消息的安全傳送

時間：2021-07-28作者：上海騰希電氣技術(shù)有限公司瀏覽：144

消息的安全傳送



使用 OPC UA 建立安全連接

OPC UA 將在客戶端與服務(wù)器之間建立安全連接。OPC UA 將檢查通信伙伴的身份。OPC UA 使用基于 ITU（**電信聯(lián)盟）X.509-V3 標準的證書對客戶端和服務(wù)器進行認證。例外：使用安全策略“不安全”(No security) 時，將不建立安全連接。

消息的安全模式

OPC UA 使用以下安全策略確保消息安全：

不安全

所有消息均不安全。要使用該安全策略，則需與服務(wù)器建立安全策略為“無”(None) 的端點連接。

簽名

所有消息均已簽名。系統(tǒng)將對所接收消息的完整性進行檢查。檢測篡改行為。要使用該安全策略，則需與端點安全策略為“簽名”(Sign) 的服務(wù)器立連接。

簽名和加密

對所有消息進行簽名并加密。系統(tǒng)將對所接收消息的完整性進行檢查。檢測篡改行為。而且，攻擊者無法讀取消息內(nèi)容（保護機密）。要使用該安全策略，則需與端點安全策略為“簽名并加密”(SignAndEncrypt) 的服務(wù)器建立連接。

安全策略還可根據(jù)所使用的算法命名。示例：“Basic256Sha256 -簽名和加密”表示：端點進行安全連接，支持一系列 256 位哈希和 256 位加密算法。

所需層級

下圖顯示了建立連接時通常所需的三個層：傳輸層、安全通道和會話。


圖片: 所需層級：傳輸層、安全通道和會話

傳輸層：

該層用于發(fā)送和接收消息。OPC UA 在此使用優(yōu)化的基于 TCP 的二進制協(xié)議。傳輸層是后續(xù)安全通道的基礎(chǔ)。

安全通道

安全層從傳輸層接收數(shù)據(jù)，再轉(zhuǎn)發(fā)到會話層中。安全通道將待發(fā)送的會話數(shù)據(jù)轉(zhuǎn)發(fā)到傳輸層中。

在“簽名”(Sign) 安全模式中，安全通道將對待發(fā)送的數(shù)據(jù)（消息）進行簽名。接收消息時，安全通道將檢查簽名以檢測是否存在篡改的情況。

采用安全策略“簽名并加密”(SignAndEncrypt) 時，安全通道將對待發(fā)送數(shù)據(jù)進行簽名并加密。安全通道將對接收到的數(shù)據(jù)進行解密，并檢查簽名。

采用安全策略“不安全”(No security) 時，安全通道將直接傳送該消息包而不進行任何更改（消息將以純文本形式接收和發(fā)送）。

會話

會話將安全通道的消息轉(zhuǎn)發(fā)給應用程序，或接收應用程序中待發(fā)送的消息。此時，應用程序即可使用這些過程值或提供這些值。

建立安全通道

建立安全通道，如下所示：

服務(wù)器接收到客戶端發(fā)送的請求時，開始建立安全通道。該請求將簽名或簽名并加密，甚至以純文本形式發(fā)送，具體取決于所選服務(wù)器端的安全模式。在“簽名”(Sign) 和“簽名并加密”(Sign & Encrypt) 安全模式中，客戶端將隨該請求一同發(fā)送一個機密數(shù)（隨機數(shù)）。

服務(wù)器將驗證客戶端的證書（包含在請求中，未加密）并檢驗該客戶端的身份。如果服務(wù)器信任此客戶端證書，

- 則會對消息進行解密并檢查簽名（“簽名并加密”(Sign & Encrypt)），

- 僅檢查簽名（“簽名”(Sign)），

- 或不對消息進行任何更改（“不安全”(No security)）

之后，服務(wù)器會向客戶端發(fā)送一個響應（與請求的安全等級相同）。響應中還包含服務(wù)器機密。客戶端和服務(wù)器根據(jù)客戶端和服務(wù)器的機密數(shù)計算對稱密鑰。此時，安全通道已成功建立。

對稱密鑰（而非客戶端與服務(wù)器私鑰和公鑰）可用于對消息進行簽名和加密。

建立會話

執(zhí)行會話，如下所示：

客戶端將 CreateSessionRequest 發(fā)送到服務(wù)器后，開始建立會話。該消息中包含一個僅能使用一次的隨機數(shù) Nonce。服務(wù)器必須對該隨機數(shù) (Nonce) 進行簽名，證明自己為該私鑰的所有者。此私鑰屬于該服務(wù)器建立安全通道時所用證書。該消息（及所有后續(xù)消息）將基于所選服務(wù)器端點的安全策略（所選的安全策略）進行加密。

服務(wù)器將發(fā)送一個 CreateSession Response 響應。該消息中包含有服務(wù)器的公鑰和已簽名的 Nonce?？蛻舳藢z查已簽名的 Nonce。

如果服務(wù)器通過測試，則客戶端將向該服務(wù)器發(fā)送一個 SessionActivateRequest。該消息中包含用戶認證時所需的信息：

- 用戶名和密碼，或

- 用戶的 X.509 證書（STEP 7 不支持），或

- 無數(shù)據(jù)（如果組態(tài)為匿名訪問）。

如果用戶具有相應的權(quán)限，則服務(wù)器將返回客戶端一條消息 (ActivateSessionResponse)。激活會話。

OPC UA 客戶端與服務(wù)器已成功建立安全連接。

建立與 PLCopen 函數(shù)塊的連接。

PLCopen 規(guī)范針對 OPC UA 客戶端定義了一系列 IEC 61131 函數(shù)塊。指令 UA_Connect 可根據(jù)上述模式啟動安全通道和會話。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 幀長度

  幀長度按長度分類的幀該頁面會顯示每個端口發(fā)送并接收了多少個不同長度的幀。無法對該頁面上的任何內(nèi)容進行組態(tài)。提示只有與設(shè)備存在在線連接時才顯示該頁面。顯示的值由 RMON 傳送?？稍凇? 2 層 > RMON > 統(tǒng)計信息”(Layer 2 > RMON > Statistics) 頁面中設(shè)置要顯示哪個端口的值。顯示值說明該表格包括以下列：端口 (Port)顯示可用端口和鏈路

• 使用 IWLAN/PN Link 進行組態(tài)

  使用 IWLAN/PN Link 進行組態(tài)IWLAN 段的較大設(shè)備數(shù)目如果以太網(wǎng)子網(wǎng)創(chuàng)建成無線網(wǎng)絡(luò) (IWLAN = Industrial Wireless LAN)，IO 控制器和 IO 設(shè)備之間的周期性數(shù)據(jù)交換可以通過無線路由進行。無線路由的其中一方有固定且已安裝的接入點（例如，SCALANCE W?788），另一方有移動站（例如，具有 PROFIBUS 設(shè)備的 IWLAN/PB L

• 導出項目文本

  導出項目文本可以將項目文本導出進行翻譯，然后重新導入它們。這些文本將導出為一個擴展名為“.xlsx”的 Office Open XML 文件。該文件可通過 Microsoft Excel 或其它電子數(shù)據(jù)表程序進行編輯。系統(tǒng)提供下列導出選項：導出單個項目文本可在項目文本編輯器中選擇各個文本，然后導出所選文本。導出設(shè)備的項目文本選擇某一設(shè)備后，巡視窗口的“屬性 > 文本”(Properties

• 更改模塊參數(shù)

  更改模塊參數(shù)默認設(shè)置出廠狀態(tài)下，所有模塊的參數(shù)都為默認設(shè)置，滿足標準應用。 這些默認值可使用戶立即使用模塊，*進行任何其它設(shè)置。但是，用戶可根據(jù)具體應用的要求和環(huán)境來修改模塊的行為和屬性。 可設(shè)置參數(shù)的模塊包括 CPU、功能模塊 (FM)、通信處理器 (CP) 和某些模擬量輸入和輸出模塊以及數(shù)字量輸入和輸出模塊。模塊參數(shù)模塊參數(shù)按組歸類以提高清晰度。例如，CPU 具有以下組：啟動循環(huán)PROFIN