公司动态
当前位置:首页 > 公司动态 > ITU X.509 证书
ITU X.509 证书

OPC UA 的多个层级中,都集成有安全机制。其中,数字证书至关重要。仅当 OPC UA 服务器接受 OPC UA 客户端的数字证书并将其归类为可信时,客户端才能与服务器建立安全连接。

请参见“处理客户端和服务器证书”部分。

与此同时,客户端还必须检查并信任服务器的证书。服务器和客户端必须显示自己的身份,并证明该身份与声明的相同。即,服务器和客户端必须证明自己的身份。例如,客户端和服务器的相互验证可有效防止中间人攻击。

“中间人”攻击

“中间人”可能会出现在服务器和客户端之间。中间人是一种程序,会截获服务器与客户端之间的通信并将自身伪装为客户端或服务器,以获取 S7 程序的相关信息或设置 CPU 的值,进而对设备或工厂进行攻击。

OPC UA 使用的数字证书符合国际电信联盟 (ITU) 的 X.509 标准,

可识别(认证)一个程序、计算机或机构的身份。

X.509 证书

X.509 证书包含以下信息:

证书的版本号

证书的序列号

证书颁发机构对证书进行签名的算法。

证书颁发机构的名称

证书有效期的起始和结束时间

由证书颁发机构签名证书的程序、个人或机构名称。

程序、个人或机构的公钥。

因此,X509 证书将身份(程序、个人或机构的名称)与该程序、个人或机构的公钥关联在一起。

在连接建立期间检查

客户端与服务器建立连接时,设备将基于证书检查全部所需信息以确保其完整性,如签名、有效期、应用程序名称 (URN),对于固件版本 V2.5,还会检查客户端证书中客户端的 IP 地址。


提示

此外,还会检查证书中存储的有效期。因此必须设置 CPU 时钟,且日期/时间必须在有效期内,否则将无法进行通信。



签名和加密

要检查证书是否篡改,则需对证书进行签名。

可通过以下几种方式进行操作

在 TIA Portal 中,可生成证书并为证书签名。如果您已对项目进行保护,并以具有可进行安全设置的功能权限的用户身份登录,则可以使用全局安全设置。通过全局安全设置可访问证书管理器,由此也可访问 TIA Portal 的证书颁发机构 (CA)。

还可通过其它选项创建证书并为证书签名。在 TIA Portal 中,可将证书导入到全局证书管理器中。

联系一家证书颁发机构 (CA) 并对证书进行签名。

此时,认证颁发机构将核实您的身份,并通过该证书颁发机构的私钥对您的证书进行签名。为此,需向证书颁发机构发送一个 CSR(证书签名请求)。

自行创建证书并对其进行签名。

例如,为实现上述过程,您应使用 OPC 基金会的“Opc.Ua.CertificateGenerator”程序。还可使用 OpenSSL。
更多信息,请参见“用户自己生成 PKI 密钥对和证书”。

有用信息:证书类型

自签名证书

每个设备都可生成并签署自己的证书。应用示例:通信节点数量有限的静态组态。

不能从自签名证书派生新的证书。但是,需要将所有自签名证书从伙伴设备加载到 CPU(需要在 STOP 模式下执行)。

CA 证书:

所有证书都由证书颁发机构生成和进行签名。应用示例:动态添加设备。

只需将证书从证书颁发机构下载到 CPU。证书颁发机构可以生成新的证书(添加伙伴设备*在 CPU STOP 模式下)。

签名

如下所述,通过该签名,可验证消息的完整性和来源。

首先,发送方根据纯文本信息(纯文本消息)生成 HASH 值。之后,再通过私钥对该 HASH 值进行加密,并将该纯文本消息连同加密后的 HASH 值一同发送到接收方。验证签名时,接收方需要一个发送方的公钥(包含在发送方的 X509 证书中)。接收方基于发送方的公钥,对接收到的 HASH 值进行解密。然后,接收方再根据接收到的纯文本消息生成自己的 HASH 值(HASH 过程包含在发送方的证书中)。接收方对这两个 HASH 值进行比较:

如果两个 HASH 值相同,则表示从发送方接收到的纯文本消息未经更改并未被篡改。

如果两个 HASH 不匹配,则表示到达接收方的的纯文本消息发生了更改。纯文本消息在传送过程中被篡改或受损。

加密

加密数据可防止非经授权的读取。X509 证书不加密;这些证书为公开证书,任何人均可查看。

在加密过程中,发送方将使用接收方的公钥对纯文本消息进行加密。为此,发送方需要接收方的 X509 证书。这是因为,该证书中包含接收方的公钥。接收方使用自己的私钥对消息进行解密。只有接收方才能对该消息进行解密:只有他们才拥有相应的私钥。因此,任何时候私钥都不得泄露。

安全通道

OPC UA 使用客户端与服务器的私钥和公钥建立安全连接,即安全通道。建立安全连接后,客户端和服务器将生成一个只有它们才了解的内部密钥,它们使用此密钥对消息进行签名和加密。较非对称加密过程(私钥和公钥)过程,对称加密过程(共享密钥)的运行速度要快得多。


shtxjd.cn.b2b168.com/m/