安全通信的基础知识

时间：2021-07-23作者：上海腾希电气技术有限公司浏览：106

安全通信的基础知识



在 STEP 7 (TIA Portal) V14 及更高版本和固件版本 V2.0 及更高版本的 S7-1500 CPU 中，设计了大量的安全通信选项。

“S7-1500 CPU”是指 S7-1500F、S7-1500T、S7-1500C 系列 CPU 和 S7-1500pro CPU 和 ET200SP CPU。

简介

“安全”(secure) 属性用于识别以 Public Key Infrastructure (PKI) 为基础的通信机制（例如，RFC 5280 ，用于Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List Profile）。Public Key Infrastructure (PKI) 是一个可签发、发布和检查数字证书的系统。在 PKI 使用签发的数字证书来确保计算机通信安全。如果 PKI 采用非对称密钥加密机制，则可对网络中的消息进行数字签名和加密。

在 STEP 7 (TIA Portal) 中组态用于安全通信的组件，将使用一个非对称密钥加密机制，使用一个公钥 (Public Key) 和一个私钥 (Private Key) 进行加密。并使用 TLS (Transport Layer Security) 作为加密协议。TLS 是 SSL (Secure Sockets Layer) 协议的后继协议。

安全通信的目标

安全通信用于实现以下目标：

机密性
即，数据安全/无法窃取。

完整性
即，接收方和发送方所接收/发送的消息完全相同，未经更改。消息在传输过程中未发生更改。

端点认证
即，端点的通信伙伴确实为声明的本人且为数据应到达的通信端。验证伙伴方的身份。

在过去，这些目标通过与 IT 和联网的计算机相关。而如今，包含有敏感数据的工业设备和控制系统同样面临信息安全高风险。这是因为，这些设备它们同样实现了网络互联，因而必须满足严格的数据交换安全要求。

在过去，往往会采用单元保护机制，通过防火墙或 * 连接保护自动化单元安全（如，使用安全模块），而如今同样如此。

但是，在越来越的应用中，需要通过企业内部网或公共网络以加密形式将数据传送到外部计算机。

安全通信的通用原则

无论采用何种机制，安全通信都基于 Public Key Infrastructure (PKI) 理念，包含以下组成部分：

非对称加密机制。该机制用于：

- 使用公钥或私钥对消息进行加密/解密。

- 验证消息和证书中的签名。

发送方/证书所有方通过自己的私钥对消息/证书进行签名。接收方/验证者使用发送方/证书所有方的公钥对签名进行验证。

使用 X.509 证书传送和保存公钥。

- X.509 证书是一种数字化签名数据，根据绑定的身份对公钥进行认证。

- X.509 证书中还包含详细信息以及使用公钥的限制条件。例如，证书中公钥的生效日期和过期日期。

- X.509 证书中还以安全的形式包含了证书颁发方的相关信息。

在后续的章节中，将简要介绍在 STEP 7 (TIA Portal) 中管理证书和编写 secure Open User Communication (sOUC) 通信指令等所需的基本知识。

STEP 7 中的安全通信

在 STEP 7 V14 及其更高版本中，提供了安全通信的组态和操作所需的 PKI。

示例：

Hypertext Transfer Protokoll (HTTP) 通过 TLS (Transport Layer Security) 协议变为 Hypertext Transfer Protokoll Secure (HTTPS)。由于 HTTPS 中集成了 HTTP 和 TLS 协议，因此在相应的 RFC 中，又称为“HTTP over TLS”。在浏览器中，可清楚地看到所用的协议为 HTTPS：浏览器地址栏中 URL 为“//”，而非“//”，这也指明了这点。在大多数浏览器中，这类的安全连接将**显示。

Open User Communication 变为 secure Open User Communication。这种通信方式的底层协议同样为 TLS。

电子邮件服务提供商同样支持基于“Secure SMTP over TLS”协议进行访问，从而提高电子邮件通信的安全性。

下图显示了通信层中的 TLS 协议。

采用 OPC UA 的安全通信

固件版本 V2.0 及更高版本的 S7-1500 CPU 中，具有 OPC UA 服务器功能。OPC UA Security 中也涉及使用 X.509 数字证书进行认证、加密以及数据完整性检查，并且同样采用 Public Key Infrastructure (PKI)。根据应用的具体要求，可选择不同的安全等级来确保端点安全。我们将在一个单独章节中，对 OPC UA 服务器功能进行介绍。


上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• 函数代码 01 – 读输出状态

  函数代码 01 – 读输出状态函数使用该函数可以从从站中读取各个位。起始地址驱动程序并不检查位起始地址参数，因此将参数原封不动地发送出去。位数对于位数（线圈数），允许 1 和 2040 之间的任何值（对于 ET 200S 1SI Modbus，位数较多为 2008）。SEND 源 DBSEND 源区域的结构：地址名称类型初始值注释+0.0地址BYTEB#16

• S7-1200PLC硬件检测

  一、自动检测CPU主机架硬件信息如果您可以使用电脑在线连接 S7-1200CPU，且CPU的扩展模板都已经被插接完毕，您可以使用自动检测这种更为简便的方式完成设备的硬件配置。CPU处于出厂设置，用户**下载设备配置到CPU，也**为CPU分配IP地址，也可采用"自动检测"方式完成设备配置。1、添加新设备，选择“控制器”，在“SIMATIC S7-1200”下面选择“非特定的CPU 1200”，在右

• Configuring Timer DI operating mode

  Configuring Timer DI operating modeTimer DITimer DI operating mode allows you to acquire the switching time of up to two edges per application cycle (for example OB 91, OB 6x), for example f

• 标准函数的移植 (WinCC V7)

  标准函数的移植 (WinCC V7)标准函数的移植标准函数是 WinCC 运行系统安装的一部分，因此不会被移植。如果在 WinCC V7 项目中更改了标准函数的源代码，则更改在移植过程中会丢失。标准函数“ OnDeactivateExecute”标准函数“OnDeactivateExecute”移植到具有“运行系统停止”触发器的任务。自定义标准函数自定义标准函数保存在 WinCC V7 的“APL