Skip to main content

データバックアップとセキュリティ対策

セキュリティ対策は、データ、情報、およびシステムを保護します。

これは一般的に、データとシステムの核となる価値を確実に保護する措置によって達成されます。

ユーザー管理 — 権限

でのユーザー管理 CODESYS 特定のユーザーグループを定義しました。ユーザーグループには、プロジェクト内のオブジェクトにアクセスしたり、コントローラー上のオブジェクトに対して特定のアクションを表示して実行したりするなど、さまざまな権限が付与されます。

CODESYS システム全体のさまざまな領域のユーザー管理をサポートします。以下の個別の説明と指示を参照してください。

暗号化と署名

ヒント

使用する場合 CODESYS Security Agent V1.4.0.0 以降では、自分の証明書を削除したときにそれぞれの秘密鍵をローカルコンピューターに保存し、後で再び使用することができます。詳細については、以下を参照してください セキュリティ画面の「デバイス」タブ

暗号化

暗号化はデータを判読不能な形式に変換し、対応する鍵でのみ復号化できます。鍵はパスワード、秘密鍵、または鍵ペア(秘密鍵/公開鍵)のいずれかです。公開鍵は通常、証明書

データは暗号化されているため、許可された受信者のみが読み取ることができます。ほとんどの場合、対称的そのためには方法が用いられる。

署名 (本人確認)

暗号化に加えて、データの真正性と完全性を証明するためにデータに署名することもできます。これは通常、以下の方法で行われます。非対称方法。

反論の余地のない所有権(否認しないこれは、通信に関与する当事者(送信者または受信者)が、特定のメッセージを送信したことや特定のアクションを実行したことを後から否定できないことを意味します。これは、メッセージが送信者の秘密鍵で署名されている場合に可能です。この秘密鍵の所有者のみがデジタル署名を生成できます。したがって、所有権(真正性)を証明できます。

誠実さこれは、データが完全かつ正確で、変更されていないことを意味します。送信者がデータを作成して以来、データは変更されていません。受信者は、受信したデータのハッシュ値が署名に含まれるハッシュ値と一致するかどうかを確認することで、これを検証します。両方が一致すれば、内容が変更されていないことが明らかになります。

デジタル署名は、メッセージの所有権(真正性)を疑いの余地なく証明し、その完全性を検証できるようにするために行われます。デジタル署名は非対称暗号化に基づいています。送信者は秘密鍵を使用して署名を行い、受信者はそれぞれの公開鍵を使用して署名を検証します。

一般的な手順:

  1. 送信者:データの一意のハッシュ値を決定します (H)

  2. 送信者はこのハッシュ値を秘密鍵(He)で暗号化します。これがデジタル署名です。

  3. 受信者:また、ハッシュ値を計算し、公開鍵で He を復号化して 2 つの値を比較します。これにより、送信者を一意に識別でき、送信者が秘密鍵を所有していることを確認できます

  4. 受信者は送信者の公開鍵を使用して署名を復号し、2つの値を比較する。

これは、データが変更されておらず、秘密鍵の所有者から送信されたものであること(本人確認)を裏付けるものです。

ハッシュ法は、データの固有の「指紋」を作成します。ハッシュ法は衝突率が低いため、同じハッシュ値を持つ2つの異なるデータセットを生成することは極めて困難です。

証明書

ヒント

X.509証明書とは何ですか?

公開鍵は証明書の一部です。これは単なる長い数字の羅列であり、証明書の所有者に関する情報は一切含まれていません。証明書に鍵を埋め込むことで、証明書は個人、デバイス、サーバー、またはクライアントに一意に割り当てられます。

. デジタル証明書の構成要素

  • 一般情報

    • 証明書規格のバージョン(例:X.509 v3)

    • シリアル番号

    • 署名アルゴリズム(例:SHA256-RSA)

  • 発行者詳細

    • 認証局(CA)の名称

    • 固有識別データ(例: DN = 著名人

  • 主題所有者に関する情報

    • 名前、組織名、またはドメイン

    • 固有識別データ(ID)

    • オプション: 代替ID ( 主題の別名

  • 公開鍵

    • 所有者の公開鍵

      所有者は、公開鍵に対応する秘密鍵を所有している。

      証明書所有者キー情報(対象公開鍵

    • アルゴリズム(例:RSA、ECC)

    • キーの長さ

  • 有効期間

    • Not Before

      有効開始日

    • Not After

      有効期限

  • CAのデジタル署名

    • 認証局(CA)が証明書の内容に署名する。

    • 認証局(CA)は、真正性と完全性を保証します。

  • 拡張機能

    X.509 v3証明書の例:

    • 鍵の使用方法(署名、暗号化など)

    • 拡張キー使用法(例: TLSサーバー認証 TLSクライアント認証

    • 基本的な制約(例:それがセルオートマトンであるかどうか)

    • 拡張キー使用法(例: TLSサーバー認証 TLSクライアント認証

    • 被験者の別名(SAN)

重要

証明書ベースのシステムでは、所有者はデジタルIDカードのような役割を果たすデジタル証明書を受け取ります。これは公開X.509証明書であるため、誰にでも発行できます。

この種の証明書は複数のファイルで構成され、通常は次のように整理されます。証明書チェーンこれらの連鎖証明書には、所有者の身元情報と公開鍵が含まれており、認証局によって認証されます。これらの証明書は階層型のPKI(公開鍵基盤)を形成し、その共通の信頼の基盤はルート証明書です。

  1. ルート証明書

    ルート証明書は信頼チェーンの最上位に位置します。

  2. 中級資格

    中間証明書は、ルート証明書の認証局(CA)によって署名されます。また、中間証明書は1つしか存在できません。

  3. エンドエンティティ証明書(最後の証明書)

    これは所有者(サーバー、クライアント、デバイス、ユーザー)の実際の証明書です。このエンドエンティティ証明書には秘密鍵が含まれており、公開鍵とも一致します。

重要

秘密鍵は秘密に保管しなければならない。

このセクションの内容: