• <menu id="w2i4a"></menu>
  • logo TOP Server OPC Server教程

    文檔首頁>>TOP Server OPC Server教程>>TOP Server OPC Server教程:探索OPC UA之分層安全模型的關(guān)鍵概念

    TOP Server OPC Server教程:探索OPC UA之分層安全模型的關(guān)鍵概念


    TOP Server OPC Server采用業(yè)界領(lǐng)先的Kepware技術(shù),是Software Toolbox's OPC和原生HMI設備的連接軟件,也是一款多線程應用程序,能夠利用最新的雙核處理器和多處理器技術(shù)最大化您的性能。其靈活而強大的功能可最大程度降低項目的生命周期成本;模塊化架構(gòu)和通用用戶界面可以降低您的培訓成本,因為在不同的驅(qū)動程序中使用了100種常用方法,幫助您學習TOP Server,并快速應用與其他驅(qū)動程序相同的知識。

    點擊下載TOP Server OPC Server最新試用版

    到目前為止,在我們正在進行的“ 探索OPC UA”系列文章中,我們對OPC UA證書以及OPC UA客戶端和OPC UA服務器如何使用它們來保護工業(yè)數(shù)據(jù)安全進行了基本的了解。

    在本系列的第三篇文章中,我們將退后一步,從總體上看OPC UA安全性,該方法涉及覆蓋身份驗證,機密性和通信完整性等方面的分層方法。

    OPC UA的核心支柱是對安全性的關(guān)注,這不僅出于數(shù)據(jù)完整性原因,而且還出于服務可用性。OPC UA規(guī)范總結(jié)了安全重點應放在三個領(lǐng)域:

    1. 客戶端和服務器應用程序之間的身份驗證
    2. 確定用戶是否有權(quán)連接和/或執(zhí)行請求的操作的能力
    3. 通信的機密性和完整性。

    這意味著嚴格分層的安全性方法對于OPC UA實施至關(guān)重要,其中每個層負責驗證允許連接/操作,并且任何未批準的操作都可以迅速被拒絕。

    OPC UA安全模型涉及哪些層?

    OPC UA規(guī)范文檔將OPC UA安全模型可視化為三層:

    TOP Server OPC Server教程:探索OPC UA之分層安全模型的關(guān)鍵概念

    1、OPC UA傳輸層 –這是最低層,也是第一道防線。在這里,我們擔心計算機的IP地址以及應用程序正在偵聽的端口(在大多數(shù)情況下,僅依賴未知的IP地址或端口并不是真正的安全性,只是等待發(fā)生的安全事件)。

    該層還可以包括OPC UA范圍之外的任何防御措施(例如防火墻,訪問控制列表等),這些防御措施可能會在建立連接之前拒絕該連接。

    2、OPC UA通訊層 –這是本博客系列關(guān)注的大部分活動的發(fā)生地。當OPC UA客戶端連接到OPC UA服務器時,將建立發(fā)生證書交換的安全通道。然后,該證書不僅用于對建立連接的應用程序和主機進行身份驗證,而且還對發(fā)送的消息進行加密和簽名(本文章系列的第1部分第2部分對此進行了詳細介紹)。

    如果客戶端和/或服務器使用的證書不受信任,則OPC UA應用程序可以在建立安全通道時拒絕連接嘗試。這很重要,因為不安全的連接嘗試應在協(xié)議棧中盡可能低的被拒絕-避免拒絕服務或資源耗盡類型的攻擊;惡意應用只是打開連接以消耗服務器端資源并將服務器驅(qū)動到無法為合法連接嘗試提供服務的地步。

    3、OPC UA應用層 –在此進行用戶身份驗證和OPC UA調(diào)用/命令身份驗證。當我們到達該層時,我們已經(jīng)知道進行呼叫的主機和應用程序是受信任的,OPC UA客戶端與OPC UA服務器之間的對話是安全的,因此,唯一需要驗證的是與應用程序交互的用戶有權(quán)訪問所討論的資源。

    這通常的工作方式是在激活會話時提供用戶憑據(jù),如果授權(quán)用戶激活會話(并連接到UA服務器),則UA服務器將返回一個安全“令牌”此用戶將來進行的呼叫必須包括在內(nèi)。通過在將來的呼叫中包含此“令牌”,服務器可以拒絕對特定資源的訪問(即,并非每個用戶都可以訪問證書標簽/節(jié)點,某些用戶可能具有只讀訪問權(quán),等等)。

    設計自己的OPC UA安全模型時的注意事項

    考慮到這三個安全層,在設計實現(xiàn)OPC UA客戶端和服務器的系統(tǒng)時應牢記一些注意事項和建議。

    • 不要通過模糊來依靠安全性。如果在系統(tǒng)上實施的唯一安全措施是希望攻擊者無法弄清服務器IP和端口,則您將進行NMAP簡短掃描,遠離可能受到威脅的系統(tǒng)。不要做!特別是在公開的OPC UA服務器上。
    • 注意您信任的證書??紤]到安全通道的重要性以及正確使用OPC UA應用程序證書的關(guān)鍵性質(zhì),簡單地接受并信任每個證書有效地抵消了擁有該層的目的(即,如果防火墻僅允許每個連接,則防火墻無效) )。信任證書之前,請小心謹慎并仔細閱讀;尋找的東西是:

    1. 是我信任并希望允許與我連接的主機嗎?
    2. 我信任并希望允許該應用程序連接到我嗎?
    3. 該證書的有效期為多長時間,并且遵守我的IT最佳實踐以確保定期更新和更新證書?

    • 如果未將OPC UA服務器端點配置為使用安全性,那么所有關(guān)于證書的討論都變得毫無意義。盡管我不建議建議對每個OPC UA連接進行加密和保護,但是在設計系統(tǒng)時必須考慮這一點。

    1. 系統(tǒng)是要公開公開還是只能在Intranet上訪問?
    2. 被授權(quán)在網(wǎng)絡上但不能監(jiān)視OPC UA通信的各方是否可以訪問網(wǎng)絡?
    3. 該系統(tǒng)上將連接多少個客戶端?
    4. 我們是否還使用其他任何安全性(例如用戶授權(quán)或防火墻)?

    • 我的服務器允許我配置用戶嗎?
    1. 如果是的話,我的OPC UA服務器支持什么級別的粒度以允許我配置用戶訪問權(quán)限(即,我可以限制讀/寫訪問,對特定標簽的訪問等)?

    • 我們是否只讓用戶訪問用戶需要訪問的那些資源?還是每個用戶都是具有完全管理權(quán)限的root用戶?

    規(guī)劃安全OPC UA架構(gòu)設計時要評估的注意事項列表比上面列出的要長得多,但是這些注意事項應該提供一個易于消化的起點,以推動有關(guān)組織需求的內(nèi)部討論。


    要購買該產(chǎn)品正版授權(quán),或了解更多產(chǎn)品信息請點擊【咨詢在線客服】

    掃碼咨詢


    添加微信 立即咨詢

    電話咨詢

    客服熱線
    023-68661681

    TOP
    三级成人熟女影院,欧美午夜成人精品视频,亚洲国产成人乱色在线观看,色中色成人论坛 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();