（電路與系統(tǒng)專業(yè)論文）基于工業(yè)以太網(wǎng)的控制數(shù)據(jù)加密研究.pdf

浙 江 人 學(xué) 碩 士 學(xué) 位 論 文 摘要 以 太網(wǎng)( e t h e r n e t ) ，既是一 種計算機接入局域網(wǎng) 絡(luò)的連接標(biāo)準(zhǔn)， 又是可以 說是一種網(wǎng)絡(luò)互聯(lián)設(shè)備數(shù)據(jù)共享的通信協(xié)議。 將整個工廠作為一個整體系統(tǒng)， 是企業(yè)為實現(xiàn)最佳經(jīng)濟效益，而給自 動化技術(shù)提出的進一步要求， 這樣的需求 導(dǎo)致了 各種工業(yè)現(xiàn)場總線的產(chǎn)生。 作為以 太網(wǎng)和t c p / i p 技術(shù)結(jié)合的產(chǎn)物， 工業(yè) 以太網(wǎng)較傳統(tǒng)工業(yè)網(wǎng)絡(luò)而言，具有更加開放，協(xié)議相對簡單，更好的穩(wěn)定性和 可靠性，因此它得到了廣泛的支持。但當(dāng)我們在享受工業(yè)以 太網(wǎng)帶來的方便同 時，我們也不可避免的要面對，在商業(yè)網(wǎng)絡(luò)中經(jīng)常遭遇的包括病毒感染、黑客 的非法入侵與非法操作等網(wǎng)絡(luò)安全威脅。因此，在工業(yè)以太網(wǎng)中引入數(shù)據(jù)加密 傳輸措施是自 然而然的事， 特別是對企業(yè)控制網(wǎng)絡(luò)中的控制信息來說，因為其 涉及到設(shè)備的安全運行，進行加密就更顯重要。 本文針對工業(yè)以太網(wǎng)數(shù)據(jù)傳輸要求實時性強，但數(shù)據(jù)傳輸量基本維持在一 個相對較低水平的特點，同時結(jié)合工業(yè)以太網(wǎng)傳輸?shù)闹匾獢?shù)據(jù)中，存在兩種數(shù) 據(jù) 現(xiàn)場數(shù)據(jù)和控制信息數(shù)據(jù)，選擇了需要加密的數(shù)據(jù)對象，并設(shè)計了一個 適合工業(yè)以太網(wǎng)控制信息特點的加密方案，對工業(yè)以太網(wǎng)應(yīng)用的關(guān)鍵問題之一 網(wǎng)絡(luò)安全進行探討研究。 目 前，國家在發(fā)展工業(yè)以太網(wǎng)應(yīng)用中的重要方向之一是高速以太網(wǎng)h s e . 本文在進行算法研究的同時，對h s e架構(gòu)中的技術(shù)關(guān)鍵之一s mp m層進行了 分析、設(shè)計與實現(xiàn)，不僅對 h s e的通信機制作了些有價值研究，而且還為加密 方案的實施提供了基礎(chǔ)平臺。 其次， 本文提出了一個具體可行的混和加密方案: 用加密速度快分組密鑰a e s 算法對控制信息加密; 用安全性更高 但加密速度慢 的r s a算法來傳遞a e s 算法的 密鑰。根據(jù)各種加密算法的 特點， 本文在分析 其原理的基礎(chǔ)上， 改進了a e s 算法以 提高加解密速度等。 為了提高傳輸?shù)陌踩?性， 本文還考慮了 用md 5 算法對以加密的數(shù)據(jù)進行數(shù)字簽名， 防止信息被篡改; 在要傳遞的報文中加進身份識別碼，防止欺騙和偽造。 最后， 本文還進行了實 時性測試，以確定該方案對網(wǎng)絡(luò)的實時控制不會造成太大的影響。 關(guān)鍵字:工業(yè)以太網(wǎng)，高速以 太網(wǎng)，混和加密， a e s , r s a , m d 5 浙 江 大 學(xué) 碩 十 學(xué) 位 論 文 ab s t r a c t e t h e rne t i s a s t a n d a r d o f c o n n e c t in g c o m p u t e r s w i t h t h e l a n a n d a c o m m u n i c a t io n p r o t o c o l b y w h i c h n e t d e v i c e s e x c h a n g e d a t a . i n o r d e r t o m a k e t h e b e s t e c o n o m y b e n e fi t , b y u s in g a u t o m a t i o n t e c h n o l o g y , t h e e n t e r p r i s e h o p e s t h a t t h e w h o l e f a c t o r y s h o u l d c o n f o r m a s o n e s y s t e m . a c c o r d i n g t o t h e re q u i r e m e n t , m a n y k i n d s o f i n d u s t r i a l f r e l d b u s c o m e i n t o b e in g . i n d u s t r i a l e t h e rn e t , o n e k i n d o f t h e s e n e w f i e l d b u s , i s a r e s u l t o f c o m b i n i n g t w o t e c h n o l o g i e s : e t h e rn e t a n d t c p / i p . c o m p a r i n g w it h t h e t r a d i t i o n a l f r e l d b u s , i n d u s t r i a l e t h e rn e t h a s m o r e a d v a n t a g e s , s u c h a s m o r e c o m p a t i b l e , r e l a t i v e l y s i m p l e i n t h e c o n f i g u r a t i o n o f t h e p r o t o c o l , m o r e s t a b l e a n d m o r e r e l i a b l e . s o t h e i n d u s t r i a l e t h e rn e t c o u l d b r i n g u s m u c h m o r e c o n v e n i e n c e a n d t h e n r e c e i v e b r o a d a c c e p t a n c e . a t t h e s a m e t i m e , b e c a u s e o f t h e o p e n i n g o f t h e i n d u s t r i a l e t h e rn e t , i t a l s o h a v e t o f a c e t h e s a m e s e c u r i t y p r o b l e m s t h e c o m m e r c e n e t o ft e n e n c o u n t e r s , s u c h a s v i r u s , i l l e g a l in v a s io n , i l l e g a l o p e r a t i o n a n d s o o n . t h e n t h e c o r r e s p o n d i n g m e a s u r e , e n c r y p t i n g t h e d a t a i n t h e i n d u s t r ia l e t h e r n e t , e m e r g e s a s t h e t i m e s r e q u i r e . t h e c o n t r o l l i n g d a t a , r e l a t i n g t o t h e s a f e r u n n i n g o f t h e f i e l d d e v ic e s , a r e m o r e n e c e s s a r y t o e n c r y p t i o n . b a s e d o n t h e s p e c i a l t i e s o f t h e i n d u s t r i a l e t h e rn e t , e m p h a s i z i n g t h e r e a l t i m e o f t h e d a t a t r a n s f e r a n d m a i n t a i n i n g t h e l o w q u a n t i t y o f t h e d a t a t r a n s f e r , t h e p a p e r c h o o s e s t h e c o n t r o l l i n g d a t a a s t h e e n c r y p t i n g o b j e c t a n d d e s i g n s a p r o j e c t w h i c h i s a p p r o p r i a t e f o r t h e c o n t r o l l in g d a t a c o m m u n i c a t e d i n t h e i n d u s t r i a l e t h e rn e t . n o w a d a y s , h ig h s p e e d e t h e rn e t ( h s e ) is o n e o f t h e p iv o t a l t e c h n o lo g i e s t h a t o u r c o u n t ry s t r e s s e s o n t h e i n d u s t r i a l e t h e r n e t . i n o r d e r t o p r o v id e t h e p l a t f o r m o f im p l e m e n t i n g t h e e n c ry p t in g p r o j e c t , t h e p a p e r a n a ly z e s t h e s t r u c t u r e o f t h e h s e p r o t o c o l b l e n d i n g a n d r e a liz e s t h e im p o rt a n t la y e r -s m p m . t h e n t h e p a p e r p u t s f o r w a r d e n c r y p t i o n p r o j e c t :u s i n g t h e a e s a lg o r it h m t o t r a n s f e r t h e k e y o f t h e e n c ry p t t h e c o n t r o l li n g d a t a u s in g t h e r s a a l g o r it h m t oa e s a lg o r it h m . a n d s o m e 1 1 浙 江 大 學(xué) 碩 十 學(xué) 位 論 文 im p r o v e m e n t s a r e a p p l ie d i n t h e p r o j e c t t o a c c e le r a t e t h e e n c ry p t i n g s p e e d a n d e n h a n c e t h e t r a n s f e r s e c u r i t y , s u c h a s i m p r o v i n g t h e a e s a lg o r it h m , u s in g m d 5 a lg o r it h m t o m a k e a d i g it a l s ig n a t u r e t o p r e v e n t d a t a f r o m b e in g t a m p e r e d , a d d i n g t h e id e n t it y r e c o g n iz in g c o d e t o p r e v e n t t h e m e s s a g e f r o m b e i n g f o r g e d , f i n a lly , t h e p a p e r d o e s s o m e q u a n t if ic a t io n t e s t t o m a k e s u r e t h a t t h e p r o j e c t w o u l d n o t a ff e c t t h e r e a l t i m e c o mmu n i c a t i o n i n t h e i n d u s t r i a l e t h e me t k e y w o r d : i n d u s t r i a l e t h e m e t , h i g h s p e e d e t h e r n e t , b l e n d i n g e n c r y p t i o n , a e s r s a , md5 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 第一章.緒論 圣 1 . 1工業(yè)以太網(wǎng)介紹 1 . 1 . l以太網(wǎng)背景 所謂以太網(wǎng)( e t h e r n e t ) ，既是一種計算機接入局域網(wǎng)絡(luò)的連接標(biāo)準(zhǔn)，又可 以說是一種網(wǎng)絡(luò)互聯(lián)設(shè)備數(shù)據(jù)共享的通信協(xié)議。它最初是源自于 1 9 7 5年美國 x e r o x 公司建造的一個2 .9 m b p s 的c s m a / c d( 載波監(jiān)聽多路訪問 / 沖突檢t 9 系統(tǒng)， 它以無源電纜作為總線來傳送數(shù)據(jù)， 在1 0 0 0 m的電纜上連接了1 0 0 多臺 計算機，并以曾經(jīng)在歷史上表示傳播電磁波的以太( e t h e r ) 來命名，即如今 e t h e m e t 的鼻祖。 隨后， d e c , i n t e l 及x e r o x 合作公布了e t h e r n e t 物理層和數(shù)據(jù) 鏈路層的規(guī)范， 稱為d i x規(guī)范。 在此基礎(chǔ)上，電 氣和電 子工程師協(xié)會( i e e e ) 制 定了i e e e 8 0 2 .3 標(biāo)準(zhǔn)。嚴(yán)格來講，e t h e rn e t 與i e e e 8 0 2 .3 在ma c( 介質(zhì)訪問控 制) 層上采用相同的c s m a / c d協(xié)議以 及極為類似的 幀格式， 但并不完全相同， 只 不 過 人 們習(xí) 慣 上 通常 將i e e e 8 0 2 .3 標(biāo) 準(zhǔn)即 視為e t h e rn e t , i 按照國際標(biāo)準(zhǔn)化組織開放系統(tǒng)互連參考模型( 工 s o / o s i ) 的了 層結(jié)構(gòu)， 以太網(wǎng) 標(biāo)準(zhǔn)只定義了數(shù)據(jù)鏈路層和物理層。作為一個完整的通信系統(tǒng)，它需要高層協(xié) 議的支持。 a p a r n e t 在制定了t c p / i p 高 層通信協(xié)議， 并把以 太網(wǎng)作為其數(shù)據(jù)鏈 路和物理層的協(xié)議之后， 以太網(wǎng)便和t c p / i p 緊密地捆綁在一起了。 國際因特網(wǎng) 作為成功運用以太網(wǎng)技術(shù)的實例，即以太網(wǎng)+ t c p / i p模式，具有成本低、傳輸 速率高等諸多優(yōu)點， 進入商業(yè)市場2 0 多年來， 在辦公自 動化等方面獲得了廣泛 的應(yīng)用，而且己經(jīng)成為最受歡迎的通信網(wǎng)絡(luò)之一。 盯 . 1 . 2工業(yè)以 太網(wǎng) 及其 特點 近年來，自 動化技術(shù)發(fā)展使人們認(rèn)識到，單純提高生產(chǎn)設(shè)備單機自 動化水 平，并不一定能給整個企業(yè)帶來好的效益;因此，企業(yè)給自 動化技術(shù)提出的進 一步要求是:將整個工廠作為一個系統(tǒng)實現(xiàn)其自 動化，目標(biāo)是實現(xiàn)企業(yè)的最佳 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 經(jīng)濟效益。因 此， 有了 現(xiàn)代制造自 動化模型 ( 如圖1 所示)。 從圖1 中 我們可 以看出自 動化技術(shù)己由單機自 動化發(fā)展到系統(tǒng)自 動化。在自 動化技術(shù)從單機控 制向工廠自 動化f a 、系統(tǒng)自 動化方向發(fā)展的過程中，企業(yè)對自 動化技術(shù)提出了 數(shù)字化通信及信息集成的技術(shù)的要求:即要求應(yīng)用數(shù)字通信技術(shù)實現(xiàn)工廠信息 縱向的透明 通信。c a l e r p : e n t e r p r i s e erp r e s o u r c e p in 。 i t? j l o x m es me s : m a n u f a c t o r y e x e c u t i o n s y s t e m制 造 執(zhí)行系統(tǒng) a u t o m a t i o n : 工廠底層設(shè)備自動化 圖1 . 1現(xiàn)代制造自 動化模型 而目 前在企業(yè)的控制領(lǐng)域中，2 0世紀(jì) 8 0年代中期發(fā)展起來的現(xiàn)場總線技 術(shù)，雖然可以突破通信由專用網(wǎng)絡(luò)的封閉系統(tǒng)來實現(xiàn)所造成的缺陷，把基于封 閉、專用的解決方案變成了基于公開化、標(biāo)準(zhǔn)化的解決方案，但由于世界各大 公司開發(fā)了各種各樣的現(xiàn)場總線，即使現(xiàn)場總線的國際標(biāo)準(zhǔn) 工 e c 6 1 1 5 8 也包含 了8 種之多，這樣就形成了多種現(xiàn)場總線并存的局面。由于這些現(xiàn)場總線之間 不能實現(xiàn)互操作，且現(xiàn)場總線技術(shù)也不能為企業(yè)提供從現(xiàn)場控制層到管理層的 全面信息集成，其較低的通信速率也不能滿足工業(yè)控制越來越多的數(shù)據(jù)交換的 需要，因此目 前現(xiàn)場總線技術(shù)無法滿足企業(yè)現(xiàn)代制造自 動化的要求:即要求工 廠信息縱向的透明通信。 與以上的情況形成對比的是，工業(yè)以太網(wǎng)卻以其完全開放，協(xié)議簡單及穩(wěn) 定性和可靠性得到了廣泛的支持。相對現(xiàn)場總線來說，以太網(wǎng)技術(shù)應(yīng)用在工業(yè) 具有“ 成本低， 應(yīng)用廣， 帶寬高， 易連接” 等優(yōu)勢 3 ， 目 : ( 1 )成本低:由于以太網(wǎng)的應(yīng)用最為廣泛，因此受到硬件開發(fā)與生產(chǎn) 廠商的高度重視與廣泛支持， 有多種硬件產(chǎn)品供用戶選擇。 而且 由于應(yīng)用廣泛， 硬件價格也相對低廉。目前以太網(wǎng)網(wǎng)卡的價格只 有p r o f i b u s , f f 等現(xiàn)場總線的十分之一，并且隨著集成電 路技 術(shù)的發(fā)展，其價格還會進一步下降。而且，由于以太網(wǎng)已應(yīng)用多 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 年， 人們對以 太網(wǎng)的設(shè)計、 應(yīng)用等方面有很多的經(jīng)驗， 對其技術(shù) 也十分熟悉。 大量的軟件資源和設(shè)計經(jīng)驗可以顯著降低系統(tǒng)的開 發(fā)和培訓(xùn)費用，從而可以顯著降低系統(tǒng)的整體成本。 ( 2 )應(yīng)用廣:以太網(wǎng)是目 前應(yīng)用最為廣泛的計算機網(wǎng)絡(luò)技術(shù)， 受到廣 泛的技術(shù)支持。幾乎所有的編程語言都支持 e t h e r n e t的應(yīng)用開 發(fā)，如j a v a , v i s u a l c + + 及v i s u a l b a s i c 等。 這些編程語言由 于廣泛使用， 并受到軟件開發(fā)商的高度重視， 具有很好的發(fā)展前 景。因此， 如果采用以太網(wǎng)作為現(xiàn)場總線， 可以保證多種開發(fā)工 具、開發(fā)環(huán)境供選擇。 ( 3 )帶寬高: 隨著現(xiàn)場設(shè)備功能逐級增強， 工業(yè)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量 將會成倍增加， 加之現(xiàn)在有了現(xiàn)場設(shè)備要內(nèi)置w e b s e r v e r ， 以網(wǎng) 頁形式與外界溝通信息的需求，工業(yè)網(wǎng)絡(luò)對帶寬的要求越來越 高。而傳統(tǒng)的現(xiàn)場總線一般的傳輸速率僅為1 -2 m b / s ， 盡管有 些總線可以 得到更高的通信速率，如c o n t r o l n e t的傳輸速率為 5 m b / s , p r o f i b u s -d p 可高達1 2 m b / s ， 但成本價格昂貴。作 為一種低成本網(wǎng)絡(luò)技術(shù)，e t h e r n e t 目 前的速率為i o m b / s , 1 0 0 m b / s 的快速以太網(wǎng)也開始廣泛應(yīng)用， 干兆位e t h e r n e t 技術(shù)也逐 漸成熟， 其通信速率比 傳統(tǒng)的現(xiàn)場總線快得多， 完全可以 滿足工 業(yè)網(wǎng)絡(luò)不斷增長的帶寬要求。 ( 4 )易連接:易于與 工 n t e r n e t連接，能實現(xiàn)辦公自 動化網(wǎng)絡(luò)與工業(yè) 控制網(wǎng)絡(luò)的信息無縫集成。 一般來說， 工業(yè)以太網(wǎng)在技術(shù)上與商用以 太網(wǎng)( 即i e e e 8 0 2 . 3 標(biāo)準(zhǔn)) 兼容， 但工業(yè)以太網(wǎng)不同于一般的商業(yè)以太網(wǎng)，但在產(chǎn)品設(shè)計時、在材質(zhì)的選用、產(chǎn) 品的強度和適用性方面更重視能滿足工業(yè)現(xiàn)場的需要。同時，工業(yè)以太網(wǎng)在傳 輸數(shù)據(jù)上的特點是數(shù)據(jù)包不大，實時性要求卻更高。 由于工業(yè)自 動化網(wǎng)絡(luò)控制系統(tǒng)不單單是一個完成數(shù)據(jù)傳輸?shù)耐ㄐ畔到y(tǒng)，而 且還是一個借助網(wǎng)絡(luò)完成控制功能的自 控系統(tǒng)。它除了完成數(shù)據(jù)傳輸之外， 往 往還需要依靠所傳輸?shù)臄?shù)據(jù)和指令， 執(zhí)行某些控制計算與操作功能，由多個網(wǎng) 絡(luò)節(jié)點協(xié)調(diào)完成自 控任務(wù)。因而它需要在應(yīng)用、用戶等高層協(xié)議與規(guī)范上滿足 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 開放系統(tǒng)的要求，滿足互操作條件。 如前所述，對應(yīng)于i s o / o s i 七層通信模型，以太網(wǎng)技術(shù)規(guī)范只映射為其中 的物理層和數(shù)據(jù)鏈路層; 而在其之上的網(wǎng)絡(luò)層和傳輸層協(xié)議，目前以t c p / i p 協(xié) 議為主( 己 成為以太網(wǎng)之上傳輸層和網(wǎng)絡(luò)層 “ 事實上的” 標(biāo)準(zhǔn)) 。而對較高的 層 次如會話層、表示層、應(yīng)用層等沒有作技術(shù)規(guī)定。目 前商用計算機設(shè)備之間是 通過f t p ( 文件傳送協(xié)議 ) 、 t e ln e t ( 遠(yuǎn)程登錄協(xié)議 ) 、 s m t p ( 簡單郵件傳送協(xié)議 ) 、 h t t p ( w w w協(xié)議 ) 、 s n m p( 簡單網(wǎng) 絡(luò)管理 協(xié)議) 等應(yīng)用層協(xié) 議進行互 信息 透 明訪問的，它們?nèi)缃裨诨ヂ?lián)網(wǎng)上發(fā)揮了非常重要的作用。但這些協(xié)議所定義的 數(shù)據(jù)結(jié)構(gòu)等特性不適合應(yīng)用于工業(yè)過程控制領(lǐng)域現(xiàn)場設(shè)備之間的實時通信。 為滿足工業(yè)現(xiàn)場控制系統(tǒng)的應(yīng)用要求， 必須在e t h e m e t + t c p / i p 協(xié)議之上， 建立完整的、有效的通信服務(wù)模型， 制定有效的實時通信服務(wù)機制，協(xié)調(diào)好工 業(yè)現(xiàn)場控制系統(tǒng)中實時和非實時信息的傳輸服務(wù)，形成為廣大工控生產(chǎn)廠商和 用戶所接收的應(yīng)用層、用戶層協(xié)議，進而形成開放的標(biāo)準(zhǔn)。 為此， 各現(xiàn)場總線組織紛紛將以 太網(wǎng)引入其現(xiàn)場總線體系中的高速部分， 利用以太網(wǎng)和t c p / i p 技術(shù)，以 及原有的低速現(xiàn)場總線應(yīng)用層協(xié)議， 從而構(gòu)成 了 所謂的 工業(yè)以 太網(wǎng)協(xié)議， 如h s e . p r o fi n e t , e t h e m e t / i p ( 也有叫e t h e m e t / t c p ) 等。 ， ， 1 . 2工業(yè)以太網(wǎng) 控制信息加密重要性及難點 工業(yè)網(wǎng)絡(luò)控制系統(tǒng)的網(wǎng)絡(luò)安全是工業(yè)以 太網(wǎng)應(yīng)用必須考慮的幾大關(guān)鍵問題 之一。工業(yè)以太網(wǎng)可以將企業(yè)傳統(tǒng)的三層網(wǎng)絡(luò)系統(tǒng)，即信息管理層、過程監(jiān)控 層、現(xiàn)場設(shè)備層，如圖2 所示: 信息管理層 過程監(jiān)控層 現(xiàn)場設(shè)備層 圖1 . z工業(yè)以太網(wǎng)三層網(wǎng)絡(luò)系統(tǒng) 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 合成一體， 使數(shù)據(jù)的傳輸速率更快、 實時性更高， 并可與i n t e rn e t 無縫集成， 實 現(xiàn)數(shù)據(jù)的共享，提高工廠的運作效率，但這同時也引入了一系列的網(wǎng)絡(luò)安全問 題，工業(yè)網(wǎng)絡(luò)可能會受到包括病毒感染、黑客的非法入侵與非法操作等網(wǎng)絡(luò)安 全威脅。 如果數(shù)據(jù)被人竊取甚至篡改， 這對于企業(yè)控制網(wǎng)絡(luò)來講損失無法衡量。 因此在網(wǎng)絡(luò)系統(tǒng)中引入加密措施是自 然而然的事，尤其是對企業(yè)控制網(wǎng)絡(luò)中的 控制信息進行加密。 因此本文在設(shè)計加密方案時，首要的一個問 題就是:所設(shè)計的方案能否起 到提高安全性的作用。正如一些專家所說的，一個并不安全的加密系統(tǒng)還不如 一個沒有加密的系統(tǒng)。因此設(shè)計一個有效的加密方案是本文的首先要解決的問 題。 這也就是本文的第一個難點。其次，隨之產(chǎn)生的處理數(shù)據(jù)時間消耗加大， 有可能會影響工業(yè)以太網(wǎng)的一個重要因素:數(shù)據(jù)傳輸?shù)膶崟r性。所以， 這也是 在設(shè)計方案的時候本文需重點研究解決的問題之一。 1 . 3論文的任務(wù)與結(jié)構(gòu) 本文研究任務(wù)是: 基于工業(yè)以太網(wǎng) 數(shù)據(jù)傳輸要求實時性強， 但數(shù)據(jù)傳輸量 基本維持在一個相對較低的水平的特點，同時結(jié)合工業(yè)以太網(wǎng) 傳輸?shù)闹匾獢?shù)據(jù) 中，存在兩種數(shù)據(jù)現(xiàn)場數(shù)據(jù)和控制信息數(shù)據(jù)，選擇需要加密的數(shù)據(jù)對象， 設(shè)計一個適合工業(yè)以太網(wǎng)特點的加密方案，對工業(yè)以太網(wǎng)應(yīng)用的關(guān)鍵問 題之一 網(wǎng)絡(luò)安全進行探討研究。 本文的結(jié)構(gòu)如下: 第一章主要介紹工業(yè)以太網(wǎng)的相關(guān)背景和特點，同時說明了工業(yè)以 太網(wǎng)數(shù) 據(jù)安全傳輸?shù)闹匾裕约皩τ诠I(yè)以太網(wǎng)數(shù)據(jù)加密的難點所在。 第二章的主要內(nèi)容是介紹了 基金會總線f f h s e ， 并通過對其協(xié)議結(jié)構(gòu)的分 析，本文設(shè)計并實現(xiàn)了h s e中的關(guān)鍵層之一s m p m層，不僅對h s e的通 信機制作了一些有價值研究，而且還對具體加密方案的實施提供了實現(xiàn)平臺。 第三章的主要內(nèi) 容是網(wǎng)絡(luò)安全與網(wǎng)絡(luò)數(shù)據(jù)加密的基本概念，包括數(shù)據(jù)加密 技術(shù)和數(shù)據(jù)加密算法等基本概念。 第四章主要是主要講了針對控制信息數(shù)據(jù)的特點，設(shè)計并實現(xiàn)了一個適合 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 工業(yè)以 太網(wǎng)的數(shù)據(jù)加密方案， 其中 涉及到了d e s . a e s 加密算法和r s a加密 算法等一些算法的選擇，及改進應(yīng)用。其中，加密方案的具體實現(xiàn)過程為:確 定總體結(jié)構(gòu)，通過公鑰建立安全通道，用私鑰對數(shù)據(jù)進行加密并通過已經(jīng)建立 好的安全通道傳輸。最后的測試部分主要是對加密算法引入的額外時間開銷進 行測算，以確定加密對數(shù)據(jù)實時性傳輸?shù)挠绊憽?第五章是對全文的總結(jié)與展望。 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 第二章 h s e的s mp m層設(shè)計與實現(xiàn) 互 2 . 1 f f h s e現(xiàn)場總線 基金會總線 ( f f , f o u n d a t i o n f i e l d b u s ) 是在過程自 動化領(lǐng)域得到廣泛支持 的技術(shù)。 其前身是以美國f i s h e r - r o s e m o u n t 公司為首， 聯(lián)合西門子等8 0 家公司 制訂的i s p 協(xié)議和以h o n e y w e l l 公司為首， 聯(lián)合歐洲等地的1 5 0 家公司制訂的 w o r l d f i p 協(xié)議。這兩大集團于1 9 9 4 年9 月合并，成立了現(xiàn)場總線基金會，致 力于開發(fā)出國際上統(tǒng)一的現(xiàn)場總線協(xié)議。它以i s o i o s i 開放系統(tǒng)層上增加了用 戶層。用戶層主要針對自 動化測控應(yīng)用的需要，定義了信息存取的統(tǒng)一規(guī)則， 采用設(shè)備描述語言規(guī)定了通用的功能塊集。 o s i h i h s e與使用標(biāo)準(zhǔn) 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 用戶層 應(yīng)用層 數(shù)據(jù)鏈路層 物理層 用戶層 ( f f 制定 ) 應(yīng)用層r f c 1 4 5 1 , 1 8 8 3 傳輸層r f c 7 9 1 , 7 9 3 ( t c p j i p ) 網(wǎng)絡(luò)層r f c 1 1 5 7 , 2 0 3 0 數(shù)據(jù)鏈路層i e e e 2 0 2 . 2 物理層 i e e e 8 0 2 . 3 u 圖2 . 1 h s e模型結(jié)構(gòu)對比 按照基金會現(xiàn)場總線組織的定義， f f 總線是一種全數(shù)字的、串行的、 雙向 傳輸?shù)耐ㄐ畔到y(tǒng)，是一種連接現(xiàn)場中各種傳感器、控制器、執(zhí)行單元的信號傳 輸系統(tǒng)。 f f總線通信協(xié)議定義詳盡、 規(guī)范，兼顧了高性能，高安全性和錯誤檢 測能力， 適合于通信任務(wù)比較復(fù)雜、 安全性能要求比較高的工業(yè)過程控制場合。 f f總線包含兩種類型: h 1 ( 低速) ， h s e( 高 速) 。 其中h s e ( h i g h s p e e d e t h e r n e t ) 現(xiàn)場總線是一種采用高速以 太網(wǎng) 技術(shù)的總線類型。 f f h s e 現(xiàn)場總線協(xié) 浙 江 大 學(xué) 碩 十 學(xué) 位 論 文 議f s 1 . 0 于2 0 0 0 年3 月 才制定出 來， 同 年i 1 月又 頒布了 第二 版f s 1 . 1 o 3 1 fbafvfdod ; 一:;: il rt 爭 ， 1faarvfdiod n i i e rt a u ， r r i d g p h s es m ib :一: n h c p 一: 一 s n m p 118 en m i b f d a s e s s i o n s t cpc d p i p i c e s 8 0 2 . 3 m a c a n d p h y l a y s 圖 2 . 2 f f h s e 協(xié)議參考模型 以上是f f h s e的協(xié)議參考模型。 其中: ( 1 )f d a a g e n t : f d a a g e n t 是h s e 應(yīng)用層的 核心， 它 有以 下作用: a . 通過 u d p / t c p 傳送 f ms 和s m服務(wù)。 這使得h s e和 h 1 現(xiàn)場設(shè)備及 其他1 / o設(shè)備通過連接和網(wǎng)關(guān)設(shè)各可以和h s e連接。 b . 轉(zhuǎn)發(fā)不支持h 1 網(wǎng)橋的連接設(shè)備的h 1 數(shù)據(jù)。 c . 發(fā)送和接收l a n r e d u n d a n c y m e s s a g e s 以 支持設(shè)備中的h s e接口 的冗 余性。f d a代理提供下列服務(wù):作f d a s e s s i o n 的代理;f d a s e s s io n 和 f ms v c r的接口;t c p / u d p 和f d a s e s s i o n 之間的接口; d ， 轉(zhuǎn)發(fā)上面4 種應(yīng)用層的消息。 ( 2 ) hs e s e s s i o n s : f d a s e s s i o n 是一種應(yīng)用關(guān)系，提供和f d a代理的通信， h s e v c r 提供對 h s e v f d的訪問， 用于傳遞 f m s報文。有三種不同的 f d a s e s s i o n : c l i e n t / s e r v e r ( 客戶朋 民 務(wù)器) s e s s i o n s p u b l i s h e r / s u b s c r i b e r ( 公 布/ 訂閱)s e s s i o n s , r e p o r t s o u r c e / s i n k( 報告源/ 接收)s e s s i o n s . h s e s e s s i o n 位于t c p / i p協(xié)議之上，利用以太網(wǎng)和t c p / i p協(xié)議傳輸h s e總 線的服務(wù)報文，是f f h s e現(xiàn)場總線通信的核心模塊。 t c p / i p部分的通信協(xié)議棧包括i s o的 1 至4 層， 以及三個應(yīng)用層的 協(xié)議，s n mp和 s n t p和 d h c p . s n mp , s n t p和 d h c p主要應(yīng)用在 浙 江 人 學(xué) 碩 十 學(xué) 位 論 文 h m a ( h s e m a n a g e m e n t a g e n t ) 中。 ( 3 ) h m a ( h s e m a n a g e m e n t a g e n t ) : h ma主要的功能就是給h s e設(shè)備提供標(biāo)準(zhǔn)的i p 協(xié)議以接口和管理 功能。s n t p是用于實現(xiàn)時間同步， d h c p是用于i p地址的自 動分配。 而 s n mp則是用于對網(wǎng)絡(luò)信息的控制。 2 . 2 h s e 通信機制分析 一個完整的h s e 系統(tǒng)需要有以 下幾部分構(gòu)成: h s e管理和t c p / u d p 及其 以 下的 協(xié)議( 稱為h s e 通信棧) 、 f d a代理、 用戶層( 包括n m a , s m k , f b a p 及和h 1 的接口) 。其中， f d a代理則是h s e的核心部分，是最能體現(xiàn)h s e系 統(tǒng)特點的部分， 它不同于h 1 系統(tǒng)相應(yīng)的用戶層。 f d a由四層協(xié)議狀態(tài)機組成: h s e v c r( 高速以太網(wǎng)虛通信關(guān)系狀態(tài)機制) 、f s p m ( f d a服務(wù)協(xié)議機制) 、 a r p m ( 應(yīng)用關(guān)系協(xié)議機制) 、s mp m ( 套接字映射協(xié)議機制) 。如圖2 .3 所示。 f d a用戶 hs e vcr s t a t e ma c h i n e f d a s e r v i c e p r o t o c o l ma c h i n e a p p l i c a t i o n r e la t i o n s h i p p r o t o c o l ma c h i n e s o c k e t m a p p i n g p r o t o c o l m a c h i n e t c p / u d p ( s o c k e t ) 圖2 .3 h s e f d a協(xié)議結(jié)構(gòu) 其中， 第一層屬于f ms v c r s 部分， 它提供了聯(lián)系上面用戶層的多個接口， 側(cè)重于與上層服務(wù)信息的交互和組織。后面三層可以統(tǒng)稱為 h s e s e s s i o n , s e s s i o n 是一種應(yīng)用關(guān)系a p ( a p p l i c a t i o n r e l a t i o n s h i p ) ， 用于在f d a代理端點 之間傳輸數(shù)據(jù)。在一個分布式系統(tǒng)中，通過一個定義好的應(yīng)用層通信通道來交 換應(yīng)用層報文，應(yīng)用程序通過這種方式相互通信，這些通信通道在現(xiàn)場總線應(yīng) 用層被定義為應(yīng)用關(guān)系。 h s e v c r提供對虛現(xiàn)場設(shè)備 v f d的訪問，這種訪問 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 要在s e s s i o n 建立的基礎(chǔ)上才能夠進行。 f d a代理通過s e s s i o n 來傳輸f d a和 f m s 消息。 s e s s i o n 中的a r p m協(xié)議機采用對f ms 消息進行編碼/ 解碼的方式， 對話路 的打開、關(guān)閉進行控制，為上層的v c r提供了通信通道;s e s s i o n中的s mp m 協(xié)議機基于t c p / u d p 協(xié)議進行操作， 負(fù)責(zé)同t c p / u d p 的接口。 它將來自a r p m ( 應(yīng)用關(guān)系協(xié)議機制) 的f a s ( f i e ld b u s a c c e s s s u b l a y e r ) 內(nèi) 部協(xié)議格式轉(zhuǎn)換成傳 輸層t c p 用d p 可接受的服務(wù)格式，并通過套接字接口，調(diào)用t c p / u d p 服務(wù); 或者反過來， 從套接字接收來自 傳輸層的數(shù)據(jù)，并以f a s內(nèi)部協(xié)議格式發(fā)送給 應(yīng)用關(guān)系協(xié)議機制a r p m o 一般來說， h s e現(xiàn)場總線的通信流程可以 這么簡要的表達為: 在本地v f d 與遠(yuǎn)地v f d實現(xiàn)通信之前 ( h s e現(xiàn)場總線中， v f d是實現(xiàn)具體設(shè)備功能的層 次， 因為它是軟件實現(xiàn)的，因此被稱為虛擬現(xiàn)場設(shè)備) ， 我們首先需要按照順序 地依次建立訪問以 太網(wǎng)的套接字s o c k e t ， 應(yīng)用關(guān)系 ( 即通信通道) s e s s i o n ，以 及訪問v f d所需的虛擬通信關(guān)系v c r 。 然后在發(fā)送端， 通過v c r來發(fā)送來自 v f d的數(shù)據(jù)。在接收端，通過 v c r , s e s s i o n 將收到的數(shù)據(jù)傳給v f d . 怪 2 . 3 套接字技術(shù)的應(yīng)用 開發(fā)基于t c p / i p 協(xié)議的應(yīng)用程序的標(biāo)準(zhǔn)編程接口是 s o c k e t 接口。它提供 了不同主機間進程的雙向通信，屏蔽了網(wǎng)絡(luò)底層的復(fù)雜結(jié)構(gòu)和協(xié)議，可以使我 們能夠方便抽象的對網(wǎng)絡(luò)進行操作。它采用客戶/ 服務(wù)器模式 ( c / s 模式)的通 信機制，使網(wǎng)絡(luò)客戶端和服務(wù)器端通過 s o c k e t實現(xiàn)網(wǎng)絡(luò)之間的連接和數(shù)據(jù)交 換。 c / s模型將啟動網(wǎng)絡(luò)服務(wù)請求的端點視作客戶進程或客戶程序; 對客戶請 求作出響應(yīng)的端點是服務(wù)器進程或服務(wù)器程序。 當(dāng)使用s o c k e t 接口 對網(wǎng)絡(luò)通信編程時，s o c k e t 是網(wǎng)絡(luò)通信過程中端點的抽 象 表示， 網(wǎng)絡(luò) 對話的每端都需要一 個s o c k e t 。 套接字 接口 可以 和i p , t c p 或 u d p 協(xié)議交換數(shù)據(jù)。 兩個s o c k e t 之間的連接可以 使面向 連接的也可以使面向無連接 的。 從 類型上 分， 套 接字 可以 分 為 三種: 流式 套接字 ( s t r e a m s o c k e t ， 也 稱面 向 連 接的 套 接字) ， 數(shù)據(jù) 報套接字( d a t a g r a m s o c k e t ， 也 稱無連接 套接字 ) 及原 始 套 接字( r a w s o c k e t ) . 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 流套接字提供了 雙向的， 有序的， 無重復(fù)并且無記錄邊界的數(shù)據(jù)流服務(wù)。 數(shù)據(jù)報套接字支持雙向的數(shù)據(jù)流，但并不保證是可靠，有序，無重復(fù)的。也就 是說，一個從數(shù)據(jù)報套接字接收信息的進程有可能發(fā)現(xiàn)信息重復(fù)，或者和發(fā)出 時的 順序不同。 原始套接字允許對低層協(xié)議如i p或i c m p直接訪問， 主要用于 新的網(wǎng)絡(luò)協(xié)議實現(xiàn)的測試等。 在方案的實現(xiàn)過程中，我們采用面向連接的流式套接字編程方法，其工作 過程具體如下: 服務(wù)器首先啟動， 通過調(diào)用s o c k e t ( ) 建立一個套接口， 然后調(diào)用 b i n d ( ) 將該套接口 和本地網(wǎng) 絡(luò)地址聯(lián)系在一起， 再調(diào)用l i s t e n u 使套接口 做好偵聽 的 準(zhǔn)備，并規(guī)定它的 請求隊列的長度， 之后就調(diào)用 a c c e p t ( ) 來接收連接， 客戶在 建立套接口 后就可調(diào)用c o n n e c t ( ) 和服務(wù)器建立連接。 連接一旦建立， 客戶機和 服務(wù)器之間就可以 通過調(diào)用r e a d ( ) 和w r i t e ( ) 來發(fā)送和接收數(shù)據(jù)。 最后， 待數(shù)據(jù)傳 送結(jié)束后， 雙方調(diào)用c l o s e ( ) 關(guān)閉套接口。 服 務(wù) 器 s o c k e t ( ) b i n d () l i s t e n ( ) 客 戶 機 阻 塞 圖 2 . 4 面 向連 接 套 接 口應(yīng) 用 程 序 時 序 圖 浙 江 大 學(xué) 碩 _ l學(xué) 位 論 文 9 2 .4 h s e 中 的s m p m層實 現(xiàn) s mp m作為 s e s s i o n 與傳輸層 t c p / u d p協(xié)議的接口，它調(diào)用 t c p / u d p協(xié) 議提供的套接字接口對數(shù)據(jù)實現(xiàn)發(fā)送和接收。s mp m層始終處于運行狀態(tài):等 待數(shù)據(jù)接收或等待數(shù)據(jù)發(fā)送的狀態(tài)，它一直保持工作，不會關(guān)閉。 殲 .4 . 1 s m p m層 發(fā) 送 數(shù) 據(jù)端的 實 現(xiàn) f f h s e現(xiàn)場總線數(shù)據(jù)鏈路層采用的是 i e e e 8 0 2 . 3協(xié)議，又叫做具有 c s m a / c d ( 載波監(jiān)聽多路訪問 腫突檢測) 的網(wǎng)絡(luò)。 c s m a / c d是i e e e 8 0 2 .3 采用 的 媒體接入控制技術(shù)， 或稱介質(zhì)訪問 控制技術(shù)。 c s m a / c d的工作原理為: 計 算機在傳輸幀以前要等待以 太網(wǎng)空閑。如果兩臺計算機同時傳輸，沖突就會發(fā) 生。計算機將使用指數(shù)重發(fā)來選擇讓哪臺計算機傳輸。每臺計算機在試圖再次 傳輸之前要延遲一段隨機時間，并在隨后的每次沖突后，延遲都加倍。 在f f h s e現(xiàn)場總線中， 用戶層所產(chǎn)生的服務(wù)數(shù)據(jù)多數(shù)屬于短長度數(shù)據(jù)， 如 果每一個f d a p d u做一次傳輸?shù)?話，以 太網(wǎng)負(fù)荷大大加重， 很容易將造成嚴(yán) 重的 沖突和擁塞， 傳輸效率較低。 因 此在s m p m層對f d a ee p d u進行打包， 一 方面減少在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)包數(shù)量，同時增加數(shù)據(jù)包長度。 1 0 2 4 字 節(jié) 幀 5 1 2 字 節(jié) 幀 信道效率 2 4 8 1 6 試 圖 發(fā) 送 的 站點 3 64 l 28 256 m 2 . 5速 率 為 1 0 6 1 h / s 、長 為5 1 2 l 1 , 特 時隙 的8 0 2 . 3 效 率分 析 從上圖可以看出，這樣可以有效的提高h(yuǎn) s e現(xiàn)場總線的通信效率。 因此，s mp m層對數(shù)據(jù)進行傳送，我們主要采用以下兩種算法:打包傳輸 和超市發(fā)送。該算法的制定是為了更好的適應(yīng)以太網(wǎng)底層的傳輸策略，提高網(wǎng) 浙 江 人 學(xué) 碩 士 學(xué) 位 論 文 絡(luò)傳輸效率。 打包傳輸:在發(fā)送端，s mp m 為每一個套接字設(shè)置了一個數(shù)據(jù)緩沖區(qū)。 s m p m將需要發(fā)送的協(xié)議數(shù)據(jù)逐條放在特定的緩沖區(qū)內(nèi)，當(dāng) 等待發(fā)送的數(shù)據(jù)超 過緩沖區(qū)長度時，打包并發(fā)送緩沖區(qū)內(nèi)的數(shù)據(jù)，緩沖區(qū)的默認(rèn)長度為1 4 6 0 b it s a 將多條同一目的端的數(shù)據(jù)報文打包成一條數(shù)據(jù)，這樣減少了以太網(wǎng)傳輸?shù)臄?shù)據(jù) 包的數(shù)量，在最大程度上避免了網(wǎng)絡(luò)擁塞。 超時發(fā)送:考慮到緩沖區(qū)有可能在較長的時間內(nèi)不能夠填滿，為了避免長 時間的延遲，協(xié)議規(guī)定了一個最大傳輸延遲時間，在最大傳輸延遲時間到達時 緩沖區(qū)仍然沒有填滿，則自 動發(fā)送緩沖區(qū)內(nèi)的數(shù)據(jù)。 夭啟動 圖2 . 6 s mp m層發(fā)送端流程圖 浙 江 大 學(xué) 碩 士 學(xué) 位 論 文 2 .4 .2 s m p m層接收 數(shù) 據(jù) 端的 實 現(xiàn) 1 .將對每個套接字進行輪尋，對于有數(shù)據(jù)到達的套接字，將接收數(shù)據(jù)，跳至第 2步;如 果套接字操作失敗， 形成出 錯原語放到s m p m 2 a r p m隊列。 2 .并對接收的數(shù)據(jù)進行解包， 得到一條協(xié)議數(shù)據(jù)包f d a - p d u ; 3 .并根據(jù)接收套接字的i d ，調(diào)用查詢函數(shù)得到對應(yīng)的a r p m - i- d ; 4 .提取原語服務(wù)名 “ s m p m _ r e c e i v e ; 5 .根據(jù)2 - 4 步取得的參數(shù)， 形成f d a - p d u _ i n d 原語， 放入s m p m 2 a r p m隊列; 判斷數(shù)據(jù)解包是否完成? 第1 步:第2 步。 具體流程圖如 f : 套接字s o c k e t - i 接收 數(shù)據(jù) s o c k e t f a i l 數(shù)據(jù)接收成功 解包， 從接收到的數(shù)據(jù)中提 取一條 f d a - p d u 形成 e r r o r t o a r p m原 語，放入 s m p m 2 a r p m隊 列 形成f d a - p d u i n d 原 語， 包括: 1 .數(shù)據(jù)項f d a - p d u ; 2 .由 套接字號s o c k e t i 查詢對應(yīng)的 a r e p i d ; 3 .服務(wù) 類型: s m p m _ r e c e i v e ; 將原語加入s m p m 2 a r p m隊 列 數(shù)據(jù)解包完畢? 是 圖2