OPC UA 的信息安全 (S7-1200, S7-1500, S7-1500T) 安全设置 (S7-1200, S7-1500, S7-1500T) 寻址风险 OPC UA 支持过程和生产层级中的不同系统之间以及这些系统与控制与企业层级中的系统之 间的数据交换。 这同样将导致信息安全风险。因此，OPC UA 提供了一系列安全防护机制： • OPC UA 服务器和客户端的身份验证。 • 检查用户的身份。 • 在 OPC UA 服务器和客户端间，对已签名/加密的数据进行交换。 仅在juedui有必要的情况下，才应绕过这些安全策略： • 调试过程中 • 在没有外部以太网连接的独立项目中 例如，如果 OPC Foundation 的“UA Sample Client”端点选择了“无”(None)，则程序将发出 一条明确的警告消息：在“Voltage”变量中，包含 S7-1500 CPU 检测的电压值。 采样间隔（“Sampling Interval”）包含一个负值 (-1)。该值决定了将为采样间隔使用 OPC UA 服务器的默认设置。默认设置由订阅的传输间隔（“Publishing Interval”）定义。如果要设置 Zui小的可行采样间隔，请选择数值“0”。 在本示例中，该队列的长度设置为“1”：每隔 50 ms，从 CPU 中仅读取一个值，并在该值发 生变更后发送到 OPC UA 客户端。 在本示例中，“死区”(Deadband) 参数设置为“0.1”：值的更改值需要达到 0.1 V；只有这样， 发送方才会向客户端发送新值。若值的更改幅度小于该值，则服务器不会发送。例如，可使 用该参数禁用信号噪声：没有实际意义的过程变量的轻微变化。STEP 7 编译项目时，还会检查用户是否考虑保护设置选项，并会警告用户可能存在的风险。 还包括采用“不安全”(no security) 设置的 OPC UA 安全策略，该设置对应于端点 “无”(None)。 说明 禁用不需要的安全策略 如果在 S7-1500 OPC UA 服务器的安全通道设置中启用了所有安全策略，即采用端点 “无”(None)（不安全），则服务器和客户端之间还可能存在非安全数据通信（既未签名也 未加密）。S7-1500 CPU 的 OPC UA 服务器还会向设置为“无”(None)（不安全）的客户端 发送公用证书。某些客户端会检查该证书。但不会强制客户端向服务器发送证书。客户端的 身份可能仍保持未知。无论后续为哪种安全设置，每个 OPC UA 客户端随后都可以连接到服 务器。 组态 OPC UA 服务器时，请确保只选择与您的设备或工厂的安全概念兼容的安全策略。应禁 用所有其它安全策略。 建议：使用“Basic256Sha256 - 签名和加密”(Basic256Sha256 - Sign and Encrypt) 设置，说 明服务器只接受 Sha256 证书。安全策略“Basic128Rsa15”和“Basic256”默认取消激活，不能 用作端点。请选择安全策略较高的端点。 附加安全规则 • 仅在特殊情况下，使用端点“无”(None)。 • 仅在特殊情况下，使用“访客身份验证”。 • 如果确实有必要，则仅允许通过 OPC UA 访问 PLC 变量和 DB 元素。 • 在 S7-1500 OPC UA 客户端的设置中使用可信客户端列表，以仅允许对特定客户端进行 访问。

          ITU X.509 证书 (S7-1200, S7-1500, S7-1500T) OPC UA 的多个层级中，都集成有安全机制。其中，数字证书至关重要。仅当 OPC UA 服务 器接受 OPC UA 客户端的数字证书并将其归类为可信时，客户端才能与服务器建立安全连 接。与此同时，客户端还必须检查并信任服务器的证书。服务器和客户端必须显示自己的身份， 并证明该身份与声明的相同。即，服务器和客户端必须证明自己的身份。例如，客户端和服 务器的相互验证可有效防止中间人攻击。 “中间人”攻击 “中间人”可能会出现在服务器和客户端之间。中间人是一种程序，会截获服务器与客户端 之间的通信并将自身伪装为客户端或服务器，以获取 S7 程序的相关信息或设置 CPU 的值， 进而对设备或工厂进行攻击。 OPC UA 使用的数字证书符合国际电信联盟 (ITU) 的 X.509 标准， 可识别（认证）一个程序、计算机或机构的身份。 X.509 证书 X.509 证书包含以下信息： • 证书的版本号 • 证书的序列号 • 证书颁发机构对证书进行签名的算法。 • 证书颁发机构的名称 • 证书有效期的起始和结束时间 • 由证书颁发机构签名证书的程序、个人或机构名称。 • 程序、个人或机构的公钥。 因此，X509 证书将身份（程序、个人或机构的名称）与该程序、个人或机构的公钥关联在 一起。 在连接建立期间检查 客户端与服务器建立连接时，设备将基于证书检查全部所需信息以确保其完整性，如签名、 有效期、应用程序名称 (URN)，对于固件版本 V2.5，还会检查客户端证书中客户端的 IP 地址。 说明 此外，还会检查证书中存储的有效期。因此必须设置 CPU 时钟，且日期/时间必须在有效期 内，否则将无法进行通信。签名和加密 要检查证书是否篡改，则需对证书进行签名。 可通过以下几种方式进行操作： • 在 TIA Portal 中，可生成证书并为证书签名。如果您已对项目进行保护，并以具有可进行 安全设置的功能权限的用户身份登录，则可以使用全局安全设置。通过全局安全设置可 访问证书管理器，由此也可访问 TIA Portal 的证书颁发机构 (CA)。 • 还可通过其它选项创建证书并为证书签名。在 TIA Portal 中，可将证书导入到全局证书管 理器中。 – 联系一家证书颁发机构 (CA) 并对证书进行签名。 此时，认证颁发机构将核实您的身份，并通过该证书颁发机构的私钥对您的证书进行 签名。为此，需向证书颁发机构发送一个 CSR（证书签名请求）。 – 自行创建证书并对其进行签名。 例如，为实现上述过程，您应使用 OPC 基金会的“Opc.Ua.CertificateGenerator”程序。 还可使用 OpenSSL。 更多信息，请参见“用户自己生成 PKI 密钥对和证书 (页 1761)”。 有用信息：证书类型 • 自签名证书 每个设备都可生成并签署自己的证书。应用示例：通信节点数量有限的静态组态。 不能从自签名证书派生新的证书。但是，需要将所有自签名证书从伙伴设备加载到 CPU （需要在 STOP 模式下执行）。 • CA 证书： 所有证书都由证书颁发机构生成和进行签名。应用示例：动态添加设备。 只需将证书从证书颁发机构下载到 CPU。证书颁发机构可以生成新的证书（添加伙伴设 备无需在 CPU STOP 模式下）。 签名 如下所述，通过该签名，可验证消息的完整性和来源。 首先，发送方根据纯文本信息（纯文本消息）生成 HASH 值。之后，再通过私钥对该 HASH 值进行加密，并将该纯文本消息连同加密后的 HASH 值一同发送到接收方。验证签名时，接 收方需要一个发送方的公钥（包含在发送方的 X509 证书中）。接收方基于发送方的公钥，对接收到的 HASH 值进行解密。然后，接收方再根据接收到的纯文本消息生成自己的 HASH 值 （HASH 过程包含在发送方的证书中）。接收方对这两个 HASH 值进行比较： • 如果两个 HASH 值相同，则表示从发送方接收到的纯文本消息未经更改并未被篡改。 • 如果两个 HASH 不匹配，则表示到达接收方的的纯文本消息发生了更改。纯文本消息在 传送过程中被篡改或受损。 加密 加密数据可防止非经授权的读取。X509 证书不加密；这些证书为公开证书，任何人均可查看。 在加密过程中，发送方将使用接收方的公钥对纯文本消息进行加密。为此，发送方需要接收 方的 X509 证书。这是因为，该证书中包含接收方的公钥。接收方使用自己的私钥对消息进 行解密。只有接收方才能对该消息进行解密：只有他们才拥有相应的私钥。因此，任何时候 私钥都不得泄露。 安全通道 OPC UA 使用客户端与服务器的私钥和公钥建立安全连接，即安全通道。建立安全连接后，客 户端和服务器将生成一个只有它们才了解的内部密钥，它们使用此密钥对消息进行签名和加 密。较非对称加密过程（私钥和公钥）过程，对称加密过程（共享密钥）的运行速度要快得 多。OPC UA 证书 (S7-1200, S7-1500, S7-1500T) 使用 OPC UA 的 X509 证书 OPC UA 可使用各种类型的 X.509 证书在客户端与服务器之间建立连接： • OPC UA 应用程序证书 这类 X.509 证书用于标识软件实例、客户端或服务器软件的安装。在“机构名 称”(Organization name) 属性中，可输入该软件使用方的名称。 说明 即使安全设置为“无”(None)（不安全），S7-1500 的 OPC UA 服务器也会使用应用程序 证书。这可保证与 OPC UA V1.1 及更早版本的兼容性。 • OPC UA 软件证书 X-509 证书用于标识客户端或服务器软件的特定版本。这些证书中包含有关属性，用于 说明通过 OPC 基金会（或认可的测试实验室）认证时的软件版本。在“机构名 称”(Organization name) 属性中，可输入该软件的研发或销售方名称。 说明 STEP 7 不支持软件证书。 • OPC UA 用户证书 该 X.509 证书用于标识特定用户，例如从 OPC UA 服务器检索过程数据的用户。如果用 户可通过密码自行认证或组态为匿名访问，则无需使用该证书。 说明 STEP 7 不支持用户证书。 所述证书属于Zui底层实体证书：这些证书用于识别个人、机构、公司或软件实例（安装）等 信息。 创建自签名证书 (S7-1200, S7-1500, S7-1500T) 使用客户端的证书生成器 很多 OPC UA 客户端应用程序或 SDK 都集成到示例应用程序中，允许用户通过此应用程序为 客户端生成证书。 通常可在介绍 OPC UA 客户端应用程序的上下文中找到证书生成的说明。