下面提供一些有关安全功能(安全措施)的通用信息。无论使用CODESYS 还是连接控制器,本信息均适用。
通过用户管理提供访问保护
为了防止未经授权访问数据,有必要配置具有特定访问权限的用户账户。只有拥有凭证的用户才能访问数据或功能。
根据实现高密码强度的一般建议来创建密码,是对安全的巨大贡献。
用户管理大致分为以下几种类型:
-
用户管理简单:
要访问数据,只需输入密码或用户名和密码的有效组合。这意味着只能允许或拒绝访问。无法配置分级权限。
-
基于组的用户管理
访问权限分配给用户组。属于某个组的用户在输入凭证后,可以访问数据或功能,而这些数据或功能恰恰具有这些指定的不同权限。
加密、签名
加密:
数据加密的含义如下:数据被转换为不可读形式,只有通过匹配密钥才能再次读取。在最简单的情况下,密钥是一个密码或一对密钥。
加密方法有两种:
-
对称法:(20 世纪 70 年代中期之前的唯一加密方式)
特点使用秘钥
优势快速、简单的编码
缺点钥匙必须秘密共享。
-
非对称法
特点使用一对密钥(私人/保密密钥和公开密钥)
优势任何人都可以访问公开密钥,并通过它进行身份验证。
缺点速度慢(比对称方法慢约 1,000 至 10,000 倍);编码复杂;密钥长度长
密钥交换通常采用非对称方法,加密和解密采用对称方法。
签名:
为了验证电文不可辩驳的所有权和完整性,应为电文提供签名。这些通常是相关步骤:
-
发件人:确定数据 (H) 的唯一哈希值
-
发件人:用私人密钥加密哈希值 (He)
-
受赠者同时计算哈希值,用公钥解密 He,并比较两个值。这样就能唯一识别发送方,并验证发送方是否拥有私人密钥。
在非对称加密的情况下,发送方和接收方首先要交换证书中的公开密钥。此外,每个参与者都需要一个私人密钥,如果他们拥有证书,就可以用它来解密数据。因此,如果要访问证书,就需要证书和私钥。
为此,必须使用哈希方法:
-
哈希方法:
特点数据的唯一缩略图(例如,数据的校验和)
尽可能减少碰撞(很难为一个哈希值找到/构建两个不同的数据)
证书
为了将公开密钥分配给一个身份,通常会将其嵌入证书中。
在基于证书的系统中,每个用户都会收到一份数字证书。证书用于数字身份识别。它包含有关用户身份和公钥的信息。每个证书都由签发机构认证,而签发机构又可能由上级机构认证。这种 PKI(公钥基础设施)的信任系统是严格分级的。常用的信任锚是根证书。
证书的内容:
-
版本
-
序列号
-
算法 ID
-
发行人(当局或公司)
-
从(非之前)到(非之后)的有效性
-
证书所有者(主体)
-
证书所有者密钥信息(主体公开密钥)
-
公钥算法
-
证书所有者的公开密钥
-
-
签发人的唯一 ID(可选)
-
所有者的唯一 ID(可选) 所有者拥有与公钥匹配的私钥。
-
扩展
-
目的(扩展密钥用途)
-
...
-
证书由 2 个部分/文件组成:
-
公开 X.509 证书(可颁发给任何人)
-
与证书或其公开密钥相匹配的私钥(必须保密)。
要管理本地 "Windows 证书存储库 "中的证书,请参阅以下帮助页面: