采用 OPC UA的安全通信 在 S7-1500 CPU 固件版本 V2.0 及以上版本中,支持 OPC UA 服务器功能。OPC UASecurity 中也涉及使用 X.509 数字证书进行认证、加密以及数据完整性检查,并且同样采用 Public KeyInfrastructure (PKI)。根据应用的具体要求,可选择不同的安全等级来确保端点安全。以 下规则适用于 OPCUA:安全功能是规范和 OPC UA 堆栈的组成部分,与 TLS 使用相同的加 密算法。 我们将在一个单独章节中,对 OPC UA服务器功能进行介绍。 PG/HMI 间安全通信 在 V17 及以上版本中集成有Zui新型控制器和Zui新型 HMI 设备,TIAPortal、STEP 7 和 WinCC 的主要组件可实现创新型 PG/PC 和 HMI 标准安全通信(简称为 PG/HMI通信)。这种通信方 式的底层协议同样为 TLS。设备相关的安全功能 (S7-1200, S7-1500, S7-1500T)传输层安全 (TLS) 是一种广泛使用的安全协议,可提高传输数据的安全性。对于自动化系统 S7-1200 和 S7-1500,TLS还可用于以下基于证书的应用的安全通信: • Web 服务器(HTTPS 协议框架) • 安全的开放式用户通信(OUC),包括安全电子邮件(TMAIL 应用程序) • PG/HMI 间安全通信 其中,TLS负责对列出的应用的客户端和服务器之间的通信进行身份验证和加密,例如 CPU 的 Web 服务器和显示 CPU 的诊断网页的 Web浏览器之间的通信。 OPC UA 服务器和 OPC UA 客户端(jinxian S7-1500)应用实际上并不直接使用TLS,但使用 的加密过程类似。 TLS 不断发展进步,产生了各种 TLS版本,这些版本在支持的密码套件(标准化加密方法集) 和性能方面存在区别。 互联网工程任务组 (IETF) 负责 TLS协议的描述。以下相关性适用: • TLS 1.3 对应于 RFC 8446 • TLS 1.2 对应于 RFC 5246并非每个设备都支持 RFC 中定义的所有加密方法。建立连接后,客户端和服务 器协商一个双方都支持的方法(Handshake) 以及要使用的参数。
创建证书时支持的加密方法和参数要为新证书生成公钥,请在 TIA Portal 中设置加密方法和加密参数。这些证书参数与具体设 备和所使用的应用程序相关一种可能性:在 CPU 属性中,转到“保护和安全 > 证书管理器”(Protection & Security >Certificate manager) 并生成新的设备证书。可以在“生成证书”(Generate Certificates) 对话框的“证书参数”(Certificate Parameters) 下找到加密方法和加密参数的设置。 示例:RSA 2048代表加密密钥长度为 2048 位的非对称 RSA 加密方法。 下表显示了支持的加密方法和加密参数,具体取决于 CPU应用程序。通过加密确保数据机密 (S7-1200, S7-1500, S7-1500T)消息加密是数据安全的一项重要措施。在通信过程中,加密的消息被第三方截获,这些 潜在的侦听者也无法访问所获取的信息。在进行消息加密时,采用了大量的数学处理机制(算法)。 所有算法都通过一个“密钥”参数,对消息进行加密和解密。对称加密对称加密的关键在于,两个通信伙伴都采用相同的密钥对消息进行加密和解密,如下图所示: Bob 使用的加密密钥与 Alice使用的解密密钥相同。这正是我们常说的,双方共享一个秘密 (即,安全密钥),且通过该密钥对消息进行加密和解密。① Bob采用对称密钥对消息进行加密 ② Alice 采用对称密钥对加密后的消息进行解密该过程类似于一个公文箱,发送方和接收方使用同一把钥匙打开或锁上该公文箱。 • 优势:对称加密算法(例如,AES、AdvancedEncryption Algorithm)的速度较快。 •缺点:如何将密钥发送给接收方,而不会落到其他人手中?此为密钥分发问题。如果收到的消息数量足够大,则可推算出所用的密钥,必须定期更换。 如果通信伙伴比较多,则需分发大量的密钥。 非对称加密在非对称加密技术中使用一对密钥:一个公钥和一个私钥。与 PKI 相关,它还被称为公钥过 程或仅 PKI 过程。通信伙伴(下图中的Alice)拥有一个私钥和一个公钥。公钥对所有人公开。 即,任何通信伙伴都可以获得该公钥。拥有公钥的通信伙伴可对发送给 Alice的消息进行加 密。即下图中的 Bob。 Alice 的私钥为她自己所有而不公开,用于对发送给她的密文进行解密。① Alice将其公钥提供给 Bob。无需采取防范措施即可实现该过程:只要确定采用的是 Alice 的公钥,所有人都可以发消息给 Alice。 ②Bob 使用 Alice 的公钥对消息进行加密。 ③ Alice 使用私钥对 Bob 发送的密文进行解密。由于仅 Alice拥有私有且未公开,只有她才能对该消息进行解密。通过私钥,Alice 可以对使用她所提供的公钥加密的 消息进行解密,而不仅仅只是Bob 的消息。 该系统与邮箱类似,所有人都可以向邮箱发送消息,但只有拥有密钥的人才能删除这些消 息。 •优势:使用公钥加密的消息,仅私钥拥有者才能进行解密。由于在解密时需要使用另一密钥(私钥),加密的消息数量庞大,很难推算出解密密钥。这意味着,公钥 无需保持机密性,而这与对称密钥不同。另一大优点在于,公钥的发布更为方便快捷。在非对称密钥系统中,接收方将公钥发送到发送方(消息加密方)时无需建立专用的安全通道。与对称加密过程相比,可 减少管理密钥所需的工作量。 •缺点:算法复杂(如,RSA,以三位数学家 Rivest、Shamir 和 Adleman 的名字的首字母命名),性能低于对称加密机制。 实际通信中的加密过程 在实际通信过程中(如,与 CPU Web服务器通信和开发式用户安全通信),通常在相关的 应用层之后使用 TLS 协议。例如,应用层采用的协议为 HTTP 或SMTP,详细信息见前文所 述。 例如,TLS (Transport Layer Security)混合采用非对称加密和对称加密(混合加密)机制确 保数据通过 Internet 进行安全传输,并支持以下子协议: • TLSHandshake Protocol 对通信伙伴进行身份验证,并在非对称加密的基础上对后续数据 传输所需的算法和密钥进行协商 •TLS Record Protocol采用对称加密机制对用户数据加密以及进行数据交换。无论是非对称加密还是对称加密,这两种数据安全加密机制在安全性方面没有明显差异。数据安全等级取决于设置的参数,如所选密钥的长度等等。 加密使用不当通过位串,无法指定公钥的身份。欺瞒者可使用他们自己的公钥声明为其他人。如果第三方使用该公钥将其认作是指定的通信伙伴,则将导致机密信息被窃取。之后,欺瞒者再使用自己的密钥对这些本消息进行解密,这些消息本不应发送给他们。Zui终,导致敏感信息泄 露,落入他人之手。为了有效预防此类错误的发生,该通信伙伴必须确信与正确的通信伙伴进行数据通信。此类 信任关系是通过 PKI 中的数字证书建立的。通过签名确保数据的真实性和完整性 (S7-1200, S7-1500, S7-1500T)由能够截获服务器与客户端之间的通信并将自身伪装成客户端或服务器的程序实施的攻击称为中间人攻击。如果未能检测到这些程序的真实身份,它们会通过 S7 程序获取重要信息或 设置 CPU中的值,进而导致设备或工厂遭受攻击。可使用数字证书避免此类攻击。 在安全通信过程中,所用的数字证书符合 InternationalTelecommunication Union (ITU) 的 X.509 标准。该证书用于检查(认证)程序、计算机或组织机构的身份。如何通过证书建立信任关系 X.509 证书主要用于将带有证书主题数据的身份(例如,电子邮件地址或计算机名称)与身份的公钥绑定在一起。身份可以是个人、计算机,也可以是机器设备。 证书由证书颁发机构(CertificateAuthority,CA)或证书所有者签发。而 PKI 系统则指定了 用户信任证书颁发机构及其所签发证书的规则。 证书认证过程: 1.要获取一份证书,需要向与证书颁发机构相关联的注册机构提交一份证书申请。 2. 证书颁发机构将基于既定标准对该申请和申请人进行评估。3. 如果可以清晰识别申请人的身份,则证书颁发机构将签发一份已签名的证书进行确认。申请 人现成为证书持有者。在下图中,对这一过程进行了简要说明。但不涉及 Alice 对该数字签名的检查过程。自签名证书自签名证书是指,由证书所有者而非独立的证书颁发机构签名的证书。 示例: •用户也可以自己创建证书并签名,对发送给通信伙伴的消息进行加密。在上述示例中, Bob(而非Twent)可以使用私钥对自己的证书进行签名。之后,Alice 可使用 Bob 的公 钥检查该签名是否与 Bob的公钥相匹配。该过程可用于简单的工厂内部数据加密通信。 • 例如,Root 证书是一种由证书颁发机构 (CA)签署的自签名证书,其中包含颁发者的公钥。 自签名证书的特性自签名证书的证书持有者和“Issuer”(签发者)的属性“CN”(Common Name of Subject) 完全相同:用户已完成对证书的签名。证书颁发机构的字段“CA”(Certificate Autority) 必须设置为“False”;毕竟,自签名证书不得用于对其它证书进行签名。 自签名证书未包含在 PKI 系统中。 证书内容 符合 X.509 V3标准(STEP 7 和 S7-1500 CPU 使用的同一标准)要求的证书通常包含以下元 素: • 公钥 •证书持有者(即,密钥持有者)的详细信息。例如,Common Name (CN) of Subject •各种属性,如序列号和有效期等等 • 证书颁发机构 (CA) 的数字签名,用于证实信息的正确性。