OPC UAのセキュリティ

OPC UAのセキュリティの概略は図の通りです。OPC UAはSecure Channelを使用することで交換するメッセージのセキュリティを保証します。アプリケーションはSessionが確立するときに1回だけ認証を受けます。認証は証明書を使用することが一般的です。(図はOPC Foundationの仕様書より抜粋)

OPC UAのセキュリティの定義

では実際にOPC UAのセキュリティがどう定義されているのかをプラスチック成型機の情報モデル(EUROMAP 77)を例として見てみましょう。プラスチック成型機の情報モデルのセキュリティ要件は次の通りに定義されています。

Security Policy:Basic256(=暗号化のProfile)
Security Mode:sign(= メッセージのセキュリティ種別)
ユーザ認証:UserNamePassword (=ユーザの認証方法)
アプリケーション認証:証明書の使用

OPC UAは暗号化のProfileの指定をSecurity Policyといい、メッセージのセキュリティの指定をSecurity Modeといいます。

SECURITY POLICY

Security Policyを決定する暗号化のProfileはEmpress iData OPC UA Serverのコンフィグファイル(uaserver.config.xml)のタグ内に設定します。以下のURLで指定します。

http://opcfoundation.org/UA/SecurityPolicy#None
http://opcfoundation.org/UA/SecurityPolicy#Basic128Rsa15
http://opcfoundation.org/UA/SecurityPolicy#Basic256
http://opcfoundation.org/UA/SecurityPolicy#Basic256Sha256

Security Mode

Security Modeはメッセージの暗号化の指定です。個々のNodeをAccessRestrictions Attributeで設定することも可能ですし、Server全体を一括で定義することも可能です。個々のNodeをひとつひとつ設定する必要もあまりないと思いますので、NamespaceMetadataのDefaultAccessRestrictionsを設定する方法をおすすめします。

ユーザ認証

ユーザ認証はEmpress iData OPC UA Serverのコンフィグファイル(uaserver.config.xml)のAnonymousとUserNamePasswordがあります。UserNamePasswordを選択します。

アプリケーション認証

X.509証明書はSSL通信で必須です。アプリケーション認証のために使用されます。Serverを起動する前に証明書を入手する必要があります。OPC UAでは証明書を販売する会社から購入することを推奨していますが、FA機器の場合は現実的ではありません。自己署名の証明書を作成する必要があります。作成の仕方はEmpress iData OPC UA Severのマニュアルに記載されていますので参照して下さい。証明書を作成もしくは購入したらマニュアルに記載されている通り、ファイルをデプロイし、uaserver.config.xmlを修正して下さい。