[发明专利]一种OPC通讯的安全防护方法及装置

说明书

本申请提供了一种OPC通讯的安全防护方法及装置，应用于OPC防火墙，所述OPC防火墙部署于OPC客户端与OPC服务器之间的通讯链路上，所述方法包括：当接收到OPC通讯数据包时，对所述OPC通讯数据包的预设多个元组信息的合法性进行检测；当所述OPC通讯数据包的预设多个元组信息合法时，根据DEC/RPC协议规范对所述OPC通讯数据包的DEC/RPC数据格式的合法性进行检测；当所述OPC通讯数据包的DEC/RPC数据格式合法时，对所述OPC通讯数据包进行转发。过滤预设多个元组信息不合法或DEC/RPC数据格式不合法的OPC通讯数据包，降低了OPC通讯协议的安全风险。

技术领域

本发明涉及数据安全技术领域，更具体的，涉及一种OPC通讯的安全防护方法及装置。

背景技术

随着信息化与工业化深度融合的快速发展，工业控制系统越来越多地采用标准、开放的通信协议，通信协议所存在的安全隐患日益突出。其中OPC Classical规范(下称OPC规范)作为一种工业标准为现场设备、自动控制应用、企业管理应用软件之间提供了开放、统一的标准接口，其已经在控制领域得到广泛应用。

许多工业控制领域的公司都推出了符合OPC技术规范的产品，一般是基于微软的DCOM分布式组件技术进行开发设计的。但是由于DCOM技术是在网络安全问题被广泛认识之前设计的，极易遭受网络攻击。

发明内容

有鉴于此，本发明公开了一种OPC通讯的安全防护方法及装置，通过分析底层通讯协议DCE/RPC、DCOM机制，提出了一种OPC通讯安全防护的方法，降低了OPC通讯协议的安全风险。

为了实现上述发明目的，本发明提供的具体技术方案如下：

一种OPC通讯的安全防护方法，应用于OPC防火墙，所述OPC防火墙部署于OPC客户端与OPC服务器之间的通讯链路上，所述方法包括：

当接收到OPC通讯数据包时，对所述OPC通讯数据包的预设多个元组信息的合法性进行检测；

当所述OPC通讯数据包的预设多个元组信息合法时，根据DEC/RPC协议规范对所述OPC通讯数据包的DEC/RPC数据格式的合法性进行检测；

当所述OPC通讯数据包的DEC/RPC数据格式合法时，对所述OPC通讯数据包进行转发。

可选的，所述OPC通讯数据包的预设多个元组信息包括：目的MAC地址、源MAC地址、目的IP地址、源IP地址、目的端口、源端口和传输层协议；所述对所述OPC通讯数据包的预设多个元组信息的合法性进行检测，包括：

根据预先建立的IP-MAC地址绑定列表，检测所述OPC通讯数据包中的目的IP地址与目的MAC地址的对应关系是否合法，并检测所述OPC通讯数据包中的源IP地址与源MAC地址的对应关系是否合法；

根据预先建立的安全策略表，判断所述OPC通讯数据包中的目的IP地址、源IP地址、目的端口、源端口和传输层协议的类型是否符合所述安全策略表的ACL访问规则，若是，所述OPC通讯数据包的预设多个元组信息合法。

可选的，所述根据DEC/RPC协议规范对所述OPC通讯数据包的DEC/RPC数据格式的合法性进行检测，包括：

从所述OPC通讯数据包中提取DEC/RPC协议应用层数据；

检测所述DEC/RPC协议应用层数据的格式是否合法；

当所述OPC通讯数据包是由OPC客户端发出的，判断所述OPC通讯数据包的类型是否为Bind数据包、Alter_context数据包、Request数据包、Shutdown数据包和Cancel数据包中的任意一种；