SIMATIC WinCC 與 S7-1200/1500 CPU 的安全訪(fǎng)問(wèn)����,通俗講就是在設備建立通信連接時(shí)加一道密碼保護�,只有組態(tài)了正確密碼的 WinCC 項目才允許讀寫(xiě)特定 CPU 中的數據�����。能防止對 CPU 未經(jīng)授權的訪(fǎng)問(wèn)����。
目前 SIMATIC WinCC 所提供的 SIMATIC S7-1200, S7-1500 驅動(dòng)僅支持以太網(wǎng)通信���。SIMATIC WinCC V7.2 以及以上版本支持與 S7-1500 CPU 進(jìn)行安全訪(fǎng)問(wèn)���。SIMATIC ?WinCC V7.3 及以上版本開(kāi)始支持與 S7-1200?進(jìn)行安全訪(fǎng)問(wèn)����。
在 S7-1200/1500 CPU 的硬件組態(tài)中���, 提供了4種訪(fǎng)問(wèn)級別�,以限制對特定功能的訪(fǎng)問(wèn)�。
簡(jiǎn)單介紹4種訪(fǎng)問(wèn)級別的功能:
1)完全訪(fǎng)問(wèn)權限(無(wú)任何保護)
允許對 CPU 以完全未受保護的狀態(tài)進(jìn)行訪(fǎng)問(wèn)����。知道此密碼的用戶(hù)可以不受限制地訪(fǎng)問(wèn) CPU�。
2)讀訪(fǎng)問(wèn)權
允許對 CPU 以受寫(xiě)保護的狀態(tài)進(jìn)行訪(fǎng)問(wèn)���。盡管知道密碼���,但是知道該密碼的用戶(hù)只能對 CPU 進(jìn)行讀取訪(fǎng)問(wèn)��。并且用戶(hù)獲得 HMI 數據訪(fǎng)問(wèn)權�。
3)HMI 訪(fǎng)問(wèn)
允許對 CPU 以受讀/寫(xiě)保護的狀態(tài)進(jìn)行訪(fǎng)問(wèn)���。獲知該密碼的用戶(hù)只獲得 HMI 數據訪(fǎng)問(wèn)權�。
4)不能訪(fǎng)問(wèn)(完全保護)
不允許訪(fǎng)問(wèn) CPU����。知道密碼的用戶(hù)��,可以根據密碼相關(guān)的保護級別進(jìn)行訪(fǎng)問(wèn)���。
以上4種訪(fǎng)問(wèn)級別����,如果 S7-1200/1500 CPU 的訪(fǎng)問(wèn)等級選擇的是完全訪(fǎng)問(wèn)權限(無(wú)任何保護)/讀訪(fǎng)問(wèn)權/ HMI 訪(fǎng)問(wèn)權限這3種�,SIMATIC WinCC 在組態(tài)通信連接時(shí)無(wú)需設置 CPU 訪(fǎng)問(wèn)密碼����。如果訪(fǎng)問(wèn)等級選擇的是不能訪(fǎng)問(wèn)(完全保護)�,則需填寫(xiě)以上3個(gè)等級中任意一個(gè)等級的密碼才可以與 S7-1200/1500?進(jìn)行握手并建立通信關(guān)系�。
SIMATIC WinCC?與 S7-1200/1500 的安全通信
連接建立完成后��,SIMATIC WinCC 與 S7-1200/1500 CPU 的通信數據還是以明文的方式呈現����,并未對交換的數據進(jìn)行加密����。
TIA Portal V17 推出的 S7-1200/1500 新固件版本支持 HMI ( HMI 為人機界面的英語(yǔ)縮寫(xiě)�,SIMATIC WinCC 也屬于 HMI )安全通信�����。此安全通信具備以下特點(diǎn):
1)機密性
即��,數據安全/無(wú)法竊取��。
2)完整性
即����,數據在傳輸過(guò)程中未發(fā)生篡改��。
3)端點(diǎn)認證
即�,端點(diǎn)通信伙伴的身份確認�。
SIMATIC WinCC與S7-1200/1500 CPU實(shí)現安全通信需滿(mǎn)足以下條件:
1)S7-1500?固件版本?V2.9 以及更高版本
2)S7-1200?固件版本?V4.5 以及更高版本
3)SIMATIC?WinCC?V7.5 SP2 UPD4 或更高版本
S7-1200/1500 和 SIMATIC WinCC 之間通過(guò)簽名證書(shū)建立信任關(guān)系(握手)�����,確保數據的真實(shí)性和完整性���;使用 TLS 協(xié)議加密通信數據(數據交換)���,確保數據的機密性�。
TLS (傳輸層安全性協(xié)議?��,英文Transport Layer Security)是 SSL 協(xié)議的后繼協(xié)議�,在網(wǎng)絡(luò ) ISO 模型中處于會(huì )話(huà)層�����。TLS 最初是為了給 HTTP 協(xié)議加密使用��,現在 HMI 安全通信的應用層協(xié)議也是使用的 TLS����。
HMI 安全通信組態(tài)非常簡(jiǎn)單����,首先需要在 PLC 程序中選擇由 TIA Portal 或者第三方機構生成的證書(shū)�����,然后借助工具把證書(shū)導入 SIMATIC WinCC 項目中�����,以及下載 PLC 程序�。
在 PLC 程序選擇證書(shū)的界面�����,會(huì )顯示“僅支持 PG/PC 和 HMI 安全通信”選項(此選項僅S7-1500 V2.9 及更高?/ S7-1200 V4.5 及更高版本支持)����。
此選項的含義并不是激活 HMI 安全通信功能�����,而是是否兼容 HMI 非安全通信���。因為版本低于 V7.5 SP2 UPD4 的 SIMAITC WinCC 軟件并不支持 HMI 安全通信�����,為了兼容早期的 WinCC 項目��,擁有新固件版本的 S7-1200/S7-1500 ?需要取消此選項��,才能與之通信����。下表是 SIMATIC WinCC 與 S7-1200/S7-1500 CPU 安全通信的各版本選項設置參考��。
表一 ?SIMATIC?WinCC?與 S7-1200 安全通信各版本選項設置
表二 ?SIMATIC?WinCC?與 S7-1500 安全通信各版本選項設置
上述表格列舉出建立 HMI 安全通信需要的版本以及設置信息��。在滿(mǎn)足條件的SIMATIC WinCC 項目中創(chuàng )建好通信連接�����,然后加載從 TIA Portal 項目中導出的 SCADA 數據包���,從而導入證書(shū)����。
下圖中顯示的是如何從 TIA Portal 項目中導出的 SCADA 數據包�,SCADA 數據包包含證書(shū)以及 PLC 中可訪(fǎng)問(wèn)的變量信息���。然后把 SCADA 數據包復制到需要組態(tài)或者運行 SIMAITC WinCC 項目的電腦中���。
圖 TIA?Portal?項目導出 SCADA 數據包
在 SIMATIC WinCC V7.5SP2 UPD4 以及更高版本項目中���,可以通過(guò)所創(chuàng )建的通信連接加載 SCADA 數據包���,加載時(shí)會(huì )提示證書(shū)的導入��。
SIMATIC WinCC 安全通信過(guò)程中�����,還需要注意運行 SIMATIC WinCC 項目的電腦?和 PLC 的系統時(shí)間�����,尤其是 PLC 的系統時(shí)間不能是出廠(chǎng)時(shí)間��。因為 HMI 安全通信是通過(guò)證書(shū)來(lái)建立連接�����,那么參與通信的設備�,系統時(shí)間需要在證書(shū)規定的有效時(shí)間范圍內����。