RSLogix5000编程软件V20版安全加密功能介绍30p.pdf

FactoryTalk Administration Console 简单使用介绍简单使用介绍简单使用介绍简单使用介绍 RSLogix5000 编程软件 V20 版安全加密功能介绍： 一、RSLogix5000 编程软件从 V20 版开始，安全加密功能有所变化。在 V20 版之前，安全加密有 两种操作： 1、对部分程序或指令加密： 使用路径：在 RSLogix5000 项目工程中选择 Tools-Security-Configure Source Protection，这里可 以用不同的密码加密不同的例程，还可以选择被加密的例程是否可见。如下图操作： 如果你的软件里没有 Configure Source Protection 这个选项，可以在 RSLogix5000 安装软件里找到 文件，安装即可。 2、对整个控制器加密： 使用路径：在 RSLogix5000 项目工程中选择 Tools-Logix CPU Security Tool，这里可以通过设定的 密码锁住控制器，防止程序被上传或下载。 二、从 RSLogix5000 编程软件 V20 版开始，上述的两种加密方式中第一种没有变化，还可以照常 使用。第二种加密方式，即 Logix CPU Security Tool 不再有效，RSLogix5000 软件将安全功能扩展 升级，交给 FactoryTalk Administration Console 软件控制！ FactoryTalk Administration Console 是跟随 FactoryTalk Services Platform 2.50 一起自动安装的。您 可以通过 Start-All Programs-Rockwell Software-FactoryTalk Administration Console 路径打开该 软件。 下面是对该软件的一些主要配置，快速教会您使用该软件： ? 打开软件，会弹出如下信息，请选择 Network 选项，点击 OK，打开软件。 以上是您的电脑在安装好 Rockwell 软件后，FactoryTalk Administration Console 软件界面的初始 环境显示。 ? 备份当前初始环境备份当前初始环境备份当前初始环境备份当前初始环境，这一点极为重要这一点极为重要这一点极为重要这一点极为重要！将来您可以还原到初始环境，修正错误设定。鼠标挪 到 Network (THIS COMPUTER)上右键选择 Backup。在弹出的窗口中可以重命名备份文件（不 建议修改），选择保存路径，设定将来还原时是否需要密码（不建议设密码，一旦设置需要 牢记密码）。点击 OK，完成备份。如下图所示： 备份信息中包含当前所有的设定信息，用户组与用户，权限。 ? 备份完成之后，在用户和用户组菜单中，做如下设定。 首先右键选中用户 Users，依次 Users-New-User，在弹出的新用户窗口中，填写新用户信息。 这里，User name 必须填写，他是将来您登陆时要键入的用户名（这里我以 ftadmin 为例，大家 可以根据自己的意思任意创建）。Full name，Description，E-mail 窗口内容可以不填写，这些信 息只是详细描述该用户，帮助理解记忆。接下来的四个选项是该用户登录密码的管理，可以根据 您的实际要求配置。由于我这里要创建的是一个管理员用户，密码选择永远不失效：Password never expires。在最后的两个窗口中，您需要重复键入您要设定的登录密码。该密码的默认长度 在 6 位（包含）至 16 位（包含）之间，可以是字母、数字或它们的组合，字母区分大小写。这 里不支持不支持不支持不支持包括下划线在内的特殊符号。 接下来，选中窗口上部的 Group Membership 选项卡，在新窗口内选中 Add 按钮，在弹出的新窗 口中，我们看到有一个 Administrators 用户组，该用户组是初始环境中自带的。我们选中该用户 组，点击 OK 确认。这样，我们新创建的 ftadmin 用户就是 Administrators 用户组的一员了，它 享有 Administrators 用户组的所有管理权限！ 最后点击 OK，完成新用户的创建。通过上面的设置，我们在 FactoryTalk Administration Console 中有了一个管理员级用户，有了它将来我们就不会被锁在 FactoryTalk Administration Console 软 件之外了！ ? 启用 SSO（Single Sign-on ）功能。 依次展开以下菜单 Network(THIS COMPUTER)-System-Policies-System Policies-Security Policy。 双击打开 Security Policy。通过右侧滚动条把窗口拖到下方，显示出 Single Sign-on Policy Settings 选项。默认设置下，该功能选项为 Disabled。我们用鼠标点中 Disabled 窗口，在下拉菜单中选择 Enabled，这样就启用了该功能。点击 OK 确认并关闭设置窗口。如下面所示： 该功能启用之后，今后打开所有受 FactoryTalk Security 管理的软件（如 RSLogix5000 等），包括 FactoryTalk Administration Console 软件在内，都会首先弹出对话窗口，要求输入用户名和密码 才可以打开该软件！ 现在，您可以测试 SSO 功能了。您先关闭 FactoryTalk Administration Console 软件，然后再次打 开这个软件，会依次弹出如下窗口： 在 Log On to FactoryTalk 窗口中，键入我们之前创建的管理员级用户名 ftadmin 和密码，点击 OK， 这样就重新打开 FactoryTalk Administration Console 软件了。 ? 接下来，从根目录中删除 Windows Administrators 用户组。这样做的目的是收紧安全管理权 限，将来安全权限只针对 FactoryTalk Administration Console 中设定的不同用户组和用户开放， 防止未经授权的用户（仅为这台电脑的一个系统登录用户）管理安全功能！因为我们之前创 建了一个 ftadmin 的管理员用户组的用户，所以这里删掉 Windows Administrators 用户组后， 我们不用担心自己被锁在 FactoryTalk Administration Console 软件之外！ 在弹出的对话窗口中点击 Yes，确认删除。 注：如果您之前不是使用自己创建的管理员用户登录，而是 Windows 开机账户登录打开的 FactoryTalk Administration Console 软件，在您删除 Windows Administrators 用户组后， FactoryTalk Administration Console 软件会出现不响应现象，您无法进行其他操作。这时您需要 关闭 FactoryTalk Administration Console 软件，再重新打开该软件，在弹出的登录窗口中键入您 之前创建的管理员用户名与密码。 ? 修改 All Users 的权限。 FactoryTalk Services Platform CPR9 的默认设置是所有用户（All Users）对所有软件和操作拥 有全部的权限，这意味着您在 FactoryTalk Directory 中创建的用户都有和管理员级用户一样同 等的权限。所以，我们要先删除 All Users 用户，操作如下： 首先，右键点击 Network(THIS COMPUTER)，选择 Security 在弹出的 Security Settings for Network 窗口中选中 All Users，然后点击 Remove。 点击 OK，完成设定。 接下来，右键选中 Network(THIS COMPUTER)-System-Policies-Product Policies，点击 Configure Feature Security。这里我们要对不同的软件产品设定安全管理权限。 在弹出的窗口中，同样删除 All Users，从而取消它对不同产品软件安全策略的干扰！ ? 完成以上配置，我们来丰富 FactoryTalk Directory 下的用户组和用户！关于如何创建新用户， 我之前已经介绍了，这里我们来看如何创建用户组。 右键选中 Network(THIS COMPUTER)-System-Users and Groups-New-User Group， 在上面弹出的 New User Group 窗口中，在 Name 栏内键入你想要创建的用户组名称，其它部分 可以省略，点击 OK 完成创建。这样，你就创建了一个新的用户组 Engineer。 将来，我们可以针对不同的用户组，设定不同的安全控制权限，对不同的软件（Product Policy） 采用不同的操作（Action）！在每个用户组下，可以添加多个用户，每个用户有各自的用户名和 密码，但同一个用户组下的用户具有相同的安全控制权限！ 重复上面的步骤，我又添加了几个用户组和用户，过程省略，如下图所示： ? 不同用户组安全控制权限设置。 右键点击 Network(THIS COMPUTER)，选择 Security 用户组 用户 Administrators FTAdmin Engineer Alan Operator Others No Access test 在不同产品的安全权限设置窗口中，您可以点击产品前的+号，在这里，您会发现我们的安全功 能是非常强大的。以大家最常使用的 RSLogix5000 编程软件为例，在这里您可以针对不同的用户 组，设定不同的使用权限，诸如创建新的项目工程，上传下载，刷新控制器固件，添加修改标签， 添加修改程序，等等。在每一项对应的 Action 功能中，如果你希望该用户组可以拥有这项权限， 就在后面 Allow（允许）方块中打勾，反之则在 Deny（禁止）方块中打勾。 这里需要注意的是，一个用户可以归属于多个用户组。比如创建的 test 用户，我可以把它配置 为既属于用户组 Administrator，又让它属于用户组 No Access。于是问题就出现了，针对某一项 Action，用户组 Administrator 中可能设置为 Allow，而用户组 No Access 中可能设置为 Deny。这 里就有一个权限优先级问题，Deny 选项的权限高于 Allow 选项的权限，就是说一旦有个用户在 某个用户组中 Deny 了一个 Action 权限，那么即使它在其他用户组中 Allow 了该权限，也最终无 权使用这个 Action。 这里为了方便后面的测试，我让 Engineer 用户组拥有 RSLogix5000 编程软件的所有权限，而用户 组 Operator 只享有部分权限，用户组 No Access 不具有任何权限。大致配置如下图。 用户组，每个用户组可包含多个 用户。选中不同的用户组，可以 在下面窗口做不同的权限设置。 不同产品的安全权限设置区。 对于用户组Engineer，我让他拥 有RSLogix5000所有的权限。 对于用户组Operator，我让他 拥有RSLogix5000部分权限。 从显示的窗口中大家可以看 到，我不允许该用户组下的用 户创建、修改程序例程，这样 我们可以在后面通过实验测试 这方面的内容！ ? 安全功能在实际应用中是如何实现的。 通过上面的设置，大家会发现 FactoryTalk Administration Console 的强大安全功能，他对每一款 产品都做了功能上的细化。那么，客户将来怎样在实际项目中使用这个安全软件呢？ 将来负责程序开发的客户工程师，可以像上面介绍的那样一步步设置自己电脑的安全环境，然后 将设定好的环境备份。这个备份好的环境设置文件要妥善保存。工程师在该环境下创建的项目工 程文件一旦选择了安全加密，那么这个被安全加密的程序文件将来只能在该安全环境下被打开编 辑。这样，如果开发程序的工程师想让另外一位工程师在别的电脑上打开编辑自己加密过的程序 文件，就要把他的 FactoryTalk Administration Console 安全环境备份文件拷贝给另一位工程师， 另一位工程师在自己的电脑上还原这个备份文件，这样他们就有了完成相同的安全设置与 ID。 原程序开发工程师可以创建多个用户组和用户，这时他可以根据自己的需要，把其中一个用户的 登录名与密码告诉另一位工程师，另一位工程师可以通过这个用户名与密码在自己还原过的环境 下打开原程序！因为每个用户组都可以设定不同的安全权限，原程序开发工程师可以根据需求， 把不同级别的用户名与密码告诉不同的工程师，让不同的工程师拥有不同的程序编辑权限。 通过上面的介绍，大家应该大致了解了 FactoryTalk Administration Console 是如何实现安全功能 的。但仅做了上面介绍的配置还不够，这里存在一个问题。问题如下： 我首先在 FactoryTalk Administration Console 中退出管理员登录状态： 然后以另一个用户登录，比如我之前创建的 Operator 用户组下的用户 Others。 这时，就好比另一个工程师得到了我给他的备份文件和用户密码，他就可以在自己的电脑上还原 我的安全设置环境，并用这个用户密码登录打开我创建的加密程序。但是，我给他的用户只有部 分权限，可是他可以用这个用户密码登录打开 FactoryTalk Administration Console 软件，就可以 在这个软件里轻易修改自己所在用户组的安全权限，而且还可以创建新的管理员级用户！如此一 来，我苦心设计的安全权限对他就失效了！如下： 所以只完成之前介绍的安全设置还不够，我们还要防止非授权的用户打开、管理 FactoryTalk Administration Console 软件。这部分设置工作如下： 首先以管理员用户管理员用户管理员用户管理员用户登录打开 FactoryTalk Administration Console 软件，然后进入安全设置窗口： 在这里，我们保留管理员用户组 Administrators 功能不变，针对用户组 Operator，我不让它下面 的用户登陆打开 FactoryTalk Administration Console 软件进行配置，我做如下操作： 修改安全设置，从而扩大当前用 户的权限！ 添加新的用户，让新用户属于 Administrators用户组，从而具 有全部的权限，然后再用新的 管理员用户登录，解除对自己 的限制！ 针对用户组 Engineer，做如下操作： 选中用户组Operator，我们在 下面的设置窗口中把Common 项选成Deny。 选中用户组Engineer，我们在下面 的设置窗口中把Common项的前两 项：Configure Security和Create Children选成Deny。 完成上述设定后，我们来测试一下： 以用户组 Operator 的用户 Others 登录，我们可以看到下面内容： 我们再以用户组 Engineer 的用户 Alan 登录，我们可以看到下面内容： 虽然以这个用户登录可以打开 FactoryTalk Administration Console软 件。但是我们可以看到，Network (THIS COMPUTER)目录下没有任何菜单显示， 也就无法进行任何安全设置！ 虽然以这个用户登录可以打开 FactoryTalk Administration Console软 件，也可以看到Network (THIS COMPUTER)目录下的菜单。但右键选中 Network (THIS COMPUTER)，我们会看 到之前出现在最下方的Security选项不 见了，也就是我们无法修改用户的安全 权限！ 我们再来看创建新用户！ 我让新用户成为用户组 Administrators 的成员。 点击 OK 进行创建，显示如下报警： 从中可以看出，以上两种设置都可以防止非授权用户修改 FactoryTalk Administration Console 软 件的安全设置！ 完成上述设置，FactoryTalk Administration Console 软件的安全设置基本完成，这时您需要为新 的设置创建一个新的 FactoryTalk Security Authority Identifier。下面，会介绍 FactoryTalk Security Authority Identifier 的创建。 该报警说明您没有权限创 建用户组Administrators 的用户！ ? 创建新的 FactoryTalk Security Authority Identifier 完成上述用户组安全权限设定之后，我们需要创建一个新的 FactoryTalk Security Authority Identifier。具体步骤如下： 在弹出的对话窗口中，选择 Generate ID。如下所示： 接下来会弹出下面的窗口，提示新的 Security Authority Identifier 被创建好了，这个新的 ID 号码 为 86DA82F9-BEC4-49FC-BE7B-8049C227ACC1，这组 16 进制的数字串是基于您系统和时间创建的， 也是唯一的，从而保证了他的安全性。接下来您可以点击 Close 关闭该窗口。 ? 备份新的安全环境。 创建了新的 Security Authority Identifier 之后，首先要做的就是备份当前环境。您可以在上面新 ID 创建成功的提示窗口中选择 Backup 按钮直接备份，也可以像前面介绍的那样备份。 在弹出的窗口中，我们可以看到新的备份文件名称、保存路径、是否是密码保护等信息。从备份 文件名称：Network-86DA82F9-BEC4-49FC-B 和当前的新 Security Authority Identifier 号码： 86DA82F9-BEC4-49FC-BE7B-8049C227ACC1 中可以看到，它们是一一对应的，所以不建议大家修 改备份文件名。 点击 OK，完成备份，会弹出下面的窗口，确认备份成功。再点击 OK 关闭窗口。 至此，所有的安全设置完成。接下来我们实际测试一下！ 首先，打开 RSLogix5000 编程软件。双击 RSLogix5000 图标，弹出如下窗口： 打开 RSLogix5000 软件后，我们创建一个新的项目工程，并为该工程设置安全加密功能，即在 Security Authority 选项时选择安全加密，配置如下： 这说明FactoryTalk Administration Console软 件中的SSO功能已经启用，需要用户通过用 户名与密码才能打开该软件。你用什么权限 的用户登录，在RSLogix5000编程软件中就 只拥有该用户的权限！ 这里，我用Engineer用户组的用户Alan登 录打开RSLogix5000编程软件。通过前面的 设置我们知道，Engineer用户组拥有 RSLogix5000软件的全部权限！ 点击保存按钮，然后关闭这个新创建的项目工程。 接下来，双击桌面上这个新创建的项目工程图标，再次打开它。在弹出的登录窗口中， 使用用户组 Operator 的用户 Others 登录，该用户只拥有 RSLogix5000 软件的部分权限。如下所 示： 接下来，我们再测试非授权环境下能否打开该程序。首先将 FactoryTalk Administration Console 软件还原到另外一个环境下，这里我们用之前备份过的初始安装环境进行试验。 这里可以看到，该用户虽然可以打开该项目 工程，但是无法创建新的Routine，也无法在 已有的例程中编写新的指令代码，图中这些 区域显示为灰色，不可编辑！ 点击 Finish 完成还原，这时您的电脑就相当于另外一台电脑了，没有您之前设置的安全环境。这 时您再双击打开之前创建的项目工程，会弹出如下报警，提示您无权打开这个加密的工程！ 以上就是 FactoryTalk Administration Console 软件安全功能的部分测试，更多详细内容大家可以 查阅网上手册，比如，通过设置来限制 ControlLogix 控制器只能通过背板上的某个槽位的通讯模 块进行数据读取等功能。当设置了安全加密的程序下载到控制器中后，同样，只有拥有相同安全 环境的电脑以正确的用户名与密码，才可以连上控制器，读取程序。 因为我们之前勾选了密码保 护，但是没有设置密码，所以 这里直接点击OK即可。 最后最后最后最后实际应用中可能还