SIMATIC WinCC 與 S7-1200/1500 CPU 的安全訪問�����,通俗講就是在設(shè)備建立通信連接時加一道密碼保護�,只有組態(tài)了正確密碼的 WinCC 項目才允許讀寫特定 CPU 中的數(shù)據(jù)。能防止對 CPU 未經(jīng)授權(quán)的訪問���。
目前 SIMATIC WinCC 所提供的 SIMATIC S7-1200, S7-1500 驅(qū)動僅支持以太網(wǎng)通信。SIMATIC WinCC V7.2 以及以上版本支持與 S7-1500 CPU 進行安全訪問����。SIMATIC ?WinCC V7.3 及以上版本開始支持與 S7-1200?進行安全訪問。
在 S7-1200/1500 CPU 的硬件組態(tài)中����, 提供了4種訪問級別,以限制對特定功能的訪問����。
簡單介紹4種訪問級別的功能:
1)完全訪問權(quán)限(無任何保護)
允許對 CPU 以完全未受保護的狀態(tài)進行訪問。知道此密碼的用戶可以不受限制地訪問 CPU�。
2)讀訪問權(quán)
允許對 CPU 以受寫保護的狀態(tài)進行訪問。盡管知道密碼��,但是知道該密碼的用戶只能對 CPU 進行讀取訪問���。并且用戶獲得 HMI 數(shù)據(jù)訪問權(quán)����。
3)HMI 訪問
允許對 CPU 以受讀/寫保護的狀態(tài)進行訪問。獲知該密碼的用戶只獲得 HMI 數(shù)據(jù)訪問權(quán)�。
4)不能訪問(完全保護)
不允許訪問 CPU。知道密碼的用戶�,可以根據(jù)密碼相關(guān)的保護級別進行訪問。
以上4種訪問級別���,如果 S7-1200/1500 CPU 的訪問等級選擇的是完全訪問權(quán)限(無任何保護)/讀訪問權(quán)/ HMI 訪問權(quán)限這3種��,SIMATIC WinCC 在組態(tài)通信連接時無需設(shè)置 CPU 訪問密碼�����。如果訪問等級選擇的是不能訪問(完全保護)�,則需填寫以上3個等級中任意一個等級的密碼才可以與 S7-1200/1500?進行握手并建立通信關(guān)系�����。
SIMATIC WinCC?與 S7-1200/1500 的安全通信
連接建立完成后��,SIMATIC WinCC 與 S7-1200/1500 CPU 的通信數(shù)據(jù)還是以明文的方式呈現(xiàn)�����,并未對交換的數(shù)據(jù)進行加密。
TIA Portal V17 推出的 S7-1200/1500 新固件版本支持 HMI ( HMI 為人機界面的英語縮寫�����,SIMATIC WinCC 也屬于 HMI )安全通信��。此安全通信具備以下特點:
1)機密性
即�����,數(shù)據(jù)安全/無法竊取�����。
2)完整性
即�,數(shù)據(jù)在傳輸過程中未發(fā)生篡改�。
3)端點認證
即,端點通信伙伴的身份確認�。
SIMATIC WinCC與S7-1200/1500 CPU實現(xiàn)安全通信需滿足以下條件:
1)S7-1500?固件版本?V2.9 以及更高版本
2)S7-1200?固件版本?V4.5 以及更高版本
3)SIMATIC?WinCC?V7.5 SP2 UPD4 或更高版本
S7-1200/1500 和 SIMATIC WinCC 之間通過簽名證書建立信任關(guān)系(握手),確保數(shù)據(jù)的真實性和完整性��;使用 TLS 協(xié)議加密通信數(shù)據(jù)(數(shù)據(jù)交換)���,確保數(shù)據(jù)的機密性�����。
TLS (傳輸層安全性協(xié)議?���,英文Transport Layer Security)是 SSL 協(xié)議的后繼協(xié)議��,在網(wǎng)絡(luò) ISO 模型中處于會話層���。TLS 最初是為了給 HTTP 協(xié)議加密使用,現(xiàn)在 HMI 安全通信的應(yīng)用層協(xié)議也是使用的 TLS����。
HMI 安全通信組態(tài)非常簡單,首先需要在 PLC 程序中選擇由 TIA Portal 或者第三方機構(gòu)生成的證書�,然后借助工具把證書導(dǎo)入 SIMATIC WinCC 項目中,以及下載 PLC 程序�。
在 PLC 程序選擇證書的界面,會顯示“僅支持 PG/PC 和 HMI 安全通信”選項(此選項僅S7-1500 V2.9 及更高?/ S7-1200 V4.5 及更高版本支持)��。
此選項的含義并不是激活 HMI 安全通信功能���,而是是否兼容 HMI 非安全通信��。因為版本低于 V7.5 SP2 UPD4 的 SIMAITC WinCC 軟件并不支持 HMI 安全通信��,為了兼容早期的 WinCC 項目�,擁有新固件版本的 S7-1200/S7-1500 ?需要取消此選項,才能與之通信����。下表是 SIMATIC WinCC 與 S7-1200/S7-1500 CPU 安全通信的各版本選項設(shè)置參考。
表一 ?SIMATIC?WinCC?與 S7-1200 安全通信各版本選項設(shè)置
表二 ?SIMATIC?WinCC?與 S7-1500 安全通信各版本選項設(shè)置
上述表格列舉出建立 HMI 安全通信需要的版本以及設(shè)置信息����。在滿足條件的SIMATIC WinCC 項目中創(chuàng)建好通信連接,然后加載從 TIA Portal 項目中導(dǎo)出的 SCADA 數(shù)據(jù)包�����,從而導(dǎo)入證書���。
下圖中顯示的是如何從 TIA Portal 項目中導(dǎo)出的 SCADA 數(shù)據(jù)包,SCADA 數(shù)據(jù)包包含證書以及 PLC 中可訪問的變量信息���。然后把 SCADA 數(shù)據(jù)包復(fù)制到需要組態(tài)或者運行 SIMAITC WinCC 項目的電腦中�。
圖 TIA?Portal?項目導(dǎo)出 SCADA 數(shù)據(jù)包
在 SIMATIC WinCC V7.5SP2 UPD4 以及更高版本項目中����,可以通過所創(chuàng)建的通信連接加載 SCADA 數(shù)據(jù)包�,加載時會提示證書的導(dǎo)入��。
SIMATIC WinCC 安全通信過程中���,還需要注意運行 SIMATIC WinCC 項目的電腦?和 PLC 的系統(tǒng)時間��,尤其是 PLC 的系統(tǒng)時間不能是出廠時間��。因為 HMI 安全通信是通過證書來建立連接�����,那么參與通信的設(shè)備��,系統(tǒng)時間需要在證書規(guī)定的有效時間范圍內(nèi)�����。