TOP Server OPC Server教程：技術(shù)支持系列之保護OPC UA數(shù)據(jù)安全

---

TOP Server OPC Server采用業(yè)界領(lǐng)先的Kepware技術(shù)，是Software Toolbox's OPC和原生HMI設(shè)備的連接軟件，也是一款多線程應(yīng)用程序，能夠利用最新的雙核處理器和多處理器技術(shù)最大化您的性能。其靈活而強大的功能可最大程度降低項目的生命周期成本；模塊化架構(gòu)和通用用戶界面可以降低您的培訓成本，因為在不同的驅(qū)動程序中使用了100種常用方法，幫助您學習TOP Server，并快速應(yīng)用與其他驅(qū)動程序相同的知識。

點擊下載TOP Server OPC Server最新試用版

隨著工業(yè)4.0對安全性的不斷提高的要求，OPC UA為我們提供了一種在客戶端和服務(wù)器之間傳輸數(shù)據(jù)時對數(shù)據(jù)進行加密的方法。但是，如果對數(shù)據(jù)進行加密以防止外部提取還不夠呢？如果UA客戶端應(yīng)用程序受到威脅怎么辦？我們必須使用哪些工具來防止故意或意外地操縱或消耗數(shù)據(jù)？

繼續(xù)我們的技術(shù)支持專欄文章xilie，該文章涵蓋如何利用內(nèi)置的TOP服務(wù)器用戶組安全性設(shè)置以及OPC UA用戶名和密碼身份驗證來更好地控制哪些用戶具有讀/寫功能以及哪些標記。允許用戶訪問。

查看我們有關(guān)OPC UA分層安全模型的文章，則該模型的最上方是用戶身份驗證和會話安全性的概念。借助TOP Server，利用其用戶組安全性設(shè)置以及OPC UA的用戶名和密碼驗證，TOP Server可以對訪問關(guān)鍵過程數(shù)據(jù)進行更細粒度的控制。

要訪問保護數(shù)據(jù)所需的這些功能，首先需要確保已安裝TOP服務(wù)器安全策略插件。此插件是在5.12版中作為付費插件引入的。借助TOP Server版本6主要發(fā)行版本的即開即用安全功能，現(xiàn)在將安全策略插件作為標準功能包括在內(nèi)，而無需其他許可。

下圖突出顯示了在新的TOP Server安裝上啟用這些功能所必需的步驟。當前正在運行TOP Server的用戶也可以選擇激活這些設(shè)置。它只需要再次運行安裝程序并在開始時選擇“修改”即可。如果沒有最新的TOP Server安裝程序，則可以在此處下載TOP Server。

首先運行TOP Server安裝程序，然后繼續(xù)安裝過程，并根據(jù)要求適當處理所有提示。提示您選擇要安裝的功能和設(shè)備驅(qū)動程序后，請確保啟用“安全策略”插件。

為此，請展開“插件”下拉菜單，然后右鍵單擊“安全策略”，然后選擇“將在本地硬盤驅(qū)動器上安裝整個功能集”。繼續(xù)安裝，再次適當解決其他提示并完成安裝?，F(xiàn)在，TOP服務(wù)器已完成安裝，我們可以開始配置安全策略。

保護您的工業(yè)過程數(shù)據(jù)

讓我們首先確保UA客戶端的用戶連接到TOP服務(wù)器需要用戶名和密碼身份驗證。打開“ TOP服務(wù)器配置”窗口，然后右鍵單擊配置窗口左上角標有“項目”的文件夾，然后選擇“屬性”。

在此處，單擊OPC UA選項卡，并確保將“允許匿名登錄”選項設(shè)置為“否”。從這里，我們可以關(guān)閉配置窗口。

接下來，我們要打開TOP Server Administrator設(shè)置并添加“用戶”和“用戶組”。為此，您需要右鍵單擊Windows系統(tǒng)托盤中的TOP Server Administrator圖標，選擇“設(shè)置”，然后選擇“用戶管理器”選項卡。

默認情況下，您將啟用三個組，每個組一個用戶。為了我們的目的，我們將創(chuàng)建一個小組和一個我們自己的用戶。為此，我們需要：
1、單擊“新建組”按鈕，并將新的用戶組添加到此TOP Server實例：

• 在這里，您可以管理網(wǎng)上論壇的名稱，說明以及該網(wǎng)上論壇擁有的權(quán)限
• 在這里，您可以通過右鍵單擊下拉列表并選擇“全部允許”或“全部拒絕”來允許或拒絕訪問整個標簽組此特定部分確實對我們前面提到的特定單個標簽應(yīng)用了粒度訪問，但是從總體上控制了用戶對整體服務(wù)器級權(quán)限的訪問。
• 對于此演示，我已啟用對新用戶組“ User Group A”的所有標簽的訪問權(quán)限

2、選擇新創(chuàng)建的組后，單擊“新用戶”按鈕以將新用戶添加到該新組：

• 在這里，我們指定用戶名，描述和密碼。請務(wù)必記住您的用戶名和密碼。
• 密碼長度必須為14個字符

現(xiàn)在，隨著我們新的用戶組和用戶的產(chǎn)生，剩下要做的就是管理我們的安全策略。在上一段相同的設(shè)置菜單中，單擊標簽為“安全策略”的選項卡。您將在標有“客戶端訪問策略”的圖標下看到所有可用的用戶組，并且應(yīng)該看到剛創(chuàng)建的組。如果擴展用戶組，您將看到五個可以修改的客戶端訪問策略。

• 動態(tài)尋址
• I / O標簽
• 系統(tǒng)標簽
• 內(nèi)部標簽
• 瀏覽

每個客戶端訪問策略都會影響TOP服務(wù)器中的特定功能。動態(tài)尋址是指所謂的動態(tài)標簽，動態(tài)標簽不是在服務(wù)器中靜態(tài)定義的，而是從客戶端應(yīng)用程序傳遞給我們的。I / O標簽是指服務(wù)器項目中與設(shè)備上的數(shù)據(jù)點相對應(yīng)的用戶定義的標簽，而系統(tǒng)標簽是由TOP Server自動生成的診斷標簽。內(nèi)部標記并非適用于所有設(shè)備，但您仍可以選擇拒絕訪問。最后，瀏覽權(quán)限使我們能夠管理客戶端是否可以瀏覽OPC Server項目。如果突出顯示“客戶端訪問策略”并單擊右側(cè)出現(xiàn)的箭頭，則可以選擇允許或拒絕整個通道，設(shè)備或特定標簽的訪問。

對于此示例，我將為I / O標簽和瀏覽操作客戶端訪問策略。首先突出顯示I / O標簽，單擊箭頭按鈕，然后單擊“自定義權(quán)限”圖標開始配置。從這里，您將看到一個新窗口，其中顯示了服務(wù)器上當前配置的所有I / O標簽。如果突出顯示此窗口的任何部分（通道，設(shè)備，標簽組，單個標簽），則可以選擇單擊另一個箭頭按鈕，然后選擇四個箭頭之一 

默認（讀/寫）選項：

• 不可訪問
• 只讀
• 讀/寫

在此示例中，我將為自己提供對模擬設(shè)備“ 16位設(shè)備”下所有標簽的讀寫權(quán)限，為“ 8位設(shè)備”下的標簽只讀權(quán)限，而對“功能”下的所有標簽無訪問權(quán)限。按照上述相同的過程，如果打開“瀏覽”，則可以選擇允許或拒絕訪問。我們可以選擇拒絕訪問特定標簽，但是在本例中，我拒絕了對“頻道1”的瀏覽訪問。

最后，讓我們從客戶端應(yīng)用程序（在這種情況下為Unified Automation的UA Expert示例客戶端）中查看這些標簽。在這篇文章中，我們不會詳細介紹SSL加密。相反，我們將專注于安全策略的結(jié)果。

對于與TOP服務(wù)器的連接，我們只需在客戶端應(yīng)用程序中輸入端點URL，相關(guān)的加密級別以及用戶名和密碼即可。如果一切配置正確，您應(yīng)該會看到TOP Server拒絕或允許訪問您指定的標簽。在上面概述的示例中，您可以看到發(fā)生了一些事情。

• 我沒有瀏覽客戶端應(yīng)用程序中的頻道1的權(quán)限。
• 我沒有對“模擬示例”通道下配置的任何標簽的讀取或?qū)懭霗?quán)限。

這將產(chǎn)生安全消息，您可以在下面的TOP Server事件日志中看到這些消息：

如您所見，TOP服務(wù)器安全策略為管理員提供了必要的工具，以保護您的OPC UA數(shù)據(jù)以及對各個標簽級別的OPC客戶端訪問進行微調(diào)和管理。

---

要購買該產(chǎn)品正版授權(quán)，或了解更多產(chǎn)品信息請點擊【咨詢在線客服】