联诚Smart Control安全加密功能详解：守护工业控制系统的三道防线

在工业自动化项目中，程序安全与知识产权保护同样重要。未经授权的复制、修改或篡改，不仅可能带来商业损失，还可能导致设备运行异常，甚至引发安全事故。

联诚科技Smart Control软件为此提供了完善的安全加密功能，通过用户管理与权限设置，实现对设备、工程文件以及具体程序单元（POU）的多层级保护。

Smart Control支持密码、加密狗和证书三种加密方式，本文档重点介绍基于密码的加密方法 ，从设备加密、工程加密、POU加密三个方面，分步骤讲解如何高效使用Smart Control的安全加密功能。

本教程基于以下开发条件：

硬件版本：MC512控制器（MC512-CPU2A314G1616D）和EC400-PS2开关电源。

软件版本： Smart Control V5.0。

图1 网络拓扑

设备加密

设备加密可达到的效果是可以指定PLC设备的使用权，在不知密码的情况下将无法用Smart Control与PLC连接、无法登录设备。

1. 设备出厂

原设备出厂不设置任何加密方式，Smart Control可直接与PLC连接、登录。如图 2所示。

图2 无密码设置

2. 实施用户管理（设备加密）

设备窗口双击Device-通信设置-设备-修改Runtime安全策略-设备用户管理-新策略更改为“实施用户管理”-确定

图3 修改Runtime安全策略

图4 实施用户管理

确定以后重新设置激活路径。

图5 重新设置激活路径

根据提示信息点击“是”。

图6 提示信息

之后添加设备用户，包括用户名称和密码。此处以admin为用户名称，admin0为密码为例。

图7 添加用户设备

确认后则弹出设备用户登录的弹窗，输入刚才设定的用户名称和密码。

图8 设备用户登录

确定后则与PLC连接成功。

3. 退出用户管理

上述加密实施登录用户管理后，登录设备将不再受限，如需启用加密则退出当前用户后加密登录再次生效。

在线-安全-注销当前在线用户

图9 注销用户

4. 取消用户管理（设备解密）

登录后在Device界面-设备-修改Runtime安全策略-设备用户管理-新策略更改为“可选用户管理”-确定

图10 设备解密

此操作后需要初始化设备。

右键Device-初始复位设备[Device]-输入用户名称和密码。

图11 初始复位设备[Device]

图12 确认初始复位设备[Device]

此后设备加密取消，恢复为无密码状态。

工程加密

工程加密可达到的效果是将整个工程文件加密，加密后再次打开时需要输入密码方可查看工程文件、程序。

1. 工程加密密码设定

点击工程-工程设置-安全-加密-密码-设置相应密码。这里以admin1为密码为例。

图13 工程设置

图14 密码设置

密码设置后注意需要保存，再次打开则弹出输入密码的弹窗。

图15 输入密码

到此工程加密密码设定完成。

2. 密码取消

点击工程-工程设置-安全-选择“没有保护”或“完整性检查”后确定。并保存文件。

图16 确定

此后再次打开工程则不需要输入密码。

POU加密

Smart control的POU加密是基于用户和组的机制。用户和用户组配置：默认有一个用户owner和两个用户组 everyone、owner，everyone用户组是不用登陆的任何人的权限，owner用户组是最高权限，其密码为空。owner用户同时是everyone用户组和owner用户组的成员。

图17 用户

图18 组

1. Owner用户的处理

由于Owner用户具有最高权限并且密码为空， Owner用户权限可以覆盖其他用户，所以需要给Owner用户的空密码设置有效密码。流程如下：工程-工程设置-用户和组-用户-Owner-编辑-输入“旧密码”、“新密码”和“确认密码”。

图19 工程设置

输入Owner用户的旧密码（空），设置新密码（admin）。

图20 Owner密码更改

2.添加一个新用户和组

流程如下：工程-工程设置-用户和组-组-添加-输入新的组名称“LicOS”。

添加组的操作需要具有Owner用户的权限方可操作，再弹出的登录界面输入用户名：Owner，密码：admin，随后确认。则添加组成功。

图21 添加组

接着再添加一个LicOS用户组下的新用户。流程如下：工程-工程设置-用户和组-用户-添加-输入新的用户名称“PLC/PAC”以及密码“PLC/PAC”。需注意要勾选用户“PLC/PAC”属于组“LicOS”。

图22 确定

3. 设置对应的POU权限

分别可以对“窗口”、“修改”、“移除”和“添加/删除子项”四种操作方式设置权限。

●“窗口”是打开查看对应的POU；

●“修改”是修改内容；

●“移除”是删除、移除内容；

●“添加/删除子项”是对子项的添加、删除操作。

权限类型分为“授权”、“拒绝”和“清除”。

●“授权”是该用户组里的用户登陆后授权其权限；

●“拒绝”是直接拒绝该用户的权限；

●“清除”是清除“授权”、“拒绝”两种权限。

选择需要权限加密的POU右键-属性-访问控制-将组“Everyone” 的窗口权限都设置为“拒绝”，“LicOS”的窗口权限都设置为“授权”。

图23 设置权限

由于刚才添加组、添加用户等一系列操作已经登录了用户“Owner”，所以在验证其加密作用前需要先注销用户“Owner”。

图24 Owner登录情况

注销用户流程如下：工程-用户管理-注销用户

图25 Owner注销情况

4.验证权限加密

双击打开刚才设置访问权限的POU。

图26 确定

5. 密码管理器

为了方便访问对应内容，简便密码输入流程，可以创建一个密码管理器，在输入密码时直接使用保存的密码管理器。

图27 创建密码管理器

使用密码管理器

图28 使用密码管理器

Smart Control的安全加密功能提供了从整体项目 到单一POU的全方位保护。

设备加密：守住连接入口；

工程加密：保护核心项目；

POU加密：实现权限细分。

通过合理应用这三种加密方式，企业既能保护知识产权，又能降低因误操作或恶意行为带来的风险，为自动化系统的稳定运行构筑坚实屏障。