基于互聯(lián)網(wǎng)的觸摸屏數據庫遠程監控系統

0 引言

網(wǎng)絡(luò )通信技術(shù)已經(jīng)改變了人們的生活，同時(shí)也正在改變工業(yè)自動(dòng)化的方方面面。因此，中國電器工業(yè)協(xié)會(huì )通用低壓電器分會(huì )在《低壓電器新產(chǎn)品發(fā)展總體思路》中明確提出：全面實(shí)現低壓電器主要產(chǎn)品網(wǎng)絡(luò )化、智能化、可通信化。要求我國第3 代低壓電器主要產(chǎn)品、第4 代低壓電器，全部實(shí)現網(wǎng)絡(luò )化、智能化、可通信，能與多種現場(chǎng)總線(xiàn)連接，也可直接與工業(yè)以太網(wǎng)連接。鑒于此，近年來(lái)，基于現場(chǎng)總線(xiàn)、以太網(wǎng)和互聯(lián)網(wǎng)( Internet)技術(shù)的可編程控制器( Programmable LogicController,PLC)、觸摸屏( Human Machine Interface,HMI)、變頻器、智能開(kāi)關(guān)等各類(lèi)智能低壓電器得到了長(cháng)足發(fā)展，在智能電網(wǎng)、樓宇智能化、工業(yè)遠程監控等方面得到廣泛應用。低壓電器產(chǎn)品網(wǎng)絡(luò )化、智能化的發(fā)展大趨勢，也對智能化、網(wǎng)絡(luò )化、實(shí)時(shí)化的信息交互和監控系統提出了新的、更高的要求。

低壓電器信息交互和監控系統可通過(guò)無(wú)處不在的Internet,進(jìn)行遠程的數據傳輸和控制，十分方便。但因網(wǎng)絡(luò )的實(shí)時(shí)性較差，傳輸控制信息和數據需建立虛擬局域通道(Virtual Local Area Network,VLAN);加之傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議( Transmission Control Protocol /Internet Protocol,TCP /IP)的廣泛使用和IP 安全的脆弱性，增加了互聯(lián)網(wǎng)傳輸的不安全因素。而智能低壓電器與遠程主機之間的通信數據都是十分重要的生產(chǎn)信息和控制數據，其安全性和實(shí)時(shí)性要求極高，因此，一般的網(wǎng)絡(luò )傳輸無(wú)法滿(mǎn)足工業(yè)要求。

本文以基于Internet 的觸摸屏的數據庫遠程監控系統為例，介紹一種采用遠程安全通信模塊SY-RSCM,從而便捷、可靠地構建基于互聯(lián)網(wǎng)的智能電器遠程數據交互系統的解決方案。

1 配方生產(chǎn)線(xiàn)數據庫遠程監控系統

在飲料、食品、聚氯乙烯片材等行業(yè)，需按產(chǎn)品的不同配方自動(dòng)配置原料并組織生產(chǎn)，該類(lèi)自動(dòng)配方生產(chǎn)線(xiàn)一般由HMI、PLC 和繼電器等低壓電器構成。配方信息是企業(yè)核心競爭力，需集中管理和統一配置，如可口可樂(lè )配方，一直是世界級的秘密，其生產(chǎn)過(guò)程中的配方信息對生產(chǎn)者也是保密的。這類(lèi)企業(yè)大多為跨地區、跨國界的大型企業(yè)，因此，迫切需要在安全、保密的前提下，可在公司總部對世界各地的生產(chǎn)廠(chǎng)實(shí)時(shí)進(jìn)行配方的下傳、存儲、調用、修改和生產(chǎn)線(xiàn)監控。為此，本課題開(kāi)發(fā)了基于Internet 和MT8000 型HMI 的配方數據庫遠程監控系統。

2 通過(guò)Internet 訪(fǎng)問(wèn)HMI 的系統架構

配方數據庫遠程監控系統的網(wǎng)絡(luò )拓撲采用課題組開(kāi)發(fā)的S-link 網(wǎng)絡(luò )協(xié)議，對工業(yè)數據安全加密后，通過(guò)Internet 進(jìn)行協(xié)議上的轉發(fā)，實(shí)現PC機與遠程HMI 的數據庫進(jìn)行安全數據交換的功能，也可實(shí)現對電氣控制系統的遠程監控和在線(xiàn)診斷，如圖1 所示。

圖1 配方數據庫遠程監控系統網(wǎng)絡(luò )拓撲結構

在生產(chǎn)現場(chǎng)配置的遠程安全通信模塊SYRSCM,具有交換、路由、防火墻、安全網(wǎng)關(guān)和VLAN 等功能，可以實(shí)現100 Mb /s 的工業(yè)數據網(wǎng)絡(luò )傳輸。系統通過(guò)互聯(lián)網(wǎng)，建立起計算機與遠程觸摸屏MT8000、PLC 之間的虛擬局域網(wǎng)VLAN 通道，確保數據交互的安全性。

3 系統的安全通信框架

3. 1 安全通信的協(xié)議

在系統中，網(wǎng)絡(luò )路由器和安全通信模塊SYRSCM中均內置了安全通信協(xié)議S-link,該協(xié)議是保證數據安全傳送的重要環(huán)節。S-link 通過(guò)軟件的高級加密形式對IP 報文封裝，以實(shí)現TCP /IP網(wǎng)絡(luò )上數據的安全傳送。S-link 屬于OSI 模型的第3 層協(xié)議，即網(wǎng)絡(luò )層協(xié)議，能對所傳數據提供認證和加密( 包括對控制報文和傳輸中的數據加密)，提高了數據傳輸的準確性和安全性，是一種完整的安全解決方案。

S-link 協(xié)議的設計目標是為網(wǎng)絡(luò )層流量提供靈活的安全服務(wù)，包括：訪(fǎng)問(wèn)控制、無(wú)連接完整性、數據源鑒別、重傳攻擊保護、機密性、有限的流量保密等。S-link 協(xié)議的主要內容包括： 安全框架- RFC2401; 安全協(xié)議：AH 協(xié)議- RFC2402、ESP協(xié)議- RFC2406.S-link 安全體系結構如圖2 所示。

圖2 S-link 安全體系結構

3. 2 安全通信的密鑰

在S-link 協(xié)議中，內置了兩級密鑰體系，即工作密鑰(Working Key,WK)和密鑰加密密鑰(KeyEncryption Key,KEK)。

(1) WK.可分為用于對個(gè)人標識碼加密的密鑰及進(jìn)行報文鑒別的密鑰，均由S-link 的加密機產(chǎn)生。在每次建立連接時(shí)，利用KEK 加密后下載，并由KEK 加密存儲，S-link 工作密鑰在傳送時(shí)以密文傳送。

(2) KEK.用于對工作密鑰WK 進(jìn)行加密保護，共享唯一的KEK.KEK 只能寫(xiě)入并參與運算，不能被讀取。KEK 應至少有3 個(gè)，以便當KEK 泄密時(shí)軟、硬件采取同步內置算法，及時(shí)、方便地予以更換。PC 中的S-link 軟件和SY-RSCM網(wǎng)絡(luò )安全通信模塊之間，通過(guò)參數交換的方式約定使用哪個(gè)KEK.

3. 3 安全通信模塊的防火墻功能

安全通信模塊SY-RSCM 內設硬件防火墻，可通過(guò)信息過(guò)濾檢查方式，對非法訪(fǎng)問(wèn)進(jìn)行攔截，阻止各種網(wǎng)外攻擊，能有效地保證網(wǎng)內數據安全，以確保在SY-RSCM 下端的網(wǎng)絡(luò )內的信息不受外來(lái)非法攻擊。

4 HMI 中數據庫的建立

選用MT8000 HMI 是由于其配有Internet 接口和較大的內部閃存(Flash Memory) 空間[10],可方便地進(jìn)行遠程網(wǎng)絡(luò )通信和數據庫構建。

MT8000 HMI 內部Flash Memory 稱(chēng)為RW.RW中除保留字外，在不擴展外圍存儲器件的情況下，用戶(hù)可用空間為60 000 字。設某一產(chǎn)品因原材料組合、配比和工藝要求的不同，有100 個(gè)可變參數，每個(gè)參數占用一個(gè)字，則這100 個(gè)參數組成1 個(gè)參數頁(yè)。60 000個(gè)字空間可存儲600 個(gè)參數頁(yè)，即能存儲600 個(gè)不同規格產(chǎn)品的參數，可滿(mǎn)足絕大多數產(chǎn)品的配方存儲要求。若存儲空間不夠，可插入閃存(Compact Flash,CF) 卡進(jìn)行存儲擴展。因此，利用HMI 作為配方數據庫是可行的。