基于Modbus/TCP的無線通信網絡安全加密控制系統設計

謝躍偉

(中國航發 四川燃氣渦輪研究院，成都 610500)

0 引言

無線通信網絡是指不需借助基礎布線就可以建立通信設備互聯關系的應用網絡，由于網絡體系的復雜程度較低，所以通信數據的傳輸具有較強自由性。明文、密文是無線通信網絡中兩種最基本的數據樣本，二者響應時長之間的相對時延量決定了網絡體系對于通信數據的安全加密能力。因此，對無線通信網絡安全加密控制系統進行研究具有重要意義。

文獻[1]設計的基于MATLAB與OptiSystem的光混沌保密通信系統具有兩個時延反饋閉環，可以根據通信數據的混沌波形，確定輸入信號與輸出信號的差異性，再聯合二進制序列條件，實現對加密模板的精準定義。文獻[2]設計的多中繼物理層網絡編碼加密系統，根據通信數據的單位吞吐率，確定信息樣本的傳輸方案，由于LDPC碼、中繼映射碼取值不可能相同，所以該系統對于不同通信數據的加密標準也有所不同。然而上述兩類系統對于明文加密時長、密文響應時長之間相對時延量指標的控制能力有限，不符合安全加密無線網絡通信數據的應用需求。

Modbus是一種串行式的通信連接協議，存在于以太網、互聯網、串口組織等多個版本的網絡體系之中，與其他類型的通信協議相比，該協議的主要內容都是在物理層網絡中實現的[3]。由于互聯網組織對于通信數據傳輸行為并不設置明確要求，所以應用Modbus協議后，網絡節點更易于部署與維護，對宿主供應主機而言，本地數據字節的修改也不受到特殊限制條件的影響。TCP是基于字節流所設置的傳輸層通信協議，接受IETF主機的直接定義。該類型協議文本的應用，要求通信網絡主機必須同時關聯下級通信設備，一方面控制數據文本使其能在既定時間內傳輸至目標通信位置，另一方面也可以保障網絡信道的傳輸寬度與廣度，使得數據信息的傳輸速率水平得到大幅提升[4]。若通信網絡布局環境較為復雜，則可以建立Modbus與TCP共同配合的協議作用機制。為此，本文設計了基于Modbus/TCP的無線通信網絡安全加密控制系統。

1 無線通信網絡安全加密控制系統硬件設計

無線通信網絡安全加密控制系統的硬件由PowerPC嵌入式架構、微處理器子模塊、復位通信控制電路、宿主機與客戶機模式、數據交換區域五部分共同組成，本章節將針對相關硬件設備結構的設計方法展開深入研究。

1.1 PowerPC嵌入式架構

在無線通信網絡安全加密控制系統中，PowerPC嵌入式架構同時負載宿主機與客戶機的接入請求，既可以接收復位通信控制電路輸出的電量信號，也能夠干預數據交換區組織對信息樣本的存儲能力，因此完善架構體系連接模型，是保障無線網絡對于通信數據進行安全性加密的必要環節[5]。為適應嵌入式連接需求，Power單元、PC單元必須接受無線通信網絡主機的統一調度，特殊情況下，前者可自動暫停串口功能模塊與通信功能模塊的運行，將PCI功能模塊獨立出來，使其在處理通信數據時能夠準確分析Linux內核中信息樣本的實時寄存量，從而正確干預QEMU虛擬機中的數據加密編碼行為。PC單元內負載了SRAM、PCI Slot、Device、Net Card四類應用模塊，且它們之間保持數據互通關系，過渡單元向外輸出通信數據時，未被完全利用的信息樣本可暫時寄存于該單元組織之中，且數據樣本存儲量會隨著應用模塊的運行而不斷減少[6]。PowerPC嵌入式架構模型如圖1所示。

圖1 PowerPC嵌入式架構模型

過渡單元具有雙向數據傳輸能力，但為保證無線通信網絡中信息樣本的單向傳輸特性，要求已被分配于Power單元與PC單元中的數據參量不得進行二次傳輸。

1.2 微處理器子模塊

微處理器子模塊對安全加密指令控制行為的實現需要PWM處理器、SHAMD設備、CAN設備、UART設備的共同配合。整個子模塊單元包括EEPROM、SSI、QEI等多條數據通路。其中，EEPROM通路將CRC通信數據導流入MODULE1存儲設備中，CRC通信數據的傳輸功耗水平較低，對于微處理器子模塊而言，該類型數據樣本的存儲量越大，就表示子模塊體系的運行穩定性越強。SSI通路將AES通信數據導流入MODULE2存儲設備中，AES通信數據的初始輸出位置為Linux內核、目標傳輸位置為SRAM應用模塊，整個傳輸過程中SSI通路僅對信息參量進行整合處理，不干擾這些數據的實際傳輸行為[7-8]。QEI通路將GPIO通信數據導流入MODULE3存儲設備中，GPIO通信數據的傳輸速率較快，因此QEI通路必須具備較強的數據承載能力。微處理器子模塊的功能性布局形式如圖2所示。

圖2 微處理器子模塊的功能性框圖

SHAMD設備、CAN設備、UART設備分別對應通信數據、數據通路與數據存儲設備，在微處理器子模塊中，接受PWM處理器的統一調控，但為保證通信數據安全加密指令的順利執行，在編碼數據的過程中，信息參量的傳輸方向始終保持一致。

1.3 復位通信控制電路

復位通信控制電路將+VCC端電極與GND端電極連接在一起，可以借助L、R、C等多類型電子元件，對負載電流、負載電壓進行分配處理，在滿足頻分處理器(Q)對于電量信號的消耗需求的同時，確保Reset變壓設備不會出現跳頻通信的情況，從而使得數據樣本在無線通信網絡中能夠保持穩定且快速的傳輸狀態，具體結構如圖3所示。

圖3 復位通信控制電路結構圖

左側電量回路包括3個阻值不完全相同的感應電阻元件，通常情況下，連接于主線單元的R1電阻的阻值水平較高，數值上基本等于R2、R3電阻的阻值之和[9]。L是對通信數據極為敏感的電量感應裝置，可以根據R電阻兩端負載電壓的數值情況，調節頻分處理器中通信數據樣本的額定存儲數量，一方面可以維持整個電量回路中傳輸電流的數值穩定性，另一方面也可以避免通信數據在MPU-6050設備中大量累計。

Motor集合器可對無線通信網絡中的數據信息進行聚合處理，并能夠在Modbus/TCP可信協議的作用下，將這些數據參量再次分配給下級應用設備[10]。

1.4 宿主機與客戶機

宿主機與客戶機模式是無線通信網絡安全加密控制系統的設計基礎，由宿主機設備、客戶機設備兩部分組成。

1.4.1 宿主機

宿主機是Linux內核的外接設備，在Modbus/TCP可信協議作用下，可以保持較長時間的自主運行狀態，為適應無線通信網絡對于數據信息樣本的安全性加密處理需求，該結構運行所需電量信號全部來自復位通信控制電路。核心單元中，Network宿主設備、Moudle宿主設備保持交叉連接關系，前者負責對通信數據進行鏡像加密處理，后者則負責清空通信磁盤中暫存的數據信息參量[11]。整個單元模塊同時關聯通信網關與無線網絡IP地址，可以在Windows通信主機的作用下，設置全新的碼源模板，當DNS密碼符合碼源模板定義標準時，宿主機設備會自發建立與下級客戶機設備的通信連接關系。宿主機連接模板如圖4所示。

圖4 宿主機連接模板

1.4.2 客戶機

客戶機設備的運行模式必須與宿主機設備完全匹配，由于Modbus/TCP可信協議要求通信數據的傳輸方向必須符合一致性原則，所以實施機密處理的過程中，信息樣本的傳輸方向只能由宿主機端指向客戶機端[12]。

1.5 數據交換區

數據交換區是以宿主機與客戶機模式為基礎設置的獨立信息處理區域，接收復位通信控制電路輸出的電量信號，在無線通信網絡環境中，與微處理器子模塊保持同等級連接關系，隨著待加密數據樣本總量的增大，該區域已接入部分面積會不斷增大，但由于整個區域的可用面積有限，故而當交換區域內數據樣本的實際存儲量達到極值條件時，無線通信網絡主機對于數據信息樣本的加密處理速率也會開始不斷下降[13-14]。數據交換區的連接原理如圖5所示。

圖5 數據交換區連接原理

實施通信數據加密處理時，交換區組織的外向擴張行為遵循雙向性規則，即已接入部分在橫、縱兩個方向上同時向著外部交換區組織進行擴展，整個處理過程中，已接入部分所存儲通信數據總量不斷增大，但無線網絡主機對于這些信息參量的加密編碼原則完全遵循Modbus/TCP可信協議。

2 Modbus/TCP可信協議

加密控制系統的運行必須遵循Modbus/TCP可信協議，而對于協議內容的定義，則要在要素條件的基礎上，對通信數據的加密身份進行認證處理。

2.1 基本協議要素

基本協議要素決定了Modbus/TCP可信協議對于通信數據加密模板樣本的容納能力，設置數據交換區域體系時，只有保證基本協議要素的完整性，才能激發無線網絡主機對于通信數據樣本的安全性加密處理能力[15]。對于基本協議要素的求解，涉及對基礎構建參量的計算，具體定義如下：

(1)

式中，χ表示Modbus/TCP可信協議的完整性設置參數。

在公式(1)的基礎上，設q1、q2、…、qn表示n個不為零的通信數據編碼系數，且q1≠q2≠…≠qn的不等式條件恒成立，qmax表示全部通信數據編碼系數的最大取值結果，δ表示基于Modbus/TCP可信協議的通信數據篩選參量，α1、α2、…、αn分別表示與n個通信數據編碼系數匹配的協議文件編碼特征值，聯立上述物理量，推導Modbus/TCP可信協議的基本協議要素表達式見公式(2)。

(2)

無線通信網絡主機在加密處理數據信息參量時，要求相關數據樣本的選取必須滿足同向性原則，對于Modbus/TCP可信協議文件而言，數據樣本同向性避免了差異化信息取值結果的出現，可以在保持密鑰模板編碼穩定性的同時，對待處理信息參量進行按需定義，從而最大化縮短明文加密、密文響應的表現時長[16]。

2.2 加密身份認證

加密身份認證就是按照基本協議要素條件，求解網絡主機對于通信數據的安全性加密處理原則，設計加密控制系統時，如果通信數據的身份信息不符合認證標準，不但會導致交換區組織失去對數據信息進行妥善處理的能力，還有可能造成宿主機、客戶機模式出現混亂運行的情況[17-18]。假設e表示可信度參數，則關于參數e的可信作用條件為W(e)，若以Modbus/TCP協議作為加密編碼標準，則有：

(3)

式中，W(e)∈(-1，0)表示利用Modbus/TCP協議加密通信數據時，數據交換區運動方向與加密主機認證的正方向相反；W(e)∈(0，1]表示利用Modbus/TCP協議加密通信數據時，數據交換區運動方向與加密主機認證的正方向相同。設γ表示Modbus/TCP協議中數據信息樣本編碼參數，φmax表示加密碼源占比系數的最大取值，φmin表示加密碼源占比系數的最小取值。在上述物理量的支持下，聯立公式(2)、公式(3)，可將基于Modbus/TCP可信協議的通信數據加密身份認證表達式定義為：

(4)

由于無線通信網絡在單位時間內所能容納的數據樣本總量有限，所以安全性加密控制系統的設計，還要求認證表達式的計算取值應屬于(1，+∞)的數值區間。

3 安全加密接口設計

安全加密接口按照Modbus/TCP可信協議，對通信數據參量進行深度編碼處理，具體接口設計流程如下。

3.1 密鑰模板

密鑰模板是無線通信網絡安全加密控制系統處理數據樣本時所遵循的加密原則，對于系統接口組織而言，模板體系的開放程度固定，隨著通信數據樣本的不斷累積，碼源節點所處位置不會發生變化，系統在對其進行編碼處理時，不需額外消耗時間完成對密鑰指令的定義，故而明文加密時長、密文響應時長都能得到較好控制，二者之間的相對時延量也就不會超過預期長度數值[19-20]。模板體系的定義要求所選取的源向量必須處于同一數據交換區組織內，但又不能完全相等。如s、a是既定數據交換區內兩個不相等也不等于零的源向量，關于源向量的密鑰參數分別為ds、da，φ表示明文樣本、密文樣本之間的相互轉碼系數，聯立公式(4)，推導無線通信網絡安全加密控制系統的密鑰模板表達式為：

(5)

其中：f表示密鑰模板對于通信數據的編碼權限，ε表示數據文本編碼參量的初始取值。對于無線通信網絡安全加密控制系統而言，只有保證密鑰模板的完整性，主機元件才能實現對數據樣本的準確編碼。

3.2 通信文本移植

(6)

為保證系統主機對于通信數據樣本的處理能力，文本移植表達式的定義還需參考密鑰模板的實際求解結果。

3.3 數據擴容

(7)

(8)

如果數據擴容條件達不到控制系統的實際應用標準，無線通信網絡在加密數據樣本時可能會出現非安全性處理的情況。

4 實驗分析

為驗證設計的基于Modbus/TCP的無線通信網絡安全加密控制系統的有效性，本次實驗判斷無線網絡主機對于通信數據的安全性加密能力，在不考慮其他干擾條件的情況下，加密能力的考量可以參考明文加密時長、密文響應時長之間的相對時延量，具體實施環節選擇所設計系統、文獻[1]系統和文獻[2]系統3種方法。

4.1 網絡布局

以Windows主機作為核心數據處理器，將無線通信網絡布局作為實驗環境，無線通信網絡布局形式如圖6所示。

圖6 無線通信網絡布局形式

借助USB3.0轉4*USB3.0HUB轉換器完成對通信數據的分流處理，再以此為基礎，將ZXMP S385通信設備、TFN GM6通信設備連接起來，從而為通信數據提供一個相對穩定的傳輸空間。將WA5320型無線路由設備與Capture2S型通信穩定器串聯起來，利用Windows主機搭載的控制系統對已輸出的通信數據進行加密處理，并記錄明文加密時長、密文響應時長的具體數值結果。

完成網絡環境布局后，首先利用實驗組系統(所設計系統)對Windows主機輸出的通信數據進行加密處理，所得加密時長、密文響應時長作為實驗組變量；然后利用對照組(a)系統(文獻[1]系統)對Windows主機輸出的通信數據進行加密處理，所得加密時長、密文響應時長作為對照組(a)的實驗變量；其次利用對照組(b)系統(文獻[2]系統)再次重復上述實驗步驟，所得時長數據作為對照組(b)的實驗變量；分析所得實驗數據，總結實驗規律。

4.2 實驗結果與討論

明文加密時長、密文響應時長之間的相對時延量可以反映出無線網絡對于通信數據的安全性加密能力，在圖6所示無線通信網絡環境中，相對時延量的計算數值越小，就表示無線網絡對于通信數據的安全性加密能力越強。

實驗組、對照組明文加密時長與密文響應時長的具體實驗數值分別如圖7和圖8所示。

圖7 明文加密時長

圖8 密文響應時長

對照圖7、圖8對明文加密時長、密文響應時長之間的相對時延量進行計算，具體數值如表1所示。

根據表1可知，整個實驗過程中，實驗組明文加密時長、密文響應時長之間的相對時延量始終保持為0.1 ms；對照組(a)相對時延量的最大取值為0.4 ms、最小取值為0.1 ms，平均相對時延量為0.2 ms，高于實驗組數值；對照組(b)相對時延量的最大取值為0.4 ms、最小取值為0.1 ms，平均相對時延量為0.2 ms，也高于實驗組數值。

表1 明文加密時長與密文響應時長的相對時延量

綜合上述分析可知，文獻[1]系統和文獻[2]系統對于明文加密時長、密文響應時長之間相對時延量的控制能力有限，因此這兩類系統在安全加密通信數據方面的應用能力也就不能完全滿足實際應用需求；而所設計系統可以有效控制明文加密時長、密文響應時長之間的相對時延量，對于安全加密通信數據可以起到一定的促進性影響作用，可實現無線網絡對于通信數據的安全性加密。

5 結束語

本文設計的無線通信網絡安全加密控制系統在Modbus/TCP可信協議的基礎上，針對控制明文加密時長、密文響應時長之間相對時延量過大的問題進行改進，聯合PowerPC嵌入式架構、微處理器子模塊、復位通信控制電路等多個硬件結構，定義完整的密鑰模板，從而實現對通信文本的移植與擴容處理。所設計系統具有宿主機與客戶機連接模式，能夠在加密通信數據的同時，對其身份信息進行對應性認證，有效控制明文加密時長、密文響應時長之間的相對時延量，實現無線網絡對于通信數據的安全性加密。