西门子工业CPU模块经销总代理商• 有关通信模块所支持的一致性数据Zui大数量,请参见设备手册中的相应技术规范。•有关数据一致性的更多信息,请参见 STEP 7 在线帮助中的指令说明。5.6 安全通信5.6.1 安全通信的基础知识5.6.1.1有关安全通信的实用信息在 STEP 7 (TIA Portal) V14 及更高版本和固件版本 V2.0 及更高版本的 S7-1500CPU 中,设计了大量的安全通信选项。“S7-1500 CPU”是指 S7-1500F、S7-1500T、S7-1500C 系列CPU 和 S7-1500pro CPU 和ET200SP CPU。在后续版本中,其它组件也将支持安全通信(如 OUC安全通信),详见下一部分。在 S7-1200 CPU 固件版本 V4.4 及以上版本中,还支持安全通信。要求• 支持带有 DTTCON_IP_V4_SEC 或 SDT TCON_QDN_SEC 结构的连接描述 DB 的 CPU,包括以下 CPU:–S7-1200(固件版本 V4.4 及以上版本)– S7-1500(固件版本 V2.0 及以上版本)• 也可通过以下 CP:– CP1243-1(固件版本 V3.2 及以上版本)– CP 1243-8 IRC(固件版本 V3.2 及以上版本)– CP1543‑1(固件版本 V2.0 及以上版本)– CP 1545‑1– CP 1543SP-1CP 1242-7 GPRS V2不支持安全通信。公钥基础结构 (PKI)“安全”(secure) 属性用于识别以 Public Key Infrastructure(PKI) 为基础的通信机制(例如,RFC5280 ,用于Internet X.509 Public KeyInfrastructure Certificate and Certificate RevocationListProfile)。Public Key Infrastructure (PKI)是一个可签发、发布和检查数字证书的系统。PKI 通过签发的数字证书确保计算机通信安全。如果 PKI采用非对称密钥加密机制,则可对网络中的消息进行数字签名和加密。在 STEP 7 (TIA Portal)中组态用于安全通信的组件,将使用一个非对称密钥加密机制,使用一个公钥 (Public Key) 和一个私钥 (Private Key)进行加密。并使用 TLS (Transport Layer Security)作为加密协议。TLS 是 SSL (SecureSockets Layer) 协议的后继协议。
工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。其产品范围包括西门子S7-SMART200、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各类工业自动化产品。西门子授权代理商、西门子一级代理商 西门子PLC模块代理商﹐西门子模块代理商供应全国范围:
与此同时,我们还提供。
西门子中国授权代理商——浔之漫智控技术(上海)有限公司,本公司坐落于松江工业区西部科技园,西边和全球zhuming芯片制造商台积电毗邻,
东边是松江大学城,向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等
交通主干道将松江工业区与上海市内外连接,交通十分便利。
目前,浔之漫智控技术(上海)有限公司将产品布局于中、高端自动化科技产品领域,
PLC模块S7-200、S7-1200、S7-300、S7-400、ET200分布式I/O等
HMI触摸屏、SITOP电源、6GK网络产品、ET200分布式I/O SIEMENS驱动产品MM系列变频器、G110 G120变频器、直流调速器、电线电缆、
驱动伺服产品、数控设备SIEMENS低压配电与控制产品及软起动器等
的安全通信可用于实现以下目标:• 机密性即,数据安全/窃听者无法读取。•完整性即,接收方接收到的消息与发送方发送的消息完全相同,未经更改。消息在传送过程中未经更改。•端点认证即,端点通信伙伴确实是声称为参与通信的本人。对伙伴方的身份进行检查。在过去,这些目标通常仅与 IT和计算机网络相关。但如今,包含有敏感数据的工业设备和控制系统也开始面临相同的信息安全高风险。这是因为,这些设备它们同样实现了网络互联,因而必须满足严格的数据交换安全要求。在过去,往往会采用单元保护机制,通过防火墙或VPN连接保护自动化单元安全(如,使用安全模块),而如今同样如此。但是,通过企业内部网或公共网络以加密形式将数据传送到外部计算机变得越来越重要。安全通信的通用原则无论采用何种机制,安全通信都基于Public Key Infrastructure (PKI) 理念,包含以下组成部分:• 非对称加密机制:–使用公钥或私钥对消息进行加密/解密。–验证消息和证书中的签名。发送方/认证机构通过自己的私钥对消息/证书进行签名。接收方/验证者使用发送方/认证机构的公钥对签名进行验证。•使用 X.509 证书传送和保存公钥。– X.509 证书是一种数字化签名数据,根据绑定的身份对公钥进行认证。– X.509证书中还包含有公钥使用的详细说明或使用限制。例如,证书中公钥的生效日期和过期日期。– X.509证书中还包含证书颁发方的安全相关信息。在后续的章节中,将简要介绍在 STEP 7 (TIA Portal) 中管理证书和编写secure Open UserCommunication (sOUC) 通信指令等所需的基本知识。使用 STEP 7进行安全通信:在 STEP 7 V14 及其更高版本中,提供了安全通信的组态和操作所需的 PKI。示例:• 基于 TLS(Transport Layer Security) 协议,将 Hypertext Transfer Protokoll (HTTP)转换成Hypertext Transfer Protokoll Secure (HTTPS)。由于 HTTPS 中集成了 HTTP 和TLS 协议,因此在相应的 RFC 中,又称为“HTTP over TLS”。在该浏览器中,可清楚地查看到所用的协议为HTTPS:浏览器地址栏中 URL 为“https://”,而非“http://”。在大多数浏览器中,这类的安全连接将突出显示。• 将Open User Communication 转换为 secure Open UserCommunication。这种通信方式的底层协议同样为 TLS。• 电子邮件服务提供商同样支持基于“Secure SMTP overTLS”协议进行访问,从而提高电子邮件通信的安全性。采用 OPC UA 的安全通信固件版本 V2.0 及更高版本的 S7-1500CPU 中,具有 OPC UA 服务器功能。OPC UA Security 中也涉及使用 X.509数字证书进行认证、加密以及数据完整性检查,并且同样采用 Public KeyInfrastructure(PKI)。根据应用的具体要求,端点安全可选择不同安全等级。我们将在一个单独章节中对 OPC UA 服务器功能进行介绍。PG/HMI间安全通信在 V17 及以上版本中集成有Zui新型控制器和Zui新型 HMI 设备,TIA Portal、STEP 7 和WinCC的主要组件可实现创新型 PG/PC 和 HMI 标准安全通信(简称为 PG/HMI 通信)。更多信息有关 OPC UA的更多信息,请参见“将 S7-1500 用作 OPC UA 服务器 (页 180)”部分。有关安全编程设备/HMI通信的更多信息,请参见“PG/HMI 间安全通信 (页 87)”部分 设备相关的安全功能传输层安全 (TLS)是一种广泛使用的安全协议,可提高传输数据的安全性。对于自动化系统S7-1500,TLS 用于以下基于证书的应用的安全通信:• Web服务器(HTTPS 协议框架)• 安全的开放式用户通信 (OUC),包括安全电子邮件(TMAIL_C 指令)• PG/HMI间安全通信TLS 负责对所列应用的客户端和服务器之间的通信进行身份验证和加密并保证完整性,例如CPU 的 Web 服务器和显示 CPU的诊断网页的 Web 浏览器之间的通信。OPC UA 服务器和 OPC UA 客户端应用实际上并不直接使用TLS,但使用的加密过程类似。 TLS 不断发展进步,产生了各种 TLS版本,这些版本在支持的密码套件(标准化加密方法集)和性能方面存在区别。互联网工程任务组 (IETF) 负责 TLS协议的描述。以下相关性适用:• TLS 1.3 对应于 RFC 8446 • TLS 1.2 对应于 RFC5246此外,并非每个设备都支持 RFC 中定义的所有加密方法。因此,建立连接后,客户端和服务器协商一个双方都支持的方法(Handshake) 以及要使用的参数。支持的 TLS 版本 (S7-1500)下表显示了给定 CPU 固件版本中支持的 TLS版本。CPU 固件版本 支持的 TLS 版本V3.0 TLS 1.2、TLS 1.3V2.9 TLS 1.2、TLS 1.3V2.8... V2.0 TLS 1.2创建证书时支持的加密方法和参数要为新证书生成公钥,请在 TIA Portal中设置加密方法和加密参数。这些证书参数与具体设备和所使用的应用程序相关一种可能性:在 CPU 属性中,转到“保护和安全 >证书管理器”(Protection & Security >Certificate manager)并生成新的设备证书。可以在“生成证书”(Generate Certificates) 对话框的“证书参数”(CertificateParameters) 下找到加密方法和加密参数的设置。示例:RSA 2048 代表加密密钥长度为 2048 位的非对称 RSA加密方法通过加密确保数据机密消息加密是数据安全的一项重要措施。在通信过程中,即使加密的消息被第三方截获,这些潜在的侦听者也无法访问所获取的信息。在进行消息加密时,采用了大量的数学处理机制(算法)。所有算法都通过一个“密钥”参数,对消息进行加密和解密。•算法 + 密钥 + 消息 => 密文• 密文 + 密钥 + 算法=>(明文)消息对称加密对称加密的关键在于,两个通信伙伴都采用相同的密钥对消息进行加密和解密,如下图所示:Bob使用的加密密钥与 Alice 使用的解密密钥相同。即,我们常说的双方共享一个密钥,可通过该密钥对消息进行加密和解密。$OLFH%RE① Bob 采用对称密钥对消息进行加密② Alice 采用对称密钥对加密后的消息进行解密图 5-7 对称加密该过程类似于一个公文箱,发送方和接收方使用同一把钥匙打开或锁上该公文箱。• 优势:对称加密算法(如,AES、AdvancedEncryption Algorithm)的速度较快。•缺点:如何将密钥发送给接收方,而不会落到其他人手中?此为密钥分发问题。如果截获的消息数量足够大,则可推算出所用的密钥,因此必须定期更换。如果通信伙伴比较多,则需分发的密钥数量巨大。 在非对称加密技术中使用一对密钥:一个公钥和一个私钥。与 PKI一同使用时,又称为公钥加密系统,简称 PKI 加密系统。通信伙伴(下图中的Alice)拥有一个私钥和一个公钥。公钥对所有人公开。即,任何通信伙伴都可以获得该公钥。拥有公钥的通信伙伴可对发送给 Alice的消息进行加密。即下图中的 Bob。Alice 的私钥为她自己所有而不公开,用于对发送给她的密文进行解密。 䫕ޜ⿱䫕$OLFH%RE①Alice 将其公钥提供给 Bob。无需采取防范措施即可实现该过程:只要确定采用的是 Alice 的公钥,所有人都可以发消息给Alice。② Bob 使用 Alice 的公钥对消息进行加密。③ Alice 使用私钥对 Bob 发送的密文进行解密。由于仅Alice 拥有私有且未公开,因此只有她才能对该消息进行解密。通过私钥,Alice可以对使用她所提供的公钥加密的消息进行解密,而不仅仅只是 Bob 的消息。图 5-8 非对称加密该系统与邮箱类似,所有人都可以向邮箱发送消息,但只有拥有密钥的人才能删除这些消息。•优势:使用公钥加密的消息,仅私钥拥有者才能进行解密。由于在解密时需要使用另一密钥(私钥),而且加密的消息数量庞大,因此很难推算出解密密钥。这意味着,公钥无需保持机密性,而这与对称密钥不同。另一大优点在于,公钥的发布更为方便快捷。在非对称密钥系统中,接收方将公钥发送到发送方(消息加密方)时无需建立专用的安全通道。与对称加密过程相比,密钥管理工作量相对较少。•缺点:算法复杂(如,RSA,以三位数学家 Rivest、Shamir 和 Adleman的名字的首字母命名),因此性能低于对称加密机制。实际通信中的加密过程在实际通信过程中(如,与 CPU Web服务器通信和开发式用户安全通信),通常在相关的应用层之后使用 TLS 协议。例如,应用层采用的协议为 HTTP 或SMTP,详细信息见前文所述。例如,TLS (Transport Layer Security)混合采用非对称加密和对称加密(混合加密)机制确保数据通过 Internet 进行安全传输,并支持以下子协议:• TLSHandshake Protocol,对通信伙伴进行身份验证,并在非对称加密的基础上对数据传输所需的算法和密钥进行协商• TLSRecord Protocol采用对称加密机制对用户数据加密以及进行数据交换。无论是非对称加密还是对称加密,这两种数据安全加密机制在安全性方面没有明显差异。数据安全等级取决于设置的参数,如所选密钥的长度等等。