TIA 博途 V17加密方式的升级.pdfVIP

TIA 博途 V17 加密方式的升级 在 TIA Portal V17 之前，S7-1500 加密的通信方式有两种： 1：S7-1500 PLC 之间、PLC 与 PC 使用 TCP （TLS V1.2）通信，通 信双方使用公钥与私钥异步加密双方的通信会话密钥 ，得到密钥后进 行同步加密通信，通信双方需要使用 CA 生成数字证书。这里的 CA 为 PLC 的编程软件 TIA 博途，如图所示。 2：使用 OPC UA 的通信方式。OPC UA 不依赖于操作系统，可以使 用密钥方式进行加密通信，与发送、接收数据不同的是，OPC UA 使 用 server-client 方式，PLC 作为服务器，PC 作为客户端，通信方式 如图所示。这种方式适合 PLC 与 PC 间的通信。有多种通信方式适合 不同应用（读写、注册读写、订阅），通信变量使用符号名称，与 S7-1500 符号编程方式匹配。OPC UA 是一个标准的通信协议，源代 码开放，网上可以下载不同操作系统的客户端应用程序。 在很多项目的实际应用中，对于通信加密的需求日益增加 ，原来 PLC 间只能使用 TCP 方式，而与西门子 HMI 只能使用 OPC UA 方式进行 通信 ，功能上略显不足，因此增加 S7 加密方式很有必要。 SIMATIC 的进入 TIA Portal V17 可以实现端到端的加密通信，S7- 1200/1500 的控制器与控制器之间、S7-1200/1500 控制器与 TIA 博 途工程师站之间和 S7-1200/1500 控制器与 HMI 系统之间的通信基于 TLS 加强保护。 TLS1.3 （Transport Layer Security）使得整个通信过程的机密性和 完整性保护更强，每个 PLC 都可以基于由 TIA Portal 生成的各自的证 书进行唯一标识。敏感的 PLC 配置数据，例如各自证书，可以通过为 每个 PLC 设置用户自定义密码的方式进行保护，以防止未经授权的访 问。 为了降低技术复杂性，确定通过设置向导的方式完成配置过程，降低 使用过程复杂性和产生错误的风险，提高透明度，并最大限度地方便 了用户的处理。向导解释各个选项和设置的优缺点，因此用户更容易 选择正确的配置。如有必要，用户也可以在确认后停用向导。 用户管理和访问控制 对于访问保护一致性的要求，可以配置为不同用户角色的工程师站和 运行版配置不同功能权限。不同于先前的仅划分只读、可读可写两种 模式，最新功能支持根据责任划分用户角色，同一工作站登录相同项 目可以选择不同的用户角色，以此防止未授权的用户入侵受保护的系 统。另外，如果工程师暂时离开工作站，可以根据用户配置时间自动 锁定项目，以防止对项目的任意更改。 用户管理组件 （User Management Component）可选组件允许建 立中央用户管理的。客户可以实现跨软件和设备定义并管理用户和用 户组，也可以接收微软的活动目录(Active Directory)传输的用户和用 户组。 建议的对抗措施： TIA 博途 V17 配合 SIMATIC S7-1200V4.5.0 和 S7-1500 V2.9.2 控 制器最新固件版本(S7-1200 CPU V4.5.0 / S7-1500 CPU V2.9.2)可以 实现以上功能，西门子强烈建议客户更新到最新版本。 此外 S7-1200 和 S7-1500 最新发布的版本固件解决了 CVE-2020- 15782 内存保护绕过漏洞，未经认证攻击者利用该漏洞可以将任意数 据和代码写入受保护的内存区域或读取敏感数据以发动进一步攻击。 针对该漏洞防护的特定方法，