[发明专利]OPC服务器安全防护系统有效
| 申请号: | 201510144249.4 | 申请日: | 2015-03-30 |
| 公开(公告)号: | CN104767748B | 公开(公告)日: | 2017-10-10 |
| 发明(设计)人: | 蔡皖东;王康;魏鹏程;吕品 | 申请(专利权)人: | 西北工业大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 西北工业大学专利中心61204 | 代理人: | 王鲜凯 |
| 地址: | 710072 *** | 国省代码: | 陕西;61 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种OPC服务器安全防护系统,用于解决现有服务器以及工业控制系统安全性差的技术问题。技术方案是包括安全防护系统和操作系统平台,安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。根据OPC服务器网络通信系统结构,在OPC服务器的网络层、传输层和应用层上设置安全规则,对OPC服务器进入和外出的数据包进行深度安全检查和审计,识别和滤除恶意的访问行为及数据包,提高了OPC服务器以及工业控制系统的安全防护能力。 | ||
| 搜索关键词: | opc 服务器 安全 防护 系统 | ||
【主权项】:
一种OPC服务器安全防护系统,其特征在于:包括安全防护系统和操作系统平台,安全防护系统由控制台和数据包过滤驱动模块组成;操作系统平台由Windows过滤平台和网卡组成;一、根据OPC服务器的安全策略设置网络层、传输层和应用层的安全规则;(1)网络层:设置IP协议和ICMP协议的安全规则:①将ICMP协议列入黑名单,表示禁止OPC服务器发送和接收ICMP数据包;ICMP协议未列入黑名单,表示允许OPC服务器使用ICMP协议进行通信;②将特定的IP地址列入黑名单,表示禁止OPC服务器发送和接收这些特定目的IP地址或源IP地址的IP数据包;未列入黑名单的IP地址,表示允许OPC服务器发送和接收这些IP地址的IP数据包;(2)传输层:设置TCP协议和UDP协议的安全规则:①将特定的TCP端口号列入黑名单,表示禁止OPC服务器发送和接收这些特定目的TCP端口号或源TCP端口号的TCP数据包;未列入黑名单的TCP端口号,表示允许OPC服务器发送和接收这些TCP端口号的TCP数据包;②将特定的UDP端口号列入黑名单,表示禁止OPC服务器发送和接收这些特定目的UDP端口号或源UDP端口号的UDP数据包;未列入黑名单的UDP端口号,表示允许OPC服务器发送和接收这些UDP端口号的UDP数据包;(3)应用层:设置OPC协议的安全规则:①将特定的OPC客户端及认证信息列入白名单,表示允许OPC服务器与这些特定的OPC客户端及用户名建立OPC连接进行通信;未列入白名单的OPC客户端,表示禁止OPC服务器与它们建立OPC连接;②将特定的字符串及格式列入白名单,表示允许OPC服务器接收包含这些特定字符串及格式的OPC请求包,这些特定的字符串与允许发送给工业控制设备的命令相对应;未列入白名单的字符串及格式,表示禁止OPC服务器接收这些OPC请求包;二、数据包过滤驱动模块对各个层的数据包进行检查与过滤,利用Windows过滤平台提供的接口函数和过滤功能实现;对于网络层和传输层数据包,通过Windows过滤平台的接口函数将安全规则传递给Windows过滤平台,由Windows过滤平台直接对数据包进行检查与过滤;对于应用层数据包,通过Windows过滤平台的接口函数来捕获数据包,由数据包过滤驱动模块对数据包进行解析和检查,根据检查结果再通过Windows过滤平台的接口函数通知Windows过滤平台是否放行该数据包;(1)对于网络层数据包,过滤平台的检查与过滤过程如下:①检查IP数据包头中的协议类型,如果是ICMP数据包,则检查ICMP协议是否被黑名单禁止;如果被禁止,则丢弃该数据包;如果未被禁止,则将该数据包提交给ICMP协议进行处理;②如果是IP数据包,则检查IP数据包头中的目的IP地址和源IP地址是否被列入黑名单,如果列入,则丢弃该数据包;如果未列入,则将该数据包提交给IP协议进行处理;(2)对于传输层数据包,过滤平台的检查与过滤过程如下:①如果是TCP数据包,则检查TCP数据包头中的目的端口号和源端口号是否被列入黑名单,如果列入,则丢弃该数据包;如果未列入,则将该数据包提交给TCP协议进行处理;②如果是UDP数据包,则检查UDP数据包头中的目的端口号和源端口号是否被列入黑名单,如果列入,则滤除该数据包;如果未列入,则将该数据包提交给UDP协议进行处理;(3)在应用层,对数据包的解析和检查过程如下:①首先通过过滤平台捕获OPC数据包,然后对OPC数据包进行解析和检查;②如果OPC数据包是OPC客户端向OPC服务器发出的OPC请求包,则从请求包中提取出OPC客户端及认证信息,检查是否被列入白名单,如果未列入,则丢弃该数据包;如果列入,则执行后续的检查;③如果OPC数据包是OPC客户端向OPC服务器发出的命令包,则检查命令包中是否包含白名单所列入的字符串及格式,如果未列入,则丢弃该数据包;如果列入,则执行后续的检查;④按照OPC协议规范,在OPC数据包头中是否存在不符OPC协议规范的数据格式及类型,如果存在,则丢弃该数据包;如果不存在,则允许该数据包通过;⑤对于允许通过的OPC数据包,则通知过滤平台放行该数据包;对于需要丢弃的OPC数据包,则通知过滤平台丢弃该数据包,并向控制台发出报警信息,同时作为异常事件写入日志文件中;三、系统管理员通过控制台进行安全规则设置、日志管理和异常报警操作:(1)在控制台上,系统管理员选择安全规则设置菜单,进行网络层、传输层和应用层安全规则的设置操作;(2)在控制台上,系统管理员选择日志管理菜单,进行日志信息查询、安全审计和数据备份等操作;(3)所有的异常报警信息均显示在控制台上,供系统管理员查看。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西北工业大学,未经西北工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510144249.4/,转载请声明来源钻瓜专利网。
- 上一篇:一种相机与任意形状物理对象相对位置的估算方法
- 下一篇:聚光太阳能光伏模块
