CN104767748B - Opc服务器安全防护系统 - Google Patents

Abstract

本发明公开了一种OPC服务器安全防护系统，用于解决现有服务器以及工业控制系统安全性差的技术问题。技术方案是包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。根据OPC服务器网络通信系统结构，在OPC服务器的网络层、传输层和应用层上设置安全规则，对OPC服务器进入和外出的数据包进行深度安全检查和审计，识别和滤除恶意的访问行为及数据包，提高了OPC服务器以及工业控制系统的安全防护能力。

Description

OPC服务器安全防护系统

技术领域

本发明属于网络信息安全领域，特别是涉及一种OPC服务器安全防护系统。

背景技术

在工业控制领域中，为了实现工业控制系统的应用软件和硬件产品之间的互操作性和可集成性，需要在应用层面上解决系统集成和数据通信问题。为此，国际上成立了一个称为OPC基金会的国际组织，制定了OPC标准，OPC是Object Linking and Embedding forProcess Control的简称。现在，OPC基金会的会员已超过220家，包括世界上所有主要的自动化控制系统、仪器仪表及过程控制系统的公司，因此OPC标准成为事实上的国际标准。

OPC标准的核心是微软公司的组件对象模型COM和分布式组件对象模型DCOM技术，它是一种基于客户/服务器模式的通信协议，定义了OPC客户端与OPC服务器之间的通信协议和数据包格式，包括一整套相关的接口、属性和方法，在Windows应用程序和现场过程控制设备之间建立起一个桥梁，使两者很容易实现系统集成和数据通信。因此，OPC标准已成为工业控制系统集成和互连的首选方案，绝大多数的工业控制设备和应用软件都支持OPC标准，否则就会被淘汰。

随着工业和信息化的深度融合，在电力、能源、化工、水利、制药、污水处理、石油天然气、交通运输以及航空航天等工业企业中，通常建有企业信息网和工业控制网两种网络系统，通过OPC协议，实现企业信息网与工业控制网的互连互通，用户使用企业信息网中的计算机能够远程地监控工业控制网中的工业设备，并获取相应的生产数据。

另一方面，在企业信息网与工业控制网的互连中，也存在着一些安全风险，企业信息网中常见的安全威胁被引入到工业控制网中，如网络病毒、黑客攻击以及恶意操作等，给工业控制网带来严重的信息安全问题，“震网”病毒事件就是典型的例子。

由于OPC服务器在基于OPC协议的工业控制系统集成框架中起着桥梁作用，对于OPC服务器的安全防护十分重要，否则来自OPC客户端的恶意攻击就会通过OPC服务器危及工控设备及系统安全，造成严重的后果。因此，对OPC服务器的安全防护将直接关系到工业控制系统的安全。

发明内容

为了克服现有服务器以及工业控制系统安全性差的不足，本发明提供一种OPC服务器安全防护系统。该系统包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。根据OPC服务器网络通信系统结构，在OPC服务器的网络层、传输层和应用层上设置安全规则，对OPC服务器进入和外出的数据包进行深度安全检查和审计，识别和滤除恶意的访问行为及数据包，可以提高OPC服务器以及工业控制系统的安全防护能力。

本发明解决其技术问题所采用的技术方案是：一种OPC服务器安全防护系统，其特点是包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。

一、根据OPC服务器的安全策略设置网络层、传输层和应用层的安全规则。

(1)网络层：设置IP协议和ICMP协议的安全规则：

①将ICMP协议列入黑名单，表示禁止OPC服务器发送和接收ICMP数据包；ICMP协议未列入黑名单，表示允许OPC服务器使用ICMP协议进行通信。

②将特定的IP地址列入黑名单，表示禁止OPC服务器发送和接收这些特定目的IP地址或源IP地址的IP数据包；未列入黑名单的IP地址，表示允许OPC服务器发送和接收这些IP地址的IP数据包。

(2)传输层：设置TCP协议和UDP协议的安全规则：

①将特定的TCP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的TCP端口号或源TCP端口号的TCP数据包；未列入黑名单的TCP端口号，表示允许OPC服务器发送和接收这些TCP端口号的TCP数据包。

②将特定的UDP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的UDP端口号或源UDP端口号的UDP数据包；未列入黑名单的UDP端口号，表示允许OPC服务器发送和接收这些UDP端口号的UDP数据包。

(3)应用层：设置OPC协议的安全规则：

①将特定的OPC客户端及认证信息列入白名单，表示允许OPC服务器与这些特定的OPC客户端及用户名建立OPC连接进行通信；未列入白名单的OPC客户端，表示禁止OPC服务器与它们建立OPC连接。

②将特定的字符串及格式列入白名单，表示允许OPC服务器接收包含这些特定字符串及格式的OPC请求包，这些特定的字符串与允许发送给工业控制设备的命令相对应；未列入白名单的字符串及格式，表示禁止OPC服务器接收这些OPC请求包。

二、数据包过滤驱动模块对各个层的数据包进行检查与过滤，利用Windows过滤平台)提供的接口函数和过滤功能实现。对于网络层和传输层数据包，通过Windows过滤平台的接口函数将安全规则传递给Windows过滤平台，由Windows过滤平台直接对数据包进行检查与过滤；对于应用层数据包，通过Windows过滤平台的接口函数来捕获数据包，由数据包过滤驱动模块对数据包进行解析和检查，根据检查结果再通过Windows过滤平台的接口函数通知Windows过滤平台是否放行该数据包。

(1)对于网络层数据包，过滤平台的检查与过滤过程如下：

①检查IP数据包头中的协议类型，如果是ICMP数据包，则检查ICMP协议是否被黑名单禁止；如果被禁止，则丢弃该数据包；如果未被禁止，则将该数据包提交给ICMP协议进行处理。

②如果是IP数据包，则检查IP数据包头中的目的IP地址和源IP地址是否被列入黑名单，如果列入，则丢弃该数据包；如果未列入，则将该数据包提交给IP协议进行处理。

(2)对于传输层数据包，过滤平台的检查与过滤过程如下：

①如果是TCP数据包，则检查TCP数据包头中的目的端口号和源端口号是否被列入黑名单，如果列入，则丢弃该数据包；如果未列入，则将该数据包提交给TCP协议进行处理。

②如果是UDP数据包，则检查UDP数据包头中的目的端口号和源端口号是否被列入黑名单，如果列入，则滤除该数据包；如果未列入，则将该数据包提交给UDP协议进行处理。

(3)在应用层，对数据包的解析和检查过程如下：

①首先通过过滤平台捕获OPC数据包，然后对OPC数据包进行解析和检查。

②如果OPC数据包是OPC客户端向OPC服务器发出的OPC请求包，则从请求包中提取出OPC客户端及认证信息，检查是否被列入白名单，如果未列入，则丢弃该数据包；如果列入，则执行后续的检查。

③如果OPC数据包是OPC客户端向OPC服务器发出的命令包，则检查命令包中是否包含白名单所列入的字符串及格式，如果未列入，则丢弃该数据包；如果列入，则执行后续的检查。

④按照OPC协议规范，在OPC数据包头中是否存在不符OPC协议规范的数据格式及类型，如果存在，则丢弃该数据包；如果不存在，则允许该数据包通过。

⑤对于允许通过的OPC数据包，则通知过滤平台放行该数据包；对于需要丢弃的OPC数据包，则通知过滤平台丢弃该数据包，并向控制台发出报警信息，同时作为异常事件写入日志文件中。

三、系统管理员通过控制台进行安全规则设置、日志管理和异常报警操作：

(1)在控制台上，系统管理员选择安全规则设置菜单，进行网络层、传输层和应用层安全规则的设置操作；

(2)在控制台上，系统管理员选择日志管理菜单，进行日志信息查询、安全审计和数据备份等操作；

(3)所有的异常报警信息均显示在控制台上，供系统管理员查看。

本发明的有益效果是：该系统包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。根据OPC服务器网络通信系统结构，在OPC服务器的网络层、传输层和应用层上设置安全规则，对OPC服务器进入和外出的数据包进行深度安全检查和审计，识别和滤除恶意的访问行为及数据包，提高了OPC服务器以及工业控制系统的安全防护能力。

下面结合附图和具体实施方式对本发明作详细说明。

附图说明

图1是OPC服务器应用部署示意图。

图2是本发明服务器安全防护系统结构图。

具体实施方式

参照图1-2。本发明所涉及的基本概念如下：

1.OPC服务器网络通信系统结构。

OPC服务器网络通信系统结构建立在TCP/IP协议基础上，由低到高分为物理层、数据链路层、网络层、传输层和应用层，每一层定义了相应的通信协议。物理层和数据链路层的通信功能通常由网卡来实现；网络层协议主要有IP(Internetwork Protocol，网际协议)、ICMP(Internetwork Control Message Protocol，网际控制报文协议)；传输层协议主要有TCP(Transmission Control Protocol，传输控制协议)和UDP(User DatagramProtocol，用户数据报协议)；应用层协议比较多，常用的应用层协议有HTTP(Hyper TextTransfer Protocol，超文本传输协议)、FTP(File Transfer Protocol，文件传输协议)、SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)等，OPC客户端与OPC服务器之间的数据通信所采用的OPC协议属于应用层协议。

因此，对OPC服务器的安全防护，必须按照OPC服务器网络通信系统结构，从OPC服务器的网络层、传输层和应用层上，通过设置安全规则，对数据包进行安全检查，禁止任何违反安全规则的数据包进出OPC服务器。

2.数据包格式和封装。

数据包是网络通信的基本单位，一个数据包通常由数据包头和数据内容两部分组成，任何一种通信协议都规定了各自的数据包格式，如IP、TCP、UDP、OPC等协议都规定了其数据包格式。

OPC客户端与OPC服务器之间进行通信时，发送端按照如下方法逐层封装用户数据：

(1)首先将用户数据传递给应用层协议，即OPC协议，OPC协议按照规定的格式在用户数据前封装一个OPC数据包头，形成OPC数据包，然后传递给传输层协议，即TCP协议。

(2)TCP协议按照规定的格式在OPC数据包前再封装一个TCP数据包头，形成TCP数据包，然后传递给网络层协议，即IP协议。

(3)IP协议按照规定的格式在TCP数据包前再封装一个IP数据包头，形成IP数据包，然后传递给网卡发送出去。

接收端按照如下方法逐层解封用户数据：

(1)网卡将接收到的IP数据包提交给IP协议，IP协议去除IP数据包头后，将TCP数据包提交给TCP协议。

(2)TCP协议去除TCP数据包头后，将OPC数据包提交给OPC协议。

(3)OPC协议去除OPC数据包头后，将用户数据提交给相应的应用程序。

可见，在一个IP数据包中，由外向里，依次是IP数据包头、TCP数据包头、OPC数据包头、用户数据，通过捕获IP数据包，就可以提取出上述协议数据包头和用户数据，并根据协议数据包头所包含的字段内容进行安全检查。

3.OPC协议通信过程。

OPC协议通信过程主要分为通信发起和数据通信两个阶段，每个阶段的通信过程都通过TCP协议来完成。一般的OPC协议通信过程如下：

(1)OPC通信发起阶段。在发起阶段，OPC客户端向OPC服务器发起通信，获取服务器的基本信息和绑定信息，具体操作流程如下：

①OPC客户端使用随机端口(如14963)向OPC服务器135端口发起TCP连接请求，经过三次握手，建立TCP连接；

②OPC客户端使用bind请求包向OPC服务器发送绑定请求；绑定接口为IOXIDResolve，其接口标识符为：99fcfec4-5260-101b-bbcb-00aa0021347a；

③OPC服务器使用bind-ack应答包向OPC客户端返回绑定结果，其中包含有绑定是否成功的标志；

④OPC客户端调用接口IOXIDResolve中的serverAlive2函数，向OPC服务器请求执行远程过程调用；

⑤OPC服务器返回serverAlive2函数的执行结果，其中包括OPC服务器的基本信息和绑定信息。

(2)OPC数据通信阶段。OPC客户端获取了OPC服务器的基本信息后，OPC客户端便可以向OPC服务器发起数据通信，创建远程对象实例，具体操作流程如下：

①OPC客户端使用14964端口向OPC服务器的135端口发起TCP连接请求，经过三次握手，建立TCP连接。

②OPC客户端使用bind请求包向OPC服务器发送绑定请求；绑定接口为IsystemActivator，其接口标识符为：000001a0-0000-0000-c000-000000000046；

③OPC服务器用bind-ack应答包向OPC客户端返回绑定结果，其中包含有绑定是否成功的标志；

④OPC客户端利用Auth3请求包向OPC服务器发送认证信息，包括OPC客户端的域名、用户名、主机名以及认证信息等；

⑤OPC客户端调用接口IsystemActivator的RemoteCreateInstance函数，向OPC服务器请求执行远程过程调用，创建OPC Server Browser对象实例；

⑥OPC服务器返回RemoteCreateInstance函数的执行结果，其中包括OPC服务器动态分配的端口号。

在④步，OPC客户端利用Auth3请求包向OPC服务器发送认证信息，包括OPC客户端的域名、用户名、主机名以及认证信息等。OPC服务器利用认证信息对OPC客户端进行安全认证，未通过认证的OPC客户端，OPC服务器终止后续的通信过程。

4.黑名单和白名单。

黑名单和白名单是信息安全领域常用的专业术语，用于描述不同的安全策略。黑名单是指凡是在名单中列出的事项或操作都是禁止的，而未出现在名单中的事项或操作都是允许的。白名单是指凡是在名单中列出的事项或操作都是允许的，而未出现在名单中的事项或操作都是禁止的。黑名单和白名单代表了两种不同的安全策略，可根据安全需求和控制要求来使用。

根据OPC服务器安全防护系统结构和工作机制，本发明具体包括：

1.制定OPC服务器的安全策略，并根据安全策略来设置网络层、传输层和应用层的安全规则。

(1)网络层：设置IP协议和ICMP协议的安全规则：

①将ICMP协议列入黑名单，表示禁止OPC服务器发送和接收ICMP数据包；ICMP协议未列入黑名单，表示允许OPC服务器使用ICMP协议进行通信。

②将特定的IP地址列入黑名单，表示禁止OPC服务器发送和接收这些特定目的IP地址或源IP地址的IP数据包；未列入黑名单的IP地址，表示允许OPC服务器发送和接收这些IP地址的IP数据包。

(2)传输层：设置TCP协议和UDP协议的安全规则：

①将特定的TCP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的TCP端口号或源TCP端口号的TCP数据包；未列入黑名单的TCP端口号，表示允许OPC服务器发送和接收这些TCP端口号的TCP数据包。

②将特定的UDP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的UDP端口号或源UDP端口号的UDP数据包；未列入黑名单的UDP端口号，表示允许OPC服务器发送和接收这些UDP端口号的UDP数据包。

(3)应用层：设置OPC协议的安全规则：

①将特定的OPC客户端及认证信息列入白名单，表示允许OPC服务器与这些特定的OPC客户端及用户名建立OPC连接进行通信；未列入白名单的OPC客户端，表示禁止OPC服务器与它们建立OPC连接。

②将特定的字符串及格式列入白名单，表示允许OPC服务器接收包含这些特定字符串及格式的OPC请求包，这些特定的字符串与允许发送给工业控制设备的命令相对应；未列入白名单的字符串及格式，表示禁止OPC服务器接收这些OPC请求包。

2.对于各个层的数据包检查与过滤，需要利用Windows操作系统内部过滤平台(简称过滤平台)提供的接口函数和过滤功能来实现。对于网络层和传输层数据包，通过过滤平台的接口函数将安全规则传递给过滤平台，由过滤平台直接对数据包进行检查与过滤；对于应用层数据包，首先通过过滤平台的接口函数来捕获数据包，然后由数据包过滤驱动模块对数据包进行解析和检查，根据检查结果再通过过滤平台的接口函数通知过滤平台是否放行该数据包。

(1)对于网络层数据包，过滤平台的检查与过滤过程如下：

①检查IP数据包头中的协议类型，如果是ICMP数据包，则检查ICMP协议是否被黑名单禁止；如果被禁止，则丢弃该数据包；如果未被禁止，则将该数据包提交给ICMP协议进行处理。

②如果是IP数据包，则检查IP数据包头中的目的IP地址和源IP地址是否被列入黑名单，如果列入，则丢弃该数据包；如果未列入，则将该数据包提交给IP协议进行处理。

(2)对于传输层数据包，过滤平台的检查与过滤过程如下：

①如果是TCP数据包，则检查TCP数据包头中的目的端口号和源端口号是否被列入黑名单，如果列入，则丢弃该数据包；如果未列入，则将该数据包提交给TCP协议进行处理。

②如果是UDP数据包，则检查UDP数据包头中的目的端口号和源端口号是否被列入黑名单，如果列入，则滤除该数据包；如果未列入，则将该数据包提交给UDP协议进行处理。

(3)在应用层，对数据包的解析和检查过程如下：

①首先通过过滤平台捕获OPC数据包，然后对OPC数据包进行解析和检查。

②如果OPC数据包是OPC客户端向OPC服务器发出的OPC请求包，则从请求包中提取出OPC客户端及认证信息，检查是否被列入白名单，如果未列入，则丢弃该数据包；如果列入，则执行后续的检查。

③如果OPC数据包是OPC客户端向OPC服务器发出的命令包，则检查命令包中是否包含白名单所列入的字符串及格式，如果未列入，则丢弃该数据包；如果列入，则执行后续的检查。

④按照OPC协议规范，在OPC数据包头中是否存在不符OPC协议规范的数据格式及类型，如果存在，则丢弃该数据包；如果不存在，则允许该数据包通过。

⑤对于允许通过的OPC数据包，则通知过滤平台放行该数据包；对于需要丢弃的OPC数据包，则通知过滤平台丢弃该数据包，并向控制台发出报警信息，同时作为异常事件写入日志文件中。

3.系统管理员通过控制台进行安全规则设置、日志信息管理和报警信息监测等操作：

(1)在控制台上，系统管理员选择安全规则设置菜单，进行网络层、传输层和应用层安全规则的设置操作；

(2)在控制台上，系统管理员选择日志管理菜单，进行日志信息查询、安全审计和数据备份等操作；

(3)所有的异常报警信息均显示在控制台上，供系统管理员查看。

OPC服务器安全防护系统具体采用软件方法来实现：

1.在Windows 7操作系统平台上，采用VC编程语言来开发OPC服务器安全防护系统软件和控制台软件。

2.OPC服务器安全防护系统软件运行在基于Windows 7操作系统的OPC服务器上，按照OPC服务器安全防护系统组成结构来开发系统各个功能模块，实现相应的功能，其中数据包过滤驱动模块主要提供数据包检查和过滤功能，需要利用Windows 7操作系统内部过滤平台提供的接口函数和过滤功能来实现。

3.控制台软件主要为系统管理员提供安全规则配置、系统运行管理、日志信息查询、安全事件审计、报警信息查看等功能，可直接运行在OPC服务器上，也可运行在远程计算机上，通过网络与OPC服务器交换数据。

Claims (1)

1.一种OPC服务器安全防护系统，其特征在于：包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成；操作系统平台由Windows过滤平台和网卡组成；

一、根据OPC服务器的安全策略设置网络层、传输层和应用层的安全规则；

(1)网络层：设置IP协议和ICMP协议的安全规则：

①将ICMP协议列入黑名单，表示禁止OPC服务器发送和接收ICMP数据包；ICMP协议未列入黑名单，表示允许OPC服务器使用ICMP协议进行通信；

②将特定的IP地址列入黑名单，表示禁止OPC服务器发送和接收这些特定目的IP地址或源IP地址的IP数据包；未列入黑名单的IP地址，表示允许OPC服务器发送和接收这些IP地址的IP数据包；

(2)传输层：设置TCP协议和UDP协议的安全规则：

①将特定的TCP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的TCP端口号或源TCP端口号的TCP数据包；未列入黑名单的TCP端口号，表示允许OPC服务器发送和接收这些TCP端口号的TCP数据包；

②将特定的UDP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的UDP端口号或源UDP端口号的UDP数据包；未列入黑名单的UDP端口号，表示允许OPC服务器发送和接收这些UDP端口号的UDP数据包；

(3)应用层：设置OPC协议的安全规则：

①将特定的OPC客户端及认证信息列入白名单，表示允许OPC服务器与这些特定的OPC客户端及用户名建立OPC连接进行通信；未列入白名单的OPC客户端，表示禁止OPC服务器与它们建立OPC连接；

②将特定的字符串及格式列入白名单，表示允许OPC服务器接收包含这些特定字符串及格式的OPC请求包，这些特定的字符串与允许发送给工业控制设备的命令相对应；未列入白名单的字符串及格式，表示禁止OPC服务器接收这些OPC请求包；

二、数据包过滤驱动模块对各个层的数据包进行检查与过滤，利用Windows过滤平台提供的接口函数和过滤功能实现；对于网络层和传输层数据包，通过Windows过滤平台的接口函数将安全规则传递给Windows过滤平台，由Windows过滤平台直接对数据包进行检查与过滤；对于应用层数据包，通过Windows过滤平台的接口函数来捕获数据包，由数据包过滤驱动模块对数据包进行解析和检查，根据检查结果再通过Windows过滤平台的接口函数通知Windows过滤平台是否放行该数据包；

(1)对于网络层数据包，过滤平台的检查与过滤过程如下：

①检查IP数据包头中的协议类型，如果是ICMP数据包，则检查ICMP协议是否被黑名单禁止；如果被禁止，则丢弃该数据包；如果未被禁止，则将该数据包提交给ICMP协议进行处理；

②如果是IP数据包，则检查IP数据包头中的目的IP地址和源IP地址是否被列入黑名单，如果列入，则丢弃该数据包；如果未列入，则将该数据包提交给IP协议进行处理；

(2)对于传输层数据包，过滤平台的检查与过滤过程如下：

①如果是TCP数据包，则检查TCP数据包头中的目的端口号和源端口号是否被列入黑名单，如果列入，则丢弃该数据包；如果未列入，则将该数据包提交给TCP协议进行处理；

②如果是UDP数据包，则检查UDP数据包头中的目的端口号和源端口号是否被列入黑名单，如果列入，则滤除该数据包；如果未列入，则将该数据包提交给UDP协议进行处理；

(3)在应用层，对数据包的解析和检查过程如下：

①首先通过过滤平台捕获OPC数据包，然后对OPC数据包进行解析和检查；

②如果OPC数据包是OPC客户端向OPC服务器发出的OPC请求包，则从请求包中提取出OPC客户端及认证信息，检查是否被列入白名单，如果未列入，则丢弃该数据包；如果列入，则执行后续的检查；

③如果OPC数据包是OPC客户端向OPC服务器发出的命令包，则检查命令包中是否包含白名单所列入的字符串及格式，如果未列入，则丢弃该数据包；如果列入，则执行后续的检查；

④按照OPC协议规范，在OPC数据包头中是否存在不符OPC协议规范的数据格式及类型，如果存在，则丢弃该数据包；如果不存在，则允许该数据包通过；

⑤对于允许通过的OPC数据包，则通知过滤平台放行该数据包；对于需要丢弃的OPC数据包，则通知过滤平台丢弃该数据包，并向控制台发出报警信息，同时作为异常事件写入日志文件中；

三、系统管理员通过控制台进行安全规则设置、日志管理和异常报警操作：

(1)在控制台上，系统管理员选择安全规则设置菜单，进行网络层、传输层和应用层安全规则的设置操作；

(2)在控制台上，系统管理员选择日志管理菜单，进行日志信息查询、安全审计和数据备份等操作；

(3)所有的异常报警信息均显示在控制台上，供系统管理员查看。