Cơ bản về OPC UA

Cơ bản về OPC UA

Hệ thống điều khiển công nghiệp ICS (Industrial Control System) với đặc trưng là tổ hợp nhiều phương tiện kỹ thuật và nền tảng phần mềm khác nhau đến từ nhiều nhà sản xuất, nhà cung cấp khác nhau với những giao thức truyền thông và mã hoá dữ liệu độc quyền. Việc đồng bộ hoá kết nối truyền thông và dữ liệu đặc biệt quan trọng cho xu hướng chuyển đổi số, nhà máy thông minh, kết nối IT-OT (Information Technology- Operational Technology), những xu hướng tất yếu của nền sản xuất công nghiệp ngày nay. Khi mà đối với đa số doanh nghiệp sản xuất thì mục đích hàng đầu vẫn là sản xuất an toàn với chi phí thấp nhất, đáp ứng kế hoạch sản xuất của họ thì việc thay thế đồng nhất các phương tiện kỹ thuật và các nền tảng phần mềm là một việc làm tốn kém rất nhiều chi phí, không có tính khả thi kinh tế. OPC (Open Platform Communication) kết hợp với các giải pháp an ninh mạng OT sẽ là một hướng đi hiệu quả, đơn giản cho xu hướng chuyển đổi số của nền sản xuất hiện nay.

 
 

1.    OPC là gì

OPC (Open Platform Communication) là một bộ các tiêu chuẩn, các đặc tả kỹ thuật cho truyền thông công nghiệp được đưa ra bởi tổ chức OPC Foundation. Tổ chức OPC Foundation, được thành lập từ các hãng tự động hoá vào năm 1996, ban đầu đưa ra bộ các tiêu chuẩn cho truyền thông công nghiệp có tên gọi Object linking and embedding for Process Control và bị hạn chế trong hệ đều hành Windows. Ngày nay OPC là một nền tảng mở, tương thích trên nhiều thiết bị, nhiều nền tảng khác nhau. Các  hệ thống điều khiển công nghiệp ngày nay với cấu trúc hướng dịch vụ sẽ đặt ra những thách thức về cấu trúc dữ liệu và bảo mật. Bộ tiêu chuẩn OPC UA (OPC Unified Architecture) được OPC Foudation đưa ra để giải quyết những thách thức này. Với hơn 600 thành viên, OPC foundation là hệ sinh thái lớn nhất thế giới với nền tảng truyền thông công nghiệp dựa trên OPC UA.

 

Hình 1: Các hãng lớn là thành viên OPC Foundation

2.    OPC UA

OPC UA (OPC Unified Architecture) là chuẩn mới của OPC và được phát triển từ năm 2006. Với OPC UA việc kết nối các thiết bị, các phần cứng và phần mềm không còn phụ thuộc vào các nhà cung cấp khác nhau, các hãng khác nhau, các nền tảng hệ điều hành khác nhau.

Các đặc tả OPC UA.  

- OPC UA sẽ thay thế OPC DA, OPC AE, OPC HAD để kết nối các thiết bị, các phần cứng và phần mềm từ các nhà cung cấp khác nhau, các hãng khác nhau. OPC UA đảm bảo truyền nhận dữ liệu thời gian thực.

+ Đặc tả OPC DA.

OPC DA (OPC Data Access) cho phép đọc ghi dữ liệu, giám sát dữ liệu theo thời gian thực của các quá trình vận hành. Các OPC Client sẽ thiết lập các Group, các Item, các biến chỉ rõ biến đó sẽ đọc ghi, giám sát tín hiệu, dữ liệu nào từ OPC Server. Một OPC Client sẽ kết nối với các OPC Client bằng cách thiết lập các OPC object, OPC Chanel, OPC Device, OPC groups, OPC Items.

 

Hình 2 Phương thức kết nối và hoạt động của OPC DA

+  Đặc tả OPC XML DA

OPC XML DA định nghĩa một phương thức để truyền nhận dữ liệu trên nền tảng OPC DA đã có sẵn. Tiêu chuẩn này sử dụng Web Services, cung cấp tiêu chuẩn Web Services cho đọc và ghi dữ liệu hệ thống vận hành theo thời gian thực.

 +  Đặc tả OPC HAD

 OPC HAD (Historian data access) cho phép kết nối, truy cập vào cơ sở dữ liệu lịch sử của hệ thống vận hành. OPC HAD cho phép đọc, chèn, thay thế, xóa cơ sở dữ liệu lịch sử của hệ thống vận hành.

+  Đặc tả OPC AE

OPC AE (Alarms & Events) cho phép đọc các thông báo về Alarms và Events theo thời gian thực. OPC AE cung cấp khả năng kết nối linh hoạt từ nhiều nguồn dữ liệu khác nhau. OPC clients sẽ kết nối đến OPC Server, chọn lọc dữ liệu qua bộ lọc để nhận những Alarms và Events.

Hình 3 Phương thức kết nối và hoạt động của OPC AE

 

-  OPC UA đảm bảo tính toàn vẹn, tính bí mật của dữ liệu.

-  OPC UA tương thích với tường lửa, cung cấp khả năng kết nối từ xa qua InterNet, sử dụng chuẩn Web Service.

-  OPC UA tạo ra sự thống nhất giữa các nhà cung cấp, các hãng phần cứng phần mềm bằng một mô hình kết nối thống nhất.

-  OPC UA thống nhất mô hình bảo mật dữ liệu duy nhất giữa các hãng qua chứng thực.

Hình 4 Mô hình bảo mật dữ liệu qua chứng thực

 

-  OPC UA sử dụng được trên mọi nền tảng từ các hệ thống nhúng, hệ thống điều khiển, giám sát, quản lý điều hành công nghiệp đến các hệ thống ERP cho doanh nghiệp.

-  OPC UA không phụ thuộc vào các hệ điều hành khác nhau như Windows, Mac OS, Linux, IOS, Android, …

-  OPC UA cho phép truyền nhận nhiều dạng tín hiệu và dữ liệu khác nhau (tín hiệu điều khiển, dữ liệu OT và IT)

Cấu hình tích hợp ứng dụng OPC

-  Phạm vi ứng dụng của OPC UA trải rộng trên cả hệ thống IT và OT với nhiều thiết bị và nền tảng khác nhau. OPC UA phải đảm bảo các yêu cầu kết nối, trao đổi dữ liệu của các hệ thống OT và IT đó. Các yêu cầu có thể chia ra làm hai nhóm sau:

+  Yêu cầu truyền nhận thông tin

  *  Tính sẵn sàng

*  Tính toàn vẹn

  *  Tính bí mật

  *  Khả năng tương tác, mở rộng lớn

  *  Hiệu suất cao

  *  Không phụ thuộc vào các nền tảng khác nhau

+  Yêu cầu về mô hình hóa dữ liệu hướng dịch vụ

-  Mô hình kết nối Client – Server của OPC: Trong mô hình kết nối OPC UA có thể cùng lúc kết nối nhiều Server và Client với nhau. OPC UA Server được tích hợp trong thiết bị đến từ nhiều nhà cung cấp, nhiều hãng sản xuất khác nhau.

-   Một ứng dụng đơn giản của OPC UA trong hệ thống điều khiển công nghiệp như hình dưới.

  Hình 5 Một ví dụ về mô hình tích hợp OPC

OPC UA Server được tích hợp sẵn trong các thiết bị của các nhà cung cấp khác nhau, các hãng khác nhau (Level 1). OPC UA Client sử dụng cho Level 2, Level 3 và hệ thống IT. OPC UA Client có thể được triển khai trên phần cứng độc lập (như hình vẽ) hoặc có thể triển khai cài đặt ngay trên phần cứng của các hệ thống Level 2, Level 3 và hệ thống IT.

3.    Sơ lược các vấn đề bảo mật ứng dụng OPC UA

Các dịch vụ thông minh dựa trên Internet cho phép các dịch vụ khai thác giá trị của dữ liệu có sẵn. Điều kiện tiên quyết đối với các dịch vụ thông minh là các thiết bị, máy móc và dịch vụ thông minh trao đổi dữ liệu một cách an toàn. Nếu không, dữ liệu, máy móc và thiết bị có thể bị xâm phạm phá hoại hoặc dữ liệu sản xuất có thể bị đánh cắp bởi các tổ chức bên ngoài. Các nhà chế tạo thiết bị phải đảm bảo tính sẵn sàng, tính toàn vẹn, tính bảo mật của dữ liệu. Hơn nữa, họ phải đảm bảo rằng chủ quyền của dữ liệu vẫn thuộc về chủ sở hữu thiết bị, chủ sở hữu hệ thống vận hành. Ứng dụng OPC UA phải đảm bảo các yêu cầu về bảo mật sau.

Thông tin, dữ liệu phải đảm bảo

-  Tính sẵn sàng

-  Tính toàn vẹn

-  Tính bí mật

Kiểm soát truy cập

-  Xác thực bằng tên người dùng và mật khẩu hoặc chứng chỉ X.509 trên lớp ứng dụng

-  Cấp quyền đọc, ghi các giá trị dữ liệu, tín hiệu dựa trên danh sách phân cấp quyền hạn người dùng, chính sách quản lý người dùng của cơ sở sản xuất.

Mô hình bảo mật

Bảo mật OPC UA chứa xác thực, ủy quyền cũng như mã hóa và tính toàn vẹn của dữ liệu bằng chữ ký số. Sự phân biệt được thực hiện giữa lớp ứng dụng và lớp truyền tải. Người dùng ứng dụng có thể được xác định bằng danh sách phân quyền người dùng. Mỗi người dùng được xác định bằng tên truy cập, mật khẩu và chứng chỉ người dùng. Ngoài ra, OPC UA có thể ghi lại nhật ký sử dụng của người dùng. Đối với lớp vận chuyển OPC UA tuân theo các đặc tính kỹ thuật bảo mật của Web Services.

-  Bảo mật là một yêu cầu cơ bản đối với OPC UA và do đó nó được tích hợp chặt chẽ vào OPC UA. Bảo mật OPC UA đề cập đến việc xác thực người dùng và các ứng dụng OPC UA. Bảo mật trong OPC UA cho người dùng, cho ứng dụng và cho truyền tải. 

-  Cơ chế của an ninh lớp người dùng, OPC UA cấp quyền truy cập cho một người dùng cụ thể và vai trò của người dùng đó. Cơ chế an ninh lớp ứng dụng, OPC UA trao đổi các chứng chỉ X.509. Chứng chỉ và phiên bản ứng dụng được trao đổi trong quá trình thiết lập. Cơ chế an ninh lớp truyền tải có thể được sử dụng để ký và mã hóa từng thông điệp trong một phiên giao tiếp. Việc ký đảm bảo tính toàn vẹn của thông điệp và mã hóa ngăn chặn việc nghe lén.

-  Các cơ chế bảo mật OPC UA được thực hiện trong OPC UA Stack, tức là chúng được bao gồm trong gói phần mềm do các nhà cung cấp OPC UA Stack.

Sử dụng OPC UA một cách an toàn

Khi sử dụng OPC UA cần lưu ý các nội dung quan trọng sau:

-  Security Mode: Security Mode phải là “Sign” hoặc “Sign And Encrypt”. Điều này đảm bảo rằng, xác thực ở cấp ứng dụng là bắt buộc. Security Mode “None” không cung cấp bất kỳ biện pháp bảo vệ nào. Security Mode phải là “Sign” hoặc “Sign An dEncrypt” để đảm bảo tính toàn vẹn và tính bí mật của dữ liệu.

-  Lựa chọn các thuật toán mã hóa: Tối thiểu, nên chọn theo thuộc tính đề cập trong tiêu chuẩn IEC 62541 part 2 và part 7. Không nên sử dụng các chính sách bảo mật yếu hơn hoặc các thuật toán lỗi thời. 

-  Xác thực người dùng: Cần có xác thực người dùng đối với tất cả các OPC UA Server quan trọng. Chỉ nên sử dụng khả năng đăng nhập bằng số nhận dạng “anonymous” để truy cập tài nguyên OPC UA Server không quan trọng vì nó không cung cấp bất kỳ biện pháp bảo vệ nào.

-  Lưu trữ chứng chỉ và khóa cá nhân: Không bao giờ lưu trữ khóa cá nhân hoặc các tệp chứng chỉ tương ứng trên hệ thống dữ liệu không được mã hóa. 

-  Sử dụng chứng chỉ: Không chấp nhận các kết nối không cung cấp chứng chỉ đáng tin cậy. Đặc biệt, các chứng chỉ tự ký sẽ không tin cậy, có nghĩa là không cần xác minh bổ sung. 

-  Quản lý và duy trì chứng chỉ: Sử dụng danh sách chứng chỉ tin cậy và danh sách chứng chỉ đã thu hồi để quản lý chứng chỉ hợp lệ. Chỉ những người dùng hoặc quy trình đáng tin cậy mới được phép biết những danh sách này. Các danh sách nên được cập nhật thường xuyên.

Các gói dịch vụ

Liên hệ

Name
Email
Phone
Message