[发明专利]实现通过网络与目标装置的安全通信的方法

说明书

提供实现通过网络与目标装置安全通信的方法。方法包括目标装置上运行的OPC UA服务器开启不安全OPC UA端点，其提供符合OPC UA信息模型的安全上下文数据，其中安全上下文数据指示存在目标装置上存储的初始装置证书；第一装置上运行的OPC UA客户端通过网络连接到OPC UA服务器并请求初始装置证书；OPC UA客户端接收初始装置证书；第一装置验证初始装置证书；第一装置建立装置证书；第一装置使用初始装置公有密钥加密装置证书以产生加密数据；通过网络将加密数据从OPC UA客户端发送到OPC UA服务器；目标装置使用初始装置私有密钥解密加密数据以得到装置证书；将装置证书存储在目标装置上；OPC UA服务器开启安全OPC UA端点，其基于装置证书提供对目标装置的技术功能的访问。

技术领域

本公开涉及装置到网络中的集成或者网络内的装置的升级，集中于实现与装置(例如现场装置)的安全通信。具体来说，本文所述的实施例涉及用于实现通过网络与目标装置的安全通信的方法、目标装置、包括该目标装置和另一网络装置的系统、实现通过网络与目标装置的安全通信的另一网络装置以及对应的计算机程序产品。

背景技术

当前进行中的第四次工业革命(包括已知的“工业4.0”)正以前所未有的方式推进制造过程中的自动化和数据交换，而且还在办公室和家庭内提供例如现场装置等的装置以及特别是所谓的嵌入式装置之间的智能连接性。一方通常具有现场的网络基础设施，无论是在工厂、办公室或者甚至家庭中，并且期望装置按照安全方式通过网络利用控制器相互通信，以便避免可引起工厂、办公室或家庭内的灾难性故障的从偷听到采集相关数据到恶意篡改装置变化的安全漏洞。基于公有密钥基础设施(PKI)的非对称密码学是保护这种通信的方式。

OPC UA是一种与这类装置的通信的技术。其中“OPC UA”是OPC基金会的统一架构(UA)的众所周知缩写词。由14部分组成的当前OPC UA规范应该形成全部OPC UA相关条款和功能的基础，并且通过引用完整地结合到本文中。OPC UA支持基于PKI的机制，以保护装置(例如传感器或致动器)上运行的OPC UA服务器与作为控制器(所述控制器通常具有用户接口)的组成部分的OPC UA客户端之间的通信。对于基于PKI的安全通信，OPC UA服务器和OPCUA客户端两者的证书被交换和验证，以构建信任关系或安全上下文。

但是，特别是在嵌入式装置上的许多OPC UA服务器仍然缺乏与基于证书的安全OPC UA通信的集成。通常使用非安全通信，或者采用基于基本用户名/密码的概念来保护OPC UA通信。这些方式没有充分防止窃听者和恶意操纵。极大地需要对基于证书、加密和完整性保护的通信的升级。具有现场的网络基础设施的所述一方通常设法安装伴随集成OPCUA服务器的新装置或者升级旧装置，以便按照基于PKI的安全方式通过网络相互之间与控制器进行通信，并且可优选所述一方自己的PKI。

为了例如在新装置的调试或者升级现有装置(所述装置被连接到所述一方的网络基础设施)的重新初始化期间构建装置的OPC UA服务器与OPC UA客户端之间的信任关系，所述一方可信任所述的装置的预安装装置证书，但是然后可必须管理所述一方自己的PKI内的许多第三方证书。使用这种预安装装置证书还可能引起OPC UA客户端中的验证问题。