首页 > 国家标准(GB) > GB/T 33863.2-2017 OPC统一架构 第2部分:安全模型
GB/T 33863.2-2017

基本信息

标准号: GB/T 33863.2-2017

中文名称:OPC统一架构 第2部分:安全模型

标准类别:国家标准(GB)

标准状态:现行

出版语种:简体中文

下载格式:.rar .pdf

下载大小:9613KB

相关标签: 统一 架构 安全 模型

标准分类号

关联标准

出版信息

相关单位信息

标准简介

GB/T 33863.2-2017 OPC统一架构 第2部分:安全模型 GB/T33863.2-2017 标准压缩包解压密码:www.bzxz.net

标准图片预览






标准内容

ICS25.040
中华人民共和国国家标准
GB/T33863.2—2017/IEC/TR62541-2:2010OPC统一架构
第2部分:安全模型
OPC unified architecture-Part 2:Security model(IEC/TR62541-2:2010,IDT)2017-07-12发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-02-01实施
1范围
规范性引用文件
3术语、定义、缩略语和约定
3.1术语和定义
3.2缩略语
3.3关于安全模型图的约定
4OPCUA安全结构:
4.1OPCUA安全环境
安全目标
机密性
完整性
可审核性
可用性
对OPCUA系统的安全威胁
消息洪泛
消息欺骗
消息改变免费标准下载网bzxz
消息重放
畸形消息
服务器剖析(profiling)
会话劫持
欺诈服务器
用户凭证泄密
OPCUA与站点安全的关系....
OPCUA安全架构
安全策略
安全行规·
用户授权
用户鉴别
应用鉴别
GB/T33863.22017/IEC/TR62541-2.2010次
iiKAoiKAca
GB/T33863.2—2017/IEC/TR62541-2.2010OPCUA安全相关服务
4.12审核
中·##.e中.
单个客户端和服务器
聚合服务器
通过非审核服务器聚合
具有服务分发的聚合服务器
安全协调
5.1针对威胁的OPCUA安全机制
消息洪泛
消息欺骗
消息变化“
消息重放
畸形消息
服务器部析(Serverprofiling)会话劫持
欺诈服务器
用户凭证泄密
面向实现目标的OPCUA安全机制
应用鉴别
用户鉴别
机密性
完整性
可审核性(Auditability)
可用性
6实现考虑·
适当的超时·
严格消息处理·
随机数生成
特定和保留数据包
速率限制和流量控制
参考文献
中-中中
...e.........
专专国中
违光电光光迎
中费业
HiiKAoNiKAca
GB/T33863.2--2017/IEC/TR62541-2:2010前言
GB/T33863《OPC统一架构》由以下各部分组成:第1部分:概述和概念:
第2部分:安全模型;
第3部分:地址空间模型;
一第4部分:服务;
一第5部分:信息模型:
一第6部分:映射;
第7部分·规约;
第8部分:数据访问:
-第9部分:报警和条件:
第10部分:程序;
第11部分:历史访问
-第12部分:发现;
第13部分:聚合。
本部分是GB/T33863的第2部分。本部分按照GB/T1.1一2009给出的规则起草。本部分使用翻译法等同采用IEC/TR62541-2:2010OPC统一架构第2部分:安全模型》。本部分做了下列编辑性修改:
删除与规范性引用文件重复的参考文献。本部分由中国机械工业联合会提出。本部分由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。本部分起草单位:机械工业仪器仪表综合技术经济研究所、北京三维力控科技有限公司、上海自动化仪表有限公司,重庆川仪自动化股份有限公司,西南大学,中国工程物理研究院动力部本部分主要起草人:王麟琨、王春喜、李云、丁露、王玉敏、丁研、张庆军、姚杰、刘枫、郑秋平。iiAoNiKAca
GB/T33863.2—2017/IEC/TR62541-2:2010引言
本部分为GB/T33863规定的OPC统一架构提供了安全模型。本标准给出了为开发标准接口而进行分析和设计的过程,该标准接口可加快由多个供应商完成的应用开发,并实现内部操作的无缝连接。
HiiKAoNiKAca
1范围
GB/T33863.2—2017/IEC/TR62541-2.2010OPC统一架构第2部分:安全模型GB/T33863的本部分给出了OPC统一架构(UA)安全模型,描述了OPCUA预期要运行的物理、硬件和软件环境中的安全威胁,以及OPCUA如何利用其他标准实现安全。本部分给出了在OPCUA其他规范中规定的安全特性的概述。本部分引用了在本标准其他部分做了规范性规定的服务、映射和行规。
注:在开发应用时,需解决安全性的许多其他方面。鉴于OPCUA规定了一个通信协议,所以本部分关注于保护应用间数据交换的安全。
这并不意味着应用开发者可以忽略其他方面的安全,如保护永久性数据免遭算改。开发者应观察所有安全内容,并确定在应用中如何处理。本部分用于指导开发OPCUA客户端或服务器应用,或实现OPCUA服务层。本部分假定读者熟悉Web服务和XML/SOAP。关于这些技术的信息,可参考SOAP第1部分和第2部分。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IEC62541(所有部分)OPC统一架构(OPCunifiedarchitecture)IEC/TR62541-1OPC统一架构第1部分:概述和概念(OPCunifiedarchitecturePart1:Overview and concepts)
3术语、定义、缩略语和约定
3.1术语和定义
IEC/TR62541-1界定的以及下列术语和定义适用于本文件。3.1.1
应用实例ApplicationInstance
在一台计算机上运行的一个单独安装的程序。注:同一应用的几个应用实例可以同时在一台或多台计算机上运行。3.1.2
ApplicationInstanceCertificate应用实例证书
已安装在单个主机中的单个应用实例的数字证书。注:一个软件产品的不同安装应有不同的应用实例证书。3.1.3
AsymmetricCryptography
非对称密码术
使用一对密钥的加密方法。一个密钥指定为私有密钥,不公开,另一个密钥称为公开密钥,通常可获得。
HiiKAoNiKAca
GB/T33863.2—2017/IEC/TR62541-2.2010注:非对称密码术,也称为“公开密钥密码术”。在非对称加密算法中,当实体A要确保发给实体B数据的保密性时,实体A使用实体B提供的公开密钥对数据进行加密。只有实体B具有解密数据所需的相匹配的私有密钥。在非对称数字签名算法中,当实体A要确保发给实体B的数据的完整性或要提供数据鉴别时,实体A使用其私有密钥对数据进行标记。为验证签名,实体B使用实体A提供的匹配的公开密钥。在非对称密钥约定算法中,实体A和实体B相互发送他们的公开密钥。然后每个实体使用其私有密钥和对方的公开密钥计算新密钥值,见IS术语表。
非对称加密
Asymmetric Encryption
非对称密码术使用的一种机制,该机制使用一个实体的公开密钥加密数据,使用相关联的私有密钥解密数据:
注:详见3.1.3。
非对称签名AsymmetricSignature非对称密码术使用的一种机制,该机制使用实体的私有密钥标记数据,并使用相关联的公开密钥验证数据签名。
注:详见3.1.3。
可审核性Auditability
确保系统中任何行为或活动可被记录的一种安全目标。3.1.7
Auditing
对系统内的行为和活动,包括安全相关活动,进行跟踪。其中,审核记录可被用于验证系统运行的安全性。
Authentication
验证实体(如:客户端、服务器或用户)特征的过程。3.1.9
授权Authorization
授予系统实体访问系统资源的权利或许可的过程。3.1.10
Awailability
可用性
系统无阻碍运行的能力。
机密性Confidentiality
保护数据避免被非预期的实体读取。3.1.12
密码术Cryptography
使用算法和密钥将清晰、有含义的信息变换为加密的难以理解的格式。3.1.13
网络安全管理系统CyberSecurityManagementSystem;CSMS由某个组织设计的程序,以维护整个组织资产安全达到确定的机密性、完整性和可用性的等级。资产可以属于该组织的商业范畴也可以属于该组织的工业自动化和控制系统范畴。2
HTiKAoNiKAca
数字证书Digital Certificate
GB/T33863.2—2017/IEC/TR62541-2.2010将特征与一个实体(如:用户、产品或应用实例)相关联的结构,该证书有一个相关联的非对称密钥对,可用于鉴别该实体确实拥有私有密钥。3.1.15
数字签名DigitalSignature
使用加密算法计算并附加到数据上的值。任何数据接收可使用该签名验证数据的来源和完整性。3.1.16
HashFnction
散列函数
种算法,如SHA-1,对于该算法,寻找映射到给定散列结果(“单向”属性)的一个数据对象或寻找映射到同一散列结果的两个数据对象(“无碰撞”属性)在计算上是不可行的,见IS术语表。3.1.17
散列消息鉴别码
Hashed Message Authentication Code,HMAC使用选代散列函数生成的MAC(消息鉴别码)。3.1.18
完整性Integrity
保证在未授权情况下不修改或不损坏信息的安全目标。注:定义来自IS术语表。
密钥交换算法
KeyExchangeAlgorithm
用于在不安全环境下的两个实体间建立安全通信路径的协议,两个实体使用特定算法安全地交换用手保证被此间安全通信的密钥。注:密钥交换算法的一个典型实例是在SSL/TLS中规定的SSL握手协议。3.1.20
消息鉴别码Message AuthenticationCode;MAC使用密钥(见对称加密)来散列计算消息的算法所产生的短数据片。由此消息接收者能通过计算MAC来检查消息是否发生变化。使用相同消息和密钥,MAC应相同。3.1.21
消息签名Message Signature
用于保证在两个实体间发送消息完整性的数字签名。注:有多种方法来产生和验证消息签名,这些方法可以分为对称方法(见3.1.32)和非对称方法(见3.1.5)。3.1.22
不可否认性Non-Repudiation
证明消息签名者标识和消息完整性的证据是有力而充分的,以避免对方否认报文的原传输或传递,以及内容的完整性。
通常由产生安全密钥的算法使用一次的随机数。3.1.24
OPCUAApplication
OPCUA应用
调用OPCUA服务的OPCUA客户端或执行这些服务的OPCUA服务器。3.1.25
Private Key
私有密钥
用手非对称加密的一对加密密钥的保密部分。3
iiKAoNiKAca
GB/T33863.2-2017/IEC/TR62541-2.20103.1.26
公共密钥PublicKey
用于非对称加密的一对加密密钥的可公开部分,见IS术语表。3.1.27
Public KeyInfrastructure,PKI公共密钥基础设施
产生、管理、存储、分发和取消基于非对称加密的数字证书所需要的硬件、软件、人员、策略和规程集。
注:核心PKI功能是注册用户、发布公共密钥证书、在需要时取消证书以及在延迟时间很长时对确认证书所需的数据进行存档。保证数据机密性的密钥对可由证书认证机构(CA)产生,但要求私有密钥所有者产生自身的密钥对以提高安全性,因为绝不会传输私有密钥,见IS术语表。公共密钥结构的更多细节见PKI和X509PKI。3.1.28
Rivest-Shamir-Adleman,RSA
非对称密码术,由RonRivest,AdiShamir和LeonardAdleman于1977年发明,见IS术语表。3.1.29
安全通道SecureChannel
在OPCUA客户端和服务器之间建立的通信路径。OPCUA客户端和服务器已使用确定的OPCUA服务相互进行鉴别,通信路径的安全参数通过协商方式确定并使用。3.1.30
Symmetric Cryptography
对称密码术S
一种加密技术,这种技术使用的算法在两个不同步骤中使用相同密钥(例如:加密和解密,或产生签名和签名验证),见IS术语表。
对称加密SymmetricEncryption
由对称密码术使用的机制,该机制使用由两个实体共享的加密密钥对数据进行加密和解密。3.1.32
对称签名Symmetric Signature
由对称密码术使用的机制,该机制使用两个实体共享的密钥对数据进行签名。注:通过再次产生数据签名并比较这两个签名,对数字签名进行确认,如果相同则数字签名有效,否则两个实体的密钥或数据不同。3.1.17定义了生成对称密钥算法的典型示例。3.1.33
5X.509Certificate
X.509证书
符合X.509v1、2或3中所定义的一种格式的数字证书。注:X.509证书包含数据项序列,以及基于此序列计算得到的数字签名。3.2缩略语
下列缩略语适用于本文件。
CSMS:网络安全管理系统(CyberSecurityManagementSystem)DSA:数字签名算法(DigitalSignatureAlgorithm)PKI:公共密钥基础设施(PublicKeyInfrastructure)RSA:用于签名或加密的公共密钥算法(Rivest,Shamir,Adleman)[publickeyalgorithmforsigning or encryption(Rivest,Shamir,Adleman)]SHA1:安全散列算法1(SecureHashAlgorithm1))SOAP:简单对象访问协议(SimpleObjectAccessProtocol)4
SSL:安全套接层(SecureSocketsLayer)TLS:传输层安全(TransportLayerSecurity)UA:统一架构(UnifiedArchitecture)URI:统一资源标识符(UniformResourceIdentifier)GB/T33863.2—2017/IEC/TR62541-2.2010XML:可扩展标记语言(ExtensibleMark-upLanguage)3.3关于安全模型图的约定
本部分的图不使用任何特定共用约定,在特定图中使用的任何约定仅用于解释该图。4OPCUA安全结构
4.1OPCUA安全环境
OPCUA是对工业设施在多层次操作过程中组件间使用的协议,多层次操作过程涵盖上层企业管理到对底层设备的直接过程控制。使用OPCUA用于企业管理涉及客户和供应商,对于工业间谦或破坏者它可能是有吸引力的目标,也可能处于在公共网络上活动的无目的的恶意软件的威胁之下,如“蠕虫”。过程控制端的通信中断至少会提高企业的经济成本,并且可带来雇员和公共安全后果,或造成环境危害。这对于寻找机会危害企业或社会的人来说可能是有吸引力的目标。OPCUA将应用在不同类型的工作环境中,对于不同的工作环境应对威胁和可访问采用不同假设,以及使用不同安全策略和强制制度。因此,OPCUA提供了一套灵活的安全机制集。图1给出了这些不同环境的组合。一些OPCUA客户端和服务器在相同主机上,能更容易地避免外部攻击。一些客户端和服务器在相同工作网络上的不同主机上,可通过安全边界保护避免外部攻击,安全边界保护将工作网络与外部连接隔离。一些OPCUA应用在相对开放的环境下运行,在这样环境下用户和应用可能难以控制。其他应用嵌人到控制系统中,这些控制系统与外部系统没有直接的电子连接。Inteinet
企业网
业务网
工厂网
OPC客户端
客芦端
图1OPCUA网络模型
攻击者
白=安全边界保护
OPCUA应用可能运行在不同环境中的不同地点。客户端和服务器可能在高防护控制网络上的相同主机或主机间通信。但OPCUA客户端和服务器也可能在因特网上很开放的环境下通信。站点向OPCUA应用运行的系统部分提供的任何安全控制保护,可保护OPCUA活动。5
GB/T33863.2—2017/IEC/TR62541-2:20104.2安全目标
4.2.1概述
信息系统安全从根本上降低了攻击造成危害的风险,可通过识别对系统的威胁、识别系统对这些威胁的弱点、以及提供相应对策来实现。这些对策直接减少了系统的弱点、阻止了威胁,或从成功的攻击中恢复。
工业自动化系统的安全通过满足目标集来实现。通常为信息系统提供安全的这些目标经过长期经验已经得到了改进。尽管对系统的威胁不断变化,但自标集保持较高稳定性。这些自标在后续条中描述。在描述OPCUA安全结构和功能之后,5.2根据OPCUA功能协调这些目标。4.2.2鉴别
像客户端、服务器和用户这样的实体,应检验其标识。鉴别可基于实体已有和已知的知识实现。4.2.3授权
对读、写或执行资源的访问仅应授权给该系统要求范围内的需要这种访问的实体。授权可以是粗粒度的,允许或不允许客户端调用服务器,也可以是细粒度,如允许特定用户对特定信息的特定动作。4.2.4机密性
无论数据在传输过程中、在存储器中还是在存储过程中,都应保护数据避免被动攻击,如窃听。为提供机密性,使用保护数据的特定保密机制的数据加密算法应与访问该保密机制的鉴别和授权机制一同使用。
4.2.5完整性
接收器应接收与发送器发送的相同的信息,在传输过程中数据不被改变。4.2.6可审核性
为了给利益相关者提供该系统按预期工作的证据以及识别某些动作的发起者,应记录系统采取的动作。
4.2.7可用性
当需要执行的软件被关闭或当正在处理的输人超过了软件或通信系统自身能力,则可用性被降低。OPCUA可用性降低表现为:例如,订阅性能下降或增加会话的能力下降。4.3对OPCUA系统的安全威胁
4.3.1概述
OPCUA提供措施以阻止对传送信息安全的威胁。后面条列出了当前已知的对OPCUA运行环境的威胁,描述了OPCUA安全结构和功能。5.1给出了如何解决对OPCUA功能的威胁。4.3.2消息洪泛
攻击者发送大量的消息,或一个包含大量请求的消息,以达到使OPCUA服务器或OPCUA服务器可靠工作所依赖的部件(如:CPU,TCP/IP栈、操作系统或文件系统)难以应付。洪泛攻击可在多层实施,包括OPCUA,SOAP、LHTTPJ或TCP。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。