Opc安全網(wǎng)關(guān)數(shù)據(jù)包過濾方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)信息安全領(lǐng)域��,具體涉及一種OPC安全網(wǎng)關(guān)數(shù)據(jù)包過濾方法����。
【背景技術(shù)】
[0002]在工業(yè)控制領(lǐng)域中,為了實(shí)現(xiàn)工業(yè)控制系統(tǒng)的應(yīng)用軟件和硬件產(chǎn)品之間的互操作性����,需要在應(yīng)用層面上解決系統(tǒng)集成和數(shù)據(jù)通信問題。為此���,國(guó)際上成立了一個(gè)稱為OPC基金會(huì)的國(guó)際組織���,制定了 OPC 標(biāo)準(zhǔn)����,OPC 是 Object Linking and Embedding for ProcessControl的簡(jiǎn)稱?�,F(xiàn)在�����,OPC基金會(huì)的會(huì)員已超過220家�,包括世界上所有主要的自動(dòng)化控制系統(tǒng)、儀器儀表及過程控制系統(tǒng)的公司���,因此OPC標(biāo)準(zhǔn)成為事實(shí)上的國(guó)際標(biāo)準(zhǔn)����。
[0003]OPC標(biāo)準(zhǔn)的核心是微軟公司的組件對(duì)象模型COM和分布式組件對(duì)象模型DCOM技術(shù)���,它是一種基于客戶/服務(wù)器模式的通信協(xié)議����,定義了 OPC客戶端與OPC服務(wù)器之間的通信協(xié)議和數(shù)據(jù)包格式,包括一整套相關(guān)的接口����、屬性和方法���,在Windows應(yīng)用程序和現(xiàn)場(chǎng)過程控制設(shè)備之間建立起一個(gè)橋梁����,使兩者很容易實(shí)現(xiàn)系統(tǒng)集成和數(shù)據(jù)通信�����。因此��,OPC標(biāo)準(zhǔn)已成為工業(yè)控制系統(tǒng)集成和互連的首選方案�,絕大多數(shù)的工業(yè)控制設(shè)備和應(yīng)用軟件都支持OPC標(biāo)準(zhǔn),否則就會(huì)被淘汰�����。
[0004]隨著工業(yè)和信息化的深度融合���,在電力���、能源�����、化工���、水利、制藥����、污水處理、石油天然氣�����、交通運(yùn)輸以及航空航天等工業(yè)企業(yè)中���,通常建有企業(yè)信息網(wǎng)和工業(yè)控制網(wǎng)兩種網(wǎng)絡(luò)系統(tǒng)��,通過OPC協(xié)議����,實(shí)現(xiàn)企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)的互連���,用戶使用企業(yè)信息網(wǎng)中的計(jì)算機(jī)能夠遠(yuǎn)程地監(jiān)控工業(yè)控制網(wǎng)中的工業(yè)設(shè)備��,并獲取相應(yīng)的生產(chǎn)數(shù)據(jù)�����。
[0005]另一方面�,在企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)的互連中�����,也存在著一些安全風(fēng)險(xiǎn)�,企業(yè)信息網(wǎng)中常見的安全威脅被引入到工業(yè)控制網(wǎng)中,如網(wǎng)絡(luò)病毒�����、黑客攻擊以及惡意操作等�,給工業(yè)控制網(wǎng)帶來嚴(yán)重的信息安全問題,“震網(wǎng)”病毒事件就是典型的例子���。
[0006]由于工業(yè)控制系統(tǒng)與普通信息系統(tǒng)在系統(tǒng)結(jié)構(gòu)和通信協(xié)議上存在一些差異�,現(xiàn)有的防火墻等網(wǎng)絡(luò)安全產(chǎn)品并不能直接應(yīng)用于工業(yè)控制系統(tǒng)中����,需要研宄和開發(fā)適合于工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品��,確保工業(yè)控制系統(tǒng)的信息安全�。
【發(fā)明內(nèi)容】
[0007]為了克服現(xiàn)有工業(yè)控制系統(tǒng)安全防護(hù)差的不足���,本發(fā)明提供一種OPC安全網(wǎng)關(guān)數(shù)據(jù)包過濾方法��。該方法將OPC安全網(wǎng)關(guān)部署在企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)之間的網(wǎng)絡(luò)鏈路上�,通過設(shè)置OPC安全網(wǎng)關(guān)的安全策略和通信規(guī)則���,對(duì)經(jīng)過OPC安全網(wǎng)關(guān)的OPC數(shù)據(jù)包進(jìn)行檢查���;利用接口標(biāo)識(shí)符、客戶端IP地址�����、用戶名�����、域名����、主機(jī)名等特征字段對(duì)OPC客戶端進(jìn)行安全認(rèn)證��;利用OPC通信規(guī)則檢查OPC客戶端與OPC服務(wù)器之間的通信是否符合安全策略���;對(duì)于一次OPC客戶端與OPC服務(wù)器之間的通信,OPC安全網(wǎng)關(guān)在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)�,按照安全檢查規(guī)則進(jìn)行檢查和處理,禁止違反安全規(guī)則的OPC數(shù)據(jù)包進(jìn)入工業(yè)控制系統(tǒng)���。本發(fā)明通過部署和運(yùn)行OPC安全網(wǎng)關(guān),可以實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全防護(hù)��,過濾掉惡意的OPC通信操作及其數(shù)據(jù)包��,提高了工業(yè)控制系統(tǒng)安全防護(hù)能力�����。
[0008]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案:一種OPC安全網(wǎng)關(guān)數(shù)據(jù)包過濾方法���,其特點(diǎn)是包括以下步驟:
[0009]步驟一�����、將OPC安全網(wǎng)關(guān)部署在企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)之間的網(wǎng)絡(luò)鏈路上�,通過設(shè)置OPC安全網(wǎng)關(guān)的安全策略和通信規(guī)則,對(duì)經(jīng)過OPC安全網(wǎng)關(guān)的OPC數(shù)據(jù)包進(jìn)行檢查�����。
[0010]步驟二��、建立OPC協(xié)議規(guī)范��,包括OPC協(xié)議相關(guān)的特征字段�����,即接口標(biāo)識(shí)符����、客戶端IP地址、用戶名�、域名和主機(jī)名。利用這些特征字段對(duì)OPC客戶端進(jìn)行安全認(rèn)證��,禁止不符合OPC協(xié)議規(guī)范的OPC客戶端與OPC服務(wù)器進(jìn)行通信�����。
[0011]步驟三、建立OPC通信規(guī)則���,一條OPC通信規(guī)則定義如下:
[0012]Rule: {parameterl, parameter2, parameter3,......, parameter N:Act1n}��;
[0013]其中���,Rule為通信規(guī)則名稱;parameterl, 2��,3��,...��,N為參數(shù)名稱���,每個(gè)參數(shù)代表OPC通信的一個(gè)特征,如源IP��、目的IP�、源端口和目的端口 ;Act1n表示對(duì)符合該通信規(guī)則的通信所采取的動(dòng)作����,允許通過和禁止通過�����。
[0014]步驟四�、對(duì)于一次OPC客戶端與OPC服務(wù)器之間的通信��,OPC安全網(wǎng)關(guān)在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)��,按照下列安全檢查規(guī)則進(jìn)行檢查和處理:
[0015]①首先依據(jù)OPC協(xié)議對(duì)該數(shù)據(jù)包進(jìn)行特征識(shí)別�����,檢查是否為OPC數(shù)據(jù)包����,如果是則做下一步檢查;否則禁止該數(shù)據(jù)包通過��;
[0016]②根據(jù)OPC通信過程和動(dòng)態(tài)端口解析方法��,解析出動(dòng)態(tài)分配的端口號(hào)以及其它的特征參數(shù)���,為下一步檢查做準(zhǔn)備�����;
[0017]③依據(jù)OPC協(xié)議規(guī)范�,對(duì)OPC客戶端進(jìn)行認(rèn)證,禁止不符合OPC協(xié)議規(guī)范的數(shù)據(jù)包通過�;
[0018]④依據(jù)OPC通信規(guī)則,對(duì)OPC數(shù)據(jù)包進(jìn)行深度分析和檢查�,如果與通信規(guī)則集中的一條通信規(guī)則相符合,則執(zhí)行該通信規(guī)則所規(guī)定的動(dòng)作��;如果與通信規(guī)則集中的任何一條通信規(guī)則都不符合�,則禁止該數(shù)據(jù)包通過。
[0019]⑤將本次檢查結(jié)果記錄在日志中���,供事后審計(jì)和追蹤��。
[0020]本發(fā)明的有益效果是:該方法將OPC安全網(wǎng)關(guān)部署在企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)之間的網(wǎng)絡(luò)鏈路上���,通過設(shè)置OPC安全網(wǎng)關(guān)的安全策略和通信規(guī)則�,對(duì)經(jīng)過OPC安全網(wǎng)關(guān)的OPC數(shù)據(jù)包進(jìn)行檢查;利用接口標(biāo)識(shí)符��、客戶端IP地址��、用戶名���、域名�����、主機(jī)名等特征字段對(duì)OPC客戶端進(jìn)行安全認(rèn)證��;利用OPC通信規(guī)則檢查OPC客戶端與OPC服務(wù)器之間的通信是否符合安全策略�����;對(duì)于一次OPC客戶端與OPC服務(wù)器之間的通信�,OPC安全網(wǎng)關(guān)在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí),按照安全檢查規(guī)則進(jìn)行檢查和處理���,禁止違反安全規(guī)則的OPC數(shù)據(jù)包進(jìn)入工業(yè)控制系統(tǒng)���。本發(fā)明通過部署和運(yùn)行OPC安全網(wǎng)關(guān),實(shí)現(xiàn)了對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全防護(hù)��,過濾掉惡意的OPC通信操作及其數(shù)據(jù)包���,提高了工業(yè)控制系統(tǒng)安全防護(hù)能力�。
[0021]下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明作詳細(xì)說明。
【附圖說明】
[0022]圖1是本發(fā)明OPC安全網(wǎng)關(guān)數(shù)據(jù)包過濾方法涉及的OPC安全網(wǎng)關(guān)部署示意圖��。
[0023]圖2是本發(fā)明OPC安全網(wǎng)關(guān)數(shù)據(jù)包過濾方法的流程圖���。
【具體實(shí)施方式】
[0024]參照?qǐng)D1-2��。本發(fā)明通過開發(fā)OPC安全網(wǎng)關(guān)來實(shí)施�����,OPC安全網(wǎng)關(guān)的核心是基于本發(fā)明的OPC數(shù)據(jù)包過濾系統(tǒng)�,可采用軟件或硬件方式來實(shí)現(xiàn)����。在OPC安全網(wǎng)關(guān)部署和運(yùn)行時(shí),可通過一個(gè)遠(yuǎn)程控制臺(tái)進(jìn)行管理�,遠(yuǎn)程控制臺(tái)主要提供如下的功能:
[0025]1.遠(yuǎn)程控制臺(tái)與OPC安全網(wǎng)關(guān)之間采用串口通信方式,并提供一個(gè)圖形化用戶界面�,用于支持遠(yuǎn)程管理操作。
[0026]2.遠(yuǎn)程控制臺(tái)提供了身份鑒別功能���,用戶必須輸入正確的用戶名和口令,并通過身份認(rèn)證后才允許登錄到系統(tǒng)中����,執(zhí)行管理操作�����,并允許合法的用戶修改用戶名和口令��。
[0027]3.遠(yuǎn)程控制臺(tái)提供了系統(tǒng)配置功能�,包括建立OPC協(xié)議規(guī)范和OPC通信規(guī)則��、配置系統(tǒng)運(yùn)行環(huán)境參數(shù)以及其它的系統(tǒng)參數(shù)等��,當(dāng)OPC安全網(wǎng)關(guān)配置完成后���,即可投入正常運(yùn)行�����,還可以根據(jù)系統(tǒng)參數(shù)變化來調(diào)整系統(tǒng)配置��。
[0028]4.遠(yuǎn)程控制臺(tái)提供了安全監(jiān)控功能�����,包括系統(tǒng)工作狀態(tài)監(jiān)控以及日志查看與審計(jì)等��,通過安全監(jiān)控功能來監(jiān)控和評(píng)估系統(tǒng)的安全狀態(tài)����。
[0029]一、本發(fā)明所涉及的基本概念如下:
[0030]1.0PC數(shù)據(jù)包格式���。
[0031]一個(gè)OPC數(shù)據(jù)包主要由三個(gè)部分組成:
[0032](I)頭部:用于定義不同類型的數(shù)據(jù)包�,共有20種����,不同類型的數(shù)據(jù)包用于執(zhí)行不同的操作。OPC客戶端向OPC服務(wù)器發(fā)送的數(shù)據(jù)包稱為請(qǐng)求包�����,而OPC服務(wù)器向OPC客戶端返回的數(shù)據(jù)包稱為應(yīng)答包���。
[0033](2)載荷:在不同類型的數(shù)據(jù)包中�,用于傳輸相應(yīng)的數(shù)據(jù)或參數(shù)�。
[0034](3)認(rèn)證:用于對(duì)某種類型的數(shù)據(jù)包進(jìn)行數(shù)據(jù)完整性認(rèn)證,并非所有類型的數(shù)據(jù)包都需要數(shù)據(jù)認(rèn)證部分�����。
[0035]2.0PC通信過程。
[0036]OPC通信過程主要分為兩個(gè)階段�����。
[0037](I)OPC通信發(fā)起階段�����。在發(fā)起階段��,OPC客戶端向OPC服務(wù)器發(fā)起通信�����,獲取服務(wù)器的基本信息和綁定信息�����,具體操作流程如下:
[0038]①OPC客戶端使用隨機(jī)端口(如14963)向OPC服務(wù)器135端口發(fā)起TCP連接請(qǐng)求�����,經(jīng)過三次握手�����,建立TCP連接��;
[0039]②OPC客戶端使用bind請(qǐng)求包向OPC服務(wù)器發(fā)送