西門子6ES7134-4NB01-0AB0一級代理

● 傳輸層：

該層用于發送和接收消息。OPC UA 在此使用優化的基于 TCP 的二進制協議。傳輸層

是后續安全通道的基礎。

● 安全通道

安全層從傳輸層接收數據，再轉發到會話層中。安全通道將待發送的會話數據轉發到

傳輸層中。

在“簽名”(Sign) 安全模式中，安全通道將對待發送的數據（消息）進行簽名。接收消息

時，安全通道將檢查簽名以檢測是否存在篡改的情況。

采用安全策略“簽名并加密”(SignAndEncrypt) 時，安全通道將對待發送數據進行簽名并

加密。安全通道將對接收到的數據進行解密，并檢查簽名。

采用安全策略“不安全”(No security) 時，安全通道將直接傳送該消息包而不進行任何更

改（消息將以純文本形式接收和發送）。

● 會話

會話將安全通道的消息轉發給應用程序，或接收應用程序中待發送的消息。此時，應

用程序即可使用這些過程值或提供這些值。

建立安全通道

建立安全通道，如下所示：

1. 服務器接收到客戶端發送的請求時，開始建立安全通道。該請求將簽名或簽名并加

密，甚至以純文本形式發送，具體取決于所選服務器端的安全模式。在“簽名”(Sign) 和

“簽名并加密”(Sign & Encrypt) 安全模式中，客戶端將隨該請求一同發送一個機密數

（隨機數）。西門子6ES7134-4NB01-0AB0一級代理

2. 服務器將驗證客戶端的證書（包含在請求中，未加密）并檢驗該客戶端的身份。如果

服務器信任此客戶端證書，

– 則會對消息進行解密并檢查簽名（“簽名并加密”(Sign & Encrypt)），

– 僅檢查簽名（“簽名”(Sign)），

– 或不對消息進行任何更改（“不安全”(No security)）

3. 之后，服務器會向客戶端發送一個響應（與請求的安全等級相同）。響應中還包含服

務器機密。客戶端和服務器根據客戶端和服務器的機密數計算對稱密鑰。此時，安全

通道已成功建立。

對稱密鑰（而非客戶端與服務器私鑰和公鑰）可用于對消息進行簽名和加密。