西門子顯示屏6AV2123-2GA03-0AX0觸摸屏附件

S7- - 1500 中，系統特定的一致性數據的數量：
如果遵循系統中所的一致性數據大數量，則不會產生不一致現象。在程序循環過
程中，S7-1500 可將塊中 512 個字節的通信數據一致性地復制到或傳出用戶存儲
器。超出該數據區時，將無法確保數據的一致性。如果要定義確保數據的一致性，則
CPU 內用戶程序中的通信數據長度不能超過 512 個字節。之后，即可在 HMI 設備上通過
Read/Write 變量對這些數據進行一致性訪問。
如果需一致性傳輸的數據量超出了系統的數據大量，則需在應用程序中使用特殊措
施確保數據的一致性。
確保數據一致性
通過指令訪問公共數據：
如果在用戶程序中通過一些通信指令訪問公共數據（如 TSEND/TRCV），則可使用諸如
“DONE"等參數對該數據區進行訪問。因此，在用戶程序中使用指令進行數據傳輸，可確
保通信過程中數據區中數據的一致性。
說明
用戶程序中采取的具體措施
要確保數據一致性，可將待傳輸數據復制到一個單獨的數據區（如，全局數據塊）中。用
戶程序繼續傳輸源數據時，可通過通信指令將一致性地傳輸單獨數據區中存儲的數據。
在復制過程中，系統將使用相應的不可中斷型指令，如 UMOVE_BLK 或 UFILL_BLK。這
些指令可確保高達 16 KB 的數據一致性。
使用 PUT/GET 指令或通過 HMI 通信進行 Write/Read 操作：
使用 PUT/GET 指令進行 S7 通信或通過 HMI 通信進行 Write/Read 操作時，編程或組態
中需考慮一致性數據區的大小。將 S7-1500 用作服務器時，用戶程序沒有可用于數據傳
輸的指令。在用戶程序運行過程中，可通過 PUT/GET 指令進行數據交換，對 S7-1500
進行更新。但在循環執行用戶程序時，不支持對數據進行一致性傳輸。待傳送數據區的長
度應小于 512 個字節。

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機，西門子人機界面，西門子變頻器，西門子數控伺服，西門子總線電纜現貨供應，*咨詢系列產品，折扣低，貨期準時，并且備有大量庫存.長期有效

公司主營：

更多信息
● 有關通信模塊所支持的一致性數據大數量，請參見設備手冊中的相應技術規范。
● 有關數據一致性的更多信息，請參見 STEP 7 在線幫助中的指令說明。
通信服務
3.6 安全通信
通信
40 功能手冊, 11/2019, A5E03735819-AH
3.6 安全通信
3.6.1 安全通信的基礎知識
在 STEP 7 (TIA Portal) V14 及更高版本和固件版本 V2.0 及更高版本的 S7-1500 CPU
中，設計了大量的安全通信選項。
簡介
“安全"(secure) 屬性用于識別以 Public Key Infrastructure (PKI) 為基礎的通信機制（例
如，RFC 5280 ，用于 Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List Profile）。Public Key Infrastructure (PKI) 是一個可簽發、發布和檢查數
字證書的系統。PKI 通過簽發的數字證書確保計算機通信安全。如果 PKI 采用非對稱密鑰
加密機制，則可對網絡中的消息進行數字簽名和加密。
在 STEP 7 中組態用于安全通信的組件，將使用非對稱密鑰加密機制，該機制使用 Public
Key 和 Private Key 進行加密。同時使用 TLS (Transport Layer Security) 作為加密協議。
TLS 是 SSL (Secure Sockets Layer) 協議的后繼協議。
安全通信的目的
安全通信可用于實現以下目標：
● 機密性
即，數據安全/竊聽者無法讀取。
● 完整性
即，接收方接收到的消息與發送方發送的消息*相同，未經更改。消息在傳送過程
中未經更改。
● 端點認證
即，端點通信伙伴確實是聲稱為參與通信的本人。對伙伴方的身份進行檢查。
在過去，這些目標通常僅與 IT 和計算機網絡相關。但如今，包含有敏感數據的工業設備
和控制系統也開始面臨相同的信息安全高風險。這是因為，這些設備它們同樣實現了網絡
互聯，因而必須滿足嚴格的數據交換安全要求。
在過去，往往會采用單元保護機制，通過防火墻或 VPN 連接保護自動化單元安全（如，
使用安全模塊），而如今同樣如此。
但是，通過企業內部網或公共網絡以加密形式將數據傳送到外部計算機變得越來越重要。
 通信服務
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 41
安全通信的通用原則
無論采用何種機制，安全通信都基于 Public Key Infrastructure (PKI) 理念，包含以下組成
部分：
● 非對稱加密機制：
– 使用公鑰或私鑰對消息進行加密/解密。
– 驗證消息和證書中的簽名。
發送方/認證機構通過自己的私鑰對消息/證書進行簽名。接收方/驗證者使用發送方/
認證機構的公鑰對簽名進行驗證。
● 使用 X.509 證書傳送和保存公鑰。
– X.509 證書是一種數字化簽名數據，根據綁定的身份對公鑰進行認證。
– X.509 證書中還包含有公鑰使用的詳細說明或使用限制。例如，證書中公鑰的生效
日期和過期日期。
– X.509 證書中還包含證書頒發方的安全相關信息。
在后續的章節中，將簡要介紹在 STEP 7 (TIA Portal) 中管理證書和編寫 secure Open
User Communication (sOUC) 通信指令等所需的基本知識。
使用 STEP 7 進行安全通信：
在 STEP 7 V14 及其更高版本中，提供了安全通信的組態和操作所需的 PKI。
示例：
● 基于 TLS (Transport Layer Security) 協議，將 Hypertext Transfer Protokoll 在大多數瀏覽器中，這類的安全連接將突出顯示。
● 將 Open User Communication 轉換為 secure Open User Communication。這種通信
方式的底層協議同樣為 TLS。
● 電子郵件服務提供商同樣支持基于“Secure SMTP over TLS"協議進行訪問，從而提高
電子郵件通信的安全性。
通信服務
3.6 安全通信
通信
42 功能手冊, 11/2019, A5E03735819-AH
下圖顯示了通信層中的 TLS 協議。
圖 3-6 通信層中的 TLS 協議。
采用 OPC UA 的安全通信
固件版本 V2.0 及更高版本的 S7-1500 CPU 中，具有 OPC UA 服務器功能。OPC UA
Security 中也涉及使用 X.509 數字證書進行認證、加密以及數據完整性檢查，并且同樣采
用 Public Key Infrastructure (PKI)。根據應用的具體要求，端點安全可選擇不同安全等
級。有關 OPC UA 服務器的功能說明，請參見“將 S7-1500 用作 OPC UA 服務器
(頁 177)"部分。
3.6.2 通過加密確保數據機密
消息加密是數據安全的一項重要措施。在通信過程中，即使加密的消息被第三方截獲，這
些潛在的偵聽者也無法訪問所獲取的信息。
在進行消息加密時，采用了大量的數學處理機制（算法）。
所有算法都通過一個“密鑰"參數，對消息進行加密和解密。
● 算法 + 密鑰 + 消息 => 密文
● 密文 + 密鑰 + 算法 =>（明文）消息
 通信服務
3.6 安全通信
通信
功能手冊, 11/2019, A5E037

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機，西門子人機界面，西門子變頻器，西門子數控伺服，西門子總線電纜現貨供應，*咨詢系列產品，折扣低，貨期準時，并且備有大量庫存.長期有效

西門子LOGO控制器可編程西門子S7-200PLC模塊西門子S7-300PLC模塊西門子S7-400PLC模塊西門子S7-1200PLC模塊西門子S7-1500PLC模塊西門子V20變頻器西門子V90伺服驅動西門子觸摸屏西門子.828.840D.808.802數控系列西門子數控維修西門子電線電纜西門子傳感器西門子交換機 6GK5 西門子通訊網卡6GK1西門子驅動程序西門子伺服電機西門子數控備件西門子S120驅動系統西門子LOGO控制器可編程西門子S7-200PLC模塊西門子S7-300PLC模塊西門子S7-400PLC模塊西門子S7-1200PLC模塊西門子S7-1500PLC模塊西門子V20變頻器西門子V90伺服驅動

擁有豐富的自動化產品的應用和實踐經驗以及雄厚的技術力量，

35819-AH 43
對稱加密
對稱加密的關鍵在于，兩個通信伙伴都采用相同的密鑰對消息進行加密和解密，如下圖所
示：Bob 使用的加密密鑰與 Alice 使用的解密密鑰相同。即，我們常說的雙方共享一個密
鑰，可通過該密鑰對消息進行加密和解密。
① Bob 采用對稱密鑰對消息進行加密
② Alice 采用對稱密鑰對加密后的消息進行解密
圖 3-7 對稱加密
該過程類似于一個公文箱，發送方和接收方使用同一把鑰匙打開或鎖上該公文箱。
● 優勢：對稱加密算法（如，AES、Advanced Encryption Algorithm）的速度較快。
● 缺點：如何將密鑰發送給接收方，而不會落到其他人手中？此為密鑰分發問題。如果
截獲的消息數量足夠大，則可推算出所用的密鑰，因此必須定期更換。
如果通信伙伴比較多，則需分發的密鑰數量巨大。
非對稱加密
在非對稱加密技術中使用一對密鑰：一個公鑰和一個私鑰。與 PKI 一同使用時，又稱為
公鑰加密系統，簡稱 PKI 加密系統。通信伙伴（下圖中的 Alice）擁有一個私鑰和一個公
鑰。公鑰對所有人公開。即，任何通信伙伴都可以獲得該公鑰。擁有公鑰的通信伙伴可對
發送給 Alice 的消息進行加密。即下圖中的 Bob。
通信服務
3.6 安全通信
通信
44 功能手冊, 11/2019, A5E03735819-AH
Alice 的私鑰為她自己所有而不公開，用于對發送給她的密文進行解密。
① Alice 將其公鑰提供給 Bob。無需采取防范措施即可實現該過程：只要確定采用的
是 Alice 的公鑰，所有人都可以發消息給 Alice。
② Bob 使用 Alice 的公鑰對消息進行加密。
③ Alice 使用私鑰對 Bob 發送的密文進行解密。由于僅 Alice 擁有私有且未公開，因
此只有她才能對該消息進行解密。通過私鑰，Alice 可以對使用她所提供的公鑰加
密的消息進行解密，而不僅僅只是 Bob 的消息。
圖 3-8 非對稱加密
該系統與類似，所有人都可以向發送消息，但只有擁有密鑰的人才能刪除這些消
息。
● 優勢：使用公鑰加密的消息，僅私鑰擁有者才能進行解密。由于在解密時需要使用另
一密鑰（私鑰），而且加密的消息數量龐大，因此很難推算出解密密鑰。這意味著，
公鑰無需保持機密性，而這與對稱密鑰不同。
另一大優點在于，公鑰的發布更為方便快捷。在非對稱密鑰系統中，接收方將公鑰發
送到發送方（消息加密方）時無需建立的安全通道。與對稱加密過程相比，密鑰
管理工作量相對較少。
● 缺點：算法復雜（如，RSA，以三位數學家 Rivest、Shamir 和 Adleman 的名字的
字母命名），因此性能低于對稱加密機制。
 通信服務
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 45
實際通信中的加密過程
在實際通信過程中（如，與 CPU Web 服務器通信和開發式用戶安全通信），通常在相關
的應用層之后使用 TLS 協議。例如，應用層采用的協議為 HTTP 或 SMTP，詳細信息見
前文所述。
例如，TLS (Transport Layer Security) 混合采用非對稱加密和對稱加密（混合加密）機制
確保數據通過 Internet 進行安全傳輸，并支持以下子協議：
● TLS Handshake Protocol，對通信伙伴進行身份驗證，并在非對稱加密的基礎上對數
據傳輸所需的算法和密鑰進行協商
● TLS Record Protocol 采用對稱加密機制對用戶數據加密以及進行數據交換。
無論是非對稱加密還是對稱加密，這兩種數據安全加密機制在安全性方面沒有明顯差異。
數據安全等級取決于設置的參數，如所選密鑰的長度等等。
加密使用不當
通過位串，無法公鑰的身份。欺瞞者可使用他們自己的公鑰聲明為其他人。如果第三
方使用該公鑰將其認作是的通信伙伴，則將導致機密信息被竊取。之后，欺瞞者再使
用自己的密鑰對這些本消息進行解密，雖然這些消息本不應發送給他們。終，導致敏感
信息泄露，落入他人之手。
為了有效預防此類錯誤的發生，該通信伙伴必須確信與正確的通信伙伴進行數據通信。此
類信任關系是通過 PKI 中的數字證書建立的。
3.6.3 通過簽名確保數據的真實性和完整性
由能夠截獲服務器與客戶端之間的通信并將自身偽裝成客戶端或服務器的程序實施的攻擊
稱為中間人攻擊。如果未能檢測到這些程序的真實身份，則將造成諸如 S7 程序、CPU
中設定值等重要信息泄漏，進而導致設備或工廠遭受攻擊。可使用數字證書避免此類攻
擊。
在安全通信過程中，所用的數字證書符合 International Telecommunication Union (ITU)
的 X.509 標準。該證書用于檢查（認證）程序、計算機或組織機構的身份。
通信服務
3.6 安全通信
通信
46 功能手冊, 11/2019, A5E03735819-AH
如何通過證書建立信任關系
X.509 證書主要用于將帶有證書的數據身份（如，電子郵件地址或計算機名稱）與公鑰中
的身份綁定在一起。身份可以是個人、計算機，也可以是機器設備。
證書由證書頒發機構（Certificate Authority，CA）或證書主體簽發。而 PKI 系統則
了用戶信任證書頒發機構及其所簽發證書的規則。
證書認證過程：

西門子顯示屏6AV2123-2GA03-0AX0觸摸屏附件

西門子顯示屏

觸摸屏附件

技術數據

4、HMI觸摸屏TD200 TD400C TP177,

1. 要獲取一份證書，需要向與證書頒發機構相關聯的注冊機構提交一份證書申請。
2. 證書頒發機構將基于既定標準對該申請和申請人進行評估。
3. 如果可以清晰識別申請人的身份，則證書頒發機構將簽發一份已簽名的證書進行確
認。申請人現成為證書主體。
在下圖中，對這一過程進行了簡要說明。但不涉及 Alice 對該數字簽名的檢查過程。
圖 3-9 由證書頒發機構對證書進行簽名
自簽名證書
自簽名證書指，由證書主體而非獨立的證書頒發機構簽名的證書。
示例：
● 用戶也可以自己創建證書并簽名，對發送給通信伙伴的消息進行加密。在上述示例
中，Bob（而非 Twent）可以使用私鑰對自己的證書進行簽名。之后，Alice 將使用
Bob 的公鑰檢查該簽名是否與 Bob 的公鑰相匹配。該過程可用于簡單的工廠內部數據
加密通信。
● 例如，根證書是一種由證書頒發機構 (CA) 簽署的自簽名證書，其中包含證書頒發機
構的公鑰。
 通信服務
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 47
自簽名證書的特性
自簽名證書的證書主體“CN"(Common Name of Subject) 和“Issuer"屬性相同：用戶已完
成對證書的簽名。字段“CA" (Certificate Autority) 需設置為“False"；自簽名證書不得用于
對其它證書進行簽名。
自簽名證書未包含在 PKI 系統中。
證書內容
符合 X.509 V3 標準（同樣用于 STEP 7 和 S7-1500 CPU）要求的證書通常包含以下元
素：
● 公鑰
● 證書主體（即，密鑰持有者）的詳細信息。如，Common Name (CN) of Subject 。
● 各種屬性，如序列號和有效期等等
● 證書頒發機構 (CA) 的數字簽名，用于證實信息的正確性。
除此之外，還包含以下擴展詳細：
over TLS)，以確保 Web 瀏覽器地址欄中的證書同樣屬于該 URL 所的 Web 服務
器。
如何生成并驗證簽名
非對稱密鑰可用于證書的驗證：在“MyCert"證書示例中，介紹了具體的“簽名"與“驗證簽
名"過程。
生成簽名：
1. “MyCert"證書的簽發者使用一個特定的哈希函數（例如，SHA-1，Secure Hash
Algorithm），根據證書數據生成一個哈希值。
該 HASH 值是一個長度固定的位串。HASH 值長度固定的優勢在于，簽名的時間始終
相同。
2. 之后，證書的簽發者再使用由這種方式生成的 HASH 值和私鑰，生成一個數字簽名。
通常采用 RSA 簽名機制。
3. 數字簽名將保存在證書中。此時，證書已簽名。
通信服務
3.6 安全通信
通信
48 功能手冊, 11/2019, A5E03735819-AH
驗證一個簽名：
1. “MyCert"證書的認證方將獲得簽發者簽發的證書和公鑰。
2. 使用簽名時所用的哈希算法（例如，SHA-1），根據證書數據生成一個新的哈希值。