西門子6ES7134-4NB01-0AB0一級代理

● 傳輸層：

該層用于發(fā)送和接收消息,。OPC UA 在此使用優(yōu)化的基于 TCP 的二進(jìn)制協(xié)議,。傳輸層

是后續(xù)安全通道的基礎(chǔ)。

● 安全通道

安全層從傳輸層接收數(shù)據(jù),，再轉(zhuǎn)發(fā)到會話層中,。安全通道將待發(fā)送的會話數(shù)據(jù)轉(zhuǎn)發(fā)到

傳輸層中。

在“簽名”(Sign) 安全模式中,，安全通道將對待發(fā)送的數(shù)據(jù)（消息）進(jìn)行簽名。接收消息

時,，安全通道將檢查簽名以檢測是否存在篡改的情況,。

采用安全策略“簽名并加密”(SignAndEncrypt) 時，安全通道將對待發(fā)送數(shù)據(jù)進(jìn)行簽名并

加密,。安全通道將對接收到的數(shù)據(jù)進(jìn)行解密,，并檢查簽名。

采用安全策略“不安全”(No security) 時,，安全通道將直接傳送該消息包而不進(jìn)行任何更

改（消息將以純文本形式接收和發(fā)送）,。

● 會話

會話將安全通道的消息轉(zhuǎn)發(fā)給應(yīng)用程序，或接收應(yīng)用程序中待發(fā)送的消息,。此時,，應(yīng)

用程序即可使用這些過程值或提供這些值。

建立安全通道

建立安全通道,，如下所示：

1. 服務(wù)器接收到客戶端發(fā)送的請求時,，開始建立安全通道。該請求將簽名或簽名并加

密,，甚至以純文本形式發(fā)送,，具體取決于所選服務(wù)器端的安全模式。在“簽名”(Sign) 和

“簽名并加密”(Sign & Encrypt) 安全模式中,，客戶端將隨該請求一同發(fā)送一個機(jī)密數(shù)

（隨機(jī)數(shù)）,。西門子6ES7134-4NB01-0AB0一級代理

2. 服務(wù)器將驗(yàn)證客戶端的證書（包含在請求中，未加密）并檢驗(yàn)該客戶端的身份,。如果

服務(wù)器信任此客戶端證書,，

– 則會對消息進(jìn)行解密并檢查簽名（“簽名并加密”(Sign & Encrypt)），

– 僅檢查簽名（“簽名”(Sign)），

– 或不對消息進(jìn)行任何更改（“不安全”(No security)）

3. 之后,，服務(wù)器會向客戶端發(fā)送一個響應(yīng)（與請求的安全等級相同）,。響應(yīng)中還包含服

務(wù)器機(jī)密?？蛻舳撕头?wù)器根據(jù)客戶端和服務(wù)器的機(jī)密數(shù)計(jì)算對稱密鑰,。此時，安全

通道已成功建立,。

對稱密鑰（而非客戶端與服務(wù)器私鑰和公鑰）可用于對消息進(jìn)行簽名和加密,。