在工业智能化的背景下,OPC UA作为旨在满足工业不同层面通信需求的协议受到Industry 4.0的大力支持。为了在工业控制层面上取得更好的表现,OPC基金会对OPC UA协议扩展了Pub Sub架构。随着工业控制网络的逐步开放,工业设备面临着严峻的安全挑战。安全网关作为工业控制网络中重要的安全防护系统,已经成为工业控制网络安全防护架构的重要研究方向之一。Pub Sub协议与现场总线协议不同的是采用了基于工业以太网的发布订阅通信模式和UADP报文格式,通信过程中产生的流量较大周期较短。传统的安全网关主要针对封闭环境下的工业总线协议,缺乏对开放环境中Pub Sub协议的适用性,传统的Do S攻击检测算法难以检测小流量的Do S攻击。工业控制网络对实时性有着较高的要求,传统的安全网关缺乏处理加速机制,性能较差,影响实时性。本文针对上述问题对OPC UA Pub Sub安全网关展开研究,主要工作和创新点包括:1.提出了面向工业控制网络的工业安全网关模型——OSG。OSG采用软硬件协同的处理架构,基于软件定义安全的架构对网络安全功能进行管理配置,提高OSG网关的灵活性和可扩展性。并且使用Cgroups工具将安全网关的CPU资源公平分配给各个网络安全功能,加快网关的处理速度。2.对OSG的关键技术进行了设计与实现。提出了面向OPC UA Pub Sub协议的Do S（Denial of Service）攻击检测算法,能够根据Pub Sub协议的特点对Do S攻击进行更精确的检测。提出了OSG网关内部网络功能的调度机制,通过补充操作系统调度器的功能来提高网络功能的性能,公平分配CPU资源。3.实现了OSG系统原型,并对系统原型进行测试评价。实验结果表明,OSG可以有效防御针对Pub Sub协议的网络攻击,Do S检测算法能够准确的检测出Do S攻击并且有着很低的误报率,网关的处理加速机制有效的解决了CPU资源浪费的问题,提高了OSG的整体性能。综上所述,为了解决目前工业安全网关存在的不足,本文提出了基于网络功能调度的OPC UA Pub Sub安全网关——OSG。因为该模型具备较高的灵活性和可扩展性,能够针对OPC UA Pub Sub协议进行精确的检测安全威胁以保证工业控制网络的安全,网关有着高效的处理能力以减轻安全检测对工业控制网络实时性的影响,对当前工业安全网关的实现具有理论意义和实用价值。