技術領域

本發(fā)明涉及一種基于動態(tài)跟蹤技術的OPC協(xié)議的安全防護方法，屬于工業(yè)控制網絡安全領域。

背景技術

隨著過程自動化的發(fā)展，自動化系統(tǒng)廠商希望能夠集成不同廠家的不同硬件設備和軟件產品，各家設備之間實現(xiàn)互操作，工業(yè)現(xiàn)場的數(shù)據能從車間級匯入到整個企業(yè)信息系統(tǒng)中。OPC是一種能夠有效地進行數(shù)據訪問和管理的開放標準，能在工業(yè)控制環(huán)境中各個數(shù)據源之間靈活地進行通信。

OPC在電力行業(yè)、石化行業(yè)、樓宇控制等很多領域都有應用，能對PLC、DCS、Historian數(shù)據庫等很多設備進行有效的訪問與整合，它的出現(xiàn)為基于Windows的應用程序和現(xiàn)場過程控制應用建立了橋梁。

但OPC協(xié)議(OPC?DA,OPC?HAD和OPC?A&E)基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網絡安全問題被廣泛認識之前設計的。因此，這些協(xié)議給控制系統(tǒng)的安全性和可靠性提出了極大的挑戰(zhàn)。

大多數(shù)TCP和UDP通訊協(xié)議都使用單一的標準化端口號，例如Modbus?TCP通常使用502端口。客戶端設備建立對服務器設備502端口的連接，然后發(fā)送數(shù)據到服務器設備，或者接受來自服務器設備的數(shù)據。使用防火墻來保護這些客戶端和服務器設備相對而言比較簡單，只需設置防火墻，僅允許指定端口號的上的通訊，阻止其他所有的網絡通訊即可。

OPC?Classic協(xié)議就不是如此簡單了，建立OPC連接需要以下兩步：

（1）客戶端通過135端口查詢服務器以獲取通訊所需的TCP端口號；

（2）客戶端使用第一步獲取到的端口號連接到服務器，訪問目標數(shù)據。

實際數(shù)據連接（步驟2）使用的端口號是由OPC服務器以一個虛擬隨機序列動態(tài)分配的，因此沒有辦法提前知道服務器返回給客戶端的端口號。

正因如此，傳統(tǒng)的防火墻在保護OPC服務器時，不得不允許OPC客戶端和OPC服務器之間如此大范圍內的任何端口號的TCP連接。在這種情況下，防火墻提供的安全保障被降至最低。因此，目前絕大多數(shù)的OPC服務器都在沒有任何防火墻保護的情況下運行，從而很容易受到惡意軟件和其他安全威脅的攻擊。

發(fā)明內容

有鑒于此，本發(fā)明的目的是提供一種保證OPC通信安全的方法，基于動態(tài)跟蹤技術，解決OPC協(xié)議因為DCOM技術的安全脆弱點所產生的安全威脅，保證應用OPC技術的工業(yè)控制網絡通信的安全性。

本發(fā)明為實現(xiàn)上述目的所采用的技術方案是：一種基于動態(tài)跟蹤技術的OPC協(xié)議的安全防護方法，包括以下步驟：

數(shù)據捕獲與協(xié)議解析：利用Linux內核的Netfilter機制采集工業(yè)控制系統(tǒng)中OPC通訊流量，按照數(shù)據包信息進行協(xié)議判斷，只解析OPC協(xié)議的數(shù)據信息，解析出源IP地址、目的IP地址、源端口號、目的端口號、服務器分配的端口號；

端口跟蹤：跟蹤客戶端OPC請求信息，在服務器返回OPC應答信息中包括服務器端通過一個虛擬隨機序列動態(tài)分配的TCP端口號，在協(xié)議解析過程中對解析出來的動態(tài)分配TCP端口進行記錄；

端口授權管理：對合法的TCP端口分配交互過程進行授權，即打開安全防護設備正常通訊所需最小權力的端口，并對交互過程維護；

訪問控制：對經過TCP端口授權的交互通信信息的放行，并對該交互通信信息的傳輸過程進行訪問控制防護，阻止未經TCP端口授權的數(shù)據傳輸及控制命令傳送；阻止不符合DCE/RPC協(xié)議標準的請求及響應。

所述OPC協(xié)議解析出的數(shù)據信息被存儲下來。

所述端口授權管理還包括：定期檢測TCP端口授權是否有效，關閉達到時間限制的打開端口。

所述關閉達到時間限制的打開端口根據源IP地址、目的IP地址、所需端口號，關閉這個端口號的端口。

所述訪問控制允許域名解析通訊通過，允許通過其計算機名訪問OPC服務器，允許OPC客戶端和OPC服務器之間的NetBIOS名字服務和NetBIOS數(shù)據報服務。

本發(fā)明在深入理解OPC協(xié)議及DCOM基礎上設計，有很好的穩(wěn)定擴展性及實用性，只需簡單接入OPC客戶端與OPC服務器端之間即可，無需其他配置操作，即可以保證OPC通信網絡的安全性。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據提供的附圖獲得其他的附圖，均應落入本發(fā)明的保護范圍。

圖1為本發(fā)明的整體功能示意圖；