西門子6ES7134-4NB01-0AB0一級(jí)代理

● 傳輸層：

該層用于發(fā)送和接收消息。OPC UA 在此使用優(yōu)化的基于 TCP 的二進(jìn)制協(xié)議。傳輸層

是后續(xù)安全通道的基礎(chǔ)。

● 安全通道

安全層從傳輸層接收數(shù)據(jù)，再轉(zhuǎn)發(fā)到會(huì)話層中。安全通道將待發(fā)送的會(huì)話數(shù)據(jù)轉(zhuǎn)發(fā)到

傳輸層中。

在“簽名”(Sign) 安全模式中，安全通道將對(duì)待發(fā)送的數(shù)據(jù)（消息）進(jìn)行簽名。接收消息

時(shí)，安全通道將檢查簽名以檢測(cè)是否存在篡改的情況。

采用安全策略“簽名并加密”(SignAndEncrypt) 時(shí)，安全通道將對(duì)待發(fā)送數(shù)據(jù)進(jìn)行簽名并

加密。安全通道將對(duì)接收到的數(shù)據(jù)進(jìn)行解密，并檢查簽名。

采用安全策略“不安全”(No security) 時(shí)，安全通道將直接傳送該消息包而不進(jìn)行任何更

改（消息將以純文本形式接收和發(fā)送）。

● 會(huì)話

會(huì)話將安全通道的消息轉(zhuǎn)發(fā)給應(yīng)用程序，或接收應(yīng)用程序中待發(fā)送的消息。此時(shí)，應(yīng)

用程序即可使用這些過(guò)程值或提供這些值。

建立安全通道

建立安全通道，如下所示：

1. 服務(wù)器接收到客戶端發(fā)送的請(qǐng)求時(shí)，開(kāi)始建立安全通道。該請(qǐng)求將簽名或簽名并加

密，甚至以純文本形式發(fā)送，具體取決于所選服務(wù)器端的安全模式。在“簽名”(Sign) 和

“簽名并加密”(Sign & Encrypt) 安全模式中，客戶端將隨該請(qǐng)求一同發(fā)送一個(gè)機(jī)密數(shù)

（隨機(jī)數(shù)）。西門子6ES7134-4NB01-0AB0一級(jí)代理

2. 服務(wù)器將驗(yàn)證客戶端的證書(shū)（包含在請(qǐng)求中，未加密）并檢驗(yàn)該客戶端的身份。如果

服務(wù)器信任此客戶端證書(shū)，

– 則會(huì)對(duì)消息進(jìn)行解密并檢查簽名（“簽名并加密”(Sign & Encrypt)），

– 僅檢查簽名（“簽名”(Sign)），

– 或不對(duì)消息進(jìn)行任何更改（“不安全”(No security)）

3. 之后，服務(wù)器會(huì)向客戶端發(fā)送一個(gè)響應(yīng)（與請(qǐng)求的安全等級(jí)相同）。響應(yīng)中還包含服

務(wù)器機(jī)密?？蛻舳撕头?wù)器根據(jù)客戶端和服務(wù)器的機(jī)密數(shù)計(jì)算對(duì)稱密鑰。此時(shí)，安全

通道已成功建立。

對(duì)稱密鑰（而非客戶端與服務(wù)器私鑰和公鑰）可用于對(duì)消息進(jìn)行簽名和加密。