[发明专利]一种基于动态端口技术的通信方法和装置

说明书

本申请的实施例提供了一种基于动态端口技术的通信方法和装置。所述方法包括判断TCP‑135端口接收的会话请求是否包括OPC动态端口信息；若是，则获取所述会话请求中的OPC动态端口信息；根据所述OPC动态端口信息创建动态端口会话；绑定预设的延时函数至所述动态端口会话，根据所述OPC动态端口信息和所述延时函数确定所述动态端口会话的空闲延时时长。以此方式，可以使防火墙能够对OPC协议进行端口级别的访问控制，还能够根据会话请求的目的IP地址和会话请求的操作内容确定动态端口会话的空闲延时时长，在会话请求的操作内容为特殊时，可以延长动态端口会话空闲延时时长，提高OPC协议穿越防火墙通信的可靠性。

技术领域

本申请涉及计算机技术领域，并且更具体地，涉及一种基于动态端口技术的通信方法和装置。

背景技术

为保证工业网络安全，工业系统中越来越多的引入了工业防火墙。防火墙通常会被要求配置端口级别的访问控制策略，以保证基本的通信安全。而OPC工业协议采用了动态端口，通过TCP135端口来协商后续业务的通信接口，并且协商的通信接口是随机的，因此防火墙无法通过简单的配置端口策略实现对OPC协议的访问控制，必须使用动态端口技术来实现OPC协议的通信。

目前多数的工业防火墙都是基于状态的防火墙，状态防火墙会为每条通信连接维护一个会话状态，且每个会话状态均具有预设空闲时长，在会话空闲(双方无数据交互)一定时间后，状态防火墙会自动销毁会话，后续属于该会话的网络报文将无法通过防火墙。对于OPC协议来说，如写操作，在一次写操作后可能会空闲较长时间才会进行下一次写操作，在空闲时间超出预设空闲时长后，状态防火墙则会销毁会话，导致后续的写操作无法进行，从而影响正常业务。

发明内容

根据本申请的实施例，提供了一种基于动态端口技术的通信方案。

在本申请的第一方面，提供了一种基于动态端口技术的通信方法。该方法包括：

判断TCP-135端口接收的会话请求是否包括OPC动态端口信息；

若是，则获取所述会话请求中的OPC动态端口信息；

根据所述OPC动态端口信息创建动态端口会话；

绑定预设的延时函数至所述动态端口会话，根据所述OPC动态端口信息和所述延时函数确定所述动态端口会话的空闲延时时长。

在一种可能实现的方式中，所述动态端口信息包括会话请求的目的IP地址和目的TCP端口号。

在一种可能实现的方式中，所述根据所述OPC动态端口信息和所述延时函数确定所述动态端口会话的空闲延时时长包括：

根据会话请求发起端的IP地址和预设的哈希表确定所述动态端口会话的空闲延时时长。

在一种可能实现的方式中，在根据会话请求发起端的IP地址和预设的哈希表确定所述动态端口会话的空闲延时时长之后，还包括：

创建ctnl_timeout结构，并绑定所述ctnl_timeout结构和所述动态端口会话，所述ctnl_timeout结构用于设定空闲延时时长。

在一种可能实现的方式中，在所述根据所述OPC动态端口信息和所述延时函数确定所述动态端口会话的空闲延时时长之前还包括：

提取所述会话请求中的数据报文；

判断所述数据报文是否为写操作；

若是，则根据所述OPC动态端口信息和所述延时函数确定所述动态端口会话的空闲延时时长。

在一种可能实现的方式中，在判断所述数据报文是否为写操作之后，还包括：

若否，则放行所述会话请求。

在一种可能实现的方式中，在所述判断TCP-135端口接收的会话请求是否包括OPC动态端口信息之后，还包括：

若否，则放行所述会话请求。