本申请提供一种基于OPC协议的通信方法、装置、电子设备及存储介质,应用于网关设备,所述方法包括:接收第一报文;确定所述第一报文是否属于第二阶段的通信报文;在确定所述第一报文属于所述第二阶段的通信报文时,根据所述第一报文携带的第一元组信息,从预先存储的元组信息和第一阶段的关键信息的第一对应关系中,查找出与所述第一元组信息对应的第一阶段的关键信息;根据所述对应的第一阶段的关键信息,确定出所述第一阶段的安全策略;根据所述第一阶段的安全策略,对所述第一报文进行处理,由于第一阶段的安全策略被第二阶段会话继承,继而保证第二阶段的通信报文能够穿过网关设备,最终保证客户端在第二阶段能够与服务器进行通信。
【技术实现步骤摘要】
基于OPC协议的通信方法、装置、电子设备及存储介质
本申请涉及网络通信和网络安全
,具体而言,涉及一种基于OPC协议的通信方法、装置、电子设备及存储介质。
技术介绍
用于过程控制的对象链接和嵌入(OPC,ObjectLinkingandEmbeddingforProcessControl)协议作为传统的主流工业控制协议,由一些世界上技术占领先地位的公司联合制定,并且这些公司还成立了OPC基金会来管理,OPC协议在工控环境中使用率频繁;随着工业4.0智能化的发展,越来越多的工业环境开始由封闭转而开放,传统封闭的工业控制网络和互联网的结合越来越紧密,工控网络安全问题日渐凸显,传统的工控网关设备,逐渐开始和互联网安全设备交融。在现有技术中,客户端在基于OPC协议与服务器进行通信时,客户端在第一阶段向服务器的预设端口发起连接请求,双方建立连接后通过协商报文协商下一阶段应该访问的服务器的通信端口,网关设备通过监控协商报文,以根据协商报文中的协商端口来动态打开网关设备的相应端口,客户端在第二阶段通过访问服务器的协商端口来进行数据交互,然而由于互联网中的网关设备会提供NAT功能,且现有技术中的第二阶段的通信端口通过动态协商的方式确定,继而导致网关类设备的NAT策略无法被正确命中,最终导致客户端在第二阶段无法与服务器进行通信。
技术实现思路
鉴于此,本申请实施例的目的在于提供一种基于OPC协议的通信方法、装置、电子设备及存储介质,以解决上述问题。第一方面,本申请实施例提供一种基于OPC协议的通信方法,应用于网关设备,所述方法包括:接收第一报文;确定所述第一报文是否属于第二阶段的通信报文;在确定所述第一报文属于所述第二阶段的通信报文时,根据所述第一报文携带的第一元组信息,从预先存储的元组信息和第一阶段的关键信息的第一对应关系中,查找出与所述第一元组信息对应的第一阶段的关键信息;根据所述对应的第一阶段的关键信息,确定出所述第一阶段的安全策略;根据所述第一阶段的安全策略,对所述第一报文进行处理。在上述实现过程中,由于第一阶段的安全策略能够保证第二阶段的通信报文能够通过网关设备,因此,通过预先将第一阶段的关键信息和元组信息的第一对应关系进行存储,其中,根据第一阶段的关键信息能够确定出第一阶段的安全策略,继而在网关设备确定接收到的第一报文属于第二阶段的通信报文时,根据第一报文中携带的第一元组信息,从所述第一对应关系中查找到与所述第一元组信息对应的关键信息之后,根据所述对应的第一阶段的关键信息,确定出所述第一阶段的安全策略,继而根据所述第一阶段的安全策略,对所述第一报文进行处理,由于第一阶段的安全策略被第二阶段会话继承,继而保证第二阶段的通信报文能够穿过网关设备,最终保证客户端在第二阶段能够与服务器进行通信。基于第一方面,在一种可能的设计中,在所述确定所述第一报文是否属于第二阶段的通信报文之后,所述方法还包括:在确定所述第一报文不属于所述第二阶段的通信报文时,根据所述第一报文的类型,确定所述第一报文是否属于第一阶段的会话协商报文;在确定所述第一报文属于所述第一阶段的会话协商报文时,对所述第一报文进行解析,得到第二元组信息,其中,所述第二元组信息包括:用于进行所述第二阶段的通信的协商端口、源IP地址、目的IP地址、源端口和目的端口;根据所述第二元组信息中的所述源IP地址、所述目的IP地址、所述源端口和所述目的端口,确定出与所述源IP地址、所述目的IP地址、所述源端口和所述目的端口对应的第一阶段的关键信息;将所述第二元组信息和所述对应的第一阶段的关键信息对应存储。在上述实现过程中,网关设备在确定接收到的第一报文属于第一阶段的会话协商报文时,根据第一报文中的第二元组信息中的源IP地址和目的IP地址、源端口和目的端口,确定出与所述源IP地址、所述目的IP地址、所述源端口和所述目的端口对应的第一阶段的关键信息,并将将所述第二元组信息和所述对应的第一阶段的关键信息对应存储,以保证第一阶段的安全策略能够被第二阶段会话继承,继而保证第二阶段的通信报文能够穿过网关设备,以实现与服务器之间的通信。基于第一方面,在一种可能的设计中,在所述确定所述第一报文是否属于第二阶段的通信报文之前,所述方法还包括:对所述第一报文进行解析,得到第三元组信息;在确定预先存储的会话信息中不存在所述第三元组信息时,根据所述第三元组信息,从预先存储的元组信息和安全策略的对应关系中,查找与所述第三元组信息对应的安全策略;将所述第三元组信息和所述对应的安全策略作为第一会话信息存储。在上述实现过程中,网关设备根据将接收到的第一报文中的第三元组信息,从预先存储的元组信息和安全策略的对应关系中,查找与所述第三元组信息对应的安全策略,并将所述第三元组信息和所述对应的安全策略作为第一会话信息存储,以保证网关设备在接收到客户端在第二阶段发送的通信报文时,可以根据第一阶段的会话信息中的安全策略对该通信报文进行处理,继而保证客户端在第二阶段能够与服务器进行通信。基于第一方面,在一种可能的设计中,确定所述第一报文是否属于第二阶段的通信报文,包括:确定所述第一报文中携带的端口信息是否包含预设端口;若不包含所述预设端口,则确定所述第一报文属于所述第二阶段的通信报文;否则确定所述第一报文不属于所述第二阶段的通信报文。在上述实现过程中,由于客户端在第一阶段访问的是服务器的预设端口,在第二阶段访问的通常不是服务器的预设端口,因此,通过上述方式,网关设备能够准确地确定接收到的报文是否属于第二阶段的通信报文。第二方面,本申请实施例提供一种基于OPC协议的通信装置,应用于网关设备,所述装置包括:接收单元,用于接收第一报文;第一确定单元,用于确定所述第一报文是否属于第二阶段的通信报文;第一查找单元,用于在确定所述第一报文属于所述第二阶段的通信报文时,根据所述第一报文携带的第一元组信息,从预先存储的元组信息和第一阶段的关键信息的第一对应关系中,查找出与所述第一元组信息对应的第一阶段的关键信息;第二确定单元,用于根据所述对应的第一阶段的关键信息,确定出所述第一阶段的安全策略;处理单元,用于根据所述对应的第一阶段的安全策略,对所述第一报文进行处理。基于第二方面,在一种可能的设计中,所述装置还包括:第三确定单元,用于在确定所述第一报文不属于所述第二阶段的通信报文时,根据所述第一报文的类型,确定所述第一报文是否属于第一阶段的会话协商报文;第一解析单元,用于在确定所述第一报文属于所述第一阶段的会话协商报文时,对所述第一报文进行解析,得到第二元组信息,其中,所述第二元组信息包括:用于进行所述第二阶段的通信的协商端口、源IP地址和目的IP地址;第四确定单元,用于根据所述第二元组信息中的所述源IP地址和所述目的IP地址,确定出与所述源IP地址、所述目的IP地址、所述源端口和所述目的端口对应的第一阶段的关键信息;第一存储单元,用于将所述第二元组信息和所述对应的第一阶段的关键信息对应存储。基于第二方面,在一种可能的设计中,所述装置还包括:第二解析单元,用于对所述第一报文本文档来自技高网...
【技术保护点】
1.一种基于OPC协议的通信方法,其特征在于,应用于网关设备,所述方法包括:/n接收第一报文;/n确定所述第一报文是否属于第二阶段的通信报文;/n在确定所述第一报文属于所述第二阶段的通信报文时,根据所述第一报文携带的第一元组信息,从预先存储的元组信息和第一阶段的关键信息的第一对应关系中,查找出与所述第一元组信息对应的第一阶段的关键信息;/n根据所述对应的第一阶段的关键信息,确定出所述第一阶段的安全策略;/n根据所述第一阶段的安全策略,对所述第一报文进行处理。/n
【技术特征摘要】
1.一种基于OPC协议的通信方法,其特征在于,应用于网关设备,所述方法包括:
接收第一报文;
确定所述第一报文是否属于第二阶段的通信报文;
在确定所述第一报文属于所述第二阶段的通信报文时,根据所述第一报文携带的第一元组信息,从预先存储的元组信息和第一阶段的关键信息的第一对应关系中,查找出与所述第一元组信息对应的第一阶段的关键信息;
根据所述对应的第一阶段的关键信息,确定出所述第一阶段的安全策略;
根据所述第一阶段的安全策略,对所述第一报文进行处理。
2.根据权利要求1所述的方法,其特征在于,在所述确定所述第一报文是否属于第二阶段的通信报文之后,所述方法还包括:
在确定所述第一报文不属于所述第二阶段的通信报文时,根据所述第一报文的类型,确定所述第一报文是否属于第一阶段的会话协商报文;
在确定所述第一报文属于所述第一阶段的会话协商报文时,对所述第一报文进行解析,得到第二元组信息,其中,所述第二元组信息包括:用于进行所述第二阶段的通信的协商端口、源IP地址和目的IP地址、源端口和目的端口;
根据所述第二元组信息中的所述源IP地址、所述目的IP地址、所述源端口和所述目的端口,确定出与所述源IP地址、所述目的IP地址、所述源端口和所述目的端口对应的第一阶段的关键信息;
将所述第二元组信息和所述对应的第一阶段的关键信息对应存储。
3.根据权利要求1所述的方法,其特征在于,在所述确定所述第一报文是否属于第二阶段的通信报文之前,所述方法还包括:
对所述第一报文进行解析,得到第三元组信息;
在确定预先存储的会话信息中不存在所述第三元组信息时,根据所述第三元组信息,从预先存储的元组信息和安全策略的对应关系中,查找与所述第三元组信息对应的安全策略;
将所述第三元组信息和所述对应的安全策略作为第一会话信息存储。
4.根据权利要求1所述的方法,其特征在于,确定所述第一报文是否属于第二阶段的通信报文,包括:
确定所述第一报文中携带的端口信息是否包含预设端口;若不包含所述预设端口,则确定所述第一报文属于所述第二阶段的通信报文;否则确定所述第一报文不属于所述第二阶段的通信报文。
5.一种基于OPC协议的通信装置,其特征在于,应用于网关设备,所述装置包括:
接收单元,用于接收第一报文;
第一确定单元,用于确定所述第一报文是否属于第二阶段的通信报文;
【专利技术属性】
技术研发人员:隋鹤,程卫冰,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。