一种具有安全机制的PROFIBUS嵌入式Web网关的制作方法
【专利摘要】本发明为一种具有安全机制的将PROFIBUS接入Internet的嵌入式Web网关,硬件主要包括ARM9处理器、PROFIBUS通信接口电路、Internet通信接口电路等,软件架构包括嵌入式Linux操作系统、嵌入式Web服务器、数据库等。将PROFIBUS通过该网关接入Internet时,网关上同时采用强制访问控制思想进行用户访问控制、SSL套接层协议对数据进行加密传输、分类系统日志对系统提供不可抵赖性服务这三种措施对系统进行保护。通过过该网关,用户可以通过Internet对PROFIBUS总线上的设备进行方便、实时地远程监控,同时设计的安全机制对PROFIBUS系统提供较高的安全保障。
【专利说明】—种具有安全机制的PROFIBUS嵌入式Web网关
【技术领域】
[0001]本发明属于工业自动化(工业通信)领域,涉及一种基于ARM9平台和嵌入式Linux操作系统平台的、将PROFIBUS-DP网络接入Internet互联网时的嵌入式安全Web网关装置,特别涉及基于嵌入式Web技术访问PROFIBUS-DP总线上设备的安全访问机制。
【背景技术】
[0002]PROFIBUS是目前最流行的现场总线之一,是全球范围内唯一能够以标准方式应用于包括制造业、流程业及混合自动化领域并贯穿整个工艺过程的单一现场总线技术。它将企业现场控制系统与底层设备相连,构成企业的控制层网络。传统的企业控制层网络和企业信息网络相对孤立封闭,企业的管理层和技术人员只有亲临现场或者通过定期的上报文件来了解现场生产状况。在信息瞬息万变的时代,企业的生存与发展很大程度上依赖于对现场设备运行状况的了解并且做出正确、及时的决策。
[0003]Web技术自1992年发布以来就以其图形化、与平台无关、分布式、动态的、交互的特点获得青睐,使得全世界的人们以史无前例的规模相互交流,目前已成为互联网中最重要的服务和最有前途的访问工具。并且随着嵌入式技术的快速发展,在嵌入式设备上构建嵌入式Web服务器已经越来越弓丨起人们的关注。目前一些公司开发嵌入式Web服务器软件来实现在嵌入式设备上构建嵌入式Web服务器。
[0004]嵌入式Web系统的安全技术作为网络安全技术的一个分支也得到了快速的发展。然而目前,针对工业网络中嵌入式Web系统安全问题的研究还很少,根据嵌入式Web系统面临的安全威胁以及嵌入式系统资源有限、处理能力较差等特点,不能使用PC机的现有的、复杂的网络安全技术来保护其安全性。
[0005]目前嵌入式安全领域还处在探索阶段,已存在嵌入式系统的安全性研究都是针对某一个方面进行研究,即从某个角度给系统提供安全性保证,没有针对具体的嵌入式系统的应用场景给出比较完善的安全策略。本发明针对将PROFIBUS-DP网络接入Internet的嵌入式Web网关的应用场景,介绍了一种具有安全机制的能将PROFIBUS-DP网络接入Internet互联网的嵌入式安全Web网关。利用该网关,在为PR0FIBUS-DP上的设备提供有效的安全保护的同时,合法用户只需通过Internet互联网和通用的浏览器就可以对PR0FIBUS-DP上的设备进行远程实时和安全监控。
【发明内容】
[0006]为实现本发明的目的,采取的技术方案如下。
[0007]一种具有Web功能和安全防范机制、用于实现PR0FIBUS-DP网络和Internet网络互联的嵌入式网关。其特点如下所述。
[0008]一种用于实现PR0FIBUS-DP网络和Internet网络互联的网关装置,硬件主要包括以ARM9为内核的三星的S3C2450微处理器作为核心的CPU,PR0FIBUS-DP物理层接口,网络接口芯片LAN91C111,存储器等。网关内部植入嵌入式Web服务器模块、安全管控模块。该嵌入式网关利用CPU对网络连接、访问权限及数据传输进行管控。
[0009]网关内部的嵌入式Web服务器模块,主要实现用户与设备的动态交互,用户访问设备时,Web服务器能将设备信息实时地以网页的形式发布到客户端。网关采用B/S模式实现客户对嵌入式Web服务器的访问,客户通过浏览器、Internet网络和网关向PROFIBUS-DP总线上的设备发出操作请求,嵌入式Web网关作为主站负责向从站发出设备查询请求或者控制请求,从站响应主站的请求向主站传送数据,并将设备信息借助Web服务器以网页的形式发布出去。本发明的Web服务器架构采用了 Web服务器涉及的两种关键技术:数据库技术和CGI动态网页技术。其中本发明中的数据库用于管理用户信息和设备信息,CGI主要实现Web服务器和现场PROFIBUS-DP总线上设备的动态、实时交互。
[0010]网关中的安全模块分别从机密性、完整性、认证和不可抵赖性四个方面设计了安全机制和防范功能,可以有效防止来自网络的非法访问和恶意攻击,保证PROFIBUS-DP总线上设备和企业信息的安全。本项发明的安全机制主要包含三个方面:第一是设置了合适的访问控制机制,防止非法用户的非法访问以及合法用户的越权访问;本发明利用SQLite建立一个授权数据库,数据库包含相应的用户名、密码和用户权限;通过本项发明设计的CGI应用程序进行用户身份的认证,CGI应用程序读取用户在浏览器端输入的用户信息,并操作授权数据库,确定访客的访问权限。第二是数据保密传输和认证(鉴别),确保数据的真实性,防止窃听、窜改、冒充等主动攻击;本发明在嵌入式Web网关里移植嵌入式SSL (安全套接层)协议,在SSL协议上进行HTTP通信,用户名、口令以及设备数据成为加密SSL数据流的一部分,保证在互联网上传输的数据包不会被泄露、窃听、截获或伪造。第三是嵌入式网关自身的安全保障机制,防止攻击者通过非法操作来获取服务器中机密文件、甚至损坏服务器,同时网关还提供相应的机制实现不可抵赖性服务。具体方法是,首先网关服务器的配置文件和用户数据库等关键文件要通过将网关经串口连接到计算机上的终端进行修改和配置,不能通过不可信的Internet网络环境修改;其次在CGI脚本的执行方式上,将所有的CGI脚本都放在服务器配置指定的目录下,Linux命令外壳放在另外单独的目录下;最后建立了分类记录网关系统访问日志,存储包括合法用户访问系统记录和异常登陆的记录。系统最高级管理员可以通过查看系统日志来监视系统的历史运行记录,监督管理员用户和普通用户的行为,了解系统异常登陆状况,或者寻找系统受到攻击时攻击者留下的痕迹,这样有助于最高级管理员及时发现系统漏洞。
[0011 ] 本发明有如下几个优点。
[0012]I)设计了实现PROFIBUS-DP现场总线网络和Internet网络互联的专用协议转换网关,在不改变两种异构网络现有结构的基础上,可直接实现两种异构网络的互联通信,保护了企业现有投资及降低了开发成本。
[0013]2)在实现协议转换功能基础上,本项发明的网关,增加了 Web服务器功能,利用嵌入式Web服务器,用户可以通过友好的图形化接口界面,便捷地对PROFIBUS-DP现场总线上的设备进行远程实时监控和管理,这也是工业控制网络化以后发展的必然趋势。
[0014]3)本项发明的网关内部设计的紧凑的嵌入式Web网关的安全策略,能对系统提供较为全面的安全保障,同时占用资源低,具有广泛的应用价值。
【专利附图】
【附图说明】
[0015]图1为本发明中嵌入式Web网关硬件结构框图。
[0016]图2为本发明中PROFIBUS-DP与TCP/IP协议转换原理图。
[0017]图3为本发明中具有安全机制的嵌入式Web网关的体系结构。
[0018]图4为本发明具体应用场景示意图。
【具体实施方式】
[0019]下面结合附图对本发明的一个优选实施方式进行说明。
[0020]本发明的嵌入式Web网关硬件结构框图如图1所示,本发明以ARM9为内核的三星的S3C2450微处理器作为核心的CPU,包括网络接口芯片LAN91C111、复位电路、电源电路、以及大容量的SDRAM和FLASH存储器等,同时具备PROFIBUS接口、数据串口、JTAG接口等。[0021 ] 本发明中PROFIBUS-DP与TCP/IP协议转换原理如图2所示,协议转换的过程就是数据封装和解封装的过程,封装的过程即是将上层交付的协议数据单元H)U (ProtocolData Unit)加上自己的控制信息形成本层TOU的过程,而解封装的过程就是去掉本层TOU控制信息从而得到上层rou的过程。
[0022]本发明中嵌入式Web网关的安全体系架构如图3所示,Web服务器的软件系统包括四个部分:(I) HTTP引擎;(2 )安全模块;(3 )配置模块;(4 )应用程序接口模块。
[0023](I)HTTP引擎负责响应管理者提交的对PR0FIBUS-DP总线上设备的状态查询、控制等请求。
[0024](2)本项发明在安全模块中利用SQLite建立一个授权数据库,数据库包含相应的用户名、密码和用户权限,而设计的客户端登陆界面则不显示用户权限,只显示用户名和密码输入区,这样保证了信息的隐蔽性,防止了一些非法用户的蓄意破坏。
[0025]本项发明设计相应的CGI应用程序进行用户身份的认证,CGI应用程序读取用户在浏览器端输入的用户信息,并操作授权数据库,看是否为合法用户以及合法用户的相应权限,如果不是合法用户则禁止访问,如果是合法用户,再看其权限是管理员还是普通用户,并根据相应的权限返回相应的操作界面。
[0026]本项发明在安全模块中植入嵌入式SSL协议,并在Appweb服务器的配置文件里启用SSL。在SSL协议上进行HTTP通信,用户名、口令以及设备数据就成为了加密SSL数据流的一部分,所以在互联网上传输的数据包不会被泄露、窃听、截获或伪造,这样保证了传输数据的安全。
[0027](3)配置模块使系统最高级管理员可以设置嵌入式Web服务器的参数。在系统启动中定义的配置环境变量包括Socket端口、主机名称、根文件路径、缺省初始文件等。
[0028](4)应用程序接口模块,这部分是嵌入式Web服务器软件系统的核心,它实现与嵌入式操作系统的数据交换。嵌入式Web服务器中,应用程序接口与嵌入式操作系统通信,调用CGI应用程序,CGI应用程序按照CGI规范读取从Web服务器传递来的各种信息,并对客户端的请求进行解释和处理,包括操作嵌入式数据库进行用户身份认证以及与总线上设备信息交互等。最后将处理结果按照CGI规范返回给Web服务器。
[0029]图4为本发明具体应用场景不意图。本项发明中具有安全机制的嵌入式Web网关具有协议转换和Web服务器的功能,同时还具备PR0FIBUS-DP和Internet的接口,实现通过Internet网对PR0FIBUS-DP现场总线上的设备进行实时监控的目的。在安全策略方面,通过此嵌入式Web服务器网关,将外网与企业的内网隔离,对于从Internet远程接入的用户,要经过VPN密码检查与身份认证和权限确认后才能够执行操作,实现了内外网的隔离,保证了 PROFIBUS-DP网络的安全。在企业内部网中,通过身份认证和数据加密技术来防止部分用户对其他用户信息的窃听、越权访问系统资源甚至修改系统文件。
[0030]以上给出的实施例用以说明本发明和它的实际应用,并非对本发明作任何形式上的限制,任何一个本专业的技术人员在不偏离本发明技术方案的范围内,依据以上技术和方法作一定的修饰和变更当视为等同变化的等效实施例。
【权利要求】
1.一种具有安全机制的、将PROFIBUS-DP网络接入Internet的嵌入式Web网关装置,其特征在于: 硬件系统架构选用高性能的ARM9内核的S3C2450微处理器,高速以太网控制器LAN91C111、以及大容量的SDRAM和FLASH存储器,同时具备PR0FIBUS接口 ; 该网关内部植入嵌入式Web服务器模块、安全管控模块; 该网关采用B/S模式实现客户对嵌入式Web服务器的访问,客户通过浏览器、Internet网络和网关向PROFIBUS-DP总线上的设备发出操作请求,该嵌入式Web网关作为主站负责向从站发出设备查询请求或者控制请求,从站响应主站的请求向主站传送数据,并将设备信息借助该Web服务器以网页的形式发布到客户端; 该嵌入式网关利用CPU对网络连接、访问权限及数据传输进行管控; 本发明中嵌入式Web服务器模块包括HTTP引擎、安全模块、配置模块及应用程序接口模块; 本发明网关中的HTTP引擎负责响应管理者提交的对PROFIBUS-DP总线上设备的状态查询、控制等请求; 本项发明在安全模块中利用SQLite建立一个授权数据库,数据库包含相应的用户名、密码和用户权限; 本项发明利用设计的CGI应用程序进行用户身份的认证,CGI应用程序读取用户在浏览器端输入的用户信息,并操作授权数据库,判断用户身份及权限; 本项发明在安全模块中植入嵌入式SSL协议,并在Appweb服务器的配置文件里启用SSL ; 在SSL协议上进行HTTP通信,用户名、口令以及设备数据作为加密SSL数据流的一部分,这样保证了传输数据的安全; 本发明中的配置模块用于使系统最高级管理员可以设置嵌入式Web服务器的参数; 本发明中的应用程序接口模块用于实现与嵌入式操作系统的数据交换; 在该嵌入式Web服务器中,应用程序接口与嵌入式操作系统通信,调用CGI应用程序,CGI应用程序按照CGI规范读取从Web服务器传递来的各种信息,并对客户端的请求进行解释和处理,包括操作嵌入式数据库进行用户身份认证以及与总线上设备信息交互等,最后将处理结果按照CGI规范返回给Web服务器。
【文档编号】H04L29/06GK104243294SQ201410414184
【公开日】2014年12月24日 申请日期:2014年8月21日 优先权日:2014年8月21日
【发明者】周原, 刘明山, 柴丹, 尚文东, 林凤雪 申请人:周原, 刘明山, 柴丹, 尚文东, 林凤雪