Управление доступом к шине в Profibus

- предъявляются 2 существенных требования:

1) для надежных коммуникаций между равноправными приборами автоматизации или РС необходимо, чтобы каждый участник в течение определенного временного окна получал доступ к шине для решения своих коммуникационных задач

2) для обмена данными между сложными приборами автоматизации или РС и простой децетрализованной периферией требуется быстрый обмен данными с возможно малыми издержками протокола

- это достигается благодаря гибридно построенному управлению доступом к шине, состоящим из децентрализованного обмена маркером (токеном) между активными участниками (master-ами) и централизованного обмена: master-slave для обмена данными между активными и пассивными участниками шины Profibus

- активный участок, владеющий маркером, берет на себя в данное время функции мастера по шине, чтобы проводить коммуникации с пассивными и активными участниками. Каждому Profibus-участнику назначается однозначный адрес (из области от 0 до 126). При этом макс число участников находится на шине, не превышает 127.

- таким управлением доступом может быть реализованы след конфигурации системы

1) система master-master (обмен маркером)

2) master-slave

3) комбинация обоих методов

 

AS-Interface

- работает в основном с бинарными датчиками: датчиками наличия, положения. Используется на нижнем уровне иерархии технологического процесса

- непременный атрибут уровня – развитая система

- главное достоинство – кабельная система заменяется одним кабелем as-i

- работает по принципу master-slave

- можно передавать питание любым участника сети

- малое время реакции: ведущему устройству as-i требуется не более 5 мс для циклического обмена данными с 31 узлом сети

- на одном кабеле as-i может находиться до 124 узлов при обычной адресации, а при расширенной – до 186 исполнительных механизмов и 248 датчиков

 

Принцип действия As-i

- as-i является системой с одним ведущим устройством, которое управляет обменом данных. Это устройство опрашивает поочередно все ведомые устройства AS-i одно за другим, ожидая от каждого ответ

- на ходу менять адреса нельзя

- адрес ведомого устройства as-i –идентификатор. Адрес постоянно хранится в ведомом устройстве AS-i. При изготовлении в устройство по умолчанию записывается 0.

 

Системные ограничения

- время цикла

1) не б 5 мс – для стандартных ведомых устройств в as-i

2) не б 10 мс – для ведомых устройств с расширенным режимом адресации

- количество ведомых устройств AS-i

1) макс количество стандартных = 31

2) макс кол-во ведомых устройств с расширенной адресацией = 62

 

Token Ring

Технология Token ring

- Стандарт 802.5

- Топология кольцо

- Среда передачи данных общая, но доступ в отличие от Ethernet детерминирован

- Доступ осуществляется путем передачи станции права на исполнение кольца

- Право доступа передается с помощью специального кадра Маркера (Token)

- Сети работающие с 2-мя скоростями 4 и 16 Мбит причем оборудование должно быть однородно в одной сети допускаеиой либо 4 либо 16 Мбит

- Token ring отказоуст. технология. Кадр, посланный в сеть, всегда возвращается на передавшую его машину, что позволяет контролировать целостность среды передачи данных

- В сети присутствует активный монитор (станция с максимальным значением МАС адреса) Монитор каждые 3 секунды генерирует спец кадр. Отсутствие кадра более чем 7 секунд воспринимается остальными станциями как выход из строя монитора

Способ доступа к среде

- Право на доступ передается циклически от станции к станции

- таким образом каждая станция может обмениваться данными только с предыдущей и последующей станциями

- по сети циркулирует маркер. Каждая станция, получив маркер, захватывает его и при отсутствии данных для передачи передает дальше

- при наличии данных станция изымает маркер из кольца и выдает в сеть кадр установленного формата, который каждая станция передает дальше до станции получателя

- станция, которой предназначался кадр, копирует его в буфер, добавляет к нему подтверждение приема и посылает обратно в сеть

- станция, отправившая кадр, получив его обратно с подтверждением приема, снова формирует в сети маркер

- время владения средой ограничено временем удержания маркера 10 мс

- размер кадра не определен, есть только условие, что станция должна передать не менее одного кадра за время удержания маркера.

- при времени 10мс и скорости 4 Мбит/с размер кадра получается не более 4 кбайт при 16 Мбит/с – 16 кбайт

- в сети 16 Мбит/с алгоритм доступа несколько отличается: маркер сеть освобождает сразу, а не дожидается возвращения кадра с подтверждением приема

- существует система приоритетов (8 уровней) имеют приоритеты: кадры и маркеры

- для передачи приоритет кадра д.б. приоритета маркера

- за наличием в сети маркера отвечает активный монитор. Не получение маркера более чем 2,6 с он считает его умершим и порождает новый маркер

 

Режим приоритетов

- Используется только при команде прикладного уровня, в противном случае все станции имеют равный приоритет

- Использование механизма приоритетов нежелательно, т.к. это затрудняет совмещение с другими технологиями

- Приоритет работает следующим образом:

- Маркер имеет 2 вида битов приоритета: основные и резервные

- Если станция имеет кадр приоритета ниже чем маркер, она помещает свой приоритет в резервные биты маркера опять же если запис. в резервных битах приоритет не выше ее собственного

- станция, имеющая право на передачу, переписывает резервный приоритет в основной, а резервный обнуляет, таким образом в следующий раз передаются кадры, стоявшие в очереди с наибольшим приоритетом

 

Физический уровень

- Сеть Token ring включает в себя до 260 узлов и построена на концах многостанционного доступа

(логическое кольцо, физически звено)

- физически топология звезда, а логическое кольцо

- концентратор может быть пассивным или активным

- пассивный только формирует кольцо, не усиливая сигнал, ф-ции усилителя берут на себя сетевые адаптеры

- активный формирует кольцо и выполняет функции регенерации сигнала

- в качестве среды передачи данных используется STP, UTP от категории 3 и выше, оптоволокно

- при пассивных концентраторах максимальное расстояние между концентраторами 100 м. при активных – 730

- максимальная длинна кольца 4 м

- количество станций и максимальная длина зависит от времени оборота маркера и не ограничены технологически. При задержке 10 мс и кол-ве станций 260 время оборота 2,6 с, что составляет максимальную задержку. Если увеличить время задержки, то можно увеличить количество станций и длину

 

FDDI

- Fiber Distributed Data Interface – оптоволоконный интерфейс распределения данных

- Среда передачи – оптоволокно

- Представляет собой двойное оптоволоконное кольцо со скоростью 100 Мбит/с

- 2 оптоволоконных кольца образуют основной и резервный путь передачи данных

- каждый узел подключен к обоим кольцам (допускается подключение к одному кольцу)

- при обрыве одного из колец, два кольца объединяются в одно

- Метод доступа к среде маркерный, отличия от Token ring состоит в том, что время удержания маркера не фиксирован

 

Физический уровень

- основная среда – многомодовый оптический кабель 62,5/125 мкм

- для многомодового оптоволокна расстояние между узлами до 2 км

-для одномодового оптоволокна расстояние между узлами до 4 км

- максимальная длина кольца 100 км

- максимальное количество станций с 2-м подключениями 500

- основной недостаток – существенная стоимость оборудования, область применения сети городов и крупных корпораций при наличии высоких требований к надежности.

 

Защита информации

Общие положения

- ограничит количество людей, имеющих доступ к информации

- сконфигурировать списки доступа

- отключить на серверах все необязательные функции операционной системы

- установить систему оповещения о вторжении на сервер

- по возможности исключить исполнение скриптов Perl и подобных

- использовать систему электронных ключей

- обеспечить аутентификацию администраторов (биометрия, сканирование)

- использовать протоколы шифрования (SSL, SHTTP) при передаче конфиденциальной информации

- критически важные данные защитить криптографическими оболочками

 

Администр. защита

- один пользователь на одну станцию

- ограничение физического доступа к серверам

- не допускать использование простых паролей

- отслеживание Internet трафика

- использование внутри сети закрытых почтовых систем

 

Базовые принципы

- информационная безопасность должна обеспечивать:

- защиту от сбоев, ведущих потерь и ее конфиденциальность

- потенциальные угрозы:

- сбои оборудования, приводящие к потере данных

- сбои программного обеспечения

- потери из-за несанкционированного доступа

- ошибки операторов

- три класса видов защиты:

- средства физической защиты

- программные защиты

- административные меры

 

Комплексная защита

- пароль и идентификатор по индивидуальным параметрам

- защита от перехвата информации

- SSL – шифрование трафика транспортного уровня

- PGP – общеусловная система шифрования

 

Системы с открытым ключом

- каждая система генерирует 2 ключа, связанные между собой определенным образом, открытый ключ доступен всем и используется для шифрования. Расшифровка производится только вторым закрытым ключом

- на практике используется необратимые функции, то есть зная x мы вычисляем F(x), но не наоборот. Под необратимостью понимается не теоретическая необратимость ф-ции а практически необратимая, для обработки преобразования 2-ых требуется большой интервал времени

- требования к системам с открытым ключом

- преобразования данных должно быть необратимым и исключать дешифровку с помощью открытого ключа

- определение закрытого ключа на основе открытого должно быть невозможно

- типы необратимых преобразований

- разложение больших чисел на простые множетели

- вычисление корней алгебраических уравнений

- RSA – наиболее популярная крипто-система

- каждый пользователь выбирает 2 простых больших числа длиной не менее чем в 100 десятичных цифр

- полученные числа перемножают, что дает число n

- подбирается число e таким образом, чтобы оно было взаимно простым с числом (p-1)x(q-1). Взаимно простым называется число, которые не имеют ни одного общего делителя кроме 1

- вычисляем число d таким образом, чтобы e*d-1 нацело делилось на (p-1)*(q-1)

-составляются ключи e и n – открытый ключ, d и n – секретный

- кодирование блока информации осуществляется возведением его в степень e и умножением его на n

- декодировка – возведением в степень d и умножением на n