基于OPC协议的安全网关防护系统访问控制方法技术方案

本发明专利技术公开了一种基于OPC协议的工业控制系统访问控制方法，其中，包括：建立一端口号白名单；S2、获取OPC报文数据，并判断OPC报文数据是否为服务器请求报文或响应报文；S3、获取发送报文数据的客户端端口号，并与白名单中的客户端端口号匹配；S4、对客户端的OPC的报文字段进行检测；S5、结束。本发明专利技术一种基于OPC协议的安全网关防护系统访问控制方法，能够满足工业控制系统自身安全防护及其与企业网互联的整体安全防护需求。

【技术实现步骤摘要】

本专利技术涉及一种网络安全
，特别涉及一种基于OPC协议的安全网关防护系统访问控制方法。
技术介绍
随着信息技术的发展，特别是在德国“工业4.0”、美国“G3.0”以及我国“两化”深度融合等战略的推动下，工业控制系统与企业管理网甚至互联网进行直接互联的迫切需求，导致一系列信息安全问题不断涌现。如今，世界范围内出现越来越多针对工业控制系统网络协议漏洞的攻击。继“震网”病毒事件后，国内外又陆续揭露许多重大工业控制系统安全事件，如2014年工业界备受瞩目的“Havex”病毒，专门针对典型工控协议OPC进行攻击。工业控制系统的安全问题不断被推向一个个新的高度。
技术实现思路
本专利技术的目的在于提供一种基于OPC协议的工业控制系统访问控制方法，用以解决上述现有技术的问题。本专利技术一种基于OPC协议的工业控制系统访问控制方法，其中，包括：S1、建立一端口号白名单，该端口号白名单包含一默认通信端口号；S2、获取OPC报文数据，并判断OPC报文数据是否为服务器请求报文或响应报文，如果是，在白名单中记录服务器的分配给客户端的端口号，如果否，说明为客服端的报文数据，则转步骤S3；S3、获取发送报文数据的客户端端口号，并与白名单中的客户端端口号匹配，如果是，则允许OPC报文数据的传输，如果否，则拒绝通信，并丢弃该OPC报文数据；S4、对客户端的OPC的报文字段进行检测，通过{对象，接口，例程编号、操作参数、数据长度

【技术保护点】
一种基于OPC协议的工业控制系统访问控制方法，其特征在于，包括：S1、建立一端口号白名单，该端口号白名单包含一默认通信端口号；S2、获取OPC报文数据，并判断OPC报文数据是否为服务器请求报文或响应报文，如果是，在白名单中记录服务器的分配给客户端的端口号，如果否，说明为客服端的报文数据，则转步骤S3；S3、获取发送报文数据的客户端端口号，并与白名单中的客户端端口号匹配，如果是，则允许OPC报文数据的传输，如果否，则拒绝通信，并丢弃该OPC报文数据；S4、对客户端的OPC的报文字段进行检测，通过{对象，接口，例程编号、操作参数、数据长度}五元组，来构建OPC协议长度字段的白名单匹配表，根据对象，接口，例程编号、操作参数唯一确定数据长度是否合法；通过{寄存器地址、数值上限、数值下限}三元组，来构建OPC协议数据项白名单表，当获取寄存器地址后，查找OPC协议数据项白名单表，对比该寄存器地址对应的数值上限与数值下限，若符合则通过，若不符合，则进行过滤；S5、结束。

【技术特征摘要】
1.一种基于OPC协议的工业控制系统访问控制方法，其特征在于，包括：S1、建立一端口号白名单，该端口号白名单包含一默认通信端口号；S2、获取OPC报文数据，并判断OPC报文数据是否为服务器请求报文或响应报文，如果是，在白名单中记录服务器的分配给客户端的端口号，如果否，说明...

【专利技术属性】
技术研发人员：谢梅，陈志浩，姚金利，温泉，吴明杰，达小文，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京;11