（计算机应用技术专业论文）工业实时监控网络系统的设计、优化与安全.pdf

摘要 本篇以江阳德兴铜矿泗洲选矿厂实时， 业监控网络为背景，详细介绍了如何构造一个高 效的t 业监控网络系统，其中存在的一些技术难点及其解决途侄。虫：组态软仆的选j i 问题， 基丁x 的实删i 、l k 监控网络性能分析，p l c 与组态软仆的通信问题，网络结构的问题， 组态画而的开发问题，数据采集| 1 勺问题，f j 动报斡的问题，数据发布的问题网络f 门优化6 d 题，网络安全问题等等。 在网络物理结构方面，由工业监控网和企业管理网两部分编成，通过一台安装有两 块网卡的计算机作为网关连接两个网络。 业监控网络采h | 多模光纤作为传输主干具 有传输可靠、稳定、抗i b 磁干扰能力强等特点。管理网络采用1 0 m 1 0 0 m 树形以太网结构， 性价比高，易1 ：管理、维护和扩充。实现s c d 性点羽l 面向篱理网络的两级数据采集、 处理功能。实现了两个数据发布_ i i 道一个j i ! 耩】：i w 。h v 的旧形融斫系统”个 址丛j ：i l ：ix 数 ：i ! ：阼( ) c + a s l ，技术的信息系统它们之问优势f 补，苒彳孵k 。l l ：者j l “t | j ；豫“脱的”0 i 盯 圳儿仃! f j 州m 人、功n 乜 ；、埘川柚业l 啊绒n 0 竹州决椎采统发腱 f i f j 优势。! ； i j f 骆j 个j 符个i ：段的再类实寸萃| f 肌史数柳 | ! i ：满址r 箨i ：殿的帆挖需球，m 幽址r n ，；朋1 蹦车”扎的1 1 ；水镒蟛 ，刨l 实叫i _ k 监控嘲络系统，h 幽一些技术上的创新。如：往s 7 - 2 0 0 lr 他川m o d b u s 协议与x 进行通信，解决了s 7 2 0 0 不能够与j f i x 进行通信的洲题。一利解次l o 点数限制 的新型取偷算法，为企业人人的将低了软件成本。基j ia s p 的i f i xi 业数据发布系统，此 种技术在所有的xl ：业控制网络中都有借箍意义，债得提倡和i 摊j “。川xv b a 凋度解 决设稀运行时间统计问题。基丁1 e 插什的网络授权，不向川户提供明文嫩，。、n 令实现网 络授权。纳合川e 网络的实际情况，我1 f j 研究_ r x1 业网络结构中的些优势平缺陷， 提山了x 网坌；! 结构中的三层安全模型。 本篇还深入研究了i ：业网络的安全问题，详细阐述r 一些在实际惠川i 1 广泛存档的安全 隐患。以及其解决办法。 此系统从数据采集、数据监控到数据发布都有臼己的一些特色，1 ：且具有趣女，的稳定 性、可靠性、一可扩展性、易j _ 1 j 性，技术上具有先进性。此种l _ k 控制网络结构对同类麻川 有一定的指导意义。 关键同：、眦控制网络，i f i x ，v b 网络安个 a b 3 t r a c t t 1 1 i sp a p e w 1 1 i c hi sb a s e do nj i a l l g x id e x m gc o p p e rm i n e si e a l t 油ei 1 1 d u s t r i a lc o n t r o i n e t w o r k ，i n t r o d u c e sh o wt ob u i i dah i 一1 一e f n c i e n tl e a i - t j m ei n d u s t a 1c o l l t i o ln e t w o r ka n d “1 e p f o b i e m si n v o l v e ds u c ha sw h a tk n do fi n d u s lr i a ic o n 姐0 s o f t w a r et ou s e c o m m t l n i c a t l o n 1 1 c l w c c l lr i ，c 1 1 1 【li 1 1 i 【l h c t m i n s n i l w a i c m dl 1 吨l ic l n i m ii l c l w o i ks ”l m “i l ，m m is 1 吨l l c o n ”o lg r a p hb u i l d i n g ，n e t w o r ko p t i m i z a t i o na n dn e t w o r ks e c u t m t h en e t w o r kj sd j v i d e di n t oj n d u s t r ia 1c o n t r o ln e t w o r ka n de n t e r d n s em 1 sn e t w o r kw 1 1 c h a r ec o n n e c t e db yac o m 口u t e rw i t ht w on e t w o r ke a r d s f o rt h ei n d u s t r i a lc o n t r o ln e t w o r k a d o p t sf i b r e o p t i cc a b l e s a sb a c k b o n e ，i t1 1 a sc h a r a c t e s i i c sa s r e i i a b l e ， s t a b l ea n d a n t i o a m m i n go f e l e c t r o m a g n e t i s m a n dt h em i sn e t w o r ki s 南a d eu po f1 0 m 1 0 0 ml a n ，i ti s a p tt ob em a n a g e d ，s a f e g u a r d e da n de x p a n d e d t h es y s t e mn o to n l yi m p l e m e l l t ss c a d an o d e a n dt w ol e v e ld a t ac o l i e c i i o n & m a n a 譬e m e n tf o rm l s ，b u ta 【s oi m p i e m e n t st w od a t a d i s t r m u t h l gc 1 1 a n n e i s o n ec 1 1 a n n e li sg r a p hd i s p l a ys y s t e mb a s e do ni w e b s e r v e l ia n dt | 1 eo t l l e l - i si n f o r m a t i o ns y s t e l nb a s e do n f i xd a t a b a s eo d b ca n da s pl e c h n o l o g y t h ef 0 1 m e ri s v i s u a ia n dc o n v e n i e n t t h e a t t e rh a sa b u n d a n td a t aa n df u n c t i o n s ，a n di sp r o n et od e v e l o p i n t od e c i s i o n - m a k ；n gs y s t e n l b y p r o v i d i n g8 l lk i n d so fr ea 1 一t i 1 ea n dh i s f o r yd a 伯o ra 1 1 w o r k s l l o ps c c t i o l lmt h er a c t o r y ，t h ew h o l es y s t en 1 c a l ln o to n l ym e e tw 川1 1 e1 1 e e do f “1 e w o r k s h o pb u ta i s om e1 1 e e do fl h ea d v a n c e d1 1 1 a n a g en l e n ta n ds u p e r v i s 沁n i nt h i sr e a i t i m ej n d u s t r i a lc o n t r o ln e t w o r k ，w ea d o p ts o m en e wt e c l l n o l o 百e s ， e g ，： c o m m u n i c a t i n gb e t w e e ns 7 - 2 0 0a n di f j xw i t hm o d b u sp r o t o c o i ，ak i n do f b j t g e l l i n ga r i t h m e l i c i ob r e a kl op o i n t s si i m i t a t i o n ，j f i xj n d u s l r a ld a t ad i s t r b u 嘶gs y s t e mb a s e do na s p g e 圳n ga | i m a c h i n e s r u n n i n gt j m eb yv b as c h e d u i e ，w e ba u t h o r i z a t i o nb a s e do ni ep il l g - i n sa n dt h r e e 1 a y e r e ds e c u r i t ym o d u l ei ni f i xc o n t r 0 1n e t w o r k 下h i sp a p e ra l s od j s c u s s e s 伪ei n d l s 一a lc o n l r o ln e l w o as e c u r j yd e e p l ya i 埘e x p 剐i a l e s s e c l l r i t yp r o b l e l l l s - mp r a c t i c ea n dt h es o i v m gw a y s t h i ss y s t e m1 1 a si t sn e wa n r i b u t e sj nd a t ac 0 1 i e c t i o n ，d a t ac o n t r o n ga n dd a i ad i s t r b l l t i n g i t j ss e c u r e i e l j a b l e ，s c a l e a b l ea n dc o n v e n i e n i a n di li sd i r e c f i v ef o rm es i m i i a rm 出i s t r i a lc o n t r o i n e t w 0 1 k k e yw o l d s ：l n d l l s t r i a ic o n ”o ln e t w o r k ，i f i x ，v b a ，w e bs e c ur i t y 中南大学硕士毕业论文 第1 章绪论 1 1 课题来源 江西德兴铜矿是亚洲最大的铜矿。它位于江西省的德兴市境内总面积为4 3 平方公 里。已探明铜矿石储量有1 6 3 亿吨，现保有矿石的储量为1 3 2 亿吨。目前，德兴铜矿 正按照江西铜业集团公司建成世界一流铜业公司的战略要求。奋发图强。开拓进取朝 着建成世界一流铜矿山的目标努力奋斗。 泗洲选矿厂是德兴的一个大型选矿厂有6 个生产工段与一个综合工段日处理矿 石量达数万吨。加快企业信息化建设的步伐，进一步提高生产过程信息化监控水平，为 生产的连续、稳定和高效运行提供决策支持，是企业发展的首要任务。2 0 0 1 年上半年 泗洲选矿厂领导和相关人员通过研究论证，决定组建工业实时监控网络系统井与管理 网络有机结合形成面向管理的实时与历史数据发布系统。 经过本厂工程技术人员和有关合作单位的努力，到2 0 0 1 年1 2 月时，泗洲选矿厂 f i x i f i x 组态软件实时监控系统部分完成，将计算机网络通讯光缆敷殴到了各个工段的 中央控制室。组成了工业控制局域网络，并在泗洲选矿厂计算机中心安装了一台专用服 务器管理工业控制局域网络，服务器安装了i n t e l l u c i o n 公司的i f i x 2 5 和 i w e b s e r v e r 2 0 软件；同时，碎一工段和碎二工段的圆锥控制系统( 各用一台s 7 3 0 0p l c 实现) 通过工控计算机接入工业控制局域网络，工控计算机采用f i x 7 0 软件实现了将 上述两个系统生产实时数据采集到专用服务器上。并且通过该服务器以w e b 方式发布。 但是，上述初步建成的系统还存在诸多的问题。首先，碎三工段的工业监控系统是 基于组态王的监控系统，不能够实现与基于i f i x 的工业监控网络实现联网。若要实现全 厂监控系统联网，必须将基于组态王的系统改造成基于i f i x 的一l 业监控系统：其次，在 三个磨矿工段，还需要在每个中控室各新建一个数据采集控制站采用分布式结构，利 用安装有i n t e l l u t i o n 公司的i f i x 组态软件的工业控制计算机组成的上位机系统实现现 场监控。并通过工业控制服务器将生产过程实现数据以w 阻浏览器方式发布。磨三工段 新建的数据采集监控站还必须采集给矿p l c 连锁系统( o m r o np l c ) 和球磨机润滑p l c 系统( f x 2 np l c ) 的有关数据。第三，现系统还不能在企业管理网上获得历史数据，若 要获得数据。必须将这些数据采集到 ：业控制服务器的历史数据库中，使用i w e b s e r v e r 等方式，实现历史数据查询处理功能。第四，生产过程实时监控系统的局域网软硬件资 源，都还有待优化。工业局域网的安全性能还有待评估和提高，使得工业局域网中的各 个现场监控工作站不受到来自i n t r a n e t i n t e r n e t 的非法入侵，以求得可靠和晟优的网 络性能和系统运行效率。 1 2 国内外发展现状 中国的现代化建设正处于上升期，工厂的信息化、管理的自动化都依赖于实时工业 监控网络系统。如何构建数据采集和传输通畅、高效，网络安全可靠，管理方便，容易 维护，二次开发方便的实时监控系统是热门的议题。 工业监控网络系统中的主要问题有：工业组态软件的选用；网络结构的问题”1 ； 网络安全问题：数据处理的问题。 1 2 1 组态软件的发展 “组态”的概念是伴随着集散型控制系统( 叭s t r i b u t e dc o n t r o ls y s t e m 简称d c s ) 的出现才开始被广大的生产过程自动化技术人员所熟知的。由= r 每一套d c s 都是比较通 第2 页 中南大学填二l 毕业论文 用的控制系统。可以应用到很多的领域中，为了使用户在不需要编代码程序的情况下便可 生成适合自己需求的应用系统，每个d c s 厂商在d c s 中都预装了系统软件和应用软件。而 其中的应用软件实际上就是组态软件，但一直没有人给出明确的定义，只是将使用这种 应用软件设计生成目标应用系统的过程称为“组态( c o n f i g ) ”或“做组态”。 组态的概念最早来自英文c o n f i g u r a t i o n 。含义是使用软件工具对计算机及软件的 各种资源进行配置，达到让计算机或软件按照预先设置自动执行特定任务、满足使用者要 求的目的。监控组态软件是面向监控与数据采集( s u p e r v i s o r yc o n t r 0 1a n dd a t 8 a c q u i s i t i o n 简称s c a d a ) 的软件平台工具具有丰富的设置项目。使用方式灵活，功能强 大。监控组态软件最早山现时，删i ( h u m m a nm a c h i n ei n t e r f a c e ) 或m m i ( m a nm a c h i n e i n t e r f a c e ) 是其主要内涵，即主要解决人机图形界面问题。随着它的快速发展，实时数据 库、实时控制、s c a d a 、通讯及联网、开放数据接口、对i o 设备的广泛支持已经成为 它的主要内容。随着技术的发展，监控组态软件将会不断被赋予新的内容。 监控组态软中卜是伴随着计算机技术的突飞猛进发展起来的。6 0 年代虽然计算机开始 涉足工业过程控制但由于计算机技术人员缺乏工厂仪表和工业过程的知识，导致计算机 工业过程系统在各行业的推广速度比较缓慢。7 0 年代初期，微处理器的出现，促进了计算 机控制走向成熟。首先微处理器在提高计算能力的基础上，火火降低了计算机的硬件成 本，缩小了计算机体积，很多从事控制仪表和原来一直就从事：| 业控制计算机的公司先后 推出了新型控制系统。这一历史时期较有代表性的就是1 9 7 5 年美国h o n e y w e l l 公司推出 的世界上第一套d c s t d c 一2 0 0 0 。随后的2 0 年间，d c s 及其计算机控制技术日趋成熟，得到 了广泛应用。此时的d c s 已具有较丰富的软件，包括计算机系统软件( 操作系统) 、组态软 件、控制软件、操作站软件、其它辅助软件( 如通讯软件) 等。 这阶段虽然d c s 技术、市场发展迅速，但软件仍是专用和封闭的。除了在功能上不 断加强外。软件成本一直展高不下，造成d c s 在中小型项目上的单位成本过高，使一些中 小型应用项目不得不放弃使用d c s 。8 0 年代中后期，随着个人计算机的普及和开放系统 ( 0 p e ns y s t e m ) 概念的推广，基于个人计算机的监控系统开始进入市场，并发展壮火。组态 软件作为个人计算机监控系统的重要组成部分，比p c 监控的硬件系统具有更为广阔的发 展空间。这是因为，第一，很多d c s 和p l c 厂家主动公开通讯协议，加入“p c 监控”的阵 营。目前。几乎所有的p l c 和一半以上的d c s 都使_ l _ | p c 作为操作站。第二，由于p c 监控 人大降低了系统成本，使得市场空问得到扩人，从无人值守的远程监视( 如防盗报警、江河 汛情监视、环境监控、电信线路监控、交通管制与监控、矿井报警等) 、数据采集与计量 ( 如居民水电气表的自动抄表、铁道信号采集与记录等) 、数据分析( 如汽车机车自动测 试、机组设备参数测试、医疗化验仪器设备实时数据采集、虚拟仪器、生产线产品质量 抽检等) 到过程控制儿乎无处不用。第三各类智能仪表、调节器和p c b a s e d 设备可与 组态软件构筑完整的低成本自动化系统，具有广阔的市场空间。第四，各类嵌入式系统和 现场总线的异军突起，把组态软件推到了自动化系统主力军的位置。组态软件越来越成为 工业自动化系统中的灵魂。 组态软件之所以同时得到用户和d c s 厂商的认可，有以下几个原因：个人计算机操作 系统日趋稳定可靠实时处理能力增强且价格便宜。个人计算机的软件及开发工具丰富， 使组态软件的功能强大。开发周期相应缩短，软件升级和维护也较方便。 。组态软件作为单独行业的出现是历史的必然。市场竞争的加剧使行业分工越来越细， “大而全”的企业将越来越少( 企业集团除外) 。每个d c s 厂商必须把主要精力用丁他们 本身所擅长的技术领域，巩硎已有优势。如果他们还是软硬件一起做，就很难在竞争中取 胜。今后社会分1 ：会更加细化，表面上看来功能较单一的组态软f i 。其市场刚被挖掘出一 点点，今后的成i 乏空间还相当广阔。组态软件的发展与成妖和网络技术的发展与酱及密不 第3 页 中南大学硕士毕业论文 可分。曾有一个时期，各d c s 厂商的底层网络都是专用的现在则使用国际标准协议，这在 很大程度上促进了组态软件的应用。 现场总线技术的成熟更加促进了组态软件的应用。应该说现场总线是一种特殊的网 络技术其核心内容一是工业应用，二是完成从模拟方式到数学方式的转变，使信息和供 电同在一根双线电缆上传输，还要满足许多技术指标。同其它网络一样现场总线的网络 系统也具备0 s i 的7 层协议，在这个意义上讲，现场总线与普通的网络系统具有相同的属 性。但现场总线设备的种类多，同类总线的产品也分现场设备、耦台器等多种类型。未来 几年，现场总线设备将大量替代现有现场设备，给组态软件带来更多机遇。 能够同时兼容多种操作系统平台是组态软十l 二的发展方向之一。可以预言。微软公司在 操作系统市场上的垄断迟早要被打破未来的组态软件也要求跨操作系统平台，至少要同 时兼容w i n n t 和l i n u x u n i x 。u n i x 系统是计算机软件最早的程序开发环境，整个u n i x 系统可以粗略地分为三层：最下层是一个与具体硬件相联系的多进程操作系统内核。中间 一层是可编程的s h e 命令解释程序，它是用户与系统内核的接口是整个u n i x 环境中灵 活使用与扩展各种软件工具的工具。最外层是用户的实用工具，有多种程序语言、数据库 管理系统及一系列进行应用开发的实用二【：具。 在嵌入式摧体方案中将发挥更大作_ | ；l 。前面已讲过，微处理器技术的发展会带动控制 技术及监控组态软件的发展，目前嵌入式系统的发展速度极为迅猛，但相鹿的软件尤其是 组态软件滞后较严重。制约着嵌入式系统的发展 组态软件在c i m s 应用中将起到重要作用。美国h a i r i n g t o n 博士于1 9 7 3 年提出了 c i m s ( c o m p u t e ri n t e g r a t e dm a n u f a c t u r i n g 一计算机集成制造) 的概念，主要l 山容有：企业 内部生产各环节密不可分，需统筹协调：工厂的生产过程，实质就是对信息的收集、传递、 加工和处理的过程。c i m s 所追求的目标是使工厂的管理、生产、经营、服务全自动化、 科学化、受控化，最大限度地发挥企业中人、资源、信息的作用，提高企业运转效率和市 场应变能力、降低成本。c i m s 的概念不仅适用于离散形生产流程的企业，同样适用于生 产连续型的流程行业，在流程行业也有人叫做c i p s ( c o m p u t e ri n t e g r a t e dp r o c e s s s y s t e m ) 。组态软件在企业c i m s 发展过程中能够发挥下面几方面的作用：充当d c s ( 含p l c ) 的操作站软件，尤其是p c _ b a s e d 监控系统。以往各企业只注重在关键装置上投资，引进自 动化控制设备而在诸如公用工程( 如能源监测、原材料管理、产成品管理、产品质量监 控、自动化验分析、生产设备状态监视等) 生产环节则重视程度不够。这种一个企业内部 各部门间自动化程度的不协调也将影响c i m s 的进程受到损失的将是企业本身。组态软 什在这方面。即技术改造方面也会发挥更人的作用，促进企业低成本、高效率地实现金厂 的信息化建设。由于组态软什具有丰富的i 0 设备接口，能与绝大多数控制装置相联。具 有分布式实时数据库，可以解决分散的“自动化孤岛”互联问题。大幅节省c i m s 建设所需 的投资。件随着c i m s 技术的推广与应用，组态软件将逐渐发展成为火型平台软件，以原有 的图形用户接口、i 0 驱动、分布式实时数据库、软逻辑等为基础将派生出大量的实用 软件组件，如先进控制软件包、数据分析工具等。 信息化社会的到来为组态软件拓展了更多的应用领域。组态软件的应用不仅仅局限 在工业企业，在农业、环保、邮政、电信、实验室、医院、金融、交通、航空等各行各业 均能找到使用组态软件的实例。 目前国内外的工业组态软件有：组态王，力控，m c g s ，i f i x c i t e c t ，l n t o u c h 、 c i m p il i c y 等数百种。我国以组态王、力控为代表的监控组态软件已取得了优良的业绩， 国内组态软件是在借鉴国际同类产品的基础上发展起来的起点明显比国外高，发展速 度也快，在可靠性平稳定性方面，国内外产品的水平不相上下，用户在使用过程中通过 比较就会得出相应的结论。但是国外的组态软件i f i x 依然是工业控制领域的功能最强大、 第4 页 中南太学硕二b 毕业论文 影响最大和使州范围最广的。x 支持w i n n t 及w j n 2 0 0 0 平台。支持w i n 2 0 0 0 终端技 术( t e r m i n a ls e r v e r ) ，支持基于因特网的远程线组态。即插即解决结构及c o m ，d c o m 组 件技术。支持a c t i v e x 控件。安全容器的专利技术，保证系统稳定运行。功能强大的微 软标准描述语言。嵌入式v b a ( v i s u a lb a s i cf o r a p p l i c a t i o n ) 。标准s q l ，o d b c 接口，直 接集成关系数据库及管理系统。真止的实时客户，服务器模式允许最大的规模可扩展性。 多重冗余支持s c a d a 冗余；通道冗余；l a n 网冗余；控制器冗余；客户端冗余。调度处理 器使任务可以基于时间或事什触发，根据需要在前台或后台运行。先进的报警和l 信息管 理提供无限制的报警区域和报警计数器，报警过滤和远程报警管理等功能。高度免编程 关系数据库引擎v i s c o n x 控件集。 1 2 2 工业网络结构的发展 9 0 年代以来，以i n t e r n e t 为代表的计算机信息产业和数据通信网络蓬勃兴起，发展 迅速，同样也对工业自动化领域形成强大的冲击。新型集散控制系统( d c s ) 、现场总线 ( f b ) 、： 业局域网、企业网等工业计算机网络火量涌现，数字化、智能化、网络化的潮流 势不可挡。 工业计算机网络的由来与发展。数字计算机涉足自动控制系统由来已久。在工业生 产中，尽管单台计算机和其他可编程设备的应川已显著改善了劳动条什提高了生产效率 但日益激烈的市场竞争环境要求企业实现计算机控制和管理一体化，要求建立单个设备 之间的信息联系，即建立沟通所有信息流的通信系统，以提高整体运作效率，获取更大的 经济效茄。在这种形势1 f ，工业计算机网络应运而生。 现场总线的引入使得工业计算机网络的结构趋于完整，功能更加强大。 ：业计算机网 络的发展与微处理器进入过程控制系统各级的时期密切相关。过去，控制系统中存在的薄 弱环节，即现场检测、变送与执行元件的数字化与智能化问题，一直阻碍着工业网络向现 场级的深入与扩展。1 9 8 3 年，美国h o n e y w e l l 公司推出了s t 3 0 0 0 数字压力变送器，它带 有一个微处理器和一个r o m ，具有通信功能，可在4 2 0 ma 双绞线上与智能现场通信器 ( s f c ) 进行通信，并由s f c 或网络工作站进行远程访问。此后，世界各国的著名变送器厂家 也陆续生产出了各种数字化传感、变送产品。在此基础上，现场总线技术很快发展起来 来自工厂现场设备的数据通信量无疑是很大的，若用载波频带子网费用较大，用传统的点 点互连效率低。连接的数目有限，且控制复杂比较理想的方法是采用现场总线，也就是将 现场传感器、变送器、现场仪表及执行部件等连接在单独的总线上，通过网络互连设备与 载波频带子网上的控制器通信或者直接与控制器共同组网。由此，形成了不同层次的现场 总线产品，如r s 一4 8 5 、p r o f i b u s 、c a n b u s 、l o n w o r k s 等。 工业控制网络的扩展朝向两个层面，一是引入现场总线技术，将网络延伸至现场级： 二是与企业管理信息系统( m i s ) 结合，构成管控一体化网络。美国w a y s o n 公司9 0 年代中 期推出的集成信息化集散控制系统i2 d c s ( i n t e r g r a t e di n f o r m a t i o nd c s ) ，就是后一种工 业网络的典型产品。 1 2 3 工业网络安全及其现状 由于操作系统、应用软件的漏洞，不台理的网络结构网络管理员的疏忽工业企 业内部网接入i n t e r n e t 后，工业网络的安全面i 描着严峻的挑战。如何构造一个安全的网 络系统，是国内外反复研讨的问题。工业网络的安全性与一般企业网络基本安全要求一 样，国内外很多十分成熟的通用网络安全技术都可以应用到工业网络结构上来，如防火 墒技术，访问控制策略，认证技术，加密技术，反病毒技术等等。 防火墒是近期发展起来的一种保护计算机网络安全的技术性措施。它是一种将内部 第5 页 中南人学硕i j 毕业论文 网络和外部网络分开的方法，实际上是一种隔离控制技术。川专业语言来说所谓防火 墙就是个或一编网络设备( 计算机线路由器昝) 。从理论上讲。防火墙是由软件和硬件 两部分组成。防火墙是在某个机构的内部网络和不安全的外部网络之问设置障槲阻止 对信息资源的非法访问，也可以阻止保密信息从受保护的网络上非法输出。从某种意义 上来说。防火墙实际上代表了一个网络的访问原则。如果某个网络决定配置防火墙，那 么首先需要由网络决策人员及网络专家共同决定网络的安全策略，即确定哪些类型的信 息允许通过防火墒。哪些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位 的安全策略，对外部网络与内部网络交流的信息进行检奄，符合的通过，不符合的拒绝。 防火墙已成为实现安全策略的最有效工具之一，井被广泛应川在i n t e r n e t 上。防火墙的 基本实现技术主要有3 种：包过滤技术，应用层网关( 代理服务) 技术利状态监视器技 术。各种类搿都有其特有的优点也有其雉以克服的缺点。 包过滤技术。在i n t e r n e t 这样的t c p i p 网络上，所有往来的信息都被分割成许许 多多一定长度的信息包，包中包含发送者的i p 地址和接收者的i p 地址信息。当这些信 息包被送上i n t e r n e t 时，路由器会读取接收者的i p 地址井选择一条合适的物理线路发 送出去。信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会巫新纽装 还原。数据包过滤防火墒的技术核心是对流经防火墙的每个数据包进行审斋，分析其包 头中所包含的源地址、目的地址、封装协议( t c p 、u d p 、i c m p 、i pt u n n e l 等) 源端口 号和日的端口号、输入输山接口等信息，确定其是否与系统预先定的安全策略相匹配， 以决定允许或拒绝该数据包的通过，从而起到保护内部网络的作j l ；i j ，这一过程就称为数 据包过滤。 应j = i j l 网关技术。廊_ l = i j 网关技术实际上是一种基于代理服务器的防火墙技术，代理服 务器适应于特定的i n t e r n e t 服务，i i t t p f t p 等等。在一般的情况r ，代理服务器可同 时用作麻用网关米保护i ! | 部网络的安全。代理服务器通常运行在两个网络之问。来自外 部的入侵者必须首先突破代理服务器的防线侵入到代理服务器中，然后才有可能对 i n t e r n e t 内部网的汁算机进行入侵。冈此只需要在代理服务器上严密地监控和防守，就 可以比较容易地防止米自外部的入侵者侵入内部计算机系统。这时代理服务器就成为将 i n t r a n e t 币ii n t e r n e t 个离开的一堵防火墙。代理服务器既作为内部网客户机的服务器 主机，叉作为外部网服务器的一台客户机。当代理服务器接收到川户对某站点的访问请 求时，会检查该请求是否符合规定如果规则允许川户访问该站点的活，代理服务器会 到被用户访问的站点取回所需信息再转发给用户。代理服务器会像一堵墙一样挡在内部 用户和外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户 的i p 地址等。应用级网关型防火墙的优点是：较为可靠，可以产生比较详尽的访问日志 以便于抓获黑客；缺点是：使网络速度变设，不允许用户直接访问网络对于h t t p f t p 等不同网络服务要有不同的客户端软件米支持否则不能止常 作。 状态j ：i 测技术。状态监测技术是基于状态检查的动态包过滤防火墒技术，它是一种 新型的防火墙技术。这种防火墙具有非常好的安全特性，它使用了一个在网关上执行网 络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下， 采用抽取有关数据的方法对刚络的各层实施监测抽取状态信息井动态地保存起来作 为以后执行安全策略的参考。监测引擎支持多种协议和鹿_ e = i 程序并可以很容易地实现 应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状 态监视器要抽取有关数据进行分析，结合网络再己置和安全规定做出接纳、拒绝、身份认 证、报警或给该通信加密等处理动作。这种类型防火墙的优点是：会主动拒绝违规访问、 产生访问日志：缺点是：配置较为复杂，使网络速度降低。 网络安全的另一个非常重要的手段就是加密技术。防火墙技术是一种被动的防卫技 第6 页 中南大学硕士毕业论文 术，对内部的非法访问难以有效地控制，加密技术则是一种主动的防卫手段。因此要保 障网络信息的安全就应当用现代密码学来助阵。加密型网络安全技术的基本思想是通 过对网络数据的加密来保障网络的安全可靠。数据加密技术可以分为三类。对称型加密、 不对称型加密和不可逆加密。加密的目的是保护网内的数据、文件、口令和控制信息， 保护网上传送的数据。网络加密常用的方法有链路加密、端端加密和1 ，点加密三种，链 路加密的目的是保护网络节点之间的链路信息安全：端一端加密的目的是对源端用户到 目的端川户的数据提供保护：节点加密的目的是对源节点到目的节点之间的传输链路提 供保护。用户可根据网络情况酌情选择上述加密方式。数据加密过程由各种加密算法实 现它以很小的代价提供很大的安全保护。据不完全统计到目前为i t ，已公开发表的 加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分 为常规密码算法( 对称密码算法) 军公钥密码算法( 非对称密码算法) 。在常规密码中， 收信方和发信方使用相同的密码，即加密密钥和解密密钥搓相同和等价的。比较著名的 常规密码算法有：美国的d e s 及其各种变形比如，t r i p l ed e s ，g d e s n e wd e s 和d e s 的前身l u c i f e r ：欧洲的i d 队；日本的f e a l n l o k i 一9 l 。s k i p j a c k ，r c 4 ，r c 5 以及以代换 密码和移位密码为代表的古典密码等。在众多的常规密码中影响最大的是d e s 密码。对 称密码的优点是有很强的保密强度，且能经受住时间的检验和攻击但其密钥必须通过 安全的途径传送，密钥管理困难。 在公钥密码中，收信方和发信方使用的密钥互不相同而且几乎不可能从加密密码 推导山解密密码。比较著名的公钥密码算法有：r s a 、背包密码、m e l l li e c e 、d i f f e h l l m n 、 r a b i n 、o n g f i a t s h a m i r 、零知识证明的算法、椭圆曲线、e i g a m a l 算法等等。最有影 响的公钥密码算法是r s a 。它能抵抗到目前为止已知的密码攻击。公钥密码的优点是可 以适应网络的开放性要求，且密钥管理问题也较为简单尤其可方便地实现数字签名和 验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术 的发展，公钥密码算法将是一种很有前途的网络安全加密体制。在实际应用中人们通常 将常规密码和公钥密码结合在一起使用。 不可逆加密使用单向散列函数将任何可变跃的输入转换成同定k 度的散列值，主要 用于数字签名。著名的散列算法有：m d 2 m d 4 ，m d 5 ，s h a ，这种算法对任意跃度的输入报文 都产生一个1 2 8 b i t 的“指纹”或“报文摘要”作为输出。 入侵检测技术是一种新型网络安全技术，目的是提供实时的入侵检测及采取相应的 防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重 要首先是它能够作为防火墙技术的补充，弥补防火墙技术的不足，能对付来自内部网 络的攻击。 反病毒技术包括病毒预防、病毒检测、病毒消除三种。具体实现方法是对网络服务 器中的文件进行频繁地扫描和监测，但面对因特网上不断山现的新型病毒，传统的反病 毒软件显得苍白无力，为此许多网络安全专家和计算机公司纷纷推出新的病毒防范产 品，这些产品能够及时监视通过因特网传入汁算机的数据正确判断数据携带的病毒并 将病毒杀除，有效地防止病毒从因特网感染到计算机上。 1 3 课题的目标 实现全厂数1 0 种不同类型p l c 和f i x i f i x 进行通信。从研究i f i x 与不同p l c 之间 通信的殴务驱动穰序、分析由p l c 构成的控制网络物理结构山发，找到一些p l c 未能与 i f i x 之间通信的原困并解决问题。 川f ix i f i x 构建分布式的网络结构。在全厂6 个生产工段建立6 个s c a d a 节点，采 用星形网络将各个s c a d a 节点和其他节点连接起来。 第7 页 中南人学倾i ：毕业论文 开发全厂6 个i ：段的组态监控画面。在各个诲点开发组态监控画面，使得能够在中 控室中就能够方便的获取工业生产情况重要的实时生产数据都能够从中控室( j ：业控 制网) 中获得。能够实现特定的工业应用如自动报警功能，网络控制功能：如果生产 工段出现报警信号在中控室就能够自动实现报警，通知管理人员进行处理。操作人员 可以根据需要在j r = 业生产网上方便且安全的修改：| _ _ = 业设备生产参数。 创建f i x i f i x 历史数据库，使川i w e b s e r v e r 等技术实现基于w e b 的工业数据发布 系统。使得在企业管理网上和外部i n t e r n e t 上都能够根据授权十分方便的获得所需要的 历史和实时工业数据。 对一些重要的数据进行处理，一定程度上实现管理自动化。如实现全厂重要设备的 运行时间统计，放入特定的数据库内。实现一些信号的统计分析，如某段时间内的平均 值。最大值，最小值，累加值等。 实现整个网络的安全可靠，对可靠程度进行评估。开发网络授权i e 插件，实现工业 网络授权访问。 对整个系统进行优化设计。 提山系统长远稳定运行和扩充发展的策略。 第8 页 中南大学颂一i ：毕业论文 第2 章系统描述 2 1 系统结构 泗洲选矿厂f i x i f i x 组态软件实时监控系统的结构如图2 一l 所示。它是一个星形的 网络拓扑结构刚络分三个层次。第一个层次是底层p l c ，主要实现的是p l c 与s c a d ap c 的通信，将：i ：业数据采集到计算机。第二个层次是s c a d a 节点以以及数据服务器，属于 ：业控制网络在此层次上可以进行：扮点间数据的互访和监控，实现s c a d ap c 到 i n t r a n e tp c 的通信。第三个层次是企业管理网络，由企业管理网络负责与i n t e r n e t 通 信。 图2 1 实时监控系统的结构 系统的主要配置如下： i w e b s e r v e r 服务器： i i p 服务器p e n t i u mi i i9 3 3 m 3 8 4 m 2 0 g i f i x 2 6 i w e b s e r v e r2 0 w i n d o w sn ts e r v e r4 0 + s p 6 网络交换殴备： d p l i n kd f e 一8 5 5 f a s te t h e r n e tc o n v e r t e r ：3 c o ms w i t c h6 1 0 笫9 页 中南大学颂十毕业论文 碎一工作站 一i ：控机研华p e n t i u m i l 3 0 0 6 4 m l o g w i n d o w sn tw o r k s t a t i o n4 o + f i x 7 0 碎二。j ：作站 工控机研华p e n t i u m i l 3 0 0 6 4 m 1 0 g w i n d o w sn tw o r k s t a t i o n4 o + f i x 7 o 碎三工作站 ：l ：控机研华p e n t i u m i l 3 0 0 1 2 8 m 2 0 g w i n d o w sn tw o r k s t a t i o n4 0 + i f i x2 5 磨一 ：作站 ：r 控机研华p e n t i u m i i i8 3 3 2 5 6 m 4 0 g w i n d o w sn tw o r k s t a t i o n4 0 十i f i x 2 5 磨二工作站 j i ：控机研华p e n t i u m i i i8 3 3 2 5 6 m 4 0 g w i n d o w sn tw o r k s t a t j o n4 0 + i f i x 2 5 磨三 ：作站 j r 控机研华p e n t i u m i i i8 3 3 2 5 6 m 4 0 g w i n d o w sn tw o r k s t a ti o n4 0 + i f i x 2 5 2 2 系统功能与特点 泗洲选矿厂基丁f i x i f i x 组态软件的实时监控系统已经建成。它能够实现s c a d a 节点和面向管理网络的两级数据采集、处理雨发布功能，涵盖了全厂各个： 段的各类实 时和历史数据，既满足了各工段的监控需求，也满足了高层管理和监控的基本需要。同 时系统具有良好的稳定性、可靠性、易用性技术上具有先进性。 系统的主要技术特点是； 1 )：叫监控网络采多模光纤作为传输主干具有传输可靠、稳定、抗电磁干扰能力 强等特点。为使网络能够k 划稳定运