根據標準協議opcua通信且具有用於認證的單點登錄機制的客戶端/伺服器系統及在這...的製作方法

2023-12-02 03:48:21 1

專利名稱：根據標準協議opc ua通信且具有用於認證的單點登錄機制的客戶端/伺服器系統及在這 ...的製作方法
技術領域：
本發明涉及一種方法和一種裝置，用於將用於進行用戶認證和授權的機制集成在 根據標準協議OPC UA的應用中。該方法和該裝置適合於不同的應用，特別是適合於在自動 化技術系統中的通信。
背景技術：
OPC UA是一種由OPC基金會規定的、用於獨立於製造廠商和平臺的通信的新標準 協議，特別是在過程自動化中。OPC的原始名稱雖然是用於過程控制的OLE，但是在此期間 在沒有對於簡稱的提示的情況下使用OPC。UA表示統一架構。下文有時使用英語術語，這 是因為它們說明了在標準中定義的確定功能或規範。在圖1中，首先在a)項下描述了一種在使用通信系統12、典型地在使用網絡的情 況下用於根據OPC UA規範在OPC UA客戶端11和OPC UA伺服器13之間交互作用的已知布 置。此外為了交互作用，OPC UA客戶端11使用了來自OPC-UA-協議中規定的一組OPC UA 服務調用的OPC UA服務調用。但是，OPC UA伺服器也可以作為聚集伺服器來工作，如同在 圖1中在b)項下所描述的那樣。這種聚集OPC UA伺服器14可以作為客戶端作用於另外 的、下級的OPC UA伺服器13以及收集且在其自身的地址空間中提供那些由另外的OPC UA 伺服器13所提供的數據。OPC UA客戶端和伺服器的應用領域包括大的範圍，並且其功能可以在不同的設備 和系統中實現，例如控制器、基於PC的控制系統、生產管理系統或者在生產計劃中。但是，在標準協議OPC UA中，在帶有聚集伺服器的方案中沒有定義用於用戶的認 證和授權的機制。規範僅僅表明，聚集伺服器可以具有作為其代理(agents)起作用的多個 用戶，並且它們可以用於在與另外的伺服器的連接中設立彼此獨立的會話。特別地，未規定 的是，客戶端用戶的標識符與聚集伺服器中的標識符具有哪一種關係。這表明，可選的是 是否這樣來設立，使得客戶端-標識符與另外的伺服器的標識符相匹配，或者是否作為其 替代，形成用於訪問聚集伺服器的獨立的高級用戶。為了在OPC UA系統中實現一種合適的安全等級，重要的是支持對於用戶的、細 粒度的訪問控制，並且對於每個訪問數據的用戶，符合確定的「最小特權」"保護(英語是 least privileges)。具有用於客戶端-標識符的聚集伺服器中高級用戶的方案可能破壞 計劃目標。在OPC UA伺服器中值得期待的可能是用於所謂的單點登錄的機制。單點登錄 (SSO)機制允許用戶在初始-認證(Eingangs-Authentifizierung)之後訪問所有的應用和 數據，相應於之前定義的單獨許可。對於用戶來說，有利地省卻了在計算機系統中的再一次 的登陸。雖然在信息技術中已知了不同類型的、用於單點登錄的標準解決方案。但是這些SSO-解決方案不能應用在OPC-UA-產品中，這是因為它們基於中央認證-伺服器，其中用戶 的登錄(Anmelden)需要通過web-界面進行，並且伺服器為一組預先定義的應用分配了訪 問權限。這種認證_伺服器使用http或另外的web協議以便對用戶進行識別並且分配對 於另外的應用的訪問權限。在此一個問題在於，http或另外的web協議在自動化-網絡中 不是一直允許或可使用的，並且此外不是每個OPC UA應用都是一種web應用。然而，最嚴 重的問題可能在於，認證_伺服器必須理解OPC-UA-協議，以便對OPC UA伺服器的用戶進 行認證。但這對於當前市場上可購買到的產品來說不是這種情況。

發明內容
由此出發，本發明的目的在於，提出一種方法和一種裝置，以實現將單點登錄機制 集成到OPC-UA-應用中的可能性。該目的通過一種具有在權利要求1中說明的特徵的、在應用OPC-UA-協議的情況 下用於在客戶端和伺服器之間進行通信的方法來實現。有利的設計方案和相應的裝置在另 外的權利要求中給出。 在根據本發明的方法中，OPC UA客戶端將系統用戶的所有的作為權利證明所需要 的合法性數據(證書)傳輸至OPC UA聚集伺服器。該OPC UA聚集伺服器自動地相關於與 聚集OPC UA伺服器相連接的所有OPC UA伺服器認證特定的用戶。在具有OPC UA聚集服 務器和與之相連接的下級的OPC UA伺服器的系統中，既允許使用不同類型的用戶-資料庫 和裝置，也允許透明的自動認證和細粒度的訪問控 制。對此所必需的根據本發明集成單點 登錄機制藉助於用於對機制進行處理的、安裝在聚集OPC UA伺服器中的SSO-組件來實現。 該SSO-組件用於相關於與OPC UA聚集伺服器相連接的、也被稱為被聚集的伺服器的所有 OPC UA伺服器對在OPC UA客戶端上工作的用戶進行認證。SSO-組件設立用於，將由OPC UA客戶端所使用的和在OPC UA聚集伺服器中所使用的用戶-標識符映射或轉換(mapping) 到這種存儲在與OPC UA聚集伺服器相連接的OPC UA伺服器中的標識符。SSO-組件隨後分 別在與OPC UA聚集伺服器相連接的所有OPC UA伺服器中藉助於所映射的合法性數據(證 書)調用活動會話服務。


由下面對於實施例的描述參照附圖得出了本發明的進一步說明及其優點。圖中示出圖1分別根據現有技術在a)項下示出了一種具有OPC UA客戶端和OPC UA服務 器的布置，以及在b)項下示出了一種具有OPC UA聚集伺服器的布置；圖2示出了一種在OPC UA應用中具有集成的單點登錄(SSO)機制的根據本發明 的布置；圖3示出了與根據圖2的布置相對應的流程圖；和圖4示出了同樣也與根據圖2的布置相對應的、備選流程圖。
具體實施例方式圖2示例性地示出了一種在OPC UA應用中具有集成的單點登錄(SSO)機制的根據本發明的布置。在該系統中，OPC UA聚集伺服器24包含SSO-組件25，用於認證相應的在 OPC UA客戶端21上工作的用戶、例如相關於下級的OPC UA伺服器1，2和3的用戶1。不 僅OPC UA客戶端21，而且同樣也與OPC UA聚集伺服器24共同作用的OPC UA伺服器1，2 和3都藉助於通信-網絡22與OPC UA聚集伺服器24相連接。OPC UA伺服器1，2和3例 如分別對於不同類型的和具有不同的信息和證書的數據_供應者具有訪問權。OPC UA服務 器1例如供應來自PLC的數據，其通過具有中央用戶資料庫的過程控制系統(Distributed Control System，分布式控制系統)、例如活動目錄系統來提供。在OPC UA伺服器2中，利 用PLC的控制器的存儲器中簡單的用戶表格，在PLC上運行嵌入式應用。例如可能安裝在 Linux-機器上的OPC UA伺服器3最後具有對於利用公共密鑰基礎設施(PKI)進行工作的 PLC的訪問權，其中藉助於數字證書對用戶進行認證和授權。SSO-組件25與數據存儲器相連接，該存儲器包含關於在OPC UA伺服器1，2和3 中可使用的所有標識符的信息，並且將這些標識符映射到由用戶在OPC UA客戶端21上使 用的特定的標識符。用戶1在根據圖2的示例中示出並且用於OPC UA客戶端21中的登 錄_程序。用戶1在此在SSO-組件25的數據存儲器中映射為具有根據OPC UA伺服器1 的用戶域UserlOcoiroany. com,以及如同在OPC UA伺服器2的用戶表格中定義的一樣作為 用戶1，並且藉助特殊的X. 509-證書，其包含在OPC UA伺服器3的PLC 4中的PKI的證書 信任列表(Certificate T rust List)中。SSO-組件25的數據存儲器支持所有類型的、在 OPC UA標準中規定的標識符，並且允許使用所連接的OPC UA伺服器1至3中不同類型的用 戶-資料庫。根據在圖3中示例性示出的、與根據圖2的布置相對應的流程圖，在下面進一步說 明了根據本發明的方法。如果OPC UA客戶端嘗試建立與OPC UA聚集伺服器的連接，那麼OPC UA客戶 端首先藉助於在安全信道服務集中以及在會話服務集中標準化的服務來設立安全信道 (sicheren Kanal)和會話(Sitzung)。原則上為了實施該準備步驟提供了四個不同的操作 方式，取決於相應的具體OPC UA產品的需求而在它們之中選擇一個。根據第一操作方式，為了建立連接，聚集伺服器向下級的OPC UA伺服器傳遞每個 服務調用(service call)，例外是活動會話服務調用，其被傳遞至SSO-組件。在第二操作方式中，首先設立安全信道並且在沒有將會話服務傳遞至聚集伺服器 上的情況下調用會話服務，例外是活動會話服務調用。活動會話服務調用是用於調用下 級的OPC UA伺服器的會話服務和安全信道的觸發器，其中活動會話服務調用隨後傳遞至 SSO-組件。第三操作方式在於，首先在OPC UA客戶端與聚集伺服器之間設立安全信道和會 話。每一次當客戶端嘗試訪問數據時，聚集伺服器設立到那個包含了所期望的數據的OPC UA伺服器的連接。活動會話服務調用傳遞至SSO-組件。在第四操作方式中同樣也首先在OPC UA客戶端與聚集伺服器之間設立安全信道 和會話。當客戶端第一次嘗試訪問數據時，聚集伺服器設立到OPC UA伺服器的連接。當OPC UA客戶端終止其到聚集伺服器的連接時，或者當OPC UA客戶端的連接由於超時而終止時， 這些設立的連接終止。各個操作方式具有各種不同的優點和缺點。第三操作方式僅僅在短時間內佔用OPC UA伺服器的資源，但在經常由OPC UA伺服器調用用於數據訪問的服務的情況下，在設 立安全信道和會話時導致大的開銷。第二操作方式例如需要與第三操作方式相比持續時間更長的、對OPC UA伺服器的 資源的佔用，這是因為安全信道和會話僅僅一次地設立用於客戶端會話，但僅引起了較小 的開銷，這是因為安全信道和會話僅僅一次地設立用於客戶端會話。然而，安全信道和會話 服務調用必須保持在聚集伺服器的存儲器中，直到設立了到下級的OPC UA伺服器的安全信 道和會話為止。第一操作方式實施起來最簡單，但當活動會話服務調用因為傳遞的合法性數據 (證書)失效而被聚集伺服器拒絕時，可能在資源消耗方面是存在問題的。在這種情況下， 安全信道和會話已經被設立(但未激活)用於所有的OPC UA伺服器。第四操作方式是在OPC UA伺服器中的資源佔用與用於設立安全信道和會話的開 銷之間的一種良好的折衷，這是因為它僅僅當客戶端要訪問數據時才設立，並且被保留直 到OPC UA客戶端終止到聚集伺服器的連接為止。如上所述，用戶-合法性數據(證書)藉助於在會話服務集中定義的活動會話 服務調用而被提供給聚集伺服器。隨後，聚集伺服器將該服務調用轉送至SSO-組件。該 SSO-組件搜索被轉送的、在其數據存儲器中的用戶-標識符並且搜索所映射的標識符以及 涉及的OPC UA伺服器。對於每個匹配，SSO-組件在相應的OPC UA伺服器中藉助於所映射 的用戶_標識符調用活動會話服務。
在根據圖2和圖3的示例中，SSO-組件藉助於Userlicompany. com和所屬的密碼， 在OPC UA伺服器1中調用活動會話服務，相應地藉助於Userl和所屬的密碼，在OPC UA服 務器2中進行調用，以及最後在OPC UA伺服器3中藉助於X. 509證書的DER-編碼的字節 及其利用證書發行人的私有密鑰形成的籤名進行調用。當藉助於結果報告回聚集伺服器所有的活動會話服務調用都是成功的時，那麼 用戶不僅在聚集伺服器而且在下級的OPC UA伺服器中被認證，並且聚集伺服器向OPC UA 客戶端證實了這一點。也可能出現這種情況，即用戶的認證在一個下級的OPC UA伺服器中失敗，例如是 當用戶的合法性數據對此不再有效時。只要用戶能至少在一個下級的OPC UA伺服器中被 認證時，則用戶同樣可以訪問在一個或多個所涉及伺服器中的數據。圖4示出了對於可能的方法變體的流程圖，同樣也與根據圖2的布置相對應。在 此示出了，從OPC UA客戶端將用於用戶1的活動會話服務調用傳輸至OPC UA聚集伺服器。 聚集伺服器僅僅通過SSO-組件的專有的接口功能來測定涉及的用戶的所映射的(mapped) 合法性數據，在這裡該涉及的用戶是用戶1。聚集伺服器隨後直接在下級的OPC UA伺服器 中調用活動會話服務。這種方法變體簡化了內部通信的處理，因此也可能省卻SSO-組件。 活動會話服務調用的所需要的復用可能在各個支持SSO的OPC UA伺服器中實施。如果從 SSO-組件中去掉那種功能(但在各個OPC UA伺服器中可能被再次應用)，則該功能必須在 各個OPC UA伺服器中重新被實施。另一個、然而並未在附圖中示出的對於前述裝置和方法的變體可能在於，引入一 種具有作為用於聚集伺服器的代理的超級用戶的方案。在該變體中，對於到聚集伺服器的 客戶端-連接的各個構造，採用帶有所有下級的OPC UA伺服器中數據的所有訪問權限的超級用戶。這表明，聚集伺服器獨立於用戶-標識符選擇用於到下級的OPC UA伺服器的連接 的構造的一種特殊的標識符。 這種解決辦法促成了聚集伺服器中的更簡單的用戶_管理，但違反了用於最小特 權的一般性的設計規則。此外，如果黑客成功竊取了聚集伺服器的會話時則導致了較高的 安全風險。它可能始終具有對所有下 級的OPC UA伺服器的訪問權。
權利要求
一種方法，用於利用根據標準協議OPC UA的通信來將單點登錄機制集成到客戶端/伺服器系統中，以及用於在這樣的系統中實施單點登錄以便進行用戶認證，其中在所述系統中藉助於通信 網絡(22)使OPC UA客戶端(21)與OPC UA聚集伺服器(24)相連接以及使所述OPC UA聚集伺服器又與下級的OPC UA伺服器(1，2，3)相連接，以及其中 為了集成單點登錄機制，所述OPC UA聚集伺服器(24)補充有SSO 組件(25)用於將在服務調用的情況下使用的用戶 合法性數據(證書)映射到標識符，所述標識符所採取的形式是它們存儲在所述下級的OPC UA伺服器(1，2，3)中所採取的形式，以及 為了藉助於所述SSO 組件(25)實施單點登錄，屬於服務調用的用戶 合法性數據被應用於自動搜索相應映射的標識符以及搜索所涉及的OPC UA伺服器(1，2，3)，以及對於每個匹配，在相應的OPC UA伺服器(1，2，3)中藉助於所映射的所述標識符調用活動會話服務，由此建立利用所述用戶的所述服務調用對數據的期望訪問。
2.如權利要求1所述的方法，其特徵在於，為了實施單點登錄，基於由OPCUA客戶端 (21)出發的服務調用_首先在OPC UA客戶端(21)與OPC UA聚集伺服器(24)之間藉助於符合標準的、在安 全信道服務集和會話服務集中定義的服務來設立安全信道和會話，隨後-藉助於符合標準的、在會話服務集中定義的活動會話服務調用來為所述OPC UA聚集 伺服器(24)提供用戶-合法性數據(證書)，-將所述服務調用和所述用戶-合法性數據傳遞至所述SSO-組件(25)，以及-所述SSO-組件(25)將所述用戶-合法性數據用於搜索匹配的存儲的所映射 (mapped)用戶-標識符以及搜索所涉及的OPC UA伺服器(1，2，3)，以及對於每個匹配，在 相應的OPC UA伺服器(1，2，3)中藉助於所映射的所述標識符調用所述活動會話服務。
3.一種客戶端/伺服器系統，設立所述系統用於根據標準協議OPC UA的通信和用於單 點登錄，以及其中-藉助於通信-網絡(22)使OPC UA客戶端(21)與OPC UA聚集伺服器(24)相連接以 及使所述OPC UA聚集伺服器又與下級的OPC UA伺服器(1，2，3)相連接，以及-藉助於具有單點登錄(SSO)機制的SSO-組件(25)設立所述OPC UA聚集伺服器(24) 用於用戶認證。
4.根據權利要求3所述的客戶端/伺服器系統，其特徵在於，設立所述SSO-組件(25) 用於訪問被存儲的、關於在所述OPC UA伺服器(1，2，3)中可供使用的所有用戶-標識符的 信息以及將所述標識符映射到由用戶在所述OPC UA客戶端(21)上所使用的標識符。
5.根據權利要求3或4所述的客戶端/伺服器系統，其特徵在於，-設立所述OPC UA客戶端(21)和所述OPC UA聚集伺服器(24)用於藉助於符合標 準的、在會話服務集中定義的活動會話服務調用來為所述OPC UA聚集伺服器(24)和所述 SSO-組件(25)提供用戶-合法性數據(證書)，-設立所述SSO-組件(25)用於使用所述用戶_合法性數據以便搜索匹配的所映射 的標識符以及搜索所涉及的OPC UA伺服器(1，2，3)，以及對於每個匹配，在相應的OPC UA 伺服器(1，2，3)中藉助於所映射的所述標識符調用所述活動會話服務。
全文摘要
本發明涉及一種方法和一種相應的裝置，用於利用根據標準協議OPC UA的通信來將單點登錄機制集成到客戶端/伺服器系統中，以及用於在這樣的系統中實施單點登錄以便用戶認證和授權。在系統中藉助於通信-網絡(22)使OPC UA客戶端(21)與OPC UA聚集伺服器(24)相連接並且該OPC UA聚集伺服器又與下級的OPC UA伺服器(1，2，3)相連接。為了集成單點登錄機制，OPC UA聚集伺服器(24)補充有SSO-組件(25)用於映射在服務調用的情況下使用的用戶-合法性數據(證書)到標識符，所述標識符所採取的形式是它們存儲在所述下級的OPCUA伺服器(1，2，3)中所採取的形式。為了藉助於SSO-組件(25)實施單點登錄，屬於服務調用的用戶-合法性數據用於自動搜索相應映射的標識符以及搜索所涉及的OPC UA伺服器(1，2，3)，以及對於每個匹配，在相應的OPC UA伺服器(1，2，3)中藉助於所映射的標識符調用活動會話服務，由此建立了利用用戶的服務調用對數據的期望訪問。
文檔編號H04L29/06GK101971184SQ200980107162
公開日2011年2月9日 申請日期2009年2月5日 優先權日2008年2月26日
發明者S·H·萊特納 申請人:Abb研究有限公司