Information Theory Coding信息论与编码（英文版）梁建武电子教案 PLC工控网通信协议解密的研究.docVIP

2．工控以太网模型分析 对工控网络系统，分为工业设备过程、逻辑控制的专用设备和对生产工作进行监控与管理的设备两级，分工的不同决定其体系的软硬件资源和运算能力与分布的不均等，而进程的客户/服务器模型能很好的适应这种现象。从技术上考虑，因网络通信完全是异步的，所以不知道何时发起一次进程通信，相互通信进程之间既不存在父子关系，又不共享内存缓冲区因此它们的通讯协议是一个黑箱。 为了简化问题，一般从特定的串口通讯开始，它们有一个共同点就是过程控制级和监控级都有RS232串口的通讯。由于不知道什么时候发起一次进程通信，故必须编制一个基于API函数的线程等候程序。一旦有通讯就能监控通讯协议的内容，先试用和过程控制级连接。将会收到其发出的通信协议。有的是传送数据的请求或部分数据内容，过一会儿重复以上内容，一般重复三次后，就会接到出错信息。和监控级联接时现象差不多。很明显它们通讯的一种应答模试，只有一方传递数据请求得到应答时才会进行正常通讯，以便传递以下的数据。 为了解决这个问题，必须保证过程控制级和中心监控级能正常通讯的情况下去捕捉它们之间互相应答的内容，然后再对内容分析、处理、确认通信的协议规则，故在软件上采用两个通信线程监控程序接收来自过程控制级和中心监控级的传送协议。在硬件上大胆提出信号分流关键技术：把过程控制级串口发送线（S）接到解密通信接收机的串口1的接收线（R）上，再把监控级的发送线（S）接到通信接收机的串口2的接收线（R）上，再把地线连起来，如图（—）所示： 图（一）通信协议硬件解密模型 3) 调试与数据分析。 启动解密程序后，就会收到过程控制级和监控级应答信号，收到的源信息用一般的编辑软件看不到（一般显示是乱码），它们的通信码很多不是可见字符的ASCII码，故要采用专用的UltraEdit 编辑软件浏览。在监控级对过程控制级发读信号时，则会接受到监控级和过程控制级的信号。通过对过程控制级的不同地址单元读不同的数据个数。表（一）为监控级读过程控制级4号单元的整数时，解密机接收的来自监控级和过程控制级的信号。 字节 信号源 0 1 2 3 4 5 6 7 8 9 10 11 来自监控级 01 00 0F 00 02 00 A2 02 04 89 00 00 来自过控级 00 01 0F 00 02 00 05 06 8A 表（一）为监控级读过程控制级信号 就不难发现监控级的协议格式： 第6字节为功能码A2为读，第7字节为读数据个数2（字节数表示），第8字节为过程控制级的所读单元地址编号4，第9字节为数据类型（89为整数）。 过程控制级返回的协议格式： 最重要的是返回数据，通过与监控对比，不难发现从第6个字节可始为返回的数据，整数是两个字节（H高位在前，L低位在后），数据的计算为256*H+L（注意有的机型最高位要屏蔽），紧跟数据后就是一个校验码。 在监控级对过程控制级发写命今时，格式类似，其第6字节功能码为AA，要发的数据附在最后。 表（二）为监控级向过程控制级0号单元写一个整数时，解密机接收的来制监控级和过程控制级的信号。表（二）的第12、13两字节为写入的整数（一个整数占两个字节），和读的格式一样。过程控制级返回的第6字节为校验码。 字节 信号源 0 1 2 3 4 5 6 7 8 9 10 11 12 13 来自监控级 01 00 0F 00 02 00 AA 02 00 89 00 00 05 06 来自过控级 00 01 0F 00 02 00 7B 表（二）为监控级向过程控制级写入信号 若在过程控制级改变PLC地址号时，不难发现前两个字节表示源和目的的机器编号（00，01）。以上只讲了一些主要的破译过程，共它细节略。 4。结论 通过以上的模型（硬件和软件）分析，对很多工控网络的通信协议都可以解密。这样根据协议就可以编制异构工控网的通信程序和工控DCS的监控程序，把不同的PLC工控网进行无缝连接；同时还可以不要厂商的监控级（一般要几十万元），对于大型的控制流程有的要好几台监控机，可想效益是可观的。在实际运用中已达到预期的实效。在自动控制领域具有较高的实用价值和应用前景。 过程控制级 中心监控级 串口1(Com1) 串口2(Com2) 解密通信接收机 串口 串口 R R R S R S S S 地 地 地