CN109257357A - 基于opc服务的工控网络安全防护方法和装置 - Google Patents

基于opc服务的工控网络安全防护方法和装置 Download PDF

Info

Publication number
CN109257357A
CN109257357A CN201811127549.1A CN201811127549A CN109257357A CN 109257357 A CN109257357 A CN 109257357A CN 201811127549 A CN201811127549 A CN 201811127549A CN 109257357 A CN109257357 A CN 109257357A
Authority
CN
China
Prior art keywords
message
connection request
request message
data connection
opc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811127549.1A
Other languages
English (en)
Inventor
安成飞
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201811127549.1A priority Critical patent/CN109257357A/zh
Publication of CN109257357A publication Critical patent/CN109257357A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了基于OPC服务的工控网络安全防护方法和装置,包括:通过白名单机制验证OPC客户端的数据连接请求报文和OPC服务器的应答数据报文,防止非授权的设备进行数据传输,保护网络的安全性;在OPC客户端,将数据连接请求报文转换成专有的TCP端口,以及进行加密,再将加密的数据连接请求报文经过防火墙防护后,将加密的数据连接请求报文进行解密,得到数据连接请求报文,并发送给OPC服务器;在OPC服务器,将应答数据报文转换成专有的TCP端口,以及进行加密和解密,发送给OPC客户端后,通过解密技术发送给OPC客户端使用,解决了OPC服务无法使用固定端口的问题,并进一步提高了网络传输OPC服务的安全性。

Description

基于OPC服务的工控网络安全防护方法和装置
技术领域
本发明涉及网络安全技术领域,尤其是涉及基于OPC服务的工控网络安全防护方法和装置。
背景技术
目前工控网络的数据都需要使用OPC(OLE for Process Control,用于过程控制的OLE)服务上传到信息网络中,由于OPC服务是基于微软DCOM协议的,建立OPC连接需要以下过程:客户端通过135端口查询服务器以获取通讯所需的TCP(Transmission ControlProtocol,传输控制协议)端口号;客户端使用TCP端口号连接到服务器,访问目标数据。然而,实际数据连接的过程中,客户端使用的TCP端口号是由OPC服务器以一个虚拟随机序列动态分配的,并不能预先获取服务器返回给客户端的端口号(OPC服务随机分配的端口范围为1024-65535),因此,传统的防火墙在保护OPC服务器时,不得不开放大范围的端口号,这样防火墙的作用行同虚设,给工控网络安全带来巨大安全隐患。
发明内容
有鉴于此,本发明的目的在于提供基于OPC服务的工控网络安全防护方法和装置,解决了OPC服务无法使用固定端口的问题,并进一步提高了网络传输OPC服务的安全性。
第一方面,本发明实施例提供了基于OPC服务的工控网络安全防护方法,应用于OPC客户端,所述方法包括:
获取数据连接请求报文;
将所述数据连接请求报文与预设防护规则库进行比对;
如果所述数据连接请求报文与所述预设防护规则库一致,则将所述数据连接请求报文对应的端口转换为传输控制协议TCP端口;
将包括所述TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;
将所述加密的数据连接请求报文发送给防火墙;
在所述防火墙对所述加密的数据连接请求报文验证通过的情况下,将所述加密的数据连接请求报文进行解密,得到所述数据连接请求报文,并发送给OPC服务器。
进一步的,数据连接请求报文包括网络协议IP地址、媒体访问控制MAC地址和报文类型,所述将所述数据连接请求报文与预设防护规则库进行比对,包括:
将所述IP地址、所述MAC地址和所述报文类型与所述预设防护规则库进行比对。
进一步的,所述方法还包括:
如果所述防火墙的端口与所述加密的数据连接请求报文的端口一致,则验证通过。
进一步的,所述将包括所述TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文,包括:
将包括所述TCP端口的数据连接请求报文通过MD5加密算法进行加密,得到所述加密的数据连接请求报文。
第二方面,本发明实施例提供了基于OPC服务的工控网络安全防护方法,应用于OPC服务器,所述方法包括:
接收OPC客户端发送的数据连接请求报文,根据所述数据连接请求报文进行响应,得到应答数据报文;
将所述应答数据报文与预设防护规则库进行比对;
如果所述应答数据报文与所述预设防护规则库一致,则将所述应答数据报文对应的端口转换为传输控制协议TCP端口;
将包括所述TCP端口的应答数据报文进行加密,得到加密的应答数据报文;
将所述加密的应答数据报文发送给防火墙;
在所述防火墙对所述加密的应答数据报文验证通过的情况下,将所述加密的应答数据报文进行解密,得到所述应答数据报文,并发送给所述OPC客户端。
进一步的,所述应答数据报文包括网络协议IP地址、媒体访问控制MAC地址和报文类型,所述将所述应答数据报文与预设防护规则库进行比对,包括:
将所述IP地址、所述MAC地址和所述报文类型与所述预设防护规则库进行比对。
进一步的,所述方法还包括:
如果所述防火墙的端口与所述加密的应答数据报文的端口一致,则验证通过。
进一步的,所述将包括所述TCP端口的应答数据报文进行加密,得到加密的应答数据报文,包括:
将包括所述TCP端口的应答数据报文通过MD5加密算法进行加密,得到所述加密的应答数据报文。
第三方面,本发明实施例提供了基于OPC服务的工控网络安全防护装置,应用于OPC客户端,所述装置包括:
获取单元,用于获取数据连接请求报文;
第一比对单元,用于将所述数据连接请求报文与预设防护规则库进行比对;
第一转换单元,用于在所述数据连接请求报文与所述预设防护规则库一致的情况下,将所述数据连接请求报文对应的端口转换为传输控制协议TCP端口;
第一加密单元,用于将包括所述TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;
发送单元,用于将所述加密的数据连接请求报文发送给防火墙;
第一解密单元,用于在所述防火墙对所述加密的数据连接请求报文验证通过的情况下,将所述加密的数据连接请求报文进行解密,得到所述数据连接请求报文,并发送给OPC服务器。
第四方面,本发明实施例提供了基于OPC服务的工控网络安全防护装置,应用于OPC服务器,所述装置包括:
接收单元,用于接收OPC客户端发送的数据连接请求报文,根据所述数据连接请求报文进行响应,得到应答数据报文;
第二比对单元,用于将所述应答数据报文与预设防护规则库进行比对;
第二转换单元,用于在所述应答数据报文与所述预设防护规则库一致的情况下,将所述应答数据报文对应的端口转换为传输控制协议TCP端口;
第二加密单元,用于将包括所述TCP端口的应答数据报文进行加密,得到加密的应答数据报文;
第二发送单元,用于将所述加密的应答数据报文发送给防火墙;
第二解密单元,用于在所述防火墙对所述加密的应答数据报文验证通过的情况下,将所述加密的应答数据报文进行解密,得到所述应答数据报文,并发送给所述OPC客户端。
本发明实施例提供了基于OPC服务的工控网络安全防护方法和装置,在OPC客户端包括:获取数据连接请求报文;将数据连接请求报文与预设防护规则库进行比对;如果数据连接请求报文与预设防护规则库一致,则将数据连接请求报文对应的端口转换为TCP端口;将包括TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;将加密的数据连接请求报文发送给防火墙;在防火墙对加密的数据连接请求报文验证通过的情况下,将加密的数据连接请求报文进行解密,得到数据连接请求报文,并发送给OPC服务器;在OPC服务器包括:接收OPC客户端发送的数据连接请求报文,根据数据连接请求报文进行响应,得到应答数据报文;将应答数据报文与预设防护规则库进行比对;如果应答数据报文与预设防护规则库一致,则将应答数据报文对应的端口转换为TCP端口;将包括TCP端口的应答数据报文进行加密,得到加密的应答数据报文;将加密的应答数据报文发送给防火墙;在防火墙对加密的应答数据报文验证通过的情况下,将加密的应答数据报文进行解密,得到应答数据报文,并发送给OPC客户端,解决了OPC服务无法使用固定端口的问题,并进一步提高了网络传输OPC服务的安全性。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的基于OPC服务的工控网络安全防护方法的应用场景示意图;
图2为本发明实施例二提供的基于OPC服务的工控网络安全防护方法流程图;
图3为本发明实施例三提供的另一基于OPC服务的工控网络安全防护方法流程图;
图4为本发明实施例四提供的基于OPC服务的工控网络安全防护装置示意图;
图5为本发明实施例五提供的另一基于OPC服务的工控网络安全防护装置示意图。
图标:
100-获取单元;110-第一比对单元;120-第一转换单元;130-第一加密单元;140-发送单元;150-第一解密单元;160-接收单元;170-第二比对单元;180-第二转换单元;190-第二加密单元;200-第二发送单元;210-第二解密单元。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
工业控制系统被广泛应用在各行各业例如石油化工、电力、水利、食品医药和城市交通等领域,工业控制系统的安全关系国计民生,一旦工业控制系统瘫痪,影响巨大。目前工业控制系统向信息系统和管理系统等传输生产过程数据已经成为了主流,因而对于工业控制系统的安全问题已经不容忽视,工控网络向上层管理网络提供数据的主要方式是OPC服务,因此对于OPC服务的网络防护尤为重要。
本申请提供的基于OPC服务的工控网络安全防护方法和装置解决了OPC服务DCOM协议本身的非安全问题,通过安全机制的检测,加密以及转换等功能服务器与客户端之间使用固定的端口号,结合传统的防火墙使用,解决了传统方式的安全隐患,给工控网络安全带来巨大益处。
为便于对本实施例进行理解,下面对本发明实施例进行详细介绍。
实施例一:
图1为本发明实施例一提供的基于OPC服务的工控网络安全防护方法的应用场景示意图。
参照图1,通过白名单机制验证OPC客户端的数据连接请求报文和OPC服务器的应答数据报文,防止非授权的设备进行数据传输,保护网络的安全性。
在OPC客户端,将数据连接请求报文转换成专有的TCP端口,以及进行加密,再将加密的数据连接请求报文经过防火墙防护后,将加密的数据连接请求报文进行解密,得到数据连接请求报文,并发送给OPC服务器。
在OPC服务器,将应答数据报文转换成专有的TCP端口,以及进行加密和解密,发送给OPC客户端后,通过解密技术发送给OPC客户端使用,以防止数据的透明传输,从而被第三方利用。
实施例二:
图2为本发明实施例二提供的基于OPC服务的工控网络安全防护方法流程图。
参照图2,执行主体为OPC客户端,该方法包括以下步骤:
步骤S101,获取数据连接请求报文;
步骤S102,将数据连接请求报文与预设防护规则库进行比对;
步骤S103,如果数据连接请求报文与预设防护规则库一致,则将数据连接请求报文对应的端口转换为TCP端口;
这里,OPC客户端与OPC服务器建立连接时,需要向OPC服务器发送数据连接请求报文。数据连接请求报文需要通过安全防护功能进行认证,即将将数据连接请求报文与预设防护规则库进行比对,确认是否是白名单内的OPC客户端,也就是判断IP地址与预设防护规则库是否一致,判断MAC地址与预设防护规则库是否一致,判断报文类型与预设防护规则库是否一致,并不局限于上述信息的判断,也包括其他信息的判断。如果不一致,则安全防护功能验证失败,OPC客户端的访问被拒绝。
如果一致,则将数据连接请求报文对应的端口转换为TCP端口,保留数据连接请求报文原有的功能和数据等信息,只是将对应端口进行转换。
步骤S104,将包括TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;
步骤S105,将加密的数据连接请求报文发送给防火墙;
这里,将加密的数据连接请求报文发送给防火墙,以使防火墙对数据连接请求报文的端口进行验证。通常的工控网络使用硬件防火墙进行防护,一般是将防火墙的端口设置成本申请中使用的端口。因此,如果防火墙的端口与数据连接请求报文的端口一致,则通过;如果防火墙的端口与数据连接请求报文的端口不一致,则进行拦截。
步骤S106,在防火墙对加密的数据连接请求报文验证通过的情况下,将加密的数据连接请求报文进行解密,得到数据连接请求报文,并发送给OPC服务器。
进一步的,数据连接请求报文包括网络协议IP地址、媒体访问控制MAC地址和报文类型,步骤S102包括:
将IP(Internet Protocol,网络协议)地址、MAC(media access control,媒体访问控制)地址和报文类型与预设防护规则库进行比对。
进一步的,该方法还包括:
如果防火墙的端口与加密的数据连接请求报文的端口一致,则验证通过。
进一步的,步骤S104包括:
将包括TCP端口的数据连接请求报文通过MD5加密算法进行加密,得到加密的数据连接请求报文。
本发明实施例提供了基于OPC服务的工控网络安全防护方法,在OPC客户端包括:获取数据连接请求报文;将数据连接请求报文与预设防护规则库进行比对;如果数据连接请求报文与预设防护规则库一致,则将数据连接请求报文对应的端口转换为TCP端口;将包括TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;将加密的数据连接请求报文发送给防火墙;在防火墙对加密的数据连接请求报文验证通过的情况下,将加密的数据连接请求报文进行解密,得到数据连接请求报文,并发送给OPC服务器,解决了OPC服务无法使用固定端口的问题,并进一步提高了网络传输OPC服务的安全性。
实施例三:
图3为本发明实施例三提供的另一基于OPC服务的工控网络安全防护方法流程图。
参照图3,执行主体为OPC服务器,该方法包括以下步骤:
步骤S201,接收OPC客户端发送的数据连接请求报文,根据数据连接请求报文进行响应,得到应答数据报文;
步骤S202,将应答数据报文与预设防护规则库进行比对;
步骤S203,如果应答数据报文与预设防护规则库一致,则将应答数据报文对应的端口转换为TCP端口;
步骤S204,将包括TCP端口的应答数据报文进行加密,得到加密的应答数据报文;
步骤S205,将加密的应答数据报文发送给防火墙;
步骤S206,在防火墙对加密的应答数据报文验证通过的情况下,将加密的应答数据报文进行解密,得到应答数据报文,并发送给OPC客户端。
进一步的,应答数据报文包括IP地址、MAC地址和报文类型,步骤S202包括:
将IP地址、MAC地址和报文类型与预设防护规则库进行比对。
进一步的,该方法还包括:
如果防火墙的端口与加密的应答数据报文的端口一致,则验证通过。
进一步的,步骤S204包括:
将包括TCP端口的应答数据报文通过MD5加密算法进行加密,得到加密的应答数据报文。
本发明实施例提供了基于OPC服务的工控网络安全防护方法,在OPC服务器包括:接收OPC客户端发送的数据连接请求报文,根据数据连接请求报文进行响应,得到应答数据报文;将应答数据报文与预设防护规则库进行比对;如果应答数据报文与预设防护规则库一致,则将应答数据报文对应的端口转换为TCP端口;将包括TCP端口的应答数据报文进行加密,得到加密的应答数据报文;将加密的应答数据报文发送给防火墙;在防火墙对加密的应答数据报文验证通过的情况下,将加密的应答数据报文进行解密,得到应答数据报文,并发送给OPC客户端,解决了OPC服务无法使用固定端口的问题,并进一步提高了网络传输OPC服务的安全性。
实施例四:
图4为本发明实施例四提供的基于OPC服务的工控网络安全防护装置示意图。
参照图4,执行主体为OPC客户端,该装置包括:
获取单元100,用于获取数据连接请求报文;
第一比对单元110,用于将数据连接请求报文与预设防护规则库进行比对;
第一转换单元120,用于在数据连接请求报文与预设防护规则库一致的情况下,将数据连接请求报文对应的端口转换为TCP端口;
第一加密单元130,用于将包括TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;
发送单元140,用于将加密的数据连接请求报文发送给防火墙;
第一解密单元150,用于在防火墙对加密的数据连接请求报文验证通过的情况下,将加密的数据连接请求报文进行解密,得到数据连接请求报文,并发送给OPC服务器。
本发明实施例提供了基于OPC服务的工控网络安全防护装置,在OPC客户端包括:获取数据连接请求报文;将数据连接请求报文与预设防护规则库进行比对;如果数据连接请求报文与预设防护规则库一致,则将数据连接请求报文对应的端口转换为TCP端口;将包括TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;将加密的数据连接请求报文发送给防火墙;在防火墙对加密的数据连接请求报文验证通过的情况下,将加密的数据连接请求报文进行解密,得到数据连接请求报文,并发送给OPC服务器,解决了OPC服务无法使用固定端口的问题,并进一步提高了网络传输OPC服务的安全性。
实施例五:
图5为本发明实施例五提供的另一基于OPC服务的工控网络安全防护装置示意图。
参照图5,执行主体为OPC服务器,该装置包括:
接收单元160,用于接收OPC客户端发送的数据连接请求报文,根据数据连接请求报文进行响应,得到应答数据报文;
第二比对单元170,用于将应答数据报文与预设防护规则库进行比对;
第二转换单元180,用于在应答数据报文与预设防护规则库一致的情况下,将应答数据报文对应的端口转换为TCP端口;
第二加密单元190,用于将包括TCP端口的应答数据报文进行加密,得到加密的应答数据报文;
第二发送单元200,用于将加密的应答数据报文发送给防火墙;
第二解密单元210,用于在防火墙对加密的应答数据报文验证通过的情况下,将加密的应答数据报文进行解密,得到应答数据报文,并发送给OPC客户端。
本发明实施例提供了基于OPC服务的工控网络安全防护装置,在OPC服务器包括:接收OPC客户端发送的数据连接请求报文,根据数据连接请求报文进行响应,得到应答数据报文;将应答数据报文与预设防护规则库进行比对;如果应答数据报文与预设防护规则库一致,则将应答数据报文对应的端口转换为TCP端口;将包括TCP端口的应答数据报文进行加密,得到加密的应答数据报文;将加密的应答数据报文发送给防火墙;在防火墙对加密的应答数据报文验证通过的情况下,将加密的应答数据报文进行解密,得到应答数据报文,并发送给OPC客户端,解决了OPC服务无法使用固定端口的问题,并进一步提高了网络传输OPC服务的安全性。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例提供的基于OPC服务的工控网络安全防护方法的步骤。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述实施例的基于OPC服务的工控网络安全防护方法的步骤。
本发明实施例所提供的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种基于OPC服务的工控网络安全防护方法,其特征在于,应用于OPC客户端,所述方法包括:
获取数据连接请求报文;
将所述数据连接请求报文与预设防护规则库进行比对;
如果所述数据连接请求报文与所述预设防护规则库一致,则将所述数据连接请求报文对应的端口转换为传输控制协议TCP端口;
将包括所述TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;
将所述加密的数据连接请求报文发送给防火墙;
在所述防火墙对所述加密的数据连接请求报文验证通过的情况下,将所述加密的数据连接请求报文进行解密,得到所述数据连接请求报文,并发送给OPC服务器。
2.根据权利要求1所述的基于OPC服务的工控网络安全防护方法,其特征在于,数据连接请求报文包括网络协议IP地址、媒体访问控制MAC地址和报文类型,所述将所述数据连接请求报文与预设防护规则库进行比对,包括:
将所述IP地址、所述MAC地址和所述报文类型与所述预设防护规则库进行比对。
3.根据权利要求1所述的基于OPC服务的工控网络安全防护方法,其特征在于,所述方法还包括:
如果所述防火墙的端口与所述加密的数据连接请求报文的端口一致,则验证通过。
4.根据权利要求1所述的基于OPC服务的工控网络安全防护方法,其特征在于,所述将包括所述TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文,包括:
将包括所述TCP端口的数据连接请求报文通过MD5加密算法进行加密,得到所述加密的数据连接请求报文。
5.一种基于OPC服务的工控网络安全防护方法,其特征在于,应用于OPC服务器,所述方法包括:
接收OPC客户端发送的数据连接请求报文,根据所述数据连接请求报文进行响应,得到应答数据报文;
将所述应答数据报文与预设防护规则库进行比对;
如果所述应答数据报文与所述预设防护规则库一致,则将所述应答数据报文对应的端口转换为传输控制协议TCP端口;
将包括所述TCP端口的应答数据报文进行加密,得到加密的应答数据报文;
将所述加密的应答数据报文发送给防火墙;
在所述防火墙对所述加密的应答数据报文验证通过的情况下,将所述加密的应答数据报文进行解密,得到所述应答数据报文,并发送给所述OPC客户端。
6.根据权利要求5所述的基于OPC服务的工控网络安全防护方法,其特征在于,所述应答数据报文包括网络协议IP地址、媒体访问控制MAC地址和报文类型,所述将所述应答数据报文与预设防护规则库进行比对,包括:
将所述IP地址、所述MAC地址和所述报文类型与所述预设防护规则库进行比对。
7.根据权利要求5所述的基于OPC服务的工控网络安全防护方法,其特征在于,所述方法还包括:
如果所述防火墙的端口与所述加密的应答数据报文的端口一致,则验证通过。
8.根据权利要求5所述的基于OPC服务的工控网络安全防护方法,其特征在于,所述将包括所述TCP端口的应答数据报文进行加密,得到加密的应答数据报文,包括:
将包括所述TCP端口的应答数据报文通过MD5加密算法进行加密,得到所述加密的应答数据报文。
9.一种基于OPC服务的工控网络安全防护装置,其特征在于,应用于OPC客户端,所述装置包括:
获取单元,用于获取数据连接请求报文;
第一比对单元,用于将所述数据连接请求报文与预设防护规则库进行比对;
第一转换单元,用于在所述数据连接请求报文与所述预设防护规则库一致的情况下,将所述数据连接请求报文对应的端口转换为传输控制协议TCP端口;
第一加密单元,用于将包括所述TCP端口的数据连接请求报文进行加密,得到加密的数据连接请求报文;
发送单元,用于将所述加密的数据连接请求报文发送给防火墙;
第一解密单元,用于在所述防火墙对所述加密的数据连接请求报文验证通过的情况下,将所述加密的数据连接请求报文进行解密,得到所述数据连接请求报文,并发送给OPC服务器。
10.一种基于OPC服务的工控网络安全防护装置,其特征在于,应用于OPC服务器,所述装置包括:
接收单元,用于接收OPC客户端发送的数据连接请求报文,根据所述数据连接请求报文进行响应,得到应答数据报文;
第二比对单元,用于将所述应答数据报文与预设防护规则库进行比对;
第二转换单元,用于在所述应答数据报文与所述预设防护规则库一致的情况下,将所述应答数据报文对应的端口转换为传输控制协议TCP端口;
第二加密单元,用于将包括所述TCP端口的应答数据报文进行加密,得到加密的应答数据报文;
第二发送单元,用于将所述加密的应答数据报文发送给防火墙;
第二解密单元,用于在所述防火墙对所述加密的应答数据报文验证通过的情况下,将所述加密的应答数据报文进行解密,得到所述应答数据报文,并发送给所述OPC客户端。
CN201811127549.1A 2018-09-26 2018-09-26 基于opc服务的工控网络安全防护方法和装置 Pending CN109257357A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811127549.1A CN109257357A (zh) 2018-09-26 2018-09-26 基于opc服务的工控网络安全防护方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811127549.1A CN109257357A (zh) 2018-09-26 2018-09-26 基于opc服务的工控网络安全防护方法和装置

Publications (1)

Publication Number Publication Date
CN109257357A true CN109257357A (zh) 2019-01-22

Family

ID=65048218

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811127549.1A Pending CN109257357A (zh) 2018-09-26 2018-09-26 基于opc服务的工控网络安全防护方法和装置

Country Status (1)

Country Link
CN (1) CN109257357A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111770099A (zh) * 2020-06-29 2020-10-13 浙江中控技术股份有限公司 数据传输的方法和装置、电子设备、计算机可读介质
CN111930763A (zh) * 2020-07-29 2020-11-13 浙江德迅网络安全技术有限公司 一种加密https协议的网络安全防护方法
CN113179194A (zh) * 2021-04-28 2021-07-27 杭州迪普科技股份有限公司 Opc协议网关的测试系统及方法
CN113645041A (zh) * 2021-08-10 2021-11-12 广州数智网络科技有限公司 基于网络安全应急响应的网关突破安检白名单限制方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1929601A (zh) * 2006-09-22 2007-03-14 李须真 一种新型的可视对讲系统
CN104717205A (zh) * 2015-02-04 2015-06-17 上海展湾信息科技有限公司 基于报文重构的工控防火墙控制方法
CN105704145A (zh) * 2016-03-22 2016-06-22 英赛克科技(北京)有限公司 针对opc协议的安全防护方法和系统
CN106559382A (zh) * 2015-09-25 2017-04-05 北京计算机技术及应用研究所 基于opc协议的安全网关防护系统访问控制方法
CN107222575A (zh) * 2017-07-13 2017-09-29 英赛克科技(北京)有限公司 实现工控设备间opc通信的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1929601A (zh) * 2006-09-22 2007-03-14 李须真 一种新型的可视对讲系统
CN104717205A (zh) * 2015-02-04 2015-06-17 上海展湾信息科技有限公司 基于报文重构的工控防火墙控制方法
CN106559382A (zh) * 2015-09-25 2017-04-05 北京计算机技术及应用研究所 基于opc协议的安全网关防护系统访问控制方法
CN105704145A (zh) * 2016-03-22 2016-06-22 英赛克科技(北京)有限公司 针对opc协议的安全防护方法和系统
CN107222575A (zh) * 2017-07-13 2017-09-29 英赛克科技(北京)有限公司 实现工控设备间opc通信的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
小沙河小童鞋: "基于OPC协议的工控网络系统防护浅析", 《百度文库》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111770099A (zh) * 2020-06-29 2020-10-13 浙江中控技术股份有限公司 数据传输的方法和装置、电子设备、计算机可读介质
CN111930763A (zh) * 2020-07-29 2020-11-13 浙江德迅网络安全技术有限公司 一种加密https协议的网络安全防护方法
CN113179194A (zh) * 2021-04-28 2021-07-27 杭州迪普科技股份有限公司 Opc协议网关的测试系统及方法
CN113179194B (zh) * 2021-04-28 2022-10-04 杭州迪普科技股份有限公司 Opc协议网关的测试系统及方法
CN113645041A (zh) * 2021-08-10 2021-11-12 广州数智网络科技有限公司 基于网络安全应急响应的网关突破安检白名单限制方法
CN113645041B (zh) * 2021-08-10 2024-06-14 广州数智网络科技有限公司 基于网络安全应急响应的网关突破安检白名单限制方法

Similar Documents

Publication Publication Date Title
CN105376216B (zh) 一种远程访问方法、代理服务器及客户端
CN107483419B (zh) 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质
CN105162772B (zh) 一种物联网设备认证与密钥协商方法和装置
CN109257357A (zh) 基于opc服务的工控网络安全防护方法和装置
US9419953B2 (en) Trusted container
TWI682297B (zh) 防止跨網站請求偽造的方法、裝置及系統
CN110381075B (zh) 基于区块链的设备身份认证方法和装置
JP2015510618A (ja) ネットワーク安全保護方法、装置及びシステム
US20200228504A1 (en) Private Exchange of Encrypted Data Over A Computer Network
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
CN109831311A (zh) 一种服务器验证方法、系统、用户终端及可读存储介质
CN105262597A (zh) 网络接入认证方法、客户终端、接入设备及认证设备
CN111130769A (zh) 一种物联网终端加密方法及装置
CN105763318A (zh) 一种预共享密钥获取、分配方法及装置
CN110929231A (zh) 数字资产的授权方法、装置和服务器
WO2019085311A1 (zh) 云平台专有网络间安全互联方法、装置、设备及存储介质
CN106789858A (zh) 一种访问控制方法和装置以及服务器
CN105430649B (zh) Wifi接入方法及设备
CN111310187A (zh) 一种恶意软件的检测方法、装置、电子设备及存储介质
CN113703911A (zh) 一种虚拟机迁移方法、装置、设备、存储介质
Feng et al. Autonomous vehicles' forensics in smart cities
US9848014B2 (en) Delegated authentication in an internet of things (IoT) network
CN105577609B (zh) 用于对访问的内容进行控制的方法和装置
CN114374508B (zh) 网络安全防护方法、系统、装置、安全交换机及存储介质
CN113507370B (zh) 基于区块链的林业物联网设备授权认证访问控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20190122