本申請提供了一種OPC通訊的安全防護方法及裝置，應用于OPC防火墻，所述OPC防火墻部署于OPC客戶端與OPC服務器之間的通訊鏈路上，所述方法包括：當接收到OPC通訊數據包時，對所述OPC通訊數據包的預設多個元組信息的合法性進行檢測；當所述OPC通訊數據包的預設多個元組信息合法時，根據DEC/RPC協議規范對所述OPC通訊數據包的DEC/RPC數據格式的合法性進行檢測；當所述OPC通訊數據包的DEC/RPC數據格式合法時，對所述OPC通訊數據包進行轉發。過濾預設多個元組信息不合法或DEC/RPC數據格式不合法的OPC通訊數據包，降低了OPC通訊協議的安全風險。

技術領域

本發明涉及數據安全技術領域，更具體的，涉及一種OPC通訊的安全防護方法及裝置。

背景技術

隨著信息化與工業化深度融合的快速發展，工業控制系統越來越多地采用標準、開放的通信協議，通信協議所存在的安全隱患日益突出。其中OPC Classical規范(下稱OPC規范)作為一種工業標準為現場設備、自動控制應用、企業管理應用軟件之間提供了開放、統一的標準接口，其已經在控制領域得到廣泛應用。

許多工業控制領域的公司都推出了符合OPC技術規范的產品，一般是基于微軟的DCOM分布式組件技術進行開發設計的。但是由于DCOM技術是在網絡安全問題被廣泛認識之前設計的，極易遭受網絡攻擊。

發明內容

有鑒于此，本發明公開了一種OPC通訊的安全防護方法及裝置，通過分析底層通訊協議DCE/RPC、DCOM機制，提出了一種OPC通訊安全防護的方法，降低了OPC通訊協議的安全風險。

為了實現上述發明目的，本發明提供的具體技術方案如下：

一種OPC通訊的安全防護方法，應用于OPC防火墻，所述OPC防火墻部署于OPC客戶端與OPC服務器之間的通訊鏈路上，所述方法包括：

當接收到OPC通訊數據包時，對所述OPC通訊數據包的預設多個元組信息的合法性進行檢測；

當所述OPC通訊數據包的預設多個元組信息合法時，根據DEC/RPC協議規范對所述OPC通訊數據包的DEC/RPC數據格式的合法性進行檢測；

當所述OPC通訊數據包的DEC/RPC數據格式合法時，對所述OPC通訊數據包進行轉發。

可選的，所述OPC通訊數據包的預設多個元組信息包括：目的MAC地址、源MAC地址、目的IP地址、源IP地址、目的端口、源端口和傳輸層協議；所述對所述OPC通訊數據包的預設多個元組信息的合法性進行檢測，包括：

根據預先建立的IP-MAC地址綁定列表，檢測所述OPC通訊數據包中的目的IP地址與目的MAC地址的對應關系是否合法，并檢測所述OPC通訊數據包中的源IP地址與源MAC地址的對應關系是否合法；

根據預先建立的安全策略表，判斷所述OPC通訊數據包中的目的IP地址、源IP地址、目的端口、源端口和傳輸層協議的類型是否符合所述安全策略表的ACL訪問規則，若是，所述OPC通訊數據包的預設多個元組信息合法。

可選的，所述根據DEC/RPC協議規范對所述OPC通訊數據包的DEC/RPC數據格式的合法性進行檢測，包括：

從所述OPC通訊數據包中提取DEC/RPC協議應用層數據；

檢測所述DEC/RPC協議應用層數據的格式是否合法；

當所述OPC通訊數據包是由OPC客戶端發出的，判斷所述OPC通訊數據包的類型是否為Bind數據包、Alter_context數據包、Request數據包、Shutdown數據包和Cancel數據包中的任意一種；