西門子顯示屏6AV7230-0DA20-0BA0觸摸屏附件

S7- - 1500 中，系統(tǒng)特定的一致性數(shù)據(jù)的數(shù)量：
如果遵循系統(tǒng)中所的一致性數(shù)據(jù)大數(shù)量，則不會(huì)產(chǎn)生不一致現(xiàn)象。在程序循環(huán)過
程中，S7-1500 可將塊中 512 個(gè)字節(jié)的通信數(shù)據(jù)一致性地復(fù)制到或傳出用戶存儲(chǔ)
器。超出該數(shù)據(jù)區(qū)時(shí)，將無法確保數(shù)據(jù)的一致性。如果要定義確保數(shù)據(jù)的一致性，則
CPU 內(nèi)用戶程序中的通信數(shù)據(jù)長度不能超過 512 個(gè)字節(jié)。之后，即可在 HMI 設(shè)備上通過
Read/Write 變量對這些數(shù)據(jù)進(jìn)行一致性訪問。
如果需一致性傳輸?shù)臄?shù)據(jù)量超出了系統(tǒng)的數(shù)據(jù)大量，則需在應(yīng)用程序中使用特殊措
施確保數(shù)據(jù)的一致性。
確保數(shù)據(jù)一致性
通過指令訪問公共數(shù)據(jù)：
如果在用戶程序中通過一些通信指令訪問公共數(shù)據(jù)（如 TSEND/TRCV），則可使用諸如
“DONE"等參數(shù)對該數(shù)據(jù)區(qū)進(jìn)行訪問。因此，在用戶程序中使用指令進(jìn)行數(shù)據(jù)傳輸，可確
保通信過程中數(shù)據(jù)區(qū)中數(shù)據(jù)的一致性。
說明
用戶程序中采取的具體措施
要確保數(shù)據(jù)一致性，可將待傳輸數(shù)據(jù)復(fù)制到一個(gè)單獨(dú)的數(shù)據(jù)區(qū)（如，全局?jǐn)?shù)據(jù)塊）中。用
戶程序繼續(xù)傳輸源數(shù)據(jù)時(shí)，可通過通信指令將一致性地傳輸單獨(dú)數(shù)據(jù)區(qū)中存儲(chǔ)的數(shù)據(jù)。
在復(fù)制過程中，系統(tǒng)將使用相應(yīng)的不可中斷型指令，如 UMOVE_BLK 或 UFILL_BLK。這
些指令可確保高達(dá) 16 KB 的數(shù)據(jù)一致性。
使用 PUT/GET 指令或通過 HMI 通信進(jìn)行 Write/Read 操作：
使用 PUT/GET 指令進(jìn)行 S7 通信或通過 HMI 通信進(jìn)行 Write/Read 操作時(shí)，編程或組態(tài)
中需考慮一致性數(shù)據(jù)區(qū)的大小。將 S7-1500 用作服務(wù)器時(shí)，用戶程序沒有可用于數(shù)據(jù)傳
輸?shù)闹噶睢Ｔ谟脩舫绦蜻\(yùn)行過程中，可通過 PUT/GET 指令進(jìn)行數(shù)據(jù)交換，對 S7-1500
進(jìn)行更新。但在循環(huán)執(zhí)行用戶程序時(shí)，不支持對數(shù)據(jù)進(jìn)行一致性傳輸。待傳送數(shù)據(jù)區(qū)的長
度應(yīng)小于 512 個(gè)字節(jié)。

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機(jī)，西門子人機(jī)界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應(yīng)，*咨詢系列產(chǎn)品，折扣低，貨期準(zhǔn)時(shí)，并且備有大量庫存.長期有效

3、SITOP系列直流電源?24V DC 1.3A、2.5A、3A、5A、10A、20A、40A

更多信息
● 有關(guān)通信模塊所支持的一致性數(shù)據(jù)大數(shù)量，請參見設(shè)備手冊中的相應(yīng)技術(shù)規(guī)范。
● 有關(guān)數(shù)據(jù)一致性的更多信息，請參見 STEP 7 在線幫助中的指令說明。
通信服務(wù)
3.6 安全通信
通信
40 功能手冊, 11/2019, A5E03735819-AH
3.6 安全通信
3.6.1 安全通信的基礎(chǔ)知識(shí)
在 STEP 7 (TIA Portal) V14 及更高版本和固件版本 V2.0 及更高版本的 S7-1500 CPU
中，設(shè)計(jì)了大量的安全通信選項(xiàng)。
簡介
“安全"(secure) 屬性用于識(shí)別以 Public Key Infrastructure (PKI) 為基礎(chǔ)的通信機(jī)制（例
如，RFC 5280 ，用于 Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List Profile）。Public Key Infrastructure (PKI) 是一個(gè)可簽發(fā)、發(fā)布和檢查數(shù)
字證書的系統(tǒng)。PKI 通過簽發(fā)的數(shù)字證書確保計(jì)算機(jī)通信安全。如果 PKI 采用非對稱密鑰
加密機(jī)制，則可對網(wǎng)絡(luò)中的消息進(jìn)行數(shù)字簽名和加密。
在 STEP 7 中組態(tài)用于安全通信的組件，將使用非對稱密鑰加密機(jī)制，該機(jī)制使用 Public
Key 和 Private Key 進(jìn)行加密。同時(shí)使用 TLS (Transport Layer Security) 作為加密協(xié)議。
TLS 是 SSL (Secure Sockets Layer) 協(xié)議的后繼協(xié)議。
安全通信的目的
安全通信可用于實(shí)現(xiàn)以下目標(biāo)：
● 機(jī)密性
即，數(shù)據(jù)安全/竊聽者無法讀取。
● 完整性
即，接收方接收到的消息與發(fā)送方發(fā)送的消息*相同，未經(jīng)更改。消息在傳送過程
中未經(jīng)更改。
● 端點(diǎn)認(rèn)證
即，端點(diǎn)通信伙伴確實(shí)是聲稱為參與通信的本人。對伙伴方的身份進(jìn)行檢查。
在過去，這些目標(biāo)通常僅與 IT 和計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)。但如今，包含有敏感數(shù)據(jù)的工業(yè)設(shè)備
和控制系統(tǒng)也開始面臨相同的信息安全高風(fēng)險(xiǎn)。這是因?yàn)?，這些設(shè)備它們同樣實(shí)現(xiàn)了網(wǎng)絡(luò)
互聯(lián)，因而必須滿足嚴(yán)格的數(shù)據(jù)交換安全要求。
在過去，往往會(huì)采用單元保護(hù)機(jī)制，通過防火墻或 VPN 連接保護(hù)自動(dòng)化單元安全（如，
使用安全模塊），而如今同樣如此。
但是，通過企業(yè)內(nèi)部網(wǎng)或公共網(wǎng)絡(luò)以加密形式將數(shù)據(jù)傳送到外部計(jì)算機(jī)變得越來越重要。
 通信服務(wù)
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 41
安全通信的通用原則
無論采用何種機(jī)制，安全通信都基于 Public Key Infrastructure (PKI) 理念，包含以下組成
部分：
● 非對稱加密機(jī)制：
– 使用公鑰或私鑰對消息進(jìn)行加密/解密。
– 驗(yàn)證消息和證書中的簽名。
發(fā)送方/認(rèn)證機(jī)構(gòu)通過自己的私鑰對消息/證書進(jìn)行簽名。接收方/驗(yàn)證者使用發(fā)送方/
認(rèn)證機(jī)構(gòu)的公鑰對簽名進(jìn)行驗(yàn)證。
● 使用 X.509 證書傳送和保存公鑰。
– X.509 證書是一種數(shù)字化簽名數(shù)據(jù)，根據(jù)綁定的身份對公鑰進(jìn)行認(rèn)證。
– X.509 證書中還包含有公鑰使用的詳細(xì)說明或使用限制。例如，證書中公鑰的生效
日期和過期日期。
– X.509 證書中還包含證書頒發(fā)方的安全相關(guān)信息。
在后續(xù)的章節(jié)中，將簡要介紹在 STEP 7 (TIA Portal) 中管理證書和編寫 secure Open
User Communication (sOUC) 通信指令等所需的基本知識(shí)。
使用 STEP 7 進(jìn)行安全通信：
在 STEP 7 V14 及其更高版本中，提供了安全通信的組態(tài)和操作所需的 PKI。
示例：
● 基于 TLS (Transport Layer Security) 協(xié)議，將 Hypertext Transfer Protokoll 在大多數(shù)瀏覽器中，這類的安全連接將突出顯示。
● 將 Open User Communication 轉(zhuǎn)換為 secure Open User Communication。這種通信
方式的底層協(xié)議同樣為 TLS。
● 電子郵件服務(wù)提供商同樣支持基于“Secure SMTP over TLS"協(xié)議進(jìn)行訪問，從而提高
電子郵件通信的安全性。
通信服務(wù)
3.6 安全通信
通信
42 功能手冊, 11/2019, A5E03735819-AH
下圖顯示了通信層中的 TLS 協(xié)議。
圖 3-6 通信層中的 TLS 協(xié)議。
采用 OPC UA 的安全通信
固件版本 V2.0 及更高版本的 S7-1500 CPU 中，具有 OPC UA 服務(wù)器功能。OPC UA
Security 中也涉及使用 X.509 數(shù)字證書進(jìn)行認(rèn)證、加密以及數(shù)據(jù)完整性檢查，并且同樣采
用 Public Key Infrastructure (PKI)。根據(jù)應(yīng)用的具體要求，端點(diǎn)安全可選擇不同安全等
級。有關(guān) OPC UA 服務(wù)器的功能說明，請參見“將 S7-1500 用作 OPC UA 服務(wù)器
(頁 177)"部分。
3.6.2 通過加密確保數(shù)據(jù)機(jī)密
消息加密是數(shù)據(jù)安全的一項(xiàng)重要措施。在通信過程中，即使加密的消息被第三方截獲，這
些潛在的偵聽者也無法訪問所獲取的信息。
在進(jìn)行消息加密時(shí)，采用了大量的數(shù)學(xué)處理機(jī)制（算法）。
所有算法都通過一個(gè)“密鑰"參數(shù)，對消息進(jìn)行加密和解密。
● 算法 + 密鑰 + 消息 => 密文
● 密文 + 密鑰 + 算法 =>（明文）消息
 通信服務(wù)
3.6 安全通信
通信
功能手冊, 11/2019, A5E037

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機(jī)，西門子人機(jī)界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應(yīng)，*咨詢系列產(chǎn)品，折扣低，貨期準(zhǔn)時(shí)，并且備有大量庫存.長期有效

PLC工作狀態(tài)一目了然安裝便捷,支持導(dǎo)軌式和螺釘式安裝所有模塊的輸入輸出端子可拆卸集成以太網(wǎng)口,程插針式連接,模塊序下載、設(shè)備組網(wǎng)連接更加緊密通用 Micro sD卡支持程序下載和信號板擴(kuò)展實(shí)現(xiàn)*化PLC固件更新配置,同時(shí)不占用電控西門子高速芯片配備超級電容,掉電基本指令執(zhí)行時(shí)間可情況下,依然能保證時(shí)鐘正常工作

公司主要從事工業(yè)自動(dòng)化產(chǎn)品的集成,

35819-AH 43
對稱加密
對稱加密的關(guān)鍵在于，兩個(gè)通信伙伴都采用相同的密鑰對消息進(jìn)行加密和解密，如下圖所
示：Bob 使用的加密密鑰與 Alice 使用的解密密鑰相同。即，我們常說的雙方共享一個(gè)密
鑰，可通過該密鑰對消息進(jìn)行加密和解密。
① Bob 采用對稱密鑰對消息進(jìn)行加密
② Alice 采用對稱密鑰對加密后的消息進(jìn)行解密
圖 3-7 對稱加密
該過程類似于一個(gè)公文箱，發(fā)送方和接收方使用同一把鑰匙打開或鎖上該公文箱。
● 優(yōu)勢：對稱加密算法（如，AES、Advanced Encryption Algorithm）的速度較快。
● 缺點(diǎn)：如何將密鑰發(fā)送給接收方，而不會(huì)落到其他人手中？此為密鑰分發(fā)問題。如果
截獲的消息數(shù)量足夠大，則可推算出所用的密鑰，因此必須定期更換。
如果通信伙伴比較多，則需分發(fā)的密鑰數(shù)量巨大。
非對稱加密
在非對稱加密技術(shù)中使用一對密鑰：一個(gè)公鑰和一個(gè)私鑰。與 PKI 一同使用時(shí)，又稱為
公鑰加密系統(tǒng)，簡稱 PKI 加密系統(tǒng)。通信伙伴（下圖中的 Alice）擁有一個(gè)私鑰和一個(gè)公
鑰。公鑰對所有人公開。即，任何通信伙伴都可以獲得該公鑰。擁有公鑰的通信伙伴可對
發(fā)送給 Alice 的消息進(jìn)行加密。即下圖中的 Bob。
通信服務(wù)
3.6 安全通信
通信
44 功能手冊, 11/2019, A5E03735819-AH
Alice 的私鑰為她自己所有而不公開，用于對發(fā)送給她的密文進(jìn)行解密。
① Alice 將其公鑰提供給 Bob。無需采取防范措施即可實(shí)現(xiàn)該過程：只要確定采用的
是 Alice 的公鑰，所有人都可以發(fā)消息給 Alice。
② Bob 使用 Alice 的公鑰對消息進(jìn)行加密。
③ Alice 使用私鑰對 Bob 發(fā)送的密文進(jìn)行解密。由于僅 Alice 擁有私有且未公開，因
此只有她才能對該消息進(jìn)行解密。通過私鑰，Alice 可以對使用她所提供的公鑰加
密的消息進(jìn)行解密，而不僅僅只是 Bob 的消息。
圖 3-8 非對稱加密
該系統(tǒng)與類似，所有人都可以向發(fā)送消息，但只有擁有密鑰的人才能刪除這些消
息。
● 優(yōu)勢：使用公鑰加密的消息，僅私鑰擁有者才能進(jìn)行解密。由于在解密時(shí)需要使用另
一密鑰（私鑰），而且加密的消息數(shù)量龐大，因此很難推算出解密密鑰。這意味著，
公鑰無需保持機(jī)密性，而這與對稱密鑰不同。
另一大優(yōu)點(diǎn)在于，公鑰的發(fā)布更為方便快捷。在非對稱密鑰系統(tǒng)中，接收方將公鑰發(fā)
送到發(fā)送方（消息加密方）時(shí)無需建立的安全通道。與對稱加密過程相比，密鑰
管理工作量相對較少。
● 缺點(diǎn)：算法復(fù)雜（如，RSA，以三位數(shù)學(xué)家 Rivest、Shamir 和 Adleman 的名字的
字母命名），因此性能低于對稱加密機(jī)制。
 通信服務(wù)
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 45
實(shí)際通信中的加密過程
在實(shí)際通信過程中（如，與 CPU Web 服務(wù)器通信和開發(fā)式用戶安全通信），通常在相關(guān)
的應(yīng)用層之后使用 TLS 協(xié)議。例如，應(yīng)用層采用的協(xié)議為 HTTP 或 SMTP，詳細(xì)信息見
前文所述。
例如，TLS (Transport Layer Security) 混合采用非對稱加密和對稱加密（混合加密）機(jī)制
確保數(shù)據(jù)通過 Internet 進(jìn)行安全傳輸，并支持以下子協(xié)議：
● TLS Handshake Protocol，對通信伙伴進(jìn)行身份驗(yàn)證，并在非對稱加密的基礎(chǔ)上對數(shù)
據(jù)傳輸所需的算法和密鑰進(jìn)行協(xié)商
● TLS Record Protocol 采用對稱加密機(jī)制對用戶數(shù)據(jù)加密以及進(jìn)行數(shù)據(jù)交換。
無論是非對稱加密還是對稱加密，這兩種數(shù)據(jù)安全加密機(jī)制在安全性方面沒有明顯差異。
數(shù)據(jù)安全等級取決于設(shè)置的參數(shù)，如所選密鑰的長度等等。
加密使用不當(dāng)
通過位串，無法公鑰的身份。欺瞞者可使用他們自己的公鑰聲明為其他人。如果第三
方使用該公鑰將其認(rèn)作是的通信伙伴，則將導(dǎo)致機(jī)密信息被竊取。之后，欺瞞者再使
用自己的密鑰對這些本消息進(jìn)行解密，雖然這些消息本不應(yīng)發(fā)送給他們。終，導(dǎo)致敏感
信息泄露，落入他人之手。
為了有效預(yù)防此類錯(cuò)誤的發(fā)生，該通信伙伴必須確信與正確的通信伙伴進(jìn)行數(shù)據(jù)通信。此
類信任關(guān)系是通過 PKI 中的數(shù)字證書建立的。
3.6.3 通過簽名確保數(shù)據(jù)的真實(shí)性和完整性
由能夠截獲服務(wù)器與客戶端之間的通信并將自身偽裝成客戶端或服務(wù)器的程序?qū)嵤┑墓?br />稱為中間人攻擊。如果未能檢測到這些程序的真實(shí)身份，則將造成諸如 S7 程序、CPU
中設(shè)定值等重要信息泄漏，進(jìn)而導(dǎo)致設(shè)備或工廠遭受攻擊?？墒褂脭?shù)字證書避免此類攻
擊。
在安全通信過程中，所用的數(shù)字證書符合 International Telecommunication Union (ITU)
的 X.509 標(biāo)準(zhǔn)。該證書用于檢查（認(rèn)證）程序、計(jì)算機(jī)或組織機(jī)構(gòu)的身份。
通信服務(wù)
3.6 安全通信
通信
46 功能手冊, 11/2019, A5E03735819-AH
如何通過證書建立信任關(guān)系
X.509 證書主要用于將帶有證書的數(shù)據(jù)身份（如，電子郵件地址或計(jì)算機(jī)名稱）與公鑰中
的身份綁定在一起。身份可以是個(gè)人、計(jì)算機(jī)，也可以是機(jī)器設(shè)備。
證書由證書頒發(fā)機(jī)構(gòu)（Certificate Authority，CA）或證書主體簽發(fā)。而 PKI 系統(tǒng)則
了用戶信任證書頒發(fā)機(jī)構(gòu)及其所簽發(fā)證書的規(guī)則。
證書認(rèn)證過程：

西門子顯示屏6AV7230-0DA20-0BA0觸摸屏附件

西門子顯示屏

觸摸屏附件

操作說明

230RC、230RCO、230RCL、24RC、24RCL等

1. 要獲取一份證書，需要向與證書頒發(fā)機(jī)構(gòu)相關(guān)聯(lián)的注冊機(jī)構(gòu)提交一份證書申請。
2. 證書頒發(fā)機(jī)構(gòu)將基于既定標(biāo)準(zhǔn)對該申請和申請人進(jìn)行評估。
3. 如果可以清晰識(shí)別申請人的身份，則證書頒發(fā)機(jī)構(gòu)將簽發(fā)一份已簽名的證書進(jìn)行確
認(rèn)。申請人現(xiàn)成為證書主體。
在下圖中，對這一過程進(jìn)行了簡要說明。但不涉及 Alice 對該數(shù)字簽名的檢查過程。
圖 3-9 由證書頒發(fā)機(jī)構(gòu)對證書進(jìn)行簽名
自簽名證書
自簽名證書指，由證書主體而非獨(dú)立的證書頒發(fā)機(jī)構(gòu)簽名的證書。
示例：
● 用戶也可以自己創(chuàng)建證書并簽名，對發(fā)送給通信伙伴的消息進(jìn)行加密。在上述示例
中，Bob（而非 Twent）可以使用私鑰對自己的證書進(jìn)行簽名。之后，Alice 將使用
Bob 的公鑰檢查該簽名是否與 Bob 的公鑰相匹配。該過程可用于簡單的工廠內(nèi)部數(shù)據(jù)
加密通信。
● 例如，根證書是一種由證書頒發(fā)機(jī)構(gòu) (CA) 簽署的自簽名證書，其中包含證書頒發(fā)機(jī)
構(gòu)的公鑰。
 通信服務(wù)
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 47
自簽名證書的特性
自簽名證書的證書主體“CN"(Common Name of Subject) 和“Issuer"屬性相同：用戶已完
成對證書的簽名。字段“CA" (Certificate Autority) 需設(shè)置為“False"；自簽名證書不得用于
對其它證書進(jìn)行簽名。
自簽名證書未包含在 PKI 系統(tǒng)中。
證書內(nèi)容
符合 X.509 V3 標(biāo)準(zhǔn)（同樣用于 STEP 7 和 S7-1500 CPU）要求的證書通常包含以下元
素：
● 公鑰
● 證書主體（即，密鑰持有者）的詳細(xì)信息。如，Common Name (CN) of Subject 。
● 各種屬性，如序列號和有效期等等
● 證書頒發(fā)機(jī)構(gòu) (CA) 的數(shù)字簽名，用于證實(shí)信息的正確性。
除此之外，還包含以下擴(kuò)展詳細(xì)：
over TLS)，以確保 Web 瀏覽器地址欄中的證書同樣屬于該 URL 所的 Web 服務(wù)
器。
如何生成并驗(yàn)證簽名
非對稱密鑰可用于證書的驗(yàn)證：在“MyCert"證書示例中，介紹了具體的“簽名"與“驗(yàn)證簽
名"過程。
生成簽名：
1. “MyCert"證書的簽發(fā)者使用一個(gè)特定的哈希函數(shù)（例如，SHA-1，Secure Hash
Algorithm），根據(jù)證書數(shù)據(jù)生成一個(gè)哈希值。
該 HASH 值是一個(gè)長度固定的位串。HASH 值長度固定的優(yōu)勢在于，簽名的時(shí)間始終
相同。
2. 之后，證書的簽發(fā)者再使用由這種方式生成的 HASH 值和私鑰，生成一個(gè)數(shù)字簽名。
通常采用 RSA 簽名機(jī)制。
3. 數(shù)字簽名將保存在證書中。此時(shí)，證書已簽名。
通信服務(wù)
3.6 安全通信
通信
48 功能手冊, 11/2019, A5E03735819-AH
驗(yàn)證一個(gè)簽名：
1. “MyCert"證書的認(rèn)證方將獲得簽發(fā)者簽發(fā)的證書和公鑰。
2. 使用簽名時(shí)所用的哈希算法（例如，SHA-1），根據(jù)證書數(shù)據(jù)生成一個(gè)新的哈希值。