在工业自动化项目中,程序安全与知识产权保护同样重要。未经授权的复制、修改或篡改,不仅可能带来商业损失,还可能导致设备运行异常,甚至引发安全事故。
联诚科技Smart Control软件为此提供了完善的安全加密功能,通过用户管理与权限设置,实现对设备、工程文件以及具体程序单元(POU)的多层级保护。
Smart Control支持密码、加密狗和证书三种加密方式,本文档重点介绍基于密码的加密方法 ,从设备加密、工程加密、POU加密三个方面,分步骤讲解如何高效使用Smart Control的安全加密功能。
本教程基于以下开发条件:
硬件版本:MC512控制器(MC512-CPU2A314G1616D)和EC400-PS2开关电源。
软件版本: Smart Control V5.0。
图1 网络拓扑
设备加密
设备加密可达到的效果是可以指定PLC设备的使用权,在不知密码的情况下将无法用Smart Control与PLC连接、无法登录设备。
1. 设备出厂
原设备出厂不设置任何加密方式,Smart Control可直接与PLC连接、登录。如图 2所示。
图2 无密码设置
2. 实施用户管理(设备加密)
设备窗口双击Device-通信设置-设备-修改Runtime安全策略-设备用户管理-新策略更改为“实施用户管理”-确定
图3 修改Runtime安全策略
图4 实施用户管理
确定以后重新设置激活路径。
图5 重新设置激活路径
根据提示信息点击“是”。
图6 提示信息
之后添加设备用户,包括用户名称和密码。此处以admin为用户名称,admin0为密码为例。
图7 添加用户设备
确认后则弹出设备用户登录的弹窗,输入刚才设定的用户名称和密码。
图8 设备用户登录
确定后则与PLC连接成功。
3. 退出用户管理
上述加密实施登录用户管理后,登录设备将不再受限,如需启用加密则退出当前用户后加密登录再次生效。
在线-安全-注销当前在线用户
图9 注销用户
4. 取消用户管理(设备解密)
登录后在Device界面-设备-修改Runtime安全策略-设备用户管理-新策略更改为“可选用户管理”-确定
图10 设备解密
此操作后需要初始化设备。
右键Device-初始复位设备[Device]-输入用户名称和密码。
图11 初始复位设备[Device]
图12 确认初始复位设备[Device]
此后设备加密取消,恢复为无密码状态。
工程加密
工程加密可达到的效果是将整个工程文件加密,加密后再次打开时需要输入密码方可查看工程文件、程序。
1. 工程加密密码设定
点击工程-工程设置-安全-加密-密码-设置相应密码。这里以admin1为密码为例。
图13 工程设置
图14 密码设置
密码设置后注意需要保存,再次打开则弹出输入密码的弹窗。
图15 输入密码
到此工程加密密码设定完成。
2. 密码取消
点击工程-工程设置-安全-选择“没有保护”或“完整性检查”后确定。并保存文件。
图16 确定
此后再次打开工程则不需要输入密码。
POU加密
Smart control的POU加密是基于用户和组的机制。用户和用户组配置:默认有一个用户owner和两个用户组 everyone、owner,everyone用户组是不用登陆的任何人的权限,owner用户组是最高权限,其密码为空。owner用户同时是everyone用户组和owner用户组的成员。
图17 用户
图18 组
1. Owner用户的处理
由于Owner用户具有最高权限并且密码为空, Owner用户权限可以覆盖其他用户,所以需要给Owner用户的空密码设置有效密码。流程如下:工程-工程设置-用户和组-用户-Owner-编辑-输入“旧密码”、“新密码”和“确认密码”。
图19 工程设置
输入Owner用户的旧密码(空),设置新密码(admin)。
图20 Owner密码更改
2.添加一个新用户和组
流程如下:工程-工程设置-用户和组-组-添加-输入新的组名称“LicOS”。
添加组的操作需要具有Owner用户的权限方可操作,再弹出的登录界面输入用户名:Owner,密码:admin,随后确认。则添加组成功。
图21 添加组
接着再添加一个LicOS用户组下的新用户。流程如下:工程-工程设置-用户和组-用户-添加-输入新的用户名称“PLC/PAC”以及密码“PLC/PAC”。需注意要勾选用户“PLC/PAC”属于组“LicOS”。
图22 确定
3. 设置对应的POU权限
分别可以对“窗口”、“修改”、“移除”和“添加/删除子项”四种操作方式设置权限。
●“窗口”是打开查看对应的POU;
●“修改”是修改内容;
●“移除”是删除、移除内容;
●“添加/删除子项”是对子项的添加、删除操作。
权限类型分为“授权”、“拒绝”和“清除”。
●“授权”是该用户组里的用户登陆后授权其权限;
●“拒绝”是直接拒绝该用户的权限;
●“清除”是清除“授权”、“拒绝”两种权限。
选择需要权限加密的POU右键-属性-访问控制-将组“Everyone” 的窗口权限都设置为“拒绝”,“LicOS”的窗口权限都设置为“授权”。
图23 设置权限
由于刚才添加组、添加用户等一系列操作已经登录了用户“Owner”,所以在验证其加密作用前需要先注销用户“Owner”。
图24 Owner登录情况
注销用户流程如下:工程-用户管理-注销用户
图25 Owner注销情况
4.验证权限加密
双击打开刚才设置访问权限的POU。
图26 确定
5. 密码管理器
为了方便访问对应内容,简便密码输入流程,可以创建一个密码管理器,在输入密码时直接使用保存的密码管理器。
图27 创建密码管理器
使用密码管理器
图28 使用密码管理器
Smart Control的安全加密功能提供了从整体项目 到单一POU的全方位保护。
设备加密:守住连接入口;
工程加密:保护核心项目;
POU加密:实现权限细分。
通过合理应用这三种加密方式,企业既能保护知识产权,又能降低因误操作或恶意行为带来的风险,为自动化系统的稳定运行构筑坚实屏障。
EC200系列CPU是一款高性能小型PLC,充分发挥小型机的单体优势,以超值的性价比为用户小型控制系统提供解决方案。
EC300系列CPU是一款中型PLC,通信接口丰富且拓展性强,为过程控制领域的中小型设备和系统提供稳定、可靠和高性价比的解决方案。
EC400系列CPU是一款大型PLC,具有丰富的通信接口和强大的拓展性,支持双CPU和双PLC冗余,为过程控制领域的大型系统提供稳定、可靠和高性价比的解决方案。
LicOS MC500是一款小型运动控制器,支持总线轴和脉冲轴,在16轴以内或者总线+脉冲混合运动控制场景中,MC500提供稳定可靠、高性价比的混合式运动控制解决方案。
LicOS MC600系列是一款中型运动控制器,它提供稳定可靠、性能强大的混合式运动控制解决方案。
LicOS MC700是专门针对高难度、高精度要求的复杂运动控制系统或设备打造的一款产品,它拥有极强的算力和实时性保证。
GL200系列IO系统以其丰富的模块种类、小巧便利的刀片式设计、高分辨率信号采集和实时反馈能力,为自动化行业提供稳定可靠的解决方案。
GR200系列耦合器,支持EtherCAT与Profinet,实现远程机架扩展,配备24V冗余电源和16通道数字I/O,简化工控自动化集成。
GL100系列IO系统以全面覆盖的模块类型、高分辨率信号处理和灵活的工程组态能力,为用户提供定制化解决方案,满足多样化的工业自动化需求。
LicOS GR100系列耦合器支持EtherCAT和PROFINET双协议,兼容主流设备,适配GL100系列IO模块,提供全面的通道级诊断功能,实现高效系统构建与故障响应。
S2系列伺服驱动器,以全新设计和精巧外观,结合LSM系列伺服电机,提供全面的驱动控制解决方案,实现位置、速度和扭矩的精确切换,确保性能卓越和用户体验的便捷与灵活。
S3系列伺服驱动器以其比S2更紧凑的体积,专为狭窄空间设计,与LSM系列伺服电机的无缝配合,提供适用于各种驱动应用的高性能解决方案,实现灵活的位置、速度和扭矩控制,确保用户享有卓越性能和稳定可靠的操作体验。
LicOS T3系列脉冲型伺服是新一代高性能伺服驱动器,可实现亚微米级别的位置控制精度,可大幅提升工业自动化设备的精座,速度、效率和稳定性。具备通用化和平台化两大特点,支持RS485通信,功率范围涵盖200W~1000VV。
