【技術(shù)分享】 OPC UA安全策略證書(shū)簡(jiǎn)述

那什么是OPC UA證書(shū)？用途是什么？

簡(jiǎn)單來(lái)說(shuō)它是身份驗(yàn)證和權(quán)限識(shí)別。
OPC UA使用X.509證書(shū)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了標(biāo)準(zhǔn)的公鑰格式。建立UA會(huì)話(huà)的時(shí)候，客戶(hù)端和服務(wù)器應(yīng)用程序會(huì)協(xié)商一個(gè)安全通信通道。數(shù)字證書(shū)（X.509）被用于識(shí)別客戶(hù)端和服務(wù)器。服務(wù)器還會(huì)對(duì)用戶(hù)進(jìn)行進(jìn)一步的身份驗(yàn)證，并授權(quán)后續(xù)請(qǐng)求以訪問(wèn)服務(wù)器中的對(duì)象。

證書(shū)在通信過(guò)程中的主要功能：
1. OPC UA消息簽名，驗(yàn)證通信完整性
應(yīng)用程序通過(guò)使用其私鑰來(lái)生成消息簽名/哈希，然后可以使用相應(yīng)的公鑰證書(shū)對(duì)其進(jìn)行驗(yàn)證。如果私鑰簽名簽出，則確保該消息來(lái)自相應(yīng)的應(yīng)用程序。

2. OPC UA消息加密，通信安全不受窺視
與可以使用應(yīng)用程序的私鑰對(duì)消息進(jìn)行簽名，以確保消息是由批準(zhǔn)的應(yīng)用程序生成的，可以使用公共密鑰對(duì)消息進(jìn)行加密。一旦使用公鑰加密消息，只有具有相應(yīng)私鑰的應(yīng)用程序才能解密該消息（第三方攻擊者甚至可以擁有該公鑰的副本，但是他們無(wú)法解密該消息；公共密鑰僅用于加密-不能用于解密自己的消息）。

3. OPC UA應(yīng)用程序標(biāo)識(shí)，提高了可信度
如果沒(méi)有辦法確定我們正在使用的證書(shū)，那么對(duì)消息進(jìn)行簽名和加密/解密對(duì)我們來(lái)說(shuō)就沒(méi)有太大的用處。因此，每個(gè)OPC UA證書(shū)還提供有關(guān)以下信息的標(biāo)識(shí)信息：哪個(gè)應(yīng)用程序生成了證書(shū)，何時(shí)生成，由誰(shuí)生成，該證書(shū)可以用于什么，該證書(shū)應(yīng)使用多長(zhǎng)時(shí)間，在何處生成等等。

這三個(gè)功能的核心概念是信任。當(dāng)兩個(gè)具有OPC UA功能的應(yīng)用程序首次連接時(shí)，它們交換它們的公共密鑰（這些作為應(yīng)用程序/OPC UA證書(shū)的一部分包含在內(nèi)），同時(shí)保持其相應(yīng)的私有密鑰。

審核編輯 黃宇