專利名稱:Opc安全代理系統(tǒng)及其代理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息系統(tǒng)安全技術(shù),特別是涉及一種能滿足較高的安全性隔離要求的0PC安全代理系統(tǒng)及其代理方法的技術(shù)���。
背景技術(shù):
OPC規(guī)范概述在電力系統(tǒng)控制領(lǐng)域���,各種現(xiàn)場(chǎng)總線控制系統(tǒng)正在日益發(fā)揮著重要的作用。然 而���,由于可用于電力系統(tǒng)控制的現(xiàn)場(chǎng)總線系統(tǒng)種類繁多�����,其訪問(wèn)方式與接口均各不 相同��,致使電力控制各應(yīng)用系統(tǒng)日益復(fù)雜��,任何應(yīng)用需要訪問(wèn)任一種現(xiàn)場(chǎng)總線系統(tǒng) 都必須要按照該現(xiàn)場(chǎng)總線系統(tǒng)的規(guī)范開(kāi)發(fā)一整套底層的驅(qū)動(dòng)及通信模塊���,其控制模 式如圖1所示���。對(duì)這樣的控制方式,各控制系統(tǒng)的軟硬件升級(jí)與維護(hù)都非常不便����。為此,0PC (OLE for Process Control )基金會(huì)提出了 0PC標(biāo)準(zhǔn)體系�,該標(biāo)準(zhǔn)體系基于Microsoft 的0LE/C0M/DC0M技術(shù)為基礎(chǔ),釆用客戶/服務(wù)器模式��,基于Windows的客戶端可以 通過(guò)標(biāo)準(zhǔn)的OPC接口訪問(wèn)位于各控制系統(tǒng)的OPC服務(wù)器接口�。采用這種模式,各現(xiàn) 場(chǎng)控制系統(tǒng)廠商只需要開(kāi)發(fā)一個(gè)標(biāo)準(zhǔn)的OPC服務(wù)器接口,即可屏蔽各種復(fù)雜的控制 系統(tǒng)底層差異��,為客戶端提供統(tǒng)一的服務(wù)接口���,而客戶端通過(guò)標(biāo)準(zhǔn)的OPC接口就可 以實(shí)現(xiàn)對(duì)異種控制系統(tǒng)的訪問(wèn)���。OPC提供了一系列的規(guī)范���,在具體的實(shí)現(xiàn)過(guò)程中����,用戶可以根據(jù)需要使用相應(yīng)的規(guī)范�����。其中數(shù)據(jù)訪問(wèn)規(guī)范提供給用戶訪問(wèn)實(shí)時(shí)過(guò)程數(shù)據(jù)的方法�;報(bào)警和事件規(guī)范提供了一種由服務(wù)器程序?qū)F(xiàn)場(chǎng)的事件或報(bào)警通知客戶 程序的機(jī)制;歷史數(shù)據(jù)存取規(guī)范用來(lái)提供用戶存儲(chǔ)的過(guò)程數(shù)據(jù)存檔文件��、數(shù)據(jù)庫(kù)或遠(yuǎn)程終端設(shè)備中的歷史以及分析這些歷史過(guò)程數(shù)據(jù)的方法��。0PC規(guī)范很好的解決了 客戶端對(duì)異種控制系統(tǒng)的訪問(wèn)�,在電力系統(tǒng)得到了廣泛的應(yīng)用。其控制訪問(wèn)模式如 圖2所示。在電力生產(chǎn)系統(tǒng)環(huán)境中�����,現(xiàn)場(chǎng)總線控制系統(tǒng)(0PC服務(wù)器端) 一般位于生產(chǎn)內(nèi)網(wǎng) 中�,有很高的安全性要求,而部分OPC客戶端系統(tǒng)則可能需要位于生產(chǎn)管理層外網(wǎng)��, 該網(wǎng)可能與外網(wǎng)相通?�,F(xiàn)有的OPC標(biāo)準(zhǔn)體系對(duì)跨接在兩個(gè)安全性要求不同的網(wǎng)間運(yùn) 行并沒(méi)有完整的安全性措施�,此類應(yīng)用將產(chǎn)生很大的安全性隱患。二���、現(xiàn)有技術(shù)解決方案及缺陷為解決在安全性要求不同的內(nèi)外網(wǎng)間在保證安全的情況下保持適當(dāng)?shù)男畔⒒ネ?要求�,目前的常規(guī)做法是使用防火墻或隔離網(wǎng)閘��。通用的防火墻只實(shí)現(xiàn)對(duì)TCP連接 會(huì)話的控制��,不提供強(qiáng)安全性的用戶認(rèn)證手段�����, 一般只用于兩個(gè)不同網(wǎng)絡(luò)邊界之間 的訪問(wèn)控制�。隔離網(wǎng)閘可以切斷內(nèi)外網(wǎng)的TCP/IP連接���,提供很強(qiáng)的安全性隔離,但 目前的隔離網(wǎng)閘都只提供諸如Web訪問(wèn)�����、FTP文件傳輸���、電子郵件收發(fā)等通用的網(wǎng) 絡(luò)服務(wù)�����, 一般少有提供強(qiáng)安全用戶認(rèn)證手段,目前尚未見(jiàn)到有支持OPC協(xié)議的隔離 網(wǎng)閘���。發(fā)明內(nèi)容針對(duì)上述現(xiàn)有技術(shù)中存在的缺陷�����,本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種能保 持生產(chǎn)系統(tǒng)內(nèi)外網(wǎng)間各種授權(quán)OPC透明訪問(wèn)的同時(shí)���,滿足較高的安全性隔離要求的, 具有安全網(wǎng)關(guān)功能的0PC安全代理系統(tǒng)及其代理方法����。為了解決上述技術(shù)問(wèn)題���,本發(fā)明所提供的一種0PC安全代理系統(tǒng),其特征在于��, 包括0PC安全代理服務(wù)器�����、至少一個(gè)分別連接0PC安全代理服務(wù)器的0PC客戶端和 至少一個(gè)分別連接0PC安全代理服務(wù)器的0PC服務(wù)器�����;其中作為安全網(wǎng)關(guān)�����,0PC安 全代理服務(wù)器跨越用戶內(nèi)部具有不同安全性要求的內(nèi)外網(wǎng)����;是整個(gè)系統(tǒng)的關(guān)鍵;該安全代理服務(wù)器采用Linux操作系統(tǒng)平臺(tái)并經(jīng)過(guò)嚴(yán)格裁剪和重新編譯���,以確保系統(tǒng) 不存在已知的安全漏洞����;所述安全代理服務(wù)器包括互相連接的基于USBkey的X. 509 身份認(rèn)證及密鑰交換模塊、OPC請(qǐng)求權(quán)限驗(yàn)證及代理轉(zhuǎn)發(fā)模塊���、數(shù)據(jù)加密模塊等�。進(jìn)一步的�,所述安全代理服務(wù)器的基于USBkey的X. 509身份認(rèn)證及密鑰交換模 塊設(shè)有一個(gè)符合X.509標(biāo)準(zhǔn)的CA及目錄服務(wù)器用以簽發(fā)和發(fā)布各使用者的數(shù)字證 書(shū);系統(tǒng)中每個(gè)用戶使用基于USB接口的密鑰載體USBkey產(chǎn)生和保存?zhèn)€人的私人密 鑰以及數(shù)字證書(shū)����,在需要使用用戶的私人密鑰進(jìn)行身份鑒別和簽名時(shí),整個(gè)過(guò)程在 USBkey內(nèi)完成�。其私人密鑰一旦產(chǎn)生,就不可讀���、不可拆解、永不輸出的保存在 USBkey中�����,從物理上保證了私人密鑰的安全����,而USBkey則由PIN碼保護(hù)�。進(jìn)一步的���,所述OPC安全代理系統(tǒng)使用X. 509建議的三向鑒別實(shí)現(xiàn)用戶和安全 代理服務(wù)器之間的身份鑒別和會(huì)話密鑰交換�。進(jìn)一步的���,所述OPC安全代理系統(tǒng)在客戶端采用基于Windows平臺(tái)Winsock中 "服務(wù)提供者接口 (Service Provider Interface, SPI)"網(wǎng)絡(luò)封包截獲技術(shù)截獲 原0PC客戶端發(fā)往0PC服務(wù)器的請(qǐng)求��,并重定向至0PC安全代理服務(wù)器��,不用修改 原有OPC客戶端程序����,即可通過(guò)OPC安全代理服務(wù)器透明地安全訪問(wèn)原有生產(chǎn)系統(tǒng) OPC服務(wù)器���。進(jìn)一步的�����,所述OPC安全代理系統(tǒng)的所有請(qǐng)求必須通過(guò)OPC安全代理服務(wù)器轉(zhuǎn) 發(fā)����;在接收到客戶端轉(zhuǎn)發(fā)的OPC請(qǐng)求后����,OPC安全代理服務(wù)器對(duì)數(shù)據(jù)包解密并恢復(fù) 客戶端OPC請(qǐng)求�����,根據(jù)預(yù)設(shè)的訪問(wèn)權(quán)限與控制列表�,確定該客戶是否擁有相應(yīng)OPC 操作權(quán)限��,決定代理或丟棄該OPC請(qǐng)求�。本發(fā)明所提供的一種OPC安全代理系統(tǒng)的代理方法,流程為1) 開(kāi)始��;2) 建立訪問(wèn)規(guī)則列表3) 建立端口映射表��;4) 開(kāi)始在命令端口監(jiān)聽(tīng)����;5) 有新的連接請(qǐng)求?有則轉(zhuǎn)至6);否則轉(zhuǎn)至9);6) 采用^ 509協(xié)議判斷用戶是否為合法用戶��?是則轉(zhuǎn)至7);否則轉(zhuǎn)至8);7) 與客戶端完成密鑰交換���,并返回可訪問(wèn)資源列表給客戶端;轉(zhuǎn)至5);8) 拒絕連接�;轉(zhuǎn)至5);9) 有新的訪問(wèn)請(qǐng)求���?有則轉(zhuǎn)至10);否則轉(zhuǎn)至5);10) 是否為合法用戶?是則轉(zhuǎn)至12);否則轉(zhuǎn)至ll);11) 記錄并拒絕訪問(wèn)�����;轉(zhuǎn)至5);12) 解密數(shù)據(jù)包�;13) 是否有權(quán)限?是則轉(zhuǎn)至15);否則轉(zhuǎn)至14);14) 記錄并拒絕訪問(wèn)�;轉(zhuǎn)至5);15) 轉(zhuǎn)發(fā)給服務(wù)器;16) 等待服務(wù)器的響應(yīng)�;17) 響應(yīng)結(jié)果加密;18) 返回給客戶端�����;轉(zhuǎn)至5)�����。利用本發(fā)明提供的0PC安全代理系統(tǒng)及其代理方法�����,由于本發(fā)明使用基于USBkey的X.509安全身份認(rèn)證���、客戶端網(wǎng)絡(luò)封包截獲�、0PC請(qǐng)求重定向及數(shù)據(jù)加密、 0PC代理與權(quán)限分析等技術(shù)���,在不用修改原有0PC客戶端與0PC服務(wù)器端程序即可 保持生產(chǎn)系統(tǒng)內(nèi)外網(wǎng)間各種授權(quán)OPC透明訪問(wèn)的同時(shí)��,滿足較高的安全性隔離要求��。
圖1是現(xiàn)有技術(shù)中無(wú)0PC的控制訪問(wèn)模式框圖�����;圖2是現(xiàn)有技術(shù)中0PC控制訪問(wèn)模式框圖����;圖3是本發(fā)明實(shí)施例0PC安全代理系統(tǒng)構(gòu)架圖�����;圖4是本發(fā)明實(shí)施例OPC安全代理服務(wù)器的工作流程框圖��。
具體實(shí)施方式
以下結(jié)合
對(duì)本發(fā)明的實(shí)施例作進(jìn)一步詳細(xì)描述���,但本實(shí)施例并不用于 限制本發(fā)明���,凡是采用本發(fā)明的相似結(jié)構(gòu)及其相似變化,均應(yīng)列入本發(fā)明的保護(hù)范 圍�。如圖3所示,本發(fā)明實(shí)施例所提供的一種OPC安全代理系統(tǒng)�,包括0PC安全代 理服務(wù)器、多個(gè)分別連接OPC安全代理服務(wù)器的OPC客戶端和多個(gè)分別連接OPC安 全代理服務(wù)器的OPC服務(wù)器���;其中OPC安全代理服務(wù)器跨越企業(yè)內(nèi)具有不同安全性 要求的內(nèi)外網(wǎng)�,擔(dān)當(dāng)了一個(gè)安全網(wǎng)關(guān)的角色����,是整個(gè)系統(tǒng)的關(guān)鍵。該安全代理服務(wù) 器采用Linux操作系統(tǒng)平臺(tái)并經(jīng)過(guò)嚴(yán)格裁剪和重新編譯��,以確保系統(tǒng)不存在己知的 安全漏洞�����。整個(gè)安全代理服務(wù)器由互相連接的基于USBkey的X. 509身份認(rèn)證及密鑰 交換模塊��、OPC請(qǐng)求權(quán)限驗(yàn)證及代理轉(zhuǎn)發(fā)模塊���、數(shù)據(jù)加密模塊等組成��。如圖4所示�,本發(fā)明的OPC安全代理系統(tǒng)的代理方法,即服務(wù)器的工作流程為1) 開(kāi)始��;2) 建立訪問(wèn)規(guī)則列表��;3) 建立端口映射表���;4) 開(kāi)始在命令端口監(jiān)聽(tīng)����;5) 有新的連接請(qǐng)求�?有則轉(zhuǎn)至6);否則轉(zhuǎn)至9);6) 采用1 509協(xié)議判斷用戶是否為合法用戶?是則轉(zhuǎn)至7);否則轉(zhuǎn)至8);7) 與客戶端完成密鑰交換�,并返回可訪問(wèn)資源列表給客戶端;轉(zhuǎn)至5);8) 拒絕連接���;轉(zhuǎn)至5);9) 有新的訪問(wèn)請(qǐng)求�?有則轉(zhuǎn)至10);否則轉(zhuǎn)至5);10) 是否為合法用戶���?是則轉(zhuǎn)至12);否則轉(zhuǎn)至ll):11) 記錄并拒絕訪問(wèn)�����;轉(zhuǎn)至5);12) 解密數(shù)據(jù)包���;13) 是否有權(quán)限?是則轉(zhuǎn)至15);否則轉(zhuǎn)至14);14) 記錄并拒絕訪問(wèn)�����;轉(zhuǎn)至5);15) 轉(zhuǎn)發(fā)給服務(wù)器�����;16) 等待服務(wù)器的響應(yīng)����;17) 響應(yīng)結(jié)果加密;18) 返回給客戶端���;轉(zhuǎn)至5)�。本發(fā)明的0PC安全代理系統(tǒng)中�����,安全代理服務(wù)器設(shè)有基于USBkey的X. 509身份 認(rèn)證及密鑰交換模塊。用戶身份認(rèn)證是保證整個(gè)系統(tǒng)安全的關(guān)鍵����,其功能包括客戶 端對(duì)使用者的身份確認(rèn)及安全代理服務(wù)器對(duì)客戶端的身份認(rèn)證。本系統(tǒng)采用了基于 PKI體系結(jié)構(gòu)的X.509數(shù)字證書(shū)作為用戶認(rèn)證的標(biāo)識(shí)����。PKI (Public Key Infrastructure)是目前廣泛采用的基于公開(kāi)密鑰算法實(shí)現(xiàn)數(shù)字簽名、身份鑒別與 密鑰交換的基礎(chǔ)技術(shù)構(gòu)架�,通過(guò)X.509數(shù)字證書(shū)的頒發(fā)、鑒別����、更新、撤銷等行為 來(lái)管理��、鑒別網(wǎng)絡(luò)實(shí)體的身份��。在該體系結(jié)構(gòu)中��, 一個(gè)可信任的證書(shū)發(fā)布方CA對(duì)每 個(gè)人的身份以某種方式予以確認(rèn)����,并向其頒布符合X.509標(biāo)準(zhǔn)格式的數(shù)字證書(shū),證 書(shū)包含有該用戶的唯一標(biāo)識(shí)�����、公開(kāi)密鑰信息、序列號(hào)��、有效時(shí)間��、頒布者(即CA) 的標(biāo)識(shí)等要素�����,并由CA數(shù)字簽名�,以保證證書(shū)的完整性和可鑒別性���。證書(shū)保持在 CA的目錄服務(wù)器上可以由任何人查閱����,同時(shí)目錄上還保持一份證書(shū)撤銷表���,使CA 可以隨時(shí)應(yīng)要求而撤銷某張證書(shū)��。本發(fā)明的OPC安全代理系統(tǒng)建立了一個(gè)符合X. 509標(biāo)準(zhǔn)的CA及目錄服務(wù)器用以 簽發(fā)和發(fā)布各使用者的數(shù)字證書(shū)�����。為了保持系統(tǒng)的高安全性���,系統(tǒng)中每個(gè)用戶使用 基于USB接口的密鑰載體USBkey產(chǎn)生和保存?zhèn)€人的私人密鑰以及數(shù)字證書(shū)��,在需要 使用用戶的私人密鑰進(jìn)行身份鑒別和簽名時(shí)�,整個(gè)過(guò)程在USBkey內(nèi)完成��,其私人密鑰一旦產(chǎn)生�����,就不可讀��、不可拆解�、永不輸出的保存在USBkey中,從物理上保證了 私人密鑰的安全���,而USBkey則由PIN碼保護(hù)��。本發(fā)明的0PC安全代理系統(tǒng)使用X. 509建議的三向鑒別實(shí)現(xiàn)用戶和安全代理服 務(wù)器之間的身份鑒別和會(huì)話密鑰交換����。三向鑒別實(shí)現(xiàn)了客戶與安全代理服務(wù)器之間 相互的鑒別并且完成客戶與安全服務(wù)器之間本次會(huì)話所使用對(duì)稱密鑰的交換����,同時(shí) 可以避免由于鑒別雙方因時(shí)鐘誤差可能導(dǎo)致的中間人重放攻擊���。客戶端網(wǎng)絡(luò)封包截獲����、OPC請(qǐng)求重定向及數(shù)據(jù)加密本發(fā)明的0PC安全代理系統(tǒng)在客戶端采用基于Windows平臺(tái)Winsock中"服務(wù) 提供者接口 (Service Provider Interface, SPI)"網(wǎng)絡(luò)封包截獲技術(shù)截獲原OPC 客戶端發(fā)往OPC服務(wù)器的請(qǐng)求,并重定向至OPC安全代理服務(wù)器��,不用修改原有OPC 客戶端程序�,即可通過(guò)OPC安全代理服務(wù)器透明地安全訪問(wèn)原有生產(chǎn)系統(tǒng)OPC服務(wù) 器。為保證傳輸安全�,本發(fā)明可選三重DES或AES對(duì)稱加密算法��,采用密文反饋(CBC) 方式對(duì)所傳輸報(bào)文加密����,可以有效防止重放攻擊。OPC代理與權(quán)限分析為了隔離內(nèi)網(wǎng)和外網(wǎng)�,所有請(qǐng)求必須通過(guò)OPC安全代理服務(wù)器轉(zhuǎn)發(fā)。在接收到 客戶端轉(zhuǎn)發(fā)的OPC請(qǐng)求后�����,OPC安全代理服務(wù)器對(duì)數(shù)據(jù)包解密并恢復(fù)客戶端OPC請(qǐng) 求,根據(jù)預(yù)設(shè)的訪問(wèn)權(quán)限與控制列表��,確定該客戶是否擁有相應(yīng)OPC操作權(quán)限�����,決 定代理或丟棄該OPC請(qǐng)求�。如果為合法OPC請(qǐng)求,則由OPC代理模塊向目標(biāo)OPC服 務(wù)器代理發(fā)送該請(qǐng)求��,并按需要加密后向客戶端轉(zhuǎn)發(fā)應(yīng)答數(shù)據(jù)�。
權(quán)利要求
1. 一種OPC安全代理系統(tǒng),其特征在于�,包括OPC安全代理服務(wù)器、至少一個(gè)分別連接OPC安全代理服務(wù)器的OPC客戶端和至少一個(gè)分別連接OPC安全代理服務(wù)器的OPC服務(wù)器����;其中作為安全網(wǎng)關(guān),OPC安全代理服務(wù)器跨越用戶內(nèi)具有不同安全性要求的內(nèi)外網(wǎng)����;該安全代理服務(wù)器采用Linux操作系統(tǒng)平臺(tái);所述安全代理服務(wù)器包括互相連接的基于USBkey的X.509身份認(rèn)證及密鑰交換模塊���、OPC請(qǐng)求權(quán)限驗(yàn)證及代理轉(zhuǎn)發(fā)模塊��、數(shù)據(jù)加密模塊�����。
2�、 根據(jù)權(quán)利要求1所述的0PC安全代理系統(tǒng)��,其特征在于����,所述安全代理服務(wù) 器的基于USBkey的X. 509身份認(rèn)證及密鑰交換模塊設(shè)有一個(gè)符合X. 509標(biāo)準(zhǔn)的CA 及目錄服務(wù)器用以簽發(fā)和發(fā)布各使用者的數(shù)字證書(shū)����;系統(tǒng)中每個(gè)用戶使用基于USB 接口的密鑰載體USBkey產(chǎn)生和保存?zhèn)€人的私人密鑰以及數(shù)字證書(shū)�����,在需要使用用戶 的私人密鑰進(jìn)行身份鑒別和簽名時(shí)�����,整個(gè)過(guò)程在USBkey內(nèi)完成。
3�、 根據(jù)權(quán)利要求1所述的OPC安全代理系統(tǒng),其特征在于�,所述OPC安全代理 系統(tǒng)使用X.509建議的三向鑒別實(shí)現(xiàn)用戶和安全代理服務(wù)器之間的身份鑒別和會(huì)話 密鑰交換。
4����、 根據(jù)權(quán)利要求1所述的0PC安全代理系統(tǒng),其特征在于���,所述OPC安全代理 系統(tǒng)在客戶端采用基于Windows平臺(tái)Winsock中"服務(wù)提供者接口"網(wǎng)絡(luò)封包截獲 技術(shù)截獲原OPC客戶端發(fā)往0PC服務(wù)器的請(qǐng)求����,并重定向至OPC安全代理服務(wù)器�, 即能通過(guò)OPC安全代理服務(wù)器透明地安全訪問(wèn)原有生產(chǎn)系統(tǒng)OPC服務(wù)器。
5��、 根據(jù)權(quán)利要求1所述的0PC安全代理系統(tǒng)����,其特征在于,所述OPC安全代理 系統(tǒng)的所有請(qǐng)求必須通過(guò)OPC安全代理服務(wù)器轉(zhuǎn)發(fā)���;在接收到客戶端轉(zhuǎn)發(fā)的OPC請(qǐng) 求后����,OPC安全代理服務(wù)器對(duì)數(shù)據(jù)包解密并恢復(fù)客戶端OPC請(qǐng)求,根據(jù)預(yù)設(shè)的訪問(wèn) 權(quán)限與控制列表���,確定該客戶是否擁有相應(yīng)OPC操作權(quán)限�����,決定代理或丟棄該OPC 請(qǐng)求���。6、 一種權(quán)利要求l所述的OPC安全代理系統(tǒng)的代理方法����,其特征在于��,方法的流程包括1) 開(kāi)始;2) 建立訪問(wèn)規(guī)則列表;3) 建立端口映射表����;4) 開(kāi)始在命令端口監(jiān)聽(tīng);5) 有新的連接請(qǐng)求�����?有則轉(zhuǎn)至6);否則轉(zhuǎn)至9);6) 是否為合法用戶����?是則轉(zhuǎn)至7);否則轉(zhuǎn)至8);7) 登記并返回可訪問(wèn)資源列表;轉(zhuǎn)至5);8) 拒絕連接��;轉(zhuǎn)至5);9) 有新的訪問(wèn)請(qǐng)求��?有則轉(zhuǎn)至10);否則轉(zhuǎn)至5);10) 是否為合法用戶��?是則轉(zhuǎn)至12);否則轉(zhuǎn)至ll);11) 記錄并拒絕訪問(wèn)����;轉(zhuǎn)至5);12) 解密數(shù)據(jù)包13) 是否有權(quán)限?是則轉(zhuǎn)至15);否則轉(zhuǎn)至14);14) 記錄并拒絕訪問(wèn)�;轉(zhuǎn)至5);15) 轉(zhuǎn)發(fā)給服務(wù)器;16) 等待服務(wù)器的響應(yīng)��;17) 響應(yīng)結(jié)果加密;18) 返回給客戶端����;轉(zhuǎn)至5)。
全文摘要
本發(fā)明公開(kāi)一種OPC安全代理系統(tǒng)及其代理方法�,涉及信息系統(tǒng)安全技術(shù)領(lǐng)域;所要解決的是OPC系統(tǒng)安全性的技術(shù)問(wèn)題���;該OPC安全代理系統(tǒng)��,包括OPC安全代理服務(wù)器�����、至少一個(gè)分別連接OPC安全代理服務(wù)器的OPC客戶端和至少一個(gè)分別連接OPC安全代理服務(wù)器的OPC服務(wù)器���;其中作為安全網(wǎng)關(guān),OPC安全代理服務(wù)器跨越用戶內(nèi)部具有不同安全性要求的內(nèi)外網(wǎng)�����;該安全代理服務(wù)器采用Linux操作系統(tǒng)平臺(tái)���;所述安全代理服務(wù)器包括互相連接的基于USBkey的X.509身份認(rèn)證及密鑰交換模塊����、OPC請(qǐng)求權(quán)限驗(yàn)證及代理轉(zhuǎn)發(fā)模塊����、數(shù)據(jù)加密模塊。本發(fā)明公開(kāi)具有能保持生產(chǎn)系統(tǒng)內(nèi)外網(wǎng)間各種授權(quán)OPC透明訪問(wèn)的同時(shí)�,滿足較高的安全性隔離要求的特點(diǎn)。
文檔編號(hào)H04L29/06GK101247391SQ20071017348
公開(kāi)日2008年8月20日 申請(qǐng)日期2007年12月28日 優(yōu)先權(quán)日2007年12月28日
發(fā)明者何光營(yíng), 何鵬飛, 魏國(guó)強(qiáng) 申請(qǐng)人:上海電力學(xué)院