java連接opcua的常見問題及解決方法
一、前言
OPC UA(Open Platform Communications Unified Architecture)是針對工業(yè)自動化領(lǐng)域的跨平臺通信協(xié)議標準。它在 OPC 經(jīng)典版本的基礎(chǔ)上進行優(yōu)化,可以在不同操作系統(tǒng)、設(shè)備和編程語言之間進行安全且可靠的數(shù)據(jù)交換。對于很多工業(yè)控制、設(shè)備監(jiān)控以及物聯(lián)網(wǎng)相關(guān)項目,OPC UA 是常用的數(shù)據(jù)通信方式。
在 Java 中,我們常用的 OPC UA 客戶端開發(fā)庫包括:
- Eclipse Milo
- Prosys OPC UA SDK for Java
- 其他商業(yè)或開源的 Java SDK
本篇將使用 Eclipse Milo 作為示例庫,演示如何在 Java 中使用匿名、用戶名密碼以及證書加密三種方式連接到 OPC UA 服務(wù)器。若需要使用其他 SDK,原理大同小異,API 的調(diào)用方式會有所不同。
二、準備工作
JDK
建議至少使用 JDK 8 或更高版本。
Maven 或 Gradle
便于引入 Eclipse Milo 等依賴。如果使用 Maven,請在 pom.xml
中添加以下依賴:
<dependency> <groupId>org.eclipse.milo</groupId> <artifactId>sdk-client</artifactId> <version>0.6.15</version> <!-- 版本號可根據(jù)需要更新 --> </dependency> <dependency> <groupId>org.eclipse.milo</groupId> <artifactId>server-examples</artifactId> <version>0.6.15</version> </dependency>
如果使用 Gradle,則在 build.gradle
中添加:
implementation 'org.eclipse.milo:sdk-client:0.6.15'
OPC UA 服務(wù)器
本地或遠程的 OPC UA 服務(wù)器環(huán)境,用于測試連接。可以在虛擬機或本地主機上安裝開源的 OPC UA 服務(wù)器,也可以使用商業(yè)軟件自帶的模擬服務(wù)器。
證書文件(僅在證書加密方式時需要)
若您在服務(wù)器上開啟了證書加密,需要準備好客戶端證書(public key)和客戶端私鑰(private key),也可能需要服務(wù)器的信任證書。Eclipse Milo 提供了簡單的證書管理機制,或者您也可以使用標準 Java KeyStore 的方式來存儲并讀取證書和私鑰。
三、匿名方式連接
3.1 匿名方式簡介
匿名連接是最簡單的方式,不需要用戶名、密碼或任何證書。只要服務(wù)器允許匿名訪問,就可以通過匿名方式連接。適合在測試環(huán)境或?qū)Π踩蟛桓叩膱鼍跋率褂谩?/p>
3.2 示例代碼
以下演示最基本的匿名連接流程,包括:
- 創(chuàng)建 OPC UA Client 配置
- 初始化并連接到服務(wù)器
- 讀取或?qū)懭霐?shù)據(jù)(僅作示例)
請確保替換示例中的 endpointUrl
與 nodeId
等信息為你自己的實際配置。
import org.eclipse.milo.opcua.sdk.client.OpcUaClient; import org.eclipse.milo.opcua.stack.core.security.SecurityPolicy; import org.eclipse.milo.opcua.sdk.client.api.config.OpcUaClientConfigBuilder; import org.eclipse.milo.opcua.stack.core.types.structured.EndpointDescription; import org.eclipse.milo.opcua.stack.core.types.structured.UserTokenPolicy; import org.eclipse.milo.opcua.stack.core.types.enumerated.UserTokenType; import org.eclipse.milo.opcua.sdk.client.api.identity.AnonymousProvider; import java.util.List; import java.util.concurrent.CompletableFuture; public class OpcUaAnonymousExample { public static void main(String[] args) { try { // OPC UA 服務(wù)器地址,例如 "opc.tcp://localhost:49320" String url= "opc.tcp://127.0.0.1:49320"; // 創(chuàng)建 client OpcUaClient client = OpcUaClient.create(url, endpoints -> endpoints.stream() .filter(e -> e.getSecurityPolicyUri().equals(SecurityPolicy.None.getUri())) .findFirst(), configBuilder -> configBuilder //訪問方式 .setIdentityProvider(new AnonymousProvider()) .setRequestTimeout(UInteger.valueOf(5000)) .build()); } // 連接到服務(wù)器 CompletableFuture<OpcUaClient> future = client.connect(); future.get(); // 等待連接完成 System.out.println("匿名連接成功!"); // 在此處可以進行讀寫操作,例如讀取節(jié)點的值 // client.readValue(0, TimestampsToReturn.Both, new ReadValueId(NodeId, ...)); // ... // 最后斷開連接 client.disconnect().get(); System.out.println("客戶端斷開連接。"); } catch (Exception e) { e.printStackTrace(); } } // 簡單選擇一個安全策略為 None 的端點(匿名方式一般使用安全策略None,具體看服務(wù)器配置) private static EndpointDescription chooseSecureEndpoint(List<EndpointDescription> endpoints) { EndpointDescription result = null; for (EndpointDescription e : endpoints) { if (e.getSecurityPolicyUri().equals(SecurityPolicy.None.getUri())) { result = e; break; } } return result; } }
在上述示例中,最關(guān)鍵的步驟是將身份認證方式設(shè)為 new AnonymousProvider()
并選擇一個 SecurityPolicy 為 None
的 endpoint。這樣即可使用匿名方式成功連接。
四、用戶名密碼方式連接
4.1 用戶名密碼方式簡介
在實際生產(chǎn)環(huán)境中,常常需要使用賬號密碼進行身份驗證,以限制訪問權(quán)限、保護關(guān)鍵信息。與匿名方式相比,多了用戶名密碼的配置,但整體流程類似。
4.2 示例代碼
import org.eclipse.milo.opcua.sdk.client.OpcUaClient; import org.eclipse.milo.opcua.stack.core.security.SecurityPolicy; import org.eclipse.milo.opcua.sdk.client.api.config.OpcUaClientConfigBuilder; import org.eclipse.milo.opcua.stack.core.types.structured.EndpointDescription; import org.eclipse.milo.opcua.stack.core.types.structured.UserTokenPolicy; import org.eclipse.milo.opcua.stack.core.types.enumerated.UserTokenType; import org.eclipse.milo.opcua.sdk.client.api.identity.UsernameProvider; import java.util.List; import java.util.concurrent.CompletableFuture; public class OpcUaUsernamePasswordExample { public static void main(String[] args) { try { String endpointUrl = "opc.tcp://127.0.0.1:4840"; List<EndpointDescription> endpoints = OpcUaClient .getEndpoints(endpointUrl).get(); EndpointDescription endpoint = chooseUserNameEndpoint(endpoints); OpcUaClientConfigBuilder configBuilder = new OpcUaClientConfigBuilder(); configBuilder.setEndpoint(endpoint); // 假設(shè)用戶名為 "user", 密碼為 "password" configBuilder.setIdentityProvider(new UsernameProvider("user", "password")); OpcUaClient client = OpcUaClient.create(configBuilder.build()); CompletableFuture<OpcUaClient> future = client.connect(); future.get(); System.out.println("用戶名密碼方式連接成功!"); // 進行后續(xù)讀寫操作 // ... client.disconnect().get(); System.out.println("客戶端斷開連接。"); } catch (Exception e) { e.printStackTrace(); } } private static EndpointDescription chooseUserNameEndpoint(List<EndpointDescription> endpoints) { // 通常 OPC UA 服務(wù)器也支持 SecurityPolicy.None + UserName 方式 // 也可能是 Basic128Rsa15, Basic256, etc. 具體看服務(wù)端配置 for (EndpointDescription e : endpoints) { if (e.getSecurityPolicyUri().equals(SecurityPolicy.None.getUri())) { // 確保端點支持 UserName 類型的認證 for (UserTokenPolicy tokenPolicy : e.getUserIdentityTokens()) { if (tokenPolicy.getTokenType() == UserTokenType.UserName) { return e; } } } } return null; } }
要點說明:
- 將 IdentityProvider 切換為 new UsernameProvider("username", "password")。
- 根據(jù)服務(wù)端提供的用戶名、密碼進行配置。
- 需要注意端點是否支持 UserName 類型認證。如果端點僅支持 Anonymous 或 Certificate,則無法使用用戶名密碼方式。
五、證書加密方式連接
5.1 證書加密方式簡介
在實際工業(yè)環(huán)境中,安全性要求更高時通常會啟用證書加密(基于 Public Key Infrastructure)。
- 每個客戶端都會持有一份證書(公鑰)和對應(yīng)的私鑰,服務(wù)器端也有自己的證書。
- 當客戶端與服務(wù)器通信時,會先驗證雙方的證書簽名并進行加密傳輸,從而保證安全性與完整性。
在這種方式下,服務(wù)端可能要求:
- 客戶端必須提供已經(jīng)被服務(wù)器信任(或在服務(wù)器端手動信任)的證書。
- 采用特定的安全策略(例如
Basic256Sha256
)并通過相應(yīng)端點連接。
5.2 證書和私鑰獲取
- 可以通過第三方工具(例如 openssl、keytool 或 Eclipse Milo 提供的證書工具腳本)生成自簽名證書。
- 生成后的證書和私鑰,可以存儲在 Java KeyStore 中,或者存儲為
.der
、.pem
等格式并讓應(yīng)用程序讀取。
下方示例假設(shè)已經(jīng)擁有 ClientCert.der
(客戶端公鑰)和 ClientKey.der
(客戶端私鑰),并且服務(wù)器端配置了對應(yīng)的信任或信任鏈。
OPC UA訪問證書類
import org.eclipse.milo.opcua.sdk.server.util.HostnameUtil; import org.eclipse.milo.opcua.stack.core.util.SelfSignedCertificateBuilder; import org.eclipse.milo.opcua.stack.core.util.SelfSignedCertificateGenerator; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import java.io.InputStream; import java.io.OutputStream; import java.nio.file.Files; import java.nio.file.Path; import java.security.*; import java.security.cert.X509Certificate; import java.util.regex.Pattern; class KeyStoreLoader { private final Logger logger = LoggerFactory.getLogger(getClass()); private static final Pattern IP_ADDR_PATTERN = Pattern.compile( "^(([01]?\\d\\d?|2[0-4]\\d|25[0-5])\\.){3}([01]?\\d\\d?|2[0-4]\\d|25[0-5])$"); // 證書別名 private static final String CLIENT_ALIAS = "client-ai"; // 獲取私鑰的密碼 private static final char[] PASSWORD = "password".toCharArray(); // 證書對象 private X509Certificate clientCertificate; // 密鑰對對象 private KeyPair clientKeyPair; KeyStoreLoader load(Path baseDir) throws Exception { // 創(chuàng)建一個使用`PKCS12`加密標準的KeyStore。KeyStore在后面將作為讀取和生成證書的對象。 KeyStore keyStore = KeyStore.getInstance("PKCS12"); // PKCS12的加密標準的文件后綴是.pfx,其中包含了公鑰和私鑰。 // 而其他如.der等的格式只包含公鑰,私鑰在另外的文件中。 Path serverKeyStore = baseDir.resolve("example-client.pfx"); logger.info("Loading KeyStore at {}", serverKeyStore); // 如果文件不存在則創(chuàng)建.pfx證書文件。 if (!Files.exists(serverKeyStore)) { keyStore.load(null, PASSWORD); // 用2048位的RAS算法。`SelfSignedCertificateGenerator`為Milo庫的對象。 KeyPair keyPair = SelfSignedCertificateGenerator.generateRsaKeyPair(2048); // `SelfSignedCertificateBuilder`也是Milo庫的對象,用來生成證書。 // 中間所設(shè)置的證書屬性可以自行修改。 SelfSignedCertificateBuilder builder = new SelfSignedCertificateBuilder(keyPair) .setCommonName("Eclipse Milo Example Client") .setOrganization("digitalpetri") .setOrganizationalUnit("dev") .setLocalityName("Folsom") .setStateName("CA") .setCountryCode("US") .setApplicationUri("urn:eclipse:milo:examples:client") .addDnsName("localhost") .addIpAddress("127.0.0.1"); // Get as many hostnames and IP addresses as we can listed in the certificate. for (String hostname : HostnameUtil.getHostnames("0.0.0.0")) { if (IP_ADDR_PATTERN.matcher(hostname).matches()) { builder.addIpAddress(hostname); } else { builder.addDnsName(hostname); } } // 創(chuàng)建證書 X509Certificate certificate = builder.build(); // 設(shè)置對應(yīng)私鑰的別名,密碼,證書鏈 keyStore.setKeyEntry(CLIENT_ALIAS, keyPair.getPrivate(), PASSWORD, new X509Certificate[]{certificate}); try (OutputStream out = Files.newOutputStream(serverKeyStore)) { // 保存證書到輸出流 keyStore.store(out, PASSWORD); } } else { try (InputStream in = Files.newInputStream(serverKeyStore)) { // 如果文件存在則讀取 keyStore.load(in, PASSWORD); } } // 用密碼獲取對應(yīng)別名的私鑰。 Key serverPrivateKey = keyStore.getKey(CLIENT_ALIAS, PASSWORD); if (serverPrivateKey instanceof PrivateKey) { // 獲取對應(yīng)別名的證書對象。 clientCertificate = (X509Certificate) keyStore.getCertificate(CLIENT_ALIAS); // 獲取公鑰 PublicKey serverPublicKey = clientCertificate.getPublicKey(); // 創(chuàng)建Keypair對象。 clientKeyPair = new KeyPair(serverPublicKey, (PrivateKey) serverPrivateKey); } return this; } // 返回證書 X509Certificate getClientCertificate() { return clientCertificate; } // 返回密鑰對 KeyPair getClientKeyPair() { return clientKeyPair; } }
5.3 示例代碼
public static OpcUaClient initClient(String url,SecurityPolicy securityPolicy) { try { if (securityPolicy.equals(SecurityPolicy.None)){ return OpcUaClient.create(url, endpoints -> endpoints.stream() .filter(e -> e.getSecurityPolicyUri().equals(securityPolicy.getUri())) .findFirst(), configBuilder -> configBuilder //訪問方式 .setIdentityProvider(new AnonymousProvider()) .setRequestTimeout(UInteger.valueOf(5000)) .build()); } Path securityTempDir = Paths.get(System.getProperty("java.io.tmpdir"), "security"); Files.createDirectories(securityTempDir); if (!Files.exists(securityTempDir)) { throw new Exception("unable to create security dir: " + securityTempDir); } KeyStoreLoader loader = new KeyStoreLoader().load(securityTempDir); File pkiDir = securityTempDir.resolve("pki").toFile(); DefaultTrustListManager trustListManager = new DefaultTrustListManager(pkiDir); DefaultClientCertificateValidator certificateValidator = new DefaultClientCertificateValidator(trustListManager); String hostName = InetAddress.getLocalHost().getHostName(); return OpcUaClient.create(url, endpoints -> endpoints.stream() .map(endpoint -> { // 構(gòu)建一個新的 EndpointDescription(可選修改某些字段) return new EndpointDescription( url, endpoint.getServer(), endpoint.getServerCertificate(), endpoint.getSecurityMode(), // 或者強制改為某種模式 endpoint.getSecurityPolicyUri(), endpoint.getUserIdentityTokens(), endpoint.getTransportProfileUri(), endpoint.getSecurityLevel() ); }) .filter(e -> e.getSecurityPolicyUri().equals(securityPolicy.getUri())) .findFirst(), configBuilder -> configBuilder //訪問方式 .setApplicationName(LocalizedText.english("datacollector-driver")) .setApplicationUri(String.format("urn:%s:opcua-client", hostName)) // 必須與證書中的URI一致 .setKeyPair(loader.getClientKeyPair()) .setCertificate(loader.getClientCertificate()) .setCertificateChain(loader.getClientCertificateChain()) .setCertificateValidator(certificateValidator) .setIdentityProvider(new UsernameProvider("admin", "123456")) .setRequestTimeout(UInteger.valueOf(5000)) .build()); } catch (Exception e) { throw new RuntimeException(e); } }
證書路徑
我們需要把服務(wù)器證書放在pki\trusted\certs
目錄下:
要點說明:
- 選擇合適的安全策略(如
Basic256Sha256
)。 - 使用客戶端證書和私鑰(可以自簽名,也可以通過權(quán)威 CA 簽發(fā))。
- 服務(wù)端需信任此客戶端證書(在服務(wù)器配置中添加到信任列表)。
- 配置
CertificateManager
、CertificateValidator
以及X509IdentityProvider
。
六、常見問題與注意事項
端點選擇
- 不同 OPC UA 服務(wù)器可能同時暴露多個端點,包含不同的安全模式(Security Mode)和安全策略(Security Policy)。
- 在匿名或用戶名密碼方式時,如果選擇了需要證書的端點,就會出現(xiàn)認證失敗或連接被拒的情況。
- 在證書加密方式時,如果選擇了安全策略為 None 的端點,則證書不會被使用,同樣也會連接異?;蛘邔?dǎo)致安全策略不匹配。
服務(wù)器信任客戶端證書
- 大多數(shù) OPC UA 服務(wù)器在默認情況下不信任任何客戶端的證書,需要在服務(wù)端管理界面或配置文件中手動將客戶端證書加入白名單。
- 記得查看服務(wù)器日志,若提示「Untrusted Certificate」,就需要在服務(wù)器端操作信任列表。
安全策略與性能
- 加密等級越高(如 Basic256Sha256),對 CPU 資源消耗越大,通信速度會相對降低,但數(shù)據(jù)安全性更強。
- 在測試環(huán)境或低安全需求的場景下可以先使用 SecurityPolicy.None ;正式項目上線時再切換到更高的安全策略。
兼容性
- 不同版本的 OPC UA SDK、服務(wù)器或 Java 版本之間可能存在兼容性問題;如果連接失敗,可以嘗試升級或降低 Milo 版本、換用不同的 JDK 版本等。
- OPC UA 服務(wù)器上若啟用特定的加密算法(例如 AES-256),客戶端也需要對應(yīng)的加密套件。
斷線重連
- 工業(yè)現(xiàn)場環(huán)境中網(wǎng)絡(luò)抖動常見,客戶端需要實現(xiàn)斷線重連或重試機制,以確保數(shù)據(jù)采集的連續(xù)性與穩(wěn)定性。
到此這篇關(guān)于java連接opcua的文章就介紹到這了,更多相關(guān)java連接opcua內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
實現(xiàn)一個基于Servlet的hello world程序詳解步驟
Java Servlet 是運行在 Web 服務(wù)器或應(yīng)用服務(wù)器上的程序,它是作為來自 Web 瀏覽器或其他 HTTP 客戶端的請求和 HTTP 服務(wù)器上的數(shù)據(jù)庫或應(yīng)用程序之間的中間層2022-02-02SpringBoot整合mybatis使用Druid做連接池的方式
這篇文章主要介紹了SpringBoot整合mybatis使用Druid做連接池的方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教2023-08-08SpringBoot調(diào)用公共模塊的自定義注解失效的解決
這篇文章主要介紹了SpringBoot調(diào)用公共模塊的自定義注解失效的解決方案,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2022-02-02使用原生JDBC動態(tài)解析并獲取表格列名和數(shù)據(jù)的方法
這篇文章主要介紹了使用原生JDBC動態(tài)解析并獲取表格列名和數(shù)據(jù),本文通過實例代碼給大家介紹的非常詳細,對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下2023-08-08