工控通信協(xié)議書分析

典型的工業(yè)控制系統(tǒng)通信協(xié)議的安全性分析./WORD格式可編輯典型工業(yè)控制系統(tǒng)通信協(xié)議安全性分析報(bào)告啟明星辰集團(tuán)工控安全事業(yè)部2015/10/26目錄TOC\o"1-2"\h\z\u前言21ModbusTCP協(xié)議31.1協(xié)議簡(jiǎn)介31.2協(xié)議規(guī)范41.3協(xié)議安全性分析62OPC協(xié)議82.1協(xié)議簡(jiǎn)介82.2協(xié)議安全性分析143DNP3協(xié)議163.1協(xié)議簡(jiǎn)介163.2協(xié)議規(guī)范163.3協(xié)議安全性分析184Ethernet/IP協(xié)議204.1協(xié)議簡(jiǎn)介204.2協(xié)議規(guī)范204.3協(xié)議安全性分析215EtherCAT協(xié)議235.1協(xié)議簡(jiǎn)介235.2協(xié)議規(guī)范235.3協(xié)議安全性分析25前言網(wǎng)絡(luò)協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。要理解工業(yè)網(wǎng)絡(luò)如何工作,首先要了解他們所使用的底層通信協(xié)議,及其應(yīng)用場(chǎng)景和選擇這些協(xié)議的原因。目前,已有的許多工業(yè)控制專用協(xié)議,大多是為了提高效率和可靠性而設(shè)計(jì)的,以滿足大規(guī)模分布式控制系統(tǒng)的運(yùn)行需要。同時(shí),令人堪憂的是為了提升效率,而放棄了協(xié)議的安全特性,例如：要求額外開銷的認(rèn)證和加密等措施。更有許多工控協(xié)議為了能夠適應(yīng)以太網(wǎng)運(yùn)行做了修改,使得協(xié)議存在可以被利用的漏洞。因此,啟明星辰對(duì)常見(jiàn)的ModbusTCP、OPC、DNP3、Ethernet/IP、EtherCAT這五種常見(jiàn)協(xié)議進(jìn)行安全性分析,以期發(fā)現(xiàn)基于協(xié)議漏洞的攻擊方式。歡迎各位專家提寶貴意見(jiàn)。技術(shù)聯(lián)系人：鄭凌鵬：孟雅輝：ModbusTCP協(xié)議協(xié)議簡(jiǎn)介Modbus是由Modicon<現(xiàn)為施耐德電氣公司的一個(gè)品牌>在1979年發(fā)明的,是一個(gè)劃時(shí)代、里程碑式的網(wǎng)絡(luò)協(xié)議,作為上個(gè)世紀(jì)第一個(gè)在工業(yè)現(xiàn)場(chǎng)總線發(fā)揮作用的工業(yè)總線協(xié)議,Modbus協(xié)議由于其免費(fèi)、開放、簡(jiǎn)單等優(yōu)點(diǎn),至今仍然活躍在工業(yè)、建筑、基礎(chǔ)設(shè)施等領(lǐng)域中。隨著時(shí)代的發(fā)展和需求的變化,Modbus己經(jīng)衍生出ModbusPlus.ModbusTCP/IP等協(xié)議,其已經(jīng)發(fā)展成一個(gè)協(xié)議簇。在我國(guó),已制定國(guó)家標(biāo)準(zhǔn)GB/T19582-2008《基于Modbus協(xié)議的工業(yè)自動(dòng)化網(wǎng)絡(luò)規(guī)范》。Modbus協(xié)議是應(yīng)用于電子控制器上的一種通用語(yǔ)言。通過(guò)此協(xié)議,控制器相互之間、控制器經(jīng)由網(wǎng)絡(luò)〔例如以太網(wǎng)和其它設(shè)備之間可以通信。使用Modbus協(xié)議,不同廠商生產(chǎn)的控制設(shè)備在各種網(wǎng)絡(luò)體系結(jié)構(gòu)內(nèi)進(jìn)行簡(jiǎn)單通信,每種設(shè)備<PLC、HMI、控制面板、驅(qū)動(dòng)程序、動(dòng)作控制、輸入\輸出設(shè)備>都能使用Modbus協(xié)議來(lái)啟動(dòng)遠(yuǎn)程操作,在基于串行鏈路和以太TCP/IP網(wǎng)絡(luò)的MODBUS上可以進(jìn)行相同通信。ModbusTCP以一種比較簡(jiǎn)單的方式將Modbus幀嵌入TCP幀中。IANA<互聯(lián)網(wǎng)編號(hào)分配管理機(jī)構(gòu)>給Modbus協(xié)議賦予TCP端口502。如下圖所示,每種設(shè)備都能使用Modbus協(xié)議來(lái)啟動(dòng)遠(yuǎn)程操作,在基于串行鏈路和以太網(wǎng)TCP/IP的Modbus上可以進(jìn)行相同的通信,一些網(wǎng)關(guān)允許在幾種使用Modbus協(xié)議的總線或網(wǎng)絡(luò)之間進(jìn)行通信。圖1-1ModbusTCP通信網(wǎng)絡(luò)協(xié)議規(guī)范ModbusTCP是OSI通信參考模型第七層上的應(yīng)用層報(bào)文傳輸協(xié)議,它在連接至不同類型總線或網(wǎng)絡(luò)的設(shè)備之間提供客戶機(jī)/服務(wù)器通信。如下圖所示：協(xié)議格式如下：MBAP報(bào)文頭功能代碼數(shù)據(jù)圖1-2ModbusTCP協(xié)議應(yīng)用數(shù)據(jù)單元的結(jié)構(gòu)Modbus協(xié)議的功能碼分為三類：〔1公共功能碼是較好地被定義的功能碼；保證是唯一的；MODBUS組織可改變的；公開證明的；具有可用的一致性測(cè)試；MBIETFRFC中證明的；包含已被定義的公共指配功能碼和未來(lái)使用的未指配保留供功能碼?！?用戶定義功能碼有兩個(gè)用戶定義功能碼的定義范圍,即65至72和十進(jìn)制100至110；用戶沒(méi)有MODBUS組織的任何批準(zhǔn)就可以選擇和實(shí)現(xiàn)一個(gè)功能碼；不能保證被選功能碼的使用是唯一的；如果用戶要重新設(shè)置功能作為一個(gè)公共功能碼,那么用戶必須啟動(dòng)RFC,以便將改變引入公共分類中,并且指配一個(gè)新的公共功能碼?！?保留功能碼一些公司對(duì)傳統(tǒng)產(chǎn)品通常使用的功能碼,并且對(duì)公共使用是無(wú)效的功能碼。圖1-3Modbus功能碼分類典型的工業(yè)控制系統(tǒng)通信協(xié)議的安全性分析.WORD格式可編輯圖1-4公共功能碼定義協(xié)議安全性分析沒(méi)有認(rèn)證機(jī)制在網(wǎng)絡(luò)連接方面,利用的是TCP協(xié)議。在知道目標(biāo)IP地址的情況下,只要通過(guò)502端口就可以發(fā)起并建立通信連接。如果應(yīng)用數(shù)據(jù)單元攜帶的功能碼是Modbus設(shè)備所支持的,那么就可以建立起一個(gè)合法的Modbus會(huì)話。沒(méi)有消息校驗(yàn)<只有ModbusTCP存在該問(wèn)題>。在某些ModbusTCP實(shí)現(xiàn)中,校驗(yàn)和是在傳輸層而非應(yīng)用層生成,從而使得假冒命令更加容易。沒(méi)有權(quán)限區(qū)分對(duì)于任何人,只要他能夠連接到目標(biāo)Modbus設(shè)備上,那么他就可以執(zhí)行所有Modbus設(shè)備所具有的功能。數(shù)據(jù)明文傳輸Modbus協(xié)議封裝的是ADU,傳輸?shù)囊彩沁@個(gè)ADU,在網(wǎng)絡(luò)上都是以明文的形式傳輸,通過(guò)抓包技術(shù)就可以獲取并解析出里面的數(shù)據(jù)。由于工廠生產(chǎn)環(huán)境特殊性,不到萬(wàn)不得已的地步,工廠很難做到隨時(shí)停工停產(chǎn)進(jìn)行生產(chǎn)設(shè)備的更新?lián)Q代,因此在現(xiàn)有條件基礎(chǔ)上對(duì)Modbus協(xié)議以上三點(diǎn)缺點(diǎn)進(jìn)行安全加固工作很有必要。沒(méi)有廣播抑制<只有串行Modbus變體存在該問(wèn)題>串行連接的所有設(shè)備都會(huì)收到所有消息,意味著在串行連接設(shè)備鏈中,可以通過(guò)對(duì)不明地址進(jìn)行廣播,有效地實(shí)現(xiàn)拒絕服務(wù)<Dos>攻擊?？删幊绦訫odbus最危險(xiǎn)的特點(diǎn)是它為編程控制器設(shè)計(jì)的,因此可以用來(lái)向RTU或PLC中注入惡意代碼,該問(wèn)題也存在于許多其他工業(yè)協(xié)議中。一些需要特別關(guān)注的Modbus消息的例子包括：強(qiáng)制從設(shè)備轉(zhuǎn)到"只聽(tīng)"<ListenOnly>模式的功能碼重啟通信的功能碼清除、擦除或重置診斷信息<如計(jì)數(shù)器與診斷寄存器>的功能碼請(qǐng)求關(guān)于Modbus服務(wù)器、PLC配置或其他敏感信息的功能碼對(duì)定義點(diǎn)列表及其值的Modbus請(qǐng)求<配置掃描>請(qǐng)求從站標(biāo)志信息請(qǐng)求從站附加信息大小或長(zhǎng)度有問(wèn)題的ModbusTCP數(shù)據(jù)包?？赡艿木芙^服務(wù)攻擊從服務(wù)器到多個(gè)節(jié)點(diǎn)的Modbus流量,可能的拒絕服務(wù)攻擊TCP端口502上的非Modbus或缺陷Modbus報(bào)文從設(shè)備忙異常代碼延遲〔異常碼06,可能的拒絕服務(wù)攻擊確認(rèn)異常代碼延遲〔異常碼05,可能的拒絕服務(wù)攻擊不正確的報(bào)文長(zhǎng)度〔最大253,可能的拒絕服務(wù)攻擊配置掃描〔例如定義的點(diǎn)列及其值〔30秒內(nèi)5個(gè)異常碼02可用功能碼掃描〔60秒內(nèi)3個(gè)異常碼01修改分隔符〔08-03周期較短〔實(shí)際閾值待定的無(wú)意義命令,暴力拒絕服務(wù)廣播性質(zhì)的報(bào)文或一個(gè)主站向多個(gè)從站的請(qǐng)求包含在異常協(xié)議數(shù)據(jù)單元中的信息列出所有可用功能碼的命令<功能掃描>OPC協(xié)議OPC<OLEforProcessControl,用于過(guò)程控制的OLE>是一個(gè)工業(yè)標(biāo)準(zhǔn),管理這個(gè)標(biāo)準(zhǔn)國(guó)際組織是OPC基金會(huì),OPC基金會(huì)現(xiàn)有會(huì)員已超過(guò)220家。遍布全球,包括世界上所有主要的自動(dòng)化控制系統(tǒng)、儀器儀表及過(guò)程控制系統(tǒng)的公司?；谖④浀腛LE<現(xiàn)在的ActiveX>、COM〔部件對(duì)象模型和DCOM〔分布式部件對(duì)象模型技術(shù)。OPC包括一整套接口、屬性和方法的標(biāo)準(zhǔn)集,用于過(guò)程控制和制造業(yè)自動(dòng)化系統(tǒng)。OPC的出現(xiàn)解決了控制系統(tǒng)突破"信息孤島"的瓶頸問(wèn)題。OPC技術(shù)建立了一組符合工業(yè)控制要求的接口規(guī)范,將現(xiàn)場(chǎng)信號(hào)按照統(tǒng)一的標(biāo)準(zhǔn)與SCADA,HMI等軟件無(wú)縫連接起來(lái),同時(shí)將硬件和應(yīng)用軟件有效地分離開。只要硬件開發(fā)商提供帶有OPC接口的服務(wù)器,任何支持OPC接口的客戶程序均可采用統(tǒng)一的方式對(duì)不同硬件廠商的設(shè)備進(jìn)行存取,無(wú)須重復(fù)開發(fā)驅(qū)動(dòng)程序。這樣大大提高了控制系統(tǒng)的互操作性和適應(yīng)性。1995年,由Fisher-Rosemount、RockwellSoftware、Opto22、Intellution和IntuitiveTechnology發(fā)起成立OPC基金會(huì)。第一份OPC標(biāo)準(zhǔn)草案于1995年12月發(fā)布,第二份草案于1996年3月發(fā)布,第二份草案成功的吸引了大量開發(fā)人員的注意,并將其理念推向世界。OPC規(guī)范1.0版本于1996年8月29日正式出版,開始了全球范圍的活動(dòng)。截止2011年,OPC國(guó)際基金會(huì)總共擁有440余位公司成員/80多位最終用戶成員,3500多家致力于開發(fā)OPC產(chǎn)品的公司,超過(guò)22000種產(chǎn)品,擁有3000多種產(chǎn)品資料,在包括中國(guó)在內(nèi)的全球52個(gè)國(guó)家和地區(qū)擁有眾多分支機(jī)構(gòu)。隨著技術(shù)的發(fā)展和市場(chǎng)的需求,OPC技術(shù)的發(fā)展經(jīng)歷了三個(gè)主要階段,即經(jīng)典OPC、OPCXML-DA和OPCUA。協(xié)議簡(jiǎn)介經(jīng)典OPCOPC第一階段的技術(shù)稱為經(jīng)典的OPC。根據(jù)工業(yè)應(yīng)用的不同需求,經(jīng)典OPC包括的規(guī)范：DataAccess<DA>,Alarm&Events<A&E>,HistoricalDataAccess<HDA>,OPCBatch,OPCSecurity,OPCDX和OPCComplexData。其中應(yīng)用較多的有DA,AE和HAD。DA指出如何訪問(wèn)當(dāng)前的過(guò)程數(shù)據(jù),A&E提供了基于事件信息的接口,HDA描述了如何訪問(wèn)已存檔的數(shù)據(jù)。所有的接口都提供通過(guò)地址空間導(dǎo)航獲取可用數(shù)據(jù)的方法。OPCDAOPCDA即OPC數(shù)據(jù)訪問(wèn)規(guī)范,它是由OPC基金會(huì)定義的其中一種通信規(guī)范,定義了實(shí)時(shí)數(shù)據(jù)如何在數(shù)據(jù)源和數(shù)據(jù)接收體〔比如PLC,HMI之間,在不知道彼此特定通信協(xié)議的情況下仍然進(jìn)行交換、傳輸。年份版本備注19961.0初始規(guī)范19971.0a數(shù)據(jù)訪問(wèn),該名稱用于區(qū)分與其并行開發(fā)的其它19982.0－2.05a多處規(guī)范澄清和修改20033.0進(jìn)一步補(bǔ)充和修改表2-1OPCDA規(guī)范主要版本OPC數(shù)據(jù)存取規(guī)范定義了OPC服務(wù)器中一組COM對(duì)象及其接口,并規(guī)定了客戶程序?qū)Ψ?wù)器程序進(jìn)行數(shù)據(jù)存取時(shí)需要遵循的標(biāo)準(zhǔn)。OPC數(shù)據(jù)存取規(guī)范以O(shè)PC對(duì)象模型邏輯為基礎(chǔ),該模型包含三類對(duì)象：OPC服務(wù)器對(duì)象,OPC組對(duì)象和OPC項(xiàng)對(duì)象。OPC服務(wù)器對(duì)象并作為OPC組對(duì)象的包容器維護(hù)有關(guān)服務(wù)器的信息,OPC服務(wù)器對(duì)象主要實(shí)現(xiàn)IUnknown和IOPCServer接口,OPC客戶程序通過(guò)OPC服務(wù)器的接口與OPC對(duì)象進(jìn)行通信,存取數(shù)據(jù)源,數(shù)據(jù)源可以是現(xiàn)場(chǎng)設(shè)備,也可以是應(yīng)用程序,服務(wù)器內(nèi)部封裝了與I/O控制設(shè)備通訊及操作的具體實(shí)現(xiàn)過(guò)程；OPC組對(duì)象維護(hù)有關(guān)其自身的信息,提供包容OPC項(xiàng)的機(jī)制,并管理OPC項(xiàng),它提供了一種客戶程序組織數(shù)據(jù)的手段,例如一個(gè)組中可以包括一個(gè)設(shè)備中所有的數(shù)據(jù)項(xiàng),客戶程序和數(shù)據(jù)項(xiàng)之間可以建立基于"訂閱"的連接；有兩種類型的組,公共組和局域組,公共組可以被多個(gè)客戶共享,而局域組只能被一個(gè)客戶使用,每個(gè)組中都可以定義一個(gè)或多個(gè)OPC項(xiàng)。圖2-1OPCDA中的對(duì)象〔3OPCHDAOPCHDA即OPC歷史數(shù)據(jù)存取規(guī)范,提供了一種統(tǒng)一的在各種不同的應(yīng)用層面之間傳遞數(shù)據(jù)的方式,但跟OPCDA完全不同的是,OPCHDA在不同角色之間傳遞的是非實(shí)時(shí)數(shù)據(jù),即不是當(dāng)下的時(shí)刻,而是過(guò)去某點(diǎn)或某段時(shí)間內(nèi)的過(guò)程數(shù)據(jù)。任何支持OPCHDA規(guī)范的數(shù)據(jù)可視化、數(shù)據(jù)分析或者趨勢(shì)匯報(bào)的軟件,都可以從任何一個(gè)支持OPCHDA的過(guò)程歷史數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)。因?yàn)镺PCHDA已經(jīng)是一種非常之成熟的OPC訪問(wèn)規(guī)范,所以現(xiàn)在市場(chǎng)上的主要過(guò)程歷史數(shù)據(jù)庫(kù)都支持OPCHDA,即使用戶所用的歷史數(shù)據(jù)庫(kù)沒(méi)有提供OPC通信,現(xiàn)在各大OPC供應(yīng)商也都有為不同歷史數(shù)據(jù)庫(kù)提供OPC接口的軟件?？梢钥闯銎鋺?yīng)用主要不同的地方在于它是和過(guò)程數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)交換,其余的應(yīng)用和之前的OPCDA規(guī)范基本相同,是為了適應(yīng)新需求而升級(jí)的規(guī)范。OPC歷史數(shù)據(jù)服務(wù)器對(duì)象實(shí)現(xiàn)了與歷史服務(wù)器進(jìn)行讀取或?qū)懭霐?shù)據(jù)的功能,數(shù)據(jù)類型取決于服務(wù)器。通過(guò)接口可以獲取所有的COM對(duì)象,客戶端只能看到這些COM對(duì)象?！?OPCA&EOPCA&E即OPC報(bào)警事件規(guī)范,提供了基于事件信息的接口。OPC支持兩種類型的報(bào)警事件服務(wù)器:簡(jiǎn)單的和復(fù)雜的。簡(jiǎn)單服務(wù)器監(jiān)測(cè)報(bào)警或事件,并提供給報(bào)警事件客戶;復(fù)雜服務(wù)器從多個(gè)數(shù)據(jù)源處<包括簡(jiǎn)單服務(wù)器>監(jiān)測(cè)報(bào)警或事件信息,并向報(bào)警事件客戶提供信息。報(bào)警事件客戶也分為三類：操作站、報(bào)警事件管理子系統(tǒng)和報(bào)警事件logging組件。OPC報(bào)警事件服務(wù)器包含一系列的對(duì)象和接口,這些對(duì)象和接口向客戶提供報(bào)警事件信息。OPC報(bào)警事件服務(wù)器中涉及以下幾個(gè)概念：報(bào)警〔Alarm：報(bào)警是一種非正常的狀態(tài)。狀態(tài)〔Condition：狀態(tài)是OPC報(bào)警事件服務(wù)器定義的,每個(gè)狀態(tài)還可以包含若干個(gè)子狀態(tài),狀態(tài)最終是和現(xiàn)場(chǎng)數(shù)據(jù)項(xiàng)聯(lián)系的。每一個(gè)狀態(tài)都包含一個(gè)或多個(gè)子狀態(tài)、屬性和質(zhì)量等屬性。OPC報(bào)警事件服務(wù)器中定義狀態(tài)機(jī)處理相應(yīng)的狀態(tài)或子狀態(tài)之間的變化。事件：OPC規(guī)范中定義了三種事件。條件事件：定義描述了狀態(tài)的變化。跟蹤事件:指當(dāng)客戶與OPC事件服務(wù)器中定義的數(shù)據(jù)項(xiàng)之間發(fā)生交互時(shí)引發(fā)的事件。簡(jiǎn)單事件:指除以上兩種事件以外的任何事件,例如,服務(wù)器中定義的物理系統(tǒng)和設(shè)備的錯(cuò)誤等。OPCA&E服務(wù)器主要包括OPC事件服務(wù)器對(duì)象、OPC事件訂閱對(duì)象和OPC事件區(qū)域?yàn)g覽對(duì)象?！?OPCXML-DAOPCXML-DA是OPC基金會(huì)提出的一個(gè)基于XML規(guī)范和SOAP技術(shù)的接口規(guī)范,OPCXML-DA將要交換的結(jié)構(gòu)化數(shù)據(jù)信息組織為SOAP消息來(lái)傳送?；赬ML技術(shù)和SOAP技術(shù)的特征使得它可以更好地促進(jìn)工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)跨越Internet的傳輸,簡(jiǎn)化不同應(yīng)用間的互操作性,并將現(xiàn)場(chǎng)數(shù)據(jù)統(tǒng)一到企業(yè)層的運(yùn)用中,實(shí)現(xiàn)諸如MES和ERP等系統(tǒng)的一體化連接,XML在OPC規(guī)范中的引入,為控制系統(tǒng)到信息系統(tǒng)之間的數(shù)據(jù)交換搭建了一個(gè)橋梁?？刂葡到y(tǒng)現(xiàn)場(chǎng)采用XML描述的數(shù)據(jù)可以被管理信息系統(tǒng)中的標(biāo)準(zhǔn)XML解析器解析,而不需要根據(jù)不同的控制系統(tǒng)數(shù)據(jù)描述開發(fā)多種解析器,這使得統(tǒng)一和標(biāo)準(zhǔn)化的數(shù)據(jù)傳輸成為可能。OPCXML-DA支持8種服務(wù),每種服務(wù)都包括1個(gè)請(qǐng)求和1個(gè)響應(yīng)。通過(guò)對(duì)這些服務(wù)的定義,提供了訪問(wèn)工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)的標(biāo)準(zhǔn)接口,請(qǐng)求和響應(yīng)按照SOAP協(xié)議標(biāo)準(zhǔn)被包裝成SOAP信封,信封標(biāo)題說(shuō)明消息如何被處理,信封正文則包含工業(yè)過(guò)程信息。OPCXML-DA支持的服務(wù)類型具體包括：GetStatus：返回關(guān)于服務(wù)器、版本、當(dāng)前模式、運(yùn)行狀態(tài)等信息；Browse：在服務(wù)器的命名空間里搜索所有可獲取的項(xiàng)的名字；GetProperties：返回1個(gè)或多個(gè)項(xiàng)的屬性相關(guān)信息；Write：向1個(gè)或多個(gè)項(xiàng)中寫入新值；Read：返回1個(gè)或多個(gè)項(xiàng)的值、品質(zhì)和時(shí)間戳；Subscribe：指定1個(gè)客戶希望持續(xù)更新的項(xiàng)列表；SubscriptionCancel：刪除在前一個(gè)Subscrible調(diào)用中指定的項(xiàng)列表；SubscriptionPolledRefresh：返回上次調(diào)用以來(lái)在項(xiàng)列表中數(shù)值發(fā)生變化的所有項(xiàng)。〔6OPCUAOPC通信標(biāo)準(zhǔn)的核心是互通性<Interoperability>和標(biāo)準(zhǔn)化<Standardization>問(wèn)題。傳統(tǒng)的OPC技術(shù)在控制級(jí)別很好地解決了硬件設(shè)備間的互通性問(wèn)題,在企業(yè)層面的通信標(biāo)準(zhǔn)化是同樣需要的。OPCUA之前的訪問(wèn)規(guī)范都是基于微軟的COM/DCOM技術(shù),這會(huì)給新增層面的通信帶來(lái)不可根除的弱點(diǎn)。隨著傳統(tǒng)OPC技術(shù)不夠靈活、平臺(tái)局限等問(wèn)題逐漸凸顯,OPC基金會(huì)于2006年發(fā)布了最新的OPC技術(shù)規(guī)范—OPC統(tǒng)一體系架構(gòu)<OPCUA>,涵蓋了OPC實(shí)時(shí)數(shù)據(jù)訪問(wèn)規(guī)范<OPCDA>、OPC歷史數(shù)據(jù)訪問(wèn)規(guī)范<OPCHDA>、OPC報(bào)警事件訪問(wèn)規(guī)范<OPCA&E>和OPC安全協(xié)議<OPCSecurity>的不同方面,但在其基礎(chǔ)之上進(jìn)行了功能擴(kuò)展。OPCUA是在傳統(tǒng)OPC技術(shù)取得很大成功之后的又一個(gè)突破,讓數(shù)據(jù)采集、信息模型化以及工廠底層與企業(yè)層面之間的通訊更加安全、可靠,它是未來(lái)OPC技術(shù)的核心發(fā)展技術(shù)規(guī)范。OPCUA的幾大優(yōu)勢(shì)：與平臺(tái)無(wú)關(guān),可在任何操作系統(tǒng)上運(yùn)行為未來(lái)的先進(jìn)系統(tǒng)做好準(zhǔn)備,與保留系統(tǒng)繼續(xù)兼容配置和維護(hù)更加方便基于服務(wù)的技術(shù)可見(jiàn)性增加通信范圍更廣通信性能提高OPCUA有效地將現(xiàn)有的OPC規(guī)范〔DA、A&E、HDA、命令、復(fù)雜數(shù)據(jù)和對(duì)象類型集成進(jìn)來(lái),成為現(xiàn)在的新的OPCUA規(guī)范。OPCUA提供了一致、完整的地址空間和服務(wù)模型,解決了過(guò)去同一系統(tǒng)的信息不能以統(tǒng)一方式被訪問(wèn)的問(wèn)題。通信性高OPCUA規(guī)范可以通過(guò)任何單一端口進(jìn)行通信。這讓穿越防火墻不再是OPC通信的路障,并且為提高傳輸性能控制工程網(wǎng)版權(quán)所有,OPCUA消息的編碼格式可以是XML文本格式或二進(jìn)制格式,也可使用多種傳輸協(xié)議進(jìn)行傳輸,比如：TCP和通過(guò)HTTP的網(wǎng)絡(luò)服務(wù)?？煽啃?、冗余性O(shè)PCUA的開發(fā)含有高度可靠性和冗余性的設(shè)計(jì)?？烧{(diào)試的逾時(shí)設(shè)置控制工程網(wǎng)版權(quán)所有,錯(cuò)誤發(fā)現(xiàn)和自動(dòng)糾正等新特征,都使得符合OPCUA規(guī)范的軟件產(chǎn)品可以很自如地處理通信錯(cuò)誤和失敗。OPCUA的標(biāo)準(zhǔn)冗余模型也使得來(lái)自不同廠商的軟件應(yīng)用可以同時(shí)被采納并彼此兼容。標(biāo)準(zhǔn)安全模型OPCUA訪問(wèn)規(guī)范明確提出了標(biāo)準(zhǔn)安全模型,每個(gè)OPCUA應(yīng)用都必須執(zhí)行OPCUA安全協(xié)議,這在提高互通性的同時(shí)降低了維護(hù)和額外配置費(fèi)用。用于OPCUA應(yīng)用程序之間傳遞消息的底層通信技術(shù)提供了加密功能和標(biāo)記技術(shù),保證了消息的完整性,也防止信息的泄漏。平臺(tái)無(wú)關(guān)OPCUA軟件的開發(fā)不再依靠和局限于任何特定的操作平臺(tái)。過(guò)去只局限于Windows平臺(tái)的OPC技術(shù)拓展到了Linux、Unix、Mac等各種其它平臺(tái)?；贗nternet的WebService服務(wù)架構(gòu)<SOA>和非常靈活的數(shù)據(jù)交換系統(tǒng),OPCUA的發(fā)展不僅立足于現(xiàn)在控制工程網(wǎng)版權(quán)所有,更加面向未來(lái)。OPCUA定義了一系列服務(wù)器所能提供的服務(wù),特定的服務(wù)器需要向客戶端詳細(xì)說(shuō)明它們所支持的服務(wù)；信息通過(guò)使用標(biāo)準(zhǔn)的和宿主程序定義的數(shù)據(jù)類型進(jìn)行表達(dá),服務(wù)器定義客戶端可識(shí)別的對(duì)象模型,服務(wù)器可以提供查看實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)的接口,并且由報(bào)警和事件組件來(lái)通知客戶端重要的變量或事件變化,OPCUA可以被映射到一種通信協(xié)議上并且數(shù)據(jù)可以以不同的形式進(jìn)行編碼來(lái)達(dá)到傳輸便捷和高效的目的。OPCUA的總體架構(gòu)如下圖所示。圖2-3OPCUA總體架構(gòu)協(xié)議安全性分析由于使用DCOM與RPC、OPC與OLE受到同樣漏洞的影響,從而導(dǎo)致OPC很容易受到攻擊。此外,OPC基于Windows操作系統(tǒng),很容易受到針對(duì)windows漏洞的攻擊影響。雖然OPC及相關(guān)控制系統(tǒng)漏洞只有ICS-CERT授權(quán)會(huì)員才能獲得,但大量現(xiàn)存OLE與RPC漏洞早已廣為人知。因?yàn)樵诠I(yè)網(wǎng)絡(luò)中為產(chǎn)品系統(tǒng)打補(bǔ)丁存在困難,所以目前正在使用的工控系統(tǒng)依然存在許多這樣的漏洞,哪怕微軟公司已經(jīng)提供了相應(yīng)的補(bǔ)丁,但這種安全狀態(tài)一直沒(méi)有得到改變。而且由于OPC基于Windows系統(tǒng),通常的主機(jī)安全問(wèn)題也會(huì)影響OPC系統(tǒng)。大量OPC主機(jī)使用弱安全認(rèn)證機(jī)制,即使啟用了認(rèn)證機(jī)制也常使用弱口令。許多系統(tǒng)啟用了與SCADA系統(tǒng)無(wú)關(guān)的額外Windows服務(wù),導(dǎo)致非必需的運(yùn)行進(jìn)程和開放端口。這些問(wèn)題將OPC系統(tǒng)廣泛暴露于攻擊之下。令問(wèn)題更嚴(yán)重的是,由于Windows2000/XP審計(jì)設(shè)置默認(rèn)不會(huì)記錄DCOM連接請(qǐng)求,因此攻擊發(fā)生時(shí),日志記錄往往不充分甚至缺失,無(wú)法提供足夠的詳細(xì)證據(jù)。也就是說(shuō),與前述的簡(jiǎn)單且目的單一的協(xié)議不同,OPC必須使用最新操作系統(tǒng)與網(wǎng)絡(luò)安全手段,將其作為大型系統(tǒng)對(duì)待。由于OPC依賴于微軟公司授權(quán)機(jī)制,因而弱口令是威脅OPC服務(wù)器安全的最嚴(yán)重脆弱性之一。另一個(gè)主要問(wèn)題是,由于windows2000/XP的審計(jì)設(shè)置默認(rèn)不會(huì)記錄DCOM的連接請(qǐng)求、SMB登錄以及訪問(wèn)系統(tǒng)對(duì)象的嘗試,從而導(dǎo)致日志記錄不充分。其他OPC安全問(wèn)題包括：過(guò)時(shí)的授權(quán)服務(wù)。受限于維護(hù)窗口、解釋性問(wèn)題等諸多因素,工業(yè)網(wǎng)絡(luò)系統(tǒng)升級(jí)困難,導(dǎo)致不安全的授權(quán)機(jī)制仍在使用。例如,在許多系統(tǒng)中,仍在使用默認(rèn)的Windows2000LanMan<LM>和WindowsNTLanMan<NTLM>機(jī)制,這些機(jī)制與其他過(guò)時(shí)的授權(quán)機(jī)制過(guò)于脆弱而易受攻擊。RPC漏洞。由于OPC使用RPC,因而易受所有RPC相關(guān)漏洞影響,包括幾個(gè)在授權(quán)前就暴露的漏洞。攻擊底層RPC漏洞可以導(dǎo)致非法執(zhí)行代碼或DoS攻擊。不必要的端口與服務(wù)。OPC支持除TCP/IP外的其他網(wǎng)絡(luò)協(xié)議,包括NetBEUI、在Ipx協(xié)議上面向連接的NetBIOS和HTTP互聯(lián)網(wǎng)服務(wù)等。OPC服務(wù)器完整性。攻擊者可以創(chuàng)建一個(gè)假冒OPC服務(wù)器,并使用這個(gè)服務(wù)器進(jìn)行服務(wù)干擾、DoS攻擊、通過(guò)總線監(jiān)聽(tīng)竊取信息或注入惡意代碼。通過(guò)監(jiān)控OPC網(wǎng)絡(luò)或OPC服務(wù)器〔服務(wù)器活動(dòng)可以通過(guò)采集與分析Windows日志監(jiān)控可疑行為可以檢測(cè)多種威脅,包括：從OPC服務(wù)器發(fā)起的使用非OPC的端口與服務(wù)。出現(xiàn)已知OPC<包括底層OLERPC與DCOM>攻擊。來(lái)自未知OPC服務(wù)器的OPC服務(wù)<意味著存在假冒服務(wù)器>。OPC服務(wù)器上的失敗授權(quán)嘗試或其他授權(quán)異常。OPC服務(wù)器上由未知或未授權(quán)用戶發(fā)起的成功授權(quán)嘗。DNP3協(xié)議協(xié)議簡(jiǎn)介DNP〔DistributedNetworkProtocol,分布式網(wǎng)絡(luò)協(xié)議是HARRIS公司推出的一種遠(yuǎn)動(dòng)通信協(xié)議,是目前電力系統(tǒng)自動(dòng)化產(chǎn)品市場(chǎng)上的一種主流通信協(xié)議。DNP3.0是美國(guó)IEEE電力工程協(xié)會(huì)<PES>在IEC的基礎(chǔ)上制定的國(guó)家標(biāo)準(zhǔn)。DNP3.0的開發(fā)是HARRIS公司集其多年SCADA通信規(guī)約應(yīng)用經(jīng)驗(yàn),并參與了多個(gè)標(biāo)準(zhǔn)委員會(huì)的經(jīng)驗(yàn)交流的結(jié)果<如IEEE,IEC,EPRI/UCA,MMSForum,AMRA,ANSI,CCAC,CIGRE等標(biāo)準(zhǔn)委員會(huì)組織>。協(xié)議規(guī)范DNP3.0基于IEC870-5標(biāo)準(zhǔn),采用了ISO七層模型中的三層：物理層、數(shù)據(jù)鏈路層和應(yīng)用層,其結(jié)構(gòu)為增強(qiáng)協(xié)議結(jié)構(gòu)。這種分層結(jié)構(gòu)使得數(shù)據(jù)傳送的可靠性大大提高,同時(shí)也便于軟件編程的模塊化。物理層一般采用普通的RS232或RS485；鏈路層采用CRC校驗(yàn)；為了滿足較長(zhǎng)數(shù)據(jù)包的傳送,又增加了一個(gè)偽傳輸層。發(fā)送數(shù)據(jù)時(shí)它可以將較長(zhǎng)的應(yīng)用層報(bào)文拆分為多個(gè)短幀然后多幀傳送,反之,接收時(shí)將短幀組裝成完整的應(yīng)用層報(bào)文。 圖3-1DNP3通信協(xié)議結(jié)構(gòu)圖DNP3.0的數(shù)據(jù)鏈路層協(xié)議規(guī)定了DNP3.0版的數(shù)據(jù)鏈路層,鏈路協(xié)議數(shù)據(jù)單元<LPDU>以及數(shù)據(jù)鏈路服務(wù)和傳輸規(guī)程。數(shù)據(jù)采用一種可變幀長(zhǎng)格式：FT3。一個(gè)FT3幀被定義為一個(gè)固定長(zhǎng)度的報(bào)頭,隨后是可以選用的數(shù)據(jù)塊,每個(gè)數(shù)據(jù)塊附有一個(gè)16位的CRC校驗(yàn)碼。固定的報(bào)頭含有2個(gè)字節(jié)的起始字,一個(gè)字節(jié)的長(zhǎng)度〔LENGH,一個(gè)字節(jié)的鏈路層控制字〔CONTROL,一個(gè)16位的目的地址,一個(gè)16位的源地址和一個(gè)16位的CRC校驗(yàn)碼,共10個(gè)字節(jié)。圖3-2DNP3數(shù)據(jù)鏈路層協(xié)議格式傳輸層協(xié)議DNP的傳輸層是一個(gè)偽傳輸層。偽傳輸層功能專門設(shè)計(jì)用于在原方站和從方站之間傳送超出鏈路規(guī)約數(shù)據(jù)單元〔LPDU定義長(zhǎng)度的信息。其格式如下：圖3-3DNP3傳輸層協(xié)議格式其中：傳輸層報(bào)頭：傳輸控制字,1個(gè)字節(jié)數(shù)據(jù)塊：應(yīng)用用戶數(shù)據(jù)1-249個(gè)字節(jié)應(yīng)用層規(guī)約：DNP3.0應(yīng)用層歸約定義了應(yīng)用層報(bào)文<APDU>的格式。這里,主站被定義為發(fā)送請(qǐng)求報(bào)文的站,而從站則為從屬設(shè)備。被請(qǐng)求回送報(bào)文的RTU或智能終端,只有被指定的主站能夠發(fā)送應(yīng)用層的請(qǐng)求報(bào)文,而從站則只能發(fā)送應(yīng)用層的響應(yīng)報(bào)文。應(yīng)用請(qǐng)求報(bào)文的格式：圖3-4DNP3應(yīng)用層響應(yīng)報(bào)文格式請(qǐng)求〔響應(yīng)報(bào)頭：標(biāo)識(shí)報(bào)文的目的,包含應(yīng)用規(guī)約控制信息〔ACPI；對(duì)象標(biāo)題：標(biāo)識(shí)隨后的數(shù)據(jù)對(duì)象；數(shù)據(jù)：在對(duì)象標(biāo)題內(nèi)的指定的數(shù)據(jù)對(duì)象；應(yīng)用報(bào)文報(bào)頭字段的定義：請(qǐng)求報(bào)頭有兩個(gè)字段。每個(gè)字段為8位的字節(jié),說(shuō)明如下：圖3-5DNP3應(yīng)用層請(qǐng)求報(bào)文報(bào)頭響應(yīng)報(bào)頭有三個(gè)字段。前兩個(gè)字段為8位的字節(jié),第三個(gè)字段為兩個(gè)字節(jié),說(shuō)明如下：圖3-6DNP3應(yīng)用層響應(yīng)報(bào)文報(bào)頭協(xié)議安全性分析DNP3的主要關(guān)注點(diǎn)集中在數(shù)據(jù)幀完整性方面,而它并沒(méi)有使用授權(quán)或加密機(jī)制<盡管在安全DNP3中有>。由于DNP3功能代碼與數(shù)據(jù)類型都已經(jīng)明確定義,因此篡改DNP3會(huì)話變得相當(dāng)容易。不過(guò),在DNP3協(xié)議中引入安全機(jī)制的同時(shí)帶來(lái)復(fù)雜度的增加,也為協(xié)議增加了出現(xiàn)漏洞的可能。ICS-CERT已報(bào)告了幾個(gè)DNP3漏洞。由于存在已知漏洞,而且DNP3協(xié)議已得到廣泛使用,因此建議對(duì)DNP3互聯(lián)進(jìn)行適當(dāng)滲透測(cè)試和補(bǔ)丁修復(fù)操作。一些常針對(duì)DNP3進(jìn)行攻擊的實(shí)例包括使用MITM攻擊來(lái)竊取地址然后用于操縱系統(tǒng)。實(shí)例如下：關(guān)閉自主報(bào)告以癱瘓告警。向主控站發(fā)送虛假自發(fā)響應(yīng)事件,并欺騙操作員采取不當(dāng)行為。通過(guò)注入廣播數(shù)據(jù),在DNP3系統(tǒng)內(nèi)制造廣播風(fēng)暴進(jìn)行DoS攻擊篡改時(shí)間同步數(shù)據(jù),導(dǎo)致同步失鎖與通信錯(cuò)誤。典型的工業(yè)控制系統(tǒng)通信協(xié)議的安全性分析.WORD格式可編輯篡改或阻塞確認(rèn)信息,導(dǎo)致持續(xù)重傳。發(fā)起未授權(quán)的停止、重啟或其他可能擾亂工控系統(tǒng)運(yùn)行的指令通過(guò)監(jiān)控DNP3會(huì)話,監(jiān)視特定功能碼和行為可以檢測(cè)多種威脅：在DNP3端口上使用非DNP3通信<TCP與UDP端口20000>。使用配置功能代碼23<禁用自發(fā)響應(yīng)>。使用控制功能代碼4、5或6<操作、直接操作、無(wú)確認(rèn)的直接操作>。使用應(yīng)用程序控制功能18<停止應(yīng)用程序>。大量超時(shí)自發(fā)響應(yīng)<響應(yīng)風(fēng)暴>。對(duì)需要授權(quán)的操作進(jìn)行任何非法嘗試。任何授權(quán)失敗。任何源自或去向一個(gè)未顯式定義為主/從設(shè)備的DNP3通信。Ethernet/IP協(xié)議協(xié)議簡(jiǎn)介Ethernet/IP是由ODVA<OpenDeviceNetVendorsAssociation>和ControlNetInternational兩大國(guó)際工業(yè)組織所推出的面向工業(yè)自動(dòng)化應(yīng)用的工業(yè)應(yīng)用層協(xié)議。Ethernet/IP是一個(gè)面向工業(yè)自動(dòng)化應(yīng)用的工業(yè)應(yīng)用層協(xié)議。它建立在標(biāo)準(zhǔn)UDP/IP與TCP/IP協(xié)議之上,利用固定的以太網(wǎng)硬件和軟件,為配置、訪問(wèn)和控制工業(yè)自動(dòng)化設(shè)備定義了一個(gè)應(yīng)用層協(xié)議。協(xié)議基于標(biāo)準(zhǔn)的以太網(wǎng)技術(shù),使用所有傳統(tǒng)的以太網(wǎng)協(xié)議和標(biāo)準(zhǔn)的TCP/IP協(xié)議,并且采用了通用工業(yè)協(xié)議<CommonIndustrialProtocol,CIP>,共同構(gòu)成Ethernet/IP協(xié)議的體系結(jié)構(gòu)。協(xié)議規(guī)范Ethernet/IP協(xié)議各層結(jié)構(gòu)如下圖所示:圖4-1Ethernet/IP協(xié)議結(jié)構(gòu)圖在物理層和數(shù)據(jù)鏈路層采用標(biāo)準(zhǔn)以太網(wǎng)技術(shù)意味著Ethernet/IP可以和現(xiàn)在所有的標(biāo)準(zhǔn)以太網(wǎng)設(shè)備透明銜接工作,并且保證了Ethernet/IP會(huì)隨著以太網(wǎng)技術(shù)的發(fā)展而進(jìn)一步發(fā)展。在網(wǎng)絡(luò)層和傳輸層,采用UDP協(xié)議傳送對(duì)實(shí)時(shí)性要求較高的隱式報(bào)文,將UDP報(bào)文映射到IP多播傳送。實(shí)現(xiàn)高效I/O交換。用TCP協(xié)議的流量控制和點(diǎn)對(duì)點(diǎn)特性通過(guò)TCP通道傳輸非實(shí)時(shí)性的顯式報(bào)文?；跇?biāo)準(zhǔn)的TCP/IP協(xié)議,在TCP或UDP報(bào)文的數(shù)據(jù)部分嵌入了CIP封裝協(xié)議。CIP協(xié)議是一個(gè)端到端的面向?qū)ο蟛⑻峁┝斯I(yè)設(shè)備和高級(jí)設(shè)備之間連接的協(xié)議,獨(dú)立于物理層和數(shù)據(jù)鏈路層。使得連接在以太網(wǎng)上的各種設(shè)備具有較好的一致性,從而使不同供應(yīng)商的產(chǎn)品能夠互相交互。Ethernet/IP工業(yè)以太網(wǎng)有著Devicenet現(xiàn)場(chǎng)總線和Controlnet現(xiàn)場(chǎng)總線都不具備的特點(diǎn),即其不僅采用了OSI模型中的物理層、數(shù)據(jù)鏈路層和應(yīng)用層,還涉及網(wǎng)絡(luò)層和傳輸層,并采用了TCP/IP協(xié)議。而Devicenet現(xiàn)場(chǎng)總線和Controlnet現(xiàn)場(chǎng)總線只對(duì)物理層、數(shù)據(jù)鏈路層和應(yīng)用層進(jìn)行了定義。Ethernet/IP通信協(xié)議模型在應(yīng)用層的基礎(chǔ)上新增加了用戶層,并對(duì)工業(yè)控制中的功能塊進(jìn)行了標(biāo)準(zhǔn)化操作,事先對(duì)其輸入、輸出、算法和參數(shù)等進(jìn)行規(guī)定,并組成為能夠在現(xiàn)場(chǎng)設(shè)備中實(shí)現(xiàn)執(zhí)行功能的應(yīng)用進(jìn)程,目的是為了實(shí)現(xiàn)不同類型制造商的設(shè)備進(jìn)行混合組態(tài)。CIP通用工業(yè)協(xié)議是Ethernet/IP、Devicenet和Controlnet3種網(wǎng)絡(luò)的交叉點(diǎn),從而使3種網(wǎng)絡(luò)之間實(shí)現(xiàn)共享,并借由工業(yè)路由器連接起來(lái)。Ethernet/IP封裝協(xié)議Encapsulation位于TCP/IP和CIP協(xié)議之間,基于TCP/IP協(xié)議的Encapsulation協(xié)議數(shù)據(jù)包結(jié)構(gòu)如下圖所示,其中封裝信息EncapsulationMessage包括封裝頭Encapsulationheader和命令數(shù)據(jù)Commandspecificdata兩部分組成。圖4-2Ether/IP協(xié)議格式協(xié)議安全性分析Ethernet/IP是實(shí)時(shí)以太網(wǎng)協(xié)議,容易受以太網(wǎng)漏洞影響。由于UDP之上的Ethernet/IP是無(wú)法連接的,因此沒(méi)有內(nèi)在的網(wǎng)絡(luò)層機(jī)制來(lái)保證可靠性、順序性或進(jìn)行數(shù)據(jù)完整性檢查。同時(shí)CIP明確的對(duì)象模型也帶來(lái)如下的特有安全問(wèn)題：CIP未定義任何顯式或隱式的安全機(jī)制；使用通用必需對(duì)象進(jìn)行設(shè)備標(biāo)識(shí),為攻擊者進(jìn)行設(shè)備識(shí)別與枚舉創(chuàng)造了條件；使用通用應(yīng)用對(duì)象進(jìn)行設(shè)備信息交換與控制,可能擴(kuò)大遭受工業(yè)攻擊的范圍,令攻擊者可以操縱更多的工業(yè)設(shè)備；Ethernet/IP使用UDP與廣播數(shù)據(jù)進(jìn)行實(shí)時(shí)傳輸,兩者都缺少傳輸控制,攻擊者易于注入偽造數(shù)據(jù)或使用注入IGMP控制報(bào)文操縱傳輸途徑。EtherCAT協(xié)議協(xié)議簡(jiǎn)介EtherCAT技術(shù)是德國(guó)倍福<Beckhof>公司提出的實(shí)時(shí)工業(yè)以太網(wǎng)技術(shù),它基于標(biāo)準(zhǔn)的以太網(wǎng)技術(shù),具備靈活的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),系統(tǒng)配置簡(jiǎn)單,具有高速、高有效數(shù)據(jù)率等特點(diǎn),是一種開放式實(shí)時(shí)以太網(wǎng)在自動(dòng)化控制技術(shù)領(lǐng)域,EtherCAT已經(jīng)成為一種全球范圍內(nèi)先進(jìn)的技術(shù)標(biāo)準(zhǔn)。EtherCAT技術(shù)組〔ETG成立于2003年11月,截至2009