西门子工业数控模块经销总代理商

传输层：该层用于发送和接收消息。opc ua 在此使用优化的基于 tcp 的二进制协议。传输层是后续安全通道的基础。•安全通道安全层从传输层接收数据，再转发到会话层中。安全通道将待发送的会话数据转发到传输层中。在“签名”(sign)安全模式中，安全通道将对待发送的数据（消息）进行签名。接收消息时，安全通道将检查签名以检测是否存在篡改的情况。采用安全策略“签名并加密”(signandencrypt)时，安全通道将对待发送数据进行签名并加密。安全通道将对接收到的数据进行解密，并检查签名。采用安全策略“不安全”(nosecurity) 时，安全通道将直接传送该消息包而不进行任何更改（消息将以纯文本形式接收和发送）。•会话会话将安全通道的消息转发给应用程序，或接收应用程序中待发送的消息。此时，应用程序即可使用这些过程值或提供这些值建立安全通道，如下所示：1.服务器接收到客户端发送的请求时，开始建立安全通道。该请求将签名或签名并加密，甚至以纯文本形式发送，具体取决于所选服务器端的安全模式。在“签名”(sign)和“签名并加密”(sign & encrypt) 安全模式中，客户端将随该请求一同发送一个机密数（随机数）。2.服务器将验证客户端的证书（包含在请求中，未加密）并检验该客户端的身份。如果服务器信任此客户端证书，–则会对消息进行解密并检查签名（“签名并加密”(sign & encrypt)），– 仅检查签名（“签名”(sign)），–或不对消息进行任何更改（“不安全”(no security)）3.之后，服务器会向客户端发送一个响应（与请求的安全等级相同）。响应中还包含服务器机密。客户端和服务器根据客户端和服务器的机密数计算对称密钥。此时，安全通道已成功建立。对称密钥（而非客户端与服务器私钥和公钥）可用于对消息进行签名和加密。建立会话执行会话，如下所示：1.客户端将uest 发送到服务器后，开始建立会话。该消息中包含一个仅能使用一次的随机数nonce。服务器必须对该随机数 (nonce)进行签名，证明自己为该私钥的所有者。此私钥属于该服务器建立安全通道时所用证书。该消息（及所有后续消息）将基于所选服务器端点的安全策略（所选的安全策略）进行加密。2.服务器将发送一个 createsession response 响应。该消息中包含有服务器的公钥和已签名的nonce。客户端将检查已签名的 nonce。3. 如果服务器通过测试，则客户端将向该服务器发送一个suest。该消息中包含用户认证时所需的信息：– 用户名和密码，或– 用户的 x.509证书（step 7 不支持），或– 无数据（如果组态为匿名访问）。4. 如果用户具有相应的权限，则服务器将返回客户端一条消息(activatesessionresponse)。激活会话。opc ua 客户端与服务器已成功建立安全连接。建立与 plcopen函数块的连接。plcopen 规范针对 opc ua 客户端定义了一系列 iec 61131 函数块。指令 ua_connect可根据上述模式启动安全通道和会话。通过全球发现服务器(gds) 实现证书管理11.2.7.1 通过 gds 实现自动化证书管理在 tia portal v17 及以上版本和s7-1500 cpu 固件版本 v2.9 及以上版本中，opc ua 服务器的证书管理服务可用于在运行期间传送 opc ua服务器证书。通过 gds 推送管理功能，s7-1500 cpu 的 opc ua 服务器上的 opc ua证书、信任列表和证书吊销列表 (crl) 可自动进行更新。证书管理自动化意味着，当证书到期后以及对 cpu执行全新下载操作后，无需再手动重新组态 cpu。此外，使用 gds 推送管理功能还可以在 cpu 处于stop 和 run操作状态时传送更新后的证书和列表。证书管理信息模型在 opc ua 第 12 部分（opc 10000-12：opc 统一架构，第12 部分：发现和全球服务）中指定。自 tia portal v18 起以及 s7-1500 cpu 固件版本 v3.0 起，gds推送管理功能可用于 web 服务器证书。通过 gds 推送管理功能更新证书的顺序理论上与通过 opc ua服务器证书功能更新证书的顺序相同。与 opc ua 服务器证书功能的不同之处是，还可以在运行期间或操作期间将 web 服务器证书传送到cpu。下文的相应部分介绍了两者之间的区别或局限性。以下章节概括介绍了全球发现服务以及 tia portal v17/cpu 固件版本v2.9 及更高版本支持的自动化证书更新功能。发现服务器要连接到 opc ua 服务器，opc ua客户端需要其端点的相关信息，如端点 url和安全策略。如果网络中提供大量可用服务器，则发现服务器可负责处理对该服务器信息的搜索和管理。• opc ua服务器注册使用发现服务器。• opc ua 客户端向发现服务器请求获取可访问的服务器列表，然后连接到所需 opc ua服务器。全球发现服务器 (gds)opc ua gds 理念一方面可组态跨子网发现服务，另一方面为证书集中管理提供接口。全球发现服务器(gds) 提供的机制可实现对以下组件的集中管理：• ca 签名证书和自签名证书• 受信任列表和证书吊销列表 (crl)因此，gds提供中央证书管理的接入点，并接管 opc ua 网络中安全服务器的任务。gds 主要用于通过相应的 crl 来管理 ca 签名证书：•首次创建 opc ua 应用程序证书• 定期更新受信任列表和 crl•更新应用程序证书证书管理证书管理的任务是自动管理和分发不同服务器或 ua应用程序的证书和信任列表。在该上下文中，有以下两种不同的角色：• 证书管理器 - 提供证书管理功能的 opc ua 应用• 证书接收方- 从证书管理器接收证书、信任列表和 crl 的 opc ua 应用程序。证书管理分为以下两种模式：拉取管理和推送管理。• 采用拉取管理模式时，opc ua应用作为 gds 服务器的客户端运行，并使用证书管理方法来请求获取证书更新和信任列表更新。• 采用推送管理模式时，opc ua应用作为服务器运行，并提供将 opc ua gds 用作 opc ua客户端的方法。充当证书管理器的 gds用此等方法传送（“推送”）证书和受信列表更新，有关概念说明，请参见下文中的自动证书更新。目前，仅 s7-1500 cpu 固件版本v2.9 及以上版本的 opc ua 才支持推送管理。使用 gds 的系统组态下图显示了与提供证书管理功能的 gds相关的各个设备的任务示例。① 根 ca - 为系统颁发证书的设备（此等证书也可通过其它方式传送，例如通过电子邮件方式）②安装有证书管理器的 opc uagds，可创建或签名设备证书、管理信任列表和证书吊销列表(crl)，以及将证书和列表写入设备中（推送功能）。对于推送功能，此设备需要opc ua 客户端功能。③ 装有 opc ua 应用的设备，接收“推送”的证书和列表step 7 版本 v17及更高版本的自动证书更新概念gds 和证书管理器通常合并到一个应用中，但下图中以两个独立的组件显示。“普通的”opc ua客户端之类的设备也可以用作证书管理器，但它们需要支持 bytestring 数据类型才能传送证书，例如，固件版本为 v2.9以及更高版本的 s7-1500 cpu 作为 opc ua 客户端或者具有 gds 插件的 ua expert 工具 (unifiedautomation)。s7-1500 cpu 的 opc ua 服务器作为证书接收方，可提供 opc ua客户端证书读取和写入信任列表和 crl 时所需的标准方法与属性。s7-1500 cpu 的 opc ua服务器上下文的侧重点是介绍如何使用推送功能为 cpu 提供证书，并与常规方法（通过下载硬件配置）进行了比较。下图显示了 s7-1500cpu 固件版本 v2.9 或更高版本中 opc ua 证书与列表的传输方式：• 或是在 cpu 处于 stop模式时，通过加载硬件配置来更新；证书是硬件配置的组成部分。• 或是在 cpu 处于 run 或 stop 模式时，通过 gds推送方法来更新。有关 opc ua证书的更多信息，请参见“opc ua 证书 (页 160)”部分。11.2.7.2 推送功能的组态限制推送功能的证书数量在s7-1500 cpu 固件版本 v2.9 及以上版本中，无论何种类型，opc ua 推送功能的组态限值均为 62 个信任列表条目。•每个激活的基于证书的服务（cpu 应用程序）“消耗”一个证书条目和一个私钥条目。• 证书吊销列表条目 (crl)的计数与受信任证书列表条目的计数方式一样。• 由不同服务（cpu应用程序）使用的证书计为一个信任列表条目。推送功能的元素大小（例如证书）zui多 4096 个字节示例希望授予zui多 62 个 opc ua客户端对 opc ua 服务器的访问权限，并相应填写受信任列表。在受信任列表中添加“证书吊销列表”条目时，zui多只能信任 61个客户端证书。不能通过将硬件配置下载到 cpu 来传输更多的 opc ua 证书。为了尽可能减少所需证书的数量，建议您通过同一个 ca对 opc ua 客户端证书进行签名。在这种情况下，作为 opc ua 服务器的 cpu 仅需要相应的 ca 证书和crl。通过这些元素，opc ua 服务器随后可以验证由 ca签名的所有客户端证书。即，无需将每个客户端证书逐一添加到受信任列表中。11.2.7.3 设置和下载 gds参数下文介绍了证书更新的所需设置。要求• 不同应用程序证书需要使用对应的 step 7/tia portal 版本和 s7-1500cpu 固件版本。另请参见“证书管理的必备知识 (页 53)”– opc ua 服务器证书需要使用 tia portal v17及更高版本、cpu 固件版本 v2.9– web 服务器证书需要使用 tia portal v18 及更高版本、cpu 固件版本v3.0• 已设置 cpu 的时间/日期（通常应用于基于证书的通信）• 已启用 opc ua 服务器。• 必须启用 gds推送管理使用的服务。例如，必须启用 web 服务器才能传送 web 服务器证书。•至少必须组态一个采用“签名并加密”安全策略的端点。伙伴必须使用此端点。•已为经过身份验证的用户组态足够的功能权限用户必须拥有具备“管理证书”功能权限的角色。该功能权限具有以下要求：–必须在项目树中启用项目保护：项目树：“安全设置 > 设置 > 项目保护”(securitysettings >settings > project protection)。– 在 cpu 设置的“cpu ua > 常规”(opcua > general) 区域中，必须启用以下常规用户管理设置：“通过项目安全设置启用其它用户管理”(enableadditional user management viaproject security settings)“具有 opc ua功能权限的用户和角色 (页 213)”部分介绍了如何设置功能权限。激活 gds满足上述要求后，仍必须启用 gds：1.在巡视窗口（cpu 参数）中，转到“opc ua > 服务器 > 常规”(opc ua > server >general)区域。2. 启用“启用全球发现服务（推送）”(enable global discovery services(push)) 选项。确定使用的证书存储区使用 gds 进行管理的证书与通过 tia portal (step 7)下载的证书不在同一存储区中西门子工业数控模块经销总代理商opc ua 使用以下安全策略确保消息安全：•不安全所有消息均不安全。要使用该安全策略，则需与服务器建立安全策略为“无”(none) 的端点连接。•签名所有消息均已签名。系统将对所接收消息的完整性进行检查。检测篡改行为。要使用该安全策略，则需与端点安全策略为“签名”(sign)的服务器立连接。•签名和加密对所有消息进行签名并加密。系统将对所接收消息的完整性进行检查。检测篡改行为。而且，攻击者无法读取消息内容（保护机密）。要使用该安全策略，则需与端点安全策略为“签名并加密”(signandencrypt)的服务器建立连接。安全策略还可根据所使用的算法命名。示例：“basic256sha256-签名和加密”表示：端点进行安全连接，支持一系列 256 位哈希和 256位加密算法。所需层级下图显示了建立连接时通常所需的三个层：传输层、安全通道和会话。