安全通信的过程下图简要说明了通信的建立方式(“握手”),并着重介绍了数据交换(此处,通过 HTTP over TLS)所用密钥的协商过程。该过程在理论上适用于以使用 TLS 为基础的所有通信选项,即,也适用于安全的开放式用户通信(请参见安全通信基础)。在本示例图中并不涉及 Alice 端(浏览器端)对 Web 服务器所发送证书的验证措施。Alice能 否信任传送的 Web 服务器证书,并而信任该 Web 服务器的身份以及允许数据交换,取 决于验证结果。 验证 Web服务器可靠性的步骤如下: 1. Alice 必须获得所有相关证书颁发机构的公钥,即,必须拥有整个证书链,才能对该 Web 服务器证书(即,Web 服务器的Zui终实体证书)进行验证。 Alice 的证书存储器中通常包含所需的根证书。安装 Web浏览器时,将自动安装所有可信的 Root 证书。如果她没有根证书,则需要从证书颁发机构下载该证书并将其安装到浏览器的证书存储器内。证书颁发机构还可以是该 Web 服务器所处的设备。 可通过以下几种方式获得中间证书: –服务器本身以签名消息的方式将所需中间证书连同其Zui终实体证书一并发送给 Alice, 这样,Alice 即可对证书链的完整性进行检查。– 在这些证书中,通常包含证书签发者的 URL。Alice 可通过这些 URL 加载所需的中间 证书。 在 STEP 7中处理证书时,始终假设已将所需中间证书和根证书导入到项目中,并已将其分配 给模块。 2. Alice使用这些证书的公钥,对证书链中的签名进行验证。 3. 对称密钥必须已生成并且已传送至 Web服务器。 4. 如果采用域名寻址 Web 服务器,则 Alice 需要根据 RFC 2818 中定义的 PKI 规则验证该 Web 服务器的身份。由于该 Web 服务器的 URL(在这种情况下,为“Fully Qualified DomainName”(FQDN))保存在 Web 服务器的Zui终实体证书内,Alice 可对该 Web 服务器的身份进行验证。如果字段“Subject Alternative Name”中的证书项与浏览器地址栏中的一致,则通 过验证。之后,即可通过对称密钥进行数据交换,如上图所示。 参见 Web 服务器的证书 (页 1386) 安全通信要求(S7-1200, S7-1500, S7-1500T) 保护机密的组态数据 (S7-1200, S7-1500, S7-1500T)基于证书的协议需要私钥才能正常发挥作用,并且私钥必须获得妥善保护,如有关安全通信 的基本信息中所述。 在 STEP 7 V17及以上版本中,可通过密码保护这些密钥和其它需保护的数据:保护机密 PLC 组态数据的密码。 如果已采取相应措施保护 TIAPortal 项目和 CPU 组态防止未经授权的访问,则可以不使用密 码。 无论是否分配密码:TIA Portal都会生成用于保护机密 PLC 组态数据的密钥信息。此密码对 安全通信过程没有影响。用于保护机密 PLC组态数据的密码的复杂度决定了私钥受到 保护的程度。 提供密钥信息是进行安全通信(例如,基于 TLS 的 PG/HMI间安全通信)的先决条件:只有 此密钥信息可用时,CPU 才能处理安全通信所需的证书。 下图显示了所描述的关系。
安全设置向导 将硬件目录中的CPU 添加到 TIA Portal 中支持 PG/HMI 安全通信的项目时,该 CPU 的安全设 置向导随即启动。在该向导中,将逐步完成以下 CPU 设置: • 保护机密 PLC 组态数据的密码 • PG/PC 和 HMI 通信模式 • 访问等级在向导中,将这些设置逐一进行详细说明。Zui后,在总览中统一显示所有设置。 在 TIA Portal的网络视图中更换模块,该向导也将启动。与替换下来的 CPU 不同,新 CPU 支 持 PG/HMI 安全通信。向导中的所有设置都将应用到巡视窗口(CPU 属性)中。 通过 CPU 属性中“保护与安全”(Protection &Security) 区域内的“开始”(Start) 按钮,可随随 时启动该向导。 要求 • TIA Portal 版本 V17及以上版本 • CPU 支持 PG/HMI 间安全通信(S7-1500 CPU 固件版本 V2.9 及以上版本) • CPU尚未下载,或使用选项“删除用于保护机密 PLC 组态数据的密码”(Delete password for protection ofconfidential PLC configuration data) 将 CPU 复位为出厂设置 操作步骤 1.在网络视图或设备视图中打开 CPU 属性。 2. 导航至区域“保护与安全 > 保护 PLC 组态数据”(Protection &Security > Protection of the PLC configuration data)。结果:启用“保护机密 PLC 组态数据”(Protect confidential PLC configuration data)选项, 用于输入密码的空白字段以红色突出显示。 3. 通过“设置”(Set) 按钮组态密码(推荐)或禁用“保护机密 PLC组态数据”(Protect confidential PLC configuration data) 选项。 4.完成组态并创建用户程序。 5. 下载到 CPU。 下载硬件配置时,系统将要求用户重新输入一次密码。 背景:在 TIA Portal中使用已组态的密码来生成密钥信息,以保护机密组态数据。出于安全 原因,密码和密钥信息均未保存在项目中。为了将密钥信息传送到CPU,在下载硬件配置时 会重新生成密钥信息,此时必须重新输入一次密码。也可在 PG/HMI 与 CPU 之间建立基于证书的通信由于 TIA Portal 版本 V17 及以上版本和 CPU 固件版本 V2.9 (S7-1500) 或 V4.5(S7-1200) 中 的 PG/HMI 通信同样基于证书,在调试过程中,系统将提示用户接受服务器证书。 密码管理的提示和规则 •在密码管理器中管理密码。 • 使用 TIA Portal 的密码策略验证设置来检查新输入的密码是否符合要求,并防止使用简单密码,例如: – 在项目树中,导航至区域“<项目名称> > 安全设置 > 设置”(> Securitysettings > Settings),选择“密码策略”(Password policies) 区域。 –例如,指定密码必须包含的Zui少字符数或Zui少特殊字符数。 • 无需为系统或计算机中的每个 CPU 分配不同的密码。如果满足要求,可以为一组CPU 定 义相同的密码。在更换部件方案中,该策略也具有优势:如果将组密码分配给更换的 CPU,则可减少更换 CPU 的工作量。请注意,如果其中一个 CPU 的密码发生泄露,则采用相同密码的所有 CPU 都面临风险。 • 由于除组态之外,还需将保护机密 PLC组态数据的密码也传送到新(替换)CPU 中,因 此密码的定义也会影响部件的更换方案(参见“更换部件方案的规则(页 397)”)。 • 使用S7-1500R/H CPU时,加载过程中仅将机密 PLC 组态数据的密码加载到其中一个CPU 中。为确保同步过程正常运行且伙伴 CPU 正常运行,同步前需通过“在线与诊断”(Online and Diagnostics)编辑器将该密码传送到伙伴 CPU 中: – 在“在线和诊断”(Online and diagnostics)视图中,可指定区域“保护机密 PLC 组态数 据的密码”(Password to protect confidential PLCconfiguration data)。 – 输入所需密码,并单击“设置”(Set) 按钮。 如果输入的密码正确,则伙伴 CPU可使用受保护的 PLC 组态数据并启动同步过程。 参见 有关保护机密 PLC 组态数据的实用信息 (页 389)使用安全设置向导 (页 1354) 有关保护机密 PLC 组态数据的实用信息 (S7-1200, S7-1500,S7-1500T) 受安全标准保护的安全通信概念包括以下组成部分: •基于密码的密钥信息,用于保护机密组态数据(例如,证书、密码的私钥)。 • 保障参与者(例如,编程设备和 CPU)之间通信的标准化日志(TLS)。“保护机密组态数据”原则 下图简要显示了如何保护标准 S7-1500 CPU 等设备的机密组态数据:首次下载时,两个组件项目和密钥信息将放在不同的存储区中。该项目位于装载存储器(存储卡)中,密钥信息 位于 CPU 的存储区中。对于具有不同存储概念的其它目标系统(例如 S7-1200 CPU、软件控制器),实现方式取决 于相应的存储概念,但存储原理相同。①具有密码保护的机密组态数据的项目(此处:在装载存储器中,即存储卡中) ② 使用受保护机密组态数据的密钥信息(通过密码生成)(此处:在CPU 的存储区中) 两个存储区可提高安全性 涉及的组件像两个匹配的拼图一样彼此相关:项目绑定到下载的密钥信息,下载的密钥信息绑定到组态期间分配的密码。 项目和密钥信息必须匹配,否则 CPU 将无法启动。 两个独立存储区的原理也适用于不带存储卡的S7-1200 CPU 和 S7-1500 CPU 版本,例如软 件控制器或 PLCSim/PLCSimAdvanced。在不带存储卡的版本中,使用两个单独的分区,以 便可以独立管理两个信息项。更改密码 (S7-1200,S7-1500, S7-1500T) 具体操作步骤取决于是否已下载 CPU。如果 CPU 已下载,则包含密钥信息,可以通过该密钥信息使用受密码保护的 PLC 组态数据。