[發(fā)明專利]一種OPC通訊的安全防護(hù)方法及裝置有效
| 申請(qǐng)?zhí)枺?/td> | 201810916163.2 | 申請(qǐng)日: | 2018-08-13 |
| 公開(kāi)(公告)號(hào): | CN109104424B | 公開(kāi)(公告)日: | 2021-03-23 |
| 發(fā)明(設(shè)計(jì))人: | 馬納;章維;羅冰;陸衛(wèi)軍 | 申請(qǐng)(專利權(quán))人: | 浙江中控技術(shù)股份有限公司 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06 |
| 代理公司: | 北京集佳知識(shí)產(chǎn)權(quán)代理有限公司 11227 | 代理人: | 王寶筠 |
| 地址: | 310053 浙江省杭州市*** | 國(guó)省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 opc 通訊 安全 防護(hù) 方法 裝置 | ||
1.一種OPC通訊的安全防護(hù)方法,其特征在于,應(yīng)用于OPC防火墻,所述OPC防火墻部署于OPC客戶端與OPC服務(wù)器之間的通訊鏈路上,所述方法包括:
當(dāng)接收到OPC通訊數(shù)據(jù)包時(shí),對(duì)所述OPC通訊數(shù)據(jù)包的預(yù)設(shè)多個(gè)元組信息的合法性進(jìn)行檢測(cè);
當(dāng)所述OPC通訊數(shù)據(jù)包的預(yù)設(shè)多個(gè)元組信息合法時(shí),根據(jù)DEC/RPC協(xié)議規(guī)范對(duì)所述OPC通訊數(shù)據(jù)包的DEC/RPC數(shù)據(jù)格式的合法性進(jìn)行檢測(cè);
當(dāng)所述OPC通訊數(shù)據(jù)包的DEC/RPC數(shù)據(jù)格式合法時(shí),且OPC通訊數(shù)據(jù)包的目的端口為OPC動(dòng)態(tài)端口時(shí),判斷OPC通訊數(shù)據(jù)包是否為Request數(shù)據(jù)包;
當(dāng)所述OPC通訊數(shù)據(jù)包的目的端口為OPC動(dòng)態(tài)端口,且所述OPC通訊數(shù)據(jù)包為Request數(shù)據(jù)包時(shí),對(duì)Request數(shù)據(jù)包的有效性進(jìn)行檢測(cè);
當(dāng)所述OPC通訊數(shù)據(jù)包具備有效性時(shí),對(duì)Request數(shù)據(jù)包的OPC指令的合法性進(jìn)行檢測(cè);
當(dāng)Request數(shù)據(jù)包的OPC指令的合法時(shí),對(duì)所述OPC通訊數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā);
其中,所述對(duì)Request數(shù)據(jù)包的有效性進(jìn)行檢測(cè),包括:
當(dāng)OPC客戶端向OPC服務(wù)器發(fā)送包含有所述OPC動(dòng)態(tài)端口的Bind數(shù)據(jù)包,且接收到OPC服務(wù)器反饋的Bind_ack數(shù)據(jù)包時(shí),判定OPC客戶端可以訪問(wèn)所述OPC動(dòng)態(tài)端口,Request數(shù)據(jù)包具有有效性,所述Bind數(shù)據(jù)包用于詢問(wèn)OPC服務(wù)器是否支持相應(yīng)的OPC動(dòng)態(tài)端口的訪問(wèn);
或當(dāng)OPC客戶端向OPC服務(wù)器發(fā)送包含有所述OPC動(dòng)態(tài)端口的Alter_context數(shù)據(jù)包,且接收到OPC服務(wù)器反饋的Alter_context_response數(shù)據(jù)包時(shí),判定OPC客戶端可以訪問(wèn)所述OPC動(dòng)態(tài)端口,Request數(shù)據(jù)包具有有效性,所述Alter_context數(shù)據(jù)包用于詢問(wèn)OPC服務(wù)器是否支持相應(yīng)的OPC動(dòng)態(tài)端口的訪問(wèn)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述OPC通訊數(shù)據(jù)包的預(yù)設(shè)多個(gè)元組信息包括:目的MAC地址、源MAC地址、目的IP地址、源IP地址、目的端口、源端口和傳輸層協(xié)議;所述對(duì)所述OPC通訊數(shù)據(jù)包的預(yù)設(shè)多個(gè)元組信息的合法性進(jìn)行檢測(cè),包括:
根據(jù)預(yù)先建立的IP-MAC地址綁定列表,檢測(cè)所述OPC通訊數(shù)據(jù)包中的目的IP地址與目的MAC地址的對(duì)應(yīng)關(guān)系是否合法,并檢測(cè)所述OPC通訊數(shù)據(jù)包中的源IP地址與源MAC地址的對(duì)應(yīng)關(guān)系是否合法;
根據(jù)預(yù)先建立的安全策略表,判斷所述OPC通訊數(shù)據(jù)包中的目的IP地址、源IP地址、目的端口、源端口和傳輸層協(xié)議的類型是否符合所述安全策略表的ACL訪問(wèn)規(guī)則,若是,所述OPC通訊數(shù)據(jù)包的預(yù)設(shè)多個(gè)元組信息合法。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)DEC/RPC協(xié)議規(guī)范對(duì)所述OPC通訊數(shù)據(jù)包的DEC/RPC數(shù)據(jù)格式的合法性進(jìn)行檢測(cè),包括:
從所述OPC通訊數(shù)據(jù)包中提取DEC/RPC協(xié)議應(yīng)用層數(shù)據(jù);
檢測(cè)所述DEC/RPC協(xié)議應(yīng)用層數(shù)據(jù)的格式是否合法;
當(dāng)所述OPC通訊數(shù)據(jù)包是由OPC客戶端發(fā)出的,判斷所述OPC通訊數(shù)據(jù)包的類型是否為Bind數(shù)據(jù)包、Alter_context數(shù)據(jù)包、Request數(shù)據(jù)包、Shutdown數(shù)據(jù)包和Cancel數(shù)據(jù)包中的任意一種;
當(dāng)所述OPC通訊數(shù)據(jù)包是由OPC服務(wù)器發(fā)出的,判斷所述OPC通訊數(shù)據(jù)包的類型是否為Response數(shù)據(jù)包、Alter_context_response數(shù)據(jù)包、Fault數(shù)據(jù)包、Bind_ack數(shù)據(jù)包、Bind_nak數(shù)據(jù)包和Orphaned數(shù)據(jù)包中的任意一種。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,當(dāng)所述DEC/RPC協(xié)議應(yīng)用層數(shù)據(jù)中存在數(shù)據(jù)包認(rèn)證信息時(shí),所述根據(jù)DEC/RPC協(xié)議規(guī)范對(duì)所述OPC通訊數(shù)據(jù)包的DEC/RPC數(shù)據(jù)格式的合法性進(jìn)行檢測(cè),還包括:
對(duì)所述DEC/RPC協(xié)議應(yīng)用層數(shù)據(jù)中的數(shù)據(jù)包認(rèn)證信息的合法性進(jìn)行檢測(cè)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于浙江中控技術(shù)股份有限公司,未經(jīng)浙江中控技術(shù)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810916163.2/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 防護(hù)裝置和防護(hù)方法
- 防護(hù)材料與防護(hù)結(jié)構(gòu)與防護(hù)方法
- 一種用于評(píng)估防護(hù)工程綜合防護(hù)效能的數(shù)學(xué)計(jì)算模型
- 平面防護(hù)板、拐角防護(hù)板及防護(hù)裝置
- 平面防護(hù)板、拐角防護(hù)板及防護(hù)裝置
- 防護(hù)裝置及防護(hù)系統(tǒng)
- 防護(hù)蓋(接頭防護(hù)蓋)
- 巖爆防護(hù)臺(tái)車防護(hù)網(wǎng)以及防護(hù)臺(tái)車防護(hù)架
- 巖爆防護(hù)臺(tái)車防護(hù)網(wǎng)以及防護(hù)臺(tái)車防護(hù)架
- 防護(hù)罩、防護(hù)服及防護(hù)系統(tǒng)
