這些協(xié)議允許設備被保持在防火墻后以保安全，但仍然能夠與對等設備和基于云的應用程序通信。不幸的是，這些解決方案要求工廠運營商，通過第三方提供商管理的代理發(fā)送一些較為敏感的信息，這對于許多應用程序來說，是不可接受的。幸運的是，OPCUA有一個端到端的安全解決方案，可以確保通過代理發(fā)送數(shù)據(jù)的隱私性和完整性。

通過發(fā)布-訂閱增強OPCUA

OPCUAPubSub是流行的OPCUA協(xié)議的擴展，該協(xié)議允許應用程序通過中間代理（如MQTT代理）向多個訂閱者發(fā)布消息。OPCUAPubSub消息可以用XML、JSON或高效的OPCUA二進制格式進行格式化。當使用后一種方式時，發(fā)布者可以在將消息發(fā)送給代理之前對其進行加密和數(shù)字簽名，以確保除了目標接收者之外沒有其他人能夠讀取或修改消息。這將保護發(fā)布者的數(shù)據(jù)，即使代理在消息等待交付時存儲在磁盤上。

通過共享密鑰來實現(xiàn)這一切

發(fā)布者和訂閱者需要共享密鑰才能安全地進行通信。這是通過使用稱為“安全密鑰服務”（SKS）的特殊OPCUA服務器來實現(xiàn)的。需要密鑰的應用程序使用OPCUA客戶端-服務器協(xié)議安全地向SKS提供憑證。SKS決定它們是否有權訪問請求的密鑰，并返回一個或多個密鑰。此過程需要多個鍵，因為它們經常變化，以此確保在必要時，應用程序可以在合理的時間內從系統(tǒng)中刪除。

安全性已有所保證，那么元數(shù)據(jù)呢？

豐富的OPCUA信息模型，允許應用程序使用與應用程序域匹配的術語和構造來表示它們的系統(tǒng)，這個信息模型也是OPCUAPubSub的一個重要部分，因為它提供了描述將要發(fā)送給broker消息內容的總體框架。OPCUAPubSub規(guī)范并定義了通知訂閱者消息結構已更改的機制，同時允許發(fā)布者將新的元數(shù)據(jù)發(fā)送到帶內或帶外。而其他解決方案則期望訂閱者處理已知的消息內容，或者依賴特定的規(guī)則來解析JSON或XML。

未來的發(fā)展之路

任何希望利用物聯(lián)網的工廠運營商都將受益于OPCUA提供的安全工具箱，當數(shù)據(jù)流拋出由第三方管理的系統(tǒng)時，該工具箱有助于確保隱私的安全性和完整性。當與OPCUA信息建?？蚣芙Y合，以及在許多現(xiàn)成的OPC產品中廣泛采用時，工具箱將成為首屈一指的工具。

這些協(xié)議允許設備被保持在防火墻后以保安全，但仍然能夠與對等設備和基于云的應用程序通信。不幸的是，這些解決方案要求工廠運營商，通過第三方提供商管理的代理發(fā)送一些較為敏感的信息，這對于許多應用程序來說，是不可接受的。幸運的是，OPCUA有一個端到端的安全解決方案，可以確保通過代理發(fā)送數(shù)據(jù)的隱私性和完整性。