ssl協議大全11篇
時間:2023-02-03 16:12:58緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇ssl協議范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
1 引言:
隨著網絡安全意識的普遍提升,越來越多的網絡應用逐步采用了ssl加密傳輸。由于SSL技術采用了加密、認證、密鑰協商等機制來保障通信雙方數據傳輸的保密性、完整性和通信端點的認證,因此SSL協議目前在網銀交易、郵箱登陸、數據加密傳輸等方面得到了廣泛應用。但SSL協議在實現過程中為了滿足兼容性和易用性的要求,自身仍然存在一定的脆弱性問題,攻擊者可以利用SSL協議的弱點對其進行攻擊以獲取敏感信息。
2 SSL協議
安全套接層協議(SSL)是在Internet基礎上提供的一種保證私密性的安全協議。它能使客戶/服務器應用之間的通信不被攻擊者竊聽,并且始終對服務器進行認證,還可選擇對客戶進行認證。SSL協議是建立在可靠的傳輸層協議(如TCP)之上,同時與應用層協議獨立無關,高層的應用層協議(如:HTTP,FTP,TELNET等)能透明地建立于SSL協議之上(圖1所示)。
從SSL的發展過程來看,目前主要包含了三個版本:SSLv2、SSLv3、TSL。SSLv2的首要設計目標是為客戶端和服務器之間的傳輸提供保密性,但在協議安全性方面存在一定的安全隱患。SSLv3改善了SSLv2的部分安全性問題,采用了更多的加密算法,包括數字簽名標準DSS、DH協議等,以及支持防止對數據流進行截斷攻擊的關閉握手。TLS在SSLv3的基礎上又增強了對DH的支持和新的密鑰擴展。
SSL協議在實現過程中主要包括兩個階段:握手和數據傳輸階段。握手階段主要對服務器進行認證并確立用于保護數據傳輸的加密密鑰。SSL必須在傳輸應用數據之前完成握手,一旦握手完成,數據就被分成一系列經過保護的記錄進行傳輸。在傳輸片段之前,SSL協議通過計算數據的MAC來提供完整性保護,將MAC付加到片段的尾部,并對數據與MAC整合在一起的內容進行加密,以形成經過加密的負載,最后給負載裝上頭信息,其過程如圖2所示。
3 SSL協議脆弱性分析
3.1 密碼強度問題
SSL協議是以CipherSuite(加密套件)的形式確定數據傳輸所使用的加密算法,SSL會話一次連接的所有加密選項都被捆綁成各種加密套件,由任意選取的兩字節常量來表示。加密套件指定會話雙方的認證算法、密鑰交換算法、加密算法和摘要(消息完整性)算法。表1列出了SSL協議采用的部分加密套件:
從表1可以看出,SSL協議支持各種各樣的加密套件,這些加密套件指定一組供連接使用的算法。這些算法的強度從較弱的可出口型(如40位模式的RC4)到強度較高的如3DES都包含在內,SSL連接的安全自然就有賴于它所使用的加密算法的安全。從目前的計算能力來看出口模式中如RC4_40和DES等加密算法都能被破譯,若SSL連接采用此類加密算法,其加密數據的保密性就無從談起,攻擊者可以很容易利用現有的密碼破譯技術獲取加密傳輸的數據。正常情況下SSL通信雙方都會選擇加密強度較高的加密套件,但以下兩種情況可能在加密強度上為攻擊者提供契機:
(1)由于客戶端與服務器必須就共同的加密套件達成一致才能通信,服務器和客戶端為了保持較好的交互性通常會提供較多可供選擇的加密套件,其中不乏加密強度較弱的加密算法(圖3所示),這為攻擊者對SSL協議的攻擊提供了一定的條件,例如攻擊者可以嘗試對SSL通信雙方的會話過程進行干擾,迫使通信雙方選擇加密強度較低的加密算法,為攻擊者對加密數據的破譯提供條件。
(2)由于SSL協議中采用的各種加密和認證算法需要一定的系統開銷,如SSL協議握手階段對pre_master_secret的RSA私用密鑰解密及計算master_secret和pre_master_secret的密鑰處理都會消耗一定的系統資源,在數據傳輸階段對記錄的加密以及對記錄的MAC計算同樣會消耗系統資源。而高安全的加密算法在系統開銷上需要消耗較多系統資源,因此SSL協議在某些應用的實現過程中會采用較低加密強度的密碼算法,這也會為攻擊者提供破譯條件。
3.2 版本兼容問題
SSL協議從設計和使用過程來看主要包括SSLv2、SSLv3、TLS三個版本,每個后續版本都對前一版本的安全性問題進行了改進,因此高版本協議能夠較好地保障通信安全。但為了方便實際應用,SSL協議是允許向下兼容,會話雙方可以通過協商采用低版本協議進行通信,并且該過程可以自動完成不需要用戶進行干預。這樣就產生了潛在的版本翻轉攻擊威脅,攻擊者可以降低協議版本再利用低版本協議存在的脆弱性問題對通信過程進行攻擊。其中SSLv2對協議的握手過程沒有很好的保護措施,將導致攻擊者對SSL協議握手過程進行攻擊,進而對加密算法進行篡改。圖4展示了SSLv3和TLS協議的握手過程:
從圖中可以看出SSLv3和TLS協議在握手結束后會對之前的協商過程進行MAC值的校驗(圖4中第5、6步所示),并且其校驗值是以加密的形式進行傳輸,這樣可以有效防止攻擊者對握手過程的篡改,保障了協商過程的可靠性。而SSLv2協議恰好缺乏對握手過程MAC值的校驗,攻擊者可以在SSL通信的握手過程中偽冒其中一方對協議版本進行篡改,迫使通信雙方采用低版本的SSL協議進行通信,由于缺乏握手過程的校驗,該攻擊可以順利實施。
SSLv2協議還存在另一個問題,它僅僅使用TCP連接關閉來指示數據結束,這意味著它可能受制于截斷攻擊。由于SSL協議是構建于TCP協議之上,而TCP協議自身并不是一種安全性協議,它對TCP會話的完整性、有效性和一致性沒有很好地保障,攻擊者可以簡單地偽造TCP FIN數據報,而接收者無法辨別出它是否是合法的數據結束標志,從而誤認為數據接收完成。SSLv3之后的協議通過使用顯式的關閉警示緩解了這一問題。
4 結束語
利用SSL協議進行加密傳輸的方式在日常應用中大量存在,除本文中提到的攻擊方法外,攻擊者仍在嘗試更多的攻擊途徑。對于敏感的信息和通信過程應該采用多種加密方式共同完成,提高攻擊的難度,降低敏感信息被竊取的風險。
參考文獻
[1] 埃里克?雷斯克拉,SSL與TLS,2002.
篇(2)
TLS與SSL在傳輸層對網絡連接進行加密。
解決方法:
篇(3)
一、引言
電子商務作為計算機應用技術與現代經濟貿易活動結合的產物,已經成為人類跨入知識經濟新紀元的重要標志之一。但美國的一個調查機構顯示超過60%的人由于擔心電子商務的安全問題而不愿進行網上購物。安全是電子商務發展的核心問題。
保證電子商務安全,其核心在于安全協議。迄今為止,國內外已經出現了多種電子支付協議,目前有兩種安全在線支付協議被廣泛采用,即安全套接層SSL協議和安全電子交易SET協議,二者均是成熟和實用的安全協議。
二、安全套接層協議(SSL)
SSL協議是由網景公司推出的一種安全通信協議,它能夠對信用卡和個人信息提供較強的保護。SSL是對計算機之間整個會話進行加密的協議。在SSL中,采用了公開密鑰和私有密鑰兩種加密方法。
它已成為事實上的工業標準,獨立于應用層,可加載任何高層應用協議,適合為各類C/S模式產品提供安全傳輸服務。它提供一種加密的握手會話,使客戶端和服務器端實現身份驗證、協商加密算法和壓縮算法、交換密鑰信息。這種握手會話通過數字簽名和數字證書來實現客戶和服務器雙方的身份驗證,采用DES、MD5等加密技術實現數據的保密性和完整性。在用數字證書對雙方的身份驗證后,雙方就可以用密鑰進行安全會話。
1.SSL安全協議主要提供三方面的服務
(1)用戶和服務器的合法性認證:認證用戶和服務器的合法性,使得它們能夠確信數據將被發送到正確的客戶機和服務器上。客戶機和服務器都是有各自的識別號,這些識別號由公開密鑰進行編號,為了驗證用戶是否合法,SSL要求在握手交換數據進行數字認證,以此來確保用戶的合法性。
(2)加密數據以隱藏被傳送的數據:SSL采用的加密技術既有對稱密鑰技術,也有公開密鑰技術。在客戶機與服務器進行數據交換之前,交換SSL初始握手信息,在SSL握手情息中采用了各種加密技術對其加密,以保證其機密性和數據的完整性,并且用數字證書進行鑒別。這樣就可以防止非法用戶進行破譯。
(3)護數據的完整性:SSL采用Hash函數和機密共享的方法來提供信息的完整,建立客戶機與服務器之間的安全通道,使所有經過安全套接層協議處理的業務在傳輸過程中能全部完整準確無誤地到達目的地。
2.SSL協議的缺點
(1)客戶的信息先到商家,讓商家閱讀,這樣,客戶資料的安全性就得不到保證。
(2)SSL只能保證資料信息傳遞的安全,而傳遞過程是否有人截取就無法保證了。所以,SSL并沒有實現電子支付所要求的保密性、完整性,而且多方互相認證也是很困難的。
三、安全電子交易SET協議
SET協議是由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密鑰加密、電子數字簽名、電子信封、電子安全證書等。
1.SET支付系統的組成
SET支付系統主要由持卡人、商家、發卡行、收單行、支付網關、認證中心等六個部分組成。對應地,基于SET協議的網上購物系統至少包括電子錢包軟件、商家軟件、支付網關軟件和簽發證書軟件。
2.SET安全協議主要提供三方面的服務
(1)保證客戶交易信息的保密性和完整性:SET協議采用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名,使得商家看不到支付信息,只能接收用戶的訂單信息;而金融機構看不到交易內容,只能接收到用戶支付信息和帳戶信息,從而充分保證了消費者帳戶和定購信息的安全性。
(2)確保商家和客戶交易行為的不可否認性:SET協議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性,采用的核心技術包括X.509電子證書標準,數字簽名,報文摘要,雙重簽名等技術。
(3)確保商家和客戶的合法性:SET協議使用數字證書對交易各方的合法性進行驗證。通過數字證書的驗證,可以確保交易中的商家和客戶都是合法的,可信賴的。
3.SET協議的缺點
(1)只能建立兩點之間的安全連線,所以顧客只能把付款信息先發送到商家,再由商家轉發到銀行,而且只能保證連接通道是安全的而沒有其他保證。
(2)不能保證商家會私自保留或盜用他的付款信息。
4.SSL與SET協議的比較
(1)在認證要求方面,早期的SSL并沒有提供商家身份認證機制,不能實現多方認證;而SET的安全要求較高,所有參與SET交易的成員都必須申請數字證書進行身份識別。
(2)在安全性方面,SET協議規范了整個商務活動的流程,從而最大限度地保證了商務性、服務性、協調性和集成性。而SSL只對持卡人與商店端的信息交換進行加密保護,可以看作是用于傳輸的那部分的技術規范。從電子商務特性來看,它并不具備商務性、服務性、協調性和集成性。因此SET的安全性比SSL高。
(3)在網絡層協議位置方面,SSL是基于傳輸層的通用安全協議,而SET位于應用層,對網絡上其他各層也有涉及。
(4)在應用領域方面,SSL主要是和Web應用一起工作,而SET是為信用卡交易提供安全,但如果電子商務應用是一個涉及多方交易的過程,則使用SET更安全、更通用些。
四、結束語
由于兩協議所處的網絡層次不同,為電子商務提供的服務也不相同,因此在實踐中應根據具體情況來選擇獨立使用或兩者混合使用。
參考文獻:
篇(4)
關鍵詞:SSL VPN技術;安全優勢;安全隱患
1概述
隨著互聯網及移動設備的發展,通過公共網絡訪問局域網的需求越來越大,同時,安全性的問題也就越來越突出。用戶對使用過程的可靠性、靈活性、安全性等方面也有了更高的要求。SSLVPN是解決遠程用戶通過公共網絡訪問內網數據的技術之一,與以往的IPSec VPN相比,它通過內嵌在瀏覽器中的SSL協議進行訪問,從而不需要像傳統IPSec VPN一樣必須為每一臺終端安全客戶端軟件,實現了訪問的便捷性。
2SSLVPN的概念與特征
SSL(安全套接層)協議是一種在互聯網上保證發送信息安全的通用協議,是目前在Web瀏覽器和服務器之間發揮身份認證和加密數據傳輸的重要協議。它位于TCP/IP協議與應用層協議之間,為各項數據通訊提供安全支持。
SSL協議可分為兩層:SSL記錄協議fSsL Record Protoc01):它建立在可靠的傳輸協議(如TCP)之上,為數據的傳輸提供數據封裝、壓縮、加密等功能。SSL握手協議(SSL Handshake Protoed):它建立在SSL記錄協議之上,主要用于檢測用戶的賬號密碼是否正確,在實際的數據傳輸開始前,對通訊雙方進行身份認證,交換加密密鑰等。
VPN(“VirtualPrivate Network)即是虛擬專用網絡,利用認證、加密、安全檢測、權限分配等一系列手段來構建的安全業務網絡。一個完整的SSLVPN系統主要由服務器、網關、客戶端組成,服務器即是內網中所需訪問的資源,客戶端即是互聯網中需要訪問服務器資源的Web瀏覽器,網關即是SSL VPN服務器,是整個系統訪問控制的核心。客戶端通過瀏覽器發出請求,SSL VPN服務器收到請求后與客戶端瀏覽器建立SSL安全連接,并代替客戶端向所需訪問服務器發出請求,服務器響應后SSLVPN將接收到的響應數據進行轉換,通過SSL安全連接發送給客戶端。
3SSL VPN的安全特征分析
3.1安全優勢
SSL VPN是一系列基于web應用的傳輸協議,包括服務器認證、客戶身份認證、SSL鏈路數據完整性及保密性認證等,@對于數據傳輸的安全性和保密性有著重要意義。
SSLVPN基于Web設計,主要通過互聯網實現從公網到內網的訪問。用戶在登錄VPN時要通過三層防護:第一層就是用戶和主機服務器之間的安全驗證,這一層主要驗證用戶的秘鑰、安全證書是否正確,所登錄服務器是否合法,確保服務器和個人信息不被泄露。第二層主要用多種算法來保護數據的安全性,SSL協議在主機服務器和用戶之間建立一條安全隧道,通過隧道向用戶傳送數據。第三層是多重加密和驗證技術,通過握手協議,檢測用戶的賬號密碼的正確性,在主機服務器和個人用戶之間驗證雙方身份真實性,再通過記錄協議打包數據,加密壓縮數據包,發送過程中再次加密傳輸。
SSL VPN采用對稱密碼體制和非對稱密碼體制的加密算法進行加密,通過建立安全隧道保證信息傳輸的安全陛。訪問采用takey文件從而在一定程度上減少了黑客對內網的安全威脅。并提供客戶端和服務器端的雙向認證,容易實現權限、資源等的控制。
3.2存在的安全隱患
對于該數據傳輸方式,可以較大限度保障數據和用戶的使用安全,但此種方式并非無懈可擊,由于SSLVPN采用Web服務器作為客戶端,因此瀏覽器的安全性直接關系到SSLVPN的安全,瀏覽器的安全隱患也會成為SSL VPN的安全隱患,如果用戶退出時只是關閉瀏覽器而并未關閉SSLVPN服務進程,或者用戶在公共場所登錄系統,就會增加用戶資料的泄露風險。在建立SSL VPN連接時,蠕蟲或其他電腦病毒也可能會通過建立的隧道感染內部服務器。
對于這些安全隱患,SSL VPN也逐步引入了令牌或短信認證、用戶端無操作將強制下線等手段,管理員也可以對用戶按角色進行劃分,根據不同角色確定不同的資源訪問權限,最大限度避免用戶端的安全風險。在數據傳輸過程中,也可以通過不斷提高應用層過濾技術來抵制病毒風險等。
4 SSL VPN的應用
由于SSL、VPN操作的便捷性和使用的安全性,越來越多的行業都逐步開始使用SSL VPN。用戶通過Web瀏覽器就可以訪問內部網絡,這使得用戶可以隨時隨地通過任意一臺電腦,或者通過其他移動設備時進行內部業務數據的訪問。
部署SSL VPN服務器時即是部署在內網的邊緣,介于服務器與遠程用戶之間,是遠程用戶訪問內網的大門,控制二者的通信。當用戶通過電腦或其他移動設備遠程訪問內網時,則先通過互聯網向SSLVPN服務器發出請求,也就是認證步驟,通過認證后,SSL VPN服務器根據訪問者的身份權限建立連接,使其可以并僅可以訪問允許的服務器數據。
篇(5)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)07-1540-02
SSL Protocol in the Network Communication of the Application
ZHANG Yang
(Liaoning University Computing Center, Shenyang 110036, China)
Abstract: SSL protocol is to provide a secure channel between computers a security protocol, data transmission is encrypted. This article has wireless video surveillance system for the study, the introduction of the SSL protocol in the system, the application of the protocol on the server and the client’s network communication, which can achieve data transmission security, authentication and message integrity.
Key words: SSL protocol; information security; network communication
無線視頻監控系統服務器和客戶端之間采用的C/S模式組成的,實現對視頻信號實時采集和壓縮編碼后,將圖像傳輸到指定的視頻服務器上。那么命令信息在傳輸過程中,數據的安全性是我們需要解決的重要問題。所以在該系統中引入了SSL協議,把SSL協議應用在服務器和客戶端的網絡通信中,通過數據加密提高信息的安全性。
1系統設計原則和目標
1.1系統設計原則
該系統的服務器和客戶端都是在windows操作系統利用VC的socket建立連接,實現網絡通信。考慮到服務器和客戶端之間數據傳輸的安全性和有效性,設計過程中注意以下幾個方面:
1)并發性:因為服務器和客戶端之間建立聯系,一般是一臺服務器對應多個客戶端進行通信的,每個終端優先級是平等的,為了實現客戶端的并發,在服務器端采用VC中的多線程技術,使得每個客戶端都能和服務器同時產生通信。
2)安全性:該系統是服務器和客戶端之間利用socket通信,客戶端向服務器發送請求命令,服務器收到后回應請求,如果在通信過程中命令信息不加密,信息容易被非法竊取,直接通過TCP協議傳輸信息是不安全的,所以要引入SSL協議,使所有的命令信息是加密傳輸的,保證了信息的安全性。
3)實時性:由于視頻監控系統對畫面的實時性要求非常高的,如果圖像也是通過加密傳輸的話,會嚴重影響圖像的傳輸速率,也就失去了實時性的要求,所以,我們在處理圖像傳輸時就不像命令信息一樣通過SSL加密傳輸了,滿足了圖像的實時性要求。1.2系統設計的目標
該系統實現的目標就是服務器端和客戶端建立連接,滿足并發性的要求;在通信過程中,雙方發送的命令信息通過SSL加密傳輸,提高安全性;圖像傳輸通過TCP協議傳輸,滿足視頻傳輸的實時性。
2網絡通信模塊的設計
主要討論的是服務器和客戶端之間的網絡通信問題,服務器和客戶端之間有兩種信息:服務器向客戶端轉發的視頻流信息;服務器和客戶端之間傳輸的命令信息。從信息的安全性考慮,在該系統中引入SSL加密協議,在數據傳輸過程中,即使數據被黑客竊取也不會將數據還原。確保了數據的安全性。
因為監控視頻對圖像的實時性要求非常高,不能有太長的時間延遲,而視頻在傳輸過程中產生的流量非常之大,直接通過TCP協議傳輸視頻信息可以有效降低時間延遲。
因此,通過SSL協議傳輸各種命令信息,我們可以把SSL通信模塊封裝成sslclient類和sslserver類,提供了接口函數,只需要調用對應的API就可以實現SSL加密通信。
3 SSL網絡通信技術的實現
3.1 SSL通信模塊的工作流程
該系統的整個結構可以分為服務器和客戶端兩個部分組成,而其中的SSL通信模塊為現實這兩個部分之間的數據通信的安全傳輸提供服務。主要從外部和內部兩個方面來分析,從外部來看,系統包括初始化握手部分和數據傳輸部分兩個部分內容,這兩個部分的內容具體對應SSL協議的“握手協議”和“記錄協議”。從內部來看,SSL模塊可劃分為初始化、SSL連接、身份認證和數據傳輸幾個模塊,初始化主要為SSL連接做準備工作,身份認證主要是驗證對方數字證書以證明身份的有效性。如果服務器也要求進行客戶端身份認證,會以同樣的方法對客戶端的證書進行驗證。當服務器和客戶端互相進行驗證之后。會在兩者之間成功建立SSL連接,形成一個安全數據傳輸通道,傳輸數據類似于TCP的套接字,直接寫入或者讀取數據。如圖1所示。
圖1 SSL通信模塊的結構圖
3.2實現的過程
在通信模塊中,服務器實現的過程很簡單,和客戶端實現的過程類似,服務器等待客戶端發送請求的連接,之后初始化一條SSL連接,它就從客戶端讀取或寫入數據發送到客戶端。按照功能也可以分為四部分:初始化過程、連接過程、身份認證過程和數據傳輸。
1)初始化過程:客戶端的開發時調用openssl函數實現的,首先是初始化SSL庫,在選擇會話連接所使用的協議:ssl_method* sslv3_client_method();再去申請SSL會話的CTX:ssl_ctx* ssl_ctx_new(ssl_method* meth);,目的是連接對象進行SSL握手、數據的讀寫;最后是家在私有密鑰和數字證書并設置加密套件。
然而服務器初始化過程和客戶端初始化過程類似,不同只是服務器調用sslv3_server_method()函數來實現的。
2)連接過程:服務器調用listen函數開始監聽客戶端的TCP連接請求,調用accept函數接受客戶端的TCP連接;申請一個BIO對象,把SSL綁在在這個對象上;調用SSL的accept函數接受客戶端的SSL連接。
3)身份認證:由于系統采用雙向身份認證機制進行身份認證,所以服務器和客戶端的證書都要互相進行認證方可正常通信,二者進行信息對比,如果一致,表明驗證通過,否則將關閉與客戶端之間的連接。
4)數據傳輸:服務器與客戶端建立連接后就可傳輸數據,所有數據是經SS加密處理后進行傳輸的。
4結束語
在當今信息化飛速發展的社會中,信息數據在日常生活和工作中顯得越來越重要,所以信息安全的重要性也越來越受到人們的重視,數據在保存和傳輸過程中如何可以防止黑客竊取,正是該文研究的對象。該文以視頻監控作為實例來研究,既要保證視頻傳輸的實時性,又要保障數據的安全性,所以我們采用服務器和客戶端之間采用靈活的雙重連接制,通過SSL協議進行數據加密傳輸,提高了機密信息傳輸的安全性。
參考文獻:
[1]付沙,何誠,文旭華.基于SSL協議的安全網絡通信的理論和實現[J].計算機與現代,2006(11).
[2]曾強.網絡安全協議SSL原理及應用[D].天津:天津大學,2005.
[3]唐玲.數字證書系統的設計研究[D].合肥:合肥工業大學,2004.
[4]韓澄宗.網絡實驗室中的視頻監控系統[D].杭州:浙江大學,2006.
篇(6)
1引言
隨著計算機網絡技術向整個經濟社會各層次延伸,網絡安全已成為現代計算機網絡應用的最大障礙,也是繼續解決的難題之一。能否在網上實現安全的電子支付是電子商務交易的一個重要環節。從目前來看,雖然電子支付安全問題還沒有形成公認的成熟的解決方法,但是自從SSL安全協議和SET安全協議問世后,困擾人們心中的這一問題得到了緩解,現在SSL安全協議和SET安全協議已經被廣泛地應用在電子商務活動中的安全支付環節。
2 SSL安全協議
2.l SSL安全協議概念
SSL安全協議又叫安全套接層(Secure Sockets Layer)協議,是由網景(Netscape)公司推出的一種安全通信協議,它能夠對信用卡和個人信息提供較強的保護。SSL是對計算機之間整個會話進行加密的協議。在SSL中,采用了公開密鑰和私有密鑰兩種加密方法。它是根據郵件通路的原理設計的。它是基于TCP/IP協議之上的應用程序,主要用于提高應用程序之間數據的安全系數。
2.2 SSL安全協議主要服務
(1)用戶和服務器的合法性認證。認證用戶和服務器的合法性,使得它們能夠確信數據將被發送到正確的客戶機和服務器上。
(2)加密數據以隱藏被傳送的數據。SSL所采用的加密技術既有對稱密鑰技術,也有公開密鑰技術。在客戶機與服務器進行數據交換之前,交換SSL初始握手信息,在SSL握手信息中采用了各種加密技術對其加密,以保證其機密性和數據的完整性,并且用數字證書進行鑒別,這樣就可以防止非法用戶進行破譯。
(3)保護數據的完整性。安全套接層協議采用Hash函數和機密共享的方法來提供信息的完整,建立客戶機與服務器之間的安全通道,使所有經過安全套接層協議處理的業務在傳輸過程中能全部完整準確無誤地到達目的地。
2.3 SSL安全協議的使用步驟
SSL安全協議的使用步驟包括:
(1)建立連接階段。客戶通過網絡向服務商打招呼,服務商回應。
(2)密碼交換階段。客戶與服務商之間交換雙方認可的密碼。
(3)會談密碼階段。客戶與服務商之間產生彼此交談的會談密碼。
(4)檢驗階段。檢驗服務商取得的密碼。
(5)客戶認證階段。檢驗客戶的可信度。
(6)結束階段。客戶與服務商之間相互交換結束的信息。
當上述動作完成之后,兩者間的資料傳送就會加以密碼,等到另外一端收到資料后,再將編碼后的資料還原。即使盜竊者在網絡上取得編碼后的資料,如果沒有原先編制的密碼算法,也不能獲得可讀的有用資料。在電子商務交易過程中,由于有銀行參與,按照SSL協議,客戶購買的信息首先發往商家,商家再將信息轉發銀行,銀行驗證客戶信息的合法性后,通知商家付款成功,商家再通知客戶購買成功,將商品寄送客戶。
2.4 對SSL安全協議的評價
SSL安全協議雖說是國際上最早應用于電子商務的一種網絡安全協議,但是目前仍受一些網上商家的青睞。主要原因是它解決了傳統交易方式中的“信任危機”問題。我們知道SSL協議根據郵購的原理進行了流程改造,因而希望銀行能為它們的交易信用給予認證,以避免商家發貨后客戶不付款或者客戶付款后商家不發貨的情況發生,正當更多的人對電子商務活動感到缺乏安全性時,SSL安全協議的出現多少取消了人們這方面的顧慮。
但是,SSL協議也存在一些缺點:在SSL協議中,客戶的信息先到商家,讓商家閱讀,這樣,客戶資料的安全性就得不到保證。所以,SSL并沒有實現電子支付所要求的保密性、完整性,而且多方互相認證也是很困難的。SSL協議的安全性基于商家對客戶信息保密的承諾,因此說客戶信息的安全性系于商戶的承諾基礎之上.所以說SSL協議是一個有利于商家而不利于顧客的協議。
3 SET安全協議
為了促進電子商務的發展,徹底解決在線交易中商家和客戶信息的安全傳輸問題,同時為了改進SSL安全協議不利于客戶的缺陷,全球著名的信用卡集團Visa Card和Master Card聯袂開發了SET電子商務交易安全協議。這是一個為了在因特網上進行在線交易而設立的開放的安全電子支付體系。SET克服了SSL安全協議有利于商家而不利于顧客的缺點,它在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證,這對于需要支付貨幣的交易來講是至關重要的。
3.1 SET安全電子交易協議的概念
安全電子交易協議(Secure Electronic Transaction)是由Visa Card和Master Card于1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商家及持卡人的合法身份以及可操作性。SET中的核心技術主要有公開密鑰加密、電子數字簽名、電子信封、電子安全證書等。SET協議主要是為了在因特網上進行在線交易時,保證使用信用卡進行支付的安全而設立的一個開放的協議,是面向網上交易、針對利用信用卡進行支付而設計的電子支付規范,由于SET協議得到了HP、IBM,Microsot等公司的支持,因此,迅速在全世界得到廣泛應用。
3.2 SET安全協議的安全目標
SET安全協議要達到的目標主要有5個:
(1)保證信息在因特網上安全傳輸,防止數據被黑客或被內部人員竊取。
(2)保證電子商務參與者信息的相互隔離。客戶的資料加密或打包后通過商家到達銀行,但是商家不能看到客戶的帳戶和密碼信息。
(3)解決多方認證問題.不僅要對消費者的信用卡認證,而且要對在線商店的信譽程度認證,同時還有消費者、在線商店與銀行間的認證。
(4)保證網上交易的實時性,使所有的支付過程都是在線的。
(5)效仿EDI貿易的形式,規范協議和消息格式,促使不同廠家開發的軟件具有兼容性和互操作功能,并且可以運行在不同的硬件和操作系統平臺上。
3.3 SET協議的工作流程
(1)購物階段
消費者利用自己的PC機通過因特網選定所要購買的物品,并在計算機上輸入貨單。訂貨單上需包括在線商店、購買物品名稱及數量、交貨時間及地點等相關信息。
(2)商品交易確認階段
通過電子商務服務器與有關在線商店聯系,在線商店作出應答,告訴消費者所填訂貨單的貨物單價、應付款數、交貨方式等信息是否準確,是否變化。
(3)支付初始化請求和響應階段
當客戶決定要購買商家的商品并使用SET錢夾付錢時,商家服務器上POS軟件發報文給客戶的瀏覽器SET錢夾付錢,SET錢夾則要求客戶輸入口令然后與商家服務器交換“握手”信息,使客戶和商家相互確認,即客戶確認商家被授權可以接受信用卡,同時商家也確認客戶是一個合法的持卡人。
(4)支付請求階段
客戶發一報文包括訂單和支付命令。在訂單和支付命令中必須有客戶的數字簽名,同時利用雙重簽名技術保證商家看不到客戶的賬戶信息。只有位于商家開戶行的被稱為支付網關的另外一個服務器可以處理支付命令中的信息。
(5)授權請求階段
在線商家收到訂單后,向消費者所在銀行請求支付認可。POS組織一個授權請求報文,其中包括客戶的支付命令,發送給支付網關。授權請求報文到達收單銀行后,收單銀行再到發卡銀行確認。批準交易后,返回確認信息給在線商店。
(6)授權響應階段
收單銀行得到發卡銀行的批準后,通過支付網關發給商家授權響應報文。
(7)支付響應階段
商家發送購買響應報文給客戶,客戶記錄交易日志備查。在線商店發送貨物或提供服務,并通知收單銀行將錢從消費者的賬號轉移到商店賬號,或通知發卡銀行請求支付。在處理過程中,通信協議、請求信息格式、數據類型的定義等,SET都有明確的規定。在操作的每一步,消費者、在線商店、支付網關都通過CA來驗證通信主體的身份,以確保通信和對方不是冒名頂替。所以,也可以簡單地認為,SET規格充分發揮了認證中心的作用,以維護在任何開放網絡上的電子商務參與者提供信息的真實性和保密性。
3.4 對SET安全協議的評價
SET安全協議從面市以來,由于設計合理,得到了IBM,HP,Microsoft,Netscape等許多大公司的支持,保持了良好的發展趨勢。因為SET改進了SSL安全協議有利于商家而不利于顧客的缺點,它在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證,這對于需要支付貨幣的交易來講是至關重要的。SET安全電子交易是基于因特網的卡式支付,是授權業務信息傳輸的安全標準,它采用RSA公開密鑰體系對通信雙方進行認證,利用對稱加密方法進行信息的加密傳輸,并用HASH算法來鑒別消息真偽、有無涂改。在SET體系中有一個關鍵的認證機構(CA),CA負責和管理證書。
但是隨著進一步應用我們也會發現一些問題。(1)協議沒有說明收單銀行給在線商店付款前,是否必須收到消費者的貨物接受證書。如果在線商品提供的貨物不符合質量標準,消費者提出疑義,責任由誰承擔。(2)協議沒有擔保“非拒絕行為”,這意味著在線商店沒有辦法證明訂購不是由簽署證書的消費者發出的。(3)SET技術規范沒有提及在事務處理完成后,如何安全地保存或銷毀此類數據,是否應當將數據保存在消費者、在線商店或收單銀行的計算機里。這種漏洞可能使這些數據以后受到潛在的攻擊。
4總結
在現有的網上交易的安全協議中主要有SSL和SET兩種, 由于宿舍SSL協議的成本低、速度快、使用簡單, 對現有網絡系統不需進行大的修改, 因而目前取得了廣泛的應用。而在SET協議中, 客戶端需安裝專門的電子錢包軟件, 在商家服務器和銀行網絡上也需安裝相應的軟件;并且SET協議非常復雜、龐大,處理速度慢。但是, 由于SET協議位于應用層, 它不僅規范了整個商務活動的流程, 而且制定了嚴格的加密和認證標準, 具備商務性、協調性和集成;SET協議對交易的各個環節都進行了認證, 所以, SET協議的安全性更高。
其實網上銀行的安全涉及到方方面面,不只是一個完善的安全支付協議,一堵安全的防火墻或者一個電子簽名就能簡單解決的問題。所以,現在銀行必須加大加強管理力度,加大宣傳力度,幫助顧客樹立起安全意識,指導用戶該如何正確使用網上銀行,并發動社會各方面的力量,尋求多方聯動的策略來保證網上銀行的安全。只有社會各界一起努力,才能保證電子支付的安全;只有社會各界一起努力,才能保證網上銀行的安全;也只有社會各界一起努力,才可以保證電子商務的安全,保證電子商務的快速有序的發展。
參考文獻:
篇(7)
0 引言
控制平面是體現ASON智能特性的核心部分,ASON的正常運行主要依賴于控制平面的3個基本功能:信令功能、路由功能和資源管理功能。相應地,控制平面所使用的協議也主要包括三大部分:信令協議、路由協議和鏈路資源管理協議。目前,相關組織已經展開了協議的制定工作,IETF通過對IP網絡中原有協議的改進,提出了一種通用多協議標簽交換GMPLS的協議框架,并把對這種可應用于多種技術網絡的控制協議應用于ASON中。
1 GMPLS技術
隨著光網絡的部署,IP面臨的接口類型也日趨多樣化,原來MPLS要求承載IP數據的LSP起始于一個路由器,但很多實際的網絡管理域可能以其它網絡設備為界,所以MPLS需要支持多種類型的接口。
GMPLS就是一種在MPLS技術基礎上擴展起來的、支持多類型交換的通用技術,一方面它沿用了MPLS原有的技術,如控制與轉發相分離、標簽交換、路由技術、信令技術等;另一方面,又對MPLS進行了擴展,從而使其不僅支持分組交換,而且還支持時域的TDM交換、光域的波長交換、空間域的光纖交換等多種類型交換。
GMPLS控制平面的主要功能是:自動發現、狀態信息分發、路由功能、信令控制、連接管理等,所以能比較好地實現ASON的各種功能。因此,伴隨著光傳送網逐步向智能化方向邁進,在SDH或OTN層面上加載GMPLS控制技術是實施ASON的首選方案。
1.1 GMPLS標簽
為了支持多種類型的交換,GMPLS對原MPLS標簽在時域和光域都進行了擴展,將光纖、波長、TDM時隙等也用標簽進行統一標識,從而使其成為不僅可以支持以太網、IP、ATM的數據交換,而且還可以支持TDM電路交換(SDH)、波長交換、光纖交換的通用標記。
1.2 標簽交換通道LSP
GMPLS可以構建多種類型的LSP,如分組LSP、TDMLSP、波長交換的LSP等。
在建立LSP時一般也是由入口節點向出口節點提出建立LSP的請求,然后由出口節點返回應答、提供FEC、標簽綁定信息等。GMPLS在“標簽請求”中增加了對要建立LSP的說明,如LSP的編碼類型、負荷類型等。對于建立光連接的LSP,為了減少LSP的建立時間,GMPLS定義了一個“建議標簽”,它采用標簽由入口節點發出,不需要得到出口節點確認便進行硬件配置的方法。
另外,GMPLS會同時建立雙向對稱的LSP,而不像MPLS那樣需要分別建立兩次單個的LSP。GMPLS建立的LSP具有嵌套功能,即分組的LSP可以嵌入到TDM LSP之中,而TDM LSP又可以嵌入到光交換LSP之中等,從而提高了網絡資源的利用率[3]。
2 GMPLS協議
控制平面的控制作用主要是通過軟件即相關協議完成的,GMPLS 的相關協議主要包括路由協議、信令協議與鏈路管理協議[4]。
2.1 路由協議
GMPLS基本上沿用了MPLS的路由協議,如OSPF-TE或IS-IS-TE協議,以完成路由的計算與選擇等功能。但為了支持多類型交換,GMPLS對原路由協議進行了擴展[5],GMPLS對路由協議的擴展主要包括:支持無編號鏈路(不具有IP地址的鏈路如光波長鏈路),指示鏈路保護類型(LPT)、增加了接換能力描述符、帶寬編碼、鏈路捆綁等。此外,為了可以查出哪個物理設備可能會被一個普通的錯誤事件影響,GMPLS路由也引入了共享風險鏈路組(SRLG)的概念。GMPLS-OSPF和GMPLS-ISIS則分別描述了OSPF-TE和ISIS-TE對擴展功能的具體實現方式。GMPLS路由協議主要用于I-NNI接口的路由,即ASON域內路由。
2.2 信令協議
GMPLS基本上也沿用了MPLS的信令協議如RSVP-TE或CR-LDP協議,以完成資源預留、建立標簽交換通道LSP。同時也對原信令協議進行了擴展,明顯的擴展有以下幾點:
(1)擴展標簽:將MPLS中的標簽概念擴展后用來包含不同標簽格式,以符合分組交換和電路交換技術。
(2)普通端到端(End-to-End)標簽:此擴展允許網絡中的交換機判定一個普通端到端標簽。在沒有波長轉換且相同波長(標簽)必須使用端到端的全光網絡中,這個特性很有用。
(3)雙向性:GMPLS信令擴展支持建立單向和雙向連接。而在MPLS-TE中僅僅支持單向LSP。
(4)控制平面和數據平面的分離:MPLS-TE信令和數據在相同的網絡接口中傳輸。而GMPLS信令允許控制接口和數據接口分離開來。因此,可以用一條單獨的控制鏈路來控制網元之間的多條數據鏈路。此外,GMPLS信令還有這樣的設計:控制平面的錯誤不會影響數據在先前建立的連接里面傳輸。
(5)控制平面重啟程序:這些擴展允許網元在一個節點或者一條鏈路出現故障之后可以恢復它們的信令控制狀態。
2.3 鏈路管理協議
LMP是 GMPLS 用于管理鏈路的協議,主要有4個功能,即控制通路管理、鏈路特性關聯、鏈路連通性檢驗、故障管理。其中前兩個功能是必須的,后兩個功能是可選的[6]。
(1)控制通路管理
所謂控制通路,就是在兩相鄰結點的互相可達接口之間可以進行通信(主要是控制信息)以支持路由、信令與管理的鏈路。控制鏈路可以用多種方法實現,如光纖、WDM的波長、以太網鏈路、IP隧道與數據鏈路的開銷字節等。LMP并不具體規定控制通路的實現方法。控制通路管理就是在兩個相鄰結點之間建立并保持、維護控制通路。它是通過在相鄰結點接口之間交換“配置”消息與不斷地交換“Hello”消息實現的。
(2)鏈路屬性關聯
鏈路屬性關聯是用來實現TE鏈路屬性的同步和配置的校驗,可進行鏈路綁定,可以修改、關聯和交換鏈路的流量工程參數。LMP使用的相應消息有:“鏈路匯總”、“鏈路匯總應答”(Ack)、“鏈路匯總非應答”(Nack)。
(3)鏈路連通性檢驗
鏈路連通性驗證用來證實數據鏈路的物理連通性,動態發現TE鏈路和接口ID的映射關系。鏈路連通性檢驗通過在數據鏈路上發送“測試”消息,在控制通路上反饋“測試狀態”消息來實現。“測試”消息只能在數據鏈路上傳送的LMP消息,而“測試狀態”消息的交換通路是在控制通路上進行。在檢驗過程中,“Hello”消息將連續不斷地在控制通路上進行交換。
綜上所述,GMPLS可以提供一套構建ASON的完整解決方案。基于GMPLS的ASON控制平面不僅能夠支持包括分組、TDM、光波長等多類型業務交換,把交換與傳輸融合在一起,而且還能提供自動呼叫與連接、網絡的保護與恢復等多項功能。
【參考文獻】
篇(8)
西門子S7-200 PLC具有低成本、可靠性高、技術成熟、能適應各種惡劣的環境等特點在成套設備中得到廣泛的應用。隨著工業控制的飛速發展,控制已經從分散控制發展向集中控制型的集散控制系統需要通過S7-200檢測現場設備的運行數據并進行控制,采用ModbusRTU協議是一個不錯的選擇,不用另外增加任何設備,只需要在S7-200中進行編程設置即可。接下來我們通過實例來介紹ModbusRTU測試軟件ModScan32與西門子S7-200 PLC之間的通訊建立與測試。
一、Modbus RTU協議與S7-200相互關系簡介
目前支持Modbus通信的DCS、PLC系統和過程儀表大都采用基于串行接口的Modbus RTU模式,西門子公司提供了針對西門子PLC Modbus RTU的協議庫。極大的簡化了Modbus RTU通信的開發,以便快速實現二者的相關應用。通過Modbus RTU從站指令庫,使得S7-200可以作為Modbus RTU中的從站,以實現與Modbus主站設備的通信。
二、軟硬件準備
1.軟件:ModScan測試軟件、Step7-MicroWin V4.0SP06編程軟件、S7-200Modbus指令庫文件。
2.硬件:PC機、西門子S7-200PLC(CUP224XP CN REL02.01)、PPI編程電纜、USB-TO-Serial電纜、RS232轉RS485模塊。
3.焊接RS485通訊電纜一根(Date+ DB9 3引腳、Date- DB9 8引腳)、RS485通訊電纜連接200PLC的Port0端口。
三、使用Modbus 指令庫需要注意事項
1.使用Modbus指令庫,對STEP7 Micro/win軟件版本的要求。軟件版本必須是V3.2或者以上版本。
2.S7-200 CPU必須是固化程序修訂版2.00或最好支持Modbus主設備協議庫。
3.目前市場已經推出針對端口0和端口1的Modbus RTU主站指令庫,以及針對端口0的Modbus RTU從站指令庫,故在使用時一定要區分開。
4.一旦CPU的端口被用于Modbus RTU主站或從站協議通訊時,該端口就無法用于其他用途,包括與STEP7 Micro/win通訊。當需要與STEP7 Micro/win通訊時把CPU打到STOP位即可通訊。
5.利用指令庫編程前首先應為其分配存儲區,否則Step7-MicroWin在編譯時會報錯。分配存儲區時在對話框輸入庫存儲區的起始地址,注意避免該地址與程序中其他地址重復使用,也可以點擊“建議地址”按鈕,系統將自動計算存儲區分配地址。
四、S7-200 PLC控制器組態
我們是用ModScan32做主站來讀取從站(S7-200)的數據。所以在S7-200 PLC里面只用Modbus從站協議指令, Modbus從站協議指令包括MBUS_INT和MBUS_SLVE兩條協議指令。如圖1
圖 1
1.MBUS_INT指令,用于啟用和初始化或停止Modbus從站通信。在使用MBUS_SLVE指令之前,必須執行MBUS_INT指令。在指令完成后立即設定“完成”位,才能執行下一條指令。MBUS_INT指令引腳含義如下:
1.1EN:西門子指令使能位。因為是初始化用觸點SM0.1即可。
1.2Mode:“模式”參數。用于啟動和停止Modbus通信,允許使用以下兩個數值:1-啟動,2-停止。
1.3Address:“地址”參數。輸入Modbus從站地址,取值范圍為1~247.
1.4Baud:“波特率”參數。Baud:“波特率”參數可選1200、2400、9600、19200等。
1.5Parity:“奇偶校驗”參數。0-無校驗;1-奇校驗;2-偶校驗。
1.6Delay:“延時” 參數。附加字符間延時,默認值為0。
1.7MaxIQ:“最大I/Q位”參數。設置參與通信的最大I/O點數,S7-200的I/O映像區為128/128,默認值為128。
1.8MaxAI:“最大AI字”參數。設置參與通信的最大AI通道數,可為16或32。
1.9MaxHold:設定供Modbus地址4xxxx使用的V存儲器中的字保持寄存器數目。
1.10HoldStart:保持寄存器區起始地址,以&VBx指定。
1.11Done:初始化完成標志,成功初始化后置1。
1.12Error:初始化錯誤代碼。0-無錯誤。
2.MBUS_SLVE指令,用于Modbus主設備發出請求服務,并且必須每次掃描時執行,以便允許該指令檢查和回復Modbus請求。MBUS_SLVE指令無輸入參數,在每次的掃描EN開啟時執行。MBUS_SLVE指令引腳含義如下:
2.1EN:西門子指令使能位。因為每個周期都需要執行,故用SM0.0即可。
2.2Done:“完成”參數。Modbus執行通信時置1,無Modbus通信活動時為0。
2.3Error:錯誤代碼。0-無錯誤。
五、測試軟件ModScan32設置
ModbusRTU測試軟件ModScan32,在通訊中是中主站,監視從站和向從站發送命令。以下是ModbusRTU測試軟件ModScan32如圖2: 圖 2
ModScan32測試軟件的畫面中相關參數意義如下:
1.通信端口的選擇。如果PC用的 RS485 轉換器接的是串口一(COM1),此下拉選項設置為 COM1 即可。
2.Baud:波特率的選擇。與S7-200 PLC內設置保持一置。
3.Word:數據位。默認值8。
4.Parit:奇偶校驗。與S7-200 PLC內設置保持一置。
5.Stop:停止位。默認值1.
6.Device Id:下位機地址。與S7-200中MBUS_INT模塊的Address引腳一置。
7.Address:寄存器的起始地址。
8.Length:寄存器長度。
9.MODBUS Point Type:Modbus點類型選擇。依次出現的是繼電器狀態、輸入狀態、鎖存器、輸入寄存器。
10.Number of Polls:發送和接受命令的次數。
11.Valid Slave Responses:有效命令的次數。
六、通訊測試
S7-200 PLC和測試軟件ModScan32設置完畢后,系統上電、通訊線連接好就可以進行調試。Modbus RTU地址與S7-200的地址對應關系 Modbus地址總是以00001、30004之類的形式出現。S7-200內部的數據存儲區與MODBUS的0、1、3、4共4類地址的對應關系所示:
MODBUS地址
S7-200數據區
00001-00128……………………………Q0.0-Q15.7
10001-10128……………………………I0.0-I15.7
30001-30032……………………………AIW0-AIW32
40001-4xxxx……………………………T + 2*(xxxx-1)
其中T為S7-200中的緩沖區起始地址,即HoldStart。如果已知S7-200中的V存儲區地址,推算MODBUS地址的公式為:MODBUS地址=40000+(T/2+1)
篇(9)
隨著計算機、通信及自動控制等技術的發展,對企業自動化設備工作狀況進行遠程監測和控制,不僅可隨時了解設備工作狀態,設備出現異常時報警,便于及時發現,提高工作性能,在實際現場應用中,需要把不同廠家控制系統的數據進行共享互聯。某甲醇廠60萬噸/年甲醇項目的主控制系統采用了美國先進的控制系統Honeywell pks,而現場低壓煤漿泵、氮壓機、磨煤機的裝置系統的控制系統為各自獨立配置SIEMENS S7-300 PLC控制系統。為了有效的監控這些設備的運行參數,采用Modbus協議來實現控制系統與SIEMENS S7-300控制系統之間的串口通訊。
一、Modbus協議簡介
Modbus 協議是應用于電子控制器上的一種通用語言。通過此協議可使控制器相互之間、控制器經由網絡和其它設備之間進行通信。它已經成為一通用工業標準。可以把不同廠商生產的控制設備連成工業網絡,進行集中監控。Modbus協議是一種適用于工業控制領域的主從式串口通訊協議,它采用查詢通訊方式進行主從設備的信息傳輸,可尋址1-247個設備地址范圍。協議包括廣播查詢和單獨設備查詢兩種方式,二者區別就是廣播查詢不需要從設備回應信息。
標準的Modbus口是使用一RS-232C兼容串行接口,它定義了連接口的針腳、電纜、信號位、傳輸波特率、奇偶校驗。控制器能直接或經由 Modem組網。
控制器通信使用主—從技術,即僅一設備(主設備)能初始化傳輸(查詢)。其它設備(從設備)根據主設備查詢提供的數據作出相應反應。典型的主設備:主機和可編程儀表。典型的從設備:可編程控制器。主設備可單獨和從設備通信,也能以廣播方式和所有從設備通信。如果單獨通信,從設備返回一消息作為回應,如果是以廣播方式查詢的,則不作任何回應。Modbus協議建立了主設備查詢的格式:設備(或廣播)地址、功能代碼所有要發送的數據、一錯誤檢測域。從設備回應消息也由Modbus協議構成,包括確認要行動的域、任何要返回的數據、和一錯誤檢測域。如果在消息接收過程中發生一錯誤,或從設備不能執行其命令,從設備將建立一錯誤消息并把它作為回應發送出去。
二、PKS 系統的通訊功能
PKS 系統是Honeywell公司推出得基于批處理、過程控制、 SCADA應用的開放的混合控制系統。它通過串行口(Serial)和第三方控制器或PLC通訊。它支持多種類型的控制器通訊,并可以靈活的采用多種連接方式。控制器帶網絡接口控制工程網權,可以直接接入到網絡上,如果控制器帶串口控制工程網權,可以通過modbus協議終端服務連接到網絡上來。一個modbus協議終端服務允許多個控制器同時連接到網路上來,并提供多種連接接口RS-232、RS-422、RS-485。利用Modbus 協議配置方式實現兗州煤業榆林能化甲醇廠60萬噸/年甲醇項目Honeywell PKS 控制系統與SIEMENS S7-300 PLC控制系統控制器之間的串口通訊。
1.硬件介紹
串行接口卡件(SIM)是安裝在PKS系統標準卡槽上的雙寬度I/O卡件,它的功能是實現通過現場端子板FTA連接串行接口卡件的現場設備與PKS控制器之間的通訊橋梁。串行接口卡件可以提供與單FTA 電源適配器連接的兩個FTA 通訊的兩個串口的雙向通訊接口控制工程網權,它不存儲和保持任何現場I/O設備的組態數據和實時數據,它只在與它相連的現場設備與控制器之間傳輸數據參數。
FTA采用插接卡件根據現場設備的需要選用指定的串行接口控制工程網權,共有兩種標準的FTA 產品。一種是MU-TSIMI2 Modbus型FTA提供點對點RTU EIA-232(RS-232)或EIA-422/485(RS-422、485)多點通訊接口。另一種是MU-TSIAI2 Allen-Bradley(A-B)型FTA提供一個EIA-232(RS-232)通訊接口用于DF1通訊協議的A-BPLC-2等現場設備。
某甲醇廠60萬噸/年甲醇項目采用了第一種FTA標準。一個SIM卡帶兩個FTA接線端子板(FTA A,FTA B),由單獨電源模塊供電,每個FTA 接線端子板通過屏蔽雙絞通訊線與第三方設備連接。各通訊設備以總線方式接入,當通訊距離超過100米或者干擾很強時兩端均加上120歐姆電阻,連接第三方通訊設備到FTA端子的最大接線長度不超過300米,如果超過300米采用信號信號中繼器或者放大器,每個FTA接線端子板最多可接的設備15個。
某甲醇廠60萬噸/年甲醇項目的低壓煤漿泵、磨煤機S7-300控制裝置離主控室Honeywell PKS控制裝置有600多米,采用了S7-300 的Modbus 485轉換成光信號,通過光纖送至PKS控制裝置控制室通訊柜內,然后通過光電轉換成Modbus 485 信號接入PKS 通訊網中,實現數據通訊。而合成壓縮機、丙烯壓縮機采用ITCC控制系統與Honeywell PKS控制裝置距離只有30米,直接采用Modbus 485屏蔽雙絞通訊線進行連接通訊,進行數據共享。
2.組態介紹:(以SINUMARRCH功能塊為例)
每個SIM卡有32個通道,其中0-15通道與連接在FTA A板上的第三方設備的進行通訊,而16-31通道與連接在FTA B板上的第三方設備進行通訊。當只有1個FTA板時,那么這塊FTA板必須配置成FTA A使用,即將FTA 接到Power Adapter的Channel A上,而且只能使用0-15通道。
Control Builder中SI通訊功能塊有三種:對于一個軟通道SINUMARR CH功能塊可以接收/發放最多16個32位浮點數或整型數。
組態畫面中:
Serial Link Device Address:為設備地址,即Modbus ID;
Starting Element lndex:為接收/發送數據的起始地址。此為第三方廠家提供的,是Modbus通訊寄存器首地址,1個寄存器地址存儲一個16位二進制數;
Number of Numeric Value:接收/發送數據的個數。
一個SINUMARR CH功能塊只能設置為一個數據類型,而且接收/發送數據的地址必須是連續的。Number of Numeric Value項中設置的值是從起始地址開始存儲數據的個數;如果第三方設備發送/接收數據的Modbus 存儲地址是放在不連續的幾個地址段上,那么就必須用多個SINUMARR CH功能塊來接收不同地址段的數據。
三、結束語
目前甲醇等煤化工項目裝置中,DCS、PLC等多個控制系統同時使用的情況很普遍,把多個控制系統融合為一個整體,能在中央控制室中的DCS中監視、控制。就涉及控制系統之間的通訊問題。而Modbus串行通訊技術有著實現簡便、系統集成費用低以及通訊距離遠(RS485/422)等特點,所以Modbus串行通訊技術的運用在DCS與PLC之間通訊將會保持廣泛的應用。
參考文獻
篇(10)
歷史
在過去10年,幾個工業聯盟花費了數百萬用于研發基于X10的家庭智能化網絡技術――這種有著30年歷史的家庭自動化標準。X10允許用戶自動/遠程控制家庭中的無數功能,從燈光場景到溫度控制再到無線安防攝像機。但它從來沒有被主流的客戶所采用,因為它的可靠性不可預測。
但是為什么X10一直被公認為工業標準?因為它是低價的。其他X10的替代標準并不成功,因為要么太過昂貴、要么不能隱式地兼容X10、要么就是安裝調試過于復雜。
Insteon的開發
這幾年,Smarthome開始研發Insteon。因為它有著世界上最龐大的智能家居用戶群,Smarthome非常適合開發下一代的家庭智能網絡技術。自從12年前公司成立到現在,已經開發出超過150種的智能家居產品,每年銷售量數以萬計。
Smarthome的工程師們牢記客戶們的需求:可靠的、低成本、易安裝和使用的、能兼容X10,并把這些作為關鍵的目標。
在2004年6月,Smarthome正式啟動Insteon。這種網絡技術發送給家庭設備的速度是X10的30倍,并且允許新的音視頻控制應用。每個Insteon設備都是一個收發器/轉發器,因此信號可靠得被重復。另外,所有的通訊都要被確認,各個設備都有一個獨立的標識,允許訪問控制應用,比如鎖定門和窗戶。
Insteon的名字是從它的“即時啟用”(instant on)演變而來的。相比較X10傳遞一個消息需要1/16秒到幾秒的時間,而Insteon只需要0.04秒,這個時間比人眼感覺到燈打開的時間都要短。
Smarthome的工程師們獨特地設計Insteon,它能夠內置電力線和無線射頻網絡技術。包含電力線的原因是因為它是最廉價的家庭自動化網絡技術,而RF則提供了距離的擴展和無線應用業務。這種組合,使得用戶可以在屋子里的任何一個地方通過無線或者電力線發送信號,而信號可以通過電力線發送到設備上,或者直接發送到其他無線設備上。
例如,同時使用電力線和RF,電池驅動的門鎖就可以使用Insteon RF進行控制,如果室外的噴嘴連接在一個電源插座上,那么我們就可以在室內通過電力線控制它的開關。在其他情況下,這種技術需要確定采用什么樣的傳輸方式。Smarthome同合作伙伴一起將Insteon整合到非常廣泛的日常設備中,包括家電和其他家庭用具。
什么是Insteon?
Insteon是一個功能強大的無線家庭控制網絡技術,簡單、低成本、可靠的整合系統,能夠使家庭更加舒適、安全、方便和高效。
功能:
燈光的場景控制和遠程控制
安全警報界面和傳感器
家庭傳感器(比如:水、濕度、溫度等)
訪問控制(比如:門鎖)
加熱和降溫(HVAC)控制和管理
音頻-視頻控制
電器管理
節約電能
網絡拓撲
Insteon是一個強力的雙重冗余網絡,包含了無線射頻和電力布線。
Insteon使用最新的技術建立一個真實的點到點的網狀網絡。每種設備都是一個點,不需要網絡的管理,所以負責的網路控制器和路由器并不需要。
安裝
用戶使用Insteon,只需要簡單的將RF訪問節點插到他們的房間中,同時安裝兩個過濾器到電腦的插線板上。Insteon家庭自動化設備的安裝遵循“Plug and Tap”(插入擰緊)流程。例如,要在樓上控制樓下的照明燈,用戶需要這么做:
①將燈插入到樓下的一個電源插座上的Insteon模塊上;
②將一個面板或者其他遠程控制設備插到樓上,或者使用一個無線控制設備;
③擰緊樓上的面板的設置按鈕;
④擰緊樓下Insteon模塊的設置按鈕;
⑤安裝完成。
Insteon設備可以通過PC進行程序控制,也可以由程序通過因特網進行控制。家庭智能控制軟件可以控制到整個家庭,比如調暗燈、在晚餐時間打開立體聲。
安裝使用簡單
Insteon的插件產品可以在10分鐘以內完成安裝和調試。布線的設備一旦安裝以后,調試很簡單。
Insteon設備的設置使用“Plug and Tap”方法。每個Insteon設備有自己的對立ID,不需要設置地址。連接兩個Insteon設備很簡單:在第一個設備上按下ON按鈕并持續10秒,然后同樣在第二個設備上做如此操作。
Insteon的網絡不需要PC或者智能控制器。當然,智能控制器也可以加入,以進行高級的家庭控制。
應用
Insteon的應用包括遠程控制或者自動化,如燈光、家電、安防、空氣調節等。寬帶技術非常適合傳輸大的視頻和音頻數據,Insteon是一種窄帶技術,適合于發送家居的自動化系統的控制信息。
篇(11)
IBM軟件集團Lotus軟件高級協作開發副總裁Dennis King強調,在IBM“智慧的地球”愿景下,Lotus將繼續加強協作領域的領導力和創新力,為成就更多企業實現智慧協作提出更加堅實的舉措。來自Lotus的國內核心業務團隊向與會嘉賓展示了Lotus最前沿的協作技術和應用成果,分享了結合IBM垂直行業專長和領先協作技術的行業解決方案。
作為Lotus Notes和Domino協作軟件的重大拓展計劃,IBM Lotus將向Nokia Symbian設備、BlackBerry、Google Android操作系統和iPhone提供全新支持,以滿足日益增加的移動設備對企業應用和業務流程的需求。
據IDC預計,到2011年,市場將有1萬億與互聯網相連接的設備。為此,Lotus致力于向所有移動設備提供支持,保證用戶無論身處何處都能夠提供服務。如今,Lotus已率先為移動設備提供了最廣泛的郵件和協作支持,包括新版Lotus Notes Traveler軟件將對Google Android手機操作系統2.0和2.1版本提供協作支持。
IBM在本次大會上了“協作議程”(Collaboration Agenda),它集合了IBM行業領域的專家和專業知識、軟件實驗室的技術專家以及咨詢服務專家,旨在通過協作技術和行業專長,為企業量身定制協作路線圖和戰略,幫助企業改善人員互動方式,加速業務流程,實現可衡量回報。