[发明专利]OPC安全网关系统有效
申请号: | 201510129314.6 | 申请日: | 2015-03-24 |
公开(公告)号: | CN104753936B | 公开(公告)日: | 2017-10-10 |
发明(设计)人: | 蔡皖东;王康;魏鹏程;吕品 | 申请(专利权)人: | 西北工业大学 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/66 |
代理公司: | 西北工业大学专利中心61204 | 代理人: | 王鲜凯 |
地址: | 710072 *** | 国省代码: | 陕西;61 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | opc 安全网关 系统 | ||
技术领域
本发明属于网络信息安全领域,特别是涉及一种OPC安全网关系统。
背景技术
在工业控制领域中,为了实现工业控制系统的应用软件和硬件产品之间的互操作性,需要在应用层面上解决系统集成和数据通信问题。为此,国际上成立了一个称为OPC基金会的国际组织,制定了OPC标准,OPC是Object Linking and Embedding for Process Control的简称。现在,OPC基金会的会员已超过220家,包括世界上所有主要的自动化控制系统、仪器仪表及过程控制系统的公司,因此OPC标准成为事实上的国际标准。
OPC标准的核心是微软公司的组件对象模型COM和分布式组件对象模型DCOM技术,它是一种基于客户/服务器模式的通信协议,定义了OPC客户端与OPC服务器之间的通信协议和数据包格式,包括一整套相关的接口、属性和方法,在Windows应用程序和现场过程控制设备之间建立起一个桥梁,使两者很容易实现系统集成和数据通信。因此,OPC标准已成为工业控制系统集成和互连的首选方案,绝大多数的工业控制设备和应用软件都支持OPC标准,否则就会被淘汰。
随着工业和信息化的深度融合,在电力、能源、化工、水利、制药、污水处理、石油天然气、交通运输以及航空航天等工业企业中,通常建有企业信息网和工业控制网两种网络系统,通过OPC协议,实现企业信息网与工业控制网的互连,用户使用企业信息网中的计算机能够远程地监控工业控制网中的工业设备,并获取相应的生产数据。
另一方面,在企业信息网与工业控制网的互连中,也存在着一些安全风险,企业信息网中常见的安全威胁被引入到工业控制网中,如网络病毒、黑客攻击以及恶意操作等,给工业控制网带来严重的信息安全问题,“震网”病毒事件就是典型的例子。
由于工业控制系统与普通信息系统在系统结构和通信协议上存在一些差异,现有的防火墙等网络安全产品并不能直接应用于工业控制系统中,需要研究和开发适合于工业控制系统的网络安全技术和产品,确保工业控制系统的信息安全。
发明内容
为了克服现有企业信息网与工业控制网的互连中安全性差的不足,本发明提供一种OPC安全网关系统。该系统包括OPC客户端安全认证模块、OPC数据包合规性检查模块、OPC数据包内容检查模块、异常事件检测和报警模块、日志记录与安全审计模块、网络资产识别和管理模块、系统管理接口模块和远程管理工具。企业信息网的信息通过OPC安全网关系统进入工业控制网,OPC安全网关系统对其通信行为进行安全认证,对数据包进行合格性检查和内容检查,识别和滤除恶意的通信行为及OPC数据包,并将OPC数据包转发给目标节点。防止非法用户入侵工业控制网,防止异常或变异OPC数据包攻击工业控制网,防止通过虚假命令对工业控制网进行攻击和破坏。可以提高企业信息网与工业控制网的互连中的安全性。
本发明解决其技术问题所采用的技术方案是:一种OPC安全网关系统,其特点是包括OPC客户端安全认证模块、OPC数据包合规性检查模块、OPC数据包内容检查模块、异常事件检测和报警模块、日志记录与安全审计模块、网络资产识别和管理模块、系统管理接口和远程管理工具。
OPC客户端安全认证模块采用白名单策略,事先将允许与OPC服务器通信的OPC客户端及用户名列入白名单中。在OPC客户端与OPC服务器建立连接时,通过解析OPC数据包,提取出OPC数据包中所包含的OPC客户端及用户信息,然后依据白名单进行检查,禁止任何未列入白名单中的OPC客户端及用户名与OPC服务器进行通信,防止非法用户入侵工业控制网。
OPC数据包合规性检查模块通过建立OPC协议规范与通信规则,用于检查OPC数据包类型及格式是否符合OPC协议规范。在OPC客户端与OPC服务器数据通信过程中,通过解析OPC数据包,提取出OPC数据包类型及格式,然后依据OPC协议规范与通信规则进行检查,滤除任何违反OPC协议规范与通信规则的异常或变异OPC数据包,防止异常或变异OPC数据包攻击工业控制网。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西北工业大学,未经西北工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510129314.6/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种信息处理方法及电子设备
- 下一篇:一种多功能的智能计算机网络安全设备