Secure Authentication

Der WinCC OA DNP3-Treiber unterstützt Secure Authentication (Sichere Authentifizierung - SA) Version 5, wie in IEEE-Standard 1815-2012 Abschnitt 7 beschrieben. Dadurch kann ein Gerät eine Authentifizierung für kritische Vorgänge anfordern. Was eine kritische Operation ist, hängt von der Gerätekonfiguration ab und kann nicht vom DNP3-Treiber definiert werden. Wenn der Treiber eine kritische Operation ausführt (z. B. einen binären Befehl senden), fordert das Gerät eine Authentifizierung an. Wenn sich der Treiber erfolgreich authentifizieren kann, wird die Operation ausgeführt. Andernfalls wird es abgelehnt.

Secure Authentication - DNP3-Gerätekonfiguration

Einige Siemens-Geräte (CP 1243-1 DNP3, CP 1542SP-1 IRC, …) sowie weitere Hersteller unterstützen DNP3 Secure Authentication. Der DNP3-Treiber unterstützt bei aktiviertem Secure Authentication die Kommunikation mit solchen Geräten. Das folgende Bild zeigt ein Beispiel für die Konfiguration eines S7 CP1243-1 DNP3-Moduls:

Abbildung 1. S7 CP1243-1 DNP3 Modul

Konfigurieren Sie das Gerät wie in der WinCC OA: Secure Authentication - DNP3-Konfiguration. Beachten Sie folgendes:

VORSICHT:
Der Preshared Key der WinCC OA DNP3-Treiberkonfiguration und der Preshared Key im Gerätepanel MÜSSEN identisch sein! Andere Einstellungen der WinCC OA DNP3-Treiberkonfiguration und im Gerätepanel müssen nicht identisch sein. Wenn die Schlüssel nicht identisch sind, werden Operationen, die eine Authentifizierung erfordern, vom Gerät abgelehnt.
Anmerkung:
Sie können entweder den Algorithmus Aggressive Mode oder andere Algorithmen wie SHA1 auswählen. Der Config-Eintrag authMACAlgorithm im Abschnitt [dnp3] kann verwendet werden, um andere Algorithmen anzugeben. MAC steht für Message Authentication Code. Beachten Sie auch, dass der ausgewählte Algorithmus vom Gerät unterstützt werden muss und umgekehrt. Der im Gerätepanel ausgewählte Algorithmus muss vom WinCC OA DNP3-Treiber unterstützt werden.

Secure Authentication - DNP3-Konfiguration

Abbildung 2. DNP3 Geräte-Panel

Auf der Registerkarte Security Konfigurieren Sie die Secure Authentication-Parameter:

Secure Authentication: Verwenden Sie diese Checkbox, um die Authentifizierung zu aktivieren. Wenn die sichere Authentifizierung deaktiviert ist, verwendet die Verbindung keine sichere Authentifizierung.

Aggressive Mode: Mit dieser Option wird der Aggressive Mode aktiviert. Dies ist ein Modus, in dem keine separtate Authentifizierungherausforderung und -antwort erforderlich ist. Das bedeutet, dasss die Verarbeitung kritischer Operationen beschleunigt wird, da die Authentifizierung Teil eines Telegramms und kein separater Schritt ist. Aggressive Mode darf nur aktiviert werden, wenn er vom Gerät unterstützt wird. Wenn das Gerät diesen Modus nicht unterstützt, erlauben Sie SHA1.

Da SHA1 als unsicher gilt, ist es standardmäßig nicht aktiviert. Es können jedoch weiterhin Geräte verwendet werden, die neuere MAC-Algorithmen nicht unterstützten. Daher ist diese Option verfügbar.

Sie können für jedes Gerät eine Liste von Benutzern mit unterschiedlichen Rollen und Schlüsseln angeben. Ein Gerät kann mehrere Benutzer unterstützen oder nicht.

Der aktuelle Benutzer definiert die aktuelle Einstellung für die Authentifizierung. In DNP3 hat ein Benutzer einen eindeutigen Namen und eine eindeutige Nummer.

Anmerkung:
Daher setzen Sie nicht gleiche Benutzernamen mit der gleichen Nummer und umgekehrt.
Rolle : Sie können für einen Benutzer verschiedene Rollen auswählen, z.B. Viewer, Operator, SingleUser usw.

Je nach Rolle hat der Benutzer bestimmte Rechte. Der Benutzer kann beispielsweise Konfigurationen nur einsehen oder auch bearbeiten.

Standardmäßäig hat der SingleUser alle Rechte, d.h. Daten zu überwachen, Steuerungen zu bedienen, Datendateien zu übertragen, Konfigurationen zu ändern, Sicherheitskonfigurationen zu ändern, Codes zu ändern und sich lokal anzumelden. Wenn ein Benutzer nur Daten sehen darf, wählen Sie die Rolle Viewer. Der Viewer darf nur Daten überwachen.
Anmerkung:
Die Rollen sind sinnvoll da es im address-Panel Funktionscodes wie Direct Read, Write, Select Operate usw. gibt. Sie können in Ihrem Gerät angeben, ob eine Funktion kritisch ist oder nicht. Sie können beispielsweise im Gerät festelegen, dass sich ein Client zum Lesen authentifizieren muss.
Die Norm spezifiziert die verschiedenen verfügbaren Rollen. Die folgende Tabelle enthält die unterschiedlichen verfügbaren Rollen:
Abbildung 3. Unterschiedliche Benutzerrollen gemäß der Norm IEEE Std. 1815-2012 Abschnitt 7
Preshared key: Der Preshared Key muss entweder 16 oder 32 byte lang sein. Dies entspricht entweder 32 oder 64 HEX-Zeichen.
VORSICHT:
Der hier angegebene Preshared Key und der Preshared Key im Gerätepanel MÜSSEN identisch sein! Andere Einstellungen hier und im Gerätepanel müssen nicht identisch sein. Wenn die Schlüssel nicht identisch sind, können Sie keine Daten schreiben, d.h. Werte eingeben, da die Authentifizierung nicht aktiviert ist. Sie können jedoch Werte ohne Authentifizierung lesen. Beachten Sie auch, dass wenn Sie die Konfiguration auf der Registerkarte Sicherheit ändern, müssen Sie die Verbindung über die Checkbox Aktiv deaktivieren und erneut aktivieren oder den DNP3-Treiber neu starten.

Secure Authentication - DNP3-Statistiken

Sie können Statistiken von einem Gerät lesen, das dies unterstützt. Das Gerät stellt die Statistiken bereit und der WinCC OA DNP3-Treiber kann sie auslesen, z. B. "Wie oft ist die Authentifizierung fehlgeschlagen"? Die DNP3-Spezifikation enthält eine ganze Liste von Statistiken. Um die Statistik abzufragen, müssen Sie der Gruppe 121 eine Peripherieadresse hinzufügen. Die Variation für eine Addresse der Gruppe 121 muss 1 sein.

Die Statistiken sind in der Norm IEEE Std. 1815-2012 im Abschnitt 7.5.2.2. spezifiziert.

Geben Sie an, was Sie lesen, indem Sie den Index eines Security Statistics-Objektes (der Security Statistics-Gruppe) verwenden. Verwenden Sie zum Beispiel Index 12 ( Erfolgreiche Authentifizierungen) in dem address-Panel.