一種自動采集并配置授權(quán)信息的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種自動采集并配置授權(quán)信息的方法及裝置，能夠避免控制工程師手動收集用于授權(quán)的信息，使得ICS系統(tǒng)的能夠自采集、配置并擴展授權(quán)信息。本發(fā)明的自動采集并配置授權(quán)信息的方法包括：根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備；根據(jù)各工業(yè)控制設(shè)備采用的通信協(xié)議和其控制資源的訪問方式，檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息；根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置。
【專利說明】一種自動采集并配置授權(quán)信息的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及工業(yè)控制的【技術(shù)領(lǐng)域】，特別是一種自動采集并配置授權(quán)信息的方法及裝置。
【背景技術(shù)】
[0002]工業(yè)控制系統(tǒng)(Industrial Control System, ICS)是基于計算機的設(shè)施、系統(tǒng)和裝置，用于遠程監(jiān)控和/或控制關(guān)鍵的過程和物理性能。工業(yè)控制系統(tǒng)從現(xiàn)場收集數(shù)據(jù)、處理并顯示這些數(shù)據(jù)信息。在一些工業(yè)控制系統(tǒng)中，還需要回復(fù)控制命令給本地或遠程控制裝置。
[0003]ICS系統(tǒng)傳統(tǒng)上是一種封閉系統(tǒng)，用于滿足功能性、安全性和可靠性的目標(biāo)。并且傳統(tǒng)的ICS系統(tǒng)由于依賴于專用網(wǎng)絡(luò)和硬件，長期以來一直被認(rèn)為是不受網(wǎng)絡(luò)攻擊影響的。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，對于保護ICS免受網(wǎng)絡(luò)攻擊的需求在過去幾年顯著增長。ICS系統(tǒng)與開放系統(tǒng)的結(jié)合、和不同利益相關(guān)者(例如合資企業(yè)、合作伙伴以及外包服務(wù))間互聯(lián)的增加、智能設(shè)備的發(fā)展、ICS與其他裝置和軟件間互聯(lián)的增加，并且伴隨著快速增加的網(wǎng)絡(luò)入侵事件、更智能的黑客和惡意軟件，這些都導(dǎo)致對ICS系統(tǒng)威脅和攻擊的可能性的增加。
[0004]ICS的典型操作情景如下:1、在(有時是遠程的)控制現(xiàn)場、(有時是遠程)地點部署一些控制設(shè)備工業(yè)控制設(shè)備(例如PLC、RTU等)，工業(yè)控制設(shè)備用于關(guān)鍵的控制操作。但這些控制設(shè)備工業(yè)控制設(shè)備一般只具有少量簡單的，甚或沒有任何訪問控制功能。2、工程師通過一個或多個控制工作站，通過通信網(wǎng)絡(luò)配置、監(jiān)控和控制現(xiàn)場的工業(yè)控制設(shè)備。該通信網(wǎng)絡(luò)一般采用基于TCP/IP的開放網(wǎng)絡(luò)技術(shù)作為傳輸層與網(wǎng)絡(luò)層，而將專用的ICS協(xié)議(例如，IEC60870-5、DNP3、Modbus、IEC61850,ProfiNet等)用于應(yīng)用層控制通信。由于通信網(wǎng)絡(luò)基于TCP/IP等開放技術(shù)，黑客有可能偽裝成合法的控制工作站或者劫持控制工作站和現(xiàn)場的控制設(shè)備工業(yè)控制設(shè)備之間的通信，從而危及關(guān)鍵的控制操作。
[0005]因此，ICS的系統(tǒng)安全性已經(jīng)成為政府部門、股權(quán)所有者、工業(yè)基礎(chǔ)設(shè)施運營者以及工業(yè)產(chǎn)品提供商越來越關(guān)心的課題。
[0006]由于授權(quán)機制可以限制資源的訪問權(quán)限只提供給合法用戶，因此授權(quán)機制可以為ICS提供必要的保護。但是，在ICS系統(tǒng)或設(shè)備實現(xiàn)訪問授權(quán)之前，需要控制工程師手動獲取用于授權(quán)的資源或?qū)ο?，并?dǎo)入到授權(quán)組件(例如防火墻、網(wǎng)關(guān)等)中，并定義相應(yīng)的授權(quán)策略，這就導(dǎo)致ICS系統(tǒng)的授權(quán)信息無法自動獲取、配置并擴展，并且其過程對控制工程師不透明，需要控制工程師花費大量的時間、精力進行手工采集、配置授權(quán)信息。

【發(fā)明內(nèi)容】

[0007]有鑒于此，本發(fā)明提出了一種自動采集并配置授權(quán)信息的方法，能夠避免控制工程師手動采集用于授權(quán)的信息，使得ICS系統(tǒng)的能夠自動采集、配置并擴展授權(quán)信息。本發(fā)明還提出一種授權(quán)裝置及自動采集并配置授權(quán)信息的裝置。[0008]因此，根據(jù)本發(fā)明一實施例，提供了一種自動采集并配置授權(quán)信息的方法，包括:
[0009]根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備；
[0010]根據(jù)各工業(yè)控制設(shè)備采用的通信協(xié)議和其控制資源的訪問方式，檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息；
[0011]根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置。
[0012]從上述方案中可以看出，由于本發(fā)明實施例的方案能夠自動訪問各工業(yè)控制設(shè)備，并從各工業(yè)控制設(shè)備上自動檢索控制資源，并獲得控制資源的標(biāo)識信息，使得能夠根據(jù)這些獲得的標(biāo)識信息進行授權(quán)，避免了控制工程師手動采集用于授權(quán)的信息，將控制工程師從繁瑣的工作中解放出來。
[0013]本發(fā)明的方法還包括:預(yù)先獲取各工業(yè)控制設(shè)備的基本配置信息，從而保證后續(xù)進行授權(quán)配置時無需每次都重新獲取基本配置信息，可以直接根據(jù)各工業(yè)控制設(shè)備的基本配置信息訪問即可。
[0014]其中，工業(yè)控制設(shè)備的基本配置信息具體包括工業(yè)控制設(shè)備的地址信息，使得能夠根據(jù)具體地址信息訪問各工業(yè)控制設(shè)備。
[0015]優(yōu)選地，預(yù)先獲取各工業(yè)控制設(shè)備的基本配置信息具體包括:接收用戶輸入的各工業(yè)控制設(shè)備的地址信息；或采用地址掃描技術(shù)獲取各工業(yè)控制設(shè)備的地址信息。在此實施方式中，可以用戶自動輸入地址，或者通過掃描自動獲得地址。
[0016]優(yōu)選地，工業(yè)控制設(shè)備的基本配置信息還包括:工業(yè)控制設(shè)備的用戶名和密碼；以及預(yù)先獲取各工業(yè)控制設(shè)備的基本配置信息還包括:接收用戶輸入的各工業(yè)控制設(shè)備的用戶名和密碼，使得可以根據(jù)用戶名和密碼，訪問指定地址的工業(yè)控制設(shè)備，進一步保證了整個系統(tǒng)的安全性。
[0017]具體地，所述控制資源包括控制程序和/或控制參數(shù)。
[0018]具體地，根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置，具體包括:將各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息提供給用戶，并根據(jù)用戶輸入的訪問控制策略進行授權(quán)信息的配置；或者根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息，并根據(jù)用戶預(yù)先設(shè)定的至少一個訪問控制策略模板，進行授權(quán)信息的配置。
[0019]本發(fā)明實施例還提供一種授權(quán)裝置，包括:信息獲取模塊，用于根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備，檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息；授權(quán)配置模塊，用于根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置。采用該授權(quán)獲取裝置，能夠避免控制工程師手動收集用于授權(quán)的信息，使得ICS系統(tǒng)的能夠自動采集、配置及擴展授權(quán)信息。
[0020]優(yōu)選地，該授權(quán)裝置可以是網(wǎng)關(guān)或防火墻。網(wǎng)關(guān)或防火墻作為ICS系統(tǒng)的網(wǎng)絡(luò)邊界，能夠自動進行授權(quán)配置。
[0021]本發(fā)明實施例還提供一種自動采集并配置授權(quán)信息的裝置，包括:訪問模塊，根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備；獲取模塊，根據(jù)各工業(yè)控制設(shè)備采用的通信協(xié)議和其控制資源的訪問方式，檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息；配置模塊，根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置。該自動采集并配置授權(quán)信息的裝置可以應(yīng)用于網(wǎng)關(guān)或防火墻中，能夠避免控制工程師手動收集用于授權(quán)的信息，使得ICS系統(tǒng)的能夠自配置及擴展授權(quán)信息。
【專利附圖】

【附圖說明】
[0022]下面將通過參照附圖詳細描述本發(fā)明的優(yōu)選實施例，使本領(lǐng)域的普通技術(shù)人員更清楚本發(fā)明的上述及其它特征和優(yōu)點，附圖中:
[0023]圖1為本發(fā)明實施例中的ICS系統(tǒng)的應(yīng)用場景；
[0024]圖2為根據(jù)本發(fā)明實施例的自動采集并配置授權(quán)信息的方法流程圖；
[0025]圖3為根據(jù)本發(fā)明實施例的授權(quán)裝置的結(jié)構(gòu)示意圖；
[0026]圖4為根據(jù)本發(fā)明實施例的自動采集并配置授權(quán)信息的裝置的結(jié)構(gòu)示意圖；
[0027]圖5示意出為對工業(yè)控制設(shè)備的資源的訪問涉及到的兩個不同的層次。
[0028]其中，附圖標(biāo)號如下:
[0029]圖1中:1工業(yè)控制設(shè)備 2網(wǎng)關(guān)3廣域網(wǎng)
[0030]圖2中:S201_S204步驟流程
[0031]圖3中:31信息獲取模塊 32授權(quán)配置模塊
·[0032]圖4中:41訪問模塊42獲取模塊 43配置模塊
【具體實施方式】
[0033]由于現(xiàn)有的ICS系統(tǒng)在實現(xiàn)授權(quán)之前，需要控制工程師手動收集各工業(yè)控制設(shè)備上的控制資源信息以用于授權(quán)，使得ICS系統(tǒng)的授權(quán)信息無法自動采集、配置以及擴展，并且對控制工程是不透明的。本發(fā)明實施例提供一種自動采集并配置授權(quán)信息的方法，能夠自動訪問各工業(yè)控制設(shè)備，并自動檢索控制資源，獲取控制資源的標(biāo)識信息，并進行相應(yīng)的授權(quán)配置，這樣避免了控制工程師的手動操作，使得ICS系統(tǒng)的能夠自動采集、配置及擴展授權(quán)信息。
[0034]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，以下舉實施例對本發(fā)明進一步詳細說明。
[0035]如圖1所示，為本發(fā)明實施例中的ICS系統(tǒng)的應(yīng)用場景。其中，ICS系統(tǒng)的各工業(yè)控制設(shè)備I部署在現(xiàn)場(有時是遠程)，用于控制關(guān)鍵的操作，網(wǎng)關(guān)(或防火墻)2與各工業(yè)控制設(shè)備I連接，并且網(wǎng)關(guān)(或防火墻)2與廣域網(wǎng)(Wire Area Network, WAN) 3通信，以通過通信網(wǎng)絡(luò)通過網(wǎng)關(guān)控制各通信設(shè)備。本發(fā)明的方法主要應(yīng)用于網(wǎng)關(guān)(或防火墻)2中。
[0036]下面通過附圖詳細說明本發(fā)明，本發(fā)明實施例的方法主要應(yīng)用于ICS系統(tǒng)的授權(quán)控制。
[0037]如圖2所示，為本發(fā)明實施例提供的自動采集并配置授權(quán)信息的方法，具體包括:
[0038]S201、預(yù)先獲取各工業(yè)控制設(shè)備的基本配置信息；
[0039]其中，工業(yè)控制設(shè)備的基本配置信息包括:工業(yè)控制設(shè)備的地址信息，則獲取各工業(yè)控制設(shè)備的基本配置信息可以具體為:網(wǎng)關(guān)接收用戶輸入的各工業(yè)控制設(shè)備的地址信息；或采用地址掃描技術(shù)獲取各工業(yè)控制設(shè)備的地址信息；
[0040]其中，工業(yè)控制設(shè)備的地址信息可以具體為工業(yè)控制設(shè)備的IP地址，則地址掃描技術(shù)可以具體為IP地址掃描技術(shù)。
[0041]根據(jù)獲取的各工業(yè)控制設(shè)備的地址信息，即可自動訪問各工業(yè)控制設(shè)備。[0042]較佳地，工業(yè)控制設(shè)備的基本配置信息除地址信息外，還可以包括:工業(yè)控制設(shè)備的用戶名和密碼，則預(yù)先獲取各工業(yè)控制設(shè)備的基本配置信息還包括:接收用戶輸入的各工業(yè)控制設(shè)備的用戶名和密碼。
[0043]當(dāng)為加強ICS系統(tǒng)內(nèi)安全性，各工業(yè)控制設(shè)備設(shè)有用戶名和密碼時，根據(jù)各工業(yè)控制設(shè)備的地址信息、用戶名和密碼，即可訪問各工業(yè)控制設(shè)備。
[0044]步驟S201是初始時的配置，在后續(xù)的進行授權(quán)配置時無需每次都重新獲取基本配置信息，可以直接根據(jù)各工業(yè)控制設(shè)備的基本配置信息訪問即可。
[0045]S202、根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備；
[0046]具體地，根據(jù)各工業(yè)控制設(shè)備的地址信息，自動登錄訪問各工業(yè)控制設(shè)備；
[0047]較佳地，為進一步保證安全性，當(dāng)各工業(yè)控制設(shè)備都設(shè)有用戶名和密碼時，根據(jù)各工業(yè)控制設(shè)備的地址信息，采用預(yù)先獲取的用戶名和密碼自動登錄訪問各工業(yè)控制設(shè)備。
[0048]S203、檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識息;
[0049]登錄到各工業(yè)控制設(shè)備后，自動檢索各工業(yè)控制設(shè)備的控制資源，并獲取控制資源的標(biāo)識信息，控制資源可以是工業(yè)控制設(shè)備上運行的一系列文件、資源、程序、對象等，控制資源例如包括但不限于:控制程序和/或控制參數(shù)；控制資源的標(biāo)識信息可以是具體的文件名、模塊名或函數(shù)名等。通過上述步驟，獲得了各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息的列表。
[0050]具體如圖5所示，對工業(yè)控制設(shè)備的資源的訪問涉及到兩個不同的層次:
[0051](I)通過協(xié)議層51與工業(yè)控制設(shè)備通信
[0052]目前的工業(yè)控制設(shè)備都采用特定的通信協(xié)議來實現(xiàn)對其資源的管理與配置，通信協(xié)議可以是通用的IT協(xié)議；也可以是采用特殊的私有協(xié)議與工業(yè)控制設(shè)備進行通信。
[0053](2)通過數(shù)據(jù)訪問層52對工業(yè)控制設(shè)備上的控制資源進行訪問
[0054]工業(yè)控制設(shè)備，尤其是現(xiàn)場設(shè)備，多為嵌入式系統(tǒng)，其配置數(shù)據(jù)的存儲及其訪問，往往采用不同的方式，可以是標(biāo)準(zhǔn)的IT訪問方式，也可以是采用私有的數(shù)據(jù)格式，。
[0055]因此，本發(fā)明在具體實施時，也需要考慮兩個不同層次。首先，需要實現(xiàn)一個通信協(xié)議層，針對所管理的每一種工業(yè)控制設(shè)備配置所采用的通信協(xié)議，需要實現(xiàn)相應(yīng)通信功能。其次，需要實現(xiàn)一個數(shù)據(jù)訪問層。數(shù)據(jù)訪問層又分成兩種類型:1.對通用的IT類的設(shè)備配置數(shù)據(jù)，可以采用通用的方式對其數(shù)據(jù)進行遍歷搜索，獲得設(shè)備的配置數(shù)據(jù)。如以Web方式提供的配置數(shù)據(jù)，可以采用網(wǎng)絡(luò)爬蟲對其進行遍歷訪問，從而獲得所有的配置信息。對以SNMP方式提供的配置數(shù)據(jù)，可直接對SNMP的MIB數(shù)據(jù)進行遍歷，從而獲得所有的配置信息。2.對私有的設(shè)備配置數(shù)據(jù)，則需要針對該數(shù)據(jù)的存儲方式、格式編寫專門的訪問程序，對其進行遍歷，獲得所有的配置信息。S204、根據(jù)各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息進行授權(quán)信息的配置。
[0056]根據(jù)獲得的各控制資源的標(biāo)識信息，進行授權(quán)信息的配置。
[0057]根據(jù)各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息進行授權(quán)信息的配置，具體包括:將各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息提供給用戶，并根據(jù)用戶輸入的訪問控制策略進行授權(quán)信息的配置；或者
[0058]用戶預(yù)先設(shè)定至少一個訪問控制策略模板并存儲，獲得控制資源的標(biāo)識信息后，根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息，并根據(jù)用戶預(yù)先設(shè)定的至少一個訪問控制策略模板，進行授權(quán)信息的配置。
[0059]具體釆用的訪問控制策略，可以基于獲取到的控制資源的標(biāo)識信息，釆用不同的訪問控制策略，例如 MAC(Mandatory Access Control，強制訪問控制)、DAC(DiscretionaryAccessControl，自主訪問控制)、RBAC(Role Based Access Control，基于角色的訪問控制)
坐寸O
[0060]本發(fā)明的上述方法可以采用授權(quán)裝置實施，具體的授權(quán)裝置可以是代理、服務(wù)器，或者芯片，并且可以集成到網(wǎng)關(guān)或防火墻中。當(dāng)然上述方法也可以由網(wǎng)關(guān)或防火墻直接執(zhí)行。
[0061]采用上述方法，由于網(wǎng)關(guān)或防火墻中國的授權(quán)裝置能夠自動訪問各工業(yè)控制設(shè)備，并從各工業(yè)控制設(shè)備上自動檢索控制資源，并獲得控制資源的標(biāo)識信息，使得能夠根據(jù)這些獲得的標(biāo)識信息進行授權(quán)，避免了控制工程師手動收集用于授權(quán)的信息，解放了控制工程師，且使得ICS系統(tǒng)的能夠自動采集、配置及擴展授權(quán)信息。
[0062]本發(fā)明實施例還提供一種授權(quán)裝置，如圖3所示，包括:
[0063]信息獲取模塊31，用于根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備；檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息；
[0064]授權(quán)配置模塊32，根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置。
[0065]優(yōu)選地，該授權(quán)裝置的信息獲取模塊31，還用于預(yù)先獲取各工業(yè)控制設(shè)備的基本
配置信息。
[0066]該授權(quán)裝置可以應(yīng)用于網(wǎng)關(guān)或防火墻中，具體地，該授權(quán)裝置可以是代理、服務(wù)器，或者芯片，并且可以集成到網(wǎng)關(guān)或防火墻中。該授權(quán)裝置也可以為具體的網(wǎng)關(guān)或防火墻。該授權(quán)裝置的具體工作過程參見方法實施例，這里不再詳細描述。
[0067]本發(fā)明實施例還提供一種自動采集并配置授權(quán)信息的裝置，如圖4所示，具體包括:
[0068]訪問模塊41，根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備；
[0069]獲取模塊42，根據(jù)各工業(yè)控制設(shè)備采用的通信協(xié)議和其控制資源的訪問方式，檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息；
[0070]配置模塊43，根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置。
[0071]自動采集并配置授權(quán)信息的裝置可以應(yīng)用到網(wǎng)關(guān)、防火墻中以進行授權(quán)。該裝置的具體工作過程參見方法的實施例，這里不再詳細描述。本裝置可以利用軟件、硬件或軟硬件結(jié)合的方式來實現(xiàn)。
[0072]本發(fā)明提供的自動采集并配置授權(quán)信息的方法，可以根據(jù)各工業(yè)控制設(shè)備的基本配置信息自動登錄訪問各工業(yè)控制設(shè)備，且登錄到各工業(yè)控制設(shè)備后，能夠自動檢索工業(yè)控制設(shè)備中的控制資源，且獲取各控制資源的標(biāo)識信息，且根據(jù)獲得的標(biāo)識信息進行授權(quán)信息的配置，這樣避免了控制工程師手動收集控制資源，使得ICS系統(tǒng)的能夠自配置及擴展授權(quán)信息，且使得授權(quán)信息的配置對控制工程師來說是透明的。本發(fā)明實施例還提供一種授權(quán)裝置以及一種自動采集并配置授權(quán)信息的裝置。[0073]以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種自動采集并配置授權(quán)信息的方法，其特征在于，包括: 根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備；根據(jù)各工業(yè)控制設(shè)備采用的通信協(xié)議和其控制資源的訪問方式，檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息； 根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置。
2.如權(quán)利要求1所述的方法，其特征在于，還包括: 預(yù)先獲取各工業(yè)控制設(shè)備的基本配置信息。
3.如權(quán)利要求2所述的方法，其特征在于，所述基本配置信息具體包括:工業(yè)控制設(shè)備的地址信息，預(yù)先獲取各工業(yè)控制設(shè)備的基本配置信息具體包括: 接收用戶輸入的各工業(yè)控制設(shè)備的地址信息；或 采用地址掃描技術(shù)獲取各工業(yè)控制設(shè)備的地址信息。
4.如權(quán)利要求2所述的方法，其特征在于，所述基本配置信息還包括:工業(yè)控制設(shè)備的用戶名和密碼，預(yù)先獲取各工業(yè)控制設(shè)備的基本配置信息還包括: 接收用戶輸入的各工業(yè)控制設(shè)備的用戶名和密碼。
5.如權(quán)利要求1所述的方法，其特征在于，所述控制資源包括控制程序和/或控制參數(shù)。
6.如權(quán)利要求1所述的方法，其特征在于，所述根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置，具體包括: 將各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息提供給用戶，并根據(jù)用戶輸入的訪問控制策略進行授權(quán)信息的配置；或者 根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息，并根據(jù)用戶預(yù)先設(shè)定的至少一個訪問控制策略模板，進行授權(quán)信息的配置。
7.一種自動采集并配置授權(quán)信息的裝置，其特征在于，包括: 訪問模塊，用于根據(jù)各工業(yè)控制設(shè)備的基本配置信息，訪問各工業(yè)控制設(shè)備； 獲取模塊，用于根據(jù)各工業(yè)控制設(shè)備采用的通信協(xié)議和其控制資源的訪問方式，檢索各工業(yè)控制設(shè)備的控制資源，并獲取各工業(yè)控制設(shè)備的控制資源的標(biāo)識信息； 配置模塊，用于根據(jù)各工業(yè)控制設(shè)備的所述控制資源的標(biāo)識信息進行授權(quán)信息的配置。
8.如權(quán)利要求7所述的自動采集并配置授權(quán)信息的裝置，其特征在于，所述授權(quán)裝置具體為網(wǎng)關(guān)或防火墻。
【文檔編號】G05B19/418GK103713583SQ201210380321
【公開日】2014年4月9日 申請日期:2012年9月29日 優(yōu)先權(quán)日:2012年9月29日
【發(fā)明者】唐文 申請人:西門子公司