專利名稱:一種工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)控制技術(shù)�����。
背景技術(shù):
隨著工業(yè)自動化控制的迅速發(fā)展�,愈來愈多的工業(yè)企業(yè)使用其內(nèi)部(或?qū)S?網(wǎng)絡(luò)將其生產(chǎn)過程專用設(shè)備或工業(yè)智能設(shè)備(Intelligent Electric Device - IED)互聯(lián)在一起,形成生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)�。這種工業(yè)企業(yè)用內(nèi)部(或?qū)S?網(wǎng)絡(luò)稱之為工業(yè)互聯(lián)網(wǎng)�。大型企業(yè),如電力公司�����、油氣輸送企業(yè)���、以礦產(chǎn)資源勘查和開發(fā)為主的大型礦業(yè)集團����,其控股公司往往分布在全國乃至全球各地��,僅使用內(nèi)部網(wǎng)絡(luò)無法滿足其信息交互需求�����。 隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,工業(yè)互聯(lián)網(wǎng)不再局限于一個場站或一個城市����,利用已有公眾網(wǎng)絡(luò) (萬維互聯(lián)網(wǎng))的硬件和軟件設(shè)施,將兩個或更多個工業(yè)互聯(lián)網(wǎng)進行通訊連接��,使得一個中心控制系統(tǒng)能對所有個子生產(chǎn)控制系統(tǒng)進行監(jiān)督和控制����,也使得多個子生產(chǎn)控制系統(tǒng)之間能相互通訊,形成一個更大的工業(yè)互聯(lián)網(wǎng)�����,對其資源進行更優(yōu)化控制和使用��。并且�����,為了提高系統(tǒng)運行效率����、均衡負載���,提高系統(tǒng)穩(wěn)健性,工業(yè)互聯(lián)網(wǎng)通常使用分布式系統(tǒng)���,提供分布式數(shù)據(jù)庫��、分布式服務(wù)等��,由工業(yè)互聯(lián)網(wǎng)中不同的服務(wù)器分別進行信息采集��、數(shù)據(jù)存儲����、信息處理�����、傳輸��、提供服務(wù)等����。工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)是一個一體化的系統(tǒng)�,在整個系統(tǒng)中要有一個全局的操作系統(tǒng)(即分布式操作系統(tǒng))�,它負責(zé)全系統(tǒng)(包括每臺計算機)的資源分配和調(diào)度��、任務(wù)劃分�、信息傳輸、控制協(xié)調(diào)等工作�,并為用戶提供一個統(tǒng)一的界面、標(biāo)準的接口����。這個分布式操作系統(tǒng)一般位于工業(yè)互聯(lián)網(wǎng)的中心控制系統(tǒng)。有了分布式操作系統(tǒng)��,用戶通過統(tǒng)一界面實現(xiàn)所需操作和使用系統(tǒng)資源�����,至于操作是在哪個計算機上執(zhí)行的或使用的是哪個計算機的資源則是系統(tǒng)的事��,用戶是無須了解����,也就是說系統(tǒng)對用戶是透明的。由于工業(yè)互聯(lián)網(wǎng)中傳輸?shù)男畔⒕鶠楣I(yè)內(nèi)部信息����,提供的服務(wù)為內(nèi)部服務(wù)����,因此對信息的安全性和保密性有極高要求�。為了確保安全性,在工業(yè)互聯(lián)網(wǎng)中�����,在獲取服務(wù)或數(shù)據(jù)�����、信息之前�����,用戶��、客戶端及應(yīng)用進程均需要進行相應(yīng)的身份認證�。認證的實質(zhì)就是證實被認證對象是否屬實和是否有效的過程。一般采用密碼技術(shù),使用數(shù)字證書驗證被認證對象�,達到確認被認證對象是否真實��、有效的目的����。只有在通過身份識別和鑒別后���,才利用其所請求服務(wù)所在的IP地址來建立虛擬通道(VPN),通過VPN連接到提供對應(yīng)服務(wù)的服務(wù)器�����,獲取相應(yīng)服務(wù)����、數(shù)據(jù)、信息等���。VPN即虛擬專用網(wǎng)�,是通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的�����、安全的連接�����,是一條穿過混亂的公用網(wǎng)絡(luò)的安全�、穩(wěn)定的隧道��。然而����,對于工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)�����,僅對用戶����、客戶端和應(yīng)用進程進行身份認證, 其安全等級對于要求高保密性的工業(yè)互聯(lián)網(wǎng)而言是不夠的��。并且���,僅利用IP地址建立VPN 來保障通信安全的方式對于分布式系統(tǒng)而言同樣是不夠的����。對于現(xiàn)有的工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)而言����,迫切需要一個適用于分布式系統(tǒng)��、能夠保障數(shù)據(jù)的安全需求(即數(shù)據(jù)的機密性、 完整性以及不可否認性)的網(wǎng)絡(luò)遠程通訊服務(wù)裝置��。發(fā)明內(nèi)容本實用新型主要解決的技術(shù)問題是提供一種工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置�,使得在采用分布式技術(shù)的工業(yè)互聯(lián)網(wǎng)的安全性得到保障的同時,滿足工業(yè)互聯(lián)網(wǎng)在分布式環(huán)境下的資源定位需求����。為了解決上述技術(shù)問題,本實用新型提供了一種工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置�����,包含網(wǎng)絡(luò)通訊端口�����,通過內(nèi)部專網(wǎng)或公共網(wǎng)絡(luò)與所述工業(yè)互聯(lián)網(wǎng)中服務(wù)器或客戶端相連�,還包含一對用戶和服務(wù)器的身份及訪問操作權(quán)限進行認證的認證授權(quán)模塊,一對用戶或服務(wù)器的訪問操作進行審計的審計模塊�����,一對用戶或服務(wù)器訪問操作的對象資源進行存儲位置定位控制的資源定位模塊����;所述認證授權(quán)模塊�����、審計模塊和資源定位模塊均與所述網(wǎng)絡(luò)通訊端口相連��;所述認證授權(quán)模塊通過所述網(wǎng)絡(luò)通訊端口接收來自用戶客戶端或服務(wù)器的身份認證信息�����,完成身份及訪問操作權(quán)限的認證和授權(quán)��;所述審計模塊通過所述網(wǎng)絡(luò)通信端口接收來自用戶客戶端或服務(wù)器的訪問操作信息�����,完成對所述訪問操作的審計�����;所述資源定位模塊與所述審計模塊相連����,從所述審計模塊獲取所述訪問操作信息是否通過審計的信息�,完成對通過審計的訪問操作的對象資源的存儲位置的定位�。作為上述技術(shù)方案的改進�����,該裝置還可以包含一對數(shù)字證書進行基本管理操作的證書授權(quán)中心和一證書庫���,所述基本管理操作至少包括證書頒發(fā)、索引�、存儲和吊銷;所述證書授權(quán)中心與所述認證授權(quán)模塊相連����,所述證書庫分別與所述證書授權(quán)中心和所述認證授權(quán)模塊相連,所述證書授權(quán)中心為用戶頒發(fā)證書過程中����,通過所述認證授權(quán)模塊為用戶分配角色和權(quán)限,所述證書授權(quán)中心為該用戶頒發(fā)包含角色信息的數(shù)字證書���,并將該數(shù)字證書保存在證書庫����;所述認證授權(quán)模塊從所述證書庫獲取用戶的數(shù)字證書����, 完成對用戶身份及訪問操作權(quán)限的認證���。作為上述技術(shù)方案的改進,該裝置還可以包含一資源管理模塊����,與所述資源定位模塊相連,管理與維護系統(tǒng)全局的組件資源庫����、配置資源模板庫、公共信息模型CIM模式描述文件和CIM模型語義模型庫��。作為上述技術(shù)方案的改進�,該裝置還可以包含一保存不同角色的用戶對應(yīng)的權(quán)限信息的權(quán)限數(shù)據(jù)庫,與所述認證授權(quán)模塊相連�;所述認證授權(quán)模塊在驗證數(shù)字證書有效性的情況下,根據(jù)數(shù)字證書中的用戶名信息和角色信息關(guān)聯(lián)所述權(quán)限數(shù)據(jù)庫�,獲取該用戶的權(quán)限,完成對該用戶權(quán)限的認證�����。作為上述技術(shù)方案的改進��,所述資源定位模塊還可以進一步包含記錄服務(wù)器在線資源部署信息的子模塊;實現(xiàn)服務(wù)-資源-存儲位置動態(tài)綁定的子模塊�。本實用新型實施方式與現(xiàn)有技術(shù)相比,主要區(qū)別及其效果在于為工業(yè)互聯(lián)網(wǎng)設(shè)置一個適合分布式環(huán)境的遠程通訊服務(wù)裝置���,在該裝置中集合對用戶及服務(wù)器的身份及訪問操作權(quán)限進行認證和授權(quán)的模塊,對用戶或服務(wù)器的訪問操作進行審計的模塊�,對用戶及服務(wù)器訪問的對象資源進行統(tǒng)一資源定位的模塊。有效確保接入工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)并獲取信息/服務(wù)的用戶或服務(wù)器身份的安全性��、權(quán)限有效性�。并且,使得工業(yè)互聯(lián)網(wǎng)中用戶及服務(wù)器無需獲知所需對象資源的實際存儲位置���,只需通過分布式系統(tǒng)統(tǒng)一的資源定位平臺�,即可定位到對應(yīng)的服務(wù)器��,獲取所需的對象資源��,實現(xiàn)快速���、方便��,滿足分布式環(huán)境下的需求�����。
以下結(jié)合附圖和具體實施方式
對本實用新型作進一步詳細說明�����。
圖1是本實用新型一較佳實施方式中遠程通訊服務(wù)裝置與分布式系統(tǒng)中服務(wù)器/ 客戶端連接結(jié)構(gòu)示意圖���;圖2是本實用新型一較佳實施方式工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置結(jié)構(gòu)圖����。
具體實施方式
為使本實用新型的目的�����、技術(shù)方案和優(yōu)點更加清楚��,下面將結(jié)合附圖對本實用新型的實施方式作進一步地詳細描述�。本實用新型一較佳實施方式涉及一種工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置, 作為工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)的安全控制機構(gòu)和分布式平臺�����,其包含網(wǎng)絡(luò)通訊端口��,通過專用網(wǎng)絡(luò)(內(nèi)部網(wǎng)絡(luò))或公共網(wǎng)絡(luò)與工業(yè)互聯(lián)網(wǎng)中所有服務(wù)器及客戶端直接或間接連接。這些服務(wù)器可以在工業(yè)互聯(lián)網(wǎng)的不同區(qū)域��,實現(xiàn)不同的服務(wù)��、操作等��,如各服務(wù)器可以分布在不同區(qū)域的一級主站���、二級主站、甚至子站��?���?蛻舳丝梢栽谌魏螀^(qū)域通過網(wǎng)絡(luò)連接到該裝置, 如圖1所示�。本實施方式中,客戶端通過該裝置實現(xiàn)身份認證�����,登錄分布式系統(tǒng)�����,確定自身權(quán)限,定位所需訪問操作的對象資源(權(quán)限范圍內(nèi)的)��,最終在權(quán)限范圍內(nèi)獲取所需服務(wù)�����。服務(wù)器通過該裝置實現(xiàn)身份認證����,登錄分布式系統(tǒng),確定自身權(quán)限�����,通過該裝置定位并在權(quán)限范圍內(nèi)獲取所需的對象資源��,在權(quán)限范圍內(nèi)為用戶提供服務(wù)等�����。并且����,該遠程通訊服務(wù)裝置除了對客戶端和服務(wù)器的身份和權(quán)限進行認證授權(quán)外,還在用戶和服務(wù)器完成資源定位、連接到所定位的服務(wù)器后����,進一步對用戶及服務(wù)器的每個操作進行審計,確保其所執(zhí)行的操作所獲取的服務(wù)均在其權(quán)限范圍內(nèi)���。通過多方位的多重認證審計機制��,確保工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)的安全性和穩(wěn)定性���。具體地說,本實施方式的遠程通訊服務(wù)裝置主要包含一對用戶和服務(wù)器的身份及訪問操作權(quán)限進行認證的認證授權(quán)模塊�����,一對用戶或服務(wù)器的訪問操作進行審計的審計模塊���,一對用戶或服務(wù)器訪問操作的對象資源進行存儲位置定位控制的資源定位模塊。認證授權(quán)模塊�����、審計模塊和資源定位模塊均與網(wǎng)絡(luò)通訊端口相連��;認證授權(quán)模塊通過網(wǎng)絡(luò)通訊端口接收來自用戶客戶端或服務(wù)器的身份認證信息���,完成身份及訪問操作權(quán)限的認證和授權(quán)��;審計模塊通過網(wǎng)絡(luò)通信端口接收來自用戶客戶端或服務(wù)器的訪問操作信息��,完成對訪問操作的審計��;資源定位模塊與審計模塊相連��,從審計模塊獲取訪問操作信息是否通過審計的信息����,完成對通過審計的訪問操作的對象資源的存儲位置的定位。在具體實施中���,審計模塊一般與認證授權(quán)模塊相連����,審計模塊可以調(diào)用認證授權(quán)模塊����,完成對執(zhí)行該訪問操作的客戶端/服務(wù)器的身份及權(quán)限的認證,確定訪問操作是否合法�����;也可以直接對客戶端/服務(wù)器的身份及權(quán)限進行認證,確定訪問操作是否合法�����。作為上述技術(shù)方案的改進�,該裝置還可以包含一對數(shù)字證書進行基本管理操作的證書授權(quán)中心和一證書庫,基本管理操作至少包括證書頒發(fā)����、索引、存儲和吊銷�。證書授權(quán)中心與認證授權(quán)模塊相連,證書庫分別與證書授權(quán)中心和認證授權(quán)模塊相連�����,證書授權(quán)中心為用戶頒發(fā)證書過程中���,通過認證授權(quán)模塊為用戶分配角色和權(quán)限,證書授權(quán)中心為該用戶頒發(fā)包含角色信息的數(shù)字證書���,并將該數(shù)字證書保存在證書庫����;認證授權(quán)模塊從證書庫獲取用戶的數(shù)字證書,完成對用戶身份及訪問操作權(quán)限的認證���。作為上述技術(shù)方案的改進�,該裝置還可以包含一資源管理模塊����,與資源定位模塊相連,管理與維護系統(tǒng)全局的組件資源庫����、配置資源模板庫、公共信息模型(Common Information Model�����,簡稱“CIM”)模式描述文件和CIM模型語義模型庫�。作為上述技術(shù)方案的改進,該裝置還可以包含一保存不同角色的用戶對應(yīng)的權(quán)限信息的權(quán)限數(shù)據(jù)庫�����,與認證授權(quán)模塊相連��。認證授權(quán)模塊在驗證數(shù)字證書有效性的情況下, 根據(jù)數(shù)字證書中的用戶名信息和角色信息關(guān)聯(lián)權(quán)限數(shù)據(jù)庫�,獲取該用戶的權(quán)限,完成對該用戶權(quán)限的認證�����。作為上述技術(shù)方案的改進���,資源定位模塊還可以進一步包含記錄服務(wù)器在線資源部署信息的子模塊�����;實現(xiàn)服務(wù)-資源-存儲位置動態(tài)綁定的子模塊���。綜上所述,本實施方式中�,用戶要訪問工業(yè)互聯(lián)網(wǎng)中的服務(wù),首先需要登錄工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置�����,由認證授權(quán)模塊對用戶的身份進行認證并確定其權(quán)限�����,向用戶返回與其權(quán)限相對應(yīng)的用戶界面(用戶界面上僅包含該用戶有權(quán)限的操作)����。每當(dāng)用戶需要通過客戶端進行具體的訪問操作時,由審計模塊進一步對用戶的訪問操作權(quán)限進行審計�,如果審計通過則允許其進行該次訪問操作,如果審計不通過則禁止該次訪問操作�����,確保系統(tǒng)安全性����。并且,用戶無需知道所請求服務(wù)位于那臺服務(wù)器��,用戶無論需要進行什么訪問操作��,均只需向遠程通訊服務(wù)裝置進行請求�,由資源定位模塊為用戶進行資源定位,確定所需服務(wù)對應(yīng)的對象資源所在的位置����,根據(jù)資源定位模塊返回的結(jié)果,找到對應(yīng)的服務(wù)器獲取相應(yīng)服務(wù)即可�����。雖然通過參照本實用新型的某些優(yōu)選實施方式,已經(jīng)對本實用新型進行了圖示和描述��,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白�,可以在形式上和細節(jié)上對其作各種改變,而不偏離本實用新型的精神和范圍���。
權(quán)利要求1.一種工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置��,包含網(wǎng)絡(luò)通訊端口�,通過內(nèi)部專網(wǎng)或公共網(wǎng)絡(luò)與所述工業(yè)互聯(lián)網(wǎng)中服務(wù)器或客戶端相連����,其特征在于,還包含一對用戶和服務(wù)器的身份及訪問操作權(quán)限進行認證的認證授權(quán)模塊����,一對用戶或服務(wù)器的訪問操作進行審計的審計模塊,一對用戶或服務(wù)器訪問操作的對象資源進行存儲位置定位控制的資源定位模塊����;所述認證授權(quán)模塊、審計模塊和資源定位模塊均與所述網(wǎng)絡(luò)通訊端口相連��;所述認證授權(quán)模塊通過所述網(wǎng)絡(luò)通訊端口接收來自用戶客戶端或服務(wù)器的身份認證信息,完成身份及訪問操作權(quán)限的認證和授權(quán)�����;所述審計模塊通過所述網(wǎng)絡(luò)通信端口接收來自用戶客戶端或服務(wù)器的訪問操作信息��,完成對所述訪問操作的審計�;所述資源定位模塊與所述審計模塊相連�����,從所述審計模塊獲取所述訪問操作信息是否通過審計的信息�,完成對通過審計的訪問操作的對象資源的存儲位置的定位。
2.根據(jù)權(quán)利要求1所述的工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置���,其特征在于�����,該裝置還包含一對數(shù)字證書進行基本管理操作的證書授權(quán)中心和一證書庫�,所述基本管理操作至少包括證書頒發(fā)��、索引���、存儲和吊銷��;所述證書授權(quán)中心與所述認證授權(quán)模塊相連���,所述證書庫分別與所述證書授權(quán)中心和所述認證授權(quán)模塊相連���,所述證書授權(quán)中心為用戶頒發(fā)證書過程中,通過所述認證授權(quán)模塊為用戶分配角色和權(quán)限���,所述證書授權(quán)中心為該用戶頒發(fā)包含角色信息的數(shù)字證書��,并將該數(shù)字證書保存在證書庫��;所述認證授權(quán)模塊從所述證書庫獲取用戶的數(shù)字證書��,完成對用戶身份及訪問操作權(quán)限的認證�����。
3.根據(jù)權(quán)利要求1所述的工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置�,其特征在于�����,該裝置還包含一資源管理模塊,與所述資源定位模塊相連�����,管理與維護系統(tǒng)全局的組件資源庫���、配置資源模板庫、公共信息模型CIM模式描述文件和CIM模型語義模型庫�。
4.根據(jù)權(quán)利要求2所述的工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置,其特征在于���,該裝置還包含一保存不同角色的用戶對應(yīng)的權(quán)限信息的權(quán)限數(shù)據(jù)庫��,與所述認證授權(quán)模塊相連���;所述認證授權(quán)模塊在驗證數(shù)字證書有效性的情況下,根據(jù)數(shù)字證書中的用戶名信息和角色信息關(guān)聯(lián)所述權(quán)限數(shù)據(jù)庫�����,獲取該用戶的權(quán)限���,完成對該用戶權(quán)限的認證����。
5.根據(jù)權(quán)利要求1至4中任意一項所述的工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置, 其特征在于�,所述資源定位模塊還進一步包含記錄服務(wù)器在線資源部署信息的子模塊;實現(xiàn)服務(wù)-源-存儲位置動態(tài)綁定的子模塊����。
專利摘要本實用新型公開了一種工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)遠程通訊服務(wù)裝置,在該裝置中集合對用戶及服務(wù)器的身份及訪問操作權(quán)限進行認證和授權(quán)的模塊�,對用戶或服務(wù)器的訪問操作進行審計的模塊,對用戶及服務(wù)器訪問的對象資源進行統(tǒng)一資源定位的模塊��。有效確保接入工業(yè)互聯(lián)網(wǎng)分布式系統(tǒng)并獲取信息/服務(wù)的用戶或服務(wù)器身份的安全性���、權(quán)限有效性�。并且��,使得工業(yè)互聯(lián)網(wǎng)中用戶及服務(wù)器無需獲知所需對象資源的實際存儲位置�,只需通過分布式系統(tǒng)統(tǒng)一的資源定位平臺,即可定位到對應(yīng)的服務(wù)器�,獲取所需的對象資源,實現(xiàn)快速��、方便,滿足分布式環(huán)境下的需求�。
文檔編號H04L29/08GK202153753SQ20112025433
公開日2012年2月29日 申請日期2011年7月19日 優(yōu)先權(quán)日2010年12月2日
發(fā)明者俞高宇, 梁俊, 王磊 申請人:上海可魯系統(tǒng)軟件有限公司