用于OPC DA数据包低时延穿透安全设备的方法.pdf

资源描述

《用于OPC DA数据包低时延穿透安全设备的方法.pdf》由会员分享，可在线阅读，更多相关《用于OPC DA数据包低时延穿透安全设备的方法.pdf（6页珍藏版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010857349.2 (22)申请日 2020.08.24 (71)申请人宝牧科技（天津）有限公司地址 300384 天津市河北区万柳村大街56 号（绿领产业园A6-2-112号） (72)发明人肖海涛迟永梅 (74)专利代理机构天津企兴智财知识产权代理有限公司 12226 代理人苏冲 (51)Int.Cl. H04L 29/06(2006.01) H04L 29/08(2006.01) (54)发明名称一种用于OPC DA数据包低时延穿透安全设备的。

2、方法 (57)摘要本发明提供了一种用于OPC DA数据包低时延穿透安全设备的方法，在安全设备上添加一条安全策略SP1； OPC DA客户端通过安全设备向OPC DA服务器发起控制连接，形成访问向量SVx；安全设备在安全策略库中查找访问向量SVx符合安全策略SP1，进行放行， OPC DA客户端与OPC DA服务器成功建立控制连接。本发明所述的一种用于 OPC DA数据包低时延穿透安全设备的方法，通过深度包分析的技术，将OPC DA服务器分配给客户端的动态端口识别出来，自主学习形成临时安全策略，使OPC DA随后发起的数据连接能够高效的穿透安全设备，同时不。

3、影响吞吐量和时延性能。权利要求书1页说明书3页附图1页 CN 112003861 A 2020.11.27 CN 112003861 A 1.一种用于OPC DA数据包低时延穿透安全设备的方法，其特征在于：包括：步骤1：在安全设备上添加一条安全策略SP1；步骤2： OPC DA客户端通过安全设备向OPC DA服务器发起控制连接，形成访问向量SVx；步骤3：安全设备在安全策略库中查找访问向量SVx符合安全策略SP1，进行放行， OPC DA 客户端与OPC DA服务器成功建立控制连接；步骤4： OPC DA客户端通过步骤3中建立的控制连接，请求OPC DA服务器分配一。

4、个动态临时端口Pd， OPC DA服务器通过安全设备分配一个动态临时端口Pd给OPC DA客户端；步骤5：安全设备收到OPC DA服务器发送的分配动态临时端口Pd的报文后，进行深度包解析，得到OPC DA服务器分配的动态临时端口为Pd，然后安全设备自动中添加一个相应的临时安全策略SP2；步骤6： OPC DA客户端收到OPC DA服务器分配的动态临时端口Pd后，通过安全设备向OPC DA服务器发起数据连接，形成访问向量SVy，安全设备在安全策略库中查找访问向量SVy符合安全策略SP2，进行放行， OPC DA客户端与OPC DA服务器成功建立数据连接，进行正常的数。

5、据访问；安全设备删除临时安全策略SP2。 2.根据权利要求1所述的一种用于OPC DA数据包低时延穿透安全设备的方法，其特征在于： OPC DA控制连接采用TCP协议， OPC DA服务器IP为D1， OPC DA客户端IP为是S1：在步骤1中：安全策略SP1S1,0， D1， 135， TCP，其中0是任意源端口， 135是D1所采用的端口， TCP表示采用连接协议；在步骤2中：访问向量SVxS1,Px， D1， 135， TCP，其中源IP是S1，源端口是Px，目的IP为 D1，目的端口是135，协议为TCP；在步骤5中：临时安全策略SP2S1,0， D1。

6、， Pd， TCP， 0是任意源端口， Pd是分配的动态临时端口，协议为TCP；在步骤6中：访问向量SVyS1,Py， D1， Pd， TCP，源IP是S1， Py是源端口，目的IP为D1，目的端口是Pd，协议为TCP。 3.根据权利要求1所述的一种用于OPC DA数据包低时延穿透安全设备的方法，其特征在于：安全设备包括：防火墙或者安全接入网关。权利要求书 1/1 页 2 CN 112003861 A 2 一种用于OPC DA数据包低时延穿透安全设备的方法技术领域 0001 发明属于网络安全领域，尤其是涉及一种用于OPC DA数据包低时延穿透安全设备的方法。。

7、背景技术 0002 OPC DA是在工业控制系统中非常常见的一种工业数据访问协议，一般由客户端和服务器组成，客户端和服务器之间的数据交换使用OPC DA协议，近年来，随着两化融合的发展，工业控制系统的安全越来越受到重视，根据国家等级保护2.0规范，需要在OPC DA客户端和服务器之间采用安全设备进行网络隔离。 0003 由于OPC DA采用动态端口协议，因此OPC DA数据包在穿过安全设备时，无法采用常规的TCP/IP 4层过滤技术。在现有技术条件下，常见的穿透技术，主要有三层IP过滤技术及应用层代理技术：， 0004 三层IP过滤技术，这种方式直接根据O。

8、PC DA客户端和服务器端的IP地址进行过滤，这种方式简单，直接在内核态完成，具有时延低及性能高的特点，但缺点是安全性极低， OPC DA客户端和服务器端上的恶意软件也能够穿越安全设备，互相访问，无法形成有效的安全控制。 0005 应用层代理技术，这种方式当OPC DA数据包经过安全设备时，由安全设备的内核拦截所有的数据，复制后转交给应用层的代理进行处理，应用层代理根据OPC DA协议的关键字，将混合流量中的OPC DA包识别出来，然后将OPC DA复制一份交给内核层进行转发，这种方式可以形成有效的安全控制，但缺点是带来时延巨幅增加，吞吐量极具下降的问题。

9、。发明内容 0006 有鉴于此，本发明旨在提出一种用于OPC DA数据包低时延穿透安全设备的方法，可以直接在内核态，通过深度包分析的技术，将OPC DA服务器分配给客户端的动态端口识别出来，自主学习形成临时安全策略，使OPC DA随后发起的数据连接能够高效的穿透安全设备，同时不影响吞吐量和时延性能。 0007 为达到上述目的，本发明的技术方案是这样实现的： 0008 一种用于OPC DA数据包低时延穿透安全设备的方法，包括： 0009 步骤1：在安全设备上添加一条安全策略SP1； 0010 步骤2： OPC DA客户端通过安全设备向OPC DA服务器发起控制连接，形。

10、成访问向量 SVx； 0011 步骤3：安全设备在安全策略库中查找访问向量SVx符合安全策略SP1，进行放行， OPC DA客户端与OPC DA服务器成功建立控制连接； 0012 步骤4： OPC DA客户端通过步骤3中建立的控制连接，请求OPC DA服务器分配一个动态临时端口Pd， OPC DA服务器通过安全设备分配一个动态临时端口Pd给OPC DA客户端； 0013 步骤5：安全设备收到OPC DA服务器发送的分配动态临时端口Pd的报文后，进行深说明书 1/3 页 3 CN 112003861 A 3 度包解析，得到OPC DA服务器分配的动态临时端口为Pd，然后安全设备。

11、中自动添加一个相应的临时安全策略SP2； 0014 步骤6： OPC DA客户端收到OPC DA服务器分配的动态临时端口Pd后，通过安全设备向OPC DA服务器发起数据连接，形成访问向量SVy，安全设备在安全策略库中查找访问向量 SVy符合安全策略SP2，进行放行， OPC DA客户端与OPC DA服务器成功建立数据连接，进行正常的数据访问；安全设备删除临时安全策略SP2。 0015 进一步， OPC DA控制连接采用TCP协议， OPC DA服务器IP为D1， OPC DA客户端IP为是S1： 0016 在步骤1中：安全策略SP1S1,0， D1， 135， TCP，。

12、其中0是任意源端口， 135是D1所采用的端口， TCP表示采用连接协议； 0017 在步骤2中：访问向量SVxS1,Px， D1， 135， TCP，其中源IP是S1，源端口是Px，目的 IP为D1，目的端口是135，协议为TCP； 0018 在步骤5中：临时安全策略SP2S1,0， D1， Pd， TCP， 0是任意源端口， Pd是分配的动态临时端口，协议为TCP； 0019 在步骤6中：访问向量SVyS1,Py， D1， Pd， TCP，源IP是S1， Py是源端口，目的IP为D1，目的端口是Pd，协议为TCP； 0020 进一步，安全设备包括：防火墙或。

13、者安全接入网关。 0021 相对于现有技术，本发明所述的一种用于OPC DA数据包低时延穿透安全设备的方法，具有以下优势： 0022 本发明所述的一种用于OPC DA数据包低时延穿透安全设备的方法，所有的操作均在内核态进行，时延性能极好，无需将数据复制到应用层，也无需从应用层返回数据，操作系统不需要进行应用层和内核层切换，不会有Cache Misss和Page Fault等额外开销，同时也无需进行费时的字符串查找。本方法可以实现对安全设备容易且低时延的OPC DA数据包穿透，通过深度包分析，将OPC DA服务器分配给客户端的动态端口识别出来，自主学习形成临。

14、时安全策略，不影响业务运行，同时为OPC DA数据访问业务提供安全性保障。附图说明 0023 构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。 0024 在附图中： 0025 图1为本发明实施例所述的一种用于OPC DA数据包低时延穿透安全设备的方法流程示意图。具体实施方式 0026 需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。 0027 在本发明的描述中，需要理解的是，术语 “中心” 、“纵向” 、“横向” 、“上” 、“下” 、 “前” 、“后” 、“左。

15、” 、“右” 、“竖直” 、“水平” 、“顶” 、“底” 、“内” 、“外” 等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗说明书 2/3 页 4 CN 112003861 A 4 示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语 “第一” 、“第二” 等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有 “第一” 、“第二” 等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明。

16、，“多个” 的含义是两个或两个以上。 0028 在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语 “安装” 、“相连” 、“连接” 应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。 0029 下面将参考附图并结合实施例来详细说明本发明。 0030 如图1所示，一种用于OPC DA数据包低时延穿透安全设备的方法，包括： 0031 步骤1：在。

17、安全设备上添加一条安全策略SP1；安全策略SP1S1,0， D1， 135， TCP，其中0是任意源端口， 135是D1所采用的端口， TCP表示采用连接协议； 0032 步骤2： OPC DA客户端通过安全设备向OPC DA服务器发起控制连接，形成访问向量 SVx；访问向量SVxS1,Px， D1， 135， TCP，其中源IP是S1，源端口是Px，目的IP为D1，目的端口是135，协议为TCP； 0033 步骤3：安全设备在安全策略库中查找访问向量SVx符合安全策略SP1，进行放行， OPC DA客户端与OPC DA服务器成功建立控制连接； 0034 步骤4： OP。

18、C DA客户端通过步骤3中建立的控制连接，请求OPC DA服务器分配一个动态临时端口Pd， OPC DA服务器通过安全设备分配一个动态临时端口Pd给OPC DA客户端； 0035 步骤5：安全设备收到OPC DA服务器发送的分配动态临时端口Pd的报文后，进行深度包解析，得到OPC DA服务器分配的动态临时端口为Pd，然后安全设备中自动添加一个相应的临时安全策略SP2；临时安全策略SP2S1,0， D1， Pd， TCP， 0是任意源端口， Pd是分配的动态临时端口，协议为TCP； 0036 步骤6： OPC DA客户端收到OPC DA服务器分配的动态临时端口Pd后，通过。

19、安全设备向OPC DA服务器发起数据连接，形成访问向量SVy，访问向量SVyS1,Py， D1， Pd， TCP，源IP 是S1， Py是源端口，目的IP为D1，目的端口是Pd，协议为TCP；安全设备在安全策略库中查找访问向量SVy符合安全策略SP2，进行放行， OPC DA客户端与OPC DA服务器成功建立数据连接，进行正常的数据访问；安全设备删除临时安全策略SP2。 0037 安全设备包括：防火墙或者安全接入网关。 0038 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。说明书 3/3 页 5 CN 112003861 A 5 图1 说明书附图 1/1 页 6 CN 112003861 A 6 。

展开阅读全文