[发明专利]基于OPC协议的访问控制方法、装置、设备及存储介质

说明书

本发明提供一种基于OPC协议的访问控制方法、装置、设备及存储介质，所述方法包括：获取OPC客户端向OPC服务器发送的OPC请求报文；在确定所述OPC请求报文的端口合法性之后，从所述OPC请求报文的报头获取语义标识符以及操作数；根据所述语义标识符以及预先建立的绑定信息链表确定OPC接口；其中，所述绑定信息链表用于存储语义标识符与OPC接口的绑定关系；基于所述OPC接口以及所述操作数，确定所述OPC请求报文的操作指令；基于所述操作指令以及预先设置的访问规则，确定是否放行所述OPC请求报文，实现对于OPC报文的指令级的访问控制，为OPC通信过程提供更高的安全保证。

技术领域

本发明涉及通信技术领域，尤其涉及一种基于OPC协议的访问控制方法、装置、设备及计算机可读存储介质。

背景技术

随着工业过程自动化的发展，自动化系统集成厂商希望能够快速集成不同厂家的各种软硬件产品，在不同设备、系统之间实现互操作。OPC Classic的出现解决了控制系统突破“信息孤岛”的瓶颈问题。OPC Classic技术建立了一组符合工业控制要求的接口规范，其包括OPC DA、OPC HDA、OPC AE、OPC DX等子协议。OPC Classic将现场信号按照统一的标准与SCADA，HMI等软件无缝连接起来，同时将硬件和应用软件有效地分离开。只要硬件开发商提供带有OPC Classic接口的服务器，任何支持OPC Classic接口的客户程序均可采用统一的方式对不同硬件厂商的设备数据进行存取，无须重复开发驱动程序。这样大大提高了控制系统的互操作性和适应性。

大部分TCP、UDP协议使用单一的固定端口号，例如Modbus TCP默认使用502端口。客户端与服务器的502端口建立连接，然后发送数据请求到服务器，或者接受来自服务器的响应数据。使用防火墙来保护这些服务器比较简单，只需设置防火墙仅允许指定端口的报文进行通讯，阻止其它端口通讯即可，但OPC Classic协议使用动态随机端口，建立OPCClassic连接需要以下两步：(1)客户端通过135端口向服务器请求以获取通讯所需的TCP端口号，服务器返回一个动态随机端口；(2)客户端使用服务器返回的动态随机端口连接到服务器，进行数据通讯。其中，OPC服务器返回的是一个动态随机端口，因此无法预知服务器返回给客户端的端口号，如果使用传统防火墙来保护OPC服务器，将不得不允许OPC客户端连接OPC服务器的任意端口，此种情况下，防火墙提供的安全防护将降至最低。因此，目前绝大多数的OPC服务器都运行在没有任何防火墙保护的环境中，因而很容易受到一些恶意软件的攻击。

对此，现有技术的中对于OPC服务器以及OPC客户端的安全防护方案通常是跟踪在服务器返回OPC应答信息中包括服务器端通过一个虚拟随机序列动态分配的TCP端口号，对合法的TCP端口分配交互过程进行授权，对经过TCP端口授权的交互通信信息的放行，并对该交互通信信息的传输过程进行访问控制防护，阻止未经TCP端口授权的数据传输及控制命令传送。

但是，在实现本发明的过程中，发明人发现：现有技术中仅对动态端口进行跟踪，进行端口级别的访问控制，但黑客可利用动态端口构造格式正确的OPC数据包篡改服务器数据，进行非授权的操作，从而使得OPC服务器以及OPC客户端通讯双方受到一些恶意软件的攻击。

发明内容

有鉴于此，本发明提供一种基于OPC协议的访问控制方法、装置、设备及计算机可读存储介质。

根据本发明实施例的第一方面，提供一种基于OPC协议的访问控制方法，所述方法包括：

获取OPC客户端向OPC服务器发送的OPC请求报文；

在确定所述OPC请求报文的端口合法性之后，从所述OPC请求报文的报头获取语义标识符以及操作数；

根据所述语义标识符以及预先建立的绑定信息链表确定OPC接口；其中，所述绑定信息链表用于存储语义标识符与OPC接口的绑定关系；

基于所述OPC接口以及所述操作数，确定所述OPC请求报文的操作指令；