這些協(xié)議允許設(shè)備被保持在防火墻后以保安全，但仍然能夠與對等設(shè)備和基于云的應(yīng)用程序通信。不幸的是，這些解決方案要求工廠運(yùn)營商，通過第三方提供商管理的代理發(fā)送一些較為敏感的信息，這對于許多應(yīng)用程序來說，是不可接受的。幸運(yùn)的是，OPCUA有一個端到端的安全解決方案，可以確保通過代理發(fā)送數(shù)據(jù)的隱私性和完整性。

通過發(fā)布-訂閱增強(qiáng)OPCUA

OPCUAPubSub是流行的OPCUA協(xié)議的擴(kuò)展，該協(xié)議允許應(yīng)用程序通過中間代理（如MQTT代理）向多個訂閱者發(fā)布消息。OPCUAPubSub消息可以用XML、JSON或高效的OPCUA二進(jìn)制格式進(jìn)行格式化。當(dāng)使用后一種方式時，發(fā)布者可以在將消息發(fā)送給代理之前對其進(jìn)行加密和數(shù)字簽名，以確保除了目標(biāo)接收者之外沒有其他人能夠讀取或修改消息。這將保護(hù)發(fā)布者的數(shù)據(jù)，即使代理在消息等待交付時存儲在磁盤上。

通過共享密鑰來實(shí)現(xiàn)這一切

發(fā)布者和訂閱者需要共享密鑰才能安全地進(jìn)行通信。這是通過使用稱為“安全密鑰服務(wù)”（SKS）的特殊OPCUA服務(wù)器來實(shí)現(xiàn)的。需要密鑰的應(yīng)用程序使用OPCUA客戶端-服務(wù)器協(xié)議安全地向SKS提供憑證。SKS決定它們是否有權(quán)訪問請求的密鑰，并返回一個或多個密鑰。此過程需要多個鍵，因?yàn)樗鼈兘?jīng)常變化，以此確保在必要時，應(yīng)用程序可以在合理的時間內(nèi)從系統(tǒng)中刪除。

安全性已有所保證，那么元數(shù)據(jù)呢？

豐富的OPCUA信息模型，允許應(yīng)用程序使用與應(yīng)用程序域匹配的術(shù)語和構(gòu)造來表示它們的系統(tǒng)，這個信息模型也是OPCUAPubSub的一個重要部分，因?yàn)樗峁┝嗣枋鰧⒁l(fā)送給broker消息內(nèi)容的總體框架。OPCUAPubSub規(guī)范并定義了通知訂閱者消息結(jié)構(gòu)已更改的機(jī)制，同時允許發(fā)布者將新的元數(shù)據(jù)發(fā)送到帶內(nèi)或帶外。而其他解決方案則期望訂閱者處理已知的消息內(nèi)容，或者依賴特定的規(guī)則來解析JSON或XML。

未來的發(fā)展之路

任何希望利用物聯(lián)網(wǎng)的工廠運(yùn)營商都將受益于OPCUA提供的安全工具箱，當(dāng)數(shù)據(jù)流拋出由第三方管理的系統(tǒng)時，該工具箱有助于確保隱私的安全性和完整性。當(dāng)與OPCUA信息建?？蚣芙Y(jié)合，以及在許多現(xiàn)成的OPC產(chǎn)品中廣泛采用時，工具箱將成為首屈一指的工具。

這些協(xié)議允許設(shè)備被保持在防火墻后以保安全，但仍然能夠與對等設(shè)備和基于云的應(yīng)用程序通信。不幸的是，這些解決方案要求工廠運(yùn)營商，通過第三方提供商管理的代理發(fā)送一些較為敏感的信息，這對于許多應(yīng)用程序來說，是不可接受的。幸運(yùn)的是，OPCUA有一個端到端的安全解決方案，可以確保通過代理發(fā)送數(shù)據(jù)的隱私性和完整性。