這些協(xié)議允許設(shè)備被保持在防火墻后以保安全，但仍然能夠與對(duì)等設(shè)備和基于云的應(yīng)用程序通信。不幸的是，這些解決方案要求工廠運(yùn)營(yíng)商，通過(guò)第三方提供商管理的代理發(fā)送一些較為敏感的信息，這對(duì)于許多應(yīng)用程序來(lái)說(shuō)，是不可接受的。幸運(yùn)的是，OPCUA有一個(gè)端到端的安全解決方案，可以確保通過(guò)代理發(fā)送數(shù)據(jù)的隱私性和完整性。

通過(guò)發(fā)布-訂閱增強(qiáng)OPCUA

OPCUAPubSub是流行的OPCUA協(xié)議的擴(kuò)展，該協(xié)議允許應(yīng)用程序通過(guò)中間代理（如MQTT代理）向多個(gè)訂閱者發(fā)布消息。OPCUAPubSub消息可以用XML、JSON或高效的OPCUA二進(jìn)制格式進(jìn)行格式化。當(dāng)使用后一種方式時(shí)，發(fā)布者可以在將消息發(fā)送給代理之前對(duì)其進(jìn)行加密和數(shù)字簽名，以確保除了目標(biāo)接收者之外沒(méi)有其他人能夠讀取或修改消息。這將保護(hù)發(fā)布者的數(shù)據(jù)，即使代理在消息等待交付時(shí)存儲(chǔ)在磁盤(pán)上。

通過(guò)共享密鑰來(lái)實(shí)現(xiàn)這一切

發(fā)布者和訂閱者需要共享密鑰才能安全地進(jìn)行通信。這是通過(guò)使用稱(chēng)為“安全密鑰服務(wù)”（SKS）的特殊OPCUA服務(wù)器來(lái)實(shí)現(xiàn)的。需要密鑰的應(yīng)用程序使用OPCUA客戶(hù)端-服務(wù)器協(xié)議安全地向SKS提供憑證。SKS決定它們是否有權(quán)訪問(wèn)請(qǐng)求的密鑰，并返回一個(gè)或多個(gè)密鑰。此過(guò)程需要多個(gè)鍵，因?yàn)樗鼈兘?jīng)常變化，以此確保在必要時(shí)，應(yīng)用程序可以在合理的時(shí)間內(nèi)從系統(tǒng)中刪除。

安全性已有所保證，那么元數(shù)據(jù)呢？

豐富的OPCUA信息模型，允許應(yīng)用程序使用與應(yīng)用程序域匹配的術(shù)語(yǔ)和構(gòu)造來(lái)表示它們的系統(tǒng)，這個(gè)信息模型也是OPCUAPubSub的一個(gè)重要部分，因?yàn)樗峁┝嗣枋鰧⒁l(fā)送給broker消息內(nèi)容的總體框架。OPCUAPubSub規(guī)范并定義了通知訂閱者消息結(jié)構(gòu)已更改的機(jī)制，同時(shí)允許發(fā)布者將新的元數(shù)據(jù)發(fā)送到帶內(nèi)或帶外。而其他解決方案則期望訂閱者處理已知的消息內(nèi)容，或者依賴(lài)特定的規(guī)則來(lái)解析JSON或XML。

未來(lái)的發(fā)展之路

任何希望利用物聯(lián)網(wǎng)的工廠運(yùn)營(yíng)商都將受益于OPCUA提供的安全工具箱，當(dāng)數(shù)據(jù)流拋出由第三方管理的系統(tǒng)時(shí)，該工具箱有助于確保隱私的安全性和完整性。當(dāng)與OPCUA信息建?？蚣芙Y(jié)合，以及在許多現(xiàn)成的OPC產(chǎn)品中廣泛采用時(shí)，工具箱將成為首屈一指的工具。

這些協(xié)議允許設(shè)備被保持在防火墻后以保安全，但仍然能夠與對(duì)等設(shè)備和基于云的應(yīng)用程序通信。不幸的是，這些解決方案要求工廠運(yùn)營(yíng)商，通過(guò)第三方提供商管理的代理發(fā)送一些較為敏感的信息，這對(duì)于許多應(yīng)用程序來(lái)說(shuō)，是不可接受的。幸運(yùn)的是，OPCUA有一個(gè)端到端的安全解決方案，可以確保通過(guò)代理發(fā)送數(shù)據(jù)的隱私性和完整性。