时间:2022-12-23 19:53:23
导言:作为写作爱好者,不可错过为您精心挑选的10篇ssl协议,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
SSL(SecureSocketsLayer安全套接层)协议,及其继任者TLS(TransportLayerSecurity传输层安全)协议,是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,用于保障网络数据传输安全,利用数据加密技术,确保数据在网络传输过程中不会被截取及窃听。SSL协议已成为全球化标准,所有主要的浏览器和WEB服务器程序都支持SSL协议,可通过安装SSL证书激活SSL协议。
SSL证书就是遵守SSL协议的服务器数字证书,由受信任的证书颁发机构(CA机构),验证服务器身份后颁发,部署在服务器上,具有网站身份验证和加密传输双重功能。SecureSocketLayer是Netscape于1994年开发的,有三个版本:SSL2.0、SSL3.0、SSL3.1,最常用的是1995年的第3版,已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
(来源:文章屋网 )
ssl协议在传输层与应用层之间对网络连接加密。
SSL及其继任者传输层安全是为网络通信提供安全及数据完整性的一种安全协议。用以保障在Internet上数据传输的安全,利用数据加密技术,可确保数据在网络上的传输过程中不会被截取及窃听。一般通用的规格为40bit的安全标准,美国则已推出128bit的更高安全标准。只要3.0版本的I.E或Netscape浏览器即可支持SSL。
SSL协议可分为两层。SSL记录协议它建立在可靠的传输协议之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
(来源:文章屋网 )
TLS与SSL在传输层对网络连接进行加密。
解决方法:
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)33-9195-01
SSL协议是NetScape公司于1994年提出的一个关注互联网信息安全的信息加密传输协议,其目的是为客户端(浏览器) 到服务器端之间的信息传输构建一个加密通道,此协议是与操作系统和Web服务器无关。同时, NetScape在SSL协议中采用了主流的加密算法(如:DES、AES等)和采用了通用的PKI加密技术。目前,SSL已经发展到V3.0版本,已经成为一个国际标准,并得到了大多数浏览器和服务器软件的支持。
1 原理与应用
1.1 SSL概述
SSL是提供Internet上的通信隐私性的安全协议。该协议允许客户端/服务器应用之间进行防窃听、防止消息篡改及防消息伪造的安全的通信。
TCP/IP是整个Internet数据传输和通信所使用的最基本的控制协议,在它之上还有HTTP(Hypertext Transfer Protocol)、LDAP(Lightweight Directory Access Protoco1)、IMAP(Internet Messaging Access Protocol)等应用层传输协议。而SSL是位于TCP/IP和各种应用层协议之间的一种数据安全协议(如图1所示)。SSL协议可以有效地避免网上信息的偷听、篡改及信息的伪造。
SSL标准的关键是要解决以下几个问题:
1) 客户对服务器的身份确认:SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性(检验服务器的证书和ID的合法性)。对于用户服务器身份的确认与否是非常重要的,因为客户可能向服务器发送自己的信用卡密码。
2) 服务器对客户的身份确认:允许SSL服务器确认客户的身份,SSL协议允许客户服务器的软件通过公钥技术和可信赖的证书来确认客户的身份(客户的证书)。对于服务器客户身份的确认与否是非常重要的,因为网上银行可能要向客户发送机密的金融信息。
3) 建立起服务器和客户之间安全的数据通道:SSL要求客户和服务器之间所有的发送数据都被发送端加密,所有的接收数据都被接收端解密,这样才能提供一个高水平的安全保证。同时SSL协议会在传输过程中检查数据是否被中途修改。
1.2 SSL的应用
从SSL 协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。
1.3 一次简单的SSL的通信过程
如图2所示,使用SSL建立安全连接的过程可以分为以下6个步骤:
1) 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器。
2) 服务器从算法列表中选择一种加密算法,并将它和一份包含服务器公用密钥的证书发送给客户端;该证书还包含了用于认证目的的服务器标识,服务器同时还提供了一个用作产生密钥的随机数。
3) 客户端对服务器的证书进行验证(有关验证证书,可以参考数字签名),并抽取服务器的公用密钥;然后,再产生一个随机密码串,并使用服务器的公用密钥对其进行加密(参考非对称加/解密),并将加密后的信息发送给服务器。
4) 客户端与服务器端根据随机密码串以及客户端与服务器的随机数值独立计算出加密和MAC密钥。
5) 客户端将所有握手消息的MAC值发送给服务器。
6) 服务器将所有握手消息的MAC值发送给客户端。
2 总结
综上所述,对于B/S应用系统,SSL安全协议的使用可以保障保障在Internet上或者专有的局域网络中数据传输的安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。对于安全问题日趋严峻的网络环境来说,在用户数据比较敏感的Web网站中使用SSL安全协议,将极大的提高该网站的安全性,且减少不必要的经济损失。
中图分类号:TP309文献标识码:A文章编号:1009-3044(2009)13-3383-02
1 引言
Web 服务是一个崭新的分布式计算模型,是Web上数据和信息集成的有效机制[3]。Web服务的新型构架,Web服务的高效执行方式,Web服务与其他成熟技术的有机结合以及Web服务的集成是解决现实应用问题的重要技术。但是,Web 服务的安全问题也日益的突出,并逐渐成为Web 服务向前发展的一个瓶颈。当然国内外,Web 服务安全的研究有也不少的成果。但是还是不能够完全满足Web服务的端到端的安全需求。本文讨论了SSL在保障Web服务安全方面不足,并在此基础上提出扩展的SSL,用以满足Web 服务端到端的安全需求,在最后对扩展的协议进行分析,说明了它的优势以及应用的意义。
2 SSL在Web 服务安全机制中的应用分析
2.1 Web 服务安全需求分析
作为典型的分布式应用,Web 服务的安全要求包括:数据的机密性、数据的完整性、不可否认性、身份认证、访问控制、审计和安全管理等多个方面,同时还具有自身的特点[1]。对于Web 服务来说,保障其安全需要end-to-end的安全。当然这并不是说point-to-point的安全机制以及其他的传统的安全不可以应用到Web 服务,恰恰相反,由于目前大多数哦Web 服务使用http作为其传输层,因此在依赖于http原来的安全机制都可以在Web services中使用[1],例如防墙、SSL等。Web 服务在实施的过程中也许需要point-to-point 和end-to-end其中的一种或两种的安全机制,这取决于受到的威胁的所处层次[1]。如果对于安全性要求不高或者威胁的层次比较低的话,像SSL、防火墙等都可以发挥很好的作用[1]。
2.2 SSL协议概述
SSL 协议(Secure Socket Layer)是Netscape 推出的一种安全通信协议,它提供Internet上保密通信的安全协议。SSL的Client和Server在正式交换应用数据之前,需要建立会话密钥以及有选择地进行身份验证。会话和连接是SSL的两个重要的贯穿始终的概念。连接建立在会话的基础上,每个连接与一个会话关联。Cipher Spec和master secret组成一个会话的主要加密参数,可被多个连接共享。每个连接有独立的会话密钥。
SSL的安全服务位于TCP和应用层之间,对应用层是透明的[2,5],可为应用层如:HTTP、FTP、SMTP等提供安全业务,服务对象主要是Web 应用,即客户浏览器和服务器。
SSL有三种验证模式[5]:
1) Client和Server都被验证;
2) 只验证Server、不验证Client;
3) 完全匿名。
SSL协议提供的服务可以归纳为如下三个方面[5]:
1) 连接是保密的,对称加密用于加密数据;
2) 实体的身份通过公钥加密得到验证;
3) 连接是可靠的,带密钥的MAC用于保证信息的完整性。
2.3 和SSL在Web服务中的应用分析
尽管SSL在Web 服务中能够提供一定的安全保障,但是它只能够提供点对点的安全,如图1所示,而无法保障端到端的安全,如图2所示,在高要求或者威胁层次较高的时候,它就无法满足要求。在Web 服务的典型应用中,SOAP消息往往不仅仅只是在两个节点间传输,更多的情况下是要经过很多的中间节点[6-7],而且每个中间节点都可能会对SOAP消息进行处理。虽然SSL可以确保SOAP消息在两个相邻的节点之间的安全,但是由于在节点内部SOAP消息是以明文出现的,所以,一旦其中一个节点受到了攻击或者恶意的修改SOAP消息,都会造成SOAP消息的泄漏或异常。因此,SSL对于SOAP消息的端到端的安全性是不够的[4],必须有一种更高级级别的安全机制作为保障。
3 扩展的ESSL
为了解决上面我们提到SSL协议在保障Web服务安全中的不足,对SLL进行扩展,称之为扩展的SSL协议(Extended SSL,简称ESSL),这个改进保留了SSL原有的安全特性,又可以满足Web服务的end-to-end的安全需求。(ESSL术语只在本文中适用)
3.1 相关标记
为了准确表达,我们使用下面标记:
Ii:第i个节点,其中I1是消息的原始发送者(Requester/Provider),In是消息最终收到的消息的(Requester/Provider),0
info:原始的信息
infoi:经过Ii修改后的信息,由Ii加密后发送给Ii+1
Ceri:Ii的证书
h():使用安全的hash函数进行对消息的摘要
ski:Ii的私钥
pki:Ii的公钥
sgni:Ii数字的签名
Sign(ski,m):Ii用自己的私钥对消息m进行数字签名
Rec(pki,s):用Ii的公钥对签名s进行验证
E(pki,m):用Ii的公钥加密消息m
D(ski,s):Ii用自己的私钥解密加密的消息s
ki:Ii随机生成的对称密钥
E(ki,m):用ki进行加密
D(ki,s):用ki进行解密
3.2 协议的流程的详细描述
首先要说明的是,两个相互通信的节点,在进行消息的传递之前要进行握手,在握手的过程主要是交换相互的数字证书以及协商相关的加密算法等。
协议的流程如下:
1) I1:生成签名:sgn1=Sign(sk1,h(info)),加密信息:E(k1,info),生成数字信封:E(pk2,k1),I1把(sgn1,E(k1,info),E(k1,info),E(pk2,k1),(sgn1,Cer1))发送给下一个通信节点。
2) 中间节点Ii(1
3) In:收到消息(sgnn-1,E (kn-1,infon-1), E (kn-1,info),E(pkn,kn-1),(sgn1,Cer1,)),In首先解开数字信封D(skn,E(pkn,kn-1)),获得对称密钥kn-1,然后获取信息info=D(kn-1,E(kn-1,info))和infon-1= D(kn-1,E(kn-1,infon-1)),验证In-1的签名Rec (pkn-1,sgnn-1)=h(D(kn-1,E(kn-1,infon-1)))?,然后在验证I1的签名和原始信息的完整性Rec (pk1,sgn1)=h(D(kn-1,E(kn-1,info)))?。如果验证通过就进行下一步的操作,如果没有就终止通信。
协议中对消息的解密以及验证的流程如图3所示。
协议中对消息加密处理的流程图如图4所示。
说明:当i=1的时候,虚线框中的处理过程就不需要了,因为info1=info
4 ESSL协议的分析
4.1 安全性分析
从ESSL的流程可以看出,SSL原有的安全机制都被包含,同时由于在消息中加入原始信息发送者对原始信息的签名以及它的数字证书,另外在原始信息和修改后的信息都被发送到最终接收者In那里,这样最终的接收者In不仅能够看出来中间节点对原始信息的修改,同时还可以验证原始的信息及其签名和消息的完整性。另外,协议使用原来的数字信封以及对称加密,使得消息的机密性也有了保障。(下转第3397页)
(上接第3384页)
综上所述,使用ESSL可以保证Web服务端到端的安全。
4.2 速度分析
为了能够达到端到端的安全需求,ESSL多发送了很多“冗余”的信息并且做了附加的加密和验证,这样对于传送的速度以及验证速度势必有所影响。但是,为了信息的安全或者特殊的安全需要,可以用性能换取高安全。
5 结束语
该文分析了Web服务的安全需求,指出了现有的SSL在保障Web服务安全中存在的不足,并在SSL协议的基础上做出了改进,提出了ESSL,使其达到Web服务端到端的安全需求,从而能够保障Web 服务的端到端的安全。另外,在其它要求端到端安全的环境中,ESSL也有着广泛的用途。
参考文献:
[1] Web Services Architecture[EB/OL].(2004-02)./2002/ws/.
[2] 宋志敏,王卫京,南相浩.SSL V3.0及其安全性分析[J].计算机工程与应用2000(10):145-147.
[3] 岳昆,王晓玲,周傲.Web 服务核心支撑技术:研究综述[J].软件学报,2004,15(3):428-442.
[4] IBM Corporation.Web Service Conceptual Architecture (WSCA1.0) [EB/OL]./developerworks/cn/views/webservices/libraryview.jsp.
[5] 范红,冯登国.安全协议理论与方法[M].北京:科学出版社,2003.
[6] 钱权,严家德.Web Service的安全机制[J].计算机工程,2007,33(22):190-192.
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)07-1540-02
SSL Protocol in the Network Communication of the Application
ZHANG Yang
(Liaoning University Computing Center, Shenyang 110036, China)
Abstract: SSL protocol is to provide a secure channel between computers a security protocol, data transmission is encrypted. This article has wireless video surveillance system for the study, the introduction of the SSL protocol in the system, the application of the protocol on the server and the client’s network communication, which can achieve data transmission security, authentication and message integrity.
Key words: SSL protocol; information security; network communication
无线视频监控系统服务器和客户端之间采用的C/S模式组成的,实现对视频信号实时采集和压缩编码后,将图像传输到指定的视频服务器上。那么命令信息在传输过程中,数据的安全性是我们需要解决的重要问题。所以在该系统中引入了SSL协议,把SSL协议应用在服务器和客户端的网络通信中,通过数据加密提高信息的安全性。
1系统设计原则和目标
1.1系统设计原则
该系统的服务器和客户端都是在windows操作系统利用VC的socket建立连接,实现网络通信。考虑到服务器和客户端之间数据传输的安全性和有效性,设计过程中注意以下几个方面:
1)并发性:因为服务器和客户端之间建立联系,一般是一台服务器对应多个客户端进行通信的,每个终端优先级是平等的,为了实现客户端的并发,在服务器端采用VC中的多线程技术,使得每个客户端都能和服务器同时产生通信。
2)安全性:该系统是服务器和客户端之间利用socket通信,客户端向服务器发送请求命令,服务器收到后回应请求,如果在通信过程中命令信息不加密,信息容易被非法窃取,直接通过TCP协议传输信息是不安全的,所以要引入SSL协议,使所有的命令信息是加密传输的,保证了信息的安全性。
3)实时性:由于视频监控系统对画面的实时性要求非常高的,如果图像也是通过加密传输的话,会严重影响图像的传输速率,也就失去了实时性的要求,所以,我们在处理图像传输时就不像命令信息一样通过SSL加密传输了,满足了图像的实时性要求。1.2系统设计的目标
该系统实现的目标就是服务器端和客户端建立连接,满足并发性的要求;在通信过程中,双方发送的命令信息通过SSL加密传输,提高安全性;图像传输通过TCP协议传输,满足视频传输的实时性。
2网络通信模块的设计
主要讨论的是服务器和客户端之间的网络通信问题,服务器和客户端之间有两种信息:服务器向客户端转发的视频流信息;服务器和客户端之间传输的命令信息。从信息的安全性考虑,在该系统中引入SSL加密协议,在数据传输过程中,即使数据被黑客窃取也不会将数据还原。确保了数据的安全性。
因为监控视频对图像的实时性要求非常高,不能有太长的时间延迟,而视频在传输过程中产生的流量非常之大,直接通过TCP协议传输视频信息可以有效降低时间延迟。
因此,通过SSL协议传输各种命令信息,我们可以把SSL通信模块封装成sslclient类和sslserver类,提供了接口函数,只需要调用对应的API就可以实现SSL加密通信。
3 SSL网络通信技术的实现
3.1 SSL通信模块的工作流程
该系统的整个结构可以分为服务器和客户端两个部分组成,而其中的SSL通信模块为现实这两个部分之间的数据通信的安全传输提供服务。主要从外部和内部两个方面来分析,从外部来看,系统包括初始化握手部分和数据传输部分两个部分内容,这两个部分的内容具体对应SSL协议的“握手协议”和“记录协议”。从内部来看,SSL模块可划分为初始化、SSL连接、身份认证和数据传输几个模块,初始化主要为SSL连接做准备工作,身份认证主要是验证对方数字证书以证明身份的有效性。如果服务器也要求进行客户端身份认证,会以同样的方法对客户端的证书进行验证。当服务器和客户端互相进行验证之后。会在两者之间成功建立SSL连接,形成一个安全数据传输通道,传输数据类似于TCP的套接字,直接写入或者读取数据。如图1所示。
图1 SSL通信模块的结构图
3.2实现的过程
在通信模块中,服务器实现的过程很简单,和客户端实现的过程类似,服务器等待客户端发送请求的连接,之后初始化一条SSL连接,它就从客户端读取或写入数据发送到客户端。按照功能也可以分为四部分:初始化过程、连接过程、身份认证过程和数据传输。
1)初始化过程:客户端的开发时调用openssl函数实现的,首先是初始化SSL库,在选择会话连接所使用的协议:ssl_method* sslv3_client_method();再去申请SSL会话的CTX:ssl_ctx* ssl_ctx_new(ssl_method* meth);,目的是连接对象进行SSL握手、数据的读写;最后是家在私有密钥和数字证书并设置加密套件。
然而服务器初始化过程和客户端初始化过程类似,不同只是服务器调用sslv3_server_method()函数来实现的。
2)连接过程:服务器调用listen函数开始监听客户端的TCP连接请求,调用accept函数接受客户端的TCP连接;申请一个BIO对象,把SSL绑在在这个对象上;调用SSL的accept函数接受客户端的SSL连接。
3)身份认证:由于系统采用双向身份认证机制进行身份认证,所以服务器和客户端的证书都要互相进行认证方可正常通信,二者进行信息对比,如果一致,表明验证通过,否则将关闭与客户端之间的连接。
4)数据传输:服务器与客户端建立连接后就可传输数据,所有数据是经SS加密处理后进行传输的。
4结束语
在当今信息化飞速发展的社会中,信息数据在日常生活和工作中显得越来越重要,所以信息安全的重要性也越来越受到人们的重视,数据在保存和传输过程中如何可以防止黑客窃取,正是该文研究的对象。该文以视频监控作为实例来研究,既要保证视频传输的实时性,又要保障数据的安全性,所以我们采用服务器和客户端之间采用灵活的双重连接制,通过SSL协议进行数据加密传输,提高了机密信息传输的安全性。
参考文献:
[1]付沙,何诚,文旭华.基于SSL协议的安全网络通信的理论和实现[J].计算机与现代,2006(11).
[2]曾强.网络安全协议SSL原理及应用[D].天津:天津大学,2005.
[3]唐玲.数字证书系统的设计研究[D].合肥:合肥工业大学,2004.
[4]韩澄宗.网络实验室中的视频监控系统[D].杭州:浙江大学,2006.
据记者了解,这一被业内人士命名为“心脏出血”的基础安全协议漏洞,是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快了漏洞的修复方案。4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。他披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。
4月7日凌晨,国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间,共计约2亿网民访问了存在OpenSSL漏洞的网站。
360安全专家石晓虹博士表示,OpenSSL此漏洞堪称“网络核弹”,网银、网购、网上支付、邮箱等都会受到影响。因为有很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。目前还没有具体的统计数据显示这次漏洞造成多大的经济损失,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。OpenSSL还被用在其他互联网软件中,比如桌面电子邮件客户端和聊天软件。
大数据时代的危险
不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。不过,一旦受影响的网站修复了这一问题,用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码,但用户无法知道自己的密码是否已被他人窃取。据悉,360已经第一时间向12万网站用户发送提醒邮件,提醒广大站长尽快将OpenSSL升级至1.0.1g版本,以修复该漏洞。
据360安全专家石晓虹博士介绍,OpenSSL“心脏出血”漏洞为本年度互联网上最严重的安全漏洞,大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。
在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。
由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。可以说,科技双刃剑的效应越来越无法避免。互联网产品在带给人们足够大方便的同时,又隐藏着巨大的安全风险。而方便和危险就像一个硬币的两面无法分割。由此而暴露的互联网数据安全问题,更是值得厂商和个人用户深思的。
大量网站已修复漏洞
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。最近几年,很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。而Sean Cassidy爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的 数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
中图分类号TN91 文献标识码A 文章编号 1674-6708(2013)82-0188-02
DCS系统以及PLC系统以其独特优势而被各行各业广泛应用,为实现生产的经济高效、节能环保提供了可靠的基础保障。但DCS系统与PLC系统之间的通讯始终是工程生产的重点问题,本文对MODBUS协议基础上,实现DCS系统与PLC系统之间的通讯进行分析与探讨,以其对工程生产提供帮助。
1 系统组成
1.1 通讯系统
Modbus通讯协议是一种通用的电子控制器应用语言,可利用网络或其它设备实现控制器之间的通讯,Modbus协议可以在忽略控制器通信方式的前提下,对其所能认识与使用的消息结构做出定义,是一个通用的工业标准,它还对控制器与其他设备之间的访问请求与过程进行描述,可以侦测错误信息并进行记录。并且,Modbus协议还制定了公共内容格式及消息域格局,控制器可设置为RTU或ASCII中任一种传输模式,用户可在标准的Modbus网络通信中选择所需模式及串口参数,Modbus网络上所有设备在控制器配置时,都应将传输模式以及串口通信参数选择一致。本文基于RS485协议来实现DCS与PLC之间的数据共享,可通过DCS控制PLC,也可将PLC的数据上传到DCS。实际操作时,可将一块MODBUS转DP通讯模块增加于DCS控制器下方,以使维护与控制简单方便,而基于MODBUS协议,此通讯模块可作为通讯主站,实现与现场PLC间的通讯,也可基于Pmfibus-DP协议并作为从站,实现与DCS系统的挂接。
1.2 DCS系统
集散控制系统DCS是以通信网络为连接纽带并包括过程监控级与控制级的多级计算机系统,它将计算机技术、控制技术、通讯技术以及显示技术等有机结合起来。本文DCS系统采用的是和利时MACS V控制系统,不仅可以实现集中操作而分散控制,还可以分级进行管理,组态及其方便且配置较为灵活。
1.3 PLC系统
因工业化发展需求而产生的PLC数字运算操作系统,它利用可编程存储将定时计数、顺序控制及逻辑运算等操作指令存储起来,再经由数字模拟输入与输出对机械设备或生产过程进行控制。可编程控制器与相关设备的选择应从其功能原则设计扩充简便为切入点,选择易与工业控制系统形成整体的设备,而且维护与控制也较为简便。本文PLC系统是由三套和利LK207、一套GE的IC200以及一套西门子S7-200组成。
2 系统组态
2.1 硬件组态
将通讯线自各PLC串口引出,并将其与MODBUS转PROFIBUS-DP协议转换模块的MODBUS接口连接。
2.2 软件组态
1)DCS系统组态。将MODBUS转PROFIBUS-DP协议转换模块中的GSD文件拷贝至MACS V系统的相应安装目录,再打开MACS V系统的控制器组态文件与工程,将此模块添加于硬件组态中,然后打开模块属性对通讯参数波特率等进行设置,再基于PLC读写数据对MODBUS读写数据块进行合理添加,数据块属性设置取决于数据起始地址及PLC地址。以各自地址以及PLC读写变量进行添加于程序中的子程序编写以及变量添加,然后对编译进行保存。将PLC变量至工艺画面添加至打开的MACS V画面的组态程序并保存,然后下装于操作员站,而将PLC传过来的量程或信号类型等变量属性添加至打开的MACS V数据库的组态程序,再联编并将其下装于服务器;
2)PLC系统组态。本文以GE公司的IC200型PLC来说明该系统组态。将GE PLC编程软件打开并对PLC Port(2) 进行设置,然后利用网络将小酒改后的设置内容下至PLC。
3 系统常见故障的判断与排除
若DCS系统与PLC系统之间的数据通讯正常,则对故障隐患的判断可通过模块状态指示灯来实现,可从模块上的数据传送与接收指示及错误状态表示对,作通讯状态进行判断并对故障进行诊断。而若DCS与PLC之间的数据通讯为不正常状态,则DCS系统画面所显示的数据不正常,模块状态指示灯有错误状态显示。对此,应对硬件错误及软件错误进行依次检查并排除故障。硬件方面,应使用DP电缆,接线时切忌将正负极性接反,模块选型时也要注意选择有较高的使用信誉度且实用效果较好的产品,由于兼容性差异的问题,两次以上的接口转换情况应尽量避免。而软件方面,首先要保持一致的DCS与PLC间的通讯速率,最好使用无校验而减少奇偶校验,其次要确保DCS与OLC系统的通讯数据地址合理有效,若有地址错位状况,可通过DCS系统设置来解决。
4 结论
综上所述,在实现DCS系统与PLC系统之间的通讯中应用MODBUS协议,可以取得良好成效,即是说,基于MODBUS协议的DCS与PLC通讯的实现,具有稳定的通讯性能,可以为工艺监控提供可靠技术支持,为工程生产创造良好的条件,有效实现生产的节能减排、经济高效。
参考文献
[1]赵钊.基于Modbus协议的DCS系统与PLC系统的通讯[J].节能技术,2011(4).
西门子S7-200 PLC具有低成本、可靠性高、技术成熟、能适应各种恶劣的环境等特点在成套设备中得到广泛的应用。随着工业控制的飞速发展,控制已经从分散控制发展向集中控制型的集散控制系统需要通过S7-200检测现场设备的运行数据并进行控制,采用ModbusRTU协议是一个不错的选择,不用另外增加任何设备,只需要在S7-200中进行编程设置即可。接下来我们通过实例来介绍ModbusRTU测试软件ModScan32与西门子S7-200 PLC之间的通讯建立与测试。
一、Modbus RTU协议与S7-200相互关系简介
目前支持Modbus通信的DCS、PLC系统和过程仪表大都采用基于串行接口的Modbus RTU模式,西门子公司提供了针对西门子PLC Modbus RTU的协议库。极大的简化了Modbus RTU通信的开发,以便快速实现二者的相关应用。通过Modbus RTU从站指令库,使得S7-200可以作为Modbus RTU中的从站,以实现与Modbus主站设备的通信。
二、软硬件准备
1.软件:ModScan测试软件、Step7-MicroWin V4.0SP06编程软件、S7-200Modbus指令库文件。
2.硬件:PC机、西门子S7-200PLC(CUP224XP CN REL02.01)、PPI编程电缆、USB-TO-Serial电缆、RS232转RS485模块。
3.焊接RS485通讯电缆一根(Date+ DB9 3引脚、Date- DB9 8引脚)、RS485通讯电缆连接200PLC的Port0端口。
三、使用Modbus 指令库需要注意事项
1.使用Modbus指令库,对STEP7 Micro/win软件版本的要求。软件版本必须是V3.2或者以上版本。
2.S7-200 CPU必须是固化程序修订版2.00或最好支持Modbus主设备协议库。
3.目前市场已经推出针对端口0和端口1的Modbus RTU主站指令库,以及针对端口0的Modbus RTU从站指令库,故在使用时一定要区分开。
4.一旦CPU的端口被用于Modbus RTU主站或从站协议通讯时,该端口就无法用于其他用途,包括与STEP7 Micro/win通讯。当需要与STEP7 Micro/win通讯时把CPU打到STOP位即可通讯。
5.利用指令库编程前首先应为其分配存储区,否则Step7-MicroWin在编译时会报错。分配存储区时在对话框输入库存储区的起始地址,注意避免该地址与程序中其他地址重复使用,也可以点击“建议地址”按钮,系统将自动计算存储区分配地址。
四、S7-200 PLC控制器组态
我们是用ModScan32做主站来读取从站(S7-200)的数据。所以在S7-200 PLC里面只用Modbus从站协议指令, Modbus从站协议指令包括MBUS_INT和MBUS_SLVE两条协议指令。如图1
图 1
1.MBUS_INT指令,用于启用和初始化或停止Modbus从站通信。在使用MBUS_SLVE指令之前,必须执行MBUS_INT指令。在指令完成后立即设定“完成”位,才能执行下一条指令。MBUS_INT指令引脚含义如下:
1.1EN:西门子指令使能位。因为是初始化用触点SM0.1即可。
1.2Mode:“模式”参数。用于启动和停止Modbus通信,允许使用以下两个数值:1-启动,2-停止。
1.3Address:“地址”参数。输入Modbus从站地址,取值范围为1~247.
1.4Baud:“波特率”参数。Baud:“波特率”参数可选1200、2400、9600、19200等。
1.5Parity:“奇偶校验”参数。0-无校验;1-奇校验;2-偶校验。
1.6Delay:“延时” 参数。附加字符间延时,默认值为0。
1.7MaxIQ:“最大I/Q位”参数。设置参与通信的最大I/O点数,S7-200的I/O映像区为128/128,默认值为128。
1.8MaxAI:“最大AI字”参数。设置参与通信的最大AI通道数,可为16或32。
1.9MaxHold:设定供Modbus地址4xxxx使用的V存储器中的字保持寄存器数目。
1.10HoldStart:保持寄存器区起始地址,以&VBx指定。
1.11Done:初始化完成标志,成功初始化后置1。
1.12Error:初始化错误代码。0-无错误。
2.MBUS_SLVE指令,用于Modbus主设备发出请求服务,并且必须每次扫描时执行,以便允许该指令检查和回复Modbus请求。MBUS_SLVE指令无输入参数,在每次的扫描EN开启时执行。MBUS_SLVE指令引脚含义如下:
2.1EN:西门子指令使能位。因为每个周期都需要执行,故用SM0.0即可。
2.2Done:“完成”参数。Modbus执行通信时置1,无Modbus通信活动时为0。
2.3Error:错误代码。0-无错误。
五、测试软件ModScan32设置
ModbusRTU测试软件ModScan32,在通讯中是中主站,监视从站和向从站发送命令。以下是ModbusRTU测试软件ModScan32如图2: 图 2
ModScan32测试软件的画面中相关参数意义如下:
1.通信端口的选择。如果PC用的 RS485 转换器接的是串口一(COM1),此下拉选项设置为 COM1 即可。
2.Baud:波特率的选择。与S7-200 PLC内设置保持一置。
3.Word:数据位。默认值8。
4.Parit:奇偶校验。与S7-200 PLC内设置保持一置。
5.Stop:停止位。默认值1.
6.Device Id:下位机地址。与S7-200中MBUS_INT模块的Address引脚一置。
7.Address:寄存器的起始地址。
8.Length:寄存器长度。
9.MODBUS Point Type:Modbus点类型选择。依次出现的是继电器状态、输入状态、锁存器、输入寄存器。
10.Number of Polls:发送和接受命令的次数。
11.Valid Slave Responses:有效命令的次数。
六、通讯测试
S7-200 PLC和测试软件ModScan32设置完毕后,系统上电、通讯线连接好就可以进行调试。Modbus RTU地址与S7-200的地址对应关系 Modbus地址总是以00001、30004之类的形式出现。S7-200内部的数据存储区与MODBUS的0、1、3、4共4类地址的对应关系所示:
MODBUS地址
S7-200数据区
00001-00128……………………………Q0.0-Q15.7
10001-10128……………………………I0.0-I15.7
30001-30032……………………………AIW0-AIW32
40001-4xxxx……………………………T + 2*(xxxx-1)
其中T为S7-200中的缓冲区起始地址,即HoldStart。如果已知S7-200中的V存储区地址,推算MODBUS地址的公式为:MODBUS地址=40000+(T/2+1)
Notes的第一个版本于1989年,之后产品的性能不断改善。1996年初,IBM了Lotus Notes R4版本。这个版本能够让Notes为Internet解读和创建信息,从而使这个软件在电子商务上发挥更大的作用,公司间电子数据交换或利用Internet收发信息也更加便利。2003年的Lotus Notes R6.5版本则成为一款经典的产品,很多人到现在还在使用免费的远程通讯工具Sametime。目前,Lotus已经了最新的Lotus Notes 8.5.1,Lotus Notes在全球有超过1.4亿的注册用户,拥有超过1万个合作伙伴,企业客户遍及各个行业,财富100强的一半以上企业都在使用Lotus Notes作为他们的协作平台。
与10年前或20年前相比,人们现在的工作方式已经更加充满智慧,互联网和计算机技术在不断改变人类创造、使用和分享信息的方式。越来越多的人们也意识到,协作能力将会是未来企业创新能力和营运效率的一个关键因素。然而遗憾的是,根据调查显示: 在每周的工作中,有42%的人曾经根据错误信息作出决策; 有超过30%的员工不能寻找到企业内部能够被利用的资源; 每天的工作中,员工花费超过两个小时去寻找正确的信息或者专家。这一切都要求,人们应拥有更加智慧的工作方式和协作能力。
未来理想的智慧协作到底应该具备那些能力?IBM软件集团大中华区Lotus软件总经理陈黛华认为,首先是紧密的联结能力; 其次是灵活的协作能力; 第三是创新能力; 最后是优化成本的能力。“当前,IBM‘智慧的地球’的愿景已经为人们越来越熟知,人们开始关注如何去具体的实现这个美好的愿景。智慧协作以人们工作方式的变迁作为思考维度,为我们提供了一个很好的切入点。而Lotus 20年的发展和创新史也正是一直围绕着提升人们工作方式这一前提所展开,因此才得以获得了巨大的成就。IBM所启动的Lotus Knows,就是希望能够运用Lotus最新的一系列方案和产品,把人们的协作方式变得更加智慧,让智慧的方舟驶向未来!”
在如何实现智慧协作上,陈黛华建议可以分为四个逐步递进的层次来考虑,从初级到高级,从响应当前需求到拥抱未来需求。一是基础协作能力: 包括电话、邮件和文件分享; 二是实时沟通能力: 包括即时通讯、视频会议和Web内容; 三是随需应变能力: 包括统一通讯、远程通讯和团队空间等; 四是社会化能力: 包括混搭、嵌入式协作与通讯、社会化交互等。随着这四个能力的不断部署,企业的协作能力将得到阶梯式增长。