摘要:采用虚拟专用网(VPN)的隧道技术和pcAnywhere远程控制软件,实现从Internet公网上对设备监控系统进行安全方便的远程维护。结合示例,介绍了该方法的具体结构和实际应用情况。
1 介绍
近年来,许多大型工业设备都配备了相应的运行状态计算机监控系统。为了确保监控系统持续可靠的运行,需要定期进行配置优化,软件升级等预防性维护,同时当其发生异常时,需要及时在现场第一时间内准确判断和解决问题,缩短故障时间,避免影响生产进度。采用基于Internet计算机网络的远程维护技术,能使监控系统的技术支持人员虽身在远方,通过信息和数据的交流,就如在现场一样了解故障情况,实现对监控系统及时的软件维护和故障解决,同时还节省了费用。目前一些具有Web功能的工控组态软件系统能部分实现远程维护的功能,但由于这些系统只有口令保护,在通过Internet公网远程访问时,数据安全性很差;构建专用网络能保证安全性,但费用太高,难以实用。这一问题严重阻碍了远程维护的实
虚拟专用网(Virtual Private Network,简称VPN)技术,能在不可信任的Internet公网上,通过综合采用隧道、加密、密钥管理、身份认证等安全技术,很好地保证双方通信的私有性和安全性。另一方面,目前大多数设备监控系统在操作级以上都普遍配有工业PC机(IPC),可在其上运行远程控制软件(如pcAnywhere等)以屏幕监视和远程控制的形式传递现场情况,执行维护命令。综合这两点,我们提出一种远程维护的新方法:基于虚拟专用网的隧道、加密等安全技术,利用远程控制软件以屏幕监视和远程控制方式,实现通过Internet公网对远方的设备监控系统进行安全的远程维护,并已成功应用于某汽轮机监控系统。本文结合这一示例,介绍该方法的具体结构和实际应用情况。
2 结构组成
虚拟专用网(VPN)的核心是隧道安全技术。所谓隧道安全技术,是通过对网络数据的封装,建立临时的逻辑隧道,即点到点的虚拟专线传输,使隧道外部的用户无法对隧道内部数据进行访问,即使通过非法途径截获,由于数据加密,也是一堆乱码。再辅助以加密、密钥管理、身份认证等安全技术,较好地解决了在不可信任的Internet公用网络上安全通信的问题,使双方就象在企业内部网中通讯一样,保证了远程维护时数据信息的安全性。同时,VPN利用已无处不在的公共主干网达到联接远程机构和个人的目的,覆盖面广,同时,双方均为本地接入方式,无须支付长话费,大大节省了建网和维护的费用。
远程控制软件是伴随计算机网络和Internet的迅速发展而兴起的,在国外的行业应用已经较为普遍。通过远程控制软件,可以实现以下功能:①屏幕监视,能将被控端的屏幕画面实时传送回主控端;②远程控制,能实现对被控端计算机的接管控制,包括修改设置,系统的重起/关机,软件的运行与终止等;③文件传输,双方文件的相互传输,升级安装补丁文件。这样,就可以如同在现场中一样进行相应的远程维护的计算机操作。目前,工控行业中应用比较广泛的是symantec公司的pcAnywhere远程控制软件,它不仅功能完善,而且支持VPN功能,可以识别正确的VPN数据报头地址,适于和VPN配合实现远程维护。
综合上述情况,我们在实施某电厂300MW机组汽轮机监控系统的项目中,结合VPN技术和pcAnywhere软件,采用如图一所示的具体结构实现经Internet公网对监控系统的远程维护。
图1 远程维护的结构组成图
图中现场监控IPC和相应的下位仪表等组成监控系统,负责监控汽轮机设备的运行工况。电厂设备监控系统管理中心,通过基于VPN的防火墙以本地DDN专线接入Internet,负责在远程维护中与异地的设备监控系统的技术支持中心进行联系,并对远程V
PN访问进行开户、销户、设置权限、远程认证等管理。同样,异地的设备监控系统的技术支持中心也通过基于VPN的防火墙以本地DDN专线接入Internet。
进行远程维护时,电厂设备监控系统管理中心(简称监控中心)首先将设备监控系统的技术支持中心(简称技术中心)设置为合法用户,允许通过远程VPN访问该设备监控系统,同时设置相应的用户权限。随后,技术中心对监控中心发起VPN呼叫,监控中心接受呼叫后建立VPN连接,远程认证服务器对技术中心的用户口令进行认证,通过认证后,在监控中心和技术中心之间建立VPN隧道,以后所有的数据通讯都会经加密在VPN隧道中传输。这时,监控中心任一计算机或者任一现场监控IPC都可运行远程控制软件pcAnywhere的被控端,技术中心则运行pcAnywhere的主控端,从而该PC机上的屏幕显示都可以经VPN隧道安全地传送到远方技术中心的计算机屏幕上,依照权限,他们即可远程控制该PC机,如同在现场中操作一样,实现对监控系统的定期维护和故障诊断和排除。根据需要,他们还可以访问相应的数据库,以便定位故障。对于本次远程维护的所
3 实际应用
在具体实施中,监控中心的软硬件应用平台必须合理构建,使之安全完善,因此应采用结合防火墙的专用硬件VPN设备,不仅安全性高,而且是专用实时操作系统,数据处理速度快,还能提供完善的包过滤等防火墙功能和路由功能以配合用户的动态IP路由,具有协议代理功能,可以满足用户的特殊需求。同样,远方技术中心也应优先采用结合防火墙的专用或辅助硬件VPN设备。由于目前不同厂商产品之间的兼容性较差,所以监控中心和远方技术中心应尽量选用同一厂商的VPN硬件产品。
该汽轮机监控系统项目中,考虑到远程维护的VPN业务量,最终都采用性价比较好的NetScreen公司的NS-25专用硬件VPN防火墙,通过本地DDN专线接入Internet。远程控制软件则采用symantec公司的pcAnywhere 9.2中文软件包。考虑到远程维护的突发性和访问的临时性,VPN构建采用远程访问虚拟网(AccessVPN)的应用模式。隧道协议中,IPSec虽体系完备,但是只支持TCP/IP协议; L2TP协议简单实用,易于加密,允许使用非IP的协议传输数据,更适合用于远程访问虚拟专用网,因此我们采用L2TP协议用于远程维护。
同时,在实际应用中还应当制定完善的网络访问和使用策略,在VPN设备和远程控制软件的设置方面,建立了多种安全机制及权限保护,确保在各个环节的数据安全。同时通过技术培训,加强了监控中心操作人员的安全意识和技能,尽量避免人为的安全隐患。
该项目运行以来,我们曾多次用它为厂方提供了安全和及时的Internet远程技术支持,利用传回的现场屏幕画面,解决了该监控系统出现的80% 以上的问题,没有出现任何数据泄露的安全事故,还节省了费用,取得了良好的应用效果。
4 结论
本文提出一种远程维护的新方法:应用VPN和pcAnywhere实现了经Internet公网对监控系统进行远程维护,既保证了数据的安全性,防止了外部非法访问,又大大节省了网络费用。同时,实用性好,可应用于在操作级有工业PC机的不同设备监控系统的Internet远程维护和故障诊断。
作者简介:
亢 洁(1973—),女,陕西潼关人,硕士,讲师,研究方向为分布式监控系统、智能控制和数字图像匹配等。Email: kangjieyg@sohu.com