OPC Unified Architecture была разработана для поддержки безопасных аутентифицированных соединений между серверами OPC UA и клиентами. Непатентованные отраслевые стандартные протоколы используются для обеспечения безопасности связи OPC UA. Безопасность в OPC UA обеспечивается с помощью трех механизмов:
Сообщения, передаваемые между клиентом OPC UA и сервером, могут отправляться в одном из трех режимов защиты сообщений:
None: Нет безопасности. Сообщения отправляются открытым текстом.
Sign: Сообщения подписываются отправителем для проверки происхождения сообщения. Однако сообщения не шифруются.
SignAndEncrypt: Сообщения подписываются отправителем для аутентификации происхождения сообщения и шифруются для обеспечения конфиденциальности.
Шифрование и подписание сообщений осуществляется с использованием стандартных схем асимметричной криптографии. Политика безопасности канала определяет конкретную схему шифрования и подписи. Для получения списка поддерживаемых в настоящее время политик безопасности каналов в OPC Toolbox™ введите следующую команду в MATLAB:
enumeration opc.ua.ChannelSecurityPoliciesПри установке безопасного соединения между клиентом OPC UA и сервером OPC UA каждая из сторон обменивается сертификатами экземпляра приложения, которые используются для шифрования и подписания сообщений, отправляемых между сторонами. Эти сертификаты могут быть дополнительно проверены по списку доверия сертификатов, поддерживаемому системными администраторами для каждого приложения, чтобы гарантировать подключение к правильному серверу от правильного клиента. OPC Toolbox в настоящее время автоматически принимает сертификаты сервера при установлении соединения. Дополнительные сведения см. в разделе Управление сертификатами OPC UA.
Аутентификация пользователя может использоваться сервером для ограничения доступа к функциям сервера на основе конкретного пользователя, осуществляющего соединение. OPC Toolbox поддерживает следующие параметры аутентификации пользователей:
Anonymous: Имя пользователя не указано. Некоторые серверы могут не разрешать анонимную проверку подлинности пользователей.
Username: Комбинация имени пользователя и пароля аутентифицирует конкретного пользователя, устанавливающего соединение.
Certificate: Сертификат пользователя (в X509 стандарте) используется для аутентификации пользователя. Открытый ключ сертификата должен быть предварительно разделен с сервером, и при установлении соединения пользователь должен предоставить открытый ключ, закрытый ключ и пароль, используемый для защиты закрытого ключа. Очищенные (без пароля) закрытые ключи не поддерживаются OPC Toolbox.
Обычно серверы поддерживают несколько моделей безопасности для клиентов, используемых при подключении к серверу. Поддерживаемые на сервере модели безопасности описаны через конечные точки, доступные на сервере. Каждая конечная точка определяет одну политику безопасности канала, допустимые режимы безопасности сообщений и поддерживаемые типы аутентификации пользователей. Для использования этой конечной точки клиент устанавливает соединение с URL-адресом конечной точки, указанным в списке конечных точек, и определяет используемый режим безопасности сообщений.
Запрос доступных конечных точек сервера выполняется с помощью opcuaserverinfoили путем создания клиента OPC UA с помощью opcua. После создания клиента OPC UA можно задать модель безопасности для этого соединения с помощью setSecurityModel. Учетные данные пользователя передаются при подключении к серверу с помощью connect функция.