Какой протокол используют для передачи файлов в еаис
Буквально неделю назад я писал реферат по обозначенной в заголовке теме и столкнулся с тем, что, скажем так, познавательной информации в сети не так уж много. В основном сухие факты и инструкции по настройке. Поэтому я решил несколько подкорректировать текст и выложить его в качестве статьи.
Протокол определяет следующее:
Схема протокола
Взаимодействие «клиент-сервер» при FTP-соединении можно наглядно представить следующим образом:
FTP изначально не задумывался как защищенный, поскольку предназначался для связи между несколькими военными объектами и учреждениями. Но с развитием и распространением интернета опасность несанкционированного доступа возросла во много раз. Возникла необходимость защиты серверов от различного рода атак. В мае 1999 авторы RFC 2577 свели уязвимости в следующий список проблем:
- Скрытые атаки (bounce attacks)
- Спуф-атаки (spoof attacks)
- Атаки методом грубой силы (brute force attacks)
- Перехват пакетов, сниффинг (packet capture, sniffing)
- Захват портов (port stealing)
Обычный FTP не обладает возможностью передачи данных в зашифрованном виде, вследствие чего имена пользователей, пароли, команды и другая информация могут при желании легко и просто быть перехвачены злоумышленниками. Обычное решение этой проблемы — использовать «безопасные», TLS-защищённые версии уязвимых протокола (FTPS) или же другой, более защищённый протокол, вроде SFTP/SCP, предоставляемого с большинством реализаций протокола Secure Shell.
FTPS (FTP + SSL) – расширение стандартного протокола передачи файлов, добавляющее в его базовый функционал создание шифрованных сессий с помощью протокола SSL (Secure Sockets Layer — уровень защищенных сокетов). На сегодняшний день защита обеспечивается его более продвинутым аналогом TLS (Transport Layer Security — защита транспортного уровня).
Последующие данные шифруются и заверяются ключами, полученными на основе этого мастера-ключа. На втором этапе, который не является обязательным, сервер посылает запрос клиенту, а клиент подтверждает серверу свою подлинность, возвращая запрос с собственной цифровой подписью и сертификат открытого ключа.
Одним из немаловажных преимуществ SSL, является его полная программно-платформенная независимость. Протокол разработан на принципах переносимости, и идеология его построения, не зависит, от тех приложений, в составе которых он используется. Помимо этого, важно и то, что поверх протокола SSL, могут прозрачно накладываться и другие протоколы; либо для еще большего увеличения степени защиты целевых информационных потоков, либо, для адаптации криптографических способностей SSL под какую-нибудь другую, вполне определенную задачу.
Итого: как всё это используется на практике в АСУ ТП
Естественно, видовое разнообразие современных промышленных протоколов передачи данных намного больше, чем мы описали в этой статье. Некоторые привязаны к конкретному производителю, некоторые, напротив, универсальны. При разработке автоматизированных систем управления технологическим процессом (АСУ ТП) инженер выбирает оптимальные протоколы, с учетом конкретных задач и ограничений (технических и по бюджету).
Если говорить о распространенности того или иного протокола обмена, то можно привести диаграмму компании HMS Networks AB, которая иллюстрирует доли рынка различных технологий обмена в промышленных сетях.
Источник: HMS Networks AB
Как видно на диаграмме, PRONET и PROFIBUS от Siemens занимают лидирующие позиции.
В таблице ниже собраны сводные данные по описанным протоколам обмена. Некоторые параметры, например, производительность выражены абстрактными терминами: высокая /низкая. Числовые эквиваленты можно отыскать в статьях по анализу производительности.
Протокол Ethernet/IP компании Rockwell Automation
Протокол EtherNet/IP разработан при активном участии американской компании Rockwell Automation в 2000 году. Он использует стек TCP и UDP IP, и расширяет его для применения в промышленной автоматизации. Вторая часть названия, вопреки расхожему мнению, означает не Internet Protocol, а Industrial Protocol. UDP IP использует коммуникационный стек протокола CIP (Common Interface Protocol), который также используется в сетях ControlNet / DeviceNet и реализуется поверх TCP/IP.
Спецификация EtherNet/IP является общедоступной и распространяется бесплатно. Топология сети Ethernet/IP может быть произвольной и включать в себя кольцо, звезду, дерево или шину.
Для синхронизации времени в распределенных системах EtherNet/IP использует протокол CIPsync, который является расширением коммуникационного протокола CIP.
Для упрощения настройки сети EtherNet/IP большинство стандартных устройств автоматики имеют в комплекте заранее определенные конфигурационные файлы.
SSL-подключение
Предоставляемый SSL безопасный канал обладает тремя основными свойствами:
TCP/IP — Transmission Control Protocol/Internet Protocol
Это стек протоколов TCP и IP. Первый обеспечивает и контролирует надёжную передачу данных и следит за её целостностью. Второй же отвечает за маршрутизацию для отправки данных. Протокол TCP часто используется более комплексными протоколами.
Взаимодействие между клиентом и сервером
Рассмотрим происходящие при работе FTP процессы подробнее. Соединение инициализируется интерпретатором протокола пользователя. Управление обменом осуществляется по каналу управления в стандарте TELNET. Команды FTP генерируются интерпретатором протокола пользователя и передаются на сервер. Ответы сервера отправляются пользователю также по каналу управления. В общем случае пользователь имеет возможность установить контакт с интерпретатором протокола сервера и отличными от интерпретатора пользователя средствами.
Основная особенность FTP в том, что он использует двойное подключение. Одно из них используется для передачи команд серверу и происходит по умолчанию через TCP-порт 21, который может быть изменён. Управляющее соединение существует все время, пока клиент общается с сервером. Канал управления должен быть открыт при передаче данных между машинами. В случае его закрытия передача данных прекращается. Через второе происходит непосредственная передача данных. Оно открывается каждый раз, когда осуществляется передача файла между клиентом и сервером. В случае, если одновременно передаётся несколько файлов, для каждого из них открывается свой канал передачи.
FTP может работать в активном или пассивном режиме, от выбора которого зависит способ установки соединения. В активном режиме клиент создаёт управляющее TCP-соединение с сервером и отправляет серверу свой IP-адрес и произвольный номер клиентского порта, после чего ждёт, пока сервер запустит TCP-соединение с этим адресом и номером порта. В случае, если клиент находится за брандмауэром и не может принять входящее TCP-соединение, может быть использован пассивный режим. В этом режиме клиент использует поток управления, чтобы послать серверу команду PASV, и затем получает от сервера его IP-адрес и номер порта, которые затем используются клиентом для открытия потока данных со своего произвольного порта.
Возможна ситуация, когда данные могут передаваться на третью машину. В этом случае пользователь организует канал управления с двумя серверами и организует прямой канал данных между ними. Команды управления идут через пользователя, а данные напрямую между серверами.
При передаче данных по сети могут быть использованы четыре представления данных:
- ASCII – используется для текста. Данные, если необходимо, до передачи конвертируются из символьного представления на хосте-отправителе в «восьмибитный ASCII», и (опять же, если необходимо) в символьное представление принимающего хоста. В частности, изменяются символы перевода строки. Как следствие, этот режим не подходит для файлов, содержащих не только обычный текст.
- Бинарный режим – устройство-отправитель посылает каждый файл байт за байтом, а получатель сохраняет поток байтов при получении. Поддержка данного режима была рекомендована для всех реализаций FTP.
- EBCDIC – используется для передачи обычного текста между хостами в кодировке EBCDIC. В остальном этот режим аналогичен ASCII-режиму.
- Локальный режим – позволяет двум компьютерам с идентичными установками посылать данные в собственном формате без конвертации в ASCII.
Передача данных может осуществляться в любом из трёх режимов:
- Поточный режим – данные посылаются в виде непрерывного потока, освобождая FTP от выполнения какой бы то ни было обработки. Вместо этого вся обработка выполняется TCP. Индикатор конца файла не нужен, за исключением разделения данных на записи.
- Блочный режим – FTP разбивает данные на несколько блоков (блок заголовка, количество байт, поле данных) и затем передаёт их TCP.
- Режим сжатия – данные сжимаются единым алгоритмом (обычно кодированием длин серий).
FTP server – это сервер, который предусматривает возможность использования протокола передачи файлов. Он обладает определенными особенностями, отличающими его от обычных веб-серверов:
- Необходима аутентификация пользователей
- Все операции производятся в рамках текущей сессии
- Возможность осуществления различных действий с файловой системой
- Применяется отдельный канал для каждого соединения
FTP client – это программа, позволяющая подключиться к удаленному серверу по FTP и также выполнять на нем необходимые действия с элементами файловой системы. Клиентом вполне может быть браузер, в адресную строку которого следует ввести адрес, представляющий собой путь до определенного каталога или файла на удаленном сервере, в соответствии с общей блок-схемой URL:
Однако же, использование веб-обозревателя в таком разрезе позволит лишь просмотреть или скачать интересующие файлы. Для того, чтобы в полной мере задействовать все плюсы FTP, в качестве клиента следует применить специализированное программное обеспечение.
FTP-аутентификация использует схему имя пользователя/пароль для предоставления доступа. Имя пользователя посылается серверу командой USER, а пароль – командой PASS. Если предоставленная клиентом информация принята сервером, то сервер отправит клиенту приглашение и начинается сессия. Пользователи могут, если сервер поддерживает эту особенность, войти в систему без предоставления учётных данных, но сервер может предоставить только ограниченный доступ для таких сессий.
Хост, обеспечивающий FTP-сервис, может предоставить анонимный доступ к FTP. Пользователи обычно входят в систему как «anonymous» (может быть регистрозависимым на некоторых FTP-серверах) в качестве имени пользователя. Хотя обычно пользователей просят прислать адрес их электронной почты вместо пароля, никакой проверки фактически не производится. Многие FTP-хосты, предоставляющие обновления программного обеспечения, поддерживают анонимный доступ.
Открытые промышленные сети и стандарты PROFIBUS/NET компании Siemens
Немецкий концерн Siemens давно известен своими программируемыми логическими контроллерами (ПЛК), которые используется по всему миру.
Обмен данными между узлами автоматизированной системы под управлением оборудования Siemens реализуется как по полевой шине, которая называется PROFIBUS, так и в промышленной сети PROFINET.
Шина PROFIBUS использует специальный двужильный кабель с разъемами DB-9. У Siemens он фиолетовый, но мы на практике встречали и другие :). Для связи нескольких узлов разъем может соединять два кабеля. Также в нем есть переключатель для терминального резистора. Терминальный резистор должен быть включен на концевых устройствах сети, таким образом сообщается, что это первое или последнее устройство, а после него уже ничего нет, только мрак и пустота (все rs485 так работают). Если на промежуточном разъеме включить резистор, то следующий за ним участок будет отключен.
Кабель PROFIBUS с соединительными разъемами. Источник: VIPA ControlsAmerica
В сети PROFINET используется аналог витой пары, как правило, с разъемами RJ-45, кабель окрашен в зеленый цвет. Если топология PROFIBUS —шина, то топология сети PROFINET может представлять собой что угодно: хоть кольцо, хоть звезду, хоть дерево, хоть все вместе взятое.
Существуют несколько протоколов обмена по шине PROFIBUS и в сети PROFINET.
- PROFIBUS DP — реализация этого протокола подразумевает связь с удаленными подчиненными устройствами, в случае с PROFINET этому протоколу соответствует протокол PROFINET IO.
- PROFIBUS PA — является по сути тем же PROFIBUS DP, только используется для взрывобезопасных исполнений передачи данных и питания (аналог PROFIBUS DP с другими физическими свойствами). Для PROFINET взрывобезопасного протокола по аналогии с PROFIBUS пока не существует.
- PROFIBUS FMS — предназначен для обмена данными с системами других производителей, которые не могут использовать PROFIBUS DP. Аналогом PROFIBUS FMS в сети PROFINET является протокол PROFINET CBA.
Протокол PROFINET IO делится на несколько классов:
- PROFINET NRT (без реального времени) — используется в приложениях, где временные параметры не критичны. В нем используется протокол передачи данных Ethernet TCP/IP, а также UDP/IP.
- PROFINET RT (реальное время) — тут обмен данными ввода/вывода реализован с помощью фреймов Ethernet, но диагностические данные и данные связи все еще передаются через UDP/IP.
- PROFINET IRT (изохронное реальное время) — этот протокол был разработан специально для приложений управления движением и включает в себя изохронную фазу передачи данных.
Что касается реализации протокола жесткого реального времени PROFINET IRT, то для коммуникаций с удаленными устройствами в нем выделяют два канала обмена: изохронный и асинхронный. Изохронный канал с фиксированной по времени длиной цикла обмена использует тактовую синхронизацию и передает критичные ко времени данные, для передачи используются телеграммы второго уровня. Длительность передачи в изохронном канале не превышает 1 миллисекунду.
В асинхронном канале передаются так называемые real-time-данные, которые тоже адресуются посредством MAC-адреса. Дополнительно передается различная диагностическая и вспомогательная информация уже поверх TCP/IP. Ни real-time-данные, ни тем более другая информация, разумеется, не может прерывать изохронный цикл.
Расширенный набор функций PROFINET IO нужен далеко не для каждой системы промышленной автоматики, поэтому этот протокол масштабируют под конкретный проект, с учетом классов соответствия или классов применения (conformance classes): СС-A, CC-B, CC-CC. Классы соответствия позволяют выбрать полевые устройства и магистральные компоненты с минимально необходимой функциональностью.
Источник: PROFINET university lesson
Второй протокол обмена в сети PROFINET — PROFINET CBA — служит для организации промышленной связи между оборудованием различных производителей. Основной производственной единицей в системах СВА является некая сущность, которая называется компонентом. Этот компонент обычно представляет собой совокупность механической, электрической и электронной части устройства или установки, а также соответствующее прикладное программное обеспечение. Для каждого компонента выбирается программный модуль, который содержит полное описание интерфейса данного компонента по требованиям стандарта PROFINET. После чего эти программные модули используются для обмена данными с устройствами.
Secure Shell
Разработкой протокола занималась одна из групп IETF под названием Secsh. Рабочая документация к новому протоколу SFTP не стала официальным стандартом, однако начала активно применяться для разработки приложений. В дальнейшем было выпущено шесть версий протокола. Однако, постепенное наращивание в нём функциональности привело к тому, что 14 августа 2006 года было принято решение о прекращении работы над развитием протокола в связи с выполнением основной задачи проекта (разработка SSH) и отсутствием достаточного экспертного уровня для перехода к разработке полноценного протокола удалённой файловой системы.
SSH – это сетевой протокол, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.
SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол. Таким образом, можно не только удалённо работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удалённого запуска клиентов X WindowSystem.
Первая версия протокола, SSH-1, была разработана в 1995 году исследователем Тату Улёненом из Технологического университета Хельсинки (Финляндия). SSH-1 был написан для обеспечения большей конфиденциальности, чем протоколы rlogin, telnet и rsh. В 1996 году была разработана более безопасная версия протокола, SSH-2, несовместимая с SSH-1. Протокол приобрел ещё большую популярность, и к 2000 году у него было около двух миллионов пользователей. В настоящее время под термином «SSH» обычно подразумевается именно SSH-2, т.к. первая версия протокола ввиду существенных недостатков сейчас практически не применяется. В 2006 году протокол был утвержден рабочей группой IETF в качестве Интернет-стандарта.
Распространены две реализации SSH: частная коммерческая и бесплатная свободная. Свободная реализация называется OpenSSH. К 2006 году 80 % компьютеров сети Интернет использовало именно OpenSSH. Частная реализация разрабатывается организацией SSH Communications Security, которая является стопроцентным подразделением корпорации Tectia, она бесплатна для некоммерческого использования. Эти реализации содержат практически одинаковый набор команд.
Протокол SSH-2, в отличие от протокола telnet, устойчив к атакам прослушивания трафика («снифинг»), но неустойчив к атакам «человек посередине». Протокол SSH-2 также устойчив к атакам путем присоединения посредине (англ. sessionhijacking), так как невозможно включиться в уже установленную сессию или перехватить её.
Для предотвращения атак «человек посередине» при подключении к хосту, ключ которого ещё не известен клиенту, клиентское ПО показывает пользователю «слепок ключа» (англ. keyfingerprint). Рекомендуется тщательно проверять показываемый клиентским ПО «слепок ключа» со слепком ключа сервера, желательно полученным по надёжным каналам связи или лично.
Поддержка SSH реализована во всех UNIX-подобных системах, и на большинстве из них в числе стандартных утилит присутствуют клиент и сервер ssh. Существует множество реализаций SSH-клиентов и для не-UNIX ОС. Большую популярность протокол получил после широкого развития анализаторов трафика и способов нарушения работы локальных сетей, как альтернативное небезопасному протоколу Telnet решение для управления важными узлами.
Реализация протокола FBUS в компании Fastwel
Долго думали, включать ли в этот список российскую компанию Fastwel с ее отечественной реализацией промышленного протокола FBUS, но потом все же решились написать пару абзацев для лучшего понимания реалий импортозамещения.
Существует две физические реализации FBUS. Одна из них — это шина, в которой протокол FBUS работает поверх стандарта RS485. Кроме этого есть реализация FBUS в промышленной сети Ethernet.
FBUS сложно назвать быстродействующим протоколом, время ответа сильно зависит от количества модулей ввода-вывода на шине и от параметров обмена, обычно оно колеблется в пределах 0,5—10 миллисекунд. Один подчиненный узел FBUS может содержать только 64 модуля ввода-вывода. Для полевой шины длина кабеля не может превышать 1 метр, поэтому о распределенных системах речь не идет. Вернее идет, но только при использовании промышленной сети FBUS поверх TCP/IP, что означает увеличение времени опроса в несколько раз. Для подключения модулей могут использоваться удлинители шины, что позволяет удобно расположить модули в шкафу автоматики.
Контроллер Fastwel с подключенными модулями ввода-вывода. Источник: Control Engineering Россия
Сравнение с FTPS
Главное, что отличает SFTP от стандартного FTP и FTPS, это то, что SFTP шифрует абсолютно все команды, имена пользователей, пароли и другую конфиденциальную информацию.
Оба протокола FTPS и SFTP используют сочетание асимметричных алгоритмов (RSA, DSA), симметричных алгоритмов (DES/3DES, AES, Twhofish т.д.), а также алгоритм обмена ключами. Для аутентификации FTPS (или, если быть более точным, SSL / TLS по протоколу FTP) использует сертификаты X.509, в то время как SFTP (SSH протокол) использует SSH ключи.
Сертификаты X.509 включает в себя открытый ключ и некоторую информацию о сертификате владельца. Эта информация позволяет, с другой стороны, проверить целостность самого сертификата, подлинность и владельца свидетельства. Сертификатов X.509 имеет соответствующий закрытый ключ, который обычно хранится отдельно от сертификата по соображениям безопасности.
SSH ключ содержит только открытый ключ (соответствующий закрытый ключ хранится отдельно). В нем не содержится никакой информации о владельце ключа. Некоторые SSH реализации используют сертификаты X.509 для аутентификации, но на самом деле они не проверяют всю цепочку сертификатов — только открытый ключ используется (что делает такую проверку подлинности неполной).
Протокол FTP, несомненно, до сих пор играет важную роль в вопросе хранения и распространения информации в сети несмотря на свой почтенный возраст. Это удобный, многофункциональный и стандартизированный протокол. На его базе построено множество файловых архивов, без которых техническая работа была бы не столь эффективна. Кроме того, он лёгок в настройке, а программы-серверы и клиенты существуют практически для всех актуальных и не очень платформ.
В свою очередь его защищённые версии решают проблему конфиденциальности хранимых и передаваемых данных в современном мире. Оба новых протокола имеют свои плюсы и минусы и выполняют немного разные роли. В тех областях, где необходим именно файловый архив предпочтительнее использовать FTPS, особенно если раньше там уже использовался классический FTP. SFTP менее распространён в силу своей несовместимости со старым протоколом, но более защищён и имеет больший функционал, так как является частью системы удалённого управления.
Программное обеспечение для организации обмена данными между компонентами ЕАИС строится с использованием стандартных протоколов:
для передачи данных в глобальных сетях — TCP/IP;
для передачи данных в существующих локальных сетях — SPX/IPX;
для передачи данных во вновь разрабатываемых локальных сетях — TCP/IP;
для доступа к базам данных приложений, разработанных с использованием средств проектирования и программирования Oracle — сетевые продукты Oracle SQL*Net.
FTP — File Transfer Protocol
Протокол передачи файлов. Его использовали ещё в 1971 году — задолго до появления протокола IP. На текущий момент этим протоколом пользуются при удалённом доступе к хостингам. FTP является надёжным протоколом, поэтому гарантирует передачу данных.
Этот протокол работает по принципу клиент-серверной архитектуры. Пользователь проходит аутентификацию (хотя в отдельных случаях может подключаться анонимно) и получает доступ к файловой системе сервера.
Это не только система доменных имён (Domain Name System), но и протокол, без которого эта система не смогла бы работать. Он позволяет клиентским компьютерам запрашивать у DNS-сервера IP-адрес какого-либо сайта, а также помогает обмениваться базами данных между серверами DNS. В работе этого протокола также используются TCP и UDP.
Стандарт промышленной сети EtherCAT, разработка компании Beckhoff
Протокол и промышленная сеть EtherCAT — это, пожалуй, один из самых быстродействующих на сегодня способов передачи данных в системах автоматики. Сеть EtherCAT успешно используется в распределенных системах автоматизации, где взаимодействующие узлы разнесены на большое расстояние.
Протокол EtherCAT использует стандартные Ethernet-фреймы для передачи своих телеграмм, поэтому сохраняется совместимость с любым стандартным Ethernet-оборудованием и, по сути, прием и передача данных могут быть организованы на любом Ethernet-контроллере, при наличии соответствующего программного обеспечения.
Спецификация протокола открыта и доступна, но только в рамках ассоциации разработки — EtherCAT Technology Group.
Вот, как работает EtherCAT (зрелище завораживает, как игра Zuma Inca):
Высокая скорость обмена в этом протоколе —а речь может идти о единицах микросекунд— реализована благодаря тому, что разработчики отказались от обмена с помощью телеграмм, посылаемых непосредственно конкретному устройству. Вместо этого в сеть EtherCAT направляется одна телеграмма, адресованная всем устройствам одновременно, каждый из подчиненных узлов сбора и передачи информации (их еще часто называют УСО — устройство связи с объектом) забирает из нее «на лету» те данные, которые предназначались ему, и вставляет в телеграмму данные, который он готов предоставить для обмена. После этого телеграмма отправляется следующему подчиненному узлу, где происходит та же операция. Пройдя все УСО, телеграмма возвращается главному контроллеру, который на основе полученных от подчиненных устройств данных, реализует логику управления, опять же взаимодействуя посредством телеграммы с подчиненными узлами, которые выдают управляющий сигнал на оборудование.
Сеть EtherCAT может иметь любую топологию, но по сути это всегда будет кольцо — из-за использования полнодуплексного режима и двух разъемов Ethernet. Таким образом, телеграмма всегда будет передаваться последовательно каждому устройству на шине.
Кстати, спецификация EtherCAT не содержит ограничений физического уровня 100Base-TX, поэтому реализация протокола возможна на основе гигабитных и оптических линий.
Особенности FTPS
Существуют две реализации FTPS, использующие различные методы предоставления безопасности:
- Неявный метод предполагает использование стандартного протокола SSL с установлением сессии перед отправкой данных, что, в свою очередь, нарушает совместимость с обычным FTP клиентами и серверами. Для обратной совместимости с клиентами, которые не поддерживают FTPS, для контрольного соединения используется TCP-порт 990, а для передачи данных — 989. Это позволяет сохранить стандартный порт 21 для протокола FTP. Данный метод признан устаревшим.
- Явный – намного более удобен, так как использует команды стандартного FTP, но при ответе шифрует данные, что позволяет использовать одно и тоже управляющее соединение как для FTP, так и для FTPS. Клиент должен явно запросить защищенную передачу данных у сервера, а после утвердить способ шифрования. Если клиент не запросит защищенную передачу, FTPS сервер вправе как сохранить, так и закрыть незащищенное соединение. Механизм согласования идентификации и защиты данных был добавлен под RFC 2228 который включает в себя новую FTP команду AUTH. Хотя этот стандарт не определяет явно механизмы защиты, он определяет, что защищенное соединение должен инициировать клиент с помощью описанного выше алгоритма. Если защищенные соединения не поддерживаются сервером, должен быть возвращен код ошибки 504. FTPS клиенты могут получить информацию о поддерживаемых сервером протоколах защиты при помощи команды FEAT, тем не менее сервер не обязан разглашать то, какие уровни безопасности он поддерживает. Наиболее распространены FTPS команды AUTH TLS и AUTH SSL, обеспечивающие защиту TLS и SSL соответственно.
SFTP (Secure File Transfer Protocol) – протокол прикладного уровня передачи файлов, работающий поверх безопасного канала. Не следует путать с (Simple File Transfer Protocol), имеющим такую же аббревиатуру. Если FTPS является просто расширением FTP, то SFTP это отдельный и никак не связанный с ним протокол, который в качестве основы использует SSH (Secure Shell – безопасная оболочка).
Связь с использованием SSH
Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи производит аутентификацию, после чего начинает обслуживание клиента. Клиент используется для входа на удалённую машину и выполнения команд.
UDP — User Datagram Protocol
Протокол, обеспечивающий передачу данных без предварительного создания соединения между ними. Этот протокол является ненадёжным. В нём пакеты могут не только не дойти, но и прийти не по порядку или вовсе продублироваться.
Основное преимущество UDP протокола заключается в скорости доставки данных. Именно поэтому чувствительные к сетевым задержкам приложения часто используют этот тип передачи данных.
SSH — Secure SHell
Протокол для удалённого управления операционной системой с использованием TCP. В SSH шифруется весь трафик, причём с возможностью выбора алгоритма шифрования. В основном это нужно для передачи паролей и другой важной информации.
Также SSH позволяет обрабатывать любые другие протоколы передачи. Это значит, что кроме удалённого управления компьютером, через протокол можно пропускать любые файлы или даже аудио/видео поток.
SSH часто применяется при работе с хостингами, когда клиент может удалённо подключиться к серверу и работать уже оттуда.
В прошлой публикации мы рассказали о том, как работают шины и протоколы в промышленной автоматизации. В этот раз сфокусируемся на современных рабочих решениях: посмотрим, какие протоколы используются в системах по всему миру. Рассмотрим технологии немецких компаний Beckhoff и Siemens, австрийской B&R, американской Rockwell Automation и русской Fastwel. А также изучим универсальные решения, которые не привязаны к конкретному производителю, такие как EtherCAT и CAN.
В конце статьи будет сравнительная таблица с характеристиками протоколов EtherCAT, POWERLINK, PROFINET, EtherNet/IP и ModbusTCP.
Мы не включали в обзор протоколы PRP, HSR, OPC UA и другие, т.к. по ним на Хабре уже есть отличные статьи наших коллег-инженеров, которые занимаются разработкой систем промавтоматики. Например, «Протоколы «бесшовного» резервирования PRP и HSR» и «Шлюзы промышленных протоколов обмена на Linux. Собери сам».
Для начала определим терминологию: Industrial Ethernet = промышленная сеть, Fieldbus = полевая шина. В российской промышленной автоматике случается путаница в терминах, касающихся полевой шины и промышленной сети нижнего уровня. Часто эти термины объединяются в единое расплывчатое понятие «нижний уровень», который именуется и полевой шиной, и шиной нижнего уровня, хотя это может быть и не шина вовсе.
Такая путаница, скорее всего связана с тем, что во многих современных контроллерах соединение модулей ввода-вывода часто реализуется с помощью объединительной панели (англ. backplane) или физической шины. То есть используются некие шинные контакты и соединители, чтобы объединить несколько модулей в единый узел. Но такие узлы, в свою очередь, могут быть соединены между собой как промышленной сетью, так и полевой шиной. В западной терминологии есть четкое разделение: сеть — это сеть, шина — это шина. Первое обозначается термином Industrial Ethernet, второе — Fieldbus. В статье для этих понятий предлагается использоваться термин «промышленная сеть» и термин «полевая шина» соответственно.
Протокол Ethernet POWERLINK компании B&R
Протокол Powerlink разработан австрийской компанией B&R в начале 2000-х. Это еще одна реализация протокола реального времени поверх стандарта Ethernet. Спецификация протокола доступна и распространяется свободно.
В технологии Powerlink применяется механизм так называемого смешанного опроса, когда всё взаимодействие между устройствами делится на несколько фаз. Особо критичные данные передаются в изохронной фазе обмена, для которой настраивается требуемое время отклика, остальные данные, будут переданы по мере возможности в асинхронной фазе.
Изначально протокол был реализован поверх физического уровня 100Base-TX, но позже была разработана и гигабитная реализация.
Схематическое представление сети Ethernet POWERLINK с несколькими узлами.
В изохронной фазе опрашивающий контроллер последовательно посылает запрос каждому узлу, от которого необходимо получить критичные данные.
Изохронная фаза выполняется, как уже было сказано, с настраиваемым временем цикла. В асинхронной фазе обмена используется стек протокола IP, контроллер запрашивает некритичные данные у всех узлов, которые посылают ответ по мере получения доступа к передаче в сеть. Соотношение времени между изохронной и асинхронной фазами можно настроить вручную.
IP — Internet Protocol
Протокол передачи, который первым объединил отдельные компьютеры в единую сеть. Самый примитивный в этом списке. Он является ненадёжным, т. е. не подтверждает доставку пакетов получателю и не контролирует целостность данных. По протоколу IP передача данных осуществляется без установки соединения.
Основная задача этого протокола — маршрутизация датаграмм, т. е. определение пути следования данных по узлам сети.
Популярная версия на текущий момент — IPv4 с 32-битными адресами. Это значит, что в интернете могут хранится 4.29 млрд адресов IPv4. Число большое, но не бесконечное. Поэтому существует версия IPv6, которая поможет решить проблему переполнения адресов, ведь уникальных IPv6 будет 2 ^ 128 адресов (число с 38 знаками).
NTP — Network Time Protocol
Не все протоколы передачи нужны для обмена классического вида информацией. NTP — протокол для синхронизации локальных часов устройства со временем в сети. Он использует алгоритм Марзулло. Благодаря нему протокол выбирает более точный источник времени. NTP работает поверх UDP — поэтому ему удаётся достигать большой скорости передачи данных. Протокол достаточно устойчив к изменениям задержек в сети.
Последняя версия NTPv4 способна достигать точности 10мс в интернете и до 0,2мс в локальных сетях.
Режимы обработки данных в еаис
Рассмотренные варианты технического обеспечения ЕАИС позволяют оценить современные возможности построения автоматизированных информационных систем. В связи с возрастанием сложности задач и структур ЕАИС на особое место выдвигается проблема организации процесса обработки данных в таких системах, поскольку в различных элементах и подсистемах ЕАИС одновременно идет решение многих задач и эти задачи могут быть связаны между собой своими результатами. Это достигается организацией соответствующих режимов обработки данных в ЕАИС.
Режим обработки данных представляет собой способ решения задач в ЕАИС, характеризующийся порядком распределения ресурсов (времени занятия процессоров, общей памяти, устройств ввода/вывода и др.) системы между отдельными задачами.
Различают следующие основные режимы обработки данных:
4) обработки в реальном масштабе времени;
Каждый из этих режимов находит свое применение при решении задач в ЕАИС.
Карпова Т. Базы данных: модели, разработка, реализация. – СПб.: Питер, 2001.- 304 с.
Матвеев Л.А. Компьютерная поддержка решений: Учебник. – СПб: Специальная литература, 1998. – 472 с.
Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы.- СПб: Питер, 2001. – 672 с.
Проектирование экономических информационных систем: Учебник / Г.Н.Смирнова, А.А. Сорокин, Ю.Ф.Тельнов; Под ред. Ю.Ф.Тельнова. – М.: Финансы и статистика, 2001. – 512 с.
Системный анализ в управлении. Учеб. пособие / В.С.Анфилатов, А.А.Емельянов, А.А. Кукушкин; Под ред. А.А.Емельянова. – М.: Финансы и статистика, 2005. – 368 с.
Бобков В.Б. Формирование информационной системы управления таможенной деятельностью (Материалы диссертации). Спб, Спб филиал РТА, 2004.
Фетисов В.А. Основы информационных таможенных технологий. /Учебное пособие. СПБ.,СПб филиал РТА, 1999.
Основы таможенного дела: Учеб. пособие. Вып.7. Единая автоматизированная информационная система таможенных органов России. – М.: РИО РТА, 1995.
Основы таможенного дела: Учеб. пособие. В 3 т. /Под ред. А.А.Литовченко, А.Д.Смирнова. – М.: РИО РТА, 2005. С.112-278 (Рекомендовано Комиссией ФТС РФ в качестве учебного пособия для слушателей курсов профессиональной подготовки).
Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.
Техническое: Исходя из основных принципов построения комплекса технических средств в ЕАИС определяются требования к его структуре, номенклатуре и количеству технических средств сбора, передачи, представления и обработки информации. Техническое обеспечение ЕАИС строится по иерархическому принципу. На верхнем уровне системы таможенных органов России находится ГНИВЦ. Комплекс его технических средств включает центральные ЭВМ и интеллектуальные терминалы, объединенные в единую вычислительную сеть, а также локальные вычислительные сети (ЛВС) некоторых функциональных управлений ФТС России и технологическую ЛВС ГНИВЦ. В соответствии с этими Требованиями среди средств вычислительной техники выделяют: рабочие станции, серверы и периферийные устройства. Все это оборудование должно быть предназначено для работы в сети электропитания 220В±20 В, 50Гц±1 Гц; при температуре от +10°С до +30°С; влажности воздуха 20ч80 %
без конденсации; концентрация пыли не более 0,4 г/м3.
Для средств вычислительной техники должно быть представлено документальное подтверждение производителя или уполномоченной им организации о совместимости
аппаратного обеспечения с установленными операционными сис-мами:
· для серверов баз данных – Microsoft Windows 2000 Server (и выше);
· для почтовых серверов – Novell NetWare 5.1 (и выше);
· для серверов приложений – Microsoft Windows 2000 (и выше);
· для рабочих станций администратора, технологических, офисных, мультимедийных и портативных рабочих станций – Microsoft Windows 2000 (и выше).
Требования к серверам
По функциональному назначению выделяют серверы баз данных, приложений и почтовые серверы.
Серверы баз данных разделяются на три типа:
для регионального таможенного управления,
для таможенного поста.
Они предназначены для хранения и работы с информацией, используемой в технологических процессах. Серверы приложений позволяют хранить и работать с прикладными программами пользователей сети (также могут быть трех типов),
Требования к рабочим станциям
По функциональному назначению и конструктивному исполнению рабочие станции разделяют на следующие типы:
· рабочие станции администратора баз данных и локальной вычислительной сети (предназначены для контроля и распределения ресурсов систем управления базами данных и локальных вычислительных сетей);
· технологические рабочие станции (для пользователей, непосредственно занятых в технологической цепи обработки там-ой информации);
· офисные рабочие станции (для пользователей, работающих с офисными программами и не занятых в технологической цепи обработки там-ой информации);
· мультимедийные рабочие станции (для установки в подразделениях, связанных с обработкой и контролем аудио-видеоинформации, обеспечения видеоконференций, подготовкой графической информации);
· портативные персональные компьютеры – ноутбуки (для пользователей, занимающихся оперативной или инспекционной деятельностью, периодически находящихся в командировках, а также выполняющих работы по наладке вычислительных сетей);
· Windows-терминалы (функционируют под управлением операционной системы Windows, подключаются к серверу и предназначены только для ввода/вывода и отображения информации).
Инф-ное обеспечение ЕАИС: Инф-ное обеспечение ЕАИС – совокупность системы классификации и кодирования, системы показателей, унифицированных систем там-ой документации и файлов баз данных. С позиций управления, инф-ное обеспечение, с одной стороны, представляет собой совокупность информационных систем управления и коммуникационной системы (различного уровня) по сбору, переработке и передаче информации об объектах, с другой – совокупность методов и средств по размещению и организации информации, наличие нормативно-правовой базы – с третьей стороны и специально подготовленный персонал – с четвертой.
ЕАИС обеспечивает интеграцию всех объединяемых системой компонентов на основе их инф-ной совместимости по содержанию (единство понятий, терминов, определений), сис-мам классификации и кодирования, форматам данных, способам и формам представления данных общего пользования, методам агрегирования (организации) информации. В составе инф-ного обеспечения ЕАИС разработаны внемашинная и внутримашинная информационные базы.
Организация и структура информационных объектов имеет следующие основные недостатки:
· формализация таможенных документов («документарный подход к формализации») для выделения информационных объектов приводит к неустойчивости их структуры к изменениям в таможенных процессах и законодательстве и снижению достоверности оперативной и статистической отчетности;
· высокая степень дублирования информации приводит к резкому увеличению числа элементов форматно-логического контроля;
· не для всех объектов проработан вопрос их уникальной там-ой идентификации.
В области управления информационными объектами имеются следующие проблемы:
· отсутствует единая интегрированная база данных, вместо нее имеется ряд баз данных, эволюционно созданных для хранения и обработки электронных копий одного или группы тесно связанных документов;
· в базах данных много дублирующейся информации, так как базы данных ориентированы на хранение документов, а не на хранение информации о предметной области;
· не завершен процесс унификации Центральной и региональных (в РТУ) баз данных;
· структура баз данных часто меняется (на каждый очередной год создается новый раздел с новой структурой), что приводит к существенным осложнениям и затратам при разработке нестандартных запросов в разных разрезах за несколько лет.
Программное: Оно представлено совокупностью программных средств и инструктивно-методических материалов и подразделяется на общесистемное и прикладное.
Программное обеспечение ЕАИС представляет собой систему программных средств, программной документации и инструктивно-методических материалов, предназначенных для функционирования ЕАИС, и обеспечивает решение ЕАИС функциональных задач.
Разработка и внедрение программного обеспечения ведется поэтапно с учетом сроков внедрения и выделенного финансирования. Его создание базируется на принципах построения распределенных систем обработки данных, функционирующих в вычислительных сетях.
Программное обеспечение ЕАИС включает: общесистемное программное обеспечение и прикладное программное обеспечение.
На сегодняшний день в ЕАИС ФТС России существуют следующие методы взаимодействия прикладных процессов:
1. Метод «ручной передачи файлов» –Данные передаются посредством дискет или передачи пакетами по канал ВИТС ФТС России. Объемы передаваемой таким образом информации весьма невелики, и процесс организации и контроля за передачей практически отсутствует. Это самый неавтоматизированный способ, требующий высокой загруженности персонала по сравнению с другими методами.
2. Метод обмена средствами техн-гии «файл-сервер» – этот метод подразумевает работу участников инф-ного обмена в единой локальной сети с использованием сетевой операционной системы.
В настоящее время в ЕАИС ФТС России используется несколько транспортных систем для передачи информации между таможенными органами:
· программы на основе протокола FTP.
Использование для передачи электронных документов программ на основе протокола FTP, с другой стороны, накладывает ограничения вследствие того, что программы FTP предназначены для загрузки файлов с Интернет-серверов и в принципе не расширяемы. В связи с этим существуют следующие ограничения на дальнейшее расширение использования протокола FTP в ЕАИС ФТС России:
· невозможность встраивания средств аутентификации и криптозащиты, сертифицированных для использования в государственных учреждениях России;
· отсутствие средств централизованного администрирования;
разветвленные транспортные сети.
Лингвистическое: в лингвистическом обеспечении ЕАИС предусмотрены:
· способы организации диалога пользователей с вычислительными средствами ЕАИС в виде меню;
· средства исправления ошибок при взаимодействии пользователей с техническими средствами.
Важнейшими показателями при выборе диалоговых языков являются:
· степень ориентации на пользователя (непрограммиста);
· развитость непроцедурного языка запросов к базам данных и к услугам вычислительной сети;
· соответствие диалоговых возможностей языка техн-гии обработки и использования информации при решении комплекса задач.
Состав языковых средств ЕАИС определяется наименьшей трудоемкостью последующего сопровождения программных средств.
Диалоговое взаимодействие с пользователем должно быть удобным с технологической точки зрения обработки информации. При создании диалоговых средств
Интернет очень большой и комплексный. Но на базовом уровне это всего лишь связь между различными компьютерами (не только персональными). Эта связь представляет из себя сетевые протоколы передачи данных — набор правил, который определяет порядок и особенности передачи информации для конкретных случаев.
Протоколов большое множество. Про основные из них рассказано далее.
Читайте также: