提供實現通過網絡與目標裝置安全通信的方法。方法包括目標裝置上運行的OPC UA服務器開啟不安全OPC UA端點，其提供符合OPC UA信息模型的安全上下文數據，其中安全上下文數據指示存在目標裝置上存儲的初始裝置證書；第一裝置上運行的OPC UA客戶端通過網絡連接到OPC UA服務器并請求初始裝置證書；OPC UA客戶端接收初始裝置證書；第一裝置驗證初始裝置證書；第一裝置建立裝置證書；第一裝置使用初始裝置公有密鑰加密裝置證書以產生加密數據；通過網絡將加密數據從OPC UA客戶端發送到OPC UA服務器；目標裝置使用初始裝置私有密鑰解密加密數據以得到裝置證書；將裝置證書存儲在目標裝置上；OPC UA服務器開啟安全OPC UA端點，其基于裝置證書提供對目標裝置的技術功能的訪問。

技術領域

本公開涉及裝置到網絡中的集成或者網絡內的裝置的升級，集中于實現與裝置(例如現場裝置)的安全通信。具體來說，本文所述的實施例涉及用于實現通過網絡與目標裝置的安全通信的方法、目標裝置、包括該目標裝置和另一網絡裝置的系統、實現通過網絡與目標裝置的安全通信的另一網絡裝置以及對應的計算機程序產品。

背景技術

當前進行中的第四次工業革命(包括已知的“工業4.0”)正以前所未有的方式推進制造過程中的自動化和數據交換，而且還在辦公室和家庭內提供例如現場裝置等的裝置以及特別是所謂的嵌入式裝置之間的智能連接性。一方通常具有現場的網絡基礎設施，無論是在工廠、辦公室或者甚至家庭中，并且期望裝置按照安全方式通過網絡利用控制器相互通信，以便避免可引起工廠、辦公室或家庭內的災難性故障的從偷聽到采集相關數據到惡意篡改裝置變化的安全漏洞。基于公有密鑰基礎設施(PKI)的非對稱密碼學是保護這種通信的方式。

OPC UA是一種與這類裝置的通信的技術。其中“OPC UA”是OPC基金會的統一架構(UA)的眾所周知縮寫詞。由14部分組成的當前OPC UA規范應該形成全部OPC UA相關條款和功能的基礎，并且通過引用完整地結合到本文中。OPC UA支持基于PKI的機制，以保護裝置(例如傳感器或致動器)上運行的OPC UA服務器與作為控制器(所述控制器通常具有用戶接口)的組成部分的OPC UA客戶端之間的通信。對于基于PKI的安全通信，OPC UA服務器和OPCUA客戶端兩者的證書被交換和驗證，以構建信任關系或安全上下文。

但是，特別是在嵌入式裝置上的許多OPC UA服務器仍然缺乏與基于證書的安全OPC UA通信的集成。通常使用非安全通信，或者采用基于基本用戶名/密碼的概念來保護OPC UA通信。這些方式沒有充分防止竊聽者和惡意操縱。極大地需要對基于證書、加密和完整性保護的通信的升級。具有現場的網絡基礎設施的所述一方通常設法安裝伴隨集成OPCUA服務器的新裝置或者升級舊裝置，以便按照基于PKI的安全方式通過網絡相互之間與控制器進行通信，并且可優選所述一方自己的PKI。

為了例如在新裝置的調試或者升級現有裝置(所述裝置被連接到所述一方的網絡基礎設施)的重新初始化期間構建裝置的OPC UA服務器與OPC UA客戶端之間的信任關系，所述一方可信任所述的裝置的預安裝裝置證書，但是然后可必須管理所述一方自己的PKI內的許多第三方證書。使用這種預安裝裝置證書還可能引起OPC UA客戶端中的驗證問題。