算机、服务器、远程安全通讯模块、3G通讯模块、PLC主站、PLC从站、摄像头、变频器、多功能面板HMI、Internet互联网,其中管理计算机和服务器经以太网TCP/IP接远程安全通讯模块,该远程安全通讯模块使用S-Link协议通过Internet互联网分别连接远程安全通讯模块、3G通讯模块,其中远程安全通讯模块分别连接摄像头、PLC主站,该PLC主站分别连接PLC从站、变频器,3G通讯模块经远程安全通讯模块分别连接PLC主站、多功能面板HMI。
本发明具有的有益效果:
通过基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统,将现场控制器、人机界面、变频器等控制系统设备和本地的管理计算机实时互连,既可完成工业数据的实时通讯,也可以作为对现场工业控制设备程序级的控制,通过最为便利的互联网实现远程诊断和远程调试,远程监控,极大地降低了设备系统的调试、维护成本。并且通过S-Link和VLAN技术实现了工业数据的安全性、实时性和完整性,确保了通过公共网络传输的可靠和稳定。
不同于以往的两台电脑远程桌面访问的方式,所有的PLC等现场设备的软件均在本地管理计算机上,而且连接到现场可以是无人值守就可完成。本发明也可以将现场的视频信号实时传回,可以做到如同在现场调试一样,可以在很短的时间里就进行在线的远程连接和远程诊断。
不同于以往的VPN方式,通过基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统,在公共网络上传输工业数据的安全性、完整性、实时性得到了保证。
还可以通过3G的公共网络,做到远程工业网络监控系统搭建的快速和便利性,只要加上了3G上网通讯模块,在需要远程通讯的时候,插上日常用的3G卡,就可以完成和远程的连接。不管是在设备端,还是在管理计算机端,均可以通过3G进行连接,在3G信号覆盖区域即可进行随时随地的在线监控,做到对系统的实时响应和维护。
由于可编程控制PLC的应用具有相当广泛性,所以远程工业网络监控系统在各种使用可编程控制器PLC的场合,具有相当大的应用空间,如在工程机械、风力发电、水泥搅拌站、水处理泵站、港口机械、粮站、隧道、灌溉设备、灌装机、铝材设备、物流仓库、油井控制、换热站供热采集、水文水资源测报系统、雨情雨量测报系统、环境监测等系统的远程通讯控制中均可以使用。
附图说明
图1为传统的远程工业网络监控示意图。
图2为本发明的数据发送、加密、解密、接收示意图。
图3-图4为本发明的S-Link基于公开密钥的加密过程示意图,表示两个站点A和B,A想把一段明文通过双钥加密的技术发送给B,B有一对公钥和私钥,其中包括B将B的公开密钥传送给A(图3)和B要将明文发送给A(图4)。
图5为本发明的表示带重传功能的肯定确认协议传输数据的情况示意图。
图6为本发明的表示分组丢失引起超时和重传示意图。
图7为本发明的TAG帧发送示意图。虚线以上的部分是接收交换机的某个端口的帧,其他部分为发送交换机的某个端口的帧;如果只标记TAG的帧和进口过滤,意味着设置了接收到的帧的属性。连接到DTE的端口必须设置不含VLAN TAG,因为一般DTE不能解释带有TAG的帧,即设置为U。交换机到交换机的VLAN连接(主干连接Trunk)必须含有VLAN TAG,即设置M。
图8为本发明的网络组态示意图。
网络组态由远程安全通讯模块A和B组成,且通过各自的WAN口通过Interne相连,1号设备、2好设备分别连接到A的两个LAN口。3号设备、4好设备分别连接到B的两个LAN口。
其中,设置为,1号和3号设备属于VLAN10,2号和4号设备属于VLAN11。组建了不同的VLAN之后,1号和3号设备在同一个虚拟网络内,可以互相Ping通,互相访问,而不能Ping另外VLAN11内的2号或者4号设备。
这样通过VLAN技术,就可以较大幅度的减少网络上的负载,做到远程通讯的最高效化,提高工业通讯所要求的实时性,满足工业网络通讯的需求。
图9为本发明的基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统示意图。
具体实施方式
下面结合附图对本发明作进一步说明:
为实现本发明的基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统,以西门子的最典型的PLC S7-300,最新的S7-1200,多功能面板HMI MP277,变频器,管理计算机,服务器,赛远的远程通讯模块SY-RSCM300,远程安全接入软件SY-RCS为例,通过Internet进行远程安全的工业网络实时通讯,完成程序级的监控系统。
各个元器件的型号和特点如下:
1、PLC S7-300,选用主机S7-315-2DP/ PN,本机上带有PROFINET工业以太网通讯接口和PROFIBUS-DP接口
2、PLC S7-1200,选用最新的S7-1214,本机上带有PROFINET工业以太网通讯接口;
3、多功能面板HMI,选用西门子的MP277,带有PROFINET工业以太网通讯接口;
4、变频器,选用MM440,带有DP通讯模板;
5、管理计算机,选用西门子上位编程器PG,是工业等级的编程电脑,预装有微软的操作系统Windows XP,西门子的PLC编程软件STEP7 V5.4,西门子的HMI软件WinCC Flexible 2008,变频器的驱动控制软件Drive-ES;
6、服务器选用西门子工控机,装有西门子的组态软件WinCC V6.0和域名解析软件,作为域名解析和数据在线监控、存储;
7、赛远远程安全通讯模块SY-RSCM300,具有4个LAN口,具有S-Link内置协议和VLAN功能,防火墙功能,路由交换功能;
8、赛远远程安全接入软件SY-RCS,具有S-Link协议,和SY-RSCM300配套进行远程安全通讯连接,基于Windows XP;
9、3G通讯模块,选用赛远的SY-3G,可以连接三种制式的3G网络;
10、摄像头,选用具有以太网口的SY-CMR,工业等级,具有高分辨率的内置Web Server;
远程工业网络监控系统的方法如下:
1、将每个远程安全通讯模块SY-RSCM300配置动态域名,分配账号以及IP地址,DNS等相关参数。采用C/S模式,在远程PLC端的,作为客户端模式,在中控的管理计算机上,配置为服务器模式;启用S-Link功能,设置使用的密钥系统,收发对应的公钥和私钥系统;启用VLAN功能,设置对应的VLAN端口,指定进入和离开端口时是否过滤帧,指定端口发送帧是否需要VLAN TAG,设置动态IP解析;
2、将S7-300 PLC主站和S7-300 PLC从站之间通过PROFIBUS-DP连接,和变频器MM440也通过PROFIBUS连接;
3、将摄像头SY-CMR和S7-300 PLC主站的IP设置为该SY-RSCM的合法地址段内,通过TCP/IP连接至远程安全通讯模块SY-RSCM300;
4、将该站的远程安全通讯模块SY-RSCM300连接到互联网Internet;
5、将另外一个站的S7-300 PLC、S7-1200 PLC、多功能面板HMI 的IP设置为该SY-RSCM的合法地址段内,通过工业以太网PROFINET连接到远程安全通讯模块SY-RSCM300;
6、将该站的远程安全通讯模块SY-RSCM300,通过3G通讯模块SY-3G连接到互联网Internet,在不便于接有线互联网的工厂和户外,均可以实现方便的通讯;
7、在管理计算机和服务器上安装远程接入软件SY-RCS;
8、将管理计算机和服务器的IP设置为该SY-RSCM的合法地址段内,通过TCP/IP协议连接至远程安全通讯模块SY-RSCM300;
9、将该站的远程安全通讯模块SY-RSCM300连接到互联网Internet;
10、打开管理计算机上的SY-RCS软件,在设置了动态域名和账号密码之后,即可建立和远程设备之间的连接,建立所有设备的VLAN网络;
11、 通过管理计算机上的PLC编程软件STEP7,可以实现对西门子的S7-300 PLC的远程程序上下载,在线监控和程序诊断;
12、通过管理计算机上的HMI编程软件WinCC Flexible,可以实现对西门子的多功能面板 MP277进行远程的程序上下载和诊断,对MP277上的存储介质进行读写参数;
13、通过服务器上的组态软件WinCC,通过内置的S7-300的PLC驱动,可以对远程的S7-300的内部参数进行读写,达到远程数据在线存储和历史记录,并能在线的控制PLC内部的数据区,存储器,输出的开关量和模拟量;
14、通过服务器上的浏览器,键入摄像头的IP地址,首次浏览,下载摄像头驱动安装后,即可看到现场的实时情况;
15、通过计算机上的PLC编程软件STEP7,可以通过远程通道建立连接到S7-300 PLC主站,再通过S7-300 PLC主站的PROFIBUS-DP的路由功能,实现对S7-300 PLC从站的程序上下载、远程通讯和在线诊断;
16、通过计算机上的PLC编程软件STEP7环境,以及嵌入在STEP7里面的DRIVER-ES软件,通过远程通道建立连接到S7-300 PLC主站,再通过S7-300 PLC主站的PROFIBUS-DP的路由功能,实现对变频器MM440的参数在线监控;
17、建立了VLAN网络之后,在远程的多功能面板MP277可以通过远程通道和另外一个远程的S7-300进行通讯,读写参数;
上述步骤就是基于S-Link和VLAN技术实现了PLC程序级的远程工业网络监控系统,具有实时、安全和完整的特点。
Claims (10)
1.一种基于S-Link和VLAN技术的远程工业网络监控的方法,其包括数据源主机与目标主机之间的数据包发送与接收,其特征是包括S-Link协议和虚拟局域网VLAN,其中:
A. S-Link协议基于应用层,是公钥和私钥结合使用的方式进行加密,其加密和解密采用不同的密钥,属非对称密钥密码系统,每个通信方均需要公钥和私钥两个密钥,这两把密钥可以互为加解密,公钥是公开的,不需要保密,而私钥是由双方通讯设备持有,其中发送方通过使用接收方的公钥对数据进行加密操作,然后数据接收方使用自己的私钥就可以对数据进行解密,接收方通过解密操作就能知道数据是否完整传输,如果能够使用自己的私钥解密数据,说明数据是真实的,否则传输的数据可能在传输过程中被篡改;
B. 虚拟局域网VLAN是将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换,其主要应用于交换机和路由器中,但主流应用在交换机之中;
虚拟局域网VLAN是一个在物理网络上根据用途,工作组、应用来逻辑划分的局域网络,是一个广播域;
虚拟局域网VLAN中的网络用户是通过LAN交换机来通信。
2.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法,其特征是所述的S-Link协议还包括基于公开密钥的加密过程,采用的算法为RSA算法,密钥为128位加密,其定义为两个站点A和B,其中A想把一段明文通过双钥加密的技术发送给B,B有一对公钥和私钥,那么加密解密的过程如下:
B将B的公开密钥传送给A;
A用B的公开密钥加密A的消息,然后传送给B;
B用B的私人密钥解密A的消息;
反之,B要将明文发送给A,过程如下:
A收到B的明文;
A的私钥解密;
A的公钥加密;
B收到的A明文。
3.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法,其特征是所述的S-Link协议还包括采用了小包数据分发以及严格的数据校验机制,使各个数据包在被确认校验正确后,将组成一个完整的数据包,并且依据工业实时以太网的格式,传递给具有目标IP地址的设备。
4.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法,其特征是所述的S-Link协议还包括区分了结构化的数据流,使用数据流符合工业以太网总线的格式,在传输之前就已经进行了规划。
5.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法,其特征是所述的S-Link协议还包括定义了一个重发机制,该重发机制采用一种 “带重传功能的肯定确认”作为提供可靠数据传输服务的方式,该方式要求接收方收到数据之后向源站回送确认信息ACK,其中发送方对发出的每个分组都保存一份记录,在发送下一个分组之前等待确认信息,发送方还在送出分组的同时启动一个定时器,并在定时器的定时期满而确认信息还没有到达的情况下,重发刚才发出的分组。
6.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法,其特征是所述的S-Link协议还包括好包括为了避免由于网络延迟引起迟到的确认和重复的确认,S-Link协议规定在确认信息中捎带一个分组的序号,使接收方能正确将分组与确认关联起来。
7.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法,其特征是所述的虚拟局域网VLAN包括按端口划分方案加入虚拟局域网VLAN,包括
a.将虚拟局域网VLAN交换机上的物理端口和虚拟局域网VLAN交换机内部的PVC端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的虚拟局域网VLAN交换机;
b. 虚拟局域网VLAN交换机需了解VLAN的成员关系,即要让交换机知道哪一个工作站属于哪一个虚拟局域网VLAN;
c.基于虚拟局域网VLAN交换机端口来组建的虚拟局域网VLAN,其虚拟局域网VLAN成员是以直接的形式与其他成员联系的。
8.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法,其特征是所述的虚拟局域网VLAN包括
a.帧标签技术,即在每个数据包都加上一个标签,用来标明数据包属于哪个虚拟局域网VLAN,这样,虚拟局域网VLAN交换机就能够将来自不同虚拟局域网VLAN的数据流复用到相同的虚拟局域网VLAN交换机上,其中在虚拟局域网VLAN TAG的帧中,4个字节中有3位用于表示虚拟局域网VLAN的优先级,第一个队列处理最高优先级的数据帧,也就是可以处理工业以太网如PROFINET实时的数据帧,保证工业以太网数据的优先和实时性;
b.虚连接方式,当网络用户A和B第一次通信时,发送地址解析ARP广播包,虚拟局域网VLAN交换机将学习到的MAC和所连接的虚拟局域网VLAN交换机的端口号保存到动态条目MAC地址列表中,当A和B有数据要传时,虚拟局域网VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查动态条目MAC地址列表,得到目的站点所在的虚拟局域网VLAN交换机端口,这样两个端口间就建立起一条虚连接,数据包就可从源端口转发到目的端口,数据包一旦转发完毕,虚连接即被撤销;
c. 虚拟局域网VLAN接入链路,是用来将非虚拟局域网VLAN标识的工作站或者非虚拟局域网VLAN成员资格的虚拟局域网VLAN设备接入一个虚拟局域网VLAN交换机端口的一个虚拟局域网LAN网段;
d. 虚拟局域网VLAN中继链路,是指承载标记数据,即具有虚拟局域网VLANID标签的数据包的干线链路,只能支持那些理解虚拟局域网VLAN帧格式和虚拟局域网VLAN成员资格的虚拟局域网VLAN设备,是连接两个虚拟局域网VLAN交换机的链路;
e.链路聚合(Trunking),采用VTP(VLANTrunkingProtoco1)协议,即在物理上每台虚拟局域网VLAN交换机的多个物理端口是独立的,多条链路是平行的,采用VTP技术处理以后,逻辑上虚拟局域网VLAN交换机的多个物理端口为一个逻辑端口,多条物理链路为一条逻辑链路,这样,虚拟局域网VLAN交换机上使用生成树协议STP(SpanningTreeProtocol)就不会将物理上的多条平行链路构成的环路中止掉,而且,带有虚拟局域网VLAN ID标签的数据流可以在多条链路上同时进行传输共享,实现数据流的高效快速平衡传输。
9.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法,其特征是还包括通过3G的公共网络,加上3G上网通讯模块,插上日常用的3G卡,就可以完成和远程的连接。
10.实现权利要求1的基于S-Link和VLAN技术的远程工业网络监控的系统,其特征是包括管理计算机、服务器、远程安全通讯模块、3G通讯模块、PLC主站、PLC从站、摄像头、变频器、多功能面板HMI、Internet互联网,其中管理计算机和服务器经以太网TCP/IP接远程安全通讯模块,该远程安全通讯模块使用S-Link协议通过Internet互联网分别连接远程安全通讯模块、3G通讯模块,其中远程安全通讯模块分别连接摄像头、PLC主站,该PLC主站分别连接PLC从站、变频器,3G通讯模块经远程安全通讯模块分别连接PLC主站、多功能面板HMI。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110000683 CN102096405B (zh) | 2011-01-05 | 2011-01-05 | 基于S-Link和VLAN技术的远程工业网络监控的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110000683 CN102096405B (zh) | 2011-01-05 | 2011-01-05 | 基于S-Link和VLAN技术的远程工业网络监控的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102096405A true CN102096405A (zh) | 2011-06-15 |
| CN102096405B CN102096405B (zh) | 2013-05-01 |
Family
ID=44129532
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110000683 Active CN102096405B (zh) | 2011-01-05 | 2011-01-05 | 基于S-Link和VLAN技术的远程工业网络监控的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102096405B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102541034A (zh) * | 2012-02-14 | 2012-07-04 | 中国华电工程(集团)有限公司 | 一种沼气发电控制系统 |
| CN102541029A (zh) * | 2012-02-03 | 2012-07-04 | 广东联塑机器制造有限公司 | 一种挤出机生产线实时监控和维护系统及其方法 |
| CN102709949A (zh) * | 2012-06-15 | 2012-10-03 | 中国电力科学研究院 | 一种微电网协调控制系统 |
| CN103401676A (zh) * | 2013-07-16 | 2013-11-20 | 中国人民解放军海军工程大学 | 基于二维码的物流业个人信息隐私保护系统和方法 |
| CN104076792A (zh) * | 2014-07-04 | 2014-10-01 | 无锡市艾克特电气有限公司 | 一种基于互联网的变频器远程监控系统 |
| WO2015057587A1 (en) * | 2013-10-15 | 2015-04-23 | National Instruments Corporation | System and method for interoperability between multiple networks |
| US9137044B2 (en) | 2013-10-15 | 2015-09-15 | National Instruments Corporation | System and method for interoperability between multiple networks |
| CN105227494A (zh) * | 2015-10-28 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于以太网交换机的数据安全交互方法及装置 |
| CN105302055A (zh) * | 2015-11-09 | 2016-02-03 | 北京工业大学 | 一种工业控制系统中可编程逻辑控制器的安全监控系统及方法 |
| CN105812100A (zh) * | 2014-12-31 | 2016-07-27 | 同方威视技术股份有限公司 | 用于可编程逻辑控制器和个人计算机进行实时通信的方法 |
| CN105955107A (zh) * | 2016-05-05 | 2016-09-21 | 深圳市芭田生态工程股份有限公司 | 一种复合肥监控与生产控制系统 |
| CN107171804A (zh) * | 2017-05-16 | 2017-09-15 | 歌尔科技有限公司 | 一种数据传输方法 |
| CN107291055A (zh) * | 2016-04-13 | 2017-10-24 | 洛克威尔自动控制技术股份有限公司 | 装置专用加密内容保护 |
| CN107463195A (zh) * | 2017-08-02 | 2017-12-12 | 南阳师范学院 | 基于自定义web页面的养殖场环境远程监控系统 |
| CN107479524A (zh) * | 2017-10-09 | 2017-12-15 | 天津科技大学 | 一种加密型Profinet通讯模式的智能风电场SCADA系统 |
| CN109101059A (zh) * | 2018-08-22 | 2018-12-28 | 河南纤原网络科技集团有限公司 | 一种粮仓信息化管理系统 |
| CN110231798A (zh) * | 2019-05-21 | 2019-09-13 | 上海航天设备制造总厂有限公司 | 人机交互界面与可编程逻辑控制器的通讯交互应答机制 |
| CN110546585A (zh) * | 2017-03-17 | 2019-12-06 | 伊顿智能动力有限公司 | 分布式逻辑控制装置 |
| CN112671783A (zh) * | 2020-12-28 | 2021-04-16 | 上海自恒信息科技有限公司 | 一种基于vlan用户组的防主机ip扫描方法 |
| CN114760284A (zh) * | 2022-03-17 | 2022-07-15 | 厚普清洁能源股份有限公司 | 防爆控制柜、无人值守点供气化站远程控制系统及方法 |
| CN115987688A (zh) * | 2023-03-20 | 2023-04-18 | 北京网藤科技有限公司 | 一种保障plc和上位机之间安全通信的方法及系统 |
| CN116418624A (zh) * | 2023-02-24 | 2023-07-11 | 埃尔利德(广东)智能科技有限公司 | 基于主从控制的工业设备通信系统及通信方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108696375B (zh) * | 2017-04-10 | 2021-10-19 | 西门子公司 | 工业网络信息获取装置、方法、监控系统及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262341A (zh) * | 2008-02-22 | 2008-09-10 | 北京航空航天大学 | 一种会务系统中混合加密方法 |
| CN101860861A (zh) * | 2010-05-10 | 2010-10-13 | 北京科技大学 | 基于分层结构的认知无线电网络的实体认证系统及其方法 |
-
2011
- 2011-01-05 CN CN 201110000683 patent/CN102096405B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262341A (zh) * | 2008-02-22 | 2008-09-10 | 北京航空航天大学 | 一种会务系统中混合加密方法 |
| CN101860861A (zh) * | 2010-05-10 | 2010-10-13 | 北京科技大学 | 基于分层结构的认知无线电网络的实体认证系统及其方法 |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102541029A (zh) * | 2012-02-03 | 2012-07-04 | 广东联塑机器制造有限公司 | 一种挤出机生产线实时监控和维护系统及其方法 |
| CN102541034A (zh) * | 2012-02-14 | 2012-07-04 | 中国华电工程(集团)有限公司 | 一种沼气发电控制系统 |
| CN102709949A (zh) * | 2012-06-15 | 2012-10-03 | 中国电力科学研究院 | 一种微电网协调控制系统 |
| CN103401676B (zh) * | 2013-07-16 | 2016-06-29 | 中国人民解放军海军工程大学 | 基于二维码的物流业个人信息隐私保护系统的方法 |
| CN103401676A (zh) * | 2013-07-16 | 2013-11-20 | 中国人民解放军海军工程大学 | 基于二维码的物流业个人信息隐私保护系统和方法 |
| US9137044B2 (en) | 2013-10-15 | 2015-09-15 | National Instruments Corporation | System and method for interoperability between multiple networks |
| US10164793B2 (en) | 2013-10-15 | 2018-12-25 | National Instruments Corporation | System and method for interoperability between multiple networks |
| US10091027B2 (en) | 2013-10-15 | 2018-10-02 | National Instruments Corporation | Systems and methods for network interoperability |
| US9313235B2 (en) | 2013-10-15 | 2016-04-12 | National Instruments Corporation | Systems and methods for network interoperability |
| WO2015057587A1 (en) * | 2013-10-15 | 2015-04-23 | National Instruments Corporation | System and method for interoperability between multiple networks |
| CN104076792A (zh) * | 2014-07-04 | 2014-10-01 | 无锡市艾克特电气有限公司 | 一种基于互联网的变频器远程监控系统 |
| CN105812100A (zh) * | 2014-12-31 | 2016-07-27 | 同方威视技术股份有限公司 | 用于可编程逻辑控制器和个人计算机进行实时通信的方法 |
| CN105227494A (zh) * | 2015-10-28 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于以太网交换机的数据安全交互方法及装置 |
| CN105227494B (zh) * | 2015-10-28 | 2018-11-27 | 成都卫士通信息产业股份有限公司 | 一种基于以太网交换机的数据安全交互方法及装置 |
| CN105302055A (zh) * | 2015-11-09 | 2016-02-03 | 北京工业大学 | 一种工业控制系统中可编程逻辑控制器的安全监控系统及方法 |
| CN105302055B (zh) * | 2015-11-09 | 2018-08-14 | 北京工业大学 | 一种工业控制系统中可编程逻辑控制器的安全监控系统及方法 |
| CN107291055A (zh) * | 2016-04-13 | 2017-10-24 | 洛克威尔自动控制技术股份有限公司 | 装置专用加密内容保护 |
| CN105955107A (zh) * | 2016-05-05 | 2016-09-21 | 深圳市芭田生态工程股份有限公司 | 一种复合肥监控与生产控制系统 |
| CN110546585A (zh) * | 2017-03-17 | 2019-12-06 | 伊顿智能动力有限公司 | 分布式逻辑控制装置 |
| CN110546585B (zh) * | 2017-03-17 | 2023-04-28 | 伊顿智能动力有限公司 | 分布式逻辑控制装置 |
| CN107171804B (zh) * | 2017-05-16 | 2019-12-03 | 歌尔科技有限公司 | 一种数据传输方法 |
| CN107171804A (zh) * | 2017-05-16 | 2017-09-15 | 歌尔科技有限公司 | 一种数据传输方法 |
| CN107463195A (zh) * | 2017-08-02 | 2017-12-12 | 南阳师范学院 | 基于自定义web页面的养殖场环境远程监控系统 |
| CN107463195B (zh) * | 2017-08-02 | 2023-08-15 | 南阳师范学院 | 基于自定义web页面的养殖场环境远程监控系统 |
| CN107479524A (zh) * | 2017-10-09 | 2017-12-15 | 天津科技大学 | 一种加密型Profinet通讯模式的智能风电场SCADA系统 |
| CN109101059A (zh) * | 2018-08-22 | 2018-12-28 | 河南纤原网络科技集团有限公司 | 一种粮仓信息化管理系统 |
| CN110231798A (zh) * | 2019-05-21 | 2019-09-13 | 上海航天设备制造总厂有限公司 | 人机交互界面与可编程逻辑控制器的通讯交互应答机制 |
| CN112671783A (zh) * | 2020-12-28 | 2021-04-16 | 上海自恒信息科技有限公司 | 一种基于vlan用户组的防主机ip扫描方法 |
| CN114760284A (zh) * | 2022-03-17 | 2022-07-15 | 厚普清洁能源股份有限公司 | 防爆控制柜、无人值守点供气化站远程控制系统及方法 |
| CN116418624A (zh) * | 2023-02-24 | 2023-07-11 | 埃尔利德(广东)智能科技有限公司 | 基于主从控制的工业设备通信系统及通信方法 |
| CN116418624B (zh) * | 2023-02-24 | 2023-11-03 | 埃尔利德(广东)智能科技有限公司 | 基于主从控制的工业设备通信系统及通信方法 |
| CN115987688A (zh) * | 2023-03-20 | 2023-04-18 | 北京网藤科技有限公司 | 一种保障plc和上位机之间安全通信的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102096405B (zh) | 2013-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102096405B (zh) | 基于S-Link和VLAN技术的远程工业网络监控的方法及系统 | |
| CN202331135U (zh) | 基于S-Link和VLAN技术的远程工业网络监控的系统 | |
| US11700232B2 (en) | Publishing data across a data diode for secured process control communications | |
| CN107976973B (zh) | 安全的过程控制通信 | |
| CN107976972B (zh) | 安全的过程控制通信 | |
| US11012256B2 (en) | Connection unit, monitoring system and method for operating an automation system | |
| Galloway et al. | Introduction to industrial control networks | |
| Jung et al. | Integrating building automation systems and ipv6 in the internet of things | |
| CN107294711A (zh) | 一种基于vxlan技术的电力信息内网报文加密发布方法 | |
| CN102130947A (zh) | 基于3g和云计算技术的远程监控维护的方法及系统 | |
| CN101129035A (zh) | 通信装置、通信系统、通信方法以及程序 | |
| CN105827665A (zh) | 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 | |
| CN202276365U (zh) | 基于3g和云计算技术的远程监控维护的系统 | |
| CN101843033A (zh) | 针对自动化网络的实时通信安全性 | |
| US20200220846A1 (en) | Automation and/or Communications Appliance and Method for Checking Datagrams Transmitted in An Industrial Automation System | |
| CN109450928B (zh) | 一种基于UDP和Modbus TCP的跨云端数据透传方法及系统 | |
| CN110958224A (zh) | 远程串口调试系统及方法 | |
| CN103095673A (zh) | 用于传输与安全有关的数据的方法和总线设备 | |
| CN112955296A (zh) | 一种基于边缘计算的注塑机控制方法及系统 | |
| CN109167768B (zh) | 一种工业物联网中工业现场数据远程访问与防篡改系统 | |
| CN110266652A (zh) | 一种智能家居安全系统 | |
| Petkov et al. | Overview of industrial communication in process automation | |
| WO2005060168A1 (ja) | 通信制御システム | |
| CN107995086A (zh) | 一种基于vpdn和ipsec的智能制造物联中业务数据加密传输的方法 | |
| JP2006196996A (ja) | 通信システム及び通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |