張興宇，韓秋實，彭寶營

(北京信息科技大學(xué) 機電工程學(xué)院，北京 100192)

?

基于數(shù)控機床遠(yuǎn)程監(jiān)控技術(shù)的安全傳輸系統(tǒng)開發(fā)*

張興宇，韓秋實，彭寶營

(北京信息科技大學(xué) 機電工程學(xué)院，北京 100192)

為了保證數(shù)控機床遠(yuǎn)程監(jiān)控系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?，文章在Linux及windows系統(tǒng)下，基于C/S層次結(jié)構(gòu)，采用TCP/IP網(wǎng)絡(luò)協(xié)議，利用C/C++語言、VS2008開發(fā)軟件、oracle數(shù)據(jù)庫，開發(fā)了基于非圓磨削數(shù)控機床遠(yuǎn)程監(jiān)控系統(tǒng)的安全傳輸系統(tǒng)，該系統(tǒng)實現(xiàn)了各監(jiān)控機床站點的身份認(rèn)證，密鑰協(xié)商、密鑰校驗、密鑰周期更換，以及業(yè)務(wù)數(shù)據(jù)錄入數(shù)據(jù)庫和對傳輸數(shù)據(jù)的加解密等功能，具有不依附于平臺、加密實時性高、易用性好和維護性強等優(yōu)點。最后將系統(tǒng)部署到西門子840Dsl實驗臺和遠(yuǎn)程監(jiān)控PC端進行實驗驗證，實驗結(jié)果表明軟件運行穩(wěn)定，達到了預(yù)期的目的。

數(shù)控機床；遠(yuǎn)程監(jiān)控；安全傳輸

0 引言

隨著工業(yè)4.0的提出，“互聯(lián)網(wǎng)+”下的工業(yè)智能制造技術(shù)不斷發(fā)展，數(shù)控機床功能不斷提高。其中數(shù)控機床遠(yuǎn)程監(jiān)控技術(shù)，為企業(yè)生產(chǎn)效率和質(zhì)量提供了可靠及穩(wěn)定的保障。數(shù)控機床遠(yuǎn)程監(jiān)控技術(shù)的應(yīng)用，提高了機床的生產(chǎn)效率，減少了人力消耗，降低了管理難度，是學(xué)術(shù)研究上的里程碑，更給企業(yè)帶來直接的收益[1-5]。但是隨著高新技術(shù)的發(fā)展，一些問題也隨之暴露，互聯(lián)網(wǎng)下的數(shù)據(jù)遠(yuǎn)程傳輸?shù)陌踩珕栴}，成為人們面臨的問題之一。課題組利用數(shù)控機床遠(yuǎn)程監(jiān)控技術(shù)開發(fā)了非圓磨削數(shù)控機床遠(yuǎn)程監(jiān)控系統(tǒng)，該系統(tǒng)實現(xiàn)了對非圓磨削數(shù)控加工機床的實時監(jiān)控和遠(yuǎn)程控制，由于數(shù)據(jù)網(wǎng)絡(luò)傳輸帶來的不安全問題[6-10]，如黑客入侵篡改傳輸數(shù)據(jù)，會給運行中的加工機床帶來不可預(yù)估的危險,文章開發(fā)了針對非圓磨削數(shù)控機床遠(yuǎn)程監(jiān)控系統(tǒng)的安全傳輸系統(tǒng)。

傳統(tǒng)的安全傳輸系統(tǒng)依附于平臺，加密實時性低和后期維護性差[11-13]，文章開發(fā)的系統(tǒng)實現(xiàn)了各監(jiān)控機床站點的身份認(rèn)證，密鑰協(xié)商、密鑰校驗、密鑰周期更換，以及業(yè)務(wù)數(shù)據(jù)錄入數(shù)據(jù)庫和對傳輸數(shù)據(jù)的加解密等功能。

該系統(tǒng)具有以下優(yōu)點：

(1)不依附于平臺:Linux系統(tǒng)和windows系統(tǒng)可以同時使用。

(2)加密實時性高:客戶端采用連接池，服務(wù)器端采用多線程以及非阻塞IO和select模型。

(3)易用性好:第三方數(shù)控機床遠(yuǎn)程監(jiān)控系統(tǒng)改動最小。

(4)維護性強:業(yè)務(wù)數(shù)據(jù)存入oracle數(shù)據(jù)庫，便于后期管理人員進行業(yè)務(wù)查詢。

(5)系統(tǒng)的加密性能高：身份認(rèn)證應(yīng)用改進的哈希算法，傳輸數(shù)據(jù)通過協(xié)商密鑰應(yīng)用3DES加密算法，并且密鑰進行周期更換。

1 非圓磨削數(shù)控機床安全傳輸系統(tǒng)整體設(shè)計

安全傳輸系統(tǒng)包括Linux下的密鑰協(xié)商服務(wù)器模塊、密鑰協(xié)商客戶端模塊、windows下的密鑰協(xié)商客戶端模塊，數(shù)據(jù)庫管理終端模塊、數(shù)據(jù)加解密接口模塊，如圖1所示。

圖1 系統(tǒng)整體設(shè)計圖

系統(tǒng)的總體流程圖如圖2所示，該方案基于C/S層次結(jié)構(gòu)，通過程序設(shè)計和算法改進，加強了數(shù)據(jù)傳輸?shù)陌踩裕鉀Q了平臺差異導(dǎo)致數(shù)據(jù)傳輸?shù)亩x性，并且系統(tǒng)的每次業(yè)務(wù)處理都記錄數(shù)據(jù)庫，提供了數(shù)據(jù)庫管理終端，可以對每次業(yè)務(wù)處理進行審計工作。

圖2 系統(tǒng)整體流程圖

2 非圓磨削數(shù)控機床安全傳輸系統(tǒng)的軟件設(shè)計

針對系統(tǒng)，利用C/C++語言、VS2008開發(fā)軟件、oracle數(shù)據(jù)庫，采用TCP/IP網(wǎng)絡(luò)協(xié)議，基于C/S層次結(jié)構(gòu)開發(fā)。圖3為非圓磨削數(shù)控機床安全傳輸系統(tǒng)軟件設(shè)計圖,第二層為軟件的上層業(yè)務(wù)模塊，第三層為軟件的底層基礎(chǔ)組件。

圖3 系統(tǒng)軟件設(shè)計圖

2.1 底層基礎(chǔ)組件

2.1.1 通信組件

為了提高系統(tǒng)的并發(fā)性及運行穩(wěn)定性，通信組件主要利用socket編程，與傳統(tǒng)的通信方式相比，client端建立了基于長連接的連接池，并且利用非阻塞IO和select模型[14]，server端基于多線程提高并發(fā)性。

2.1.2 報文編解碼組件

為了解決各平臺系統(tǒng)的差異性，實現(xiàn)數(shù)據(jù)的跨平臺傳輸，報文編解碼組件主要基于ASN.1編碼原理[15-16]，將傳輸?shù)臄?shù)據(jù)進行標(biāo)準(zhǔn)化，并用DER編解碼數(shù)據(jù)。

2.1.3 共享內(nèi)存組件

為了提高系統(tǒng)的傳輸效率，選取共享內(nèi)存作為進程間的通信方式。選取這種通信方式的原因在于：一方面服務(wù)器將協(xié)商的密鑰寫入共享內(nèi)存，另一方面寫入數(shù)據(jù)庫的方式，數(shù)控機床直接通過數(shù)據(jù)加密接口，在共享內(nèi)存中獲取密鑰，保證了數(shù)據(jù)傳輸?shù)膶崟r性，并且共享內(nèi)存這種IPC方式，系統(tǒng)內(nèi)核直接把共享內(nèi)存句柄推送到上層應(yīng)用，不需要進程在內(nèi)核態(tài)和用戶態(tài)進行切換，極大地提高了數(shù)據(jù)的傳輸效率。

2.2 上層業(yè)務(wù)模塊

2.2.1 密鑰協(xié)商服務(wù)器和密鑰協(xié)商客戶端模塊

密鑰協(xié)商服務(wù)器在Linux系統(tǒng)編寫，密鑰協(xié)商客戶端模塊在Windows和Linux系統(tǒng)下編寫。服務(wù)器和客戶端模塊集成了通信組件、數(shù)據(jù)庫組件、報文編解碼組件、共享內(nèi)存組件和日志組件，利用基礎(chǔ)組件完成上層業(yè)務(wù)流程，提高了代碼的維護性，凸顯了高內(nèi)聚低耦合的設(shè)計思想。圖4為密鑰協(xié)商服務(wù)器端和客戶端的業(yè)務(wù)流程。

圖4 密鑰協(xié)商服務(wù)器和客戶端業(yè)務(wù)流程

密鑰協(xié)商客戶端首先要進行身份認(rèn)證，傳統(tǒng)的身份認(rèn)證密碼使用MD5算法進行加密然后存放在數(shù)據(jù)庫中，當(dāng)數(shù)據(jù)庫被黑客入侵，黑客很容易通過暴力破解得到密碼，文章對該算法進行改進，如圖5為改進前后對比圖，表1為身份認(rèn)證加密改進前后公式。從圖和表中可以看出通過算法的改進加密程度得到了提高。

圖5 身份驗證加密改進前后對比圖

表1 身份驗證加密改進前后公式

身份認(rèn)證成功，密鑰協(xié)商客戶端與服務(wù)器建立連接，進行密鑰協(xié)商，密鑰校驗和密鑰周期更換業(yè)務(wù)。①密鑰協(xié)商過程，服務(wù)器端和客戶端得到一樣的密鑰，為下一步數(shù)據(jù)加密和解密做準(zhǔn)備。②密鑰校驗過程，可以查詢服務(wù)器端和客戶端的密鑰是否一致。③密鑰的周期更換過程，可以保證密鑰的安全分發(fā)和周期更替，即使某段時間數(shù)據(jù)庫密鑰中被黑客在竊取，也不能破壞傳輸數(shù)據(jù)。

2.2.2 數(shù)據(jù)庫管理終端

數(shù)據(jù)庫管理終端在Windows系統(tǒng)下利用VS2008軟件進行編寫，主要進行數(shù)據(jù)庫的管理和后期數(shù)據(jù)維護工作，包括監(jiān)控機床站點的注冊及協(xié)商秘鑰數(shù)據(jù)的查看。對于傳統(tǒng)的加密設(shè)施，并沒有后端數(shù)據(jù)庫的管理，該終端對于業(yè)務(wù)的維護性具有深遠(yuǎn)的意義，Windows下的數(shù)據(jù)庫管理終端前端界面如圖6所示。

圖6 數(shù)據(jù)庫管理終端Windows前端界面

2.2.3 數(shù)據(jù)加解密接口模塊

數(shù)據(jù)加解密模塊是在Linux和window系統(tǒng)下編寫，并生成相應(yīng)的動態(tài)庫文件，主要通過數(shù)控機床監(jiān)控系統(tǒng)調(diào)用，從共享內(nèi)存中獲取密鑰，利用對稱加密算法實現(xiàn)對機床傳輸數(shù)據(jù)加密和解密功能。

為了提高系統(tǒng)加密級別，系統(tǒng)由傳統(tǒng)的DES加密算法改為3DES加密算法，由于DES加密算法也可以通過暴力破解得到加密前數(shù)據(jù)，3DES加密算法通過協(xié)商的密鑰對數(shù)據(jù)進行雙重加密，這種加密算法至今無人破解。

3 軟件功能測試與性能分析

完成非圓磨削數(shù)控機床安全傳輸系統(tǒng)的編寫后，在西門子840Dsl實驗臺和遠(yuǎn)程監(jiān)控PC端進行測試，密鑰協(xié)商服務(wù)器、oracle數(shù)據(jù)庫和數(shù)據(jù)庫管理終端同時部署在遠(yuǎn)程監(jiān)控PC端，數(shù)據(jù)加解密動態(tài)庫和頭文件嵌入到遠(yuǎn)程監(jiān)控PC端中，密鑰協(xié)商客戶端部署在西門子840Dsl數(shù)控機床實驗臺的同步上位機上。

測試中先在后臺數(shù)據(jù)管理終端對西門子840Dsl數(shù)控系統(tǒng)實驗臺進行站點注冊，然后在西門子840Dsl數(shù)控系統(tǒng)實驗臺上根據(jù)注冊的用戶名，密碼和站點號進行身份認(rèn)證，認(rèn)證成功后進行密鑰的協(xié)商和密鑰校驗，校驗成功，運行機床與遠(yuǎn)程監(jiān)控端進行數(shù)據(jù)傳輸，通過多次測試，系統(tǒng)運行穩(wěn)定。

3.1 系統(tǒng)運行穩(wěn)定性分析

通過部署安全傳輸系統(tǒng)后存入到數(shù)據(jù)庫中的密鑰圖，如圖7所示，表頭：CLIENTID代表連接服務(wù)器的機床編號;SERVERID代表服務(wù)器編號;KEYID：代表協(xié)商秘鑰后產(chǎn)生的密鑰鍵值;SECKEY：代表協(xié)商秘鑰后產(chǎn)生的密鑰。

(1)通過SECKEY，看出軟件運行后存入oracle數(shù)據(jù)庫的密鑰的形式，密鑰都是一串字符或數(shù)字，代表密鑰是足夠復(fù)雜的。

(2)通過KEYID，看出系統(tǒng)運行是穩(wěn)定的并且并發(fā)性很好，因為現(xiàn)在秘鑰keyid已經(jīng)到了32355(從0開始)。

圖7 存儲在oracle數(shù)據(jù)庫中的密鑰

3.2 系統(tǒng)響應(yīng)延遲時間對比分析

通過部署安全傳輸系統(tǒng)前后系統(tǒng)響應(yīng)延遲時間結(jié)果進行對比，如表2所示，最大誤差為2.5%，平均誤差為1.48%，說明部署安全傳輸系統(tǒng)后對原非圓磨削數(shù)控機床遠(yuǎn)程監(jiān)控系統(tǒng)的性能影響很小，開發(fā)系統(tǒng)的加密實時性高。

表2 部署開發(fā)系統(tǒng)前后系統(tǒng)響應(yīng)延時數(shù)據(jù)對比表

3.3 系統(tǒng)的安全性對比分析

如表3所示，文章開發(fā)的系統(tǒng)通過三次安全性能提高①身份認(rèn)證加密算法改進②傳輸數(shù)據(jù)加密算法更換③密鑰周期更換，保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

表3 部署開發(fā)系統(tǒng)前后系統(tǒng)安全性對比表

4 結(jié)論

文章利用C/S層次結(jié)構(gòu)和TCP/IP協(xié)議，開發(fā)了基于數(shù)控機床遠(yuǎn)程監(jiān)控技術(shù)的安全傳輸系統(tǒng)，通過系統(tǒng)部署后實驗測試，證明了系統(tǒng)設(shè)計的可行性。最后所設(shè)計的安全傳輸系統(tǒng)，為“互聯(lián)網(wǎng)+”下的工業(yè)智能制造網(wǎng)絡(luò)數(shù)據(jù)安全傳輸方面提供了一種新的思路。

[1] 徐晨.物聯(lián)網(wǎng)與數(shù)控機床遠(yuǎn)程智能監(jiān)控系統(tǒng)[J].組合機床與自動化加工技術(shù),2013(8):86-90.

[2] 蔣賢海,張鐵,謝存禧.數(shù)控機床智能遠(yuǎn)程監(jiān)控系統(tǒng)[J].組合機床與自動化加工技術(shù),2014(9):77-79,84.

[3] 宋寶,姚軍,楊勇泉.數(shù)控機床遠(yuǎn)程監(jiān)控平臺開發(fā)和實現(xiàn)[J].組合機床與自動化加工技術(shù),2012(12):79-81,88.

[4] 田齊.基于網(wǎng)絡(luò)的數(shù)控機床遠(yuǎn)程監(jiān)控與管理系統(tǒng)設(shè)計與實現(xiàn)[J].機床與液壓,2015,43(22):167-171.

[5] 張光曙.基于網(wǎng)絡(luò)技術(shù)的數(shù)控機床加工系統(tǒng)狀態(tài)遠(yuǎn)程監(jiān)測技術(shù)的研究[D].沈陽:沈陽理工大學(xué),2009.

[6] 馮登國,張敏,李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學(xué)報,2014,37(1):246-258.

[7] 閆璽璽.開放網(wǎng)絡(luò)環(huán)境下敏感數(shù)據(jù)安全與防泄密關(guān)鍵技術(shù)研究[D].北京:北京郵電大學(xué),2012.

[8] Stefano Tedeschi,J?rn Mehnen ,Nikolaos Tapoglou,Roy Rajkumar Security aspects in Cloud based condition monitoring of machine tools.ScienceDirect,2015(38):47-52.

[9] 黃勤龍.云計算平臺下數(shù)據(jù)安全與版權(quán)保護技術(shù)研究[D]. 北京:北京郵電大學(xué),2014.

[10] 韓司.基于云存儲的數(shù)據(jù)安全共享關(guān)鍵技術(shù)研究[D]. 北京:北京郵電大學(xué),2015.

[11] 郝克成. 基于嵌入式系統(tǒng)的信息安全傳輸平臺設(shè)計[D]. 哈爾濱:哈爾濱工業(yè)大學(xué),2006.

[12] 李健,張笈.網(wǎng)絡(luò)安全傳輸平臺的安全認(rèn)證[J]. 信息網(wǎng)絡(luò)安全,2011(5):37-40.

[13] 徐胭脂.分布式系統(tǒng)數(shù)據(jù)傳輸平臺安全模塊的設(shè)計與實現(xiàn)[D]. 濟南:濟南大學(xué),2012.

[14] 袁勁松,馬旭東. 基于阻塞與非阻塞I/O網(wǎng)絡(luò)模型的Java語言實現(xiàn)[J]. 計算機系統(tǒng)應(yīng)用,2008(9):98-101.

[15] 陳軍成.基于ASN.1的通用編解碼方案的設(shè)計與實現(xiàn)[D].合肥:中國科學(xué)技術(shù)大學(xué),2009.

[16] 鄭偉光,萬宇濤,王薇.基于BER的ASN.1語法編譯器及編解碼器實現(xiàn)與應(yīng)用[J].計算機應(yīng)用與軟件,2011,28(2):195-198.

(編輯 李秀敏)

Safe Transmission System Development Based on CNC Machine Remote Monitoring Technology

ZHANG Xing-yu， HAN Qiu-shi， PENG Bao-ying

(School of Mechanic and Electric Engineering, Beijing Information Science & Technology University, Beijing 100192,China)

In order to guarantee the data transmission security of the remote monitoring system of CNC machine tools. A system is developed based on non-circular grinding CNC machine remote monitoring system,using TCP/IP network protocol and C/S hierarchy by C/C++ language VS2008 software、Oracle database under the Linus and Windows systems.It can realize the functions of the identity authentication of the monitoring sites of the machine, key agreement, key checking, the key cycle changing ,putting business data into database and encryption of transmission data.and it has the advantages of not depending on the platform,hight Real-time of encryption,good usability and strong maintainability,etc.In the end ,we conduct the experiment verification by arranging the system into Siemens 840Dsl test bench and the remote monitoring PC platform. The experimental results show that the software runs stably and expected results have been achieved.

CNC machine tools;remote monitoring;secure transport

1001-2265(2017)06-0082-04

10.13462/j.cnki.mmtamt.2017.06.021

2016-09-07；

2016-10-10

國家自然科學(xué)基金(51375056)

張興宇(1990—)，男，山東聊城人，北京信息科技大學(xué)碩士研究生，研究方向為智能化與數(shù)字化控制，(E-mail)GallantZhangYu@163.com。

TH164; TG659

A