在工業(yè)自動化項目中,程序安全與知識產(chǎn)權(quán)保護同樣重要�。未經(jīng)授權(quán)的復(fù)制、修改或篡改,不僅可能帶來商業(yè)損失�����,還可能導(dǎo)致設(shè)備運行異常�����,甚至引發(fā)安全事故��。
聯(lián)誠科技Smart Control軟件為此提供了完善的安全加密功能�,通過用戶管理與權(quán)限設(shè)置�,實現(xiàn)對設(shè)備、工程文件以及具體程序單元(POU)的多層級保護���。
Smart Control支持密碼�����、加密狗和證書三種加密方式�����,本文檔重點介紹基于密碼的加密方法 �����,從設(shè)備加密��、工程加密�����、POU加密三個方面����,分步驟講解如何高效使用Smart Control的安全加密功能。
本教程基于以下開發(fā)條件:
硬件版本:MC512控制器(MC512-CPU2A314G1616D)和EC400-PS2開關(guān)電源���。
軟件版本: Smart Control V5.0�。
圖1 網(wǎng)絡(luò)拓撲
設(shè)備加密
設(shè)備加密可達到的效果是可以指定PLC設(shè)備的使用權(quán)����,在不知密碼的情況下將無法用Smart Control與PLC連接、無法登錄設(shè)備�����。
1. 設(shè)備出廠
原設(shè)備出廠不設(shè)置任何加密方式���,Smart Control可直接與PLC連接���、登錄��。如圖 2所示�����。
圖2 無密碼設(shè)置
2. 實施用戶管理(設(shè)備加密)
設(shè)備窗口雙擊Device-通信設(shè)置-設(shè)備-修改Runtime安全策略-設(shè)備用戶管理-新策略更改為“實施用戶管理”-確定
圖3 修改Runtime安全策略
圖4 實施用戶管理
確定以后重新設(shè)置激活路徑�。
圖5 重新設(shè)置激活路徑
根據(jù)提示信息點擊“是”��。
圖6 提示信息
之后添加設(shè)備用戶�,包括用戶名稱和密碼。此處以admin為用戶名稱����,admin0為密碼為例。
圖7 添加用戶設(shè)備
確認后則彈出設(shè)備用戶登錄的彈窗�����,輸入剛才設(shè)定的用戶名稱和密碼�。
圖8 設(shè)備用戶登錄
確定后則與PLC連接成功。
3. 退出用戶管理
上述加密實施登錄用戶管理后���,登錄設(shè)備將不再受限���,如需啟用加密則退出當(dāng)前用戶后加密登錄再次生效。
在線-安全-注銷當(dāng)前在線用戶
圖9 注銷用戶
4. 取消用戶管理(設(shè)備解密)
登錄后在Device界面-設(shè)備-修改Runtime安全策略-設(shè)備用戶管理-新策略更改為“可選用戶管理”-確定
圖10 設(shè)備解密
此操作后需要初始化設(shè)備��。
右鍵Device-初始復(fù)位設(shè)備[Device]-輸入用戶名稱和密碼����。
圖11 初始復(fù)位設(shè)備[Device]
圖12 確認初始復(fù)位設(shè)備[Device]
此后設(shè)備加密取消,恢復(fù)為無密碼狀態(tài)�。
工程加密
工程加密可達到的效果是將整個工程文件加密,加密后再次打開時需要輸入密碼方可查看工程文件���、程序�。
1. 工程加密密碼設(shè)定
點擊工程-工程設(shè)置-安全-加密-密碼-設(shè)置相應(yīng)密碼�。這里以admin1為密碼為例。
圖13 工程設(shè)置
圖14 密碼設(shè)置
密碼設(shè)置后注意需要保存���,再次打開則彈出輸入密碼的彈窗���。
圖15 輸入密碼
到此工程加密密碼設(shè)定完成��。
2. 密碼取消
點擊工程-工程設(shè)置-安全-選擇“沒有保護”或“完整性檢查”后確定�。并保存文件����。
圖16 確定
此后再次打開工程則不需要輸入密碼。
POU加密
Smart control的POU加密是基于用戶和組的機制��。用戶和用戶組配置:默認有一個用戶owner和兩個用戶組 everyone����、owner,everyone用戶組是不用登陸的任何人的權(quán)限�,owner用戶組是最高權(quán)限����,其密碼為空。owner用戶同時是everyone用戶組和owner用戶組的成員���。
圖17 用戶
圖18 組
1. Owner用戶的處理
由于Owner用戶具有最高權(quán)限并且密碼為空�����, Owner用戶權(quán)限可以覆蓋其他用戶��,所以需要給Owner用戶的空密碼設(shè)置有效密碼���。流程如下:工程-工程設(shè)置-用戶和組-用戶-Owner-編輯-輸入“舊密碼”���、“新密碼”和“確認密碼”。
圖19 工程設(shè)置
輸入Owner用戶的舊密碼(空)���,設(shè)置新密碼(admin)���。
圖20 Owner密碼更改
2.添加一個新用戶和組
流程如下:工程-工程設(shè)置-用戶和組-組-添加-輸入新的組名稱“LicOS”。
添加組的操作需要具有Owner用戶的權(quán)限方可操作����,再彈出的登錄界面輸入用戶名:Owner,密碼:admin�����,隨后確認���。則添加組成功�����。
圖21 添加組
接著再添加一個LicOS用戶組下的新用戶���。流程如下:工程-工程設(shè)置-用戶和組-用戶-添加-輸入新的用戶名稱“PLC/PAC”以及密碼“PLC/PAC”���。需注意要勾選用戶“PLC/PAC”屬于組“LicOS”。
圖22 確定
3. 設(shè)置對應(yīng)的POU權(quán)限
分別可以對“窗口”����、“修改”、“移除”和“添加/刪除子項”四種操作方式設(shè)置權(quán)限���。
●“窗口”是打開查看對應(yīng)的POU�;
●“修改”是修改內(nèi)容�����;
●“移除”是刪除�����、移除內(nèi)容���;
●“添加/刪除子項”是對子項的添加�����、刪除操作�。
權(quán)限類型分為“授權(quán)”����、“拒絕”和“清除”。
●“授權(quán)”是該用戶組里的用戶登陸后授權(quán)其權(quán)限���;
●“拒絕”是直接拒絕該用戶的權(quán)限�;
●“清除”是清除“授權(quán)”���、“拒絕”兩種權(quán)限��。
選擇需要權(quán)限加密的POU右鍵-屬性-訪問控制-將組“Everyone” 的窗口權(quán)限都設(shè)置為“拒絕”�����,“LicOS”的窗口權(quán)限都設(shè)置為“授權(quán)”�����。
圖23 設(shè)置權(quán)限
由于剛才添加組�、添加用戶等一系列操作已經(jīng)登錄了用戶“Owner”,所以在驗證其加密作用前需要先注銷用戶“Owner”�����。
圖24 Owner登錄情況
注銷用戶流程如下:工程-用戶管理-注銷用戶
圖25 Owner注銷情況
4.驗證權(quán)限加密
雙擊打開剛才設(shè)置訪問權(quán)限的POU����。
圖26 確定
5. 密碼管理器
為了方便訪問對應(yīng)內(nèi)容,簡便密碼輸入流程��,可以創(chuàng)建一個密碼管理器�����,在輸入密碼時直接使用保存的密碼管理器�。
圖27 創(chuàng)建密碼管理器
使用密碼管理器
圖28 使用密碼管理器
Smart Control的安全加密功能提供了從整體項目 到單一POU的全方位保護。
設(shè)備加密:守住連接入口���;
工程加密:保護核心項目����;
POU加密:實現(xiàn)權(quán)限細分����。
通過合理應(yīng)用這三種加密方式,企業(yè)既能保護知識產(chǎn)權(quán)��,又能降低因誤操作或惡意行為帶來的風(fēng)險��,為自動化系統(tǒng)的穩(wěn)定運行構(gòu)筑堅實屏障��。
