TIA Portal 实现动态加密的高阶玩法,高手必备~
一、概览
当程序密钥过期(默认密钥无效)以后,程序中随机生成了4组4位整数,该组整数为最新License的种子数,将其称之为请求码(Require Code);
收到请求码(Require Code)后,根据不同情况选择不同有效期的密钥类型(LicenseType)后,根据一定规律生成的5组不同的4位整数;
新生成的5组不同的4位整数就是最新密钥,将该密钥输入到程序中,程序就会根据密钥中的有效期长度时间运行;
二、随机数
根据上述描述,密钥首先得生成一组随机数。随机数的产生,现在用得较多的是“线性同余法'就是下面这个式子:
R(n+1)= [R(n) * a + b] MOD c
为使随机数分布尽量均匀,a、b 均为质数, c 一般取值域内的最大值(mod 是求余数)。 从这个式了可以看出,每次产生的随机数都跟上一次产生的数有关系,那么,第一个数是怎么来的呢?这就是线性同余法中必须用的”种子',也就是说,给定某个种子后,所产生的随机数序列是固定的,在编程中,一般使用系统时间来初始化种子,因为每次运行程序的时间肯定不一样,所以产生散列肯定也不一样,从而达到“随机”的目的。PLC程序中就是密钥过期瞬间的时间作为初始化种子的数据。
为了避免PLC中的数据溢出,所以将c的值取为10000,这样每一次产生的随机数为一个4位(小于4位的话前面需要补0)数。
同时,为了让R(n+1)的值也是一直变化的,在程序中a的值也取为一个变化的整数,比如当前年份。
最终程序中确定的a,b,c 的值分别为 a=当前年份, b=1, c=10000。
程序中的密钥包括4组,得到第一个密钥以后,按照一定的规则得到第2-第4个密钥的种子数,如此4个种子数即可得到。
Figure1:随机数生成请求码程序图示
上图可以看到程序中的4组不同的种子数,通过如此多的变换和组数,这样不断组合之后被破解的难度会得到指数级的增长。
三、新密钥
得到请求码(RequireCode)后,基于请求码为种子数,再将请求码套入上述公式中,同时a,b,c 的值可以取跟随机数一样的,也可以为了提高破解难度将a,b,c 的值取为不同的值,这样就得到正确密钥的数据。
程序中将收到的数据跟上述规则计算出的新密钥相比较,若相同则意味着密钥是有效的,就可以将程序解锁。
Figure2:新密钥程序图示
四、密钥有效期
给定的新密钥中需要包含密钥的有效期,否则新密钥输入后不知道可以运行多长时间。目前程序中设置的密钥类型包括6种(一)无限制期限(二)5年期限(三)3年期限(四)1年期限(五)一个季度期限(六)一个月期限;在程序中用一个Int数据来表示当前密钥的类型,与上述6种类型分别一一对应的数值为1-6;
同样,为了将密钥有效期的破解难度增加,也将密钥有效期做一定的规则运算。目前程序中密钥有效期的运算规则为
密钥有效期 = [a* b*密钥类型数值] MOD 10000
程序中的a,b取值为当前年份和当前月份,如此6个不同密钥有效期的最新数据也会一月更新一次,增加破解难度。当然,也可以定义其他更复杂的规则,这样破解难度会成倍增加。
Figure3:密钥有效期程序图示
五、程序逻辑
当程序的密钥过期以后,程序中将会生成一组4个整数的请求码,这四个请求码可以显示在上位机(HMI)上,如下图所示。
Figure4:上位机请求码
同时画面中有5个文本框用于输入新的密钥,如下图所示。其中第一个框用于输入密钥类型,其他4个框为与Figure4中对应的4组新的解码新密钥。
Figure5:上位机新密钥输入
同时在程序中还需要涉及到以下方面的内容管理:
Ø 日期数据:每一种的密钥有效期不同,在程序中先读取当前时间并根据算法解析出当前年份、当前月份、每一个日脉冲等信号,用于后续程序处理。
Figure6:日期结构体数据
Ø 密钥有效期管理:不同密钥有不同时间长度,在程序中将不同密钥的时间长度保存在一个Int数据中,每当一个自然日的脉冲信号后就将该日期减去1,直到该数值为0的时候即意味着需要新的请求码。
Figure7:密钥剩余时间计算
六、新密钥生成工具
根据上述描述,新密钥和请求码之间有复杂的运算关系,若在收到远程请求码后,新的密钥计算也是一个不小的过程。
所以,为了将过程简化,目前在Excel中利用VBA编写了一个窗体程序,用于生成新的密钥。
Figure8:新密钥生成工具
将上位机系统显示的请求码输入到红色框内,然后在蓝色框中选择一种密钥类型,再点击密钥运行(License Run)即可按照文档中描述的规则在绿色框内生成新的密钥(NewLicense)。然后将绿色框内的数据填入上位机系统的新密钥输入区域即可。
后记
以上就是一个标准的密钥管理程序,在PLC中为一个单独的FB块:FB_License_Manager。
当密钥过期后,上位机系统就会弹出一个请求新密钥画面(包含请求码),同时其他画面被锁定无法进入。这样,只有得到新的有效的密钥后,其他画面才能得到解锁;
PLC层面,将相关的数据设置为掉电保持,当密钥过期后生成一个变量,该变量用于系统直接停止,即意味着当密钥过期后,现场设备就会有当前状态进入直接停止。当收到新的有效密钥后,所有的变量即可恢复正常。
【延伸阅读一】基于TIA Portal V15的动态加密计时催款程序
非标行业是一个特殊的行业,面对设备发货到现场后迟迟不肯付款的和找各种理由拒绝搪塞验收的客户,必须的采取非常的手段,其中给设备加密定时锁机是一种优选的方案。一来可以提醒客户要遵守规则要求,按时验收,按时付款,二来不会给客户造成任何的损失,三来避免走法律途径冗繁的手续和律师代理费。
废话不多说,在这里介绍下动态加密计时催块程序的解决思路及博途V15的源程序供各位朋友参考。所谓动态密码,就是所用的解密密码是动态实时生成的,也就是说密码是随时间变化而变化。
过程是这样实现的。当调试人员在项目调试完成后,设置一个到计时天数,当天数到达后设备锁机,HMI上跳出解锁界面,这个时候点击HMI上的生成解锁码按钮,生成解锁码(解锁码是在动态验证码中挑选8位生成的,在此基础上还可以扩展出随机生成的解锁码..........)。
然后客户把解锁码告诉给调试人员,调试人员根据解锁码计算出解密密码告诉给客户解密(调试人员是需要知道这个解密算法)。
加密计时模块
程序块数据结构
程序完成步骤
1、首先调用RD_LOC_T读取日期时间存入到FB块本地临时变量中,读取秒数,根据秒数计算天数
2、调用西门子官方随机数生成块,并将随机数加上索引。
3、将随机数按照索引的顺序,放入相应的寄存器,并转成字符并显示在HMI上,可以看到动态的字符变化的炫酷效果
4、生成解锁码显示在HMI,客户把这个解锁码告诉调试人员,调试人员需要解锁码计算出密码。
5、制作解密算法(这个机密算法根据需要可以自己更改)并强转成DINT类型,并密码核对解密。
6、解密完成复位状态
【延伸阅读二】五种西门子PLC程序加密方法!
大家都知道,很多品牌PLC的程序都可以通过软件解密,那么一旦解密后程序就非常透明的显示在了别人的眼中,而将设备卖给别人又将PLC程序整个锁死的话又不切实际,甲方会无法维护;而保密和维权更是中国市场经久不衰的话题,其实德国的工程师从来不会给自己的程序整体加密,而是使用其他方式,既不影响发生故障时的诊断,又可以保护自己的核心机密。今天给大家介绍一下这些方式,供大家参考。
西门子安全PLC作为西门子主打安全功能的一款产品,它的性能毋庸置疑,而且安全PLC的程序块加密后无法破解;可以很好的保护核心。而博途PLC作为西门子的最新产品,其版权保护也是它的主要功能之一,KNOWHOW功能是软硬件双重加密,不加密的块可以正常监控,没有密码的话甚至无法下载到其他PLC;因此使用博途的KNOWHOW功能既可以将程序交给甲方方便维护,又可以保护自己的核心程序不被窃取。
西门子除了最基础的LAD梯形图编程,FBD功能块编程和STL语句表编程还有很多其他的方式,比如说PCS7的CFC,SFC; 除此之外还有SCL,S7-GRAPH等等。对于这些语言,一般的工控人员很难全部精通,因此仿制难度大大提升,因此非常关键的工艺程序可以由这些语言编写,也可以很好的保护自己的核心。
1.编程方式的采用
a)采用模块化的程序结构,采用符号名,参数化来编写子程序块
b)尽量采用背景数据块和多重背景的数据传递方式
c)多采用间接寻址的编程方式
d)复杂系统的控制程序尤其是一些带有顺序控制或配方控制的程序,可以考虑采用数据编程的方式,即通过数据的变化来改变系统的控制逻辑或控制顺序。
用户应该尽量采用以上几种高级层次的编程方式,这样编出来的程序中嵌入系统的保护加密程序,才不容易被发现而仿制。
2.主动保护方法
a)利用系统的时钟
b)利用程序卡或者CPU的ID号和序列号
c)利用EEPROM的反写入功能,及一些需要设置的内存保持功能 d)利用系统提供的累时器功能
e)在用户程序的数据块中设置密码
f)软件上设置逻辑陷阱
g)可以反向利用自己在编程时犯的错误
3.被动保护方法
a)在内存容量利用许可的条件下,不要删除被认为是无用的程序
b)在数据块里留下开发者的标识,以便于将来遭到侵权时可以取证
4.应用反窃取技术的注意事项
a)在用户程序中嵌入保护程序要显得自然一些,不能很突兀的加出一段程序来,代码要尽量精简,变量符号名应与被嵌入程序段的变量保持一致
b)往往一种保护加密手段是不够的,应该多种方法并用,并且这些保护程序一旦激活后对系统造成的后果也应该尽量不同,造成所谓的“地雷效应”,从而增加程序被窃取的难度,时间与成本,短时间内让抄袭者束手无策,
c)保护好程序的原代码,如果需要交付程序的,在不影响用户对设备维护的前提下,应对交付的程序做适当的技术处理,如删除部分符号名,采用上载的程序或数据块
d)做好严格的测试,以避免保护程序的不完善引起的误动作而带来的不必要的麻烦,同时也能降低售后服务的的费用。
在实际应用中,往往会遇到一些系统间需要数据交换的问题(多个PLC之间,PLC与第三方仪表之间),无论是西门子产品之间还是西门子产品与第三方产品之间,建议使用通讯的方案来代替模拟量或开关量之间的信号互连的方案。对于前者,仿制者只能看见一条硬件的通讯线,至于有多少数据是如何通过通讯交换的,仿制者必须要花精力研究具体的用户程序才能搞清楚;而对于后者,开发者是省心省力了,仿制者也是一目了然,尽收眼底。
对于一些变频器或者伺服电机等的程序设计,一般有多种方式,可以线路直接控制还可以通讯控制,那么使用通讯的方式的话会使得程序增加了仿制的难度,比如说PLC对于伺服驱动器的控制有多种,简单一些的可以是脉冲直接控制或者模拟量控制,这种方式就容易仿制,如果换成通讯控制,则会使得程序复杂很多,加上仿制者如果对报文不熟悉,很难去仿制。
有时候控制系统会由多个子控制系统构成,由此形成多CPU加人机界面的网络,西门子S7-200产品常见的是PPI网络,S7-300400产品常见的是MPI网络,通常是人机界面与CPU之间的数据交换,而我们也可在CPU的用户程序中添加一些无须组态的S7基本通讯功能(S7-200可用NETRNETW指令,S7-300400可以用X_PUTX_GET指令),定时或不定时地在CPU之间进行少量数据交换,通过这些数据实现子系统控制逻辑的互锁。对于这样的系统,仿制者要分析某一子系统的程序也不是件十分容易事情。
尽量在自动化系统中使用面板类型的人机界面来代替单一的按钮指示灯,很多人机界面没有源程序的话只有备份和恢复功能,完全可以实现维护功能还保密了HMI这一层的程序,而对于一个PLC系统而言,即使拥有了源程序但是缺失了HMI部分的标记也是很难仿制的。
而且开发者可以在面板的画面上加上明显的厂家标识和联系方式等信息,仿制者就不能原样照抄。
如果就使得如果仿制者想要复制程序的话,就必须重新编写操作面板的程序甚至于PLC的程序,而开发者则可利用面板和PLC数据接口的一些特殊功能区(如西门子面板的区域指针,或VB脚本)来控制PLC的程序执行。这样的PLC程序在没有HMI源程序的情况下只能靠猜测和在线监视来获取PLC内部变量的变化逻辑,费时费力,极大的增加了仿制抄袭的难度。
德国工程师都愿意使用这种方式。在中国,大多数工程师都愿意使用WINCC,INTOUCH或者组态王等等,但其实除了这些软件,还有一种更加高大上的编写方式,那就是利用VB自己写程序,而对于软件与PLC的接口,大家可以选择LIBNODAVE或者其他库等,这种方式写出来的人机界面有着很多好处,首先没有版权问题,因为VB软件是免费的,而且对于WINDOW系统的升级来说只需要简单的添加几个文件即可实现,不像WINCC那样,如果window升级了,需要大量修改文件。
一般人都无法修改,更别提仿制了;没有很好的计算机编程功底的话就不敢轻易修改,而仅仅有计算机功底又没有PLC或者工艺基础的话也是无法更改的。