消息的安全传送 (S7-1200, S7-1500, S7-1500T) 使用 OPC UA 建立安全连接 OPC UA 在客户端与服务器之间建立安全连接。OPC UA 将检查通信伙伴的身份。OPC UA 使 用基于 ITU（国际电信联盟）X.509-V3 标准的证书对客户端和服务器进行认证。例外：使 用安全策略“不安全”(No security) 时，将不建立安全连接。 消息的安全模式 OPC UA 使用以下安全策略确保消息安全： • 不安全 所有消息均不安全。要使用该安全策略，则需与服务器建立安全策略为“无”(None) 的端 点连接。 • 签名 所有消息均已签名。系统将对所接收消息的完整性进行检查。检测篡改行为。要使用该 安全策略，则需与端点安全策略为“签名”(Sign) 的服务器立连接。 • 签名和加密 对所有消息进行签名并加密。系统将对所接收消息的完整性进行检查。检测篡改行为。而 且，攻击者无法读取消息内容（保护机密）。要使用该安全策略，则需与端点安全策略为 “签名并加密”(SignAndEncrypt) 的服务器建立连接。 安全策略还可根据所使用的算法命名。示例：“Basic256Sha256 -签名和加密”表示：端点 进行安全连接，支持一系列 256 位哈希和 256 位加密算法。用户自己生成 PKI 密钥对和证书 (S7-1200, S7-1500, S7-1500T) 只有在使用无法自行创建 PKI 密钥对和客户端证书的 OPC UA 客户端时，才会涉及此部分内 容。此时，可通过 OpenSSL 生成一个私钥和一个公钥，生成一个 X.509 证书，并对该证书 进行签名。 使用 OpenSSL OpenSSL 属于传输层安全工具，可用来创建证书。您还可以使用其它工具，例如 XCA，一 款密钥管理软件，该软件具有图形用户界面，改进了已颁发证书的总览功能。 要在 Windows 系统中使用 OpenSSL，请按以下步骤操作： 1. 在 OpenSSL 系统中，安装 Windows。如果操作系统为 64 位，则 OpenSSL 将安装在 “C:\OpenSSL-Win64”目录中。OpenSSL-Win64 作为开源软件，可从不同的软件提供商处下载。 2. 创建一个目录，如“C:\demo”。3. 打开命令提示符。为此，单击“Start”，并在搜索栏中输入“cmd”或“command prompt”。右键 单击结果列表中的“cmd.exe”，并以管理员身份运行该程序。Windows 将打开命令提示符。 4. 切换到“C:\demo”目录。为此，可输入以下命令：“cd C:\demo”。 5. 设置以下网络变量： – set RANDFILE=c:\demo\.rnd – set OPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfg 下图显示了包含以下命令的命令行窗口： 6. 现在，启动 OpenSSL。如果 OpenSSL 已安装在 C:\OpenSSL-Win64 目录中，则可输入： C:\OpenSSL-Win64\bin\openssl.exe。下图显示的命令行窗口中包含以下命令： 7. 生成私钥。将密钥保存到“myKey.key”文件。在本示例中，密钥的长度为 1024 位；为了实现 更高的 RSA 安全性，实际长度采用 2048 位。输入以下命令：“genrsa -out myKey.key 2048”（在本示例中为“genrsa -out myKey.key 1024”）。下图显示了包含该命令的命令行以及 OpenSSL 输出结果： 8. 生成一个 CSR (Certificate Signing Request)。为此，可输入以下命令：“req -new -key myKey.key -out myRe”。在该命令的执行过程中，OpenSSL 将查询有关证书的信息： – 国家/地区名称：如，“DE”为德国，“FR”为法国 – 州或省名称：例如“Bavaria”。 – 位置名称：如，“Augsburg” – 机构名称：输入公司的名称。 – 机构单位名称：如，“IT” – 公共名称：如，“OPC UA client of machine A” – 电子邮件地址：使用 TIA Portal 的证书生成器 如果使用的 OPC UA 客户端未生成客户端证书，可通过 STEP 7 创建自签名证书。 为此，请执行以下操作步骤： 1. 在 CPU 特性中，双击“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下的“<新增>”()， 2. 单击“添加”(Add)。 3. 在“创建新证书”(Create a new certificate) 对话框中，为“使用”(Usage) 选择“OPC UA 客户 端”(OPC UA client) 选项。 4. 单击“确定”(OK)。 在“主题备用名称”(Subject Alternative Name) 字段中，STEP 7 将自动输入所生成证书的 URI。在使用 OPC 基金会的 .NET 堆栈生成程序特定的证书时，将调用该字段（如 “ApplicationUri”）。在其它证书生成工具中，该基金会的名称可能不同。 针对固件版本为 V2.5、作为服务器的 S7-1500 CPU 的注意事项 客户端程序的 IP 地址需存储在 S7-1500 CPU 版本 V2.5（仅针对此版本）所创建证书的“主 题备用名称”(Subject Alternative Name) 字段中；否则 CPU 将不接受该证书。 输入的信息将添加到证书中。下图显示了包含该命令的命令行以及 OpenSSL 输出结果： 该命令将在包含有 Certificate Signing Request (CSR) 的 C:\demo 目录中创建一个文件；在 本示例中，为“myRe”。 使用 CSR 可通过以下两种方式使用 CSR： • 将 CSR 发送到证书颁发机构 (CA)：读取特定证书颁发机构的信息。证书颁发机构 (CA) 将 检查用户的身份和信息（认证），并使用该证书颁发机构的私钥对该证书进行签名。如， 接收已签名的 X.509 证书，并将该证书用于 OPC UA、HTTPS 或 Secure OUC (secure open user communication) 中。通信伙伴将使用该证书颁发机构的公钥检查该证书是否确实由 CA 机构颁发（即，该证书颁发机构已确定您的信息）。 • 用户对 CSR 进行自签名：使用用户的私钥。该选项将在下一个操作步骤中介绍。 自签名证书 输入以下命令，生成一个证书并对自签名（自签名证书）：“x509 -req -days 365 -in myRe -signkey myKey.key -out myCertificate.crt”。 下图显示了包含以下命令和 OpenSSL 的命令行窗口：该命令将生成一个 X.509 证书，其中包含通过 CSR 传送的属性信息（在本示例中，为 “myRe”），例如有效期为一年（-days 365）。该命令还将使用私钥对证书进行签名 （在本示例中为“myKey.key”）。通信伙伴可使用公钥（包含在证书中）检查您是否拥有属于 该公钥的私钥。这样还可以防止公钥被攻击者滥用。 通过自签名证书，用户可确定自己证书中的信息是否正确。此时，无需依靠任何机构即可检 查信息是否正确。

             • 传输层： 该层用于发送和接收消息。OPC UA 在此使用优化的基于 TCP 的二进制协议。传输层是后 续安全通道的基础。 • 安全通道 安全层从传输层接收数据，再转发到会话层中。安全通道将待发送的会话数据转发到传 输层中。 在“签名”(Sign) 安全模式中，安全通道将对待发送的数据（消息）进行签名。接收消息 时，安全通道将检查签名以检测是否存在篡改的情况。 采用安全策略“签名并加密”(SignAndEncrypt) 时，安全通道将对待发送数据进行签名并 加密。安全通道将对接收到的数据进行解密，并检查签名。 采用安全策略“不安全”(No security) 时，安全通道将直接传送该消息包而不进行任何更改 （消息将以纯文本形式接收和发送）。 • 会话 会话将安全通道的消息转发给应用程序，或接收应用程序中待发送的消息。此时，应用 程序即可使用这些过程值或提供这些值。建立安全通道 建立安全通道，如下所示： 1. 服务器接收到客户端发送的请求时，开始建立安全通道。该请求将签名或签名并加密，甚至 以纯文本形式发送，具体取决于所选服务器端的安全模式。在“签名”(Sign) 和“签名并加 密”(Sign & Encrypt) 安全模式中，客户端将随该请求一同发送一个机密数（随机数）。 2. 服务器将验证客户端的证书（包含在请求中，未加密）并检验该客户端的身份。如果服务器 信任此客户端证书， – 则会对消息进行解密并检查签名（“签名并加密”(Sign & Encrypt)）， – 仅检查签名（“签名”(Sign)）， – 或不对消息进行任何更改（“不安全”(No security)） 3. 之后，服务器会向客户端发送一个响应（与请求的安全等级相同）。响应中还包含服务器机 密。客户端和服务器根据客户端和服务器的机密数计算对称密钥。此时，安全通道已成功建立。 对称密钥（而非客户端与服务器私钥和公钥）可用于对消息进行签名和加密。 建立会话 执行会话，如下所示： 1. 客户端通过向服务器发送 CreateSessionRequest，开始建立会话。该消息包含一个 Nonce（临 时使用的随机数）。服务器必须对该随机数 (Nonce) 进行签名，证明自己为该私钥的所有者。 此私钥属于该服务器建立安全通道时所用证书。该消息（及所有后续消息）将基于所选服务 器端点的安全策略（所选的安全策略）进行加密。 2. 服务器将发送一个 CreateSession Response 响应。该消息中包含有服务器的公钥和已签名的 Nonce。客户端将检查已签名的 Nonce。 3. 如果服务器通过检查，则客户端向服务器发送一个 SessionActivateRequest。该消息中包含有 用户认证时所需的信息： – 用户名和密码，或 – 用户的 X.509 证书（STEP 7 不支持），或 – 无数据（如果组态为匿名访问）。 在 OPC UA 中，用户身份验证时所需的数据使用单独的安全策略进行传输。该安全策略 称为“UserTokenPolicy”策略。客户端将根据需要选择一个合适的“UserTokenPolicy”，而与安全 通道所组态的安全策略无关。此 UserTokenPolicy 可确保 UserIdentityToken（如，用户名和 密码）始终以适当的安全设置进行传输。 如果安全通道根据所组态的安全策略设置为“无安全设置”，则 OPC UA 客户端之后可通过 加密方式传送用户名和密码。 4. 如果用户具有相应的权限，则服务器将返回客户端一条消息 (ActivateSessionResponse)。激 活会话。 OPC UA 客户端与服务器已成功建立安全连接。