ITU X.509 證書

時間：2021-07-28作者：上海騰希電氣技術(shù)有限公司瀏覽：155

ITU X.509 證書



OPC UA 的多個層級中，都集成有安全機制。其中，數(shù)字證書至關(guān)重要。僅當(dāng) OPC UA 服務(wù)器接受 OPC UA 客戶端的數(shù)字證書并將其歸類為可信時，客戶端才能與服務(wù)器建立安全連接。

請參見“處理客戶端和服務(wù)器證書”部分。

與此同時，客戶端還必須檢查并信任服務(wù)器的證書。服務(wù)器和客戶端必須顯示自己的身份，并證明該身份與聲明的相同。即，服務(wù)器和客戶端必須證明自己的身份。例如，客戶端和服務(wù)器的相互驗證可有效防止中間人攻擊。

“中間人”攻擊

“中間人”可能會出現(xiàn)在服務(wù)器和客戶端之間。中間人是一種程序，會截獲服務(wù)器與客戶端之間的通信并將自身偽裝為客戶端或服務(wù)器，以獲取 S7 程序的相關(guān)信息或設(shè)置 CPU 的值，進而對設(shè)備或工廠進行攻擊。

OPC UA 使用的數(shù)字證書符合**電信聯(lián)盟 (ITU) 的 X.509 標(biāo)準(zhǔn)，

可識別（認(rèn)證）一個程序、計算機或機構(gòu)的身份。

X.509 證書

X.509 證書包含以下信息：

證書的版本號

證書的序列號

證書頒發(fā)機構(gòu)對證書進行簽名的算法。

證書頒發(fā)機構(gòu)的名稱

證書有效期的起始和結(jié)束時間

由證書頒發(fā)機構(gòu)簽名證書的程序、個人或機構(gòu)名稱。

程序、個人或機構(gòu)的公鑰。

因此，X509 證書將身份（程序、個人或機構(gòu)的名稱）與該程序、個人或機構(gòu)的公鑰關(guān)聯(lián)在一起。

在連接建立期間檢查

客戶端與服務(wù)器建立連接時，設(shè)備將基于證書檢查全部所需信息以確保其完整性，如簽名、有效期、應(yīng)用程序名稱 (URN)，對于固件版本 V2.5，還會檢查客戶端證書中客戶端的 IP 地址。

提示 此外，還會檢查證書中存儲的有效期。因此必須設(shè)置 CPU 時鐘，且日期/時間必須在有效期內(nèi)，否則將無法進行通信。




簽名和加密

要檢查證書是否篡改，則需對證書進行簽名。

可通過以下幾種方式進行操作：

在 TIA Portal 中，可生成證書并為證書簽名。如果您已對項目進行保護，并以具有可進行安全設(shè)置的功能權(quán)限的用戶身份登錄，則可以使用全局安全設(shè)置。通過全局安全設(shè)置可訪問證書管理器，由此也可訪問 TIA Portal 的證書頒發(fā)機構(gòu) (CA)。

還可通過其它選項創(chuàng)建證書并為證書簽名。在 TIA Portal 中，可將證書導(dǎo)入到全局證書管理器中。

- 聯(lián)系一家證書頒發(fā)機構(gòu) (CA) 并對證書進行簽名。

此時，認(rèn)證頒發(fā)機構(gòu)將核實您的身份，并通過該證書頒發(fā)機構(gòu)的私鑰對您的證書進行簽名。為此，需向證書頒發(fā)機構(gòu)發(fā)送一個 CSR（證書簽名請求）。

- 自行創(chuàng)建證書并對其進行簽名。

例如，為實現(xiàn)上述過程，您應(yīng)使用 OPC 基金會的“Opc.Ua.CertificateGenerator”程序。還可使用 OpenSSL。
更多信息，請參見“用戶自己生成 PKI 密鑰對和證書”。

有用信息：證書類型

自簽名證書

每個設(shè)備都可生成并簽署自己的證書。應(yīng)用示例：通信節(jié)點數(shù)量有限的靜態(tài)組態(tài)。

不能從自簽名證書派生新的證書。但是，需要將所有自簽名證書從伙伴設(shè)備加載到 CPU（需要在 STOP 模式下執(zhí)行）。

CA 證書：

所有證書都由證書頒發(fā)機構(gòu)生成和進行簽名。應(yīng)用示例：動態(tài)添加設(shè)備。

只需將證書從證書頒發(fā)機構(gòu)下載到 CPU。證書頒發(fā)機構(gòu)可以生成新的證書（添加伙伴設(shè)備*在 CPU STOP 模式下）。

簽名

如下所述，通過該簽名，可驗證消息的完整性和來源。

首先，發(fā)送方根據(jù)純文本信息（純文本消息）生成 HASH 值。之后，再通過私鑰對該 HASH 值進行加密，并將該純文本消息連同加密后的 HASH 值一同發(fā)送到接收方。驗證簽名時，接收方需要一個發(fā)送方的公鑰（包含在發(fā)送方的 X509 證書中）。接收方基于發(fā)送方的公鑰，對接收到的 HASH 值進行解密。然后，接收方再根據(jù)接收到的純文本消息生成自己的 HASH 值（HASH 過程包含在發(fā)送方的證書中）。接收方對這兩個 HASH 值進行比較：

如果兩個 HASH 值相同，則表示從發(fā)送方接收到的純文本消息未經(jīng)更改并未被篡改。

如果兩個 HASH 不匹配，則表示到達(dá)接收方的的純文本消息發(fā)生了更改。純文本消息在傳送過程中被篡改或受損。

加密

加密數(shù)據(jù)可防止非經(jīng)授權(quán)的讀取。X509 證書不加密；這些證書為公開證書，任何人均可查看。

在加密過程中，發(fā)送方將使用接收方的公鑰對純文本消息進行加密。為此，發(fā)送方需要接收方的 X509 證書。這是因為，該證書中包含接收方的公鑰。接收方使用自己的私鑰對消息進行解密。只有接收方才能對該消息進行解密：只有他們才擁有相應(yīng)的私鑰。因此，任何時候私鑰都不得泄露。

安全通道

OPC UA 使用客戶端與服務(wù)器的私鑰和公鑰建立安全連接，即安全通道。建立安全連接后，客戶端和服務(wù)器將生成一個只有它們才了解的內(nèi)部密鑰，它們使用此密鑰對消息進行簽名和加密。較非對稱加密過程（私鑰和公鑰）過程，對稱加密過程（共享密鑰）的運行速度要快得多。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 鏡像 MAC 流

  MAC 流端口鏡像的 ACL 過濾器只有已在“常規(guī)”(General) 選項卡設(shè)置了會話類型“MAC ACL”并生成了一個會話 ID 時，才能在此頁面上組態(tài)相關(guān)設(shè)置。MAC ACL 過濾器決定監(jiān)視端口上可用的數(shù)據(jù)。顯示框說明會話 ID (Session ID)選擇要監(jiān)視的會話。僅可使用一個會話。該表格包括以下列：ACL 過濾器編號 (ACL Filter Number)顯示 ACL 過濾器編號?？?/p>

• WinCC通信

  通信內(nèi)容在線幫助中未包含的信息和有關(guān)產(chǎn)品功能的重要信息。建立與 WinCC Runtime Advanced 的連接請確保工程組態(tài)系統(tǒng)中組態(tài)的設(shè)備版本與安裝的運行系統(tǒng)版本匹配；否則，加載項目時通信將無法建立或發(fā)生延遲。如果設(shè)備版本與安裝的運行系統(tǒng)版本不匹配，您可以采取以下措施：更改工程組態(tài)系統(tǒng)中組態(tài)的設(shè)備版本。安裝與組態(tài)的設(shè)備版本相對應(yīng)的 WinCC Runtime Advanced 版本。非集成

• CPU以圖形方式創(chuàng)建新連接

  以圖形方式創(chuàng)建新連接以圖形方式組態(tài)連接在較簡單的情況下，只需要選擇想要連接的設(shè)備。當(dāng)前組態(tài)中的可用連接路徑被選定并標(biāo)記為“標(biāo)準(zhǔn)連接路徑”。然后選擇該連接路徑以充分使用可用資源。該定義基于以下特性：-?在可以自動創(chuàng)建完全*的連接后，將立即聯(lián)網(wǎng)那些未聯(lián)網(wǎng)的組件。-?一個組件的資源完全用盡之后，再切換到另一個組件。-?對于不取決于網(wǎng)絡(luò)的連接類型（S7 連接），網(wǎng)絡(luò)類型要遵

• 斷電后的保持特性

  斷電后的保持特性斷電后的保持?jǐn)?shù)據(jù)區(qū)為避免斷電時丟失數(shù)據(jù)，可以為位存儲器、定時器、計數(shù)器和數(shù)據(jù)塊中各個區(qū)域*保持性。 如果 STARTUP 操作模式為“暖啟動”（默認(rèn)），則在電源恢復(fù)時，將通過存儲器執(zhí)行自動啟動。在電源發(fā)生故障后，S7-300 和 S7-400 CPU 電源恢復(fù)時的反應(yīng)不同。S7-300 CPU 僅識別“暖啟動”重啟模式。為避免電源發(fā)生故障時數(shù)據(jù)丟失，可以使用 STEP 7 將位存