安全身份验证

DNP3 安全身份验证基于以下概念:
  • 质询和响应协议
  • 一种键控 Hash 消息身份验证代码 (Hash Message Authentication Code, HMAC),该代码由从站和主站根据要进行身份验证的每个应用程序服务数据单位 (Application Service Data Unit, ASDU) 或协议消息进行计算。
    HMAC 算法是一种数学计算方法,可将协议消息作为输入,并生成较小的数据段作为输出。
“DNP3 从站 - 安全身份验证”设置
设置
描述
启用安全身份验证
打开或关闭 DNP3 安全身份验证模式。
安全身份验证版本
指定安全身份验证版本。默认版本为 5。
启用主动模式
确定是否打开主动模式以进行安全身份验证。
主动模式通过移除对消息的质询和回复来减少带宽占用量。HMAC 值在受保护的 ASDU 内传输。
主动模式不太安全。
预期会话密钥更改间隔
指定预期的会话密钥更改间隔(以分钟为单位)。主站定期更改用于计算 HMAC 的会话密钥。
值范围为 1 到 120。默认值为 15。
预期会话密钥更改计数
指定在传输多少次 ASDU 之后主站应更改会话密钥。
如果自上次密钥更改以来已传输特定数量的 ASDU,则主站将更改会话密钥。
值范围为 1 到 10,000。默认值为 1000。
回复超时
指定回复超时时间(以 100 毫秒为单位)。
值范围为 1 到 1,200,每个单位增量表示 100 毫秒。默认值为 20。
最大错误计数
指定设备在遇到错误后发送的错误消息的最大数量。这有助于防止拒绝服务攻击。
值范围为 0 到 10。默认值为 2。
HMAC 算法
指定要使用的 HMAC 算法。选项如下:
  • SHA-1
     截断为 4 个八位字节(串行)
  • SHA-1
     截断为 10 个八位字节(联网)
  • SHA-256
     截断为 8 个八位字节(串行)
密钥换行算法
指定密钥换行算法。该算法在会话密钥更改期间对会话密钥和质询数据进行加密。选项如下:
  • AES - 128
  • AES - 256
    (仅当“
    安全身份验证版本
    ”设置为
    5
     时可用)
使用 DNP3 安全身份验证的控制器必须支持高级加密标准 (Advanced Encryption Standard, AES) - 128 算法。
更新密钥更改方法
指定如何生成用于加密和身份验证的一次会话密钥,以及如何完成服务器身份验证。
该设置在“
安全身份验证版本
”设置为
5
 时可用。选项如下:
  • AES-128/SHA-1-HMAC
  • AES-256/SHA-256-HMAC
  • RSA-2048/RSA SHA-256/SHA-256-HMAC
  • RSA-3072/RSA SHA-256/SHA-256-HMAC
配置更新密钥
使用“
更新密钥配置
”对话框指定在 DNP3 安全身份验证期间将检索更新密钥的用户。
更新密钥会定期更改会话密钥。主站和从站中配置了相同的更新密钥。更新密钥由 16 个字节组成,必须以 32 位十六进制数形式输入。
要添加更新密钥,请执行以下操作:
  1. 在“
    DNP3 从站
    ”配置页面上,选择“
    配置更新密钥
    ”。
  2. 在“
    更新密钥配置
    ”中,选择“
    添加
    ”。
  3. 配置以下设置:
    • 用户编号
      ”:不能复制“
      用户编号
      ”。
    • 用户角色
    • 用户名
    • 更新密钥
      ”:在主站中配置的 32 位十六进制数。
  4. 针对每个用户重复步骤 2-3。最多支持 10 个用户。
配置证书颁发机构密钥
打开“
证书颁发机构密钥配置
”对话框,以指定来自隐私增强邮件 (Privacy Enhanced Mail, PEM) 文件的对称密钥或公共密钥。可通过文本编辑器打开 PEM 文件,并将所有内容复制到框中。
启用安全统计
确定是否打开安全统计。如果此复选框处于选中状态,您可以配置安全统计类和安全统计阈值。
该设置在“
安全身份验证版本
”设置为
5
 时可用。
安全统计类
选择类 1、2 或 3。
配置安全统计阈值
打开“
安全统计事件阈值设置
”对话框以指定安全统计事件阈值。每个阈值的值范围为 1 到 65,535。
关键功能代码
将某些功能代码设置为“
关键
”或“
非关键
”。
将鼠标悬停在功能代码按钮上可查看功能代码的名称。
提供反馈
对本文档有问题或反馈吗? 请在这里提交您的反馈
Normal