Übersicht

OPC UA ist als Kommunikationstechnologie unter anderem aufgrund der integrierten Sicherheitsmechanismen so erfolgreich. Eine auf OPC UA basierte Datenkommunikation lässt sich dabei auf zwei Ebenen absichern: Auf Transport- und Applikationsebene. Beim Verbindungsaufbau mit dem Server wählt der Client zunächst einen sogenannten Endpunkt aus, welcher unter anderem die zu verwendenden Sicherheitsfunktionen angibt.

Endpunkte

Ein Server bietet dem Client eine Liste mit verschiedenen Endpunkten an, mit denen sich der Client verbinden kann. Ein Endpunkt beschreibt hierbei unter anderem, welche Sicherheitsfunktionen (z. B. Message Security Mode, Security Policy und zur Verfügung stehende Identity Token) die Kommunikationsverbindung über diesen Endpunkt erfüllen soll. So kann ein Endpunkt z. B. eine Signierung und Verschlüsselung der Datenpakete erfordern (Transportebene) sowie eine zusätzliche Authentifizierung des Clients auf Basis von Benutzername/Passwort (Applikationsebene).

Transportebene

Eine auf OPC UA basierte Kommunikationsverbindung kann auf Transportebene abgesichert werden. Dies geschieht durch die Verwendung von Client-/Server-Zertifikaten und eine gegenseitige Vertrauensstellung zwischen Client- und Serverapplikation. Hierbei muss der Client dem Server-Zertifikat vertrauen und umgekehrt, damit eine Kommunikationsverbindung hergestellt werden kann. Hierfür ist ein gegenseitiger Zertifikatsaustausch notwendig.

Applikationsebene

Zusätzlich zur Transportebene lässt sich eine Kommunikationsverbindung auch auf Applikationsebene absichern. Hierfür stehen verschiedene Authentifizierungsmechanismen zur Verfügung, die vom Serverendpunkt angeboten werden.