基于S-Link和VLAN技术的远程工业网络监控的方法及系统的制作方法

专利名称：基于S-Link和VLAN技术的远程工业网络监控的方法及系统的制作方法
技术领域：
本发明所属的技术领域为工业自动化行业的通过internet远程工业控制数据传 输，涉及到了一种工业设备中的可编程控制器PLC、智能控制系统PAC、多功能面板HMI、变 频器、摄像头、管理计算机、服务器等控制系统中不同的硬件设备和软件通讯的方法及系 统。本方法及系统不同于普通数据的标准方式传输，而是通过S-Link安全加密协议， 实现工业数据的完整性和高度安全性，并通过VLAN技术实现数据的实时性。
背景技术：
目前，随着中国的装备制造产业的水平提升，以及劳动力紧缺，对于工业设备的智 能化要求越来越高，沿海地区的劳动密集型生产性企业也渐渐内迁或者转型为高度自动化 的生产。而高度自动化的生产，对于设备的需求量越来越大，保持设备的稳定运行，对于连 续生产的产品品质和生产周期具有相当重要的意义。而对于现场设备的远程在线工业数据 实时通讯，对设备进行前瞻性的预诊断和系统参数存档，对于设备的故障及时诊断，保证工 业设备的稳定运行具有巨大的意义。由于设备使用方对设备的熟悉程度不如专业的设备制 造商，而他们通常不在同地区，随着全球化的发展，甚至远隔万里，因此需要通过公共的网 络进行工业数据的传输，不仅仅实现简单的数据对话通讯，为了更好的完成系统的诊断，还 需要进行程序级的控制，完成对控制系统中的软件上下载和在线诊断，既可以作为在线系 统调试，作为在线监控系统，也可以作为在线故障诊断系统判断设备的故障，将诊断系统故 障信息之后，得出的现场设备故障点检查方案，传递到现场的维护电工即可。该系统将大大节省设备制造商的设备调试和维护成本，并有效地解决了设备的故 障响应速度，并提供了大量的历史存储数据作为预警机制和机器改善之用，具有重大的价 值。但所有数据通过了公共网络进行传递，为了避免数据受到公共网络上的病毒攻 击，以及恶意的数据篡改，造成工业设备的误动作，产生设备和人员安全的问题，因此，在此 过程中，需要确保工业数据传输的安全性，完整性和实时性。

发明内容
本发明的目的是为了解决工业自动化行业中通过internet远程工业控制数据传 输的安全性，完整性和实时性，而提供一种通过S-Link安全加密协议，实现工业数据的高 度安全性和完整性，并通过VLAN技术实现数据的和实时性，实现工业设备中的可编程控制 器PLC、智能控制系统PAC、多功能面板(人机界面)HMI、变频器、上位机等控制系统中不同的 硬件设备和软件通讯的通过hternet进行数据传输的有效方法及系统。实现本发明的方法是包括数据源主机与目标主机之间的数据包发送与接收，包括S-Link协议和虚拟局域网VLAN，其中
1、通过S-Link协议实现工业现场总线数据的安全性和完整性。在Internet的传递中，数据多采用标准的协议，互联网协议(IP，Internet Protocol，网络连接协议)是互联网协议群(Internet Protocol Suite，IPS)中众多通信 协议中的一个，也是其中最重要的一个。但是，IP协议是一个不可靠的传输机制，IP协议不 承担在数据源主机和目的主机间建立连接的责任，只负责从数据源主机建立数据包并发送 出去的工作，目标主机收到数据报后不需要向发送源主机提交确认信息，IP协议会尽量确 保目标主机能够获得发送给它的数据包，但是并不是绝对保证。 在Internet的通信协议中，可靠的数据传输是由TCP协议(Transfer Control Protocol，传输控制协议)来保证的。TCP(Transfer Control Protocol)是专门设计用于 在不可靠的Internet上提供可靠的、端到端的字节流通信的协议。Internet不同于一 个单独的网络，不同部分可能具有不同的拓扑结构、带宽、延迟、分组大小以及其它特性。 TCP被设计成能动态满足Internet的要求，并且足以健壮地面对多种出错。TCP/IP技术是最常见的一种面向连接的传输方式，但是在安全性方面，由于数据 格式为标准格式，所以无法保证其安全性，任何在网络上传输的数据均可以被拦截后解密 并可能产生新的伪数据继续传递，从而对工业网络的设备控制器产生错误的指令。在保证像信息的机密性、真实性、完整性这些必要的信息安全中，公钥加密技术扮 演着非常重要的角色。为了增强互联网的安全机制，主要采用防火墙技术、公开密钥加密技 术、数据加密技术、数字签名、数字时间戳技术、身份认证和安全协议等。上述常用的安全技术，由于和工业现场总线的机制不同，对于现场总线的实时性 和完整性无法保证，存在打包和解包的协议差异，需要不断重新握手，容易造成通讯丢包， 容易造成协议的中断，不适合采用标准的协议进行传输。S-Link协议正是基于标准协议的不通用性，以及工业现场总线的特殊要求，以协 议转换准确和安全性为首要目标的一种非公开密钥方式的专用协议，除了支持标准的TCP/ IP协议外，也支持工业实时以太网如西门子的PR0FINET，EtherCAT等在互联网上的传输。如西门子的主要最新一代现场总线PR0FINET，是由PR0FIBUS国际组织(PR0FIBUS InternationaLPI)推出，是新一代基于工业以太网技术的自动化总线标准。作为一项战略 性的技术创新，PR0FINET为自动化通信领域提供了一个完整的网络解决方案，囊括了诸如 实时以太网、运动控制、分布式自动化、故障安全以及网络安全等当前自动化领域的热点话 题，并且，作为跨供应商的技术，可以完全兼容工业以太网和现有的现场总线(如PR0FIBUS) 技术，保护现有投资。作为国际标准IEC61158的重要组成部分，PR0FINET是完全开放的协 议。而EtherCAT是开放的实时以太网络通讯协议，最初由德国倍福自动化有限公司 (Beckhoff Automation GmbH)研发。EtherCAT为系统的实时性能和拓扑的灵活性树立了 新的标准，同时，它还符合甚至降低了现场总线的使用成本。EtherCAT的特点还包括高精度 设备同步，可选线缆冗余，和功能性安全协议(SIL3)。EtherCAT主张"以太网控制自动化 技术"。它是一个开放源代码，高性能的系统，目的是利用以太网协议(最惠国待遇系统局 域网)，在一个工业环境，特别是对工厂和其他制造业的关注，其中利用机器人和其他装备 线上的技术。EtherCAT 是 IEC 规范(IEC/PAS 62407)。
S-Link协议基于应用层，是公钥和私钥结合使用的方式进行加密，实现工业以太 网的安全加密传输，符合IEC 61748-3标准中的FSCP 12 (功能安全通讯设备行规)。加密和解密是采用不同的密钥(公开密钥)，也就是非对称密钥密码系统，每个通 信方均需要两个密钥，即公钥和私钥，这两把密钥可以互为加解密。公钥是公开的，不需要 保密，而私钥是由双方通讯设备持有。发送方通过使用接收方的公钥对数据进行加密操作， 然后数据接收方使用自己的私钥就可以对数据进行解密。接收方通过解密操作就能知道数 据是否完整传输，如果能够使用自己的私钥解密数据，说明数据是真实的，否则传输的数据 可能在传输过程中被篡改。本质上私钥加密体制和公钥加密体制的没有任何区别，定义了一个私钥的加密体 制以私钥E加密，公钥D解密。两个定义的不同在于安全定义的建立中，在一个公钥加密 体制中，攻击者或“攻击算法”是给定E，作为附加的输出；这里攻击者没有私钥体制E。S-Link基于公开密钥的加密过程，两个站点A和B，A想把一段明文通过双钥加密 的技术发送给B，B有一对公钥和私钥，那么加密解密的过程如下
B将B的公开密钥传送给A ； A用B的公开密钥加密A的消息，然后传送给B ； B用B的私人密钥解密A的消息。反之，B要将明文发送给A，过程如下 A收到B的明文；
A的私钥解密； A的公钥加密； B收到的A明文。S-Link采用的算法为RSA算法，密钥为128位加密，保证了工业数据的安全。为了保证数据的完整性，S-Link采用了小包数据分发以及严格的数据校验机制， 各个数据包在被确认校验正确后，将组成一个完整的数据包，并且依据工业实时以太网的 格式，传递给具有目标IP地址的设备。S-Link相对于无结构的数据流的TCP/IP协议，S-Link区分了结构化的数据流， 使用数据流符合工业以太网总线的格式，在传输之前就已经进行了规划。S-Link定义了一个重发机制，采用一种“带重传功能的肯定确认”的技术作为提 供可靠数据传输服务的方式。这项技术要求接收方收到数据之后向源站回送确认信息ACK。 发送方对发出的每个分组都保存一份记录，在发送下一个分组之前等待确认信息。发送方 还在送出分组的同时启动一个定时器，并在定时器的定时期满而确认信息还没有到达的情 况下，重发刚才发出的分组。为了避免由于网络延迟引起迟到的确认和重复的确认，S-Link协议规定在确认信 息中稍带一个分组的序号，使接收方能正确将分组与确认关联起来。S-Link以此保证了数据的完整性。2、通过VLAN技术实现工业现场总线数据的实时性
VLAN (Virtual Local Area Network)的中文名为〃虚拟局域网〃。和普通的LAN没 有物理区别，VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组 的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。VLAN是一个在物理网络上根据用途，工作组、应用等来逻辑划分的局域网络，是 一个广播域，与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。 一个VLAN中的成员看不到另一个VLAN中的成员。远程安全通讯模块采用VLAN技术，主要是抑制网络上的广播风暴，降低网络节点 的负载，保证数据的传输通畅和及时性，增加网络的安全性，集中化的管理控制。为了能够在虚拟局域网中集成不支持VLAN的终端设备和子网，远程安全通讯模 块SY-RSCM300担负起增加和删除增加的VLAN信息的职责。加入一个VLAN所依据的标准是多种多样的，本发明采用的是按端口划分方案加 入 VLAN。将VLAN交换机上的物理端口和VLAN交换机内部的PVC (永久虚电路)端口分成 若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。这种按网络端口来划 分VLAN网络成员的配置过程简单明了。VLAN交换机需了解VLAN的成员关系，即要让交换机知道哪一个工作站属于哪一 个VLAN。基于VLAN交换机端口来组建的VLAN，其VLAN成员是以直接的形式与其他成员联 系的；
本发明采用了帧标签技术，即在每个数据包都加上一个标签，用来标明数据包属于哪 个VLAN，这样，VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。 在VLAN TAG的帧中，4个字节中有3位用于表示VLAN的优先级，第一个队列处理最高优先 级的数据帧，也就是可以处理工业以太网如PR0FINET实时的数据帧，保证工业以太网数据 的优先和实时性。同时，为了提高通讯效率，保证通讯的实时性，还采用了虚连接方式。网络用户A 和B第一次通信时，发送地址解析(ARP)广播包，VLAN交换机将学习到的MAC和所连接的 VLAN交换机的端口号保存到动态条目MAC地址列表中，当A和B有数据要传时，VLAN交换 机从其端口收到的数据包中识别出目的MAC地址，查动态条目MAC地址列表，得到目的站点 所在的VLAN交换机端口，这样两个端口间就建立起一条虚连接，数据包就可从源端口转发 到目的端口。数据包一旦转发完毕，虚连接即被撤销。这种方式使带宽资源得到了很好利 用，提高了 VLAN交换机效率。VLAN接入链路是用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备 接入一个VLAN交换机端口的一个LAN网段。它不能承载标记数据。VLAN中继链路，是指承载标记数据(即具有VLANID标签的数据包)的干线链路，只 能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备，中继链路是连接两个VLAN交 换机的链路。本发明采用了链路聚合(Trimking)技术，该技术采用VTP (VLANTrunkingProtocol)协议，即在物理上每台VLAN交换机的多个物理端口是独立的， 多条链路是平行的，采用VTP技术处理以后，逻辑上VLAN交换机的多个物理端口为一 个逻辑端口，多条物理链路为一条逻辑链路。这样，VLAN交换机上使用生成树协议STP (SpanningTreeProtocol)就不会将物理上的多条平行链路构成的环路中止掉，而且，带有 VLAN ID标签的数据流可以在多条链路上同时进行传输共享，实现数据流的高效快速平衡 传输。
实现本发明的系统是包括管理计算机、服务器、远程安全通讯模块、3G通讯模 块、PLC主站、PLC从站、摄像头、变频器、多功能面板HMI、Internet互联网，其中管理计算 机和服务器经以太网TCP/IP接远程安全通讯模块，该远程安全通讯模块使用S-Link协议 通过Internet互联网分别连接远程安全通讯模块、3G通讯模块，其中远程安全通讯模块分 别连接摄像头、PLC主站，该PLC主站分别连接PLC从站、变频器，3G通讯模块经远程安全通 讯模块分别连接PLC主站、多功能面板HMI。本发明具有的有益效果
通过基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统，将现场控制 器、人机界面、变频器等控制系统设备和本地的管理计算机实时互连，既可完成工业数据的 实时通讯，也可以作为对现场工业控制设备程序级的控制，通过最为便利的互联网实现远 程诊断和远程调试，远程监控，极大地降低了设备系统的调试、维护成本。并且通过S-Link 和VLAN技术实现了工业数据的安全性、实时性和完整性，确保了通过公共网络传输的可靠 禾口稳定。不同于以往的两台电脑远程桌面访问的方式，所有的PLC等现场设备的软件均在 本地管理计算机上，而且连接到现场可以是无人值守就可完成。本发明也可以将现场的视 频信号实时传回，可以做到如同在现场调试一样，可以在很短的时间里就进行在线的远程 连接和远程诊断。不同于以往的VPN方式，通过基于S-Link和VLAN技术实现PLC程序级的远程工 业网络监控系统，在公共网络上传输工业数据的安全性、完整性、实时性得到了保证。还可以通过3G的公共网络，做到远程工业网络监控系统搭建的快速和便利性，只 要加上了 3G上网通讯模块，在需要远程通讯的时候，插上日常用的3G卡，就可以完成和远 程的连接。不管是在设备端，还是在管理计算机端，均可以通过3G进行连接，在3G信号覆 盖区域即可进行随时随地的在线监控，做到对系统的实时响应和维护。由于可编程控制PLC的应用具有相当广泛性，所以远程工业网络监控系统在各 种使用可编程控制器PLC的场合，具有相当大的应用空间，如在工程机械、风力发电、水泥 搅拌站、水处理泵站、港口机械、粮站、隧道、灌溉设备、灌装机、铝材设备、物流仓库、油井控 制、换热站供热采集、水文水资源测报系统、雨情雨量测报系统、环境监测等系统的远程通 讯控制中均可以使用。


图1为传统的远程工业网络监控示意图。图2为本发明的数据发送、加密、解密、接收示意图。图3 —图4为本发明的S-Link基于公开密钥的加密过程示意图，表示两个站点A 和B，A想把一段明文通过双钥加密的技术发送给B，B有一对公钥和私钥，其中包括B将B 的公开密钥传送给A (图3)和B要将明文发送给A (图4)。图5为本发明的表示带重传功能的肯定确认协议传输数据的情况示意图。图6为本发明的表示分组丢失引起超时和重传示意图。图7为本发明的TAG帧发送示意图。虚线以上的部分是接收交换机的某个端口的 帧，其他部分为发送交换机的某个端口的帧；如果只标记TAG的帧和进口过滤，意味着设置了接收到的帧的属性。连接到DTE的端口必须设置不含VLAN TAG,因为一般DTE不能解释 带有TAG的帧，即设置为U。交换机到交换机的VLAN连接(主干连接Trunk)必须含有VLAN TAG，即设置M。图8为本发明的网络组态示意图。网络组态由远程安全通讯模块A和B组成，且通过各自的WAN 口通过Interne相 连，1号设备、2好设备分别连接到A的两个LAN 口。3号设备、4好设备分别连接到B的两 个 LAN 口。其中，设置为，1号和3号设备属于VLAN10，2号和4号设备属于VLAN11。组建了 不同的VLAN之后，1号和3号设备在同一个虚拟网络内，可以互相Ping通，互相访问，而不 能Ping另外VLANll内的2号或者4号设备。这样通过VLAN技术，就可以较大幅度的减少网络上的负载，做到远程通讯的最高 效化，提高工业通讯所要求的实时性，满足工业网络通讯的需求。图9为本发明的基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系 统示意图。
具体实施例方式下面结合附图对本发明作进一步说明
为实现本发明的基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统， 以西门子的最典型的PLC S7-300，最新的S7-1200，多功能面板HMI MP277，变频器，管理 计算机，服务器，赛远的远程通讯模块SY-RSCM300，远程安全接入软件SY-RCS为例，通过 Internet进行远程安全的工业网络实时通讯，完成程序级的监控系统。各个元器件的型号和特点如下
UPLC S7-300，选用主机S7-315-2DP/ PN，本机上带有PR0FINET工业以太网通讯接口 和 PR0FIBUS-DP 接 口
2、PLCS7-1200，选用最新的S7-1214，本机上带有PR0FINET工业以太网通讯接口 ；
3、多功能面板HMI，选用西门子的MP277，带有PR0FINET工业以太网通讯接口；
4、变频器，选用MM440，带有DP通讯模板；
5、管理计算机，选用西门子上位编程器PG，是工业等级的编程电脑，预装有微软的操作 系统Windows XP，西门子的PLC编程软件STEP7 V5. 4，西门子的HMI软件WinCC Flexible 2008，变频器的驱动控制软件Drive-ES ；
6、服务器选用西门子工控机，装有西门子的组态软件WinCCV6.0和域名解析软件，作 为域名解析和数据在线监控、存储；
7、赛远远程安全通讯模块SY-RSCM300，具有4个LAN口，具有S-Link内置协议和VLAN 功能，防火墙功能，路由交换功能；
8、赛远远程安全接入软件SY-RCS，具有S-Link协议，和SY-RSCM300配套进行远程安全 通讯连接，基于Windows XP;
9、3G通讯模块，选用赛远的SY-3G，可以连接三种制式的3G网络；
10、摄像头，选用具有以太网口的SY-CMR，工业等级，具有高分辨率的内置Web Server ；远程工业网络监控系统的方法如下
1、将每个远程安全通讯模块SY-RSCM300配置动态域名，分配账号以及IP地址，DNS等 相关参数。采用C/S模式，在远程PLC端的，作为客户端模式，在中控的管理计算机上，配置 为服务器模式；启用S-Link功能，设置使用的密钥系统，收发对应的公钥和私钥系统；启用 VLAN功能，设置对应的VLAN端口，指定进入和离开端口时是否过滤帧，指定端口发送帧是 否需要VLAN TAG,设置动态IP解析；
2、将S7-300PLC主站和S7-300 PLC从站之间通过PR0FIBUS-DP连接，和变频器MM440 也通过PR0FIBUS连接；
3、将摄像头SY-CMR和S7-300PLC主站的IP设置为该SY-RSCM的合法地址段内，通过 TCP/IP连接至远程安全通讯模块SY-RSCM300 ；
4、将该站的远程安全通讯模块SY-RSCM300连接到互联网Internet；
5、将另外一个站的S7-300PLC、S7-1200 PLC、多功能面板HMI的IP设置为该SY-RSCM 的合法地址段内，通过工业以太网PR0FINET连接到远程安全通讯模块SY-RSCM300 ；
6、将该站的远程安全通讯模块SY-RSCM300，通过3G通讯模块SY-3G连接到互联网 Internet，在不便于接有线互联网的工厂和户外，均可以实现方便的通讯；
7、在管理计算机和服务器上安装远程接入软件SY-RCS；
8、将管理计算机和服务器的IP设置为该SY-RSCM的合法地址段内，通过TCP/IP协议 连接至远程安全通讯模块SY-RSCM300 ；
9、将该站的远程安全通讯模块SY-RSCM300连接到互联网Internet；
10、打开管理计算机上的SY-RCS软件，在设置了动态域名和账号密码之后，即可建立 和远程设备之间的连接，建立所有设备的VLAN网络；
11、通过管理计算机上的PLC编程软件STEP7，可以实现对西门子的S7-300PLC的远 程程序上下载，在线监控和程序诊断；
12、通过管理计算机上的HMI编程软件WinCCFlexible，可以实现对西门子的多功能 面板MP277进行远程的程序上下载和诊断，对MP277上的存储介质进行读写参数；
13、通过服务器上的组态软件WinCC，通过内置的S7-300的PLC驱动，可以对远程的 S7-300的内部参数进行读写，达到远程数据在线存储和历史记录，并能在线的控制PLC内 部的数据区，存储器，输出的开关量和模拟量；
14、通过服务器上的浏览器，键入摄像头的IP地址，首次浏览，下载摄像头驱动安装 后，即可看到现场的实时情况；
15、通过计算机上的PLC编程软件STEP7，可以通过远程通道建立连接到S7-300PLC主 站，再通过S7-300 PLC主站的PR0FIBUS-DP的路由功能，实现对S7-300 PLC从站的程序上 下载、远程通讯和在线诊断；
16、通过计算机上的PLC编程软件STEP7环境，以及嵌入在STEP7里面的DRIVER-ES软 件，通过远程通道建立连接到S7-300 PLC主站，再通过S7-300 PLC主站的PR0FIBUS-DP的 路由功能，实现对变频器MM440的参数在线监控；
17、建立了VLAN网络之后，在远程的多功能面板MP277可以通过远程通道和另外一个 远程的S7-300进行通讯，读写参数；
上述步骤就是基于S-Link和VLAN技术实现了 PLC程序级的远程工业网络监控系统，具有实时、安全和完整的特点。
权利要求
1.一种基于S-Link和VLAN技术的远程工业网络监控的方法，其包括数据源主机与目 标主机之间的数据包发送与接收，其特征是包括S-Link协议和虚拟局域网VLAN，其中A.S-Link协议基于应用层，是公钥和私钥结合使用的方式进行加密，其加密和解密采 用不同的密钥，属非对称密钥密码系统，每个通信方均需要公钥和私钥两个密钥，这两把密 钥可以互为加解密，公钥是公开的，不需要保密，而私钥是由双方通讯设备持有，其中发送 方通过使用接收方的公钥对数据进行加密操作，然后数据接收方使用自己的私钥就可以对 数据进行解密，接收方通过解密操作就能知道数据是否完整传输，如果能够使用自己的私 钥解密数据，说明数据是真实的，否则传输的数据可能在传输过程中被篡改；B.虚拟局域网VLAN是将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作 组的新兴数据交换，其主要应用于交换机和路由器中，但主流应用在交换机之中；虚拟局域网VLAN是一个在物理网络上根据用途，工作组、应用来逻辑划分的局域网 络，是一个广播域；虚拟局域网VLAN中的网络用户是通过LAN交换机来通信。
2.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法，其特征 是所述的S-Link协议还包括基于公开密钥的加密过程，采用的算法为RSA算法，密钥为128 位加密，其定义为两个站点A和B，其中A想把一段明文通过双钥加密的技术发送给B，B有 一对公钥和私钥，那么加密解密的过程如下B将B的公开密钥传送给A ； A用B的公开密钥加密A的消息，然后传送给B ； B用B的私人密钥解密A的消息； 反之，B要将明文发送给A，过程如下 A收到B的明文； A的私钥解密； A的公钥加密； B收到的A明文。
3.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法，其特征 是所述的S-Link协议还包括采用了小包数据分发以及严格的数据校验机制，使各个数据 包在被确认校验正确后，将组成一个完整的数据包，并且依据工业实时以太网的格式，传递 给具有目标IP地址的设备。
4.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法，其特征 是所述的S-Link协议还包括区分了结构化的数据流，使用数据流符合工业以太网总线的 格式，在传输之前就已经进行了规划。
5.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法，其特征 是所述的S-Link协议还包括定义了一个重发机制，该重发机制采用一种“带重传功能的肯 定确认”作为提供可靠数据传输服务的方式，该方式要求接收方收到数据之后向源站回送 确认信息ACK，其中发送方对发出的每个分组都保存一份记录，在发送下一个分组之前等待 确认信息，发送方还在送出分组的同时启动一个定时器，并在定时器的定时期满而确认信 息还没有到达的情况下，重发刚才发出的分组。
6.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法，其特征是所述的S-Link协议还包括好包括为了避免由于网络延迟引起迟到的确认和重复的确 认，S-Link协议规定在确认信息中捎带一个分组的序号，使接收方能正确将分组与确认关 联起来。
7.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法，其特征 是所述的虚拟局域网VLAN包括按端口划分方案加入虚拟局域网VLAN，包括a.将虚拟局域网VLAN交换机上的物理端口和虚拟局域网VLAN交换机内部的PVC 端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的虚拟局域网VLAN交换机；b.虚拟局域网VLAN交换机需了解VLAN的成员关系，即要让交换机知道哪一个工 作站属于哪一个虚拟局域网VLAN ；c.基于虚拟局域网VLAN交换机端口来组建的虚拟局域网VLAN，其虚拟局域网 VLAN成员是以直接的形式与其他成员联系的。
8.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法，其特征 是所述的虚拟局域网VLAN包括a.帧标签技术，即在每个数据包都加上一个标签，用来标明数据包属于哪个虚拟局域 网VLAN，这样，虚拟局域网VLAN交换机就能够将来自不同虚拟局域网VLAN的数据流复用到 相同的虚拟局域网VLAN交换机上，其中在虚拟局域网VLAN TAG的帧中，4个字节中有3位 用于表示虚拟局域网VLAN的优先级，第一个队列处理最高优先级的数据帧，也就是可以处 理工业以太网如PR0FINET实时的数据帧，保证工业以太网数据的优先和实时性；b.虚连接方式，当网络用户A和B第一次通信时，发送地址解析ARP广播包，虚拟局域 网VLAN交换机将学习到的MAC和所连接的虚拟局域网VLAN交换机的端口号保存到动态条 目MAC地址列表中，当A和B有数据要传时，虚拟局域网VLAN交换机从其端口收到的数据 包中识别出目的MAC地址，查动态条目MAC地址列表，得到目的站点所在的虚拟局域网VLAN 交换机端口，这样两个端口间就建立起一条虚连接，数据包就可从源端口转发到目的端口， 数据包一旦转发完毕，虚连接即被撤销；c.虚拟局域网VLAN接入链路，是用来将非虚拟局域网VLAN标识的工作站或者非虚拟 局域网VLAN成员资格的虚拟局域网VLAN设备接入一个虚拟局域网VLAN交换机端口的一 个虚拟局域网LAN网段；d.虚拟局域网VLAN中继链路，是指承载标记数据，即具有虚拟局域网VLANID标签的 数据包的干线链路，只能支持那些理解虚拟局域网VLAN帧格式和虚拟局域网VLAN成员资 格的虚拟局域网VLAN设备，是连接两个虚拟局域网VLAN交换机的链路；e.链路聚合(Trunking)，采用VTP(VLANTrunkingProtocol)协议，即在物理上每台虚 拟局域网VLAN交换机的多个物理端口是独立的，多条链路是平行的，采用VTP技术处理以 后，逻辑上虚拟局域网VLAN交换机的多个物理端口为一个逻辑端口，多条物理链路为一条 逻辑链路，这样，虚拟局域网VLAN交换机上使用生成树协议STP (SpanningTreeProtocol) 就不会将物理上的多条平行链路构成的环路中止掉，而且，带有虚拟局域网VLAN ID标签的 数据流可以在多条链路上同时进行传输共享，实现数据流的高效快速平衡传输。
9.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的方法，其特征 是还包括通过3G的公共网络，加上3G上网通讯模块，插上日常用的3G卡，就可以完成和远 程的连接。
10.实现权利要求1的基于S-Link和VLAN技术的远程工业网络监控的系统，其特征是 包括管理计算机、服务器、远程安全通讯模块、3G通讯模块、PLC主站、PLC从站、摄像头、变 频器、多功能面板HMI Jnternet互联网，其中管理计算机和服务器经以太网TCP/IP接远程 安全通讯模块，该远程安全通讯模块使用S-Link协议通过hternet互联网分别连接远程 安全通讯模块、3G通讯模块，其中远程安全通讯模块分别连接摄像头、PLC主站，该PLC主站 分别连接PLC从站、变频器，3G通讯模块经远程安全通讯模块分别连接PLC主站、多功能面 板 HMI。
全文摘要
一种基于S-Link和VLAN技术的远程工业网络监控的方法及系统，方法包括S-Link协议和虚拟局域网VLAN，其中A想把一段明文通过双钥加密的技术发送给B，B有一对公钥和私钥，那么加密解密的过程如下B将B的公开密钥传送给A；A用B的公开密钥加密A的消息，然后传送给B；B用B的私人密钥解密A的消息；反之，B要将明文发送给A，过程如下A收到B的明文；A的私钥解密；A的公钥加密；B收到的A明文。系统包括管理计算机、服务器、远程安全通讯模块、3G通讯模块、PLC主站、PLC从站、摄像头、变频器、多功能面板HMI、Internet互联网。
文档编号H04L29/08GK102096405SQ20111000068
公开日2011年6月15日 申请日期2011年1月5日 优先权日2011年1月5日
发明者吴益宇, 李佳亮, 赵雪 申请人:深圳市赛远自动化系统有限公司