[发明专利]OPC安全代理系统及其代理方法

权利要求书

1. 一种OPC安全代理系统，其特征在于，包括OPC安全代理服务器、至少一个分别连接OPC安全代理服务器的OPC客户端和至少一个分别连接OPC安全代理服务器的OPC服务器；其中作为安全网关，OPC安全代理服务器跨越用户内具有不同安全性要求的内外网；该安全代理服务器采用Linux操作系统平台；所述安全代理服务器包括互相连接的基于USBkey的X.509身份认证及密钥交换模块、OPC请求权限验证及代理转发模块、数据加密模块。

2. 根据权利要求1所述的OPC安全代理系统，其特征在于，所述安全代理服务器的基于USBkey的X.509身份认证及密钥交换模块设有一个符合X.509标准的CA及目录服务器用以签发和发布各使用者的数字证书；系统中每个用户使用基于USB接口的密钥载体USBkey产生和保存个人的私人密钥以及数字证书，在需要使用用户的私人密钥进行身份鉴别和签名时，整个过程在USBkey内完成。

3. 根据权利要求1所述的OPC安全代理系统，其特征在于，所述OPC安全代理系统使用X.509建议的三向鉴别实现用户和安全代理服务器之间的身份鉴别和会话密钥交换。

4. 根据权利要求1所述的OPC安全代理系统，其特征在于，所述OPC安全代理系统在客户端采用基于Windows平台Winsock中“服务提供者接口”网络封包截获技术截获原OPC客户端发往OPC服务器的请求，并重定向至OPC安全代理服务器，即能通过OPC安全代理服务器透明地安全访问原有生产系统OPC服务器。

5. 根据权利要求1所述的OPC安全代理系统，其特征在于，所述OPC安全代理系统的所有请求必须通过OPC安全代理服务器转发；在接收到客户端转发的OPC请求后，OPC安全代理服务器对数据包解密并恢复客户端OPC请求，根据预设的访问权限与控制列表，确定该客户是否拥有相应OPC操作权限，决定代理或丢弃该OPC请求。

6. 一种权利要求1所述的OPC安全代理系统的代理方法，其特征在于，方法的流程包括：

1)开始；

2)建立访问规则列表；

3)建立端口映射表；

4)开始在命令端口监听；

5)有新的连接请求？有则转至6)；否则转至9)；

6)是否为合法用户？是则转至7)；否则转至8)；

7)登记并返回可访问资源列表；转至5)；

8)拒绝连接；转至5)；

9)有新的访问请求？有则转至10)；否则转至5)；

10)是否为合法用户？是则转至12)；否则转至11)；

11)记录并拒绝访问；转至5)；

12)解密数据包；

13)是否有权限？是则转至15)；否则转至14)；

14)记录并拒绝访问；转至5)；

15)转发给服务器；

16)等待服务器的响应；

17)响应结果加密；

18)返回给客户端；转至5)。