一種具有安全機制的PROFIBUS嵌入式Web網(wǎng)關(guān)的制作方法
【專利摘要】本發(fā)明為一種具有安全機制的將PROFIBUS接入Internet的嵌入式Web網(wǎng)關(guān)�,硬件主要包括ARM9處理器����、PROFIBUS通信接口電路、Internet通信接口電路等���,軟件架構(gòu)包括嵌入式Linux操作系統(tǒng)�、嵌入式Web服務(wù)器���、數(shù)據(jù)庫等�。將PROFIBUS通過該網(wǎng)關(guān)接入Internet時,網(wǎng)關(guān)上同時采用強制訪問控制思想進(jìn)行用戶訪問控制���、SSL套接層協(xié)議對數(shù)據(jù)進(jìn)行加密傳輸����、分類系統(tǒng)日志對系統(tǒng)提供不可抵賴性服務(wù)這三種措施對系統(tǒng)進(jìn)行保護(hù)�。通過過該網(wǎng)關(guān),用戶可以通過Internet對PROFIBUS總線上的設(shè)備進(jìn)行方便���、實時地遠(yuǎn)程監(jiān)控���,同時設(shè)計的安全機制對PROFIBUS系統(tǒng)提供較高的安全保障。
【專利說明】—種具有安全機制的PROFIBUS嵌入式Web網(wǎng)關(guān)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于工業(yè)自動化(工業(yè)通信)領(lǐng)域�,涉及一種基于ARM9平臺和嵌入式Linux操作系統(tǒng)平臺的、將PROFIBUS-DP網(wǎng)絡(luò)接入Internet互聯(lián)網(wǎng)時的嵌入式安全Web網(wǎng)關(guān)裝置����,特別涉及基于嵌入式Web技術(shù)訪問PROFIBUS-DP總線上設(shè)備的安全訪問機制。
【背景技術(shù)】
[0002]PROFIBUS是目前最流行的現(xiàn)場總線之一��,是全球范圍內(nèi)唯一能夠以標(biāo)準(zhǔn)方式應(yīng)用于包括制造業(yè)�����、流程業(yè)及混合自動化領(lǐng)域并貫穿整個工藝過程的單一現(xiàn)場總線技術(shù)�����。它將企業(yè)現(xiàn)場控制系統(tǒng)與底層設(shè)備相連����,構(gòu)成企業(yè)的控制層網(wǎng)絡(luò)。傳統(tǒng)的企業(yè)控制層網(wǎng)絡(luò)和企業(yè)信息網(wǎng)絡(luò)相對孤立封閉����,企業(yè)的管理層和技術(shù)人員只有親臨現(xiàn)場或者通過定期的上報文件來了解現(xiàn)場生產(chǎn)狀況。在信息瞬息萬變的時代��,企業(yè)的生存與發(fā)展很大程度上依賴于對現(xiàn)場設(shè)備運行狀況的了解并且做出正確��、及時的決策���。
[0003]Web技術(shù)自1992年發(fā)布以來就以其圖形化����、與平臺無關(guān)����、分布式����、動態(tài)的���、交互的特點獲得青睞����,使得全世界的人們以史無前例的規(guī)模相互交流�,目前已成為互聯(lián)網(wǎng)中最重要的服務(wù)和最有前途的訪問工具。并且隨著嵌入式技術(shù)的快速發(fā)展��,在嵌入式設(shè)備上構(gòu)建嵌入式Web服務(wù)器已經(jīng)越來越弓丨起人們的關(guān)注����。目前一些公司開發(fā)嵌入式Web服務(wù)器軟件來實現(xiàn)在嵌入式設(shè)備上構(gòu)建嵌入式Web服務(wù)器。
[0004]嵌入式Web系統(tǒng)的安全技術(shù)作為網(wǎng)絡(luò)安全技術(shù)的一個分支也得到了快速的發(fā)展���。然而目前���,針對工業(yè)網(wǎng)絡(luò)中嵌入式Web系統(tǒng)安全問題的研究還很少,根據(jù)嵌入式Web系統(tǒng)面臨的安全威脅以及嵌入式系統(tǒng)資源有限�����、處理能力較差等特點,不能使用PC機的現(xiàn)有的���、復(fù)雜的網(wǎng)絡(luò)安全技術(shù)來保護(hù)其安全性。
[0005]目前嵌入式安全領(lǐng)域還處在探索階段���,已存在嵌入式系統(tǒng)的安全性研究都是針對某一個方面進(jìn)行研究��,即從某個角度給系統(tǒng)提供安全性保證�,沒有針對具體的嵌入式系統(tǒng)的應(yīng)用場景給出比較完善的安全策略�。本發(fā)明針對將PROFIBUS-DP網(wǎng)絡(luò)接入Internet的嵌入式Web網(wǎng)關(guān)的應(yīng)用場景,介紹了一種具有安全機制的能將PROFIBUS-DP網(wǎng)絡(luò)接入Internet互聯(lián)網(wǎng)的嵌入式安全Web網(wǎng)關(guān)����。利用該網(wǎng)關(guān),在為PR0FIBUS-DP上的設(shè)備提供有效的安全保護(hù)的同時����,合法用戶只需通過Internet互聯(lián)網(wǎng)和通用的瀏覽器就可以對PR0FIBUS-DP上的設(shè)備進(jìn)行遠(yuǎn)程實時和安全監(jiān)控。
【發(fā)明內(nèi)容】
[0006]為實現(xiàn)本發(fā)明的目的����,采取的技術(shù)方案如下。
[0007]一種具有Web功能和安全防范機制�����、用于實現(xiàn)PR0FIBUS-DP網(wǎng)絡(luò)和Internet網(wǎng)絡(luò)互聯(lián)的嵌入式網(wǎng)關(guān)。其特點如下所述��。
[0008]一種用于實現(xiàn)PR0FIBUS-DP網(wǎng)絡(luò)和Internet網(wǎng)絡(luò)互聯(lián)的網(wǎng)關(guān)裝置�����,硬件主要包括以ARM9為內(nèi)核的三星的S3C2450微處理器作為核心的CPU����,PR0FIBUS-DP物理層接口,網(wǎng)絡(luò)接口芯片LAN91C111����,存儲器等。網(wǎng)關(guān)內(nèi)部植入嵌入式Web服務(wù)器模塊�����、安全管控模塊����。該嵌入式網(wǎng)關(guān)利用CPU對網(wǎng)絡(luò)連接、訪問權(quán)限及數(shù)據(jù)傳輸進(jìn)行管控�。
[0009]網(wǎng)關(guān)內(nèi)部的嵌入式Web服務(wù)器模塊����,主要實現(xiàn)用戶與設(shè)備的動態(tài)交互�����,用戶訪問設(shè)備時�����,Web服務(wù)器能將設(shè)備信息實時地以網(wǎng)頁的形式發(fā)布到客戶端��。網(wǎng)關(guān)采用B/S模式實現(xiàn)客戶對嵌入式Web服務(wù)器的訪問����,客戶通過瀏覽器���、Internet網(wǎng)絡(luò)和網(wǎng)關(guān)向PROFIBUS-DP總線上的設(shè)備發(fā)出操作請求����,嵌入式Web網(wǎng)關(guān)作為主站負(fù)責(zé)向從站發(fā)出設(shè)備查詢請求或者控制請求�����,從站響應(yīng)主站的請求向主站傳送數(shù)據(jù),并將設(shè)備信息借助Web服務(wù)器以網(wǎng)頁的形式發(fā)布出去���。本發(fā)明的Web服務(wù)器架構(gòu)采用了 Web服務(wù)器涉及的兩種關(guān)鍵技術(shù):數(shù)據(jù)庫技術(shù)和CGI動態(tài)網(wǎng)頁技術(shù)��。其中本發(fā)明中的數(shù)據(jù)庫用于管理用戶信息和設(shè)備信息�,CGI主要實現(xiàn)Web服務(wù)器和現(xiàn)場PROFIBUS-DP總線上設(shè)備的動態(tài)�、實時交互。
[0010]網(wǎng)關(guān)中的安全模塊分別從機密性��、完整性�����、認(rèn)證和不可抵賴性四個方面設(shè)計了安全機制和防范功能�,可以有效防止來自網(wǎng)絡(luò)的非法訪問和惡意攻擊,保證PROFIBUS-DP總線上設(shè)備和企業(yè)信息的安全�。本項發(fā)明的安全機制主要包含三個方面:第一是設(shè)置了合適的訪問控制機制,防止非法用戶的非法訪問以及合法用戶的越權(quán)訪問���;本發(fā)明利用SQLite建立一個授權(quán)數(shù)據(jù)庫�����,數(shù)據(jù)庫包含相應(yīng)的用戶名�、密碼和用戶權(quán)限;通過本項發(fā)明設(shè)計的CGI應(yīng)用程序進(jìn)行用戶身份的認(rèn)證���,CGI應(yīng)用程序讀取用戶在瀏覽器端輸入的用戶信息�,并操作授權(quán)數(shù)據(jù)庫���,確定訪客的訪問權(quán)限���。第二是數(shù)據(jù)保密傳輸和認(rèn)證(鑒別),確保數(shù)據(jù)的真實性���,防止竊聽、竄改��、冒充等主動攻擊���;本發(fā)明在嵌入式Web網(wǎng)關(guān)里移植嵌入式SSL (安全套接層)協(xié)議��,在SSL協(xié)議上進(jìn)行HTTP通信����,用戶名�、口令以及設(shè)備數(shù)據(jù)成為加密SSL數(shù)據(jù)流的一部分����,保證在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包不會被泄露���、竊聽�����、截獲或偽造��。第三是嵌入式網(wǎng)關(guān)自身的安全保障機制�,防止攻擊者通過非法操作來獲取服務(wù)器中機密文件�、甚至損壞服務(wù)器,同時網(wǎng)關(guān)還提供相應(yīng)的機制實現(xiàn)不可抵賴性服務(wù)��。具體方法是�,首先網(wǎng)關(guān)服務(wù)器的配置文件和用戶數(shù)據(jù)庫等關(guān)鍵文件要通過將網(wǎng)關(guān)經(jīng)串口連接到計算機上的終端進(jìn)行修改和配置,不能通過不可信的Internet網(wǎng)絡(luò)環(huán)境修改���;其次在CGI腳本的執(zhí)行方式上�����,將所有的CGI腳本都放在服務(wù)器配置指定的目錄下���,Linux命令外殼放在另外單獨的目錄下��;最后建立了分類記錄網(wǎng)關(guān)系統(tǒng)訪問日志��,存儲包括合法用戶訪問系統(tǒng)記錄和異常登陸的記錄���。系統(tǒng)最高級管理員可以通過查看系統(tǒng)日志來監(jiān)視系統(tǒng)的歷史運行記錄,監(jiān)督管理員用戶和普通用戶的行為���,了解系統(tǒng)異常登陸狀況�,或者尋找系統(tǒng)受到攻擊時攻擊者留下的痕跡����,這樣有助于最高級管理員及時發(fā)現(xiàn)系統(tǒng)漏洞�����。
[0011 ] 本發(fā)明有如下幾個優(yōu)點�����。
[0012]I)設(shè)計了實現(xiàn)PROFIBUS-DP現(xiàn)場總線網(wǎng)絡(luò)和Internet網(wǎng)絡(luò)互聯(lián)的專用協(xié)議轉(zhuǎn)換網(wǎng)關(guān),在不改變兩種異構(gòu)網(wǎng)絡(luò)現(xiàn)有結(jié)構(gòu)的基礎(chǔ)上�����,可直接實現(xiàn)兩種異構(gòu)網(wǎng)絡(luò)的互聯(lián)通信��,保護(hù)了企業(yè)現(xiàn)有投資及降低了開發(fā)成本���。
[0013]2)在實現(xiàn)協(xié)議轉(zhuǎn)換功能基礎(chǔ)上����,本項發(fā)明的網(wǎng)關(guān)���,增加了 Web服務(wù)器功能�,利用嵌入式Web服務(wù)器�����,用戶可以通過友好的圖形化接口界面���,便捷地對PROFIBUS-DP現(xiàn)場總線上的設(shè)備進(jìn)行遠(yuǎn)程實時監(jiān)控和管理��,這也是工業(yè)控制網(wǎng)絡(luò)化以后發(fā)展的必然趨勢���。
[0014]3)本項發(fā)明的網(wǎng)關(guān)內(nèi)部設(shè)計的緊湊的嵌入式Web網(wǎng)關(guān)的安全策略���,能對系統(tǒng)提供較為全面的安全保障,同時占用資源低����,具有廣泛的應(yīng)用價值。
【專利附圖】
【附圖說明】
[0015]圖1為本發(fā)明中嵌入式Web網(wǎng)關(guān)硬件結(jié)構(gòu)框圖�。
[0016]圖2為本發(fā)明中PROFIBUS-DP與TCP/IP協(xié)議轉(zhuǎn)換原理圖。
[0017]圖3為本發(fā)明中具有安全機制的嵌入式Web網(wǎng)關(guān)的體系結(jié)構(gòu)�。
[0018]圖4為本發(fā)明具體應(yīng)用場景示意圖。
【具體實施方式】
[0019]下面結(jié)合附圖對本發(fā)明的一個優(yōu)選實施方式進(jìn)行說明�。
[0020]本發(fā)明的嵌入式Web網(wǎng)關(guān)硬件結(jié)構(gòu)框圖如圖1所示,本發(fā)明以ARM9為內(nèi)核的三星的S3C2450微處理器作為核心的CPU�����,包括網(wǎng)絡(luò)接口芯片LAN91C111��、復(fù)位電路���、電源電路、以及大容量的SDRAM和FLASH存儲器等��,同時具備PROFIBUS接口、數(shù)據(jù)串口�����、JTAG接口等����。[0021 ] 本發(fā)明中PROFIBUS-DP與TCP/IP協(xié)議轉(zhuǎn)換原理如圖2所示,協(xié)議轉(zhuǎn)換的過程就是數(shù)據(jù)封裝和解封裝的過程�,封裝的過程即是將上層交付的協(xié)議數(shù)據(jù)單元H)U (ProtocolData Unit)加上自己的控制信息形成本層TOU的過程,而解封裝的過程就是去掉本層TOU控制信息從而得到上層rou的過程��。
[0022]本發(fā)明中嵌入式Web網(wǎng)關(guān)的安全體系架構(gòu)如圖3所示�����,Web服務(wù)器的軟件系統(tǒng)包括四個部分:(I) HTTP引擎�����;(2 )安全模塊����;(3 )配置模塊;(4 )應(yīng)用程序接口模塊����。
[0023](I)HTTP引擎負(fù)責(zé)響應(yīng)管理者提交的對PR0FIBUS-DP總線上設(shè)備的狀態(tài)查詢��、控制等請求�����。
[0024](2)本項發(fā)明在安全模塊中利用SQLite建立一個授權(quán)數(shù)據(jù)庫��,數(shù)據(jù)庫包含相應(yīng)的用戶名���、密碼和用戶權(quán)限,而設(shè)計的客戶端登陸界面則不顯示用戶權(quán)限�����,只顯示用戶名和密碼輸入?yún)^(qū)���,這樣保證了信息的隱蔽性��,防止了一些非法用戶的蓄意破壞�。
[0025]本項發(fā)明設(shè)計相應(yīng)的CGI應(yīng)用程序進(jìn)行用戶身份的認(rèn)證���,CGI應(yīng)用程序讀取用戶在瀏覽器端輸入的用戶信息�����,并操作授權(quán)數(shù)據(jù)庫�,看是否為合法用戶以及合法用戶的相應(yīng)權(quán)限�,如果不是合法用戶則禁止訪問,如果是合法用戶�,再看其權(quán)限是管理員還是普通用戶,并根據(jù)相應(yīng)的權(quán)限返回相應(yīng)的操作界面�����。
[0026]本項發(fā)明在安全模塊中植入嵌入式SSL協(xié)議����,并在Appweb服務(wù)器的配置文件里啟用SSL。在SSL協(xié)議上進(jìn)行HTTP通信���,用戶名��、口令以及設(shè)備數(shù)據(jù)就成為了加密SSL數(shù)據(jù)流的一部分�����,所以在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包不會被泄露����、竊聽、截獲或偽造��,這樣保證了傳輸數(shù)據(jù)的安全�����。
[0027](3)配置模塊使系統(tǒng)最高級管理員可以設(shè)置嵌入式Web服務(wù)器的參數(shù)�����。在系統(tǒng)啟動中定義的配置環(huán)境變量包括Socket端口����、主機名稱、根文件路徑�、缺省初始文件等。
[0028](4)應(yīng)用程序接口模塊�����,這部分是嵌入式Web服務(wù)器軟件系統(tǒng)的核心��,它實現(xiàn)與嵌入式操作系統(tǒng)的數(shù)據(jù)交換。嵌入式Web服務(wù)器中���,應(yīng)用程序接口與嵌入式操作系統(tǒng)通信��,調(diào)用CGI應(yīng)用程序��,CGI應(yīng)用程序按照CGI規(guī)范讀取從Web服務(wù)器傳遞來的各種信息,并對客戶端的請求進(jìn)行解釋和處理���,包括操作嵌入式數(shù)據(jù)庫進(jìn)行用戶身份認(rèn)證以及與總線上設(shè)備信息交互等����。最后將處理結(jié)果按照CGI規(guī)范返回給Web服務(wù)器��。
[0029]圖4為本發(fā)明具體應(yīng)用場景不意圖����。本項發(fā)明中具有安全機制的嵌入式Web網(wǎng)關(guān)具有協(xié)議轉(zhuǎn)換和Web服務(wù)器的功能,同時還具備PR0FIBUS-DP和Internet的接口���,實現(xiàn)通過Internet網(wǎng)對PR0FIBUS-DP現(xiàn)場總線上的設(shè)備進(jìn)行實時監(jiān)控的目的�。在安全策略方面�,通過此嵌入式Web服務(wù)器網(wǎng)關(guān),將外網(wǎng)與企業(yè)的內(nèi)網(wǎng)隔離,對于從Internet遠(yuǎn)程接入的用戶��,要經(jīng)過VPN密碼檢查與身份認(rèn)證和權(quán)限確認(rèn)后才能夠執(zhí)行操作����,實現(xiàn)了內(nèi)外網(wǎng)的隔離,保證了 PROFIBUS-DP網(wǎng)絡(luò)的安全�。在企業(yè)內(nèi)部網(wǎng)中,通過身份認(rèn)證和數(shù)據(jù)加密技術(shù)來防止部分用戶對其他用戶信息的竊聽�、越權(quán)訪問系統(tǒng)資源甚至修改系統(tǒng)文件。
[0030]以上給出的實施例用以說明本發(fā)明和它的實際應(yīng)用�����,并非對本發(fā)明作任何形式上的限制���,任何一個本專業(yè)的技術(shù)人員在不偏離本發(fā)明技術(shù)方案的范圍內(nèi)�����,依據(jù)以上技術(shù)和方法作一定的修飾和變更當(dāng)視為等同變化的等效實施例����。
【權(quán)利要求】
1.一種具有安全機制的�����、將PROFIBUS-DP網(wǎng)絡(luò)接入Internet的嵌入式Web網(wǎng)關(guān)裝置,其特征在于: 硬件系統(tǒng)架構(gòu)選用高性能的ARM9內(nèi)核的S3C2450微處理器����,高速以太網(wǎng)控制器LAN91C111、以及大容量的SDRAM和FLASH存儲器�,同時具備PR0FIBUS接口 ; 該網(wǎng)關(guān)內(nèi)部植入嵌入式Web服務(wù)器模塊�、安全管控模塊; 該網(wǎng)關(guān)采用B/S模式實現(xiàn)客戶對嵌入式Web服務(wù)器的訪問�,客戶通過瀏覽器���、Internet網(wǎng)絡(luò)和網(wǎng)關(guān)向PROFIBUS-DP總線上的設(shè)備發(fā)出操作請求�����,該嵌入式Web網(wǎng)關(guān)作為主站負(fù)責(zé)向從站發(fā)出設(shè)備查詢請求或者控制請求�,從站響應(yīng)主站的請求向主站傳送數(shù)據(jù)�,并將設(shè)備信息借助該Web服務(wù)器以網(wǎng)頁的形式發(fā)布到客戶端; 該嵌入式網(wǎng)關(guān)利用CPU對網(wǎng)絡(luò)連接�����、訪問權(quán)限及數(shù)據(jù)傳輸進(jìn)行管控; 本發(fā)明中嵌入式Web服務(wù)器模塊包括HTTP引擎�、安全模塊、配置模塊及應(yīng)用程序接口模塊�; 本發(fā)明網(wǎng)關(guān)中的HTTP引擎負(fù)責(zé)響應(yīng)管理者提交的對PROFIBUS-DP總線上設(shè)備的狀態(tài)查詢、控制等請求�; 本項發(fā)明在安全模塊中利用SQLite建立一個授權(quán)數(shù)據(jù)庫,數(shù)據(jù)庫包含相應(yīng)的用戶名�、密碼和用戶權(quán)限; 本項發(fā)明利用設(shè)計的CGI應(yīng)用程序進(jìn)行用戶身份的認(rèn)證��,CGI應(yīng)用程序讀取用戶在瀏覽器端輸入的用戶信息���,并操作授權(quán)數(shù)據(jù)庫����,判斷用戶身份及權(quán)限��; 本項發(fā)明在安全模塊中植入嵌入式SSL協(xié)議����,并在Appweb服務(wù)器的配置文件里啟用SSL ; 在SSL協(xié)議上進(jìn)行HTTP通信��,用戶名��、口令以及設(shè)備數(shù)據(jù)作為加密SSL數(shù)據(jù)流的一部分,這樣保證了傳輸數(shù)據(jù)的安全��; 本發(fā)明中的配置模塊用于使系統(tǒng)最高級管理員可以設(shè)置嵌入式Web服務(wù)器的參數(shù)�; 本發(fā)明中的應(yīng)用程序接口模塊用于實現(xiàn)與嵌入式操作系統(tǒng)的數(shù)據(jù)交換; 在該嵌入式Web服務(wù)器中��,應(yīng)用程序接口與嵌入式操作系統(tǒng)通信��,調(diào)用CGI應(yīng)用程序��,CGI應(yīng)用程序按照CGI規(guī)范讀取從Web服務(wù)器傳遞來的各種信息�,并對客戶端的請求進(jìn)行解釋和處理,包括操作嵌入式數(shù)據(jù)庫進(jìn)行用戶身份認(rèn)證以及與總線上設(shè)備信息交互等�,最后將處理結(jié)果按照CGI規(guī)范返回給Web服務(wù)器。
【文檔編號】H04L29/06GK104243294SQ201410414184
【公開日】2014年12月24日 申請日期:2014年8月21日 優(yōu)先權(quán)日:2014年8月21日
【發(fā)明者】周原, 劉明山, 柴丹, 尚文東, 林鳳雪 申請人:周原, 劉明山, 柴丹, 尚文東, 林鳳雪