数据备份和安全措施
这些安全措施旨在保护数据、信息和系统。
这通常是通过确保数据和系统核心价值得到保护的措施来实现的。
用户管理-权限
中的用户管理 CODESYS 定义了特定的用户组。向用户组授予不同的权限,例如访问项目中的对象或查看和执行控制器上对象的特定操作。
CODESYS 支持对整个系统中不同区域的用户管理。请参阅以下单独的描述和说明:
加密和签名
提示
如果你使用 CODESYS Security Agent V1.4.0.0 或更高版本,则可以在删除自己的证书时将相应的私钥保存在本地计算机上,稍后再使用。有关更多信息,请参阅以下内容: “安全屏幕” 的 “设备” 选项卡。
加密
加密将数据转换成无法读取的形式,只有使用匹配的密钥才能解密。密钥可以是密码、私钥或密钥对(私钥/公钥)。公钥通常包含在……中。证书。
数据经过加密,只有授权的接收者才能读取。通常情况下,对称为此,需要采用一些方法。
签名(身份验证)
除了加密之外,数据还可以进行签名以证明其真实性和完整性。这通常使用以下方式完成:不对称方法。
无可辩驳的所有权(不可否认性)这意味着通信中的任何一方——无论是发送方还是接收方——都不能事后否认自己发送过特定消息或触发过特定操作。当消息使用发送方的私钥进行签名时,这一点就成为可能。只有该私钥的所有者才能生成数字签名。因此,所有权是可以证明的(真实性)。
正直这意味着数据完整、正确且未发生任何更改。自发送方创建数据以来,数据未被修改。接收方通过检查接收到的数据的哈希值是否与签名中包含的哈希值匹配来验证这一点。如果两者匹配,则显然数据内容未发生更改。
数字签名确保消息的所有权(真实性)毋庸置疑,并且其完整性可以得到验证。数字签名基于非对称加密。发送方使用其私钥进行签名,接收方使用相应的公钥验证签名。
典型流程:
发送者:确定数据的唯一哈希值 (H)
发送方使用私钥(He)对该哈希值进行加密:数字签名。
收件人:还计算哈希值并使用公钥解密 He 并比较这两个值。这允许唯一识别发件人并验证发件人是否拥有私钥
接收方使用发送方的公钥解密签名,并将两个值进行比较。
这证实了数据未发生改变,并且来源于私钥的所有者(身份验证)。
哈希方法会为数据创建唯一的“指纹”。它们的碰撞率很低,这意味着生成两个具有相同哈希值的不同数据集极其困难。
证书
公钥是证书的一部分。它只是一长串数字,不包含任何关于证书所有者的信息。通过将公钥嵌入证书中,可以将其唯一地分配给特定的人、设备、服务器或客户端。
一般信息
证书标准的版本(例如 X.509 v3)
序列号
签名算法(例如 SHA256-RSA)
发行人细节
认证机构(CA)名称
唯一标识数据(例如) DN = 专有名称)
主题:关于所有者的信息
名称、组织或域名
唯一标识数据(ID)
可选:备用身份(学科别名)
公钥
所有者的公钥
所有者拥有与公钥对应的私钥。
证书所有者密钥信息(主题公钥)
算法(例如 RSA、ECC)
关键长度
有效期
Not Before
有效期自
Not After
有效期至
CA的数字签名
证书颁发机构(CA)对证书内容进行签名。
特许会计师保证真实性和完整性。
扩展
X.509 v3 证书示例:
密钥用途(例如签名、加密)
扩展按键用法(例如) TLS 服务器身份验证, TLS客户端身份验证)
基本约束(例如是否为 CA)
扩展按键用法(例如) TLS 服务器身份验证, TLS客户端身份验证)
主题备用名称 (SAN)
重要
在基于证书的系统中,所有者会收到一个数字证书,其作用类似于数字身份证。这是一个公共的 X.509 证书,因此可以颁发给任何人。
这种证书由多个文件组成,通常组织成以下形式:证书链这些链式证书包含所有者的身份信息和公钥,并由证书颁发机构进行认证。这些证书构成了一个分层式公钥基础设施 (PKI),其共同的信任锚点是根证书。
根证书
根证书位于信任链的顶端。
中级证书
中间证书由根证书的证书颁发机构 (CA) 签名。此外,只能有一个中间证书。
最终实体证书(最后证书)
这是所有者(服务器、客户端、设备、用户)的实际证书。此终端实体证书包含私钥,该私钥与公钥匹配。
重要
私钥必须保密。