OPC UA对称性加密和非对称性加密???
我们上期介绍了OPC UA的安全部分,非常重要,特别是在开放式的网络中。
OPC UA的安全性不容忽视!!!
如果您曾经在OPC UA客户端和OPC UA服务器之间配置过OPC UA连接-您可能熟悉OPC UA证书。OPC UA使用X.509证书标准,该标准定义了标准公钥格式,并在OPC UA中用于三个主要功能:
- OPC UA消息签名验证通信完整性
应用程序使用其私钥生成消息签名/哈希,然后可以使用相应的公钥证书对其进行验证。如果私钥签名被检查出来,则保证消息来自相应的应用程序。修改传输中的消息(可能是中间人攻击的情况)将导致消息签名/散列不再正确-表明消息在传输中被修改。
- OPC UA消息加密保护通信安全
应用程序的私钥可用于对消息进行签名,以保证消息是由批准的应用程序生成的,同样,公钥也可用于加密消息。一旦使用公钥加密消息,只有具有相应私钥的应用程序才能解密它(真正酷的部分是,攻击者甚至可以拥有公共证书的副本,他们将无法解密刚刚加密的消息;公钥仅用于加密-它不能用于解密自己的消息) 。
- OPC UA应用程序识别提供可信度度量
如果没有办法确定我们使用的是谁的证书,那么能够对消息进行签名和加密/解密对我们来说自然没有多大好处。因此,每个OPC UA证书还提供了关于什么应用程序生成证书的识别信息,何时生成,由谁生成,证书可以用于什么,证书应该有效多久,在哪里生成,以及许多其他信息。
了解OPC UA证书的用途是一回事,但了解它们的使用方式是下一步。
OPC UA的加密类型
现在我们已经了解了OPC UA证书在OPC UA安全环境中的功能,我们需要考虑在您信任OPC UA证书并在OPC UA端点上启用安全性后,消息会发生什么。具体来说,Sign&Encrypt在端点上意味着什么,以及我们如何确保数据真正安全。
为了真正理解两个应用程序之间的OPC UA安全性是如何工作的,我们需要了解一些对称和非对称(或公钥)保护的工作原理-因为在一天结束时,它们彼此并没有太大的不同。
Symmetric Encryption 对称加密如何工作?
对称加密之所以如此命名(非常恰当),是因为使用相同的密钥来加密和解密编码的消息,这与使用相同的密钥来锁定和解锁锁的物理锁不同。这种对称性很棒,因为它是一种非常快速的加密/解密信息的方法,因为两者使用相同的密钥,并且因为它是相当安全的(尽管不如它的非对称兄弟安全)。
1.服务器A(在本例中为OPC UA客户端)有一个未加密的消息,它希望发送到服务器B上的OPC UA服务器。
2.服务器A使用以前交换的对称密钥加密消息
3.加密后的消息--不会被窥探--现在被发送到运行在服务器B上的OPC UA服务器。
4.在这里,用于加密消息的同一密钥现在用于解密消息
5.然后将原始消息传递到OPC UA服务器
6.任何没有密钥的未经批准的方最终都会得到一条加密消息,他们对此无能为力。
Asymmetric Encryption
非对称加密如何工作?
非对称加密-或公钥加密-(也被非常恰当地命名)被认为是非对称的,因为相同的密钥不再用于加密和解密。你怎么会这么问?如何使用一个密钥加密数据,而使用另一个密钥解密数据?
基本上,使用非对称加密,每个应用程序都将有两个数学链接的证书(稍后将详细介绍这意味着什么): 用于解密和消息签名的私有证书 用于加密的公共证书 这些密钥在数学上是相互关联的,这意味着用公钥加密的消息只能用相应的私钥解密。
使用非对称加密的任何连接的第一步是交换公钥。 由于加密的消息只能使用相应的私钥解密,因此应用程序可以非常自由地将公钥交给谁,因为任何拦截加密消息的人都无法解密消息(即使他们有用于加密的公钥的副本)。这也意味着一个应用程序只需要一个可以被许多应用程序使用的公钥,解决了我们在使用对称加密时看到的证书计数问题。
1.在服务器A上运行的OPC UA客户端以一个未加密的消息启动,该消息将被发送到在服务器B上运行的OPC UA服务器。公钥已交换。
2.UA客户端将使用从OPC UA服务器接收的公钥对消息进行加密,并...
3.加密的消息被发送出去(在那里它被恶意的第三方拦截)
4.服务器B上的OPC UA服务器使用其私钥对编码后的消息进行解密.
5.然后进行处理。
6.截取消息以及服务器B的公钥的恶意参与者仍然无法解密捕获的消息。
代码语言:javascript代码运行次数:0运行复制对称加密和非对称加密对比
针对下述特性将两种加密类型对比如下表所示:
对称加密和非对称加密各有优缺点。对称加密速度快、安全性高,但密钥交换困难且泄露风险大;非对称加密更安全、公钥可公开,但速度慢。实际应用中常结合两者:用非对称加密交换对称密钥,再用对称加密传输数据。
参考链接:
发布者:admin,转转请注明出处:http://www.yc00.com/web/1748023188a4720007.html
评论列表(0条)