ElektroPrůmysl.cz SOFTWARE 62 | únor 2023 Zabezpečení OPC Unified Architecture Přechod z klasického OPC na OPC UA mnohonásobně rozšířil bezpečnostní funkce. Zabezpečení mezi procesy v klasickém OPC závisí na složité konfiguraci DCOM. Zatímco OPC UA závisí na standardních webových technologiích pro zabezpečení při ověřování a šifrování za účelem ochrany dat. Vývojáři musí při konfiguraci nastavení zabezpečení v klasickém OPC přistupovat k řídicím seznamům uloženým v nastavení DCOM. Dodavatelé, kteří zapomněli na přístup k těmto kontrolním seznamům, učinili systém velmi zranitelným vůči bezpečnostním hrozbám. Duo server-klient v OPC UA se při vzájemné komunikaci spoléhá na jedinečné certifikáty. Klienti a servery OPC UA potřebují handshaking pomocí certifikátů standardu X.509 Web pro ověření, než spolu mohou komunikovat, tj. vyměňovat si informace. OPC UA podporuje standardy kryptografie veřejných klíčů (PKCS12), které poskytují soukromé klíče X.509 a soubory certifikátů, které obsahují veřejné klíče. Servery a klienti si mohou vybrat, který pár veřejných a soukromých klíčů budou používat. Bezpečnostních cílů OPC UA je mnoho, například ověřování, autorizace, důvěrnost, integrita, auditovatelnost a dostupnost. Ověřování aplikací a uživatelů je nutné pro server i klienta. Všechny aplikace musí mít jedinečný certifikát instance aplikace a adresa URL by měla identifikovat instanci, dodavatele a produkt. Ověřování uživatelů se provádí buď pomocí uživatelského jména, hesla, bezpečnostního tokenu WS, nebo pomocí protokolu X.509. Různí uživatelé mají opět povoleny různé typy autorizace mezi možnostmi čtení, zápisu, procházení a provádění. Důvěrnost zprávy je zajištěna jejím zašifrováním před odesláním. Integrita zprávy/dat je zajištěna jejich podepsáním. Auditovatelnost je generování auditních událostí pro účely související se zabezpečením. Vyšší dostupnost je zajištěna omezením velikosti zprávy. Zabezpečení OPC UA se provádí sekvenčním způsobem, který je znázorněn na obrázku 1. Zabezpečení komunikace Zabezpečení dat/zpráv je nedílnou součástí OPC UA. S ohledem na to poskytuje server OPC UA sadu služeb určených k vytvoření bezpečného spojení mezi serverem a klientem. Po vytvoření použije na zprávy mezi serverema klientembezpečnostní protokol, aby zajistil integritu i důvěrnost zpráv. Klient potřebuje k připojení k serveru několik informací, jako jsou protokoly, síťová Obr. 1 Zabezpečení OPC UA krok za krokem Sledovatelnost prostřednictvím protokolování Vytvořit kanál Vytvořit relaci Řídicí akce Kontrola Nastavení komunikace důvěryhodných aplikací Použití ověřování Použití autorizace
RkJQdWJsaXNoZXIy Mjk3NzY=