SIEMENS西门子 3VA1 IEC断路器 3VA11125ED320AA0

             s7‑1500中，系统特定的一致性数据的大数量： 如果遵循系统中所指定的一致性数据的大数量，则不会产生不一致现象。在程序循环过程中，s7-1500 多可将块中 512 个字节的通信数据一致性地复制到或传出用户存储器。超出该数据区时，将无法确保数据的一致性。如果要定义确保数据的一致性，则 cpu 内用户程序 中的通信数据长度不能超过 512个字节。之后，即可在 hmi 设备上通过 read/write 变量对这 些数据进行一致性访问。如果需一致性传输的数据量超出了系统指定的数据大量，则需在应用程序中使用特殊措施确 保数据的一致性。 确保数据一致性通过指令访问公共数据： 如果在用户程序中通过一些通信指令访问公共数据（如 tsend/trcv），则可使用诸如“done”等参数对该数据区进行访问。因此，在用户程序中使用指令进行数据传输，可确保 通信过程中数据区中数据的一致性。 说明用户程序中采取的具体措施 要确保数据一致性，可将待传输数据复制到一个单独的数据区（如，全局数据块）中。用户程序继续传输源数据时，可通过通信指令将一致性地传输单独数据区中存储的数据。 在复制过程中，系统将使用相应的不可中断型指令，如umove_blk 或 ufill_blk。这些指令 可确保高达 16 kb 的数据一致性。 使用 put/get 指令或通过 hmi通信进行 write/read 操作： 使用 put/get 指令进行 s7 通信或通过 hmi 通信进行 write/read操作时，编程或组态中需考 虑一致性数据区的大小。将 s7-1500 用作服务器时，用户程序没有可用于数据传输的指令。在用户程序运行过程中，可通过 put/get 指令进行数据交换，对 s7-1500 进行更新。但在循环执行用户程序时，不支持对数据进行一致性传输。待传送数据区的长度应小于 512 个字 节。

          更多信息 •有关通信模块所支持的一致性数据大数量，请参见设备手册中的相应技术规范。 • 有关数据一致性的更多信息，请参见 step 7在线帮助中的指令说明。 安全通信安全通信的基础知识有关安全通信的实用信息 在 step 7 (tia portal) v14及更高版本和固件版本 v2.0 及更高版本的 s7-1500 cpu 中，设计 了大量的安全通信选项。 “s7-1500 cpu”是指s7-1500f、s7-1500t、s7-1500c 系列 cpu 和 s7-1500pro cpu 和 et200sp cpu。在后续版本中，其它组件也将支持安全通信（如 ouc 安全通信），详见下一部分。 在 s7-1200 cpu 固件版本 v4.4及以上版本中，还支持安全通信。公钥基础结构 (pki) “安全”(secure) 属性用于识别以 public keyinfrastructure (pki) 为基础的通信机制（例如，rfc 5280 ，用于internet x.509 publickey infrastructure certificate and certificate revocation listprofile）。public key infrastructure (pki) 是一个可签发、发布和检查数字证书的系统。pki 通过签发的数字证书确保计算机通信安全。如果 pki 采用非对称密钥加密机制，则可对网络中的 消息进行数字签名和加密。 在step 7 (tia portal) 中组态用于安全通信的组件，将使用一个非对称密钥加密机制，使用一 个公钥(public key) 和一个私钥 (private key) 进行加密。并使用 tls (transport layersecurity) 作为加密协议。tls 是 ssl (secure sockets layer) 协议的后继协议。安全通信的目的安全通信可用于实现以下目标： • 机密性 即，数据安全/窃听者无法读取。 • 完整性即，接收方接收到的消息与发送方发送的消息完全相同，未经更改。消息在传送过程中未 经更改。 • 端点认证即，端点通信伙伴确实是声称为参与通信的本人。对伙伴方的身份进行检查。 在过去，这些目标通常仅与 it和计算机网络相关。但如今，包含有敏感数据的工业设备和控制系统也开始面临相同的信息安全高风险。这是因为，这些设备它们同样实现了网络互联，因 而必须满足严格的数据交换安全要求。在过去，往往会采用单元保护机制，通过防火墙或 vpn 连接保护自动化单元安全（如，使用 安全模块），而如今同样如此。但是，通过企业内部网或公共网络以加密形式将数据传送到外部计算机变得越来越重要。 安全通信的通用原则 无论采用何种机制，安全通信都基于public key infrastructure (pki) 理念，包含以下组成部 分： • 非对称加密机制： –使用公钥或私钥对消息进行加密/解密。 – 验证消息和证书中的签名。发送方/认证机构通过自己的私钥对消息/证书进行签名。接收方/验证者使用发送方/认证 机构的公钥对签名进行验证。 • 使用 x.509证书传送和保存公钥。 – x.509 证书是一种数字化签名数据，根据绑定的身份对公钥进行认证。 – x.509证书中还包含有公钥使用的详细说明或使用限制。例如，证书中公钥的生效日期 和过期日期。 – x.509证书中还包含证书颁发方的安全相关信息。 在后续的章节中，将简要介绍在 step 7 (tia portal) 中管理证书和编写secure open user communication (souc) 通信指令等所需的基本知识。 使用 step 7进行安全通信： 在 step 7 v14 及其更高版本中，提供了安全通信的组态和操作所需的 pki。 示例： • 基于 tls(transport layer security) 协议，将 hypertext transfer protokoll (http)转换成 hypertext transfer protokoll secure (https)。由于 https 中集成了 http和 tls 协议，因 此在相应的 rfc 中，又称为“http over tls”。在该浏览器中，可清楚地查看到所用的协议 为https：浏览器地址栏中 url 为。在大多数浏览器中，这类的安 全连接将突出显示。 • 将 open usercommunication 转换为 secure open user communication。这种通信方式的 底层协议同样为tls。 • 电子邮件服务提供商同样支持基于“secure smtp over tls”协议进行访问，从而提高电子邮件通信的安全性。采用 opc ua 的安全通信 固件版本 v2.0 及更高版本的 s7-1500 cpu 中，具有 opc ua服务器功能。opc ua security 中 也涉及使用 x.509 数字证书进行认证、加密以及数据完整性检查，并且同样采用public key infrastructure (pki)。根据应用的具体要求，端点安全可选择不同安全等级。我们将在一个单独章节中对 opc ua 服务器功能进行介绍。 pg/hmi 间安全通信 在 v17 及以上版本中集成有新型控制器和新型 hmi设备，tia portal、step 7 和 wincc 的主要组件可实现创新型 pg/pc 和 hmi 标准安全通信（简称为pg/hmi 通信）。 更多信息 有关 opc ua 的更多信息，请参见“将 s7-1500 用作 opc ua 服务器(页 178)”部分。 有关安全编程设备/hmi 通信的更多信息，请参见“pg/hmi 间安全通信设备相关的安全功能 传输层安全(tls) 是一种广泛使用的安全协议，可提高传输数据的安全性。对于自动化系统 s7-1500，tls用于以下基于证书的应用的安全通信： • web 服务器（https 协议框架） • 安全的开放式用户通信(ouc)，包括安全电子邮件（tmail_c 指令） • pg/hmi 间安全通信 tls负责对所列应用的客户端和服务器之间的通信进行身份验证和加密并保证完整性，例如 cpu 的 web 服务器和显示 cpu 的诊断网页的web 浏览器之间的通信。 opc ua 服务器和 opc ua 客户端应用实际上并不直接使用 tls，但使用的加密过程类似。 tls不断发展进步，产生了各种 tls 版本，这些版本在支持的密码套件（标准化加密方法集） 和性能方面存在区别。 互联网工程任务组(ietf) 负责 tls 协议的描述。以下相关性适用： • tls 1.3 对应于 rfc 8446  • tls 1.2对应于 rfc 5246 此外，并非每个设备都支持 rfc 中定义的所有加密方法。因此，建立连接后，客户端和服务器协商一个双方都支持的方法 (handshake) 以及要使用的参数。 支持的 tls 版本 (s7-1500) 下表显示了给定cpu 固件版本中支持的 tls 版本。创建证书时支持的加密方法和参数 要为新证书生成公钥，请在 tia portal中设置加密方法和加密参数。这些证书参数与具体设备 和所使用的应用程序相关 一种可能性：在 cpu 属性中，转到“保护和安全 >证书管理器”(protection & security > certificate manager)并生成新的设备证书。可以在“生成证书”(generate certificates) 对话框 的“证书参数”(certificateparameters) 下找到加密方法和加密参数的设置。 示例：rsa 2048 代表加密密钥长度为 2048 位的非对称 rsa加密方法。 下表根据 cpu 应用或服务列出了支持的加密方法和加密参数。