Security

Der Reiter Security ermöglicht die Konfiguration der Authentifizierungs- und Sicherheitseinstellungen für die DNP3-Verbindung. Diese Einstellungen dienen dazu, die Kommunikation zwischen dem DNP3-Treiber und der Außenstation vor unbefugtem Zugriff und Manipulation zu schützen.

Figure 1. Konfigurationspanel des DNP3-Treibers – Security tab

Aktivieren Sie die Checkbox Secure Authentication, um die sichere Authentifizierung gemäß DNP3 Secure Authentication zu verwenden. Wenn diese Option aktiviert ist, werden kritische Operationen durch kryptographische Verfahren authentifiziert. Dadurch wird verhindert, dass unberechtigte Geräte oder Benutzer Steuerbefehle ausführen können.

Die Checkbox Aggressive Mode legt fest, ob der aggressive Authentifizierungsmodus verwendet wird. In diesem Modus erfolgt die Authentifizierung sofort, ohne auf eine Challenge-Anforderung der Außenstation zu warten. Dies kann die Latenz der Kommunikation reduzieren, wird jedoch nicht von allen Geräten unterstützt.

Die Checkbox Allow SHA-1 erlaubt die Verwendung des Hash-Algorithmus SHA-1 für die Authentifizierung. Diese Option dient der Kompatibilität mit älteren Geräten. Aus Sicherheitsgründen wird empfohlen, stärkere Hash-Algorithmen zu verwenden, sofern diese vom Gerät unterstützt werden.

In der Tabelle im Bereich Security werden die Authentifizierungsbenutzer und deren Schlüssel definiert. Folgende Parameter können konfiguriert werden:

Parameter Beschreibung
Nummer Definiert die eindeutige Kennung des Authentifizierungsbenutzers.
Name Name des Authentifizierungsbenutzers. Dieser wird zur Identifikation während der Authentifizierung verwendet.
Rolle Definiert die Berechtigungsstufe des Benutzers. Die verfügbaren Rollen hängen vom Gerät ab und können folgende umfassen:
  • Viewer – Nur Lesezugriff
  • Operator – Bedien- und Steuerzugriff
  • Engineer – Zugriff für Engineering und Konfiguration
  • Installer – Zugriff für Installation und Inbetriebnahme
  • SingleUser – Gemeinsamer einzelner Authentifizierungsbenutzer
  • SECADM – Sicherheitsadministrator
  • SECAUD – Sicherheitsauditor
  • RBACMNT – Verwaltung der rollenbasierten Zugriffskontrolle
  • Private – Gerätespezifische oder herstellerspezifische Rolle
Preshared key Definiert den kryptographischen Schlüssel für die Authentifizierung. Dieser Schlüssel muss mit dem auf der entsprechenden DNP3-Außenstation konfigurierten Schlüssel übereinstimmen.
Current User Legt den aktuell aktiven Authentifizierungsbenutzer fest, der für die gesicherte Kommunikation verwendet wird.

Verwenden Sie die Schaltflächen neben der Tabelle, um Authentifizierungsbenutzer und deren Schlüssel hinzuzufügen, zu bearbeiten oder zu löschen.

Important:
Die sichere Authentifizierung muss sowohl im WinCC OA DNP3-Treiber als auch auf der entsprechenden DNP3-Außenstation konsistent konfiguriert werden. Andernfalls kann der Verbindungsaufbau oder die Ausführung von Steuerbefehlen fehlschlagen.
Note:
Wenn die sichere Authentifizierung deaktiviert ist, erfolgt die Kommunikation ohne kryptographische Authentifizierung. Dieser Modus sollte nur in vertrauenswürdigen und isolierten Netzwerkumgebungen verwendet werden.