CN116318863B - 一种opc工业安全网关系统 - Google Patents
一种opc工业安全网关系统 Download PDFInfo
- Publication number
- CN116318863B CN116318863B CN202310109579.4A CN202310109579A CN116318863B CN 116318863 B CN116318863 B CN 116318863B CN 202310109579 A CN202310109579 A CN 202310109579A CN 116318863 B CN116318863 B CN 116318863B
- Authority
- CN
- China
- Prior art keywords
- opc
- node
- data
- user
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本发明提出的OPC工业安全网关系统,包括OPC用户访问控制模块、OPC协议内容检查与策略控制模块以及协议解析模块;OPC用户访问控制模块用于接收OPC客户端发送的验证数据,并发送至协议解析模块;协议解析模块对验证数据进行解析识别得到认证账号,并发送至OPC协议内容检查与策略控制模块以将认证账号与用户策略进行匹配,若不匹配,则判定未授权,并返回失败信息以禁止访问;若匹配则允许访问,将认证账号转发至OPC服务端,让OPC服务端返回验证请求至OPC用户访问控制模块,转发到OPC客户端进行验证以完成双向身份鉴别,用户访问进行控制以解决非授权访问、无限制访问的问题,提高工业控制系统网络安全性。
Description
技术领域
本发明涉及到工业网络安全技术领域,特别是涉及到一种OPC工业安全网关系统。
背景技术
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,特别是常用的工业OPC协议。OPC(OLE for Process Control),是一个应用于过程控制的OLE工业标准协议,使用此协议的单位超过220家,遍布全球,包括世界上所有主要的自动化控制系统、仪器仪表及过程控制系统的公司,具有非常重要且广泛的用途。
然而OPC协议设计之初为局域网协议,不支持跨网段访问,而且也没有考虑用户访问控制,用户权限划分、OPC节点管理限制、对象访问控制等权限限制,使得当前普遍部署的基于OPC的工业控制系统,存在非常严重的安全风险,如不受控制的用户访问、未经授权的人员读取生产数据、对整个OPC架构的无限制读/写访问、未实现OPC安全规范的OPC服务器、用户使用无限“设备写入”削弱工业控制系统安全等,以上高风险、无限制的操作将会直接访问工业控制系统导致事故发生。
传统方案的OPC网关,通过数据包中特征数据匹配方式进行数据包匹配与改写,实现OPC协议跨网段通信及特征匹配方式的OPC协议简单过滤。但是传统方案采用数据包中特征数据匹配方式对OPC用户鉴权、OPC进行节点管理过滤、节点读写值过滤方式为单数据包方式过滤,过滤不精确,过滤策略会导致所有的OPC节点采用一套策略,放行或者拒绝,无法对不同用户进行权限控制,无法精细化控制不同用户对节点的数据访问控制,无法精细化控制设备节点的添加、删除、修改操作、也无法解决OPC架构无限制的对各个独立节点读写的限制,无法限制未授权的用户对生产数据的访问,无法对OPC数据进行规范性、合规性、安全性检查,传统网关系统在面对工业控制系统的安全防护时显得力不从心,将工业控制网络暴露于互联网中导致极大的安全隐患。
发明内容
本发明的主要目的为提供一种的OPC工业安全网关系统,旨在解决现有技术中工业控制系统非授权访问、无限制访问的技术问题。
本发明提出一种OPC工业安全网关系统,包括:OPC用户访问控制模块、OPC协议内容检查与策略控制模块以及协议解析模块;
所述OPC用户访问控制模块用于接收OPC客户端发送的验证数据,并将所述验证数据发送至协议解析模块,所述验证数据包括用户的信息;
所述协议解析模块对所述验证数据进行解析识别得到认证账号,并将所述认证账号发送至所述OPC协议内容检查与策略控制模块;
所述OPC协议内容检查与策略控制模块将所述认证账号与预设的用户策略进行匹配,若不匹配,则判定未授权,并返回失败信息以禁止访问;若匹配,则允许访问,并将所述认证账号转发至OPC服务端,以让所述OPC服务端返回验证请求至所述OPC用户访问控制模块,进而转发到所述OPC客户端,让所述OPC客户端进行验证,以完成双向身份鉴别。
进一步地,还包括安全审计模块,所述安全审计模块用于记录正常访问日志以及非法访问日志。
进一步地,还包括OPC用户访问权限控制模块,所述OPC用户访问权限控制模块用于接收所述OPC客户端添加的第一指定节点的第一节点数据,并通过协议解析模块得到第一节点名称,进而通过所述OPC协议内容检查与策略控制模块将所述第一节点名称与所述用户策略进行匹配,以查询当前通过所述OPC客户端访问的当前用户是否可添加所述第一指定节点,若不允许添加,则返回操作失败,若允许添加,则将所述当前用户的用户名及当前五元组信息记录到内存数据库。
进一步地,所述OPC用户访问权限控制模块还用于接收所述OPC客户端删除的第二指定节点的第二节点数据,并通过协议解析模块得到第二节点名称,进而通过所述OPC协议内容检查与策略控制模块将所述第二节点名称与所述用户策略进行匹配,以查询当前通过所述OPC客户端访问的当前用户是否可删除所述第二指定节点,若不允许删除,则返回操作失败,若允许删除,则转发请求到所述OPC服务器,以让OPC服务器对所述第二节点进行删除。
进一步地,所述OPC用户访问权限控制模块还用于将所述第一指定节点或所述第二指定节点的节点名称、用户名称与五元组信息进行关联,并记录到内存数据库。
进一步地,所述协议解析模块还用于对所述OPC服务器返回的数据进行解析提取特征,得到会话特征,并将所述会话特征,以及所述会话特征和所述节点名称的映射关系记录到内存数据库中,所述会话特征为用户名、节点名称和五元组信息的特征。
进一步地,所述OPC用户访问权限控制模块用于接收到所述OPC客户端对第三指定节点进行读取数据或写入数据的请求后,将当前上下文会话信息和当前的五元组信息记录到内存数据库,所述当前上下文会话信息包括会话ID、会话ID与读操作的映射关系或会话ID与写操作的映射关系的信息,每一次读操作或写操作均建立一个会话,不同会话的对应的会话ID均不同。
进一步地,所述OPC用户访问权限控制模块还用于获取指定读操作或指定写操作的会话ID,并依据所述会话ID获取对应的会话特征,依据所述会话特征与所述节点名称的映射关系获得所述节点名称,依据所述节点名称获取节点信息,并对通过OPC协议解析引擎对节点信息的不同数据类型的数据值进行提取,得到对应明文的整数或者字符串值,从而得到指定读操作内容或指定写操作内容。
进一步地,还包括OPC协议自动识别与合规检查模块,所述OPC协议自动识别与合规检查模块还用于接收到所述OPC客户端对第三指定节点进行读取数据或写入数据的请求后,对对应的读值或写值进行合法性校验,若判定为非法值,则返回失败,若判定为合法值,则允许进行读取数据操作或写入数据操作。
进一步地,所述协议解析模块对接收到的数据包进行分片重组,然后将分片重组后的数据交到所述OPC协议自动识别与合规检查模块,所述OPC协议自动识别与合规检查模块根据OPC协议进行协议规范性检查,若检查结果符合条件,则将数据交到协议解析模块进行内容分析提取得到会话信息,所述会话信息包括用户名、五元组信息、节点信息、读操作信息以及写操作信息
本发明的有益效果为:实现现有企业系统信息网与工业控制网中工业OPC协议互连跨网段通信,对用户访问进行控制,以解决非授权访问、无限制访问的问题,进而提高工业控制系统网络安全性,解决易被攻击等严重威胁工业控制网络安全的问题。
附图说明
图1为本发明一实施例中的OPC工业安全网关系统的结构示意图;
图2为本发明一实施例中的OPC工业安全网关系统的交互流程示意图;
图3为本发明另一实施例中的OPC工业安全网关系统的交互流程示意图;
图4为本发明另一实施例中的OPC工业安全网关系统的交互流程示意图;
图5为本发明一实施例中的协议解析框架解析数据的步骤示意图;
图6为本发明另一实施例中的OPC工业安全网关系统的结构示意图;
图7为本发明一实施例中的OPC工业安全网关系统的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例中的技术方案进行清楚、完整地描述,以下是对实施方式对本发明的解释,且本发明不局限于以下实施方式。
参照图1-7,本实施例中的OPC工业安全网关系统,部署在企业信息网与工业控制网中间.
参照图1,OPC工业安全网关系统包括OPC用户访问控制模块、OPC协议内容检查与策略控制模块以及协议解析模块;其中,OPC用户访问控制模块用于接收OPC客户端发送的验证数据,并将验证数据发送至协议解析模块;协议解析模块对验证数据进行解析识别得到认证账号,并将认证账号发送至OPC协议内容检查与策略控制模块;OPC协议内容检查与策略控制模块将认证账号与预设的用户策略进行匹配,若不匹配,则判定未授权,并返回失败信息以禁止访问;若匹配,则允许访问,并将认证账号转发至OPC服务端,以让OPC服务端返回验证请求至OPC用户访问控制模块,进而转发到OPC客户端,让OPC客户端进行验证,以完成双向身份鉴别。
上述验证数据包括用户的信息,例如账号、秘钥的信息,上述预设的用户策略为配置好的策略,该用户策略包括已授权登录用户的信息,具体包括用户名称、账号等。OPC客户端为使用OPC协议的客户端工具软件,OPC服务端为使用OPC协议的服务端工具软件,如工业控制系统;上述协议解析模块为基于协议解析框架实现的对OPC交互过程使用的DCERPC协议进行解析的模块,协议解析框架为对基于传输层TCP/UDP协议进行解析的框架,DCERPC协议为OPC客户端和OPC服务器之间基于COM/DCOM技术使用的应用层协议,基于协议解析框架、协议解析模块可实现的对OPC的COM/DCOM通信的动态会话解析技术。OPC协议内容检查与策略控制模块主要用于对接收到的数据包进行OPC协议内容检查以及OPC协议策略控制,OPC用户访问控制模块主要用于对用户访问进行控制,如用户是否有权限进行登录访问。
本发明提供的OPC工业安全网关系统,实现企业系统信息网与工业控制网中工业OPC协议互连跨网段通信,对用户访问进行控制,以解决非授权访问、无限制访问的问题,进而提高工业控制系统网络安全性,解决易被攻击等严重威胁工业控制网络安全的问题。
在一个实施例中,当OPC协议内容检查与策略控制模块判定用户允许访问,则可通过OPC客户端获取OPC服务端所有节点列表,例如温度节点、压力节点、湿度节点等,此时可通过客户端查看浏览所有节点。
在一个实施例中,在上述基础上OPC工业安全网关系统还包括安全审计模块,安全审计模块用于记录正常访问日志以及非法访问日志;还用于对OPC所有行为进行审计、记录,例如读取操作或写入操作的行为。
在一个具体实施例中,参照图2,OPC客户端需要进行登录访问时,可向OPC服务端发送账号、秘钥信息等验证数据进行OPC客户端方向验证,此时OPC用户访问控制模块收到验证数据后,通过协议解析框架解析到认证账号,然后OPC协议内容检查与策略控制模块将认证账号与配置好的用户策略进行匹配,如果用户未经授权,则返回失败,禁止访问,并通过安全审计模块记录异常访问日志;若允许访问,将验证数据转发到OPC服务端,再由OPC服务端向OPC客户端发送账号、秘钥信息进行OPC服务端方向验证,此过程可通过OPC用户访问控制模块转发对应的验证请求,双向鉴权都通过后,身份鉴别结束,OPC服务器返回服务器节点列表。
本发明提供的OPC工业安全网关系统还可以对节点添加、修改、删除操作进行精细化控制,其中,为了便于区别,将添加的节点命为第一指定节点,将删除的节点命为第二指定节点。在一个实施例中,在上述基础上OPC工业安全网关系统还包括OPC用户访问权限控制模块,OPC用户访问权限控制模块用于对用户访问权限进行控制,如添加、删除、修改节点的权限,对节点读取数据或写入数据的权限。
具体而言,OPC用户访问权限控制模块用于接收OPC客户端添加的第一指定节点的第一节点数据,并通过协议解析模块得到第一节点名称,进而通过OPC协议内容检查与策略控制模块将第一节点名称与配置好的用户策略进行匹配,以查询当前通过OPC客户端访问的当前用户是否可添加第一指定节点,若不允许添加,则返回操作失败,若允许添加,则将当前用户的用户名及当前五元组信息记录到内存数据库,内存数据库为可对数据持久化存储的数据库。
举例地,参照图3,通过OPC客户端点击刷新获取OPC服务器所有节点列表,通过节点浏览,点击添加需要管理的节点名称,协议解析模块解析到节点名称后,OPC协议内容检查与策略控制模块将其与配置好的用户策略进行匹配,如果此登录用户不允许访问该节点,则返回失败,禁止访问,安全审计模块记录异常访问日志;若用户允许访问,则安全审计模块记录用户名、五元组信息到内存数据库中,作为后续通过五元组关联用户的关键数据,同时转发请求到OPC服务器。
在一个实施例中,OPC用户访问权限控制模块还用于接收OPC客户端删除的第二指定节点的第二节点数据,并通过协议解析模块得到第二节点名称,进而通过OPC协议内容检查与策略控制模块将所述第二节点名称与用户策略进行匹配,以查询当前通过所述OPC客户端访问的当前用户是否可删除第二指定节点,若不允许删除,则返回操作失败,若允许删除,则转发请求到OPC服务器,以让OPC服务器对第二节点进行删除。
举例地,通过OPC客户端点击删除已添加的节点名称,协议解析模块解析到节点名称后,OPC协议内容检查与策略控制模块将其与系统配置好的用户策略进行匹配,如果此登录用户不允许删除此节点,则返回失败,禁止删除,安全审计模块记录异常删除日志,若用户允许删除,则转发请求到OPC服务器对已添加的节点进行删除。
在另一实施例中,还可对节点进行修改,通过OPC客户端点击需要修改的已添加节点名称,协议解析模块解析到节点名称后,OPC协议内容检查与策略控制模块将其与系统配置好的用户策略进行匹配,如果此登录用户不允许修改此节点,则返回失败,禁止修改,安全审计模块记录异常修改日志,若用户允许修改,则转发请求到OPC服务器对已添加的节点进行修改,并将修改信息记录到内存数据库中。
在一个实施例中,OPC用户访问权限控制模块还用于将第一指定节点或第二指定节点的节点名称、用户名称与五元组信息进行关联,并记录到内存数据库。在用户登录访问后,或对节点进行添加或删除或修改操作后,将对应的信息记录到内存数据库,以便后续通过关联信息来获取对应的数据,上述五元组信息包括源IP地址、源端口、目的IP地址、目的端口以及传输层协议。
在一个实施例中,协议解析模块还用于对OPC服务器返回的数据进行解析提取特征,得到会话特征,并将会话特征,以及会话特征和节点名称的映射关系记录到内存数据库中,会话特征为用户名、节点名称和五元组信息的特征。每一次操作均开启一个会话,例如每一次访问或添加节点或删除节点或对节点读取数据或写入数据均开启一个会话,每一个会话对应的会话信息均不一样,对应的会话特征也不一样,会话特征中的用户名、节点名称和五元组信息中任一个发生变化,对应的会话特征也变化。
举例地,协议解析框架通过对服务器的返回包的特征信息进行解析提取,由于五元组信息已与用户名、节点名称关联,此时将提取的会话特征作为KEY,然后与用户名、节点名称、五元组信息一起作为VALUE记录到内存数据库中,并记录节点名称与会话特征的映射关系,如添加节点名称为A,OPC服务器返回的会话特征为A’,以便后续可对此节点的读、写操作,值得注意的是返回包中没有显式指定节点名称,因此上述会话特征是后续对此节点的读、写操作的关键数据。
在一个实施例中,OPC工业安全网关系统可实现用户对节点读写精细化管理,具体地,OPC用户访问权限控制模块还用于接收到OPC客户端对第三指定节点进行读取数据或写入数据的请求后,将当前上下文会话信息和当前的五元组信息记录到内存数据库,当前上下文会话信息包括会话ID、会话ID与读操作的映射关系或会话ID与写操作的映射关系的信息,每一次读操作或写操作均建立一个会话,不同会话的对应的会话ID均不同。
举例地,OPC客户端点击对应的节点进行数据读取时,OPC用户访问权限控制模块在收到读取数据请求时,首先要记录此时的上下文会话信息和五元组信息到内存数据库中,此记录是进行读操作的关键数据,后续在读操作时,数据包中没有显式指定当前是读或者写操作,需要记录此时会话ID与读操作的映射关系,后续同一会话过程中,均以同一会话ID标识对应的读操作。
OPC客户端点击对应的节点进行数据写入时,收到写入数据的请求时,首先要记录此时的上下文会话信息和五元组信息到内存数据库中,此记录是进行写操作非常关键的数据,后续在读操作时,数据包中没有显式指定当前是读或者写操作,需要记录此时会话ID与写操作的映射关系,后续在同一会话过程中,均以同一会话ID标识对应的写操作。
在一个实施例中,OPC用户访问权限控制模块还用于获取指定读操作或指定写操作的会话ID,并依据会话ID获取对应的会话特征,依据会话特征与节点名称的映射关系获得节点名称,依据节点名称获取节点信息,并对通过OPC协议解析引擎对节点信息的不同数据类型的数据值进行提取,得到对应明文的整数或者字符串值,从而得到指定读操作内容或指定写操作内容。
在另一实施例中,当收到实际读或者写数据时,首先提取到会话特征,然后根据映射关系,获取节点信息,再通过OPC协议解析引擎对不同数据类型的数据值进行提取,得到对应明文的整数或者字符串值,依据明文内容即可精细到相应的读操作内容或写操作内容,OPC协议解析引擎为对OPC不同数据类型的数据值进行分析提取,得到明文的整数或者字符串值的引擎。
本发明提供的OPC工业安全网关系统可在用户登录时记录用户与五元组信息,关联用户与读写操作权限映射关系,实现用户对节点读写精细化管理,在OPC客户端与OPC服务端进行节点管理时记录节点名称与节点特征的映射关系,在后续节点操作时基于此映射关系查询具体是对哪个节点的操作;还可实现具体的节点值获取:不同数据类型节点特征不同,针对不同的数据类型需解析不同的解析方式,这样可实现对单个OPC用户、单个具体的节点过滤,同时根据会话特征关联,可以实现对具体一个节点的值读或者写过滤,达到精细化控制目标。
在一个实施例中,参照图4,还包括OPC协议自动识别与合规检查模块,OPC协议自动识别与合规检查模块用于接收到OPC客户端对第三指定节点进行读取数据或写入数据的请求后,对读值或写值进行合法性校验,若判定为非法值,则返回失败,若判定为合法值,则允许进行读取数据操作或写入数据操作。
这样可以通过五元组信息与用户名映射关系、节点名称映射关系、读写操作的上下文映射关系、节点的值等重要数据关联分析,从而可以提取到是哪个用户,对具体哪个节点进行读或者写,读或者写的具体值是多少,再根据系统中对此节点配置的用户策略来进行决策,判断对此节点是否为合法访问,如果是则放行,允许此数据通过工业网关系统,否则按照策略配置进行数据丢弃。同时在此过程中,对所有OPC客户端访问行为进行策略处理时,以五元组信息加节点名称、节点读写操作、具体值等信息完整记录OPC客户端的访问行为,作为审计日志。本发明提供的OPC工业安全网关系统能够精细化的对已添加所有节点进行数据读操作控制、写的值进行控制,一个节点一套策略,同时对数据进行规范性、合规性、安全性检查,并提供预警与审计功能,提供一套可管、可控、可审计系统,解决工业控制系统网络安全性差、易被攻击等严重威胁工业控制网络安全的问题。
在一个实施例中,协议解析模块通过对接收到的数据包的分片重组,然后将分片重组后的数据交到OPC协议自动识别与合规检查模块,OPC协议自动识别与合规检查模块根据OPC协议进行协议规范性检查,若检查结果符合条件,则将数据交到协议解析模块进行内容分析提取得到会话信息,所述会话信息包括用户名、五元组信息、节点信息、读操作信息以及写操作信息。
举例地,参照图5,协议解析框架是基于linux内核的NETFILTER框架,通过IPQueue机制,将内核数据传递到应用层的分片数据包存储队列,通过应用层框架对tcp数据包的分片重组,此处的tcp数据包可以为上述实施例中系统接收到的任一种需要解析的数据,放入TCP重组数据包队列,再从队列中取出重组后的数据包,先对数据包根据协议端口初检查,得到OPC数据,然后将交到OPC协议自动识别与合规检查模块,OPC协议自动识别与合规检查模块根据OPC应用层的DCERPC协议进行严格的协议规范性检查,得到真实OPC数据,最后将合法的真实OPC数据交由协议解析模块进行内容分析提取,根据不同会话过程,提取对应的登录用户名、五元组、节点信息、读写值等操作。
进一步地,OPC工业安全网关系统的应用层还包括设备认证与控制模块、异常事件检测与报警模块,设备认证与控制模块用于设备认证以及用户在线状态展示与控制,异常实际检测与报警模块用于对非法协议包、非法OPC读写操作记录以及进行警告。本实施例中,参照图7,OPC工业安全网关系统由前端配置、应用层、公共组件层、基础服务层、数据访问层/缓冲层、数据持久层、系统接口、系统层、运行环境构建,其中前端配置包括POST请求,GET请求、AJAX、HTML,应用层包括设备认证与控制模块、异常事件检测与报警模块、OPC用户访问控制模块、OPC协议内容检查与策略控制模块、安全审计模块、OPC用户访问权限控制模块、OPC协议自动识别与合规检查模块、协议解析模块,公共组件层包括消息中间件服务、过滤服务、日志服务、病毒服务,基础服务层包括Tomct、Mysql、Ssh服务、Syslog服务、Nginx、Rpc服务、Crond服务,公共组件层与基础服务层为服务支持层,系统层包括TPescOs,运行环境包括物理机、虚拟机以及云服务。
参照图6,本发明提供的OPC工业安全网关系统,部署在互联网与工业控制网之间,从互联网获取工业协议数据进行处理,如可通过设备认证、OPC用户访问控制、OPC协议自动识别与合规检查、OPC用户访问权限控制、OPC协议内容检查与策略控制、异常事件检测与报警、日志审计等模块的处理得到合法OPC数据,给到工业控制网。其中,OPC工业安全网关系统会对其通信行为进行安全认证,对数据包进行合规性、合法性检查和内容检查,识别和拦截恶意的通信行为及非法工业协议数据包,防止非法设备、非法用户入侵、防止异常或变异工业数据包攻击以及防止对工业控制网进行攻击,提高互联网与工业控制网的互连互通的安全性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种OPC工业安全网关系统,其特征在于,包括OPC用户访问控制模块、OPC协议内容检查与策略控制模块以及协议解析模块;
所述OPC用户访问控制模块用于接收OPC客户端发送的验证数据,并将所述验证数据发送至协议解析模块,所述验证数据包括用户的信息;
所述协议解析模块对所述验证数据进行解析识别得到认证账号,并将所述认证账号发送至所述OPC协议内容检查与策略控制模块;
所述OPC协议内容检查与策略控制模块将所述认证账号与预设的用户策略进行匹配,若不匹配,则判定未授权,并返回失败信息以禁止访问;若匹配,则允许访问,并将所述认证账号转发至OPC服务端,以让所述OPC服务端返回验证请求至所述OPC用户访问控制模块,进而转发到所述OPC客户端,让所述OPC客户端进行验证,以完成双向身份鉴别。
2.根据权利要求1所述的OPC工业安全网关系统,其特征在于,还包括安全审计模块,所述安全审计模块用于记录正常访问日志以及非法访问日志。
3.根据权利要求1所述的OPC工业安全网关系统,其特征在于,还包括OPC用户访问权限控制模块,所述OPC用户访问权限控制模块用于接收所述OPC客户端添加的第一指定节点的第一节点数据,并通过协议解析模块得到第一节点名称,进而通过所述OPC协议内容检查与策略控制模块将所述第一节点名称与所述用户策略进行匹配,以查询当前通过所述OPC客户端访问的当前用户是否可添加所述第一指定节点,若不允许添加,则返回操作失败,若允许添加,则将所述当前用户的用户名及当前五元组信息记录到内存数据库。
4.根据权利要求3所述的OPC工业安全网关系统,其特征在于,所述OPC用户访问权限控制模块还用于接收所述OPC客户端删除的第二指定节点的第二节点数据,并通过协议解析模块得到第二节点名称,进而通过所述OPC协议内容检查与策略控制模块将所述第二节点名称与所述用户策略进行匹配,以查询当前通过所述OPC客户端访问的当前用户是否可删除所述第二指定节点,若不允许删除,则返回操作失败,若允许删除,则转发请求到OPC服务器,以让所述OPC服务器对所述第二节点进行删除。
5.根据权利要求4所述的OPC工业安全网关系统,其特征在于,所述OPC用户访问权限控制模块还用于将所述第一指定节点或所述第二指定节点的节点名称、用户名称与五元组信息进行关联,并记录到内存数据库。
6.根据权利要求5所述的OPC工业安全网关系统,其特征在于,所述协议解析模块还用于对所述OPC服务器返回的数据进行解析提取特征,得到会话特征,并将所述会话特征,以及所述会话特征和所述节点名称的映射关系记录到内存数据库中,所述会话特征为用户名、节点名称和五元组信息的特征。
7.根据权利要求6所述的OPC工业安全网关系统,其特征在于,所述OPC用户访问权限控制模块用于接收到所述OPC客户端对第三指定节点进行读取数据或写入数据的请求后,将当前上下文会话信息和当前的五元组信息记录到内存数据库,所述当前上下文会话信息包括会话ID、会话ID与读操作的映射关系或会话ID与写操作的映射关系的信息,每一次读操作或写操作均建立一个会话,不同会话的对应的会话ID均不同。
8.根据权利要求7所述的OPC工业安全网关系统,其特征在于,所述OPC用户访问权限控制模块还用于获取指定读操作或指定写操作的会话ID,并依据所述会话ID获取对应的会话特征,依据所述会话特征与所述节点名称的映射关系获得所述节点名称,依据所述节点名称获取节点信息,并对通过OPC协议解析引擎对节点信息的不同数据类型的数据值进行提取,得到对应明文的整数或者字符串值,从而得到指定读操作内容或指定写操作内容。
9.根据权利要求8所述的OPC工业安全网关系统,其特征在于,还包括OPC协议自动识别与合规检查模块,所述OPC协议自动识别与合规检查模块还用于接收到所述OPC客户端对第三指定节点进行读取数据或写入数据的请求后,对对应的读值或写值进行合法性校验,若判定为非法值,则返回失败,若判定为合法值,则允许进行读取数据操作或写入数据操作。
10.根根据权利要求9所述的OPC工业安全网关系统,其特征在于,所述协议解析模块对接收到的数据包进行分片重组,然后将分片重组后的数据交到所述OPC协议自动识别与合规检查模块,所述OPC协议自动识别与合规检查模块根据OPC协议进行协议规范性检查,若检查结果符合条件,则将数据交到协议解析模块进行内容分析提取得到会话信息,所述会话信息包括用户名、五元组信息、节点信息、读操作信息以及写操作信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310109579.4A CN116318863B (zh) | 2023-02-14 | 2023-02-14 | 一种opc工业安全网关系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310109579.4A CN116318863B (zh) | 2023-02-14 | 2023-02-14 | 一种opc工业安全网关系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116318863A CN116318863A (zh) | 2023-06-23 |
| CN116318863B true CN116318863B (zh) | 2023-10-13 |
Family
ID=86835106
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310109579.4A Active CN116318863B (zh) | 2023-02-14 | 2023-02-14 | 一种opc工业安全网关系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116318863B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103473489A (zh) * | 2013-06-09 | 2013-12-25 | 洛阳鸿卓电子信息技术有限公司 | 一种安全生产综合监管的权限验证系统及权限验证方法 |
| EP2827208A2 (en) * | 2013-06-12 | 2015-01-21 | ABB Technology AG | Predictive energy consumption control system and method |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| WO2018190983A1 (en) * | 2017-04-11 | 2018-10-18 | Xage Security, Inc. | Single authentication portal for diverse industrial network protocols across multiple osi layers |
| CN112039916A (zh) * | 2020-09-07 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
| CN112800411A (zh) * | 2021-02-19 | 2021-05-14 | 浪潮云信息技术股份公司 | 支持多协议、多方式的安全可靠身份认证方法及装置 |
| KR102280440B1 (ko) * | 2020-01-15 | 2021-07-21 | 한양대학교 에리카산학협력단 | 스마트 제조 시스템의 자산관리쉘 생성 방법 |
| CN113179194A (zh) * | 2021-04-28 | 2021-07-27 | 杭州迪普科技股份有限公司 | Opc协议网关的测试系统及方法 |
| CN113342547A (zh) * | 2021-06-04 | 2021-09-03 | 瀚云科技有限公司 | 一种远程服务调用方法、装置、电子设备及可读存储介质 |
| WO2022031911A1 (en) * | 2020-08-06 | 2022-02-10 | Saudi Arabian Oil Company | Infrastructure construction digital integrated twin (icdit) |
| CN115168477A (zh) * | 2022-08-04 | 2022-10-11 | 东方合智数据科技(广东)有限责任公司 | 一种基于互联网的包装行业的数据集成方法及相关设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120266209A1 (en) * | 2012-06-11 | 2012-10-18 | David Jeffrey Gooding | Method of Secure Electric Power Grid Operations Using Common Cyber Security Services |
-
2023
- 2023-02-14 CN CN202310109579.4A patent/CN116318863B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103473489A (zh) * | 2013-06-09 | 2013-12-25 | 洛阳鸿卓电子信息技术有限公司 | 一种安全生产综合监管的权限验证系统及权限验证方法 |
| EP2827208A2 (en) * | 2013-06-12 | 2015-01-21 | ABB Technology AG | Predictive energy consumption control system and method |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| WO2018190983A1 (en) * | 2017-04-11 | 2018-10-18 | Xage Security, Inc. | Single authentication portal for diverse industrial network protocols across multiple osi layers |
| KR102280440B1 (ko) * | 2020-01-15 | 2021-07-21 | 한양대학교 에리카산학협력단 | 스마트 제조 시스템의 자산관리쉘 생성 방법 |
| WO2022031911A1 (en) * | 2020-08-06 | 2022-02-10 | Saudi Arabian Oil Company | Infrastructure construction digital integrated twin (icdit) |
| CN112039916A (zh) * | 2020-09-07 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
| CN112800411A (zh) * | 2021-02-19 | 2021-05-14 | 浪潮云信息技术股份公司 | 支持多协议、多方式的安全可靠身份认证方法及装置 |
| CN113179194A (zh) * | 2021-04-28 | 2021-07-27 | 杭州迪普科技股份有限公司 | Opc协议网关的测试系统及方法 |
| CN113342547A (zh) * | 2021-06-04 | 2021-09-03 | 瀚云科技有限公司 | 一种远程服务调用方法、装置、电子设备及可读存储介质 |
| CN115168477A (zh) * | 2022-08-04 | 2022-10-11 | 东方合智数据科技(广东)有限责任公司 | 一种基于互联网的包装行业的数据集成方法及相关设备 |
Non-Patent Citations (3)
| Title |
|---|
| 《Development of a Power Supply Control System and Virtual Simulation Based on Docker》;Chong Zhou 等;《IEEE》;全文 * |
| 《工业自动化控制系统信息安全研究》;唐文;《计算机安全》;全文 * |
| 《面向OPC UA/TSN架构的工业控制网络安全防护研究》;卜天宇 等;《信息安全与技术》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116318863A (zh) | 2023-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8171544B2 (en) | Method and system for preventing, auditing and trending unauthorized traffic in network systems | |
| US7900240B2 (en) | Multilayer access control security system | |
| KR100502068B1 (ko) | 네트워크 노드의 보안 엔진 관리 장치 및 방법 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| US20060026681A1 (en) | System and method of characterizing and managing electronic traffic | |
| US20180309727A1 (en) | Web application security architecture | |
| JP2005529409A (ja) | プロトコルゲートウェイのためのシステム及び方法 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| KR20190010956A (ko) | 지능형 보안로그 분석방법 | |
| CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
| CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| CN116915515B (zh) | 用于工控网络的访问安全控制方法及系统 | |
| CN116708033B (zh) | 终端安全检测方法、装置、电子设备及存储介质 | |
| CN116318863B (zh) | 一种opc工业安全网关系统 | |
| US9888014B2 (en) | Enforcing security for sensitive data on database client hosts | |
| Center | Detecting lateral movement through tracking event logs | |
| KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 | |
| CN113194088B (zh) | 访问拦截方法、装置、日志服务器和计算机可读存储介质 | |
| CN115189946A (zh) | 一种跨网数据交换系统及数据交换方法 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| KR102258965B1 (ko) | HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법 및 장치 | |
| CN112118241B (zh) | 审计渗透测试方法、测试节点服务器、管理服务器及系统 | |
| CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
| CN107517226A (zh) | 基于无线网络入侵的报警方法及装置 | |
| Abusamrah et al. | Next-Generation Firewall, Deep Learning Endpoint Protection and Intelligent SIEM Integration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |