一种实现报文过滤的方法和装置制造方法及图纸

本发明专利技术公开了一种实现报文过滤的方法和装置，包括：接收到来自OPC终端的数据报文；在预先设置的操作方法、OPC项和表示是否允许操作的信息之间的第一对应关系中，查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，将数据报文发送给OPC服务器。通过本发明专利技术的方案，对数据报文中的操作方法和OPC项进行过滤，提高了数据报文的防护性能。

【技术实现步骤摘要】
一种实现报文过滤的方法和装置
本专利技术涉及用于过程控制的对象连接与嵌入(OLE，ObjectLinkingandEmbedding)(OPC，OLEforProcessControl)，尤指一种实现报文过滤的方法和装置。
技术介绍
OPC协议的提出，为自动化厂商的设备和应用软件之间提供一种标准数据交换的接口。其高效、可靠、开放的特性大大简化了工业现场设备和应用软件之间的通信机制，为不同厂家的设备集成提供了便利。因此其被广泛应用于各种工业控制网络之中。由于OPC协议在设计之初，缺乏安全性方面的考虑，存在很多安全隐患，因此，需要对OPC终端和OPC服务器之间的报文进行过滤。现有的实现报文过滤的方法大致包括：接收到来自OPC终端的数据报文，判断出接收到的数据报文为OPC协议报文，将接收到的报文发送给OPC服务器。现有的实现报文过滤的方法中，仅判断接收到的数据报文是否是OPC协议报文，即从网络层面对报文进行过滤，而无法对数据报文的内容进行过滤，数据报文的防护性能较低。
技术实现思路
为了解决上述问题，本专利技术提出了一种实现报文过滤的方法和装置，能够提高数据报文的防护性能。为了达到上述目的，本专利技术提出了一种实现报文过滤的方法，包括：接收到来自用户过程控制的对象连接与嵌入OPC终端的数据报文；在预先设置的操作方法、OPC项和表示是否允许操作的信息之间的第一对应关系中，查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，将数据报文发送给OPC服务器。可选的，所述接收到来自OPC终端的数据报文后，所述在第一对应关系中查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息之前还包括：在预先设置的允许执行的操作方法中查找到数据报文中的操作方法。可选的，当所述数据报文中的操作方法为修改时，所述判断出查找到的表示是否允许操作的信息为表示允许操作的信息后，所述将数据报文发送给OPC服务器之前还包括：分别在预先设置的OPC项和安全范围之间的第二对应关系中，查找所述数据报文中的各OPC项对应的安全范围；分别判断出所述数据报文中的各OPC项对应的数值或字符串长度在查找到的各OPC项对应的安全范围内。可选的，所述接收到来自OPC终端的数据报文后，所述在第一对应关系中查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息之前还包括：在预先设置的参数和表示是否允许通过的信息之间的第三对应关系中，查找所述数据报文中的各预设参数对应的表示是否允许通过的信息，判断出查找到的各表示是否允许通过的信息均为允许通过；其中，预设参数为源互联网协议IP地址、或目的IP地址、或源端口、或目的端口；和/或，判断出所述数据报文为OPC协议报文。可选的，当判断出所述查找到的表示是否允许操作的信息为表示不允许操作的信息，或在所述允许执行的操作方法中查找不到所述数据报文中的操作方法，或判断出所述数据报文中的某一个OPC项对应的数值或字符串长度不在查找到的该OPC项对应的安全范围内，或判断出查找到的各表示是否允许通过的信息中的至少一个为不允许通过，或判断出所述数据报文不是OPC协议报文时，该方法还包括：丢弃所述数据报文。可选的，该方法之前还包括：接收到来自所述OPC终端的主连接请求报文，获取所述主连接请求报文中的动态端口获取方法名称，并将所述主连接请求报文发送给所述OPC服务器；接收到来自所述OPC服务器的主连接响应报文，在预先设置的动态端口获取方法名称和表示执行结果的格式的信息之间的第三对应关系中，查找获得的动态端口获取方法名称对应的表示执行结果的格式的信息；根据查找到的表示执行结果的格式的信息获取所述主连接响应报文中的执行结果中的动态端口编号；将所述主连接响应报文发送给所述OPC终端。可选的，所述接收到来自OPC终端的主连接请求报文后，在所述获取主连接请求报文中的动态端口获取方法名称之前还包括：在预先设置的参数和表示是否允许通过的信息之间的第三对应关系中，查找所述主连接请求报文中的各预设参数对应的表示是否允许通过的信息，判断出查找到的各表示是否允许通过的信息均为允许通过；和/或，判断出所述主连接请求报文为OPC协议报文。可选的，所述根据查找到的表示执行结果的格式的信息获取主连接响应报文中的执行结果中的动态端口编号后还包括：将所述第三对应关系中，所述获得的动态端口编号对应的表示是否允许通过的信息设置为允许通过。本专利技术还提出了一种实现报文过滤的装置，至少包括：接收模块，用于接收到来自用户过程控制的对象连接与嵌入OPC终端的数据报文；过滤模块，用于在预先设置的操作方法、OPC项和表示是否允许操作的信息之间的第一对应关系中，查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，将数据报文发送给OPC服务器。可选的，所述过滤模块具体用于：在预先设置的允许执行的操作方法中查找到数据报文中的操作方法，在预先设置的操作方法、OPC项和表示是否允许操作的信息之间的第一对应关系中，查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，将数据报文发送给OPC服务器。可选的，当所述数据报文中的操作方法为修改时，所述过滤模块具体用于：在所述第一对应关系中查找所述数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，分别在预先设置的OPC项和安全范围之间的第二对应关系中，查找数据报文中的各OPC项对应的安全范围；分别判断出数据报文中的各OPC项对应的数值或字符串长度在查找到的各OPC项对应的安全范围内，将数据报文发送给OPC服务器。可选的，所述过滤模块具体用于：在预先设置的参数和表示是否允许通过的信息之间的第三对应关系中，查找所述数据报文中的各预设参数对应的表示是否允许通过的信息，判断出查找到的各表示是否允许通过的信息均为允许通过；其中，预设参数为源互联网协议IP地址、或目的IP地址、或源端口、或目的端口；和/或，判断出所述数据报文为OPC协议报文；在所述第一对应关系中，查找所述数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，将数据报文发送给OPC服务器。可选的，所述过滤模块还用于：当判断出所述查找到的表示是否允许操作的信息为表示不允许操作的信息，或在所述允许执行的操作方法中查找不到所述数据报文中的操作方法，或判断出所述数据报文中的某一个OPC项对应的数值或字符串长度不在查找到的该OPC项对应的安全范围内，或判断出查找到的各表示是否允许通过的信息中的至少一个为不允许通过，或判断出所述数据报文不是OPC协议报文时，丢弃所述数据报文。可选的，所述接收模块还用于：接收到来自所述OPC终端的主连接请求报文；接收到来自所述OPC服务器的主连接响应报文；所述过滤模块还用于：获取所述主连接请求报文中的动态端口获取方法名称，并将所述主连接请求报文发送给所述OPC服务器；在预先设置的动态端口获取方法名称和表示执行结果的格式的信息之间的第三本文档来自技高网...

【技术保护点】
一种实现报文过滤的方法，其特征在于，包括：接收到来自用户过程控制的对象连接与嵌入OPC终端的数据报文；在预先设置的操作方法、OPC项和表示是否允许操作的信息之间的第一对应关系中，查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，将数据报文发送给OPC服务器。

【技术特征摘要】
1.一种实现报文过滤的方法，其特征在于，包括：接收到来自用户过程控制的对象连接与嵌入OPC终端的数据报文；在预先设置的操作方法、OPC项和表示是否允许操作的信息之间的第一对应关系中，查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，将数据报文发送给OPC服务器。2.根据权利要求1所述的方法，其特征在于，所述接收到来自OPC终端的数据报文后，所述在第一对应关系中查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息之前还包括：在预先设置的允许执行的操作方法中查找到数据报文中的操作方法。3.根据权利要求1所述的方法，其特征在于，当所述数据报文中的操作方法为修改时，所述判断出查找到的表示是否允许操作的信息为表示允许操作的信息后，所述将数据报文发送给OPC服务器之前还包括：分别在预先设置的OPC项和安全范围之间的第二对应关系中，查找所述数据报文中的各OPC项对应的安全范围；分别判断出所述数据报文中的各OPC项对应的数值或字符串长度在查找到的各OPC项对应的安全范围内。4.根据权利要求1所述的方法，其特征在于，所述接收到来自OPC终端的数据报文后，所述在第一对应关系中查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息之前还包括：在预先设置的参数和表示是否允许通过的信息之间的第三对应关系中，查找所述数据报文中的各预设参数对应的表示是否允许通过的信息，判断出查找到的各表示是否允许通过的信息均为允许通过；其中，预设参数为源互联网协议IP地址、或目的IP地址、或源端口、或目的端口；和/或，判断出所述数据报文为OPC协议报文。5.根据权利要求1或2或3或4所述的方法，其特征在于，当判断出所述查找到的表示是否允许操作的信息为表示不允许操作的信息，或在所述允许执行的操作方法中查找不到所述数据报文中的操作方法，或判断出所述数据报文中的某一个OPC项对应的数值或字符串长度不在查找到的该OPC项对应的安全范围内，或判断出查找到的各表示是否允许通过的信息中的至少一个为不允许通过，或判断出所述数据报文不是OPC协议报文时，该方法还包括：丢弃所述数据报文。6.根据权利要求1或2或3或4所述的方法，其特征在于，该方法之前还包括：接收到来自所述OPC终端的主连接请求报文，获取所述主连接请求报文中的动态端口获取方法名称，并将所述主连接请求报文发送给所述OPC服务器；接收到来自所述OPC服务器的主连接响应报文，在预先设置的动态端口获取方法名称和表示执行结果的格式的信息之间的第三对应关系中，查找获得的动态端口获取方法名称对应的表示执行结果的格式的信息；根据查找到的表示执行结果的格式的信息获取所述主连接响应报文中的执行结果中的动态端口编号；将所述主连接响应报文发送给所述OPC终端。7.根据权利要求6所述的方法，其特征在于，所述接收到来自OPC终端的主连接请求报文后，在所述获取主连接请求报文中的动态端口获取方法名称之前还包括：在预先设置的参数和表示是否允许通过的信息之间的第三对应关系中，查找所述主连接请求报文中的各预设参数对应的表示是否允许通过的信息，判断出查找到的各表示是否允许通过的信息均为允许通过；和/或，判断出所述主连接请求报文为OPC协议报文。8.根据权利要求7所述的方法，其特征在于，所述根据查找到的表示执行结果的格式的信息获取主连接响应报文中的执行结果中的动态端口编号后还包括：将所述第三对应关系中，所述获得的动态端口编号对应的表示是否允许通过的信息设置为允许通过。9.一种实现报文过滤的装置，其特征在于，至少包括：接收模块，用于接收到来自用户过程控制的对象连接与嵌入OPC终端的数据报文；过滤模块，用于在预先设置的操作方法、OPC项和表示是否允许操作的信息之间的第一对应关系中，查找数据报文中的操作方法和OPC项对应的表示是否允许操作的信息，判断出查找到的表示是否允许操作的信息为表示允许操作的信息，将数据报文发送给OPC服务...

【专利技术属性】
技术研发人员：张刚强，孟庆森，张帅，
申请(专利权)人：北京网御星云信息技术有限公司，启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：北京,11