淺談西門(mén)子PLC控制程序的保護

前言
　　隨著(zhù)中國整體經(jīng)濟實(shí)力的加強，制造和加工工業(yè)正逐步向中國轉移，這給中國國內工業(yè)裝備市場(chǎng)帶來(lái)了大量的商機，國內各行業(yè)的制造商開(kāi)發(fā)和制造出大量?jì)r(jià)廉物美的設備，取得了良好的經(jīng)濟和社會(huì )效應。但是，也有小部分的制造商，由于其自身能力和客觀(guān)因素的限制，無(wú)法及時(shí)開(kāi)發(fā)出合適的產(chǎn)品，但利益的驅動(dòng)使他們把目光瞄準了同行，抄襲和仿制同行開(kāi)發(fā)成功的產(chǎn)品，更有甚者是整機拷貝或者克隆。由于現代工業(yè)設備大量采用PLC作為主控制系統，PLC作為整個(gè)設備的核心部件，其軟件包涵了生產(chǎn)工藝，控制邏輯，設備數據，加工參數及信息通訊等重要內容，從而成為設備仿制者重點(diǎn)要獲取的目標之一?？v觀(guān)目前中國國內市場(chǎng)上應用的主流品牌PLC，雖然在設計上都采用了各種軟硬件加密的手段，但破解者運用的破解手段也越來(lái)越先進(jìn)，從最初的窮舉法，端口偵聽(tīng)，軟件跟蹤，到現在可以通過(guò)直接復制提取內存芯片的內容來(lái)分析破解，更有甚者在互連網(wǎng)上公開(kāi)討論和傳播破解方法和工具，因此所有產(chǎn)品無(wú)一例外地遭到了破解。這對中國眾多的中小型OEM制造商來(lái)說(shuō)是非常不利的，“我們幾年的開(kāi)發(fā)成果可能因此一夜之間付諸東流”當得知S7-200/300硬件加密也被破解后，一位OEM制造商無(wú)奈地說(shuō)。由于仿制者的開(kāi)發(fā)成本很低或幾乎為零，因此開(kāi)發(fā)者還沒(méi)有來(lái)得及收回開(kāi)發(fā)成本就陷入了低價(jià)競爭，這極大的影響了開(kāi)發(fā)者開(kāi)發(fā)新產(chǎn)品的積極性，對我國的裝備工業(yè)的長(cháng)遠發(fā)展是十分有害的。
　　難道就這樣束手無(wú)策，聽(tīng)任仿制者為所欲為了嗎？答案是否定的，多年來(lái)一直關(guān)注和研究PLC控制程序保護方面的問(wèn)題，筆者在實(shí)踐中取得了一些經(jīng)驗和心得，在本文中愿意和同行們共同分享和討論，大家共同為保護自己的勞動(dòng)成果而努力。筆者多年來(lái)一直從事西門(mén)子SIAMTIC S7 PLC的應用，因此本文也只是從純粹的技術(shù)層面出發(fā)，重點(diǎn)探討SIMATIC S7 PLC控制程序的保護。
　　Ø 在系統設計的初期，我們應該從系統的角度來(lái)考慮PLC控制程序的保護：
1. T.I.A（全集成自動(dòng)化）的概念有助于保護我們的KNOW HOW
　　T.I.A實(shí)現了組態(tài)和編程，數據管理和通訊，自動(dòng)化與驅動(dòng)產(chǎn)品（包括PLC控制器、HMI人機界面、網(wǎng)絡(luò )、驅動(dòng)器等產(chǎn)品）的高度集成。實(shí)踐證明，采用T.I.A集成概念設計的控制系統很難被抄襲。同一個(gè)軟件平臺，相同的硬件組成，一樣的總線(xiàn)通訊，完全可以設計出截然不同的控制系統，這是一個(gè)讓開(kāi)發(fā)者自由發(fā)揮的平臺。例如，一個(gè)CPU315-2DP和2個(gè)MM440變頻器進(jìn)行PROFIBUS-DP的通訊，除了PLC和變頻器有常規的數據交換，如果用戶(hù)使用了DRIVES ES的工程軟件，還能實(shí)現2個(gè)MM440之間的直接的快速數據交換，另外通過(guò)DRIVES ES還能實(shí)現PLC和MM440之間超過(guò)10個(gè)總共16個(gè)PZD過(guò)程數據的交換，實(shí)現PLC批量下載變頻器參數的功能。而這一切的實(shí)現從表面上看，硬件沒(méi)有發(fā)生任何的變化，仿制者很難從硬件上來(lái)判斷出系統是如何控制這兩臺驅動(dòng)器的速度的。不熟悉西門(mén)子產(chǎn)品的仿制者無(wú)法輕易更換硬件配置或修改軟件，而即使仿制者是個(gè)西門(mén)子產(chǎn)品的專(zhuān)家，要獨自分析清楚具體細節問(wèn)題也不是件容易的事情。從某種程度上說(shuō)，T.I.A大大提高了對仿制者的技術(shù)水平要求的門(mén)檻，達到西門(mén)子系統集成專(zhuān)家水平的技術(shù)人員一是不多，二很少有愿意做這些不齒的事情的。
　　此外，對于一些較大系統的OEM開(kāi)發(fā)商，路由通訊功能，iMAP軟件包等都是很不錯的T.I.A系統功能或工具，我們應該盡量利用T.I.A給我們帶來(lái)的技術(shù)優(yōu)勢，占領(lǐng)技術(shù)制高點(diǎn)，加大仿制或抄襲的技術(shù)難度。
2. 使用通訊功能
　　在實(shí)際的工作中，我們往往會(huì )遇到一些系統間需要數據交換的問(wèn)題（如PLC-PLC之間，PLC與驅動(dòng)器之間，PLC與儀表之間），無(wú)論是西門(mén)子產(chǎn)品之間還是西門(mén)子產(chǎn)品與第三方產(chǎn)品之間，建議使用通訊的方案來(lái)代替模擬量或開(kāi)關(guān)量之間的信號互連的方案。對于前者，仿制者只能看見(jiàn)一條硬件的通訊線(xiàn)，至于有多少數據是如何通過(guò)通訊交換的，仿制者必須要花精力研究具體的用戶(hù)程序才能搞清楚；而對于后者，開(kāi)發(fā)者是省心省力了，仿制者也是一目了然，盡收眼底。
　　PLC與驅動(dòng)器的通訊，除了了控制字/狀態(tài)字、設定值/反饋值及過(guò)程變量的數據通訊，驅動(dòng)器工作的參數最好也能由PLC通過(guò)軟件下載，這樣即可以降低最終用戶(hù)維護系統的技術(shù)要求，同時(shí)可以防止仿制者通過(guò)驅動(dòng)器工作參數分析系統尤其在驅動(dòng)方面的工作原理和設計思路。西門(mén)子公司的工程軟件DRIVE ES BASIC/SIAMTIC，為廣大的西門(mén)子產(chǎn)品用戶(hù)實(shí)現此類(lèi)功能提供了一個(gè)強大的工具；而使用SIMATIC PLC卻使用第三方驅動(dòng)器的用戶(hù)，也可以自行開(kāi)發(fā)針對性的參數讀寫(xiě)程序，一般支持PROFIBU-DP的驅動(dòng)器都可以實(shí)現。
　　有時(shí)候我們的控制系統會(huì )由多個(gè)子控制系統構成，由此形成多CPU加人機界面的網(wǎng)絡(luò )，西門(mén)子S7-200產(chǎn)品常見(jiàn)的是PPI網(wǎng)絡(luò )，S7-300/400產(chǎn)品常見(jiàn)的是MPI網(wǎng)絡(luò )，通常是人機界面與CPU之間的數據交換，而我們也可在CPU的用戶(hù)程序中添加一些無(wú)須組態(tài)的S7基本通訊功能（S7-200可用NETR/NETW指令，S7-300/400可以用X_PUT/X_GET指令），定時(shí)或不定時(shí)地在CPU之間進(jìn)行少量數據交換，通過(guò)這些數據實(shí)現子系統控制邏輯的互鎖。對于這樣的系統，仿制者要分析某一子系統的程序也不是件十分容易事情。
3. 使用面板類(lèi)型的人機界面
　　盡量在自動(dòng)化系統中使用面板類(lèi)型的人機界面來(lái)代替單一的按鈕指示燈，雖然按鈕指示燈的功能是無(wú)法保密的，但目前為止，面板型人機界面能夠實(shí)現程序上載并實(shí)現反編譯的產(chǎn)品還不多見(jiàn)，開(kāi)發(fā)者可以在面板的畫(huà)面上加上明顯的廠(chǎng)家標識和聯(lián)系方式等信息，仿制者還不至于傻到連這個(gè)也原樣照抄吧。這樣迫使仿制者必須重新編寫(xiě)操作面板的程序甚至于PLC的程序，而開(kāi)發(fā)者則可利用面板和PLC數據接口的一些特殊功能區（如西門(mén)子面板的區域指針，或VB腳本）來(lái)控制PLC的程序執行。這樣的PLC程序在沒(méi)有HMI源程序的情況下只能靠猜測和在線(xiàn)監視來(lái)獲取PLC內部變量的變化邏輯，費時(shí)費力，極大的增加了仿制抄襲的難度。
4. 采用高級語(yǔ)言編寫(xiě)部分重要的工藝程序
　　這一點(diǎn)主要針對采用S7-300/400或WINAC產(chǎn)品的控制設備，除了使用STEP 7提供的LAD，STL，FBD標準編程語(yǔ)言來(lái)開(kāi)發(fā)控制程序，我們還可以使用SCL，S7-GRAPH等高級語(yǔ)言來(lái)開(kāi)發(fā)一些重要的工藝程序，WINAC還可以使用ODK軟件包開(kāi)發(fā)出專(zhuān)有的程序塊。一般的仿制者是不容易搞到這些開(kāi)發(fā)工具的，即使有也不一定會(huì )使用，更不用說(shuō)來(lái)讀懂這些程序了。
　　Ø 在項目具體實(shí)施的過(guò)程中，我們應該從軟件開(kāi)發(fā)技巧的角度來(lái)考慮PLC控制程序的保護：
　　1. 編程方式的采用
　　a） 采用模塊化的程序結構，采用符號名，參數化來(lái)編寫(xiě)子程序塊
　　b） S7-300/400盡量采用背景數據塊和多重背景的數據傳遞方式
　　c） 多采用間接尋址的編程方式
　　d） 復雜系統的控制程序尤其是一些帶有順序控制或配方控制的程序，可以考慮采用數據編程的方式，即通過(guò)數據的變化來(lái)改變系統的控制邏輯或控制順序。
　　用戶(hù)應該盡量采用以上幾種高級層次的編程方式，這樣編出來(lái)的程序中嵌入系統的保護加密程序，才不容易被發(fā)現和破解
　　2. 主動(dòng)保護方法
　　a） 利用系統的時(shí)鐘
　　b） 利用程序卡或者CPU的ID號和序列號
　　c） 利用EEPROM的反寫(xiě)入功能，及一些需要設置的內存保持功能
　　d） 利用系統提供的累時(shí)器功能
　　e） 在用戶(hù)程序的數據塊中設置密碼
　　f） 軟件上設置邏輯陷阱
　　g） 可以反向利用自己在編程時(shí)犯的錯誤
　　3. 被動(dòng)保護方法
　　a） 在內存容量利用許可的條件下，不要刪除被認為是無(wú)用的程序
　　b） 在數據塊里留下開(kāi)發(fā)者的標識，以便于將來(lái)遭到侵權時(shí)可以取證
　　4. 應用反破解技術(shù)的注意事項
　　a） 在用戶(hù)程序中嵌入保護程序要顯得自然一些，不能很突兀的加出一段程序來(lái)，代碼要盡量精簡(jiǎn)，變量符號名應與被嵌入程序段的變量保持一致
　　b） 往往一種保護加密手段是不夠的，應該多種方法并用，并且這些保護程序一旦激活后對系統造成的后果也應該盡量不同，造成所謂的“地雷效應”，從而增加程序被破解的難度，時(shí)間與成本，短時(shí)間內讓抄襲者束手無(wú)策，
　　c） 保護好程序的原代碼，如果需要交付程序的，在不影響用戶(hù)對設備維護的前提下，應對交付的程序做適當的技術(shù)處理，如刪除部分符號名，采用上載的程序或數據塊
　　d） 做好嚴格的測試，以避免保護程序的不完善引起的誤動(dòng)作而帶來(lái)的不必要的麻煩，同時(shí)也能降低售后服務(wù)的的費用
　　Ø 運用保護手段的原則
　　我們雖然掌握了一些加密保護的手段，有一點(diǎn)必須明白，密碼和鎖的道理是一樣的，天下沒(méi)有打不開(kāi)的鎖，也沒(méi)有解不開(kāi)的密碼，我們從技術(shù)上采取的措施來(lái)防止侵權的作用還是十分有限的，因此大家不能把所有的希望都寄托在所謂的加密技術(shù)或破解與反破解技術(shù)上；除此之外我們還可以通過(guò)專(zhuān)利的申請等其他諸如法律手段來(lái)保護我們的知識產(chǎn)權；但最重要的是我們不能安于現狀，而是要勇于創(chuàng )新，不斷地利用新技術(shù)開(kāi)發(fā)新產(chǎn)品，占領(lǐng)技術(shù)新高地，爭做行業(yè)的領(lǐng)頭人，才能使我們的企業(yè)立于不敗之地。
　　加密保護技術(shù)本身也是一把雙刃劍，用好了客戶(hù)滿(mǎn)意，自己的權益又悄悄的得到了保護，用不好不僅不起作用，給售后服務(wù)帶來(lái)許多麻煩，還會(huì )得罪客戶(hù)；好人掌握這種技術(shù)是用來(lái)保護自己不被侵權，而用心不良的人會(huì )利用它去要挾客戶(hù)。因此本文也僅限于討論了關(guān)于PLC程序加密保護的一些原則性指導性的內容，而沒(méi)有公布具體的程序代碼指令，請讀者們諒解。
　　謹以此文獻給并鼓舞那些辛勤奮斗在開(kāi)發(fā)生產(chǎn)一線(xiàn)為祖國自動(dòng)化事業(yè)做出巨大貢獻的諸多同行；同時(shí)譴責那些企圖不勞而獲，竊取他人勞動(dòng)成果的仿制者侵權者。