|
<< 点击显示目录 >> 主页 OPC UA使用助手 > OPC UA 帮助 > 在AS中配置 > 启用OPC UA服务器 > 安全 |
与安全有关的设置,用于加密信息传输、认证以及与安全管理员和证书有关的值。
信息传输
可以配置B&R OPC UA服务器应该允许或拒绝哪些安全设置用于消息传输。例如,这可以用来防止OPC UA客户端在没有任何安全设置或安全设置不足的情况下登录到服务器。
参数 |
版本说明 |
描述 |
|
安全政策 |
|||
No security |
A4.31 |
Permit (default) |
允许在服务器和客户端之间进行非安全的信息传输。如果子网络没有通过VPN或类似的安全保障,其他网络参与者可以截获通信。 |
Block |
服务器不允许非安全的传输。客户端建立连接时不能使用此策略。 |
||
Basic128Rsa15 |
A4.31 |
Permit (default) |
允许此策略用于保障信息传输安全。 •128-512位RSA-PKCS1 V1.5非对称性 •128位AES-CBC对称性 •消息被签名和/或加密。 这种加密方式已不再适用,OPC基金会不再推荐使用。 |
Block |
具有此策略的连接请求被服务器禁止。 |
||
Basic256 |
A4.31 |
Permit (default) |
允许此策略用于保证消息传输的安全。 •128-512位RSA-0AEP非对称性 •256位AES-CBC对称性 •信息被签名和/或加密。 |
Block |
服务器禁止使用此策略的连接请求。 |
||
Basic256Sha256 |
A4.31 |
Permit (default) |
允许该策略用于保障信息传输的安全。 •256-512位RSA-0AEP非对称性 •256位AES-CBC对称性 •消息被签名和/或加密。 |
Block |
具有此策略的连接请求被服务器禁止。 |
||
信息模式 |
|||
Sign |
A4.31 |
Permit (default) |
允许消息被签署。
信息用可用的安全策略之一进行签名,以验证发送者的真实性。这样一来,消息的内容就不会被加密,也可以被网络中的其他参与者读取。 |
Block |
具有这种传输程序的连接请求是被服务器禁止的。 |
||
Sign and encrypt |
A4.31 |
Permit (default) |
允许对消息进行签名和加密。
除了签名之外,消息的内容也会用可用的安全策略之一进行加密。 |
Block |
服务器禁止使用这种传输程序的连接请求。 |
||
支持以下登录程序。
•匿名
•用户名
关于支持的配置文件和面的确切列表,请参见 配置一节 。
认证
参数 |
版本说明 |
描述 |
|
Security policies |
|||
No security |
A4.31 |
Permit (default) |
如果由于客户选择的设置,信息传输已经被加密,客户可以使用这个选择来传输密码,而无需进一步加密。在这种情况下,密码将与信息一起被加密。
如果由于客户选择的设置,信息传输没有被加密,则客户被禁止使用未加密的密码。在这种情况下,会应用Basic256Sha256的回退功能来加密密码。这个回退可以防止密码在网络上以纯文本形式传输。如果没有这个回退,由于配置服务器或客户端时的错误或粗心,就有可能在网络上以明文形式传输密码。因此,攻击者可以非常容易地获得对系统的访问。 |
Block |
服务器不允许非安全地传输登录数据。客户端不能使用这种登录策略。 |
||
Basic128Rsa15 |
A4.31 |
Permit (default) |
允许该策略用于保护登录数据的安全。 •128-512位RSA-PKCS1 V1.5非对称性 •128位AES-CBC对称性 这种加密方式已不再适用,OPC基金会不再推荐使用。 |
Block |
使用该安全策略的登录是被服务器禁止的。 |
||
Basic256 |
A4.31 |
Permit (default) |
允许该策略用于保护登录数据的安全。 •128-512位RSA-0AEP非对称性 •256位AES-CBC对称性 |
Block |
使用该安全策略的登录是被服务器禁止的。 |
||
Basic256Sha256 |
A4.31 |
Permit (default) |
允许该策略用于保障信息传输的安全。 •256-512位RSA-0AEP非对称性 •256位AES-CBC对称性 |
Block |
使用该安全策略的登录是被服务器禁止的。 |
||
Login procedure |
|||
Anonymous |
A4.31 |
Permit (default) |
服务器允许匿名登录。访问权限来自于 "匿名 "用户的角色分配。 |
Block |
服务器拒绝匿名登录。 |
||
Username |
A4.31 |
Permit (default) |
服务器允许用用户名和密码登录。访问权限来自于各个用户的角色分配。 |
Block |
服务器拒绝用用户名和密码登录。 |
||
参数 |
版本说明 |
描述 |
|
Security administrator |
D4.24 |
选择一个负责安全相关任务的角色。 要接收审计事件,登录的客户必须被分配到这个角色,因为审计事件可能包含机密信息。 角色是在用户角色系统中配置的。 |
|
Software certificates |
C4.25 |
选择带有服务器证书、受信任证书和撤销列表的配置。见 访问与安全。 如果你不指定这个字段,服务器会生成一个有效期为10年的默认证书,并且不检查客户证书的有效期。如果证书不再有效或者PLC的主机名或IP地址发生了变化,那么在PLC重新启动后,将重新创建默认证书,因为这些信息必须正确地存储在证书中。 |
|