Gerätemanagement-Tool mit OPC UA Global Discovery Server Besserer Schutz vor unbefugten Zugriffen

Mit dem OPC-UA-Informationsmodell lassen sich neue Prozesse effizient aufbauen.

Bild: Dall-E, publish-industry
07.03.2024

Mit OPC UA wird oft lediglich ein Maschine-zu-Maschine-Kommunikationsprotokoll für die industrielle Automatisierung assoziiert. Der Standard erweist sich jedoch als gute Lösung für die Verbindung von Maschinen- und Unternehmensnetzwerken. Denn OPC UA überträgt nicht nur Maschineninformationen – beispielsweise Soll- und Messwerte oder Prozessparameter – sondern definiert und beschreibt die Daten ebenfalls.

Mit dem OPC-UA-Informationsmodell lassen sich neue Prozesse zwischen einer Steuerung und einer beliebigen übergeordneten betriebswirtschaftlich orientierten Software-Schicht effizient aufbauen. Ergänzend dazu kann mit dem in der OPC-UA-Spezifikation 10000-100 festgelegten Software-Aktualisierungsmodell die Verwaltung der Software eines Assets umgesetzt werden. Dabei handelt es sich zum Beispiel um die Installation neuer sowie die Aktualisierung vorhandener Software, das Update einer Firmware sowie eine begrenzte Sicherung und Wiederherstellung von Parametern und Firmware, soweit dies für die Aktualisierung erforderlich ist. Um Daten allerdings sicher und vertrauenswürdig mit einem Asset auszutauschen, bietet OPC UA die Möglichkeit der zertifikatsbasierten Kommunikation. An dieser Stelle kommt der OPC UA Global Discovery Server (GDS) ins Spiel.

Sicherheitsserver innerhalb des OPC-UA-Netzwerks

Das GDS-Konzept von OPC UA erlaubt einerseits die Konfiguration von subnetzübergreifenden Disovery Services. Auf der anderen Seite stellt es Schnittstellen für ein zentrales Zertifikatsmanagement zur Verfügung. Ein Global Discovery Server umfasst Mechanismen zur zentralen Verwaltung von CA-signierten (Certificate Authority) und selbstsignierten Zertifikaten sowie für die Administration von vertrauenswürdigen Listen und Zertifikatswiderrufslisten (certificate revocation list, CRL). Der GDS stellt also einen Zugangspunkt zur zentralen Zertifikatsverwaltung dar und übernimmt damit die Aufgabe eines Sicherheitsservers innerhalb eines OPC-UA-Netzwerks.

Die Hauptanwendung des Global Discovery Servers liegt in der Administration von CA-signierten Zertifikaten mit den zugehörigen CRLs. Zu diesem Zweck kann der GDS initiale OPC-UA-Anwendungszertifikate generieren, die verbundenen CRLs und Vertrauenslisten regelmäßig aktualisieren oder das OPC-UA-Anwendungszertifikat erneuern. Insgesamt spielt der OPC UA Global Discovery Server eine entscheidende Rolle bei der Sicherstellung eines gehärteten und effizienten Betriebs von OPC-UA-Systemen, indem er Schlüsselfunktionen für die Erkennung, Verwaltung und Sicherheit bereitstellt.

Abonnement von Meldungen zu bestimmten Ereignissen oder Änderungen

Beim GDS-Push-Service handelt es sich um eine Funktion des OPC UA Global Discovery Servers, der Clients in Echtzeit benachrichtigt, wenn neue Endpunkte oder Anwendungen zum GDS hinzugefügt respektive bestehende Endpunkte und Anwendungen geändert oder gelöscht werden. Mit dem GDS-Push-Service können Clients Meldungen über bestimmte Ereignisse oder Änderungen abonnieren, etwa wenn das Netzwerk um einen neuen OPC-UA-Server ergänzt wird oder sich die Endpunkt-URL eines vorhandenen Servers wandelt. Auf diese Weise bleiben die Clients stets über Adaptionen im OPC-UA-Netzwerk auf dem Laufenden und können ihre Konfigurationen bei Bedarf automatisch anpassen.

Der GDS-Push-Service kann auch mit dem Pub-/Sub-Protokoll von OPC UA zusammenarbeiten, das zu einer effizienten und skalierbaren Kommunikation von Ereignisbenachrichtigungen beiträgt. Clients haben die Möglichkeit, bestimmte Themen oder Ereignisse, die für sie von Interesse sind, zu abonnieren. Der GDS sendet dann automatisch Meldungen aus, sofern diese Ereignisse eintreten. In Summe erweist sich der GDS-Push-Service als leistungsfähiges Feature des OPC UA Global Discovery Servers, weil der Service die Echtzeiterkennung und -verwaltung von OPC-UA-Anwendungen und -Endpunkten gestattet, was einer effizienten und sicheren Datenübertragung in Industrie- und IoT-Systemen zuträglich ist.

Administrierung der Sicherheit OPC-UA-fähiger Geräte und Anwendungen

Ein Gerätemanagement-Tool – wie das Device- und Update-Management-System von Phoenix Contact – profitiert vom implementierten OPC UA Global Discovery Server. Zunächst unterstützt der GDS den Anwender bei der einfacheren Auffindung und Verwaltung OPC-UA-fähiger Geräte und Anwendungen. Der Global Data Server bietet einen zentralen Ort für die Detektion und Administration von OPC-UA-Endpunkten und -Anwendungen, sodass das Gerätemanagement-Tool die Geräte einfacher im Netzwerk identifiziert und sich mit ihnen verbindet.

Darüber hinaus steht der GDS mit Gerätemanagement-Tool bei der Administrierung der Sicherheit von OPC-UA-fähigen Geräten und Anwendungen zur Seite. Der Global Discovery Server umfasst Funktionen für die Verwaltung von Zertifikaten oder Sicherheitsrichtlinien und trägt dazu bei, dass die Kommunikation zwischen den Geräten sicher und vertrauenswürdig ist. Abschließend kann der GDS-Push-Service Echtzeitbenachrichtigungen über Änderungen im Netzwerk liefern, damit das Gerätemanagement-Tool immer auf dem neusten Stand ist, was Anpassungen an OPC-UA-fähigen Geräten und Anwendungen betrifft. Dadurch ist das Gerätemanagement-Tool in der Lage, seine Konfiguration bei Bedarf automatisch zu adaptieren.

Automatisierte Inbetriebnahme intelligenter Endgeräte

Es gibt viele Applikationen, die in Zukunft eine automatisierte Inbetriebnahme von Neu- oder Ersatzgeräten erfordern – vor allem, wenn der Weg in Richtung einer vernetzten Welt in der All Electric Society geht. Hier wird oft das Schlagwort Zero-Touch- oder One-Touch-Provisioning genannt. Innerhalb des Unternehmensnetzwerks lassen sich also intelligente Endgeräte (Edge Devices) aus der Ferne – ohne menschliches Einwirken vor Ort – konfigurieren. Das spart Kosten und Zeit. In Kombination mit einem OPC UA Global Discovery Server kann ein intelligentes Gerätemanagement-Tool an dieser Stelle die entscheidende Wendung bringen. Denn das Erkennen neuer Geräte durch den GDS, ihnen zu vertrauen beziehungsweise eine vertrauenswürdige Identität zu geben und anschließend eine vorher festgelegte Gesamtkonfiguration auf den Geräten zu installieren, stellen wesentliche Funktionen für eine automatisierte Inbetriebnahme dar. Hier liegt ein entscheidender Vorteil bei der Nutzung des OPC-UA-Standards. Nur so können entsprechende Szenarien herstellerunabhängig umgesetzt werden.

Selbst wenn ein Gerätemanagement-Tool nicht unbedingt einen OPC UA Global Discovery Server benötigt, kann es doch von dessen Funktionen und Möglichkeiten profitieren, um OPC-UA-fähige Geräte und Anwendungen zu detektieren, zu verwalten und zu sichern sowie Echtzeit-Benachrichtigungen über Änderungen im Netzwerk zu erhalten.

Bildergalerie

  • Der Global Discovery Server stellt einen Zugangspunkt zur zentralen Zertifikatsverwaltung dar und übernimmt damit die Aufgabe eines Sicherheitsservers innerhalb eines OPC-UA-Netzwerks.

    Der Global Discovery Server stellt einen Zugangspunkt zur zentralen Zertifikatsverwaltung dar und übernimmt damit die Aufgabe eines Sicherheitsservers innerhalb eines OPC-UA-Netzwerks.

    Bild: Phoenix Contact

  • Verwaltung von Zertifikaten mit dem Global Discovery Server: Mit dem Push-Service können Clients Meldungen über bestimmte Ereignisse oder Änderungen abonnieren.

    Verwaltung von Zertifikaten mit dem Global Discovery Server: Mit dem Push-Service können Clients Meldungen über bestimmte Ereignisse oder Änderungen abonnieren.

    Bild: Phoenix Contact

  • Herstellerübergreifend und sicher kommunizieren mit OPC UA: Das Erkennen neuer Geräte durch den GDS, ihnen eine vertrauenswürdige Identität zu geben und anschließend eine vorher festgelegte Gesamtkonfiguration auf den Geräten zu installieren, stellen wesentliche Funktionen für eine automatisierte Inbetriebnahme dar.

    Herstellerübergreifend und sicher kommunizieren mit OPC UA: Das Erkennen neuer Geräte durch den GDS, ihnen eine vertrauenswürdige Identität zu geben und anschließend eine vorher festgelegte Gesamtkonfiguration auf den Geräten zu installieren, stellen wesentliche Funktionen für eine automatisierte Inbetriebnahme dar.

    Bild: Phoenix Contact

  • Die PLCnext-Steuerung AXC F 2152 mit integriertem OPC-UA-Server, -Client und Pub-/Sub-Funktion

    Die PLCnext-Steuerung AXC F 2152 mit integriertem OPC-UA-Server, -Client und Pub-/Sub-Funktion

    Bild: Phoenix Contact

Firmen zu diesem Artikel
Verwandte Artikel