【技术实现步骤摘要】
一种OPC通讯的安全防护方法及装置
本专利技术涉及数据安全
,更具体的,涉及一种OPC通讯的安全防护方法及装置。
技术介绍
随着信息化与工业化深度融合的快速发展,工业控制系统越来越多地采用标准、开放的通信协议,通信协议所存在的安全隐患日益突出。其中OPCClassical规范(下称OPC规范)作为一种工业标准为现场设备、自动控制应用、企业管理应用软件之间提供了开放、统一的标准接口,其已经在控制领域得到广泛应用。许多工业控制领域的公司都推出了符合OPC技术规范的产品,一般是基于微软的DCOM分布式组件技术进行开发设计的。但是由于DCOM技术是在网络安全问题被广泛认识之前设计的,极易遭受网络攻击。
技术实现思路
有鉴于此,本专利技术公开了一种OPC通讯的安全防护方法及装置,通过分析底层通讯协议DCE/RPC、DCOM机制,提出了一种OPC通讯安全防护的方法,降低了OPC通讯协议的安全风险。为了实现上述专利技术目的,本专利技术提供的具体技术方案如下:一种OPC通讯的安全防护方法,应用于OPC防火墙,所述OPC防火墙部署于OPC客户端与OPC服务器之间的通讯链路上,所述...
【技术保护点】
1.一种OPC通讯的安全防护方法,其特征在于,应用于OPC防火墙,所述OPC防火墙部署于OPC客户端与OPC服务器之间的通讯链路上,所述方法包括:当接收到OPC通讯数据包时,对所述OPC通讯数据包的预设多个元组信息的合法性进行检测;当所述OPC通讯数据包的预设多个元组信息合法时,根据DEC/RPC协议规范对所述OPC通讯数据包的DEC/RPC数据格式的合法性进行检测;当所述OPC通讯数据包的DEC/RPC数据格式合法时,对所述OPC通讯数据包进行转发。
【技术特征摘要】
1.一种OPC通讯的安全防护方法,其特征在于,应用于OPC防火墙,所述OPC防火墙部署于OPC客户端与OPC服务器之间的通讯链路上,所述方法包括:当接收到OPC通讯数据包时,对所述OPC通讯数据包的预设多个元组信息的合法性进行检测;当所述OPC通讯数据包的预设多个元组信息合法时,根据DEC/RPC协议规范对所述OPC通讯数据包的DEC/RPC数据格式的合法性进行检测;当所述OPC通讯数据包的DEC/RPC数据格式合法时,对所述OPC通讯数据包进行转发。2.根据权利要求1所述的方法,其特征在于,所述OPC通讯数据包的预设多个元组信息包括:目的MAC地址、源MAC地址、目的IP地址、源IP地址、目的端口、源端口和传输层协议;所述对所述OPC通讯数据包的预设多个元组信息的合法性进行检测,包括:根据预先建立的IP-MAC地址绑定列表,检测所述OPC通讯数据包中的目的IP地址与目的MAC地址的对应关系是否合法,并检测所述OPC通讯数据包中的源IP地址与源MAC地址的对应关系是否合法;根据预先建立的安全策略表,判断所述OPC通讯数据包中的目的IP地址、源IP地址、目的端口、源端口和传输层协议的类型是否符合所述安全策略表的ACL访问规则,若是,所述OPC通讯数据包的预设多个元组信息合法。3.根据权利要求1所述的方法,其特征在于,所述根据DEC/RPC协议规范对所述OPC通讯数据包的DEC/RPC数据格式的合法性进行检测,包括:从所述OPC通讯数据包中提取DEC/RPC协议应用层数据;检测所述DEC/RPC协议应用层数据的格式是否合法;当所述OPC通讯数据包是由OPC客户端发出的,判断所述OPC通讯数据包的类型是否为Bind数据包、Alter_context数据包、Request数据包、Shutdown数据包和Cancel数据包中的任意一种;当所述OPC通讯数据包是由OPC服务器发出的,判断所述OPC通讯数据包的类型是否为Response数据包、Alter_context_response数据包、Fault数据包、Bind_ack数据包、Bind_nak数据包和Orphaned数据包中的任意一种。4.根据权利要求3所述的方法,其特征在于,当所述DEC/RPC协议应用层数据中存在数据包认证信息时,所述根据DEC/RPC协议规范对所述OPC通讯数据包的DEC/RPC数据格式的合法性进行检测,还包括:对所述DEC/RPC协议应用层数据中的数据包认证信息的合法性进行检测。5.根据权利要求1所述的方法,其特征在于,在对所述OPC通讯数据包进行转发之前,所述方法还包括:当所述OPC通讯数据包的目的端口为OPC动...
【专利技术属性】
技术研发人员:马纳,章维,罗冰,陆卫军,
申请(专利权)人:浙江中控技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。