嘉 爾桂花 來源：《電子技術(shù)應(yīng)用》

     摘要：現(xiàn)場總線的特點(diǎn)是開放、互聯(lián)，這是它優(yōu)于其它形式系統(tǒng)的根本原因。但是這種開放互聯(lián)的性質(zhì)也給現(xiàn)場總線系統(tǒng)帶來了不安全因素。討論了現(xiàn)場總線系統(tǒng)的通信安全問題，指出這一問題的重要性，提出了在設(shè)備層實(shí)現(xiàn)通信安全的方案。根據(jù)現(xiàn)場總線技術(shù)的特點(diǎn)和發(fā)展現(xiàn)狀提出了模塊化的加密方案，并且對這一方案的適用性進(jìn)行了分析，同時(shí)也探討了其對總線通信性能的影響。

     關(guān)鍵詞：現(xiàn)場總線

     通信安全 加密 自動(dòng)化系統(tǒng) 設(shè)備層通信 層式結(jié)構(gòu)

     我國已經(jīng)提出了“以信息化推動(dòng)工業(yè)化”的戰(zhàn)略。在生產(chǎn)自動(dòng)化系統(tǒng)中實(shí)現(xiàn)信息交換和共享并以此為基礎(chǔ)實(shí)施企業(yè)cims工程已成為人們的共識(shí)，這必將成為自動(dòng)化系統(tǒng)未來發(fā)展的方向�，F(xiàn)場總線在這一系統(tǒng)中扮演了重要的角色，它為底層的智能設(shè)備提供了開放的通信平臺(tái)，使之能夠?qū)崟r(shí)地進(jìn)行數(shù)據(jù)交換。而且便于自動(dòng)化系統(tǒng)與企業(yè)局域網(wǎng)互聯(lián)，從而實(shí)現(xiàn)任意時(shí)刻、任意地點(diǎn)的控制，進(jìn)而推進(jìn)整個(gè)企業(yè)的自動(dòng)化、信息化進(jìn)程。

     1 問題的提出

     圖1為某中藥生產(chǎn)廠的自動(dòng)化系統(tǒng)。該系統(tǒng)實(shí)現(xiàn)了中約生產(chǎn)中的配料工作的自動(dòng)化，能夠提高生產(chǎn)效率，而且增加保密性，同時(shí)便于遠(yuǎn)程管理。

     在生產(chǎn)一線上采用基于現(xiàn)場總線的控制系統(tǒng)。當(dāng)中藥配料落入秤斗中時(shí)，panther儀表就可以檢測出這個(gè)變化，經(jīng)過a/d轉(zhuǎn)換變成以數(shù)字表示的稱重?cái)?shù)值。通過rio接口，plc程序可直接讀取panther的稱重?cái)?shù)值。智能儀表與控制器作為總線節(jié)點(diǎn)，依托總線進(jìn)行相互通信，協(xié)調(diào)工作。

     可以看到基于現(xiàn)場總線的這一系統(tǒng)結(jié)構(gòu)簡單，成本較低，可以有靈活的控制，可擴(kuò)展性強(qiáng)。而且能夠方便地與企業(yè)局域網(wǎng)進(jìn)行通信，從而滿足遠(yuǎn)程控制的要求。

     可是我們發(fā)現(xiàn)，在現(xiàn)場總線一級(jí)的設(shè)備之間的通信是不安全的，如圖2中，監(jiān)聽者可以獲取信道中的數(shù)據(jù)�，F(xiàn)場總線協(xié)議標(biāo)準(zhǔn)是公開的，這些數(shù)據(jù)很容易被解釋為有意義的信息，那么各個(gè)節(jié)點(diǎn)之間的通信就沒有任何保密性可言。

     現(xiàn)場總線數(shù)據(jù)交換中的這種不安全因素來自于協(xié)議本身�，F(xiàn)場總線采用類似局域網(wǎng)的廣播報(bào)文方式進(jìn)行通信，那么上面的這種竊聽就可以獲取總線上通信的所有信息。對于一個(gè)中藥廠來說，藥品的配方就是企業(yè)的生命，如果這些信息被竊取，后果將不堪設(shè)想。

     推而廣泛，現(xiàn)代企業(yè)的許多關(guān)鍵技術(shù)都會(huì)在生產(chǎn)一線的儀器工作參數(shù)中體現(xiàn)出來，那么隨著企業(yè)的自動(dòng)化、信息化程度的提高，信息的不安全性也越來越高。企業(yè)的現(xiàn)代化進(jìn)程是不可避免的，在這一過程中，必須對信息安全提出越來越高的要求，對于采用現(xiàn)場部構(gòu)建的生產(chǎn)自動(dòng)化系統(tǒng)，應(yīng)該考慮總線網(wǎng)段的通信安全。

     2 解決方案

     我們提出的是一種進(jìn)行設(shè)備間通信加密的方案，來解決上面提出的問題。

     現(xiàn)場總線網(wǎng)段上設(shè)備的通信加密不同于目前通常的網(wǎng)絡(luò)通信加密，，需要考慮實(shí)現(xiàn)加密的層次、實(shí)現(xiàn)方法以及對性能影響等諸多因素。

     2.1 實(shí)現(xiàn)安全的層次

     加密層次的選擇是相當(dāng)關(guān)鍵的。這不僅涉及到對系統(tǒng)性能的影響，也決定著方案是否具有可行性。加密與解密應(yīng)在同一層次進(jìn)行。如圖3所示，通常有幾種可能的選擇：

     （1）在應(yīng)用層實(shí)現(xiàn)。這需要由用戶選擇加密算法進(jìn)行編程，然后利用智能儀表和控制器的運(yùn)算能力將數(shù)據(jù)轉(zhuǎn)化為密文，交給下層處理。同時(shí)，應(yīng)用層也要負(fù)責(zé)解密。

     在應(yīng)用層實(shí)現(xiàn)最大問題是對性能的影響。設(shè)備的運(yùn)算能力是有限的，在設(shè)計(jì)運(yùn)算能力的時(shí)候只有針對普通數(shù)據(jù)的處理而沒有考慮到實(shí)現(xiàn)較為復(fù)雜算法（加密、解密）。所以，利用現(xiàn)有的協(xié)議和軟硬件去實(shí)現(xiàn)加密是不適宜的。而且，應(yīng)用層的基本功能是控制與管理，把加密解密放到這個(gè)層次，會(huì)使其功能復(fù)雜化，不利于其管理控制任務(wù)的進(jìn)行。

     （2）集成于邏輯鏈路控制子層（llc子層）或介