消息的安全傳送

時(shí)間：2021-07-28作者：上海騰希電氣技術(shù)有限公司瀏覽：140

消息的安全傳送



使用 OPC UA 建立安全連接

OPC UA 將在客戶端與服務(wù)器之間建立安全連接。OPC UA 將檢查通信伙伴的身份。OPC UA 使用基于 ITU（**電信聯(lián)盟）X.509-V3 標(biāo)準(zhǔn)的證書對客戶端和服務(wù)器進(jìn)行認(rèn)證。例外：使用安全策略“不安全”(No security) 時(shí)，將不建立安全連接。

消息的安全模式

OPC UA 使用以下安全策略確保消息安全：

不安全

所有消息均不安全。要使用該安全策略，則需與服務(wù)器建立安全策略為“無”(None) 的端點(diǎn)連接。

簽名

所有消息均已簽名。系統(tǒng)將對所接收消息的完整性進(jìn)行檢查。檢測篡改行為。要使用該安全策略，則需與端點(diǎn)安全策略為“簽名”(Sign) 的服務(wù)器立連接。

簽名和加密

對所有消息進(jìn)行簽名并加密。系統(tǒng)將對所接收消息的完整性進(jìn)行檢查。檢測篡改行為。而且，攻擊者無法讀取消息內(nèi)容（保護(hù)機(jī)密）。要使用該安全策略，則需與端點(diǎn)安全策略為“簽名并加密”(SignAndEncrypt) 的服務(wù)器建立連接。

安全策略還可根據(jù)所使用的算法命名。示例：“Basic256Sha256 -簽名和加密”表示：端點(diǎn)進(jìn)行安全連接，支持一系列 256 位哈希和 256 位加密算法。

所需層級

下圖顯示了建立連接時(shí)通常所需的三個(gè)層：傳輸層、安全通道和會話。


圖片: 所需層級：傳輸層、安全通道和會話

傳輸層：

該層用于發(fā)送和接收消息。OPC UA 在此使用優(yōu)化的基于 TCP 的二進(jìn)制協(xié)議。傳輸層是后續(xù)安全通道的基礎(chǔ)。

安全通道

安全層從傳輸層接收數(shù)據(jù)，再轉(zhuǎn)發(fā)到會話層中。安全通道將待發(fā)送的會話數(shù)據(jù)轉(zhuǎn)發(fā)到傳輸層中。

在“簽名”(Sign) 安全模式中，安全通道將對待發(fā)送的數(shù)據(jù)（消息）進(jìn)行簽名。接收消息時(shí)，安全通道將檢查簽名以檢測是否存在篡改的情況。

采用安全策略“簽名并加密”(SignAndEncrypt) 時(shí)，安全通道將對待發(fā)送數(shù)據(jù)進(jìn)行簽名并加密。安全通道將對接收到的數(shù)據(jù)進(jìn)行解密，并檢查簽名。

采用安全策略“不安全”(No security) 時(shí)，安全通道將直接傳送該消息包而不進(jìn)行任何更改（消息將以純文本形式接收和發(fā)送）。

會話

會話將安全通道的消息轉(zhuǎn)發(fā)給應(yīng)用程序，或接收應(yīng)用程序中待發(fā)送的消息。此時(shí)，應(yīng)用程序即可使用這些過程值或提供這些值。

建立安全通道

建立安全通道，如下所示：

服務(wù)器接收到客戶端發(fā)送的請求時(shí)，開始建立安全通道。該請求將簽名或簽名并加密，甚至以純文本形式發(fā)送，具體取決于所選服務(wù)器端的安全模式。在“簽名”(Sign) 和“簽名并加密”(Sign & Encrypt) 安全模式中，客戶端將隨該請求一同發(fā)送一個(gè)機(jī)密數(shù)（隨機(jī)數(shù)）。

服務(wù)器將驗(yàn)證客戶端的證書（包含在請求中，未加密）并檢驗(yàn)該客戶端的身份。如果服務(wù)器信任此客戶端證書，

- 則會對消息進(jìn)行解密并檢查簽名（“簽名并加密”(Sign & Encrypt)），

- 僅檢查簽名（“簽名”(Sign)），

- 或不對消息進(jìn)行任何更改（“不安全”(No security)）

之后，服務(wù)器會向客戶端發(fā)送一個(gè)響應(yīng)（與請求的安全等級相同）。響應(yīng)中還包含服務(wù)器機(jī)密?？蛻舳撕头?wù)器根據(jù)客戶端和服務(wù)器的機(jī)密數(shù)計(jì)算對稱密鑰。此時(shí)，安全通道已成功建立。

對稱密鑰（而非客戶端與服務(wù)器私鑰和公鑰）可用于對消息進(jìn)行簽名和加密。

建立會話

執(zhí)行會話，如下所示：

客戶端將 CreateSessionRequest 發(fā)送到服務(wù)器后，開始建立會話。該消息中包含一個(gè)僅能使用一次的隨機(jī)數(shù) Nonce。服務(wù)器必須對該隨機(jī)數(shù) (Nonce) 進(jìn)行簽名，證明自己為該私鑰的所有者。此私鑰屬于該服務(wù)器建立安全通道時(shí)所用證書。該消息（及所有后續(xù)消息）將基于所選服務(wù)器端點(diǎn)的安全策略（所選的安全策略）進(jìn)行加密。

服務(wù)器將發(fā)送一個(gè) CreateSession Response 響應(yīng)。該消息中包含有服務(wù)器的公鑰和已簽名的 Nonce?？蛻舳藢z查已簽名的 Nonce。

如果服務(wù)器通過測試，則客戶端將向該服務(wù)器發(fā)送一個(gè) SessionActivateRequest。該消息中包含用戶認(rèn)證時(shí)所需的信息：

- 用戶名和密碼，或

- 用戶的 X.509 證書（STEP 7 不支持），或

- 無數(shù)據(jù)（如果組態(tài)為匿名訪問）。

如果用戶具有相應(yīng)的權(quán)限，則服務(wù)器將返回客戶端一條消息 (ActivateSessionResponse)。激活會話。

OPC UA 客戶端與服務(wù)器已成功建立安全連接。

建立與 PLCopen 函數(shù)塊的連接。

PLCopen 規(guī)范針對 OPC UA 客戶端定義了一系列 IEC 61131 函數(shù)塊。指令 UA_Connect 可根據(jù)上述模式啟動安全通道和會話。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 屏能連什么型號的第三方PLC?

  對于DP接口的二代精簡(2nd Basic)屏支持下列第三方通訊協(xié)議。Allen-Bradley DF1?1)Mitsubishi FXModicon Modbus RTU?2)Omron Host Link對于PN接口的二代精簡(2nd Basic)屏支持下列第三方通訊協(xié)議。Allen-Bradley EtherNet/IPMitsubishi MC TCP/IPModico

• WinCC V7.5 連接變量歸檔備份

  可以通過以下三種方法來連接變量歸檔：1. 直接把備份的變量歸檔數(shù)據(jù)庫文件，復(fù)制到項(xiàng)目文件夾的CommonArchiving文件夾中，注意是把文件復(fù)制到CommonArchiving文件夾的根目錄，不要在此文件夾中再創(chuàng)建文件夾。2. 在WinCC項(xiàng)目激活時(shí)，打開變量錄編輯器，鼠標(biāo)右鍵點(diǎn)擊“歸檔”，在彈出的菜單中選擇“歸檔組態(tài)”，選擇“慢速變量記錄”或者“快速變量記錄”，可以使用“連接歸檔”或“斷開與

• S7-400 CPU故障停機(jī)的原因及應(yīng)對方法

  正常運(yùn)行中的S7-400CPU故障停機(jī)的原因有很多種，根據(jù)具體情況總結(jié)了集中典型S7-400CPU故障停機(jī)的原因和故障處理方法供大家參考和借鑒。1、當(dāng)CPU在其運(yùn)行周期內(nèi)識別到同步或異步錯(cuò)誤(例如：DP從站或者PROFINET I/O設(shè)備的診斷報(bào)警，站故障等)，將會調(diào)用相應(yīng)的組織塊(OB)，用戶因此可以對該事件作出響應(yīng)。如果程序中沒有事先下載相應(yīng)的組織塊OB，CPU會自動進(jìn)入停機(jī)狀態(tài)。常用的OB組

• 西門子S7-200SMART存儲卡應(yīng)用

  玩過S7-200 SMART的朋友應(yīng)該發(fā)現(xiàn)，CPU右下角有一個(gè)SD卡槽，如圖1-1所示。圖1-1平時(shí)沒有插入存儲卡也可以進(jìn)行編程及運(yùn)行， SMART的這個(gè)卡槽不像300里必須要依賴卡來存儲程序，而且不需要**的卡，市面上任意品牌的TF卡（4G-16G）都可以使用，如果碰到插入卡無法識別，可更換其它卡測試。那么這個(gè)卡槽到底有什么作用呢？今天我們就來介紹一下這個(gè)卡槽到底能能做什么。西門子預(yù)留這個(gè)卡槽有