- 第二部分安全模型
- 概述
- 引用文件
- 術語定義縮寫
- 1 術語和定義
- 11 應用實例Application Instance
- 12 應用實例證書Application Instance Certificate
- 13 非對稱密碼學asymmetric cryptography
- 14 非對稱加密Asymmetric Encryption
- 15 非對稱簽名Asymmetric Signature
- 16 審覈性Auditability
- 17 審計Auditing
- 18 認證Authentication
- 19 授權Authorization
- 110 有效性Availability
- 111 認證機構Certificate Authority
- 112 證書存儲CertificateStore
- 113 機密性Confidentiality
- 114 密碼學Cryptography
- 115 網絡安全管理系統Cyber Security Management System
- 116 數字證書Digital Certificate
- 117 數字簽名Digital Signature
- 118 哈希功能Hash Function
- 119 哈希消息認證代碼Hashed Message Authentication Code
- 120 完整性
- 121 鑰匙交換算法
- 122 消息認證代碼
- 123 消息簽名
- 124 Non-Repudiation
- 125 臨時用法
- 126 OPC UA應用
- 127 私鑰
- 128 公鑰
- 129 公鑰基礎設施PKI
- 130 RSA
- 131 安全通道
- 132 對稱密碼學
- 133 對稱加密
- 134 對稱簽名
- 135 信任列表
- 136 安全傳輸層TSL
- 137 X509證書
- 2 縮寫
- 3 說明
- 1 術語和定義
- OPC UA安全架構
第二部分:安全模型
1 概述
此部分規範描述了OPC UA的安全模型;描述了在OPC UA在具體硬件軟件環境運行時的安全風險;怎樣依賴其它安全標準;提供OPC UA規範所有部分常用到的安全術語,並對其它部分裏明確說明的安全特徵進行總概;還引用了其它部分裏明確說明的服務、映射和配置文件;給予實現安全模型的一些建議或最佳實例。這部分規範是很有意義的但不是很標準的,所以你會看到這部分規範和其他標準規範之間會出現些模棱兩可的東西。
注意當開發應用時必須處理不同安全方面的問題。但是自從OPC UA規範了一套通信協議,就只關注應用之間的數據交換安全。這並不意味着應用開發者就能忽視其它方面的安全問題比如保護數據不被篡改。開發者瞭解安全的所有方面並知道在應用中如何解決這些問題也是重要的。
這部分內容是針對於開發OPC UA客戶端、服務端或要實現服務層的開發者。當然這部分內容也適用於想要理解OPC UA提供的安全的功能特徵的用戶。它還提供了一些你配置系統的說明,當細節是依賴於OPC UA應用的實現和網站安全的選擇時這些說明纔是合理的。
你得先熟悉下Web服務和XML/SOAP。這些技術信息在第一部分和此部分的SOAP有講。
2 引用文件
2.1 引用
SOAP Part 1: SOAP Version 1.2 Part 1: Messaging Framework
http://www.w3.org/TR/soap12-part1/
SOAP Part 2: SOAP Version 1.2 Part 2: Adjuncts
http://www.w3.org/TR/soap12-part2/
XML Encryption: XML Encryption Syntax and Processing
http://www.w3.org/TR/xmlenc-core/
XML Signature:: XML-Signature Syntax and Processing
http://www.w3.org/TR/xmldsig-core/
WS Security: SOAP Message Security 1.1
http://www.oasis-open.org/committees/download.php/16790/wss-v1.1-spec-os-SOAPMessageSecurity.pdf
WS Addressing: Web Services Addressing (WS-Addressing)
http://www.w3.org/Submission/ws-addressing/
WS Trust: Web Services Trust Language (WS-Trust)
http://specs.xmlsoap.org/ws/2005/02/trust/WS-Trust.pdf
WS Secure Conversation: Web Services Secure Conversation Language (WS-SecureConversation)
http://specs.xmlsoap.org/ws/2005/02/sc/WS-SecureConversation.pdf
SSL/TLS: RFC 2246: The TLS Protocol Version 1.0
http://www.ietf.org/rfc/rfc2246.txt
X509: X.509 Public Key Certificate Infrastructure
http://www.itu.int/rec/T-REC-X.509-200003-I/e
HTTP: RFC 2616: Hypertext Transfer Protocol - HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
HTTPS: RFC 2818: HTTP Over TLS
http://www.ietf.org/rfc/rfc2818.txt
IS Glossary: Internet Security Glossary
http://www.ietf.org/rfc/rfc2828.txt
NIST 800-12: Introduction to Computer Security
http://csrc.nist.gov/publications/nistpubs/800-12/
NIST 800-57: Part 3: Application-Specific Key Management Guidance
http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_PART3_key-management_Dec2009.pdf
NERC CIP: CIP 002-1 through CIP 009-1, by North-American Electric Reliability Council
http://www.nerc.com/page.php?cid=2|20
IEC 62351: Data and Communications Security
http://www.iec.ch/heb/d_mdoc-e050507.htm
SPP-ICS: System Protection Profile – Industrial Control System, by Process Control Security Requirements Forum (PCSRF)
http://www.isd.mel.nist.gov/projects/processcontrol/SPP-ICSv1.0.pdf
Part 2 SHA-1: Secure Hash Algorithm RFC
http://tools.ietf.org/html/rfc3174
PKI: Public Key Infrastructure article in Wikipedia
http://en.wikipedia.org/wiki/Public_key_infrastructure
X509 PKI: Internet X.509 Public Key Infrastructure
http://www.ietf.org/rfc/rfc3280.txt
術語,定義,縮寫
3.1 術語和定義
本文檔用到的術語和定義有第一部分說明過的還有下面要說明的。
3.1.1 應用實例(Application Instance)
一段於電腦上正在運行的程序。
注意:能在同一時間一個應用的多個應用實例運行在在一臺電腦上或者幾臺電腦上。
3.1.2 應用實例證書(Application Instance Certificate)
一種數字證書,安裝在單獨主機上的單獨應用實例的證書。
注意:一個軟件產品不同的裝法會有不同的應用實例證書
3.1.3 非對稱密碼學(asymmetric cryptography)
一種密碼學方法,需要一對鑰匙,一把叫私鑰用來加密,另一把叫公鑰用來解密。
注意:非對稱加密也叫公私鑰加密。如果一個實體A需要把數據機密地傳給實體B,可以使用非對稱加密算法,實體A應該用實體B的公鑰加密這些數據,然後實體B用與之匹配的自己的私鑰將這些數據解密。如果實體A需要把完整的消息或者帶有身份驗證的數據傳給實體B,可以使用非對稱數字簽名算法,實體A使用自己的私鑰簽名這些數據,實體B就用匹配的A的公鑰來認證簽名。在非對稱密鑰協議算法裏,實體A和實體B都只把自己的公鑰給其他的實體,然後他們使用自己的私鑰和別人的公鑰根據IS Glossary計算出新的鍵值對。
3.1.4 非對稱加密(Asymmetric Encryption)
原理就是用一個實體的公鑰加密數據並用它的私鑰解密。
3.1.5 非對稱簽名(Asymmetric Signature)
原理就是使用一個實體的私鑰簽名數據並使用這個實體的公鑰來認證數據的簽名。
3.1.6 審覈性(Auditability)
一個安全目的,確保一個系統的任何行爲或者活動都能被記錄。
3.1.7 審計(Auditing)
追蹤系統裏的行爲或活動,包括審計記錄的安全相關活動。這些追蹤信息能被用來審查認證系統操作。
3.1.8 認證(Authentication)
一個安全目的,確保一個實體能被認證,如客戶端、服務端、用戶。
3.1.9 授權(Authorization)
保證系統資源能被訪問。
3.1.10 有效性(Availability)
一個安全目的,保證系統正常運行;meaning no services have been compromised in such a way to become unavailable or severely degraded。
3.1.11 認證機構(Certificate Authority)
一個能發佈數字證書的實體,就是我們常說的CA。
3.1.12 證書存儲(CertificateStore)
將認證證書和失效證書列表保持在固定位置。
注意:它可能是一個磁盤的常駐文件結構,在Windows平臺上它可能是一個Windows註冊位置。
3.1.13 機密性(Confidentiality)
一個安全目的,保護數據不被那些無計劃的組織讀取。
3.1.14 密碼學(Cryptography)
使用一種算法和一把鑰匙將有意義的可讀的數據轉爲不可讀的密文。
3.1.15 網絡安全管理系統(Cyber Security Management System)
組織設計一段程序來維持整個組織資源的安全性,並創建機密性、完整性、有效性等級,無論是在商業領域還是工業自動化控制系統。
3.1.16 數字證書(Digital Certificate)
將身份和實體如用戶聯繫起來的一個結構,在產品或者應用實例裏證書有對關聯的非對稱鑰匙,能用來認證擁有私鑰的實體。
3.1.17 數字簽名(Digital Signature)
使用密碼算法計算出值使用這種方式加在原始數據上,然後接受數據者可以用簽名來認證原始性和完整性。
3.1.18 哈希功能(Hash Function)
一種算法例如SHA-1for which it is computationally infeasible to find either a data object that maps to a given hash result (the “one-way” property) or two data objects that map to the same hash result (the “collision-free” property) , see IS Glossary。
3.1.19 哈希消息認證代碼(Hashed Message Authentication Code)
用內部hash功能產生消息認證代碼MAC。
3.1.20 完整性
3.1.21 鑰匙交換算法
一種協議,用於不安全環境下兩個實體間建立安全通信路徑,whereby both entities apply a specific algorithm to securely exchange secret keys that are used for securing the communication between them。
注意:一種典型的鑰匙交換算法是SSL/TSL的SSL Handshake協議
3.1.22 消息認證代碼
3.1.23 消息簽名
一種數字簽名,用來保證兩個實體間傳送消息的完整性。
注意:有幾種方法來產生和認證消息簽名,主要分爲對稱的(見3.1.34)和非對稱的(3.1.35)
3.1.24 Non-Repudiation
3.1.25 臨時用法
用一個隨機的值通過算法產生安全鑰匙。
3.1.26 OPC UA應用
一個可以指行這些服務的OPC UA客戶端或者服務端。
3.1.27 私鑰
非對稱密碼裏一對密鑰中的私密的那個組件
3.1.28 公鑰
非對稱密碼裏一對密鑰中的公開的那個組件,見IS Glossary。
3.1.29 公鑰基礎設施(PKI)
用來創建、管理、保存、發佈、吊銷基於非對稱密碼的數字證書的一個實體,如一組硬件、一套軟件、一羣人、一堆政策、一組過程。
注意:PKI的核心功能是註冊用戶,發佈他們的公鑰證書,吊銷證書,把需要用於認證證書的數據歸檔。Key pairs for data Confidentiality may be generated by a Certificate authority (CA); it is a good idea to require a Private Key owner to generate their own key pair as it improves security because the Private Key would never be transmitted according to IS Glossary. See PKI and X509 PKI for more details on Public Key Infrastructures.
3.1.30 RSA
3.1.31 安全通道
OPC UA中客戶端和服務端使用一些OPC服務需要互相認證,建立通信路徑就相當於協商應用好安全參數。
3.1.32 對稱密碼學
一個密碼學分支,涉及到算法,這個算法是使用同一把鑰匙來操作不同步驟(如加密解密,創建簽名認證簽名),詳細內容見IS Glossary。
3.1.33 對稱加密
原理是兩個實體共享一把密鑰來加密解密。
3.1.34 對稱簽名
原理是兩個實體共享一把密鑰來創建簽名和認證簽名。
注意:根據數據創建的簽名和認證時產生的簽名如果一樣則證書是有效的,否則不是兩個實體的鑰匙不一樣就是數據不一樣。3.1.19就爲產生對稱簽名的算法提供了個典型的例子。
3.1.35 信任列表
3.1.36 安全傳輸層(TSL)
3.1.37 X.509證書
3.2 縮寫
AES Advanced Encryption Standard
CA Certificate Authority
CRL Certificate Revocation List
CSMS Cyber Security Management System DNS Domain Name System
DSA Digital Signature Algorithm
ECDH Elliptic Curve Diffie-Hellman
ECDSA Elliptic Curve Digital Signature Algorithm
HMAC Hash-based Message Authentication Code
PKI Public Key Infrastructure
RSA public key algorithm for signing or encryption, Rivest, Shamir, Adleman SHA Secure Hash Algorithm (Multiple versions exist SHA1, SHA256,…) SOAP Simple Object Access Protocol
SSL Secure Sockets Layer
TLS Transport Layer Security
UA Unified Architecture
URI Uniform Resource Identifier
XML Extensible Mark-up Language
3.3 說明
3.3.1安全模型圖表的說明
The figures in this document do not use any special conventions. Any conventions used in a particular figure are explained for that figure.
4 OPC UA安全架構
4.1 OPC UA安全環境
OPC UA適用於不同級別的工業設施裏兩個組件操作時的一個協議:從高層企業管理到底層的直接過程控制設備。OPC UA的使用在企業管理中包含處理顧客和供應商問題。例如一個系統可能成爲工業間諜和破壞組織感興趣的目標,也可能會被一些惡意軟件攻擊出現威脅如蠕蟲病毒流通於公共網絡。過程控制的的通信被破壞可能不僅導致經濟損失還會影響員工和公共安全,甚至破壞環境。