(2)在受保护的自动化单元中进行分段。远程通讯模块具有防火墙功能,用于保护网络节点。一组受保护的设备构成一个受保护的自动化单元,只有来自同一组的安全通讯模块或它们正在保护的设备才可互相交换数据;
(3)节点的认证(标识),使用认证过程在安全(加密)通道上互相标识,因此,未经授权的实体无法访问受保护的网段;
(4)对数据通讯进行加密,通过对数据通讯进行加密来确保数据的机密性,为每个安全通讯模块提供一个包含加密密钥的vlan 证书。
本系统采用的s-link网络安全传输协议,是数据安全的最重要的一个环节,s-link通过软件的高级加密形式,对ip报文封装,以实现tcp/ip网络上数据的安全传送。s-link属于osi模型的第三层协议即网络层,相对第二层协议,提供了认证、加密,包括对控制报文和传输中的数据加密,是一种完整的安全解决方案[4]。s-link安全体系结构如图7所示。
图7 s-link安全体系结构
s-link安全体系结构综合了密码技术和协议安全机制,s-link协议的设计目标是在ipv4环境中为网络层流量提供灵活的安全服务。其提供的安全服务包括:访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。s-link协议主要内容包括:协议框架-rfc2401;安全协议:ah协议-rfc2402、esp协议-rfc2406。
两种协议ah和esp的数据封装格式如图8所示。
图8 s-link传输模式下的ah、esp数据封装格式
4 结束语
本实验室平台自搭建以来,已经开放给了校外学生使用,一直稳定运行,收到了诸多学生以及来校参观者的好评,而本实验室采用的安全通讯技术的专利系统也即将参加第十二届国际高新技术产品交易会,届时将通过3g网络,现场演示访问西门子的plc操作。
在实验室的搭建过程中,对于西门子的自动化产品,一直是以稳定著称,而且在通讯方面十分的方便,用户无需高深的计算机水平,即可完成通讯。搭建过程中,为了建立虚拟通道而专门开发的s-link,是赛远为了增强安全性而特殊定制的,这个是本系统的最难的地方。在工业网络通讯方面,西门子提倡的是一网到底,profinet取代profibus也是大势所趋,综合来说,欧美的产品通讯能力强过日系的品牌,赛远的通讯接入模块和软件则是西门子的产品的一个有益补充。现在的设备或者系统安装在用户,作为本实验室所采用的远程技术,也一样可以用于设备或系统的远程在线访问和调试,对于传统的售后服务方式来说,节省时间、人力成本,减少停机时间,提高快速响应能力,预先的投入将发挥出巨大的效益。
