專利名稱:Opc安全代理系統及其代理方法
技術領域:
本發明涉及信息系統安全技術,特別是涉及一種能滿足較高的安全性隔離要求的0PC安全代理系統及其代理方法的技術。
背景技術:
OPC規范概述在電力系統控制領域,各種現場總線控制系統正在日益發揮著重要的作用。然 而,由于可用于電力系統控制的現場總線系統種類繁多,其訪問方式與接口均各不 相同,致使電力控制各應用系統日益復雜,任何應用需要訪問任一種現場總線系統 都必須要按照該現場總線系統的規范開發一整套底層的驅動及通信模塊,其控制模 式如圖1所示。對這樣的控制方式,各控制系統的軟硬件升級與維護都非常不便。為此,0PC (OLE for Process Control )基金會提出了 0PC標準體系,該標準體系基于Microsoft 的0LE/C0M/DC0M技術為基礎,釆用客戶/服務器模式,基于Windows的客戶端可以 通過標準的OPC接口訪問位于各控制系統的OPC服務器接口。采用這種模式,各現 場控制系統廠商只需要開發一個標準的OPC服務器接口,即可屏蔽各種復雜的控制 系統底層差異,為客戶端提供統一的服務接口,而客戶端通過標準的OPC接口就可 以實現對異種控制系統的訪問。OPC提供了一系列的規范,在具體的實現過程中,用戶可以根據需要使用相應的規范。其中數據訪問規范提供給用戶訪問實時過程數據的方法;報警和事件規范提供了一種由服務器程序將現場的事件或報警通知客戶 程序的機制;歷史數據存取規范用來提供用戶存儲的過程數據存檔文件、數據庫或遠程終端設備中的歷史以及分析這些歷史過程數據的方法。0PC規范很好的解決了 客戶端對異種控制系統的訪問,在電力系統得到了廣泛的應用。其控制訪問模式如 圖2所示。在電力生產系統環境中,現場總線控制系統(0PC服務器端) 一般位于生產內網 中,有很高的安全性要求,而部分OPC客戶端系統則可能需要位于生產管理層外網, 該網可能與外網相通。現有的OPC標準體系對跨接在兩個安全性要求不同的網間運 行并沒有完整的安全性措施,此類應用將產生很大的安全性隱患。二、現有技術解決方案及缺陷為解決在安全性要求不同的內外網間在保證安全的情況下保持適當的信息互通 要求,目前的常規做法是使用防火墻或隔離網閘。通用的防火墻只實現對TCP連接 會話的控制,不提供強安全性的用戶認證手段, 一般只用于兩個不同網絡邊界之間 的訪問控制。隔離網閘可以切斷內外網的TCP/IP連接,提供很強的安全性隔離,但 目前的隔離網閘都只提供諸如Web訪問、FTP文件傳輸、電子郵件收發等通用的網 絡服務, 一般少有提供強安全用戶認證手段,目前尚未見到有支持OPC協議的隔離 網閘。發明內容針對上述現有技術中存在的缺陷,本發明所要解決的技術問題是提供一種能保 持生產系統內外網間各種授權OPC透明訪問的同時,滿足較高的安全性隔離要求的, 具有安全網關功能的0PC安全代理系統及其代理方法。為了解決上述技術問題,本發明所提供的一種0PC安全代理系統,其特征在于, 包括0PC安全代理服務器、至少一個分別連接0PC安全代理服務器的0PC客戶端和 至少一個分別連接0PC安全代理服務器的0PC服務器;其中作為安全網關,0PC安 全代理服務器跨越用戶內部具有不同安全性要求的內外網;是整個系統的關鍵;該安全代理服務器采用Linux操作系統平臺并經過嚴格裁剪和重新編譯,以確保系統 不存在已知的安全漏洞;所述安全代理服務器包括互相連接的基于USBkey的X. 509 身份認證及密鑰交換模塊、OPC請求權限驗證及代理轉發模塊、數據加密模塊等。進一步的,所述安全代理服務器的基于USBkey的X. 509身份認證及密鑰交換模 塊設有一個符合X.509標準的CA及目錄服務器用以簽發和發布各使用者的數字證 書;系統中每個用戶使用基于USB接口的密鑰載體USBkey產生和保存個人的私人密 鑰以及數字證書,在需要使用用戶的私人密鑰進行身份鑒別和簽名時,整個過程在 USBkey內完成。其私人密鑰一旦產生,就不可讀、不可拆解、永不輸出的保存在 USBkey中,從物理上保證了私人密鑰的安全,而USBkey則由PIN碼保護。進一步的,所述OPC安全代理系統使用X. 509建議的三向鑒別實現用戶和安全 代理服務器之間的身份鑒別和會話密鑰交換。進一步的,所述OPC安全代理系統在客戶端采用基于Windows平臺Winsock中 "服務提供者接口 (Service Provider Interface, SPI)"網絡封包截獲技術截獲 原0PC客戶端發往0PC服務器的請求,并重定向至0PC安全代理服務器,不用修改 原有OPC客戶端程序,即可通過OPC安全代理服務器透明地安全訪問原有生產系統 OPC服務器。進一步的,所述OPC安全代理系統的所有請求必須通過OPC安全代理服務器轉 發;在接收到客戶端轉發的OPC請求后,OPC安全代理服務器對數據包解密并恢復 客戶端OPC請求,根據預設的訪問權限與控制列表,確定該客戶是否擁有相應OPC 操作權限,決定代理或丟棄該OPC請求。本發明所提供的一種OPC安全代理系統的代理方法,流程為1) 開始;2) 建立訪問規則列表3) 建立端口映射表;4) 開始在命令端口監聽;5) 有新的連接請求?有則轉至6);否則轉至9);6) 采用^ 509協議判斷用戶是否為合法用戶?是則轉至7);否則轉至8);7) 與客戶端完成密鑰交換,并返回可訪問資源列表給客戶端;轉至5);8) 拒絕連接;轉至5);9) 有新的訪問請求?有則轉至10);否則轉至5);10) 是否為合法用戶?是則轉至12);否則轉至ll);11) 記錄并拒絕訪問;轉至5);12) 解密數據包;13) 是否有權限?是則轉至15);否則轉至14);14) 記錄并拒絕訪問;轉至5);15) 轉發給服務器;16) 等待服務器的響應;17) 響應結果加密;18) 返回給客戶端;轉至5)。利用本發明提供的0PC安全代理系統及其代理方法,由于本發明使用基于USBkey的X.509安全身份認證、客戶端網絡封包截獲、0PC請求重定向及數據加密、 0PC代理與權限分析等技術,在不用修改原有0PC客戶端與0PC服務器端程序即可 保持生產系統內外網間各種授權OPC透明訪問的同時,滿足較高的安全性隔離要求。
圖1是現有技術中無0PC的控制訪問模式框圖;圖2是現有技術中0PC控制訪問模式框圖;圖3是本發明實施例0PC安全代理系統構架圖;圖4是本發明實施例OPC安全代理服務器的工作流程框圖。
具體實施方式
以下結合
對本發明的實施例作進一步詳細描述,但本實施例并不用于 限制本發明,凡是采用本發明的相似結構及其相似變化,均應列入本發明的保護范 圍。如圖3所示,本發明實施例所提供的一種OPC安全代理系統,包括0PC安全代 理服務器、多個分別連接OPC安全代理服務器的OPC客戶端和多個分別連接OPC安 全代理服務器的OPC服務器;其中OPC安全代理服務器跨越企業內具有不同安全性 要求的內外網,擔當了一個安全網關的角色,是整個系統的關鍵。該安全代理服務 器采用Linux操作系統平臺并經過嚴格裁剪和重新編譯,以確保系統不存在己知的 安全漏洞。整個安全代理服務器由互相連接的基于USBkey的X. 509身份認證及密鑰 交換模塊、OPC請求權限驗證及代理轉發模塊、數據加密模塊等組成。如圖4所示,本發明的OPC安全代理系統的代理方法,即服務器的工作流程為1) 開始;2) 建立訪問規則列表;3) 建立端口映射表;4) 開始在命令端口監聽;5) 有新的連接請求?有則轉至6);否則轉至9);6) 采用1 509協議判斷用戶是否為合法用戶?是則轉至7);否則轉至8);7) 與客戶端完成密鑰交換,并返回可訪問資源列表給客戶端;轉至5);8) 拒絕連接;轉至5);9) 有新的訪問請求?有則轉至10);否則轉至5);10) 是否為合法用戶?是則轉至12);否則轉至ll):11) 記錄并拒絕訪問;轉至5);12) 解密數據包;13) 是否有權限?是則轉至15);否則轉至14);14) 記錄并拒絕訪問;轉至5);15) 轉發給服務器;16) 等待服務器的響應;17) 響應結果加密;18) 返回給客戶端;轉至5)。本發明的0PC安全代理系統中,安全代理服務器設有基于USBkey的X. 509身份 認證及密鑰交換模塊。用戶身份認證是保證整個系統安全的關鍵,其功能包括客戶 端對使用者的身份確認及安全代理服務器對客戶端的身份認證。本系統采用了基于 PKI體系結構的X.509數字證書作為用戶認證的標識。PKI (Public Key Infrastructure)是目前廣泛采用的基于公開密鑰算法實現數字簽名、身份鑒別與 密鑰交換的基礎技術構架,通過X.509數字證書的頒發、鑒別、更新、撤銷等行為 來管理、鑒別網絡實體的身份。在該體系結構中, 一個可信任的證書發布方CA對每 個人的身份以某種方式予以確認,并向其頒布符合X.509標準格式的數字證書,證 書包含有該用戶的唯一標識、公開密鑰信息、序列號、有效時間、頒布者(即CA) 的標識等要素,并由CA數字簽名,以保證證書的完整性和可鑒別性。證書保持在 CA的目錄服務器上可以由任何人查閱,同時目錄上還保持一份證書撤銷表,使CA 可以隨時應要求而撤銷某張證書。本發明的OPC安全代理系統建立了一個符合X. 509標準的CA及目錄服務器用以 簽發和發布各使用者的數字證書。為了保持系統的高安全性,系統中每個用戶使用 基于USB接口的密鑰載體USBkey產生和保存個人的私人密鑰以及數字證書,在需要 使用用戶的私人密鑰進行身份鑒別和簽名時,整個過程在USBkey內完成,其私人密鑰一旦產生,就不可讀、不可拆解、永不輸出的保存在USBkey中,從物理上保證了 私人密鑰的安全,而USBkey則由PIN碼保護。本發明的0PC安全代理系統使用X. 509建議的三向鑒別實現用戶和安全代理服 務器之間的身份鑒別和會話密鑰交換。三向鑒別實現了客戶與安全代理服務器之間 相互的鑒別并且完成客戶與安全服務器之間本次會話所使用對稱密鑰的交換,同時 可以避免由于鑒別雙方因時鐘誤差可能導致的中間人重放攻擊。客戶端網絡封包截獲、OPC請求重定向及數據加密本發明的0PC安全代理系統在客戶端采用基于Windows平臺Winsock中"服務 提供者接口 (Service Provider Interface, SPI)"網絡封包截獲技術截獲原OPC 客戶端發往OPC服務器的請求,并重定向至OPC安全代理服務器,不用修改原有OPC 客戶端程序,即可通過OPC安全代理服務器透明地安全訪問原有生產系統OPC服務 器。為保證傳輸安全,本發明可選三重DES或AES對稱加密算法,采用密文反饋(CBC) 方式對所傳輸報文加密,可以有效防止重放攻擊。OPC代理與權限分析為了隔離內網和外網,所有請求必須通過OPC安全代理服務器轉發。在接收到 客戶端轉發的OPC請求后,OPC安全代理服務器對數據包解密并恢復客戶端OPC請 求,根據預設的訪問權限與控制列表,確定該客戶是否擁有相應OPC操作權限,決 定代理或丟棄該OPC請求。如果為合法OPC請求,則由OPC代理模塊向目標OPC服 務器代理發送該請求,并按需要加密后向客戶端轉發應答數據。
權利要求
1. 一種OPC安全代理系統,其特征在于,包括OPC安全代理服務器、至少一個分別連接OPC安全代理服務器的OPC客戶端和至少一個分別連接OPC安全代理服務器的OPC服務器;其中作為安全網關,OPC安全代理服務器跨越用戶內具有不同安全性要求的內外網;該安全代理服務器采用Linux操作系統平臺;所述安全代理服務器包括互相連接的基于USBkey的X.509身份認證及密鑰交換模塊、OPC請求權限驗證及代理轉發模塊、數據加密模塊。
2、 根據權利要求1所述的0PC安全代理系統,其特征在于,所述安全代理服務 器的基于USBkey的X. 509身份認證及密鑰交換模塊設有一個符合X. 509標準的CA 及目錄服務器用以簽發和發布各使用者的數字證書;系統中每個用戶使用基于USB 接口的密鑰載體USBkey產生和保存個人的私人密鑰以及數字證書,在需要使用用戶 的私人密鑰進行身份鑒別和簽名時,整個過程在USBkey內完成。
3、 根據權利要求1所述的OPC安全代理系統,其特征在于,所述OPC安全代理 系統使用X.509建議的三向鑒別實現用戶和安全代理服務器之間的身份鑒別和會話 密鑰交換。
4、 根據權利要求1所述的0PC安全代理系統,其特征在于,所述OPC安全代理 系統在客戶端采用基于Windows平臺Winsock中"服務提供者接口"網絡封包截獲 技術截獲原OPC客戶端發往0PC服務器的請求,并重定向至OPC安全代理服務器, 即能通過OPC安全代理服務器透明地安全訪問原有生產系統OPC服務器。
5、 根據權利要求1所述的0PC安全代理系統,其特征在于,所述OPC安全代理 系統的所有請求必須通過OPC安全代理服務器轉發;在接收到客戶端轉發的OPC請 求后,OPC安全代理服務器對數據包解密并恢復客戶端OPC請求,根據預設的訪問 權限與控制列表,確定該客戶是否擁有相應OPC操作權限,決定代理或丟棄該OPC 請求。6、 一種權利要求l所述的OPC安全代理系統的代理方法,其特征在于,方法的流程包括1) 開始;2) 建立訪問規則列表;3) 建立端口映射表;4) 開始在命令端口監聽;5) 有新的連接請求?有則轉至6);否則轉至9);6) 是否為合法用戶?是則轉至7);否則轉至8);7) 登記并返回可訪問資源列表;轉至5);8) 拒絕連接;轉至5);9) 有新的訪問請求?有則轉至10);否則轉至5);10) 是否為合法用戶?是則轉至12);否則轉至ll);11) 記錄并拒絕訪問;轉至5);12) 解密數據包13) 是否有權限?是則轉至15);否則轉至14);14) 記錄并拒絕訪問;轉至5);15) 轉發給服務器;16) 等待服務器的響應;17) 響應結果加密;18) 返回給客戶端;轉至5)。
全文摘要
本發明公開一種OPC安全代理系統及其代理方法,涉及信息系統安全技術領域;所要解決的是OPC系統安全性的技術問題;該OPC安全代理系統,包括OPC安全代理服務器、至少一個分別連接OPC安全代理服務器的OPC客戶端和至少一個分別連接OPC安全代理服務器的OPC服務器;其中作為安全網關,OPC安全代理服務器跨越用戶內部具有不同安全性要求的內外網;該安全代理服務器采用Linux操作系統平臺;所述安全代理服務器包括互相連接的基于USBkey的X.509身份認證及密鑰交換模塊、OPC請求權限驗證及代理轉發模塊、數據加密模塊。本發明公開具有能保持生產系統內外網間各種授權OPC透明訪問的同時,滿足較高的安全性隔離要求的特點。
文檔編號H04L29/06GK101247391SQ20071017348
公開日2008年8月20日 申請日期2007年12月28日 優先權日2007年12月28日
發明者何光營, 何鵬飛, 魏國強 申請人:上海電力學院