SIEMENS西门子 S-1FL2低惯量型电机 1FL21032AG111MC0

                消息的安全传送 (S7-1200, S7-1500, S7-1500T) 使用 OPC UA 建立安全连接 OPC UA 在客户端与服务器之间建立安全连接。OPC UA 将检查通信伙伴的身份。OPC UA 使 用基于 ITU（国际电信联盟）X.509-V3 标准的证书对客户端和服务器进行认证。例外：使 用安全策略“不安全”(No security) 时，将不建立安全连接。 消息的安全模式 OPC UA 使用以下安全策略确保消息安全： • 不安全 所有消息均不安全。要使用该安全策略，则需与服务器建立安全策略为“无”(None) 的端 点连接。 • 签名 所有消息均已签名。系统将对所接收消息的完整性进行检查。检测篡改行为。要使用该 安全策略，则需与端点安全策略为“签名”(Sign) 的服务器立连接。 • 签名和加密 对所有消息进行签名并加密。系统将对所接收消息的完整性进行检查。检测篡改行为。而 且，攻击者无法读取消息内容（保护机密）。要使用该安全策略，则需与端点安全策略为 “签名并加密”(SignAndEncrypt) 的服务器建立连接。 安全策略还可根据所使用的算法命名。示例：“Basic256Sha256 -签名和加密”表示：端点 进行安全连接，支持一系列 256 位哈希和 256 位加密算法。

            所需层级 下图显示了建立连接时通常所需的三个层：传输层、安全通道和会话。所需层级：传输层、安全通道和会话 • 传输层： 该层用于发送和接收消息。OPC UA 在此使用优化的基于 TCP 的二进制协议。传输层是后 续安全通道的基础。 • 安全通道 安全层从传输层接收数据，再转发到会话层中。安全通道将待发送的会话数据转发到传 输层中。 在“签名”(Sign) 安全模式中，安全通道将对待发送的数据（消息）进行签名。接收消息 时，安全通道将检查签名以检测是否存在篡改的情况。 采用安全策略“签名并加密”(SignAndEncrypt) 时，安全通道将对待发送数据进行签名并 加密。安全通道将对接收到的数据进行解密，并检查签名。 采用安全策略“不安全”(No security) 时，安全通道将直接传送该消息包而不进行任何更改 （消息将以纯文本形式接收和发送）。 • 会话 会话将安全通道的消息转发给应用程序，或接收应用程序中待发送的消息。此时，应用 程序即可使用这些过程值或提供这些值。建立安全通道 建立安全通道，如下所示： 1. 服务器接收到客户端发送的请求时，开始建立安全通道。该请求将签名或签名并加密，甚至 以纯文本形式发送，具体取决于所选服务器端的安全模式。在“签名”(Sign) 和“签名并加 密”(Sign & Encrypt) 安全模式中，客户端将随该请求一同发送一个机密数（随机数）。 2. 服务器将验证客户端的证书（包含在请求中，未加密）并检验该客户端的身份。如果服务器 信任此客户端证书， – 则会对消息进行解密并检查签名（“签名并加密”(Sign & Encrypt)）， – 仅检查签名（“签名”(Sign)）， – 或不对消息进行任何更改（“不安全”(No security)） 3. 之后，服务器会向客户端发送一个响应（与请求的安全等级相同）。响应中还包含服务器机 密。客户端和服务器根据客户端和服务器的机密数计算对称密钥。此时，安全通道已成功建立。 对称密钥（而非客户端与服务器私钥和公钥）可用于对消息进行签名和加密。 建立会话 执行会话，如下所示： 1. 客户端通过向服务器发送 CreateSessionRequest，开始建立会话。该消息包含一个 Nonce（临 时使用的随机数）。服务器必须对该随机数 (Nonce) 进行签名，证明自己为该私钥的所有者。 此私钥属于该服务器建立安全通道时所用证书。该消息（及所有后续消息）将基于所选服务 器端点的安全策略（所选的安全策略）进行加密。 2. 服务器将发送一个 CreateSession Response 响应。该消息中包含有服务器的公钥和已签名的 Nonce。客户端将检查已签名的 Nonce。 3. 如果服务器通过检查，则客户端向服务器发送一个 SessionActivateRequest。该消息中包含有 用户认证时所需的信息： – 用户名和密码，或 – 用户的 X.509 证书（STEP 7 不支持），或 – 无数据（如果组态为匿名访问）。 在 OPC UA 中，用户身份验证时所需的数据使用单独的安全策略进行传输。该安全策略 称为“UserTokenPolicy”策略。客户端将根据需要选择一个合适的“UserTokenPolicy”，而与安全 通道所组态的安全策略无关。此 UserTokenPolicy 可确保 UserIdentityToken（如，用户名和 密码）始终以适当的安全设置进行传输。 如果安全通道根据所组态的安全策略设置为“无安全设置”，则 OPC UA 客户端之后可通过 加密方式传送用户名和密码。 4. 如果用户具有相应的权限，则服务器将返回客户端一条消息 (ActivateSessionResponse)。激 活会话。 OPC UA 客户端与服务器已成功建立安全连接。通过全球发现服务器 (GDS) 实现证书管理 (S7-1500, S7-1500T) 通过 GDS 实现自动化证书管理 (S7-1500, S7-1500T) 在 TIA Portal V17 和 S7-1500 CPU 固件版本 V2.9 及以上版本中，OPC UA 服务器的证书管 理服务可用于在运行系统中传送 OPC UA 服务器证书。 通过 GDS 推送管理功能，S7-1500 CPU 的 OPC UA 服务器上的 OPC UA 证书、信任列表和证 书吊销列表 (CRL) 可自动进行更新。证书管理自动化意味着，当证书到期后以及对 CPU 执行 全新下载操作后，无需再手动重新组态 CPU。此外，使用 GDS 推送管理功能还可以在 CPU 处 于 STOP 和 RUN 操作状态时传送更新后的证书和列表。 证书管理信息模型在 OPC UA 第 12 部分（OPC 10000-12：OPC 统一架构，第 12 部分：发 现和全球服务）中指定。 自 TIA Portal V18 起以及 S7-1500 CPU 固件版本 V3.0 起，GDS 推送管理功能可用于 Web 服 务器证书。通过 GDS 推送管理功能更新证书的顺序理论上与通过 OPC UA 服务器证书功能 更新证书的顺序相同。与 OPC UA 服务器证书功能的不同之处是，还可以在运行期间或操作 期间将 Web 服务器证书传送到 CPU。下文的相应部分介绍了两者之间的区别或局限性。 以下章节概括介绍了全球发现服务以及 TIA Portal V17/CPU 固件版本 V2.9 及更高版本支持 的自动化证书更新功能。 发现服务器 要连接到 OPC UA 服务器，OPC UA 客户端需要其端点的相关信息，如端点 URL 和安全策略。 如果网络中提供大量可用服务器，则发现服务器可负责处理对该服务器信息的搜索和管理。 • OPC UA 服务器注册使用发现服务器。 • OPC UA 客户端向发现服务器请求获取可访问的服务器列表，然后连接到所需 OPC UA 服 务器。全球发现服务器 (GDS) OPC UA GDS 理念一方面可组态跨子网发现服务，另一方面为证书集中管理提供接口。 全球发现服务器 (GDS) 提供的机制可实现对以下组件的集中管理： • CA 签名证书和自签名证书 • 受信任列表和证书吊销列表 (CRL) 因此，GDS 提供中央证书管理的接入点，并接管 OPC UA 网络中安全服务器的任务。 GDS 主要用于通过相应的 CRL 来管理 CA 签名证书： • 为 OPC UA 服务器或 Web 服务器初次创建应用程序证书。 • 定期更新受信任列表和 CRL • 更新应用程序证书 证书管理 证书管理的任务是自动管理和分发不同服务器或应用程序的证书和信任列表。 在该上下文中，有以下两种不同的角色： • 证书管理器 - 提供证书管理功能的 OPC UA 应用 • 证书接收方 - 从证书管理器接收证书、信任列表和 CRL 的 OPC UA 应用程序。 证书管理分为以下两种模式：拉取管理和推送管理。 • 采用拉取管理模式时，OPC UA 应用作为 GDS 服务器的客户端运行，并使用证书管理方 法来请求获取证书更新和信任列表更新。 • 采用推送管理模式时，OPC UA 应用作为服务器运行，并提供将 OPC UA GDS 用作 OPC UA 客户端的方法。充当证书管理器的 GDS 用此等方法传送（“推送”）证书和受信列表更 新，有关概念说明，请参见下文中的自动证书更新。 只有 S7-1500 CPU 固件版本 V2.9 及以上版本的 OPC UA 服务器才支持推送管理。① 根 CA - 为系统颁发证书的设备（此等证书也可通过其它方式传送，例如通过电子邮 件方式） ② 安装有证书管理器的 OPC UA GDS，可创建或签名设备证书、管理信任列表和证书吊 销列表 (CRL)，以及将证书和列表写入设备中（推送功能）。对于推送功能，此设备 需要 OPC UA 客户端功能。 ③ 装有 OPC UA 应用的设备，接收“推送”的证书和列表 STEP 7 版本 V17 及更高版本的自动证书更新概念 GDS 和证书管理器通常合并到一个应用中，但下图中以两个独立的组件显示。 “普通的”OPC UA 客户端之类的设备也可以用作证书管理器，但它们需要支持 Bytestring 数 据类型才能传送证书，例如，固件版本为 V2.9 以及更高版本的 S7-1500 CPU 作为 OPC UA 客 户端或者具有 GDS 插件的 UA Expert 工具 (Unified Automation)。 S7-1500 CPU 的 OPC UA 服务器作为证书接收方，可提供 OPC UA 客户端证书读取和写入信 任列表和 CRL 时所需的标准方法与属性。 S7-1500 CPU 的 OPC UA 服务器上下文的侧重点是介绍如何使用推送功能为 CPU 提供证书， 并与常规方法（通过下载硬件配置）进行了比较。 下图显示了 S7-1500 CPU 固件版本 V2.9 或更高版本中 OPC UA 证书与列表的传输方式： • 或是在 CPU 处于 STOP 模式时，通过加载硬件配置来更新；证书是硬件配置的组成部分。 • 或是在 CPU 处于 RUN 或 STOP 模式时，通过 GDS 推送方法来更新。 两种方法不能同时使用。如果选择在运行系统中通过 GDS 推送功能传送 OPC UA 服务器证书， 则必须通过此途径将其它所有证书类型传送到 CPU。