14－12 文档：几种控制器级通讯方式的安全性对比 TwinCAT各种控制器级通讯的数据安全性.pdf

技术文件_小技巧 TwinCAT 控制器级通讯的数据安全性 倍福广州 陈利君 2018.07.25 软件行业有个安全证认，要求设备在与外界通讯时可以设置变量的访问权限。对于TwinCAT 系 统来说，与外界的控制器级通讯接口包括：Modbus RTU、Modbus TCP、ADS 和OPC UA、OPC DA 等，这几种方式分别可以通过什么机制来允许或者禁止用户对某些变量的访问呢？本例重点在于说 明OPC DA 在数据安全方面的特性和实现方式，另外附上Modbus RTU ，Modbus TCP ，ADS 和OPC UA 的数据安全性对比。 1. 控制变量是否允许访问 在OPC Server 的Configurator 中，通过Device PLC 的AutoCfg 选项，可以控制变量是否允许 OPC Client 访问。 设置AutoCfg 选项的界面： 0 : 不包含AutoCfgSymFile 中指定的Symbol 文件 1 : 包含AutoCfgSymFile 中指定TwinCAT-PLC 项目的Symbol 文件 2 : 包含AutoCfgSymFile 中指定TwinCAT-BCxxxx 项目的Symbol 文件 5 : 从ADS 设备中上载变量标签 7 : 包含AutoCfgSymFile 中指定TwinCAT 28 项目的tpy 文件 8 : 包含AutoCfgSymFile 中指定TwinCAT 28 项目的tpy 文件，但只导入属性OPC=1的变量 该选项设置为8 （Link and Filter to Generic TwinCAT ），就只有注释中添加了OPC=1的变量才 能在Client 中访问。 2. 控制变量读写权限 AutoCfg 选项设置为8 时，通过PLC 中变量名的注释，可以控制变量的读写权限。比如： 第1 页 共 7 页 倍福官方网站： 倍福中国技术服务热线：400-820-7388 在线帮助系统： 倍福中国FTP资料下载： 技术文件_小技巧 上图中，bInternal_0 的OPC 属性为0 ，所以在Client 中选择监视变量的时候，不会出现在例表中。 如果Client 试图对属性为1 （只读）的变量bVar_R 执行“Write”操作，系统提示Failed ，如图： 变量bVar_W 的属性为2 （只写），所以Client 端只显示它的名字，却不刷新它的值： Idea ：这种属性适合用来做什么呢？也许用做密码输入。 3. 常用选项对比 测试时最常用的是选项5，这时候不需要指定AutoCfg 文件，目标控制器里面有什么变量就会 显示什么变量，完全没有过滤，并且全部变量都可读写。 第2 页 共 7 页 倍福官方网站： 倍福中国技术服务热线：400-820-7388 在线帮助系统： 倍福中国FTP资料下载： 技术文件_小技巧 实际项目实施的时候，最常用的选项是1、7、8，对比这3 种方式： 选项 1 是使用.sym 文件，在TwinCAT 2 中可以选择的哪些变量包含在.sym 文件中： 选项7 是使用.tpy 文件，所有变量都会包含在.tpy 中，不能过滤，不能选择。 选项8 是使用.tpy 文件，并且可以精确到每个变量来设置其访问权限。 对比选项 1 和8，各有优缺点。 选项 1 不需要写特殊的变量注释，但只能精确到对象来笼统地设置访问权限。 ——解决办法可以是先把供OPC Client 访问的变