西門子觸摸屏6AV2123-2MA03-0AX0觸摸屏

S7- - 1500 中，系統(tǒng)特定的一致性數(shù)據(jù)的數(shù)量：
如果遵循系統(tǒng)中所的一致性數(shù)據(jù)大數(shù)量，則不會產(chǎn)生不一致現(xiàn)象。在程序循環(huán)過
程中，S7-1500 可將塊中 512 個字節(jié)的通信數(shù)據(jù)一致性地復制到或傳出用戶存儲
器。超出該數(shù)據(jù)區(qū)時，將無法確保數(shù)據(jù)的一致性。如果要定義確保數(shù)據(jù)的一致性，則
CPU 內(nèi)用戶程序中的通信數(shù)據(jù)長度不能超過 512 個字節(jié)。之后，即可在 HMI 設(shè)備上通過
Read/Write 變量對這些數(shù)據(jù)進行一致性訪問。
如果需一致性傳輸?shù)臄?shù)據(jù)量超出了系統(tǒng)的數(shù)據(jù)大量，則需在應(yīng)用程序中使用特殊措
施確保數(shù)據(jù)的一致性。
確保數(shù)據(jù)一致性
通過指令訪問公共數(shù)據(jù)：
如果在用戶程序中通過一些通信指令訪問公共數(shù)據(jù)（如 TSEND/TRCV），則可使用諸如
“DONE"等參數(shù)對該數(shù)據(jù)區(qū)進行訪問。因此，在用戶程序中使用指令進行數(shù)據(jù)傳輸，可確
保通信過程中數(shù)據(jù)區(qū)中數(shù)據(jù)的一致性。
說明
用戶程序中采取的具體措施
要確保數(shù)據(jù)一致性，可將待傳輸數(shù)據(jù)復制到一個單獨的數(shù)據(jù)區(qū)（如，全局數(shù)據(jù)塊）中。用
戶程序繼續(xù)傳輸源數(shù)據(jù)時，可通過通信指令將一致性地傳輸單獨數(shù)據(jù)區(qū)中存儲的數(shù)據(jù)。
在復制過程中，系統(tǒng)將使用相應(yīng)的不可中斷型指令，如 UMOVE_BLK 或 UFILL_BLK。這
些指令可確保高達 16 KB 的數(shù)據(jù)一致性。
使用 PUT/GET 指令或通過 HMI 通信進行 Write/Read 操作：
使用 PUT/GET 指令進行 S7 通信或通過 HMI 通信進行 Write/Read 操作時，編程或組態(tài)
中需考慮一致性數(shù)據(jù)區(qū)的大小。將 S7-1500 用作服務(wù)器時，用戶程序沒有可用于數(shù)據(jù)傳
輸?shù)闹噶?。在用戶程序運行過程中，可通過 PUT/GET 指令進行數(shù)據(jù)交換，對 S7-1500
進行更新。但在循環(huán)執(zhí)行用戶程序時，不支持對數(shù)據(jù)進行一致性傳輸。待傳送數(shù)據(jù)區(qū)的長
度應(yīng)小于 512 個字節(jié)。

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機，西門子人機界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應(yīng)，*咨詢系列產(chǎn)品，折扣低，貨期準時，并且備有大量庫存.長期有效

4、HMI觸摸屏TD200 TD400C TP177,

更多信息
● 有關(guān)通信模塊所支持的一致性數(shù)據(jù)大數(shù)量，請參見設(shè)備手冊中的相應(yīng)技術(shù)規(guī)范。
● 有關(guān)數(shù)據(jù)一致性的更多信息，請參見 STEP 7 在線幫助中的指令說明。
通信服務(wù)
3.6 安全通信
通信
40 功能手冊, 11/2019, A5E03735819-AH
3.6 安全通信
3.6.1 安全通信的基礎(chǔ)知識
在 STEP 7 (TIA Portal) V14 及更高版本和固件版本 V2.0 及更高版本的 S7-1500 CPU
中，設(shè)計了大量的安全通信選項。
簡介
“安全"(secure) 屬性用于識別以 Public Key Infrastructure (PKI) 為基礎(chǔ)的通信機制（例
如，RFC 5280 ，用于 Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List Profile）。Public Key Infrastructure (PKI) 是一個可簽發(fā)、發(fā)布和檢查數(shù)
字證書的系統(tǒng)。PKI 通過簽發(fā)的數(shù)字證書確保計算機通信安全。如果 PKI 采用非對稱密鑰
加密機制，則可對網(wǎng)絡(luò)中的消息進行數(shù)字簽名和加密。
在 STEP 7 中組態(tài)用于安全通信的組件，將使用非對稱密鑰加密機制，該機制使用 Public
Key 和 Private Key 進行加密。同時使用 TLS (Transport Layer Security) 作為加密協(xié)議。
TLS 是 SSL (Secure Sockets Layer) 協(xié)議的后繼協(xié)議。
安全通信的目的
安全通信可用于實現(xiàn)以下目標：
● 機密性
即，數(shù)據(jù)安全/竊聽者無法讀取。
● 完整性
即，接收方接收到的消息與發(fā)送方發(fā)送的消息*相同，未經(jīng)更改。消息在傳送過程
中未經(jīng)更改。
● 端點認證
即，端點通信伙伴確實是聲稱為參與通信的本人。對伙伴方的身份進行檢查。
在過去，這些目標通常僅與 IT 和計算機網(wǎng)絡(luò)相關(guān)。但如今，包含有敏感數(shù)據(jù)的工業(yè)設(shè)備
和控制系統(tǒng)也開始面臨相同的信息安全高風險。這是因為，這些設(shè)備它們同樣實現(xiàn)了網(wǎng)絡(luò)
互聯(lián)，因而必須滿足嚴格的數(shù)據(jù)交換安全要求。
在過去，往往會采用單元保護機制，通過防火墻或 VPN 連接保護自動化單元安全（如，
使用安全模塊），而如今同樣如此。
但是，通過企業(yè)內(nèi)部網(wǎng)或公共網(wǎng)絡(luò)以加密形式將數(shù)據(jù)傳送到外部計算機變得越來越重要。
 通信服務(wù)
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 41
安全通信的通用原則
無論采用何種機制，安全通信都基于 Public Key Infrastructure (PKI) 理念，包含以下組成
部分：
● 非對稱加密機制：
– 使用公鑰或私鑰對消息進行加密/解密。
– 驗證消息和證書中的簽名。
發(fā)送方/認證機構(gòu)通過自己的私鑰對消息/證書進行簽名。接收方/驗證者使用發(fā)送方/
認證機構(gòu)的公鑰對簽名進行驗證。
● 使用 X.509 證書傳送和保存公鑰。
– X.509 證書是一種數(shù)字化簽名數(shù)據(jù)，根據(jù)綁定的身份對公鑰進行認證。
– X.509 證書中還包含有公鑰使用的詳細說明或使用限制。例如，證書中公鑰的生效
日期和過期日期。
– X.509 證書中還包含證書頒發(fā)方的安全相關(guān)信息。
在后續(xù)的章節(jié)中，將簡要介紹在 STEP 7 (TIA Portal) 中管理證書和編寫 secure Open
User Communication (sOUC) 通信指令等所需的基本知識。
使用 STEP 7 進行安全通信：
在 STEP 7 V14 及其更高版本中，提供了安全通信的組態(tài)和操作所需的 PKI。
示例：
● 基于 TLS (Transport Layer Security) 協(xié)議，將 Hypertext Transfer Protokoll 在大多數(shù)瀏覽器中，這類的安全連接將突出顯示。
● 將 Open User Communication 轉(zhuǎn)換為 secure Open User Communication。這種通信
方式的底層協(xié)議同樣為 TLS。
● 電子郵件服務(wù)提供商同樣支持基于“Secure SMTP over TLS"協(xié)議進行訪問，從而提高
電子郵件通信的安全性。
通信服務(wù)
3.6 安全通信
通信
42 功能手冊, 11/2019, A5E03735819-AH
下圖顯示了通信層中的 TLS 協(xié)議。
圖 3-6 通信層中的 TLS 協(xié)議。
采用 OPC UA 的安全通信
固件版本 V2.0 及更高版本的 S7-1500 CPU 中，具有 OPC UA 服務(wù)器功能。OPC UA
Security 中也涉及使用 X.509 數(shù)字證書進行認證、加密以及數(shù)據(jù)完整性檢查，并且同樣采
用 Public Key Infrastructure (PKI)。根據(jù)應(yīng)用的具體要求，端點安全可選擇不同安全等
級。有關(guān) OPC UA 服務(wù)器的功能說明，請參見“將 S7-1500 用作 OPC UA 服務(wù)器
(頁 177)"部分。
3.6.2 通過加密確保數(shù)據(jù)機密
消息加密是數(shù)據(jù)安全的一項重要措施。在通信過程中，即使加密的消息被第三方截獲，這
些潛在的偵聽者也無法訪問所獲取的信息。
在進行消息加密時，采用了大量的數(shù)學處理機制（算法）。
所有算法都通過一個“密鑰"參數(shù)，對消息進行加密和解密。
● 算法 + 密鑰 + 消息 => 密文
● 密文 + 密鑰 + 算法 =>（明文）消息
 通信服務(wù)
3.6 安全通信
通信
功能手冊, 11/2019, A5E037

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機，西門子人機界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應(yīng)，*咨詢系列產(chǎn)品，折扣低，貨期準時，并且備有大量庫存.長期有效

西門子LOGO控制器可編程西門子S7-200PLC模塊西門子S7-300PLC模塊西門子S7-400PLC模塊西門子S7-1200PLC模塊西門子S7-1500PLC模塊西門子V20變頻器西門子V90伺服驅(qū)動西門子觸摸屏西門子.828.840D.808.802數(shù)控系列西門子數(shù)控維修西門子電線電纜西門子傳感器西門子交換機 6GK5 西門子通訊網(wǎng)卡6GK1西門子驅(qū)動程序西門子伺服電機西門子數(shù)控備件西門子S120驅(qū)動系統(tǒng)西門子LOGO控制器可編程西門子S7-200PLC模塊西門子S7-300PLC模塊西門子S7-400PLC模塊西門子S7-1200PLC模塊西門子S7-1500PLC模塊西門子V20變頻器西門子V90伺服驅(qū)動

擁有豐富的自動化產(chǎn)品的應(yīng)用和實踐經(jīng)驗以及雄厚的技術(shù)力量，

35819-AH 43
對稱加密
對稱加密的關(guān)鍵在于，兩個通信伙伴都采用相同的密鑰對消息進行加密和解密，如下圖所
示：Bob 使用的加密密鑰與 Alice 使用的解密密鑰相同。即，我們常說的雙方共享一個密
鑰，可通過該密鑰對消息進行加密和解密。
① Bob 采用對稱密鑰對消息進行加密
② Alice 采用對稱密鑰對加密后的消息進行解密
圖 3-7 對稱加密
該過程類似于一個公文箱，發(fā)送方和接收方使用同一把鑰匙打開或鎖上該公文箱。
● 優(yōu)勢：對稱加密算法（如，AES、Advanced Encryption Algorithm）的速度較快。
● 缺點：如何將密鑰發(fā)送給接收方，而不會落到其他人手中？此為密鑰分發(fā)問題。如果
截獲的消息數(shù)量足夠大，則可推算出所用的密鑰，因此必須定期更換。
如果通信伙伴比較多，則需分發(fā)的密鑰數(shù)量巨大。
非對稱加密
在非對稱加密技術(shù)中使用一對密鑰：一個公鑰和一個私鑰。與 PKI 一同使用時，又稱為
公鑰加密系統(tǒng)，簡稱 PKI 加密系統(tǒng)。通信伙伴（下圖中的 Alice）擁有一個私鑰和一個公
鑰。公鑰對所有人公開。即，任何通信伙伴都可以獲得該公鑰。擁有公鑰的通信伙伴可對
發(fā)送給 Alice 的消息進行加密。即下圖中的 Bob。
通信服務(wù)
3.6 安全通信
通信
44 功能手冊, 11/2019, A5E03735819-AH
Alice 的私鑰為她自己所有而不公開，用于對發(fā)送給她的密文進行解密。
① Alice 將其公鑰提供給 Bob。無需采取防范措施即可實現(xiàn)該過程：只要確定采用的
是 Alice 的公鑰，所有人都可以發(fā)消息給 Alice。
② Bob 使用 Alice 的公鑰對消息進行加密。
③ Alice 使用私鑰對 Bob 發(fā)送的密文進行解密。由于僅 Alice 擁有私有且未公開，因
此只有她才能對該消息進行解密。通過私鑰，Alice 可以對使用她所提供的公鑰加
密的消息進行解密，而不僅僅只是 Bob 的消息。
圖 3-8 非對稱加密
該系統(tǒng)與類似，所有人都可以向發(fā)送消息，但只有擁有密鑰的人才能刪除這些消
息。
● 優(yōu)勢：使用公鑰加密的消息，僅私鑰擁有者才能進行解密。由于在解密時需要使用另
一密鑰（私鑰），而且加密的消息數(shù)量龐大，因此很難推算出解密密鑰。這意味著，
公鑰無需保持機密性，而這與對稱密鑰不同。
另一大優(yōu)點在于，公鑰的發(fā)布更為方便快捷。在非對稱密鑰系統(tǒng)中，接收方將公鑰發(fā)
送到發(fā)送方（消息加密方）時無需建立的安全通道。與對稱加密過程相比，密鑰
管理工作量相對較少。
● 缺點：算法復雜（如，RSA，以三位數(shù)學家 Rivest、Shamir 和 Adleman 的名字的
字母命名），因此性能低于對稱加密機制。
 通信服務(wù)
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 45
實際通信中的加密過程
在實際通信過程中（如，與 CPU Web 服務(wù)器通信和開發(fā)式用戶安全通信），通常在相關(guān)
的應(yīng)用層之后使用 TLS 協(xié)議。例如，應(yīng)用層采用的協(xié)議為 HTTP 或 SMTP，詳細信息見
前文所述。
例如，TLS (Transport Layer Security) 混合采用非對稱加密和對稱加密（混合加密）機制
確保數(shù)據(jù)通過 Internet 進行安全傳輸，并支持以下子協(xié)議：
● TLS Handshake Protocol，對通信伙伴進行身份驗證，并在非對稱加密的基礎(chǔ)上對數(shù)
據(jù)傳輸所需的算法和密鑰進行協(xié)商
● TLS Record Protocol 采用對稱加密機制對用戶數(shù)據(jù)加密以及進行數(shù)據(jù)交換。
無論是非對稱加密還是對稱加密，這兩種數(shù)據(jù)安全加密機制在安全性方面沒有明顯差異。
數(shù)據(jù)安全等級取決于設(shè)置的參數(shù)，如所選密鑰的長度等等。
加密使用不當
通過位串，無法公鑰的身份。欺瞞者可使用他們自己的公鑰聲明為其他人。如果第三
方使用該公鑰將其認作是的通信伙伴，則將導致機密信息被竊取。之后，欺瞞者再使
用自己的密鑰對這些本消息進行解密，雖然這些消息本不應(yīng)發(fā)送給他們。終，導致敏感
信息泄露，落入他人之手。
為了有效預(yù)防此類錯誤的發(fā)生，該通信伙伴必須確信與正確的通信伙伴進行數(shù)據(jù)通信。此
類信任關(guān)系是通過 PKI 中的數(shù)字證書建立的。
3.6.3 通過簽名確保數(shù)據(jù)的真實性和完整性
由能夠截獲服務(wù)器與客戶端之間的通信并將自身偽裝成客戶端或服務(wù)器的程序?qū)嵤┑墓?br />稱為中間人攻擊。如果未能檢測到這些程序的真實身份，則將造成諸如 S7 程序、CPU
中設(shè)定值等重要信息泄漏，進而導致設(shè)備或工廠遭受攻擊?？墒褂脭?shù)字證書避免此類攻
擊。
在安全通信過程中，所用的數(shù)字證書符合 International Telecommunication Union (ITU)
的 X.509 標準。該證書用于檢查（認證）程序、計算機或組織機構(gòu)的身份。
通信服務(wù)
3.6 安全通信
通信
46 功能手冊, 11/2019, A5E03735819-AH
如何通過證書建立信任關(guān)系
X.509 證書主要用于將帶有證書的數(shù)據(jù)身份（如，電子郵件地址或計算機名稱）與公鑰中
的身份綁定在一起。身份可以是個人、計算機，也可以是機器設(shè)備。
證書由證書頒發(fā)機構(gòu)（Certificate Authority，CA）或證書主體簽發(fā)。而 PKI 系統(tǒng)則
了用戶信任證書頒發(fā)機構(gòu)及其所簽發(fā)證書的規(guī)則。
證書認證過程：

西門子觸摸屏6AV2123-2MA03-0AX0觸摸屏

西門子觸摸屏

觸摸屏

操作說明

3、SITOP系列直流電源?24V DC 1.3A、2.5A、3A、5A、10A、20A、40A

1. 要獲取一份證書，需要向與證書頒發(fā)機構(gòu)相關(guān)聯(lián)的注冊機構(gòu)提交一份證書申請。
2. 證書頒發(fā)機構(gòu)將基于既定標準對該申請和申請人進行評估。
3. 如果可以清晰識別申請人的身份，則證書頒發(fā)機構(gòu)將簽發(fā)一份已簽名的證書進行確
認。申請人現(xiàn)成為證書主體。
在下圖中，對這一過程進行了簡要說明。但不涉及 Alice 對該數(shù)字簽名的檢查過程。
圖 3-9 由證書頒發(fā)機構(gòu)對證書進行簽名
自簽名證書
自簽名證書指，由證書主體而非獨立的證書頒發(fā)機構(gòu)簽名的證書。
示例：
● 用戶也可以自己創(chuàng)建證書并簽名，對發(fā)送給通信伙伴的消息進行加密。在上述示例
中，Bob（而非 Twent）可以使用私鑰對自己的證書進行簽名。之后，Alice 將使用
Bob 的公鑰檢查該簽名是否與 Bob 的公鑰相匹配。該過程可用于簡單的工廠內(nèi)部數(shù)據(jù)
加密通信。
● 例如，根證書是一種由證書頒發(fā)機構(gòu) (CA) 簽署的自簽名證書，其中包含證書頒發(fā)機
構(gòu)的公鑰。
 通信服務(wù)
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 47
自簽名證書的特性
自簽名證書的證書主體“CN"(Common Name of Subject) 和“Issuer"屬性相同：用戶已完
成對證書的簽名。字段“CA" (Certificate Autority) 需設(shè)置為“False"；自簽名證書不得用于
對其它證書進行簽名。
自簽名證書未包含在 PKI 系統(tǒng)中。
證書內(nèi)容
符合 X.509 V3 標準（同樣用于 STEP 7 和 S7-1500 CPU）要求的證書通常包含以下元
素：
● 公鑰
● 證書主體（即，密鑰持有者）的詳細信息。如，Common Name (CN) of Subject 。
● 各種屬性，如序列號和有效期等等
● 證書頒發(fā)機構(gòu) (CA) 的數(shù)字簽名，用于證實信息的正確性。
除此之外，還包含以下擴展詳細：
over TLS)，以確保 Web 瀏覽器地址欄中的證書同樣屬于該 URL 所的 Web 服務(wù)
器。
如何生成并驗證簽名
非對稱密鑰可用于證書的驗證：在“MyCert"證書示例中，介紹了具體的“簽名"與“驗證簽
名"過程。
生成簽名：
1. “MyCert"證書的簽發(fā)者使用一個特定的哈希函數(shù)（例如，SHA-1，Secure Hash
Algorithm），根據(jù)證書數(shù)據(jù)生成一個哈希值。
該 HASH 值是一個長度固定的位串。HASH 值長度固定的優(yōu)勢在于，簽名的時間始終
相同。
2. 之后，證書的簽發(fā)者再使用由這種方式生成的 HASH 值和私鑰，生成一個數(shù)字簽名。
通常采用 RSA 簽名機制。
3. 數(shù)字簽名將保存在證書中。此時，證書已簽名。
通信服務(wù)
3.6 安全通信
通信
48 功能手冊, 11/2019, A5E03735819-AH
驗證一個簽名：
1. “MyCert"證書的認證方將獲得簽發(fā)者簽發(fā)的證書和公鑰。
2. 使用簽名時所用的哈希算法（例如，SHA-1），根據(jù)證書數(shù)據(jù)生成一個新的哈希值。