首页 > 文章中心 > ssl协议

ssl协议

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇ssl协议范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

ssl协议

ssl协议范文第1篇

[关键词] 网络安全 VPN ssl 体系结构 工作模式

VPN(Virtual Personal Network,虚拟专用网)是通过一个私有的通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网,通过在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。SSL VPN是一种新的VPN的实现方法,是可靠安全地构建VPN的一种模式。

一、SSL协议

1.SSL概述

SSL(Secure Socket Layer,安全套接层)协议是 Netscape 公司于1994年提出的一个网络安全通信协议,是一种在两台机器之间提供安全通道的协议。它具有保护传输数据,以及识别通信机器的功能。SSL最初是通过加密HTTP连接为Web浏览器提供安全而引入的。

SSL在TCP上提供一种通用的通道安全机制,任何可以在TCP上承载的协议都能够使用SSL加以保护。在TCP或IP四层协议族中,SSL协议位于传输层与应用层之间,基于可靠传输协议TCP,服务于各种应用层协议,如HTTP、POP、TELNET等,它们在SSL协议上运行分别被称作HTTPS、POPS、TELNETS协议等,分别对应的端口号为443、995、992等。

图1 SSL协议结构图

2.SSL体系结构

SSL协议在结构上分为两个层次:底层为记录层协议(Record Protocol),负责封装高层协议(包括握手协议)的数据,保证SSL连接的数据保密性和完整性;高层为握手层,由四个并行的协议构成:握手协议(Handshake Protocol)、修改密码参数协议(Change Cipher Spec Protocol)、报警协议(Alert Protocol)、应用数据协议(Application data Protocol),高层协议需要记录层协议支持,其中握手协议与其他的高层协议不同,主要负责在交换应用层数据之前进行协商加密算法与密钥,其他高层协议属于应用开发的范畴,而要得到握手协议的支持,而握手协议则是SSL底层实现必须具有的功能,因为记录层协议的完成也由它来保证。

二、基于SSL协议的VPN技术研究

1.SSLVPN概念

SSL VPN是指一种基于数据包封装技术的,利用SSL或TLS协议结合强加密算法和身份认证技术的,可靠安全地构建VPN的一种方法。它作为一种新的VPN的实现方法,SSL VPN可以用来构建外联网、内联网和远程接入访问。它通过数据包封装的隧道技术来实现虚拟专用网的私有性,通过PKI技术和密码学技术来鉴别通信双方的身份和确保传输数据的安全。

2.SSL VPN的工作模式

(1)基于Web模式的SSL VPN系统

客户端使用浏览器通过SSLVPN 服务器来访问企业局域网的内部资源。SSLVPN 服务器相当于一个数据中转站,Web浏览器对WWW服务器的访问经过SSL VPN服务器的处理(解密、身份鉴别、访问控制)后转发给WWW服务器,从WWW服务器发往Web浏览器的数据经过SSL VPN服务器处理(过滤、加密)后送到Web浏览器。

图2 基于Web模式的SSL VPN系统

(2)基于客户模式的SSL VPN

用户在客户端安装一个SSL VPN客户端程序,当客户端访问企业内部的应用服务器时,需要经过SSL VPN客户端程序和SSL VPN服务器之间的保密传输后才能到达。从而在SSLVPN客户端和 SSLVPN服务器之间,由SSL协议构建一条安全通道,保护客户端与SSLVPN服务器之间的数据传输。此时,SSLVPN服务器充当服务器的角色,SSL VPN客户端充当客户端的角色。

图3 基于客户端模式的SSL VPN系统

(3)局域网到局域网模式的SSL VPN系统

在网络边缘都安装和配置了SSLVPN服务器。当一个局域网内的终端要访问远程网络内的应用服务器时,需要经过两个SSL VPN服务器之间的保密传输后才能到达。从而在两个SSLVPN服务器之间,由SSL协议构建一条安全通道,保护局域网之间的数据传输。此时,SSL VPN服务器充当安全网关的角色。

图4 局域网到局域网模式的SSL VPN系统

参考文献:

[1]徐家臻陈莘萌:基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,(04)

ssl协议范文第2篇

关键词:SSL;电子商务;数据安全

1  引言

随着计算机技术和Internet的飞速发展,商业活动实现了电子化,从而发展成为电子商务。电子商务借助互联网、企业内部网和增值网等计算机与网络和现代通信技术,按照一定的标准,利用电子化工具,将传统的商业活动的各个环节电子化、网络化,从而以数字化方式来进行交易活动和相关服务活动。

电子商务包括电子货币交换、供应链管理、电子交易市场、网络营销、在线事务处理、电子数据交换(EDI)、存货管理和自动数据收集系统。电子商务完全不同于传统的商务活动,它是一种以网络为载体的新的商务运作方式。

(1)SSL不能提供交易的不可否认性。SSL协议是基于Web应用的安全协议,它只能提供安全认证,保证SSL链路上的数据完整性和保密性。却不能对电子商务的交易应用层的信息进行数字签名,因此,SSL不能提供交易的不可否认性,这可以说是SSL在电子商务中最大的缺陷。

(2)SSL只能提供客户机到服务器之间的两方认证,无法适应电子商务中的多方交易业务。

(3)SSL易遭受Change Cipher Spec消息丢弃攻击。由于SSL握手协议中存在一个漏洞:在finished消息中没有对变换加密的说明消息进行认证处理,在接收到该消息前,所有的密码族都不做任何加密处理和MAC保护,只有在接收到Change Cipher Spec消息之后,记录层才开始对通信数据进行加密和完整性保护。这种处理机制使得SSL易遭受Change Cipher Spec消息丢弃攻击。

(4)SSL无法避免通信业务流分析攻击。由于SSL位于TCP/IP的协议层之上,因此,无法对TCP/IP协议头部进行保护,导致潜在的隐患。攻击者通过获取IP地址、URL请求的长度以及返回的Web页面的长度等信息,可以分析出用户访问的目标,再加上SSL协议只支持对 块密码的随机填充,没有提供对流式密码算法的支持,使得SSL无法阻止这类攻击。

4  总结

电子商务正飞速地发展。用于保障电子商务活动的安全协议主要有S-HTTP、STT、IKP、SET和SSL。其中SSL协议是目前电子商务采用的主要的网上交易协议。SSL协议采用了加密、认证等安全措施,结合了Hash算法,较好地保证了数据在传输过程中的保密性、可靠性和完整性,在一定程度上放置了欺骗、篡改、重放等攻击。本文在介绍SSL协议栈及其工作原理和机制的基础上,对基于SSL的电子商务的安全性进行了分析。

参考文献:

[1]  邢双慧.浅谈电子商务与SSL协议[J].硅谷,2010(01):37

ssl协议范文第3篇

关键词:TLS1.2;安全协议;计算模型

中图分类号:TP393

文献标识码:A 文章编号:1672-7800(2015)005-0154-04

作者简介:牛乐园(1990-),女,河南许昌人,中南民族大学计算机科学学院硕士研究生,研究方向为信息安全。

0 引言

人类建立了通信系统后,如何保证通信安全始终是一个重要问题。伴随着现代通信系统的建立,人们利用数学理论找到了一些行之有效的方法来保证数字通信安全。简单而言就是将双方通信的过程进行保密处理,比如对双方通信的内容进行加密,这样可有效防止偷听者轻易截获通信内容。SSL(Secure Sockets Layer) 及其后续版本 TLS(Transport Layer Security)是目前较为成熟的通信加密协议,常被用于在客户端和服务器之间建立加密通信通道。TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。截至目前其版本有1.0,1.1、1.2[1],由两层协议组成:TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。

1 TLS协议结构

TLS协议是对SSL协议规范后整理的协议版本,建立在可靠的传输层上,如TCP(UDP则不行)。应用层可利用TLS协议传输各种数据,来保证数据的安全性和保密性[2]。

安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS 记录协议(TLS Record)和TLS握手协议(TLS Handshake)。较低层为 TLS记录协议,位于某个可靠的传输协议(如TCP)上。

TLS记录协议是一种分层协议。每一层中的信息可能包含长度、描述和内容等字段。记录协议支持信息传输、将数据分段到可处理块、压缩数据、应用 MAC、加密以及传输结果等,并对接收到的数据进行解密、校验、解压缩、重组,然后将它们传送到高层客户机。

TLS记录层从高层接收任意大小不间断的连续数据。密钥计算:记录协议通过算法从握手协议提供的安全参数中产生密钥、IV 和 MAC 密钥。TLS 握手协议由3个子协议组构成,允许对等双方在记录层的安全参数上达成一致、自我认证、例示协商安全参数、互相报告出错条件。

TLS握手协议由3种协议封装,包括改变密码规格协议、警惕协议、握手协议。TLS协议结构如图1所示。

2 TLS1.2消息流程

在整个通讯过程中,为实现TLS的安全连接,服务端与客户端要经历如下5个阶段[3]:①Client申请链接,包含自己可以实现的算法列表以及其它信息;②Server回应链接,回应中确定了这次通信所使用的算法,将证书发送给对方,证书中包含了自己的身份和公钥;③Client在收到消息后会生成一个秘密消息ClientKeyExchange――(此秘密消息经处理后,将用作加密密钥(会话密钥)),用Web服务器的公钥加密并传至Server;④Server再用私钥解密秘密消息ClientKeyExchange,并进行处理,生成会话密钥(用于之后的数据加密),会话密钥协商成功;⑤Client和Server得到会话密钥,并用此会话密钥进行数据加密。

TLS1.2在传输层协议的消息主要包含8条消息,消息结构如图2所示,分别是ClientHello版本协商、ServerHello版本协商、Server Certificate证书消息、HelloDone接收结束标识、 ClientKeyExchange即Client交换密钥消息、Client的Finished消息、CertificateVeri验证证书消息、Server的Finished消息。

2.1 ClientHello和消息

ClientServer

client_version|| client_random|| session_id|| cipher_suites|| compression_methods|| extensions

消息描述:该消息包括客户端的版本号client_version,用于告知服务器client可以支持的协议最高版本,来协商安全协议版本。client_random是client产生的一个随机数,由client的日期和时间加上28字节的伪随机数组成,用于后面的主密钥计算。session_id由服务连接得到,发送给server来建立一个新的会话连接。cipher_suites是client提供给server可供选择的密码套件,用于协商密钥交换,数据加密以及散列算法。compression_methods是客户端支持的压缩算法。extensions是客户端的扩展域。

client_version: Protocol version(协议版本),该字段表明了客户能够支持的最高协议版本3.3。

random:它由客户的日期和时间加上28字节的伪随机数组成,该客户随机数将用于计算master secret(主秘密)和prevent replay attacks(防止重放攻击)。

session_id:一个会话ID标识一个可用的或者可恢复的会话状态。一个空的会话ID表示客户想建立一个新的TLS连接或者会话,而一个非空的会话ID表明客户想恢复一个先前的会话。session_id有3个来源:①之前的会话连接;②当前连接,客户端仅仅想通过更新random结构得到连接值时使用;③当前激活的连接,为了建立几个独立的连接而不再重复发起连接握手。

2.2 ServerHello消息

ServerClient:

server_version||server_random|| session_id|| cipher_suites|| compression_methods|| extensions

消息描述:该消息包含6个消息项,server_version取客户端支持的最高版本号和服务端支持的最高版本号中的较低者,本文所用的是TLS1.2。server _random是服务端生成的随机数,由服务器的时间戳加上28字节的伪随机数组成,也用于主密钥的生成。session_id提供了与当前连接相对应的会话的标识信息。从客户端处接收到会话标识后,服务器将查找其缓存以便找到一个匹配的session_id。

server_version: Protocol version(协议版本),取客户端支持的最高版本号和服务端支持的最高版本号中的较低者。TLS版本为3.3。random:它由客户的日期和时间加上28字节的伪随机数组成,该客户随机数将用于计算master secret(主秘密)和prevent replay attacks(防止重放攻击)。session_id:该域提供了与当前连接相对应的会话的标识信息。如果从客户端接收到的会话标识符非空,则服务器将查找其缓存以便找到一个匹配。

2.3 Server Certificate消息

ServerClient:

version||serialNumber||algorithmIdentifier||issuer||utcTime||subject_name||subject_key_info|| signature

消息描述:该项消息为可选项,证书主要包含4部分内容,version是证书版本,文章统一定为X509v3。主体名称指明使用该证书的用户为server_subject。subject_key_info是证书包含的公钥信息,该消息项有两项内容:一个是证书的公钥,发送给client后用于加密client生成的预主密钥,并把密文信息发送给server。server收到该密文信息后可以使用自己的私钥解密得到预主密钥;另一个是所用的散列算法。signature:证书验证签名信息,用以验证证书。version:证书版本号,为X.509V3。subject_name:证书主体名称。

subject_key_info:标识了两个重要信息:①主体拥有的公钥的值;②公钥所应用算法的标识符。证书私钥对证书的所有域及这些域的Hash值一起加密。

2.4 ServerKeyExchange消息

ServerClient:

KeyExchangeAlgorithm|| ServerDHParams

KeyExchangeAlgorithm:密钥交换算法,文章定义的密钥交换算法为RSA。ServerDHParams:Diffi-Hellman参数,若交换算法为RSA,则此项为空。

2.5 CertificateRequest消息

ServerClient:

certificate_types|| supported_signature_algorithms|| certificate_authorities

消息描述: 可选消息项,该消息是Server服务器向Client请求验证证书信息。在一般应用中只对Server服务器进行认证,而Server服务器要允许只有某些授权的Client才能访问服务器,此时需要用到该消息对Client进行认证。Client认证是通过Server服务器给Client发送一条 CertificateRequest消息而开始,如果Server发送这条消息,则Client必须向server发送自己的证书。客户端收到该消息后,发送一条 Certifcate 消息(与服务器传送证书的消息一样)和一条 CertificateVerify 消息予以应答。

certificate_type:客户端提供的证书类型,该处为rsa_sign。supported_signature_algorithms:可以验证server的散列/签名算法对。certificate_authorities:可以接受证书消息的特定名称。

2.6 Client Certificate消息

ClientServer:

version||serialNumber||algorithmIdentifier||issuer||utcTime||subject_name||subject_key_info|| signature

消息描述:可选消息项,该证书主要包含4部分内容,version是证书版本,文章统一定为X509v3。主体名称指明使用该证书的用户为server_subject。subject_key_info是证书包含的主要公钥信息,该消息项有两项内容:一个是证书的公钥,另一个是所用的散列算法。signature是证书验证签名信息,用以验证证书。

version:证书的版本号,为X.509V3。subject_name:证书主体名称。subject_key_info:标识了两个重要信息:①主体拥有的公钥的值;②公钥所应用的算法的标识符。算法标识符指定公钥算法和散列算法(如RSA和SHA-1)。signature:用证书私钥对证书的所有域及这些域的Hash值一起加密。

2.7 ClientKeyExchange消息

ClientServer:

KeyExchangeAlgorithm|| EncryptedPreMasterSecret

消息描述:该消息是密钥交换消息。之前的消息协商中规定密钥交换算法为RSA算法,所以该消息中KeyExchangeAlgorithm的内容为RSA。此时,client随机生成一个48字节的预主密钥,用从server证书得来的公钥来加密这个预主密钥,加密算法为RSA算法。client加密预主密钥并在ClientKeyExchange消息中将密文EncryptedPreMasterSecret发给server,使server得到预主密钥。

KeyExchangeAlgorithm:算法选择为RSA。EncryptedPreMasterSecret:客户端生成一个48字节的预主密钥,用从server证书得来的公钥来加密该预主密钥,加密预主密钥消息并发送密文。

2.8 CertificateVerif消息

ClientServer

handshake_messages[handshake_messages_length]

消息描述:可选消息项,如果服务器请求验证客户端,则该消息完成服务器验证过程。客户端发送一个certificate_verify消息,其中包含一个签名,对从第一条消息以来的所有握手消息的HMAC值(用master_secret)进行签名。handshake_messages指所有发送或接收的握手消息,从clienthello消息开始到CertificateVerif消息之前(不包括CertificateVerif消息)的所有消息集合,包括握手消息的类型和变长字段。这是到目前为止HandShake结构的整合。

3 Blanchet演算模型建立流程

Blanchet演算模型主要包括类型定义、时间定义、方法定义、通道定义、时间声明、初始化进程描述[4]、客户端进程描述与服务端进程描述。TLS1.2最主要的功能体现在客户端与服务端的消息传递。

3.1 协议事件声明

在Blanchet演算中首先要声明要证明的事件。TLS1.2协议的消息流程中最重要的就是认证性和密钥的保密性[5]。认证性包括客户端对服务端的认证和服务端对客户端的认证,保密性是对会话密钥的秘密性进行认证。表示server事件发生之前client事件一定发生,用来验证服务端用户。在更严格的定义下进行服务端验证,事件声明代码如下。

event server(output).

event client(output).

query x:output;

event server(x)==>client(x).

query x:output;

event inj:server(x)==>inj:client(x).

query secret premastersecret.

3.2 初始化进程

协议模型初始化进程如下所示,ClientProcess表示客户端进程[6],ServerProcess表示服务端端进程,表示多个ClientProcess进程并发执行,集中一次模拟现实协议执行。

process

in(start,());

new seedone:rsakeyseed;

let pkeyrsa:rsapkey=rsapkgen(seedone) in

let skeyrsa:rsaskey=rsaskgen(seedone) in

new seedtwo:keyseed;

let signpkey:pkey=pkgen(seedtwo) in

let signskey:skey=skgen(seedtwo) in

new keyhash:hashkey;

out(c,(pkeyrsa,signpkey,keyhash));

((! N ClientProcess) |

(! N ServerProcess) )

3.3 客户端和服务端进程

客户端的消息流程包括版本协商、算法协商、密钥协商、密钥交换和请求验证。版本协商是协商客户端、服务端可以通用的版本[7],一般是客户端和服务端都支持的最高版本,密钥协商完成后Client向Server发送verifydata认证请求消息,内容包括username、servicename、methodname,method_specific,请求Server验证身份,并在此定义对客户端的验证事件client(verifydata)。

服务端进程首先接收客户端进程发送的版本信息[8],并与自己的版本信息匹配协商得到协商版本client_version。版本信息协商完成后接收客户端所支持的算法信息,至此算法协商完成。进入密钥协商阶段,首先Server接收Client发送的密钥参数信息c_s_random_s,用来计算hash验证;Server收到Client的验证请求后对Client进行验证并接收Client发来的验证消息,用所收到的所有消息计算验证信息。在此插入事件event server(verifydata_fc)来验证客户端。

3.4 验证结果

本文在介绍TLS1.2协议的基础上对其数据流程进行分析[9],使用Blanchet建立模型并分析其安全性和认证性。经过一系列的流程跟进并使用自动化证明工具Cryptoverif对TLS1.2进行模型建立,经过一系列的Game转换得出分析结果如图3所示[10]。结果证明,TLS1.2协议的会话密钥具有安全性,在认证阶段能够对客户端通过消息签名进行验证。

4 结语

为了研究TLS1.2协议在应用中的安全性,本文对TLS1.2协议的消息流程进行了分析。通过对每一步消息流中消息项的研究分析,得出TLS1.2协议的整体消息结构,最终实现服务端对客户端的验证流程分析。基于Blanchet演算对分析的消息流程应用一致性对服务端认证客户端和客户端对服务端的验证建立模型。协议模型通过协议转换工具转换为CryptoVerif的输入代码TLS1.2.cv,使用CryptoVerif对模型进行分析,并证明了TLS1.2协议的安全性与认证性。后续研究中将给出TLS1.2协议的Java安全代码,并分析其安全性。

参考文献:

[1] 陈力琼,陈克非.认证测试方法对TLS协议的分析及其应用[J].计算机应用与软件,2008,25(11):6-7.

[2] 于代荣,杨扬,马炳先,等.基于身份的TLS协议及其BAN逻辑分析[J].计算机工程,2011,37(1):142-144.

[3] MORRISSEY P, P SMART N,WARINSCHI B.The TLS handshake protocol: a modular analysis[J]. Journal of Cryptology,2010,23(2):187-223.

[4] 卢敏,申明冉.基于RSA签名的TLS协议的新攻击发现及其改进[J].消费电子,2013(14):69-70.

[5] 高志伟,耿金阳.基于优先级策略的 TLS 握手协议研究[J].石家庄铁道大学学报:自然科学版,2014(3):69-74.

[6] 唐郑熠,李祥.Dolev-Yao攻击者模型的形式化描述[J].计算机工程与科学,2010(8):36-38.

[7] 邵飞.基于概率进程演算的安全协议自动化分析技术研究[D].武汉:中南民族大学,2011.

[8] 朱玉娜.密码协议符号分析方法的计算可靠性研究[D].郑州:信息工程大学,2008.

ssl协议范文第4篇

【关键字】SML;AMI;AMR;MUC;IEC62056

引言

随着信息技术和通讯技术的发展,电网系统不断的进行更新换代,迈向了更加智能化的道路。从最初的人工抄表系统,到后来的AMR(Automatic Meter Reading)系统,再到现在的AMI系统,通讯技术起到了举足轻重的作用。由于通讯技术发展迅速,更新换代频率高,导致刚上市不久的电力产品就面临被淘汰的局面。拿PLC(Power Line Communication)来说吧,2008年法国EDF启动LINKY项目,其主推的PLC技术为S-FSK,并成为主流的通讯技术,但不到两年的时间,PLC主力正营开始偏向于PRIME技术,可PRIME技术好景不长,现在PLC主力正营又开始偏向于G3技术。发展如此迅速的通讯技术,导致电力产品制造公司面临很大的经济损失。在这种形势下,几个国际上知名的能源公司和电表制造商开始合作,设想研发出一款通讯模块可更换的智能电表,并因此,成立了Sym2(Synchronous Modular Meters)项目。SML通讯协议也因Sym2项目而诞生,并成功应用到德国智能电表的改造项目当中。

1、AMI系统架构

AMR系统被认为是AMI系统的前身,其主要完成电网数据的抄读功能。随着电力用户用电负荷的不断上升,对电网的调度带来了很大的难度,因此需要对用户的负荷进行控制,当用户超负荷时,需要远程断开继电器;当断电时间结束时,需要远程闭合继电器。另外根据不同的时期,需要远程更新电能表的费率表,使其运行新的尖峰平谷收费政策,实现远程费控。由于以上各种情况的出现,AMI系统开始慢慢取代AMR系统。因为AMI系统不仅具备抄读功能,同时还具备远程设置功能,以及点对点实时操控功能等。

(6)手持单元(Handheld Units):主要用于智能电表和集中器在安装和维护阶段的数据抄读和参数修改。另外当远程通讯出现问题时,可以用它进行本地数据抄读和现场维护。

2、SML通讯协议

3、SML的应用

(I1)这类通讯接口主要用于数据集中器和智能电表之间,另外当主站无法与智能电表通讯的时候,也可通过它采用手持单元对数据集中器进行维护,典型的应用有PLC通讯。

(I2)这类通讯接口用于主站和智能电表之间的通讯,典型的应用有GPRS网络和以太网。

(I3)这类通讯接口用于智能电表和手持单元之间的通讯,在智能电表安装或无法远程通讯的时候,可通过手持单元进行设置参数和维护,典型的应用有近(远)红外通讯、RS485通讯等。

(I5)这类通讯接口用于家庭内部网络的智能电表和用户终端电气设备之间的通讯,例如IHD可通过该接口获取智能电表的数据并进行显示,典型的应用有无线M-bus通讯、Zigbee通讯等。

SML通讯协议可应用于AMI系统下的I1、I2、I3、I4、I5等通讯接口,德国智能电表项目采用SML协议贯串了整个AMI系统。

德国AMI系统的特点是电表功能简单,MUC功能复杂,其设计思路为电表尽量简单,提供其可靠性和使用寿命,当通讯方式更新换代时,电表无需更换,仅更换MUC即可。从短期看,一个电表需要搭配一个MUC,该方案的成本上升了,但从长期看,该方案却可以大大减少成本。

ssl协议范文第5篇

关键词:PLC DCS PROFIBUS-DP 通讯

中图分类号:TH89 文献标识码:A 文章编号:1672-3791(2016)09(a)-0016-02

工业控制已从单机控制走向集中控制、分散控制,并走向网络时代。工业控制网络为数据采集、工业控制提供了方便,节省了成本,提高了性能。在实际化工厂工业控制网络中,由于控制方式及建设进度等问题,可能会存在多种控制系统。某化工厂原有一套西门子S7-300系列PLC系统用于一套附属机械设备的逻辑控制,后在实际使用中,需用生产线使用的浙江中控JX-300XP型DCS控制系统对其进行实时监控及控制,为减少成本,需建立DCS与PLC之间的通讯系统。西门子S7-300系列PLC系统支持PROFIBUS-DP协议,故决定选用PROFIBUS-DP协议通讯的数字通讯方式,实现两系统的互联。目前改造后的系统运行效果良好。

1 通讯系统结构设计

浙江中控JX-300XP型DCS控制系统有专门用于与PROFIBUS-DP协议设备通讯用的主站接口卡XP239-DP,它作为SUPCON DCS与PROFIBUS-DP的接口,在PROFIBUS-DP中以主站形式存在。它通过PROFIBUS系统配置工具SYSCON直接与西门子S7-300系列PLC从站接口模块IM153-1互联进行通讯。此种方案可使SUPCON DCS系统直接对西门子S7-300系列PLC的从站接口及IO模块进行控制,而不必通过西门子PLC的CPU模块进行通讯转接,降低了系统扫描时间,提高了系统稳定性。工程师只需对SUPCON DCS系统进行编程即可,无需再进行西门子的STEP编程,大大降低了编程工作量。

2 通讯系统网络组成

2.1 PROFIBUS协议简介

PROFIBUS是过程现场总线(Process Field Bus)的缩写,其传送速度可在9.6kbaud~12Mbaud范围内选择且当总线系统启动时,所有连接到总线上的装置应该被设成相同的速度,广泛适用于制造业自动化、流程工业自动化和楼宇、交通电力等其他领域自动化。PROFIBUS是一种用于工厂自动化车间级监控和现场设备层数据通信与控制的现场总线技术,可实现现场设备层到车间级监控的分散式数字控制和现场通信网络,从而为实现工厂综合自动化和现场设备智能化提供了可行的解决方案。它以独特的技术特点、严格的认证规范、开放的标准、众多厂商的支持和不断发展的应用行规,已成为最重要的和应用最广泛的现场总线标准,在多种自动化领域中占据主导地位,全世界的设备节点数已经超过2 000万。

PROFIBUS现场总线通讯协议包括3个主要部分:(1)PROFIBUS DP:主站和从站之间采用轮循的通讯方式,主要应用于自动化系统中单元级和现场级通信;(2)PROFIBUS PA:电源和通信数据通过总线并行传输,主要用于面向过程自动化系统中单元级和现场级通讯;(3)PROFIBUS FMS:定义了主站和主站之间的通讯模型,主要用于自动化系统中系统级和车间级的过程数据交换。其中,PROFIBUS-DP是高速网络,通讯速率达到12 M。PROFIBUS-DP可以连接远程I/O、执行机构、智能马达控制器、人机界面HMI、阀门定位器、变频器等智能设备,1条PROFIBUS-DP总线可以最多连接123个从站设备。PROFIBUS-DP的拓扑结构可以是总线型、星型和树型,通讯介质可以是屏蔽双绞线、光纤,支持红外传输。

2.2 SYSCON软件简介

SyCon是通用的PROFIBUS系统配置工具,具有统一的用户界面,适用于所有PROFIBUS系统。作为一个基本的配置工具,它使用了所谓的设备描述文件或电子数据文档(EDS文件),这些文件中定义了总线设备的相关特性参数。这些文件标准化了一些现场总线系统,是由设备制造商提供的,SyCon提供该功能的导入。总线结构是由图形编辑器决定的,包含了各个现场总线设备。双击节点图形,可以打开相应的配置窗口。在显示的表格中,可以创建当前节点配置的所有可能模块或数据。过程映像中的数据地址可以通过配置工具进行手动或自动生成。节点的参数化是通过各自现场总线系统的选择或输入值实现的。最后一步是总线参数的定义,它局限于传输速率的定义,而所有其他参数都是各自依据设备描述文件的基本数据。

SyCon提供了全面的诊断功能。在诊断模式下,设备的所有状态都被循环地唤醒,并以红色或绿色显示,其依赖于数据交换在那时是否正在进行。通过双击“红色”的总线节点,错误的原因代码就会显示。更多的功能包括错误的读出、错误统计的显示和过程数据的输入和输出。

3 通讯系统配置编程

3.1 sycon软件配置

在进行sycon软件配置前,需去西门子官网下载所需IM153-1从站通讯模块的GSD文件,并导入至sycon软件中。

利用软件的“Insert->Master”和“Insert->Slave”命令添加主站和从站,并设置好主从站地址。之后,需对主从站及总线参数进行设置,重点在于从站IO模块的添加,添加IO模块时需保证订货号与实际模块保持一致。需注意的是西门子的IO模块一般可接多种信号,如模拟量输入模块,既可接4~20 mA电流信号,又可接0~10 V电压信号,故进行配置时需对每一个IO模块的“Parameter Data->Module”进行配置,选择好每一个模块通道的信号类型和模块地址。

3.2 DCS软件组态

3.2.1 主站接口卡组态

在SCKey组态软件中,添加XP239-DP主站,配置DP组态,添加Sycon软件配置完毕的pb文件,并根据需要对其进行变量类型及位号的组态。对于模拟量输入模块,其数据类型均为有符号整数,下限为-32768,上限为32767。对于模拟量输出模块,上下限即为实际仪表量程,编码低字节为0,编码高字节为27648。所有变量均选择参与控制,这样后期再对备用点进行使用时就无需重新下载DP组态,不会对生产造成影响。组态完成后,可通过“查看控制位号”来查看变量地址,字节偏移/4即为变量地址。

3.2.2 受控主控卡组态

在DP主站接口卡的受控主控卡内建立与DP主站接口卡相对应的半浮点型变量,主控卡与DP接口卡的通讯编程类似于DCS站间通讯的编程,区别在于需将原DP接口卡中的整形变量转换为半浮点型变量。对于模拟量输入模块,主控卡通讯编程中GETMSG模块的STATION地址即为XP239-DP主站接口卡地址,SERIAL地址为通讯变量在XP239-DP接口卡中的地址。对于模拟量输出模块,SETSFLOAT模块的输入即为变量地址。

3.2.3 下载调试

将DP组态和主控卡组态分别进行下载,即可有SUPCON DCS操作员对PLC系统进行实时监控和控制,而不必再对机械设备进行DCS改造,达到了改造目的。

4 结语

现代化工对自动化控制水平的要求不断提高,所采用的控制系统和设备也越来越多,由于制造商的不同,他们各自采用自己的通讯协议,形成了基于PLC、DCS、FCS并存的各种工业控制网络。这就需要利用计算机技术和网络技术将各辅助系统的过程数据进行统一监控控制,减少监控点,从而达到化工生产“分散控制,集中管理”的特点。在该通讯系统中,SUPCON DCS的控制卡件直接连接到了西门子S7-300系列PLC的从站通讯和IO模块,可使DCS操作员直接对生产辅助设备进行监控和控制,降低了成本,极大地方便了自动化工业现场的控制和操作。自该通信系统运行以来,整个系统通讯正常,有效保证了整个化工控制系统的正常运行。

参考文献

相关期刊更多

家电检修技术

省级期刊 审核时间1个月内

长春市委宣传部

铁道机车车辆

北大期刊 审核时间1-3个月

中国国家铁路集团有限公司

电力机车与城轨车辆

部级期刊 审核时间1个月内

中国中车集团有限公司