Great question—this is a common point of confusion when diving into OPC UA's security layers, since simplified educational resources don't always match the granularity of official specifications. Let's break this down step by step:

1. 书籍与官方规范描述差异的原因 #

《OPC Unified Architecture》（Mahnke、Leitner、Damm著）第214页的图7.4是简化的高视角流程视图，目的是帮读者快速理解核心流程，避免被细节淹没。

而OPC UA规范第4部分（服务篇）的图22是权威、细粒度的协议流程定义。两者的核心区别在于两次验证的定位不同：

• SecureChannel建立阶段的验证：聚焦传输层安全——确认对等方的应用实例证书可信、有效，具备建立加密、完整性保护通道的能力，本质是保障通信链路本身的安全。
• 会话创建/激活阶段的验证：聚焦应用层授权——确认通过证书认证的实体拥有创建会话的权限，同时再次核验证书状态（比如是否被吊销、是否仍在有效期内），属于应用逻辑层面的安全检查。

书籍为了可读性，将这两个独立的验证步骤合并展示，而规范则明确标注两次步骤，以严格体现协议的分层安全模型。

2. 会话创建时再次验证是否必要？ #

是的，这一设计有几个关键意义：

• 安全分层隔离：SecureChannel负责传输加密和身份认证，会话负责应用级访问控制。再次验证确保即使证书通过了传输层检查，也满足会话访问的特定授权要求（比如是否属于允许的用户组）。
• 应对证书状态变更：SecureChannel建立时证书可能有效，但在会话创建前，证书可能被吊销、过期或修改，再次验证能及时捕捉这类异常。
• 规范合规要求：OPC UA规范第4部分6.1.5节明确强制要求这一步骤。虽然部分实现会在可信环境中做优化，但完全跳过会偏离标准的安全要求。

3. 为什么Milo示例仅验证一次？ #

Milo作为开源OPC UA栈，针对通用场景做了实用化优化：

• 它将证书验证逻辑合并在SecureChannel建立阶段完成。一旦证书通过了信任链、有效性、权限等全量检查，Milo会复用这个验证状态，在会话激活阶段不再重复执行完整检查。
• 这种优化适用于大多数SecureChannel与会话连续创建的场景，此时证书状态几乎不可能在短时间内变更。它并未违反规范的核心要求——只是将验证逻辑合并，而非省略必要的安全检查。

内容的提问来源于stack exchange，提问作者Gajasri