Aktuální vydání

celé číslo

06

2022

Vodohospodářství, energetika a využití obnovitelných zdrojů energie

IIoT, vestavné a průmyslové počítače a edge computing

celé číslo

Použití internetu v průmyslové praxi

Automa 10/2001

Ing. Otto Havle, CSc., FCC Průmyslové systémy

Použití internetu v průmyslové praxi

V předchozích částech se autor věnoval čtyřem typickým příkladům využití internetu v podniku: využití internetu jako průmyslové sběrnice, využití internetu pro přenos dat z výrobního procesu do oblasti podnikového managementu, využití internetu pro přenos dat mezi zařízeními a využití interentu jako nástroje k veřejnému přístupu k zařízení. Popisoval hardware potřebných zařízení a jejich softwarovou podporu a internetové protokoly pro použití v průmyslu.

V této části se bude autor zabývat komunikačními prostředky internetu a jejich použitím v průmyslové praxi, propojením intranetu se sítí Internet a zabezpečením dat.

Nezávislost síťové a transportní vrstvy internetu umožňuje přenášet IP datagramy v podstatě libovolným prostředím linkové a fyzické vrstvy. Pro budování internetového spojení od vysokorychlostních páteřních sítí k jednotlivým přípojkám klientů se ustálila technologie spočívající v různých kombinacích sériových synchronních rozhraní, modemů a sítí Ethernetu. Pro účely průmyslové řídicí techniky má smysl se zabývat linkovou a fyzickou vrstvou lokálního intranetu a připojením k vybranému poskytovateli internetových služeb.

1. Prostředky linkové a fyzické vrstvy intranetu

Nejčastějšími technickými prostředky linkové a fyzické vrstvy v intranetových sítích bývá síť Ethernet a různé typy synchronních a asynchronních sériových rozhraní. Specifikem průmyslových aplikací bývá přítomnost rušivých vlivů. Jejich eliminaci musíme zajistit stejně jako u kteréhokoliv jiného komunikačního prostředku.

Setkáváme se hlavně s následujícími vnějšími rušivými vlivy:

  • rušení elektromagnetickým polem, šířícím se například od frekvenčně řízených pohonů,
  • rušení rozdílovým elektrickým potenciálem mezi stanicemi, který může vznikat např. na impedanci zemních spojů,
  • pronikání rušivých napětí z nekvalitní napájecí sítě,
  • rušení atmosférickými výboji.

1.1 Ethernet

1.1.1 Ethernet s metalickým vedením
Prvním typem je průmyslový Ethernet používající metalické vedení. Kabelové rozvody má totožné s Ethernetem 10BASE-T. Jako přenosové médium používá dva splétané vodiče a jednotky se obvykle připojují konektorem RJ-45 (tzv. kostkou). Většina jednotek však má i rozhraní AUI (10BASE-5), umožňuje snadnou konverzi jak na 10BASE-T, tak na 10BASE-2 (tenký koaxiální kabel). Duplexní přípojka 10BASE-T vede do rozbočovače (hub). Řada výrobců v oblasti průmyslových komunikací dodává rozbočovače i v průmyslovém provedení se zvýšenou odolností proti vlivům prostředí.

Splétání páru vodičů má zabránit indukci rušivých napětí magnetickou složkou vnějšího rušivého elektromagnetického pole. Symetrie napěťových signálů zvyšuje odolnost proti rušivým napětím vznikajícím rozdílem potenciálů. Jen málo ethernetových rozhraní však používá galvanické oddělení. Jeho konstrukce je i pro komunikační rychlosti do 10 Mb/s značně obtížná. Odolnost proti pronikání rušivých napětí z napájecí sítě je třeba zaručit vhodnou konstrukcí jednotek určených pro průmyslové prostředí. Jednotky se vyplatí vždy chránit přepěťovou ochranou.

1.1.2 Ethernet se světlovodným vláknem
Druhým typem je průmyslový Ethernet používající světlovodné vlákno. Světlovodné vlákno se k jednotce připojuje buď převodníkem, nebo je převodník již v jednotce vestavěn a Ethernet se připojuje přímo konektorem světlovodného kabelu. Používá se zavedený standard 10BASE-F.

Použití přenosu světlovodnými vlákny podstatným způsobem zvyšuje odolnost proti elektromagnetickému rušení. Náklady na vybudování světlovodného rozvodu se na první pohled zdají být vyšší než náklady na položení metalického kabelu, ale právě nutnost vyhýbat se zdrojům rušení výstavbu metalického vedení prodražuje. Optický kabel lze bez problémů položit vedle silových a vysokonapěťových kabelů a využít tak již hotové trasy.

1.2 Synchronní a asynchronní sériová rozhraní

Asynchronní rozhraní se používají velmi často jako pomocná rozhraní pro připojení jednotek k modemům. Doménou synchronních rozhraní je dálkové spojení, např. sítěmi X25, PCM, Frame Relay. V intranetových sítích není obvyklé. Samozřejmě, zvýšení odolnosti sériové linky můžeme i zde dosáhnout konverzí na světlovodné vlákno.

1.3 Modemy

Modemem rozumíme konvertor signálů digitální linky (Ethernet, sériové rozhraní) na modulované signály schopné přenosu. V sítích internetu se nejčastěji setkáme s modemem pro připojení asynchronního sériového rozhraní na komutovanou telefonní linku – tímto způsobem se připojuje většina individuálních uživatelů do sítě Internet. Dalším často používaným modemem je radiomodem. Radiové sítě budované poskytovateli internetových služeb jsou zase nejčastějším způsobem pevného připojení.

Také sítích intranetu najdeme oba typy modemů. Pro překonání větších vzdáleností (řádově kilometrů) metalickým vedením neexistuje jiný způsob než použití analogového modemu. Jde o modemy pracující v režimu pronajaté linky. Bohužel, rychlost přenosu je omezená stejně jako u modemů pracujících na komutovaných linkách. Radiomodemy se často používají tam, kde by kladení kabelových rozvodů bylo obtížné, nákladné nebo v podstatě nemožné – např. při překonání vodního toku nebo veřejného prostranství. Modemy komunikující viditelným nebo infračerveným paprskem v otevřeném prostoru či radiomodemy extrémně malého výkonu se používají pro stanice pohybující se v omezeném prostoru – paletovací vozíky, kabiny jeřábů a podobné aplikace.

2. Propojení Internetu s intranetem

Jednotlivé stanice nebo celé intranetové sítě se se sítí Internet vždy propojují prostřednictvím poskytovatele internetových služeb, který získal toto oprávnění od mezinárodní organizace IANA. Existují dva druhy připojení, dočasné a pevné.

2.1 Dočasné připojení do sítě Internet

Dočasné připojení je charakteristické pro individuální uživatele Internetu, kteří se připojují prostřednictvím komutované telefonní linky. Dočasně připojované stanice nemají pevně přidělenou IP adresu, přiděluje jim ji server poskytovatele pouze na dobu připojení.

Na stanici, která se připojuje pouze dočasně přes komutovanou linku, není v podstatě možné instalovat servery internetových aplikací. Hlavní důvody jsou dva:

  • stanice nemá přidělenu pevnou IP adresu,
  • poskytovatel není schopen na žádost klienta vytočit číslo stanice a spojit se s ní.

Jediný možný způsob předání dat je jejich uložení u poskytovatele, odkud si je jiný klient vyzvedne. Typickým příkladem je uložení e-mailové zprávy ve schránce vytvořené na poštovním serveru poskytovatele. Podobným způsobem však lze, např. pomocí vhodného skriptu, také vyplňovat údaje ve webovských stránkách, na které se pak ostatní zájemci mohou podívat.

Obr. 1.

2.2 Pevné připojení do Internetu

Pevné připojení do Internetu vyžaduje přidělení IP adresy. Je charakteristické pro připojení intranetových sítí. Připojení se realizuje pomocí směrovače, kterému je přidělena IP adresa. Součástí směrovače bývá i firewall, program chránící intranet před neoprávněným přístupem, a proxy server, který zajišťuje filtraci a redistribuci datagramů ve vnitřní síti (obr. 1).

Pevné připojení do Internetu umožňuje provozovat na vnitřní síti serverové aplikace: webový server, server FTP. Existuje několik způsobů zviditelnění stanic na vnitřní LAN v síti Internet. Plnohodnotným způsobem je však jen přidělení internetových IP adres každé stanici.

3. Zabezpečení komunikace

Zabezpečit přístup k technologickým zařízením je stejně důležité jako zabezpečit přístup k datům. Zabezpečení má dvě stránky:

  • je třeba zabezpečit přístup k technickým prostředkům intranetu,
  • je třeba zabezpečovat předávaná data, zvláště pokud jsou předávána Internetem.

3.1 Zabezpečení proti průniku do sítě intranet

Vztah technologických zařízení na vnitřní síti intranetu k internetové síti může být dvojí:

  • zařízení komunikují lokálně a přístup z Internetu na ně je nežádoucí,
  • zařízení jsou určena pro spojení s Internetem.

V prvním případě je ochrana proti průniku stejná jako v běžné intranetové síti a jejím základem je vhodný firewall.

Ve druhém případě jde většinou o technologické stanice provozující dálkově přístupné webové servery, servery FTP nebo stanice přístupné jiným protokolem. Chceme-li zveřejňovat data ze zařízení prostřednictvím webových stránek, musíme si uvědomit, že stanice přístupné protokolu http jsou oblíbeným cílem hackerů, kteří právě přes ně pronikají dovnitř sítí LAN.

Existuje několik možných řešení ochrany. Nejjednodušší je vyčlenit pro tyto stanice tzv. demilitarizovanou zónu a instalovat další firewall, který ji oddělí od zbylého intranetu (obr. 1).

3.2 Zabezpečení předávaných dat

Na internetu existuje poměrně snadná možnost „odchytit“ předávané pakety. Nejsou-li nijak šifrovány, lze z nich vyčíst odesilatele, příjemce i samotný obsah zprávy. Nevadí to, jde-li o údaje, které zveřejňujeme například na webovských stránkách. Chránit však musíme citlivá firemní data a data, kterými ovládáme technologické stanice. Neoprávněný přístup by mohl mít za následek nejen materiální škody, ale v některých případech i škody na zdraví a životech.

Existují dva základní způsoby šifrování dat:

  • šifrování s tajným klíčem (symetrické),
  • šifrování s veřejným klíčem (asymetrické).

Symetrické, resp. konvenční šifrování je založeno na principu jednoho tajného klíče, kterým lze zprávu jak zašifrovat, tak i odšifrovat. Právě tento způsob si laik představí pod pojmem samotným pojmem „šifrování“. Existuje mnoho veřejně přístupných algoritmů pro symetrické šifrování, například Blowfish Idea, CAST, Skipjack. Některé z těchto algoritmů jsou implementovány v komerčních produktech, například Microsoft používá CAST. Také služební protokol SSL může využívat symetrické šifrování. Tyto algoritmy lze také poměrně snadno a úsporně programovat. Chceme-li svá data šifrovat sami, můžeme tak učinit ještě před jejich předáním protokolu aplikační vrstvy.

Způsob šifrování s veřejným klíčem se rozšířil právě v souvislosti s rozvojem internetu. Jeho princip je v tom, že pro každého uživatele existuje dvojice klíčů: veřejný a tajný. Veřejný klíč je všeobecně komukoliv dostupný. Tímto klíčem lze pouze zašifrovat zprávu pro určitého uživatele. Tajným klíčem lze přijaté zprávy rozšifrovat. Tajný klíč musí být velmi dobře chráněný proti ukradení.

Nesymetrické šifrovací algoritmy se ukázaly jako velmi vhodné pro struktury server-klient a staly se součástí internetových přenosových protokolů. Algoritmus je založen na jednoduché úvaze: Je snadné vynásobit dvě dlouhá ( až stomístná) prvočísla, ale je téměř nemožné součin zpět rozložit. Součin těchto prvočísel je veřejný klíč. Privátním klíčem jsou obě prvočísla, která potřebujeme pro dešifrování.

Se šifrováním souvisí i další prostředek zabezpečení – autorizace dat, nazývaná také digitální nebo elektronický podpis. Jsou to dlouhá a složitě generovaná čísla. K výpočtu těchto podpisů je zapotřebí dvojice klíčů. Privátním klíčem (ke kterému nemá přístup nikdo kromě vlastníka) lze zprávu podepsat. Důležité je, že vygenerovaný digitální podpis (jako zmíněné číslo) závisí na každém bitu podepisované zprávy. Je-li zpráva rozsáhlá a digitální podpis by byl neúměrně dlouhý, využívají se různé vzorkovací (hash) funkce, které umí vytvořit zkrácený vzorek zprávy tak, aby byl závislý na každém jejím bitu. Pak je podepsán pouze tento vzorek.

Pro nesymetrické šifrování je nejčastěji používán algoritmus RSA. Používá jej i služební protokol SSL, který může zajišťovat šifrování dat pro protokoly aplikační vrstvy. Tím vznikají zabezpečené protokoly http-S pro šifrovaný hypertext, nebo FTP-S pro šifrovaný přenos souborů.

Pro šifrovanou komunikaci poskytují specializované firmy různé vývojové prostředky. Rozšířený je například SSH Shell společnosti SSH Communications Security. Poskytuje stejné služby jako protokoly Telnet a FTP a zdá se být velmi vhodný právě pro komunikaci s technologickými zařízeními.