Siemens SIMATIC ET 200clean Manuel page 657

Table des Matières
Communication OPC UA
11.2 Sécurité avec OPC UA
Établissement de Secure Channel
Secure Channel est établie de la manière suivante :
1. Le serveur commence à établir Secure Channel, lorsqu'il reçoit la requête correspondante
du client. Cette requête est soit signée, soit signée et cryptée, ou bien le message est
envoyé en clair (mode de sécurité du nœud d'extrémité sélectionné sur le serveur). Avec
"Signature" et "Signature et cryptage", le client envoie un "Secret" (un nombre aléatoire)
avec la requête.
2. Le serveur valide le certificat client (non crypté dans la requête) et vérifie l'identité du
client. Si le serveur fait confiance au certificat du client :
– il décrypte le message et vérifie la signature ("Signature et cryptage")
– ou il vérifie juste la signature ("Signature")
– ou il laisse le message inchangé ("Aucune sécurité").
3. Il envoie ensuite une réponse au client (sécurisée de la même façon que la requête). La
réponse contient le secret du serveur. Le client et le serveur calculent une clé symétrique à
partir du secret client et serveur. L'établissement de Secure Channel est alors terminé.
La clé symétrique est maintenant utilisée pour signer et crypter les messages (à la place des
clés privée et publique du client et du serveur).
Établissement de session
La session est établie de la manière suivante :
1. Le client démarre l'établissement de session en envoyant une demande
CreateSessionRequest au serveur. Ce message contient un Nonce, c'est-à-dire un nombre
aléatoire à usage unique. Le serveur doit signer ce nombre aléatoire (Nonce) pour prouver
qu'il est vraiment le détenteur de la clé privée. associée au certificat que le serveur a utilisé
pour établir Secure Channel. Ce message (et tous les suivants) est sécurisé conformément
aux paramètres de sécurité du nœud d'extrémité choisi sur le serveur (stratégies de
sécurité Security Policys sélectionnées).
2. Le serveur répond avec la réponse CreateSession Response. Ce message contient la clé
publique du serveur ainsi que le Nonce signé. Le client vérifie le Nonce signé.
3. Quand le serveur a réussi le test, le client lui envoie une demande SessionActivateRequest.
Ce message contient les indications nécessaires pour authentifier l'utilisateur :
– soit le nom d'utilisateur et le mot de passe,
– soit le certificat X.509 de l'utilisateur (pas pris en charge dans STEP 7),
– soit aucune donnée (quand un accès anonyme est configuré).
4. Lorsque l'utilisateur possède les droits nécessaires, le serveur envoie un message
(ActivateSessionResponse) en retour au client. La session est alors activée.
La liaison sécurisée entre client et serveur OPC UA est établie.
198
Description fonctionnelle, 11/2024, A5E03735816-AM
Communication

Chapitres

Table des Matières
loading

Table des Matières