一種具有安全機制的PROFIBUS嵌入式Web網關的制作方法

一種具有安全機制的PROFIBUS嵌入式Web網關的制作方法
【專利摘要】本發明為一種具有安全機制的將PROFIBUS接入Internet的嵌入式Web網關，硬件主要包括ARM9處理器、PROFIBUS通信接口電路、Internet通信接口電路等，軟件架構包括嵌入式Linux操作系統、嵌入式Web服務器、數據庫等。將PROFIBUS通過該網關接入Internet時，網關上同時采用強制訪問控制思想進行用戶訪問控制、SSL套接層協議對數據進行加密傳輸、分類系統日志對系統提供不可抵賴性服務這三種措施對系統進行保護。通過過該網關，用戶可以通過Internet對PROFIBUS總線上的設備進行方便、實時地遠程監控，同時設計的安全機制對PROFIBUS系統提供較高的安全保障。
【專利說明】—種具有安全機制的PROFIBUS嵌入式Web網關

【技術領域】
[0001]本發明屬于工業自動化(工業通信)領域，涉及一種基于ARM9平臺和嵌入式Linux操作系統平臺的、將PROFIBUS-DP網絡接入Internet互聯網時的嵌入式安全Web網關裝置，特別涉及基于嵌入式Web技術訪問PROFIBUS-DP總線上設備的安全訪問機制。

【背景技術】
[0002]PROFIBUS是目前最流行的現場總線之一，是全球范圍內唯一能夠以標準方式應用于包括制造業、流程業及混合自動化領域并貫穿整個工藝過程的單一現場總線技術。它將企業現場控制系統與底層設備相連，構成企業的控制層網絡。傳統的企業控制層網絡和企業信息網絡相對孤立封閉，企業的管理層和技術人員只有親臨現場或者通過定期的上報文件來了解現場生產狀況。在信息瞬息萬變的時代，企業的生存與發展很大程度上依賴于對現場設備運行狀況的了解并且做出正確、及時的決策。
[0003]Web技術自1992年發布以來就以其圖形化、與平臺無關、分布式、動態的、交互的特點獲得青睞，使得全世界的人們以史無前例的規模相互交流，目前已成為互聯網中最重要的服務和最有前途的訪問工具。并且隨著嵌入式技術的快速發展，在嵌入式設備上構建嵌入式Web服務器已經越來越弓丨起人們的關注。目前一些公司開發嵌入式Web服務器軟件來實現在嵌入式設備上構建嵌入式Web服務器。
[0004]嵌入式Web系統的安全技術作為網絡安全技術的一個分支也得到了快速的發展。然而目前，針對工業網絡中嵌入式Web系統安全問題的研究還很少，根據嵌入式Web系統面臨的安全威脅以及嵌入式系統資源有限、處理能力較差等特點，不能使用PC機的現有的、復雜的網絡安全技術來保護其安全性。
[0005]目前嵌入式安全領域還處在探索階段，已存在嵌入式系統的安全性研究都是針對某一個方面進行研究，即從某個角度給系統提供安全性保證，沒有針對具體的嵌入式系統的應用場景給出比較完善的安全策略。本發明針對將PROFIBUS-DP網絡接入Internet的嵌入式Web網關的應用場景，介紹了一種具有安全機制的能將PROFIBUS-DP網絡接入Internet互聯網的嵌入式安全Web網關。利用該網關，在為PR0FIBUS-DP上的設備提供有效的安全保護的同時，合法用戶只需通過Internet互聯網和通用的瀏覽器就可以對PR0FIBUS-DP上的設備進行遠程實時和安全監控。


【發明內容】

[0006]為實現本發明的目的，采取的技術方案如下。
[0007]一種具有Web功能和安全防范機制、用于實現PR0FIBUS-DP網絡和Internet網絡互聯的嵌入式網關。其特點如下所述。
[0008]一種用于實現PR0FIBUS-DP網絡和Internet網絡互聯的網關裝置，硬件主要包括以ARM9為內核的三星的S3C2450微處理器作為核心的CPU，PR0FIBUS-DP物理層接口，網絡接口芯片LAN91C111，存儲器等。網關內部植入嵌入式Web服務器模塊、安全管控模塊。該嵌入式網關利用CPU對網絡連接、訪問權限及數據傳輸進行管控。
[0009]網關內部的嵌入式Web服務器模塊，主要實現用戶與設備的動態交互，用戶訪問設備時，Web服務器能將設備信息實時地以網頁的形式發布到客戶端。網關采用B/S模式實現客戶對嵌入式Web服務器的訪問，客戶通過瀏覽器、Internet網絡和網關向PROFIBUS-DP總線上的設備發出操作請求，嵌入式Web網關作為主站負責向從站發出設備查詢請求或者控制請求，從站響應主站的請求向主站傳送數據，并將設備信息借助Web服務器以網頁的形式發布出去。本發明的Web服務器架構采用了 Web服務器涉及的兩種關鍵技術:數據庫技術和CGI動態網頁技術。其中本發明中的數據庫用于管理用戶信息和設備信息，CGI主要實現Web服務器和現場PROFIBUS-DP總線上設備的動態、實時交互。
[0010]網關中的安全模塊分別從機密性、完整性、認證和不可抵賴性四個方面設計了安全機制和防范功能，可以有效防止來自網絡的非法訪問和惡意攻擊，保證PROFIBUS-DP總線上設備和企業信息的安全。本項發明的安全機制主要包含三個方面:第一是設置了合適的訪問控制機制，防止非法用戶的非法訪問以及合法用戶的越權訪問；本發明利用SQLite建立一個授權數據庫，數據庫包含相應的用戶名、密碼和用戶權限；通過本項發明設計的CGI應用程序進行用戶身份的認證，CGI應用程序讀取用戶在瀏覽器端輸入的用戶信息，并操作授權數據庫，確定訪客的訪問權限。第二是數據保密傳輸和認證(鑒別)，確保數據的真實性，防止竊聽、竄改、冒充等主動攻擊；本發明在嵌入式Web網關里移植嵌入式SSL (安全套接層)協議，在SSL協議上進行HTTP通信，用戶名、口令以及設備數據成為加密SSL數據流的一部分，保證在互聯網上傳輸的數據包不會被泄露、竊聽、截獲或偽造。第三是嵌入式網關自身的安全保障機制，防止攻擊者通過非法操作來獲取服務器中機密文件、甚至損壞服務器，同時網關還提供相應的機制實現不可抵賴性服務。具體方法是，首先網關服務器的配置文件和用戶數據庫等關鍵文件要通過將網關經串口連接到計算機上的終端進行修改和配置，不能通過不可信的Internet網絡環境修改；其次在CGI腳本的執行方式上，將所有的CGI腳本都放在服務器配置指定的目錄下，Linux命令外殼放在另外單獨的目錄下；最后建立了分類記錄網關系統訪問日志，存儲包括合法用戶訪問系統記錄和異常登陸的記錄。系統最高級管理員可以通過查看系統日志來監視系統的歷史運行記錄，監督管理員用戶和普通用戶的行為，了解系統異常登陸狀況，或者尋找系統受到攻擊時攻擊者留下的痕跡，這樣有助于最高級管理員及時發現系統漏洞。
[0011 ] 本發明有如下幾個優點。
[0012]I)設計了實現PROFIBUS-DP現場總線網絡和Internet網絡互聯的專用協議轉換網關，在不改變兩種異構網絡現有結構的基礎上，可直接實現兩種異構網絡的互聯通信，保護了企業現有投資及降低了開發成本。
[0013]2)在實現協議轉換功能基礎上，本項發明的網關，增加了 Web服務器功能，利用嵌入式Web服務器，用戶可以通過友好的圖形化接口界面，便捷地對PROFIBUS-DP現場總線上的設備進行遠程實時監控和管理，這也是工業控制網絡化以后發展的必然趨勢。
[0014]3)本項發明的網關內部設計的緊湊的嵌入式Web網關的安全策略，能對系統提供較為全面的安全保障，同時占用資源低，具有廣泛的應用價值。

【專利附圖】

【附圖說明】
[0015]圖1為本發明中嵌入式Web網關硬件結構框圖。
[0016]圖2為本發明中PROFIBUS-DP與TCP/IP協議轉換原理圖。
[0017]圖3為本發明中具有安全機制的嵌入式Web網關的體系結構。
[0018]圖4為本發明具體應用場景示意圖。

【具體實施方式】
[0019]下面結合附圖對本發明的一個優選實施方式進行說明。
[0020]本發明的嵌入式Web網關硬件結構框圖如圖1所示，本發明以ARM9為內核的三星的S3C2450微處理器作為核心的CPU，包括網絡接口芯片LAN91C111、復位電路、電源電路、以及大容量的SDRAM和FLASH存儲器等，同時具備PROFIBUS接口、數據串口、JTAG接口等。[0021 ] 本發明中PROFIBUS-DP與TCP/IP協議轉換原理如圖2所示，協議轉換的過程就是數據封裝和解封裝的過程，封裝的過程即是將上層交付的協議數據單元H)U (ProtocolData Unit)加上自己的控制信息形成本層TOU的過程，而解封裝的過程就是去掉本層TOU控制信息從而得到上層rou的過程。
[0022]本發明中嵌入式Web網關的安全體系架構如圖3所示，Web服務器的軟件系統包括四個部分:(I) HTTP引擎；(2 )安全模塊；(3 )配置模塊；(4 )應用程序接口模塊。
[0023](I)HTTP引擎負責響應管理者提交的對PR0FIBUS-DP總線上設備的狀態查詢、控制等請求。
[0024](2)本項發明在安全模塊中利用SQLite建立一個授權數據庫，數據庫包含相應的用戶名、密碼和用戶權限，而設計的客戶端登陸界面則不顯示用戶權限，只顯示用戶名和密碼輸入區，這樣保證了信息的隱蔽性，防止了一些非法用戶的蓄意破壞。
[0025]本項發明設計相應的CGI應用程序進行用戶身份的認證，CGI應用程序讀取用戶在瀏覽器端輸入的用戶信息，并操作授權數據庫，看是否為合法用戶以及合法用戶的相應權限，如果不是合法用戶則禁止訪問，如果是合法用戶，再看其權限是管理員還是普通用戶，并根據相應的權限返回相應的操作界面。
[0026]本項發明在安全模塊中植入嵌入式SSL協議，并在Appweb服務器的配置文件里啟用SSL。在SSL協議上進行HTTP通信，用戶名、口令以及設備數據就成為了加密SSL數據流的一部分，所以在互聯網上傳輸的數據包不會被泄露、竊聽、截獲或偽造，這樣保證了傳輸數據的安全。
[0027](3)配置模塊使系統最高級管理員可以設置嵌入式Web服務器的參數。在系統啟動中定義的配置環境變量包括Socket端口、主機名稱、根文件路徑、缺省初始文件等。
[0028](4)應用程序接口模塊，這部分是嵌入式Web服務器軟件系統的核心，它實現與嵌入式操作系統的數據交換。嵌入式Web服務器中，應用程序接口與嵌入式操作系統通信，調用CGI應用程序，CGI應用程序按照CGI規范讀取從Web服務器傳遞來的各種信息，并對客戶端的請求進行解釋和處理，包括操作嵌入式數據庫進行用戶身份認證以及與總線上設備信息交互等。最后將處理結果按照CGI規范返回給Web服務器。
[0029]圖4為本發明具體應用場景不意圖。本項發明中具有安全機制的嵌入式Web網關具有協議轉換和Web服務器的功能，同時還具備PR0FIBUS-DP和Internet的接口，實現通過Internet網對PR0FIBUS-DP現場總線上的設備進行實時監控的目的。在安全策略方面，通過此嵌入式Web服務器網關，將外網與企業的內網隔離，對于從Internet遠程接入的用戶，要經過VPN密碼檢查與身份認證和權限確認后才能夠執行操作，實現了內外網的隔離，保證了 PROFIBUS-DP網絡的安全。在企業內部網中，通過身份認證和數據加密技術來防止部分用戶對其他用戶信息的竊聽、越權訪問系統資源甚至修改系統文件。
[0030]以上給出的實施例用以說明本發明和它的實際應用，并非對本發明作任何形式上的限制，任何一個本專業的技術人員在不偏離本發明技術方案的范圍內，依據以上技術和方法作一定的修飾和變更當視為等同變化的等效實施例。
【權利要求】
1.一種具有安全機制的、將PROFIBUS-DP網絡接入Internet的嵌入式Web網關裝置，其特征在于: 硬件系統架構選用高性能的ARM9內核的S3C2450微處理器，高速以太網控制器LAN91C111、以及大容量的SDRAM和FLASH存儲器，同時具備PR0FIBUS接口 ； 該網關內部植入嵌入式Web服務器模塊、安全管控模塊； 該網關采用B/S模式實現客戶對嵌入式Web服務器的訪問，客戶通過瀏覽器、Internet網絡和網關向PROFIBUS-DP總線上的設備發出操作請求，該嵌入式Web網關作為主站負責向從站發出設備查詢請求或者控制請求，從站響應主站的請求向主站傳送數據，并將設備信息借助該Web服務器以網頁的形式發布到客戶端； 該嵌入式網關利用CPU對網絡連接、訪問權限及數據傳輸進行管控； 本發明中嵌入式Web服務器模塊包括HTTP引擎、安全模塊、配置模塊及應用程序接口模塊； 本發明網關中的HTTP引擎負責響應管理者提交的對PROFIBUS-DP總線上設備的狀態查詢、控制等請求； 本項發明在安全模塊中利用SQLite建立一個授權數據庫，數據庫包含相應的用戶名、密碼和用戶權限； 本項發明利用設計的CGI應用程序進行用戶身份的認證，CGI應用程序讀取用戶在瀏覽器端輸入的用戶信息，并操作授權數據庫，判斷用戶身份及權限； 本項發明在安全模塊中植入嵌入式SSL協議，并在Appweb服務器的配置文件里啟用SSL ； 在SSL協議上進行HTTP通信，用戶名、口令以及設備數據作為加密SSL數據流的一部分，這樣保證了傳輸數據的安全； 本發明中的配置模塊用于使系統最高級管理員可以設置嵌入式Web服務器的參數； 本發明中的應用程序接口模塊用于實現與嵌入式操作系統的數據交換； 在該嵌入式Web服務器中，應用程序接口與嵌入式操作系統通信，調用CGI應用程序，CGI應用程序按照CGI規范讀取從Web服務器傳遞來的各種信息，并對客戶端的請求進行解釋和處理，包括操作嵌入式數據庫進行用戶身份認證以及與總線上設備信息交互等，最后將處理結果按照CGI規范返回給Web服務器。
【文檔編號】H04L29/06GK104243294SQ201410414184
【公開日】2014年12月24日 申請日期:2014年8月21日 優先權日:2014年8月21日
【發明者】周原, 劉明山, 柴丹, 尚文東, 林鳳雪 申請人:周原, 劉明山, 柴丹, 尚文東, 林鳳雪