CN105704145B - 针对opc协议的安全防护方法和系统 - Google Patents
针对opc协议的安全防护方法和系统 Download PDFInfo
- Publication number
- CN105704145B CN105704145B CN201610166409.XA CN201610166409A CN105704145B CN 105704145 B CN105704145 B CN 105704145B CN 201610166409 A CN201610166409 A CN 201610166409A CN 105704145 B CN105704145 B CN 105704145B
- Authority
- CN
- China
- Prior art keywords
- data frame
- tcp
- message
- opc
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种针对OPC协议的安全防护方法,包括:对来自OPC客户端网口的TCP/IP报文进行TCP/IP层协议解析,确定所述TCP/IP报文的协议类型以及所述客户端IP地址和服务器端口号;若所述协议类型是TCP协议,判断所述客户端IP地址和所述服务器端口号是否在白名单中,至少根据判断结果,确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录;若所述协议类型不是TCP协议,丢弃所述TCP/IP报文,生成告警信息和日志记录。本发明中通过引入TCP/IP层协议过滤和客户端IP地址过滤以及动态端口检查功能,有效地防止了非授权客户端的非法访问。
Description
技术领域
本发明涉及工业信息技术领域,特别涉及一种针对OPC协议的安全防护方法和系统。
背景技术
在工业控制领域中,为了实现工业控制系统的应用软件和硬件产品之间的互操作性,需要在应用层面上解决系统集成和数据通信问题。为此,国际上成立了一个称为OPC基金会的国际组织,制定了OPC标准,OPC是Object Linking and Embedding for ProcessControl的简称,它所定义的是一组接口规范,包括OPC自动化接口(AutomationInterface)和客户化接口(Custom Interface)两个部分,其实质是在硬件供应商和软件开发商之间建立了一套完整的接口规则,只要遵循这套规则,数据交换对两者来说都是透明的,硬件供应商无需考虑应用程序的多种需求和传输协议,软件开发商也无需了解硬件的实质和操作过程。值得注意的是,OPC技术规范定义的是OPC服务器程序和客户机程序进行接口或通讯的一种规则,它不规定如何具体来实现这种接口。现在,OPC基金会的会员已超过220家,包括世界上所有主要的自动化控制系统、仪器仪表及过程控制系统的公司,因此OPC标准成为事实上的国际标准。
OPC协议的核心是微软公司的组件对象模型COM(component object model)和分布式组件对象模型DCOM技术,它是一种基于客户/服务器模式的通信协议,定义了OPC客户端与OPC服务器之间的通信协议和数据包格式,包括一整套相关的接口、属性和方法,在Windows应用程序和现场过程控制设备之间建立起一个桥梁,使两者很容易实现系统集成和数据通信。因此,OPC标准已成为工业控制系统集成和互连的首选方案,绝大多数的工业控制设备和应用软件都支持OPC协议标准,否则就会被淘汰。
随着工业和信息化的深度融合,在电力、能源、化工、水利、制药、污水处理、石油天然气、交通运输以及航空航天等工业企业中,通常建有企业信息网和工业控制网两种网络系统,通过OPC协议,实现企业信息网与工业控制网的互连,用户使用企业信息网中的计算机能够远程地监控工业控制网中的工业设备,并获取相应的生产数据。
但是,在企业信息网与工业控制网的互连中,也存在着一些安全风险,企业信息网中常见的安全威胁被引入到工业控制网中,如网络病毒、黑客攻击以及恶意操作等,给工业控制网带来严重的信息安全问题,“震网”病毒事件就是典型的例子。由于只要遵循了OPC规则的硬件供应商和软件开发商之间的数据交换就是透明的,因此引入了越来越多的安全隐患。
发明内容
本发明的实施方式提供一种针对OPC协议的安全防护方法及系统,以用于解决现有工控系统间通信时延长、可靠性低的问题。
根据本发明的一个方面,提供了一种针对OPC协议的安全防护方法,包括:
对来自OPC客户端的TCP/IP报文进行TCP/IP层协议解析,确定所述TCP/IP报文的协议类型以及所述客户端IP地址和服务器端口号;
若所述协议类型是TCP协议,判断所述客户端IP地址和所述服务器端口号是否在白名单中,至少根据判断结果,确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录;
若所述协议类型不是TCP协议,丢弃所述TCP/IP报文,生成告警信息和日志记录。
本实施方式中通过引入TCP/IP层协议过滤和客户端IP地址过滤有效地防止了非授权客户端的非法访问,进而保证了工控系统的安全性。
进一步,针对OPC协议的安全防护方法,至少根据判断结果,确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录包括:
根据判断结果和所述TCP/IP报文的数据帧完整性检查结果确定允许所述TCP/IP报文通过所述服务端器口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录。
所述数据帧完整性检查结果由以下步骤确定:
提取所述TCP/IP报文中的TCP协议应用层数据包;
按照DCERPC协议定义的帧结构解析所述数据包,以确定所述数据包中符合DCERPC协议定义的格式的特征数据帧,所述特征数据帧包括Bind数据帧和Request数据帧;
根据DCOM协议和OPC协议分别对特征数据帧进行组包,以判定所述特征数据帧的帧完整性。
本实施方式中通过OPC协议帧的完整性检查,可以有效地避免采用非OPC协议报文持续向工控设备或系统装置发起通讯请求,导致工控设备和系统性能下降的情形。
进一步,针对OPC协议的安全防护方法,还包括:
通过帧完整性检查的数据包至少包括Bind数据帧和Request数据帧,所述方法还包括服务接口白名单过滤:
提取所述Bind数据帧的Abstract Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
提取所述Bind数据帧的Transfer Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
当Abstract Syntax中的UUID和Transfer Syntax中的UUID分别为预定接口时,则所述Bind数据帧为合法的数据帧,否则丢弃所述Bind数据帧。
进一步,针对OPC协议的安全防护方法,还包括:
提取所述Request数据帧的对象接口编号OPnum,并检查所述Request数据帧是否为对象接口可识别的数据帧;
判断所述对象接口编号OPnum中是否包含ORPCThis对象,如果是,则提取所述Request数据帧的UUID;
根据服务接口白名单判断所述Request数据帧的UUID是否合法;
当所述Request数据帧是对象接口可识别的数据帧,并且所述Request数据帧的UUID合法时,所述Request数据帧为合法数据帧,否则丢弃所述Request数据帧。
本实施方式中通过服务接口白名单过滤,对比TCP/IP报文中的数据帧所对应的客户端IP地址以及服务接口白名单中存储的该客户端IP地址以及与该IP地址相对应的可以访问的对象接口编号,以确定访问请求是否为合法请求,从而可以有效地防止非法客户端对工控设备或系统的可用性破坏。
进一步,针对OPC协议的安全防护方法,还包括:
判断符合DCERPC协议定义的格式的Request数据帧的功能是否为调用ISystemActivator接口的RemoteCreateInstance,如果是则需要记录分配的服务器端口号,将相应的客户端IP地址和分配的服务器端口号加入客户端地址端口白名单中。
进一步,针对OPC协议的安全防护方法,还包括容许访问对象白名单过滤:
判断通过服务接口白名单过滤的数据帧是控制功能帧还是非控制功能帧;
针对非控制功能帧,提取所述通过服务接口白名单过滤的数据帧包含的要访问的信息对象地址和相应的客户端IP地址;
根据提取的信息对象地址和相应的客户端IP地址与容许访问对象白名单比对,以确定所述非控制功能帧是否合法;
针对控制功能帧,提取所述通过服务接口白名单过滤的数据帧包含的要控制的信息对象控制值和相应的客户端IP地址;
根据提取的信息对象控制值和相应的客户端IP地址与控制对象范围白名单比对,以确定所述控制功能帧是否合法。
本实施方式中通过容许访问对象白名单过滤,可以有效地保护控制系统重要数据的机密,避免系统数据被非法获取,通过提取控制操作过程包含的控制对象的值与对应的容许控制值的范围进行比对,可以有效地保护控制操作的合法性和正确性。
进一步,针对OPC协议的安全防护方法,在生成日志记录后还包括:
判断所述已经建立TCP连接,如果已经建立TCP连接,则阻断所述已经建立的TCP连接。
另一方面,还提供一种针对OPC协议的安全防护系统,包括:
TCP/IP报文解析模块,用于对来自OPC客户端的TCP/IP报文进行TCP/IP层协议解析,确定所述TCP/IP报文的协议类型以及所述客户端IP地址和服务器端口号;
TCP/IP报文合法性判定模块,用于当所述协议类型是TCP协议,判断所述客户端IP地址和所述服务器端口号是否在白名单中,至少根据判断结果,确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录;
告警信息日志生成模块,用于当所述协议类型不是TCP协议,丢弃所述TCP/IP报文,生成告警信息和日志记录。
进一步,针对OPC协议的安全防护系统,还包括帧完整性检查模块,所述帧完整性检查模块包括:
数据包提取单元,用于提取所述TCP/IP报文中的TCP协议应用层数据包;
特征数据帧确定单元,用于按照DCERPC协议定义的帧结构解析所述数据包,以确定所述数据包中符合DCERPC协议定义的格式的特征数据帧,所述特征数据帧包括Bind数据帧和Request数据帧;
帧完整性确定单元,用于根据DCOM协议和OPC协议分别对特征数据帧进行组包,以判定所述特征数据帧的帧完整性。
进一步,针对OPC协议的安全防护系统,还包括:
第一服务接口白名单过滤单元,用于提取所述Bind数据帧的Abstract Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
第一服务接口白名单过滤单元,用于提取所述Bind数据帧的Transfer Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
过滤结果响应单元,用于当Abstract Syntax中的UUID和Transfer Syntax中的UUID分别为预定接口时,则所述Bind数据帧为合法的数据帧,否则丢弃所述Bind数据帧。
进一步,针对OPC协议的安全防护系统,还包括:
Request数据帧识别单元,用于提取所述Request数据帧的对象接口编号OPnum,并检查所述Request数据帧是否为对象接口可识别的数据帧;
Request数据帧UUID提取单元,用于当判断所述对象接口编号OPnum中包含ORPCThis对象时,提取所述Request数据帧的UUID;
Request数据帧UUID合法性判定单元,用于根据服务接口白名单判断所述Request数据帧的UUID是否合法;
判定结果响应单元,用于当所述Request数据帧是对象接口可识别的数据帧,并且所述Request数据帧的UUID合法时,所述Request数据帧为合法数据帧,否则丢弃所述Request数据帧。
在一些实施方式中,针对OPC协议的安全防护系统,还包括:
客户端地址端口白名单动态更新模块,其用于判断Request数据帧是否为调用ISystemActivator接口的RemoteCreateInstance;如果是,则将接口参数中的客户端IP地址和分配的服务器端口号加入客户端地址端口白名单中。
进一步,针对OPC协议的安全防护系统,还包括:
容许访问对象白名单过滤模块,其包括:
帧类型判定单元,用于判断通过服务接口白名单过滤的数据帧是控制功能帧还是非控制功能帧;
非控制功能帧解析单元,用于提取所述通过服务接口白名单过滤的数据帧包含的要访问的信息对象地址和相应的客户端IP地址;
非控制功能帧合法性判定单元,用于根据提取的信息对象地址和相应的客户端IP地址与容许访问对象白名单比对,以确定所述非控制功能帧是否合法;
控制功能帧解析单元,用于提取所述通过服务接口白名单过滤的数据帧包含的要控制的信息对象控制值和相应的客户端IP地址;
控制功能帧合法性判定单元,用于根据提取的信息对象控制值和相应的客户端IP地址与控制对象范围白名单比对,以确定所述控制功能帧是否合法。
本发明的实施方式的针对OPC协议的安全防护方法及系统,通过协议深度分析(TCP/IP端口过滤、协议完整性分析、服务接口过滤、动态分配IP端口过滤、对象访问范围过滤以及控制对象参数检测),采用客户端地址端口白名单、服务接口白名单、容许访问对象白名单、控制对象范围白名单,实现OPC协议的安全防护,并构建OPC协议防火墙的方法。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的针对OPC协议的安全防护方法一实施方式的流程图;
图2为本发明中的帧完整性检查一实施方式的流程图;
图3为本发明的针对OPC协议的安全防护方法另一实施方式的流程图;
图4为本发明的针对OPC协议的安全防护方法再一实施方式的流程图;
图5为本发明的针对OPC协议的安全防护方法又一实施方式的流程图;
图6为本发明的针对OPC协议的安全防护方法再一实施方式的原理图;
图7为本发明的针对OPC协议的安全防护系统一实施方式的原理图;
图8为本发明的针对OPC协议的安全防护系统另一实施方式的原理图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本申请中的实施方式及实施方式中的特征可以相互组合。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”,不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在对本发明的实施例做详细说明之前,首先说明本发明中所涉及的一些相关概念。
OPC协议以微软的COM(component object model)技术为基础,采用客户/服务器结构,应用程序为客户端(OPC Client),驱动程序部分为服务器端(OPC Server)。客户程序通过OPC接口对服务器上的数据进行访问与控制。每个OPC Client应用程序可以连接若干个OPC Server,每一个OPC Server也可以为若干个客户程序提供数据。不同的客户程序以及不同的服务器程序只要合乎OPC协议标准,都可以挂接在一起协同工作,从而形成一种软件总线结构。COM标准包括规范和实现二大部分,规范部分定义了组件之间通信的机制,这些规范不依赖任何特定的语言和操作系统,具有语言无关性;COM标准的实现部分是COM库,COM库为COM规范的具体实现提供了一些核心服务。由于COM以客户/服务器模型为基础,因此具有良好的稳定性和很强的扩展能力。
DCOM(distributed component object model)是建立在COM之上的一种规范和服务,提供了一种使COM组件加入网络环境的透明网络协议,实现了在分布式计算环境下不同进程之间的通信与协作。
客户程序和COM组件程序进行交互的实体是COM对象。COM对象类似C++中对象的概念,它是某个类(class)的一个实例,包括一组属性和方法COM对象提供的方法就是COM接口,它是一组逻辑相关函数的集合。客户程序必须通过接口才能获得COM对象的服务。
如图1所示,根据本发明的一个方面,提供了一种针对OPC协议的安全防护方法,包括:
S1、对来自OPC客户端网口TCP/IP报文进行TCP/IP层协议解析,确定所述TCP/IP报文的协议类型以及所述客户端IP地址和服务器端口号;
S2、若所述协议类型是TCP协议,判断所述客户端IP地址和所述服务器端口号是否在白名单中,至少根据判断结果,确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录;
S3、若所述协议类型不是TCP协议,丢弃所述TCP/IP报文,生成告警信息和日志记录。
在本实施方式中客户端地址端口白名单中存储有发送TCP/IP报文的客户端的客户单IP地址以及与该地址相对应的可以访问的服务器端口号,通过引入TCP/IP层协议过滤和客户端IP地址过滤,当TCP/IP报文为非TCP协议的信息时或者客户端IP地址以及对应的服务器端口号不在白名单中时,阻断该TCP/IP报文访问相应服务器端口号的请求,从而有效地防止了非授权客户端的非法访问,进而保证了工控系统的安全性。
在一些实施方式中,至少根据判断结果,确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录包括:
根据判断结果和所述TCP/IP报文的数据帧完整性检查结果确定允许所述TCP/IP报文通过所述服务端器口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录。
如图2所示,数据帧完整性检查结果由以下步骤确定:
S21、提取所述TCP/IP报文中的TCP协议应用层数据包;
S22、按照DCERPC协议定义的帧结构解析所述数据包,以确定所述数据包中符合DCERPC协议定义的格式的特征数据帧,所述特征数据帧包括Bind数据帧和Request数据帧;
S23、根据DCOM协议和OPC协议分别对特征数据帧进行组包,以判定所述特征数据帧的帧完整性。
本实施方式中通过OPC协议帧的完整性检查,可以有效地避免采用非OPC协议报文持续向工控设备或系统装置发起通讯请求,导致工控设备和系统性能下降的情形。
如图3所示,在一些实施方式中,针对OPC协议的安全防护方法,所述方法还包括服务接口白名单过滤:
S31.提取Bind数据帧的Abstract Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
S32.提取Bind数据帧的Transfer Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
S33.当Abstract Syntax中的UUID和Transfer Syntax中的UUID分别为预定接口时,则Bind数据帧为完整合法的数据帧,否则丢弃Bind数据帧,并生成日志记录。
如图4所示,在一些实施方式中,所述服务接口白名单过滤还包括:
S41.提取Request数据帧的对象接口编号OPnum,并检查Request数据帧是否为对象接口可识别的数据帧;
S42.判断所述对象接口编号OPnum中是否包含ORPCThis对象,如果是,则提取Request数据帧的UUID;
S43.根据服务接口白名单判断Request数据帧的UUID是否合法;
S44.当Request数据帧是对象接口可识别的数据帧,并且Request数据帧的UUID合法时,所述Request数据帧为合法数据帧,否则丢弃所述符合DCERPC协议定义的格式的Request数据帧,并生成日志记录。
本实施方式中通过服务接口白名单过滤,对比TCP/IP报文中的数据帧所对应的客户端IP地址以及服务接口白名单中存储的该客户端IP地址以及与该IP地址相对应的可以访问的对象接口编号,以确定访问请求是否为合法请求,从而可以有效地防止非法客户端对工控设备或系统的可用性破坏。
进一步,针对OPC协议的安全防护方法,还包括:
判断TCP/IP报文中包含的Request数据帧是否为调用ISystemActivator接口的RemoteCreateInstance,如果是则需要记录分配的服务器端口号,并且将相应的客户端IP地址和分配的服务器端口号加入客户端地址端口白名单中。
ISystemActivator是DCOM定义的一个接口,RemoteCreateInstance是ISystemActivator的一种调用方法,RemoteCreateInstance请求服务器提供服务端口,服务器在收到包含RemoteCreateInstance请求的请求包后新建TCP连接。
由于DCOM通讯机制的原因,一个OPC客户端与服务端TCP通讯的服务器端口号是动态分配的,因此在本实施方式中根据Request数据帧的功能类型类实时的更新针对不同OPC客户端的IP地址所分配的服务器端口号,动态建立客户端IP端口与服务器端口号相对应的客户端地址端口白名单,以实现对OPC访问请求的合法性的正确判定,并以此为基础实施更高协议层次的白名单安全防护机制。
如图5所示,在一些实施方式中,针对OPC协议的安全防护方法,还包括容许访问对象白名单过滤:
S51.判断通过服务接口白名单过滤的数据帧是控制功能帧还是非控制功能帧;
S52.针对非控制功能帧,提取所述通过服务接口白名单过滤的数据帧包含的要访问的信息对象地址和相应的客户端IP地址;
S53.根据提取的信息对象地址和相应的客户端IP地址与容许访问对象白名单比对,以确定所述非控制功能帧是否合法;
S54.针对控制功能帧,提取所述通过服务接口白名单过滤的数据帧包含的要控制的信息对象控制值和相应的客户端IP地址;
S55.根据提取的信息对象控制值和相应的客户端IP地址与控制对象范围白名单比对,以确定所述控制功能帧是否合法。
进一步,针对OPC协议的安全防护方法,在生成日志记录后还包括:
判断所述已经建立TCP连接,如果已经建立TCP连接,则阻断所述已经建立的TCP连接。
本发明提供的针对OPC协议的安全防护方法,通过协议深度分析(TCP/IP端口过滤、协议完整性分析、服务接口过滤、动态分配IP端口过滤、TAG对象访问范围过滤以及TAG控制对象参数检测),采用客户端地址端口白名单、服务接口白名单、TAG容许访问对象白名单、TAG控制对象范围白名单,实现OPC协议的安全防护,并构建OPC协议防火墙的方法。
通过引入TCP/IP层协议过滤和OPC协议层动态分配IP端口过滤,可以有效地防止非授权客户端的非法访问;通过OPC协议帧的完整性检查,可以有效地避免采用非OPC协议报文持续向工控设备或系统装置发起通讯请求,导致工控设备和系统性能下降的情形;通过服务接口白名单过滤,可以有效地防止对工控设备或系统的可用性破坏;通过TAG容许访问对象白名单过滤,可以有效地保护控制系统重要数据的机密,避免系统数据被非法获取;通过提取控制操作过程包含的控制对象的TAG值与对应的容许控制值的范围进行比对,可以有效地保护控制操作的合法性和正确性。
在本发明中,由于采用了linux平台自主开发了DCOM和OPC接口,避免了传统OPC开发中的安全性受制于Windows操作系统,要求客户端和服务器端都有相同的用户名和密码,且该用户名还需要具备管理员权限等常见OPC问题,同时对于RPC的缓冲区溢出等DCOM漏洞做了检查。
由于针对OPC,从操作系统层到TCP/IP和DCERPC、DCOM、OPC协议层进行多层次的安全防护,可以有效地抵御针对采用OPC协议的工控设备或系统的各种攻击,确保采用OPC协议的各种工控设备和系统的保密性、完整性和可用性,有效地避免了传统的采用OPC协议的工控设备或系统不具备安全防范机制导致的安全风险。
如图6所示,在一些实施方式中,本发明的针对OPC协议的安全防护方法包含以下步骤:
在本实施方式的所有步骤之前首先针对外部OPC客户端的请求,预先定义以下参数:
1.1客户端地址端口白名单:建立容许客户端访问的服务器端口号的客户端地址端口,白名单存储有客户端IP地址和以及每一个客户端IP地址对应的客户端可以访问的服务器端口号;
1.2预先建立服务接口白名单表,结构如下表所示:
服务接口白名单以客户端IP地址及对应的DCOM/OPC接口为单位,预先定义客户端容许访问的接口集;
1.3容许访问对象白名单:以客户端IP地址、信息对象地址(OPC Server、Group、Item)为单位,定义容许客户端访问的信息对象地址集;
1.4控制对象范围白名单:以客户端IP地址、控制对象地址(OPC Server、Group、Item)为单位,定义客户端容许操作的控制对象及容许的控制值的范围。
本实施方式的包括以下步骤:
S01.从外部网口获取数据请求包;
S02.TCP/IP白名单过滤,针对接收到的TCP/IP报文,进行TCP/IP层协议分析;
S03.对于非TCP协议的数据包或者客户端IP地址及服务器端口号不在客户端地址端口白名单中的,则产生告警和日志记录,并丢弃该包,如果已建立TCP连接,则阻断该连接;
S04.对于通过TCP/IP白名单过滤的帧,提取出TCP协议应用层数据,尝试按DCERPC定义的帧结构进行组包;
S05.如果提取出TCP协议应用层数据符合协议定义的格式,则为合法的完整帧,否则为错误帧,则丢弃,并产生日志记录;
S06.根据DCOM协议和OPC协议对获取的数据请求包进行组包分析;
S07.根据S06中进行组包分析的结果判断数据请求包是否为完整的DCOM帧和OPC帧,如果是则并产生日志记录和告警信息,并阻断TCP连接;
S08.匹配服务接口白名单;
S09.针对DCERPC的Bind帧,提取Bind帧包含的UUID,并与服务接口白名单表进行匹配,如果失败,则产生日志记录及告警信息,返回丢弃该包,并阻断TCP/IP连接,产生日志记录;
S10.对于接受的Request帧,判断其应用功能是否为调用ISystemActivator接口的RemoteCreateInstance,如果是则执行步骤S14、S15、S16记录分配的服务器端口号及相应的客户端IP地址,生成响应报文,并且将客户端地址和分配的服务器端口号加入客户端地址白名单中;
S11.容许访问对象白名单过滤,针对非控制功能帧,提取帧包含的ITEM的TAG信息对象地址并与客户端IP地址一起,与容许访问对象白名单比对,如果不在白名单范围内,则产生告警和日志记录,丢弃该包,并阻断TCP/IP连接,如果通过白名单过滤,正常响应。
S12.控制对象白名单过滤,针对控制功能帧,提取帧包含的ITEM的TAG信息对象及控制值,并与客户端IP地址一起,与控制对象范围白名单进行匹配,如果控制对象没有定义,或控制对象控制值不在容许范围,则产生告警和日志记录,丢弃该包,并阻断TCP/IP连接,如果通过白名单过滤,则正常响应。
S113.根据TCP/IP协议对通过控制对象白名单过滤的控制功能帧进行组包并发送至内部网口。
如图7所示,另一方面,本发明还提供一种针对OPC协议的安全防护系统,包括:
TCP/IP报文解析模块,用于对来自OPC客户端的TCP/IP报文进行TCP/IP层协议解析,确定所述TCP/IP报文的协议类型以及所述客户端IP地址和服务器端口号;
TCP/IP报文合法性判定模块,用于当所述协议类型是TCP协议,判断所述客户端IP地址和所述服务器端口号是否在白名单中,至少根据判断结果,确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录;
告警信息日志生成模块,用于当所述协议类型不是TCP协议,丢弃所述TCP/IP报文,生成告警信息和日志记录。
本实施方式中通过引入TCP/IP层协议过滤和客户端IP地址过滤有效地防止了非授权客户端的非法访问,进而保证了工控系统的安全性。
如图8所示,在一些实施方式中,针对OPC协议的安全防护系统,还包括帧完整性检查模块,所述帧完整性检查模块包括:
数据包提取单元,用于提取所述TCP/IP报文中的TCP协议应用层数据包;
特征数据帧确定单元,用于按照DCERPC协议定义的帧结构解析所述数据包,以确定所述数据包中符合DCERPC协议定义的格式的特征数据帧,所述特征数据帧包括Bind数据帧和Request数据帧;
帧完整性确定单元,用于根据DCOM协议和OPC协议分别对特征数据帧进行组包,以判定所述特征数据帧的帧完整性。
本实施方式中通过OPC协议帧的完整性检查,可以有效地避免采用非OPC协议报文持续向工控设备或系统装置发起通讯请求,导致工控设备和系统性能下降的情形。
进一步,针对OPC协议的安全防护系统,还包括:
第一服务接口白名单过滤单元,用于提取所述Bind数据帧的Abstract Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
第一服务接口白名单过滤单元,用于提取所述Bind数据帧的Transfer Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
过滤结果响应单元,用于当Abstract Syntax中的UUID和Transfer Syntax中的UUID分别为预定接口时,则所述Bind数据帧为合法的数据帧,否则丢弃所述Bind数据帧。
进一步,针对OPC协议的安全防护系统,还包括:
Request数据帧识别单元,用于提取所述Request数据帧的对象接口编号OPnum,并检查所述Request数据帧是否为对象接口可识别的数据帧;
Request数据帧UUID提取单元,用于当判断所述对象接口编号OPnum中包含ORPCThis对象时,提取所述Request数据帧的UUID;
Request数据帧UUID合法性判定单元,用于根据服务接口白名单判断所述Request数据帧的UUID是否合法;
判定结果响应单元,用于当所述Request数据帧是对象接口可识别的数据帧,并且所述Request数据帧的UUID合法时,所述Request数据帧为合法数据帧,否则丢弃所述Request数据帧。
在一些实施方式中,针对OPC协议的安全防护系统,还包括:
客户端地址端口白名单动态更新模块,其用于判断Request数据帧是否为调用ISystemActivator接口的RemoteCreateInstance;如果是,则将接口参数中的客户端IP地址和分配的服务器端口号加入客户端地址端口白名单中。
进一步,针对OPC协议的安全防护系统,还包括:
容许访问对象白名单过滤模块,其包括:
帧类型判定单元,用于判断通过服务接口白名单过滤的数据帧是控制功能帧还是非控制功能帧;
非控制功能帧解析单元,用于提取所述通过服务接口白名单过滤的数据帧包含的要访问的信息对象地址和相应的客户端IP地址;
非控制功能帧合法性判定单元,用于根据提取的信息对象地址和相应的客户端IP地址与容许访问对象白名单比对,以确定所述非控制功能帧是否合法;
控制功能帧解析单元,用于提取所述通过服务接口白名单过滤的数据帧包含的要控制的信息对象控制值和相应的客户端IP地址;
控制功能帧合法性判定单元,用于根据提取的信息对象控制值和相应的客户端IP地址与控制对象范围白名单比对,以确定所述控制功能帧是否合法。
由于DCOM通讯机制的原因,一个OPC客户端与服务端TCP通讯的服务器端口号是动态分配的,因此在本实施方式中根据Request数据帧的功能类型类实时的更新针对不同OPC客户端的IP地址所分配的服务器端口号,动态建立客户端IP端口与服务器端口号相对应的客户端地址端口白名单,以实现对OPC访问请求的合法性的正确判定,并以此为基础实施更高协议层次的白名单安全防护机制。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作合并,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上所描述的方法实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
本领域内的技术人员应明白,本发明的实施方式可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。
本发明是参照根据本发明实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种针对OPC协议的安全防护方法,包括:
对来自OPC客户端网口的TCP/IP报文进行TCP/IP层协议解析,确定所述TCP/IP报文的协议类型以及所述客户端IP地址和服务器端口号;
若所述协议类型是TCP协议,判断所述客户端IP地址和所述服务器端口号是否在白名单中,根据判断结果和所述TCP/IP报文的数据帧完整性检查结果确定允许所述TCP/IP报文通过所述服务端器口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录;
若所述协议类型不是TCP协议,丢弃所述TCP/IP报文,生成告警信息和日志记录;其中
所述数据帧完整性检查结果由以下确定:
提取所述TCP/IP报文中的TCP协议应用层数据包;
按照DCERPC协议定义的帧结构解析所述数据包,以确定所述数据包中符合DCERPC协议定义的格式的特征数据帧,所述特征数据帧包括Bind数据帧和Request数据帧;
根据DCOM协议和OPC协议分别对特征数据帧进行组包,以判定所述特征数据帧的帧完整性。
2.根据权利要求1所述的针对OPC协议的安全防护方法,其特征在于,在确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录之前还包括:
提取所述Bind数据帧的Abstract Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
提取所述Bind数据帧的Transfer Syntax中的UUID,并根据服务接口白名单检查是否为预定接口;
当Abstract Syntax中的UUID和Transfer Syntax中的UUID分别为预定接口时,则所述Bind数据帧为合法的数据帧,否则丢弃所述Bind数据帧。
3.根据权利要求2所述的针对OPC协议的安全防护方法,其特征在于,在确定允许所述TCP/IP报文通过所述服务器端口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录之前还包括:
提取所述Request数据帧的对象接口编号OPnum,并检查所述Request数据帧是否为对象接口可识别的数据帧;
判断所述对象接口编号OPnum中是否包含ORPCThis对象,如果是,则提取所述Request数据帧的UUID;
根据服务接口白名单判断所述Request数据帧的UUID是否合法;
当所述Request数据帧是对象接口可识别的数据帧,并且所述Request数据帧的UUID合法时,所述Request数据帧为合法数据帧,否则丢弃所述Request数据帧。
4.根据权利要求1至3任一项所述的针对OPC协议的安全防护方法,其特征在于,还包括:
判断所述Request数据帧的功能是否为调用ISystemActivator接口的RemoteCreateInstance,如果是则记录分配的服务器端口号,将相应的客户端IP地址和分配的服务器端口号加入所述客户端地址端口白名单中。
5.根据权利要求4所述的针对OPC协议的安全防护方法,其特征在于,还包括容许访问对象白名单过滤:
判断通过服务接口白名单过滤的数据帧是控制功能帧还是非控制功能帧;
针对非控制功能帧,提取所述通过服务接口白名单过滤的数据帧包含的要访问的信息对象地址和相应的客户端IP地址;
根据提取的信息对象地址和相应的客户端IP地址与容许访问对象白名单比对,以确定所述非控制功能帧是否合法;
针对控制功能帧,提取所述通过服务接口白名单过滤的数据帧包含的要控制的信息对象控制值和相应的客户端IP地址;
根据提取的信息对象控制值和相应的客户端IP地址与控制对象范围白名单比对,以确定所述控制功能帧是否合法。
6.根据权利要求5所述的针对OPC协议的安全防护方法,其特征在于,在生成日志记录后还包括:
判断是否已经建立TCP连接,如果已经建立TCP连接,则阻断所述已经建立的TCP连接。
7.一种针对OPC协议的安全防护系统,包括:
TCP/IP报文解析模块,用于对来自OPC客户端的TCP/IP报文进行TCP/IP层协议解析,确定所述TCP/IP报文的协议类型以及所述客户端IP地址和服务器端口号;
TCP/IP报文合法性判定模块,用于当所述协议类型是TCP协议,判断所述客户端IP地址和所述服务器端口号是否在白名单中,根据判断结果和所述TCP/IP报文的数据帧完整性检查结果确定允许所述TCP/IP报文通过所述服务端器口号传输至OPC服务器或丢弃所述TCP/IP报文,生成日志记录;
告警信息日志生成模块,用于当所述协议类型不是TCP协议,丢弃所述TCP/IP报文,生成告警信息和日志记录;
帧完整性检查模块,所述帧完整性检查模块包括:
数据包提取单元,用于提取所述TCP/IP报文中的TCP协议应用层数据包;
特征数据帧确定单元,用于按照DCERPC协议定义的帧结构解析所述数据包,以确定所述数据包中符合DCERPC协议定义的格式的特征数据帧,所述特征数据帧包括Bind数据帧和Request数据帧;
帧完整性确定单元,用于根据DCOM协议和OPC协议分别对特征数据帧进行组包,以判定所述特征数据帧的帧完整性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610166409.XA CN105704145B (zh) | 2016-03-22 | 2016-03-22 | 针对opc协议的安全防护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610166409.XA CN105704145B (zh) | 2016-03-22 | 2016-03-22 | 针对opc协议的安全防护方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105704145A CN105704145A (zh) | 2016-06-22 |
| CN105704145B true CN105704145B (zh) | 2019-01-01 |
Family
ID=56232356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610166409.XA Active CN105704145B (zh) | 2016-03-22 | 2016-03-22 | 针对opc协议的安全防护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105704145B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106843058A (zh) * | 2017-03-03 | 2017-06-13 | 南京富岛信息工程有限公司 | 一种隐藏控制系统ip地址的安全数据采集装置及采集方法 |
| CN107222575B (zh) * | 2017-07-13 | 2019-08-06 | 英赛克科技(北京)有限公司 | 实现工控设备间opc通信的方法 |
| CN107360178A (zh) * | 2017-07-31 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种使用白名单控制网络访问的方法 |
| CN108848067B (zh) * | 2018-05-28 | 2021-05-25 | 北京威努特技术有限公司 | 智能学习并预置只读白名单规则的opc协议安全防护方法 |
| CN109040225B (zh) * | 2018-07-27 | 2021-06-18 | 北京志翔科技股份有限公司 | 一种动态端口桌面接入管理方法和系统 |
| CN109474540B (zh) * | 2018-09-12 | 2022-06-10 | 奇安信科技集团股份有限公司 | 一种识别opc流量的方法及装置 |
| CN109257357A (zh) * | 2018-09-26 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 基于opc服务的工控网络安全防护方法和装置 |
| CN110569132B (zh) * | 2019-08-29 | 2022-07-12 | 高新兴科技集团股份有限公司 | 电子签名捺印方法、装置及计算机可读存储介质 |
| CN111245858A (zh) * | 2020-01-19 | 2020-06-05 | 世纪龙信息网络有限责任公司 | 网络流量拦截方法、系统、装置、计算机设备和存储介质 |
| CN111314384A (zh) * | 2020-03-23 | 2020-06-19 | 杭州迪普科技股份有限公司 | 一种终端认证方法、装置及设备 |
| CN112910910B (zh) * | 2021-02-08 | 2022-07-19 | 深圳融安网络科技有限公司 | Opcda协议报文处理方法、装置、设备以及存储介质 |
| CN112887159B (zh) * | 2021-03-26 | 2023-04-28 | 北京安天网络安全技术有限公司 | 一种统计告警方法和装置 |
| CN113179194B (zh) * | 2021-04-28 | 2022-10-04 | 杭州迪普科技股份有限公司 | Opc协议网关的测试系统及方法 |
| CN113315830A (zh) * | 2021-05-26 | 2021-08-27 | 重庆高新技术产业研究院有限责任公司 | 一种用于工业互联网的数据工程机数据传输方法 |
| CN113726761A (zh) * | 2021-08-27 | 2021-11-30 | 深圳供电局有限公司 | 一种基于白名单的网络安全防护方法 |
| CN115118674A (zh) * | 2022-06-22 | 2022-09-27 | 深圳市沃特沃德信息有限公司 | 应用程序联网监控方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| CN104767748A (zh) * | 2015-03-30 | 2015-07-08 | 西北工业大学 | Opc服务器安全防护系统 |
-
2016
- 2016-03-22 CN CN201610166409.XA patent/CN105704145B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| CN104767748A (zh) * | 2015-03-30 | 2015-07-08 | 西北工业大学 | Opc服务器安全防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105704145A (zh) | 2016-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105704145B (zh) | 针对opc协议的安全防护方法和系统 | |
| CN101438255B (zh) | 基于应用层消息检查的网络和应用攻击保护 | |
| US9043589B2 (en) | System and method for safeguarding and processing confidential information | |
| Patel et al. | A novel methodology towards a trusted environment in mashup web applications | |
| Talukder et al. | Architecting secure software systems | |
| Dhasarathan et al. | Data privacy breach prevention framework for the cloud service | |
| Dorogovs et al. | Overview of government e-service security challenges | |
| Kellezi et al. | Towards secure open banking architecture: an evaluation with OWASP | |
| Kellezi et al. | Securing Open Banking with Model‐View‐Controller Architecture and OWASP | |
| AlMendah et al. | Cloud and edge computing security challenges, demands, known threats, and vulnerabilities | |
| Coppolino et al. | A framework for mastering heterogeneity in multi-layer security information and event correlation | |
| Williams | Security for service oriented architectures | |
| Xu et al. | Formal modelling and analysis of XML firewall for service-oriented systems | |
| Ahmed et al. | A generalized threat taxonomy for cloud computing | |
| Bennasar et al. | State-of-The-Art of cloud computing cyber-security | |
| Ramirez | A Framework to Build Secure Microservice Architecture | |
| Boeuf et al. | Design for Understandability | |
| Akhai et al. | Code Injection Assault & Mitigation Model to Prevent Attacks | |
| Tai Ramirez | A Framework To Build Secure Microservice Architecture | |
| Ayachit et al. | A petri net based XML firewall security model for web services invocation. | |
| Sidharth et al. | Intrusion resistant soap messaging with iapf | |
| Hazeyama et al. | Case base for secure software development using software security knowledge base | |
| Dorogovs | E-Service Security Challenges: Availability, Integrity, Confidentiality. | |
| Durai et al. | Decision tree classification-N tier solution for preventing SQL injection attack on websites | |
| Konev | Functional Modeling as a Basis for Classifying Security Threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |