Kaspersky IoT Secure Gateway 100

Настройка параметров получения данных по протоколу OPC UA

Kaspersky IoT Secure Gateway 100 получает данные от оборудования, расположенного во внутренней сети организации, по протоколу OPC UA, который описан спецификацией OPC Unified Architecture (унифицированная архитектура OPC). Вы можете ознакомиться со спецификацией протокола OPC UA на сайте разработчика. Kaspersky IoT Secure Gateway 100 поддерживает протокол OPC UA версии 1.04.

Профиль безопасности None в настройках Kaspersky IoT Secure Gateway 100 является наиболее совместимым с разными видами промышленного оборудования для соединения по OPC UA.

При генерации сертификатов для соединения клиента (Kaspersky IoT Secure Gateway 100) и сервера OPC UA удостоверьтесь, что сертификаты удовлетворяют следующим параметрам:

• Параметры ключей и сертификатов соответствуют выбранной политике безопасности.
• Формат DER или PEM для сертификатов и ключей клиента.
• Для сертификата клиента значение поля Subject Alt Name содержит значение URI:urn:aprotech:KISG100:OpcUaClient.

Kaspersky IoT Secure Gateway 100 для хранения сертификатов и ключей для соединения с сервером OPC UA использует следующие директории:

• /app/Core/pki/private/transfer/opc_ua/client/ – директория в разделе TGW-HW-IDS SD-карты для хранения ключей клиента OPC UA.
• /app/Core/pki/certs/transfer/opc_ua/client/ – директория в разделе TGW-HW-IDS SD-карты для хранения сертификатов клиента OPC UA и сервера OPC UA.

Вы можете настроить параметры получения данных от объектов мониторинга по протоколу OPC UA в конфигурационном файле OpcUaClientSettings-0.json.

Чтобы настроить параметры получения данных по протоколу OPC UA:

1. Создайте и расположите конфигурационный файл OpcUaClientSettings-0.json в директории /app/Core/config/transfer/opc_ua/client в разделе TGW-HW-IDS SD-карты.

   Все действия, описанные далее, выполняются в файле OpcUaClientSettings-0.json.

2. Для корректной маршрутизации данных от промышленного оборудования в хранилище MindSphere укажите идентификатор и имя клиента OPC UA:
   1. В обязательном параметре id укажите
      идентификатор клиента OPC UA

      

      Идентификатор клиента OPC UA присваивается администратором при настройке получения данных. Значение этого параметра должно совпадать со значением параметра receivingHubId в конфигурационном файле GuideSettings-0.json.

      , который будет принимать данные от сервера OPC UA (производственного объекта). Например, "id": 0.
   2. В обязательном параметре name укажите имя клиента OPC UA, который будет принимать данные от сервера OPC UA (производственного объекта). Например, "name": "Kaspersky IoT Secure Gateway 100 OPC UA Client".
3. При необходимости для удобства чтения конфигурации в необязательном параметре description укажите описание клиента OPC UA, который будет принимать данные от сервера OPC UA (производственного объекта). Например, "description": "Collect data from CNC by Kaspersky IoT Secure Gateway 100".
4. Для подключения клиента OPC UA к оборудованию укажите адрес и порт сервера OPC UA в обязательном параметре url. Например, "url": "opc.tcp://192.168.177.7:4840".
5. Для установки частоты считывания данных шлюзом в параметре readingCycle укажите интервал времени в секундах. Например, "readingCycle": 1.
6. Настройте
   параметры безопасности

   

   Протокол OPC UA предоставляет возможность установления безопасного канала передачи данных между клиентом и сервером, используя механизмы шифрования и аутентификации. В седьмой части стандарта OPC UA вы можете ознакомиться с описанием профилей безопасности, определяющих, например, использование алгоритмов асимметричного и симметричного шифрования, длины ключей шифрования, хеш-функции для подписи данных. Для передачи данных по протоколу OPC UA с использованием необходимых характеристик безопасности, вам требуется заполнить соответствующие поля в файле конфигурации.

   в обязательном блоке параметров security:
   1. В поле mode укажите режим управления безопасностью подключения клиентского приложения, который используется на вашем сервере OPC UA. Возможны следующие варианты режимов управления безопасностью:
      • Sign – режим, в котором для подключения требуется использовать цифровую подпись данных.
      • SignAndEncrypt – режим, в котором для подключения требуется одновременно использовать цифровую подпись данных и шифрование данных.
      • None – режим, в котором для подключения не требуется использовать цифровую подпись данных и шифрование данных. Не рекомендуется использовать этот режим, так как он не обеспечивает безопасное подключение клиента OPC UA к серверу OPC UA.
      • Any – режим, в котором для подключения будет использован любой из перечисленных режимов (при условии поддержки сервером): Sign, SignAndEncrypt, None.
   2. В поле policy укажите название профиля безопасности, который используется на вашем сервере OPC UA. Возможны следующие варианты профиля безопасности:
      • Basic128Rsa15.
      • Basic256.
      • Basic256Sha256.
      • None.
      • Any – возможно использование любой из перечисленных политик (при условии поддержки сервером): Basic128Rsa15, Basic256, Basic256Sha256, None.
   3. Для безопасного взаимодействия по OPC UA вам требуется создать приватный ключ и сертификат и поместить их в конфигурацию клиента и сервера. Для организации безопасного соединения по OPC UA в блоке параметров clientPkiData укажите следующие параметры:
      • В поле certificate укажите имя файла сертификата для клиента OPC UA. Например, "certificate": "client.crt".
      • В поле privateKey укажите имя файла закрытого ключа для сертификата клиента OPC UA. Например, "privateKey": "client.key".

        Блок параметров clientPkiData требуется заполнить даже в случае, если полям mode и policy установлено значение None.

   4. В поле trustList укажите массив, который содержит имена файлов доверенных сертификатов. Например, "trustList": ["server.crt"]. Если конфигурация сервера OPC UA предполагает использование собственного доверенного листа, то добавьте сертификат клиента в список доверенных сертификатов сервера. Если проверка сертификатов не требуется, укажите для этого параметра значение AllowAll.

   Если не требуется заполнять блоки параметров mode, policy и clientPkiData, то укажите для блока параметров security значение null. При этом будет использоваться режим безопасности None.

7. Для аутентификации клиента OPC UA на сервере OPC UA в обязательном блоке параметров userCredentials укажите учетные данные пользователя для подключения:
   1. В поле username укажите имя учетной записи пользователя для авторизации на сервере OPC UA.
   2. В поле password укажите пароль учетной записи пользователя для авторизации на сервере OPC UA.

   Если вы хотите разрешить анонимное подключение клиента OPC UA к серверу OPC UA, то в блоке userCredentials укажите значение null. В таком случае заполнять поля username и password не нужно.

8. Если вы хотите настроить
   периодическую отправку сигнала работоспособности

   

   Архитектура Kaspersky IoT Secure Gateway 100 не позволяет использовать стандартные средства определения статуса работы шлюза в Siemens MindSphere. В случаях, когда Kaspersky IoT Secure Gateway 100 включен, но не передает данные от оборудования в облачную платформу Siemens MindSphere, облачная платформа может посчитать Kaspersky IoT Secure Gateway 100 выключенным. Для поддержки получения информации об актуальном состоянии соединения с Kaspersky IoT Secure Gateway 100 реализован механизм отправки сигнала работоспособности шлюза в Siemens MindSphere через определенные периоды времени. Этот сигнал генерируется клиентом OPC UA. Доставка этого сигнала в облако сообщает облачной платформе о работоспособности шлюза и корректной работе процесса передачи данных.

   Kaspersky IoT Secure Gateway 100 в облачную платформу Siemens MindSphere, выполните следующие действия:
   1. Убедитесь, что в облачной платформе Siemens MindSphere заведена точка данных для реализации механизма передачи сигнала работоспособности.
   2. В необязательном блоке параметров heartbeat укажите следующие параметры:
      • В поле id укажите идентификатор узла данных. Например, "id": 0.
      • В поле name укажите имя узла данных. Например, "name": "Heartbeat".
      • В поле timeout укажите период в секундах между генерацией сигналов работоспособности. Например, "timeout": 60. Заполнение этого поля не обязательно, по умолчанию установлено значение периода между генерацией сигналов в 30 секунд.

   Если вы пропустите настройку периодической отправки сигнала работоспособности или укажете "heartbeat": null, то сигналы работоспособности отправляться не будут.

9. В обязательном блоке параметров nodes для каждого узла данных укажите следующие параметры:
   1. В поле id укажите идентификатор узла данных.
   2. В поле name укажите
      имя узла данных

      

      Идентификатор и имя узла данных необходимы для построения маршрутов и передачи данных от промышленного оборудования в хранилище MindSphere. Узел данных в OPC UA – элемент информационной модели OPC UA, идентифицируемый уникальным id. Клиент OPC UA посредством подписки на обновления данных узла получает и передает эти данные согласно описанным маршрутам.

      .
   3. В блоке параметров nodeId укажите следующие данные:
      1. Идентификатор пространства имен сервера OPC UA в поле ns (namespace index).
      2. Идентификатор узла данных в пространстве имен сервера OPC UA. Возможны следующие варианты:
         • s (string identifier) – строковое значение идентификатора узла данных. Например, "nodeId": "ns=1;s=Variable temperature".
         • i (numeric) – числовое значение идентификатора узла данных. Например, "nodeId": "ns=2;i=2045".
10. Сохраните изменения в файле OpcUaClientSettings-0.json.

Параметры, указанные в файле OpcUaClientSettings-0.json, будут применены при следующем запуске Kaspersky IoT Secure Gateway 100.

Kaspersky IoT Secure Gateway 100 будет получать данные от производственных объектов внутренней сети предприятия по протоколу, который описан спецификацией OPC Unified Architecture.