标准规范下载简介
GB/T 41868-2022 Modbus TCP安全协议规范.pdfICS 25.040 CCSN10
ModbusTCP安全协议规范
钱粮湖垸围堤加固工程施工组织设计odbus TCPsecurityprotocol specific
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国机械工业联合会提出。 本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。 本文件起草单位:机械工业仪器仪表综合技术经济研究所、施耐德电气(中国)有限公司上海分公 司、重庆信安网络安全等级测评有限公司、国能智深控制技术有限公司、浙江中控技术股份有限公司、 中国科学院沈阳自动化研究所、东方电气集团科学技术研究院有限公司、北京卓识网安技术股份有限公 司、西南大学。 本文件主要起草人:冯夏维、王勇、周彦晖、王玉敏、尚羽佳、朱镜灵、陈俊璃、章维、刘明哲、桑梓、 刘韧、刘枫、梅恪。
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国机械工业联合会提出。 本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。 本文件起草单位:机械工业仪器仪表综合技术经济研究所、施耐德电气(中国)有限公司上海分公 司、重庆信安网络安全等级测评有限公司、国能智深控制技术有限公司、浙江中控技术股份有限公司、 中国科学院沈阳自动化研究所、东方电气集团科学技术研究院有限公司、北京卓识网安技术股份有限公 司、西南大学。 本文件主要起草人:冯夏维、王勇、周彦晖、王玉敏、尚羽佳、朱镜灵、陈俊璃、章维、刘明哲、桑梓、 刘韧、刘枫、梅恪。
ModbusTCP安全协议规范
本文件规定了ModbusTCP安全协议的服务定义、协议说明、系统依赖性以及TLS要求等内容。 本文件适用于开发或检测Modbus产品的相关机构。
本文件没有需要界定的术语和定义。
mmunicationsUnion) PDU:协议数据单元(ProtocolDataUnit) PKI:公钥基础设施(PublicKeyInfrastructure) PRF:伪随机函数族(PseudorandomFunctionFamily) RA:登记机关(RegistrationAuthority) SSL:安全套接字层(SecureSocketLayer) TCP:传输控制协议(TransportControlProtocol) TLS:传输层安全协议(TransportLayerSecurity)
Modbus TCP协议广泛应用于工业控制系统(ICS)。ModbusTCP规范定义了应用数据 ADU)。此ADU定义见图1。
图 Modbus TCP ADU
Modbus TCP和Modbus TCP安全协议。
Modbus TCP和Modbus TCP安全协
GB/T 418682022
ModbusTCP协议安全原则: a) ModbusTCP安全协议使用端口号802; b) 通过TLS使用X.509V3进行身份识别和认证; 客户端/服务器端双向TLS认证; d) 通过证书传输的角色进行授权; e) 授权规则是产品特定的; f 没有更改mbap。
6.3传输层安全性概述
mbaps/TLS/TCP配置文件使用RFC5246中定义的安全TLS传输协议。RFC5246定义了本文 件发布时最新的TLS版本TLSv1.2,并为早期版本中已知的漏洞提供对策和缓解措施。此文件基于 TLSv1.2,当更新的TLS版本被广泛应用时,将考虑使用它们。 TLS由一组协议组成,见图2。该集合中的主要协议是TLS记录协议。其余的协议是由TLS记 录协议承载的子协议。它们由一个TLS中间件管理。
图2TLS通信协议栈
mbaps中未更改,封装在TLS应用协议报文中,
图3mbapADU封装在TLS中
TLS握手协议见图4的ModbusTCP安全概念图,其主要完成下列功能: 在端点之间协商安全通道的加密,包括算法,密钥等; 一 提供基于x.509v3证书的双向客户端/服务器身份验证; 从证书中提取客户端角色OID; 一一建立TLS会话。 在建立TLS会话之后,正常的Modbus请求和响应序列在安全的TLS应用协议通道中传输。在 处理请求的过程中,mbaps协议处理程序调用特定于供应商的授权功能。此授权功能使用来自mbap ADU的输人和从连接的x.509客户端证书中提取的角色来评估角色到权限算法。该算法根据对等方 的角色确定是否可以处理ADU。如果授权功能不能处理mbapADU代码,则mbap处理程序返回 01一IllegalFunctionCode的Modbus异常码。此授权过程发生在每个请求上,确保请求流的全面 验证。
图4ModbusTCP安全概念图
带有角色扩展的x.509v3
在GB/T19582.1一2008和GB/T19582.3一2008中详细描述了Modbus应用层协议上使用的标 准功能码。本文件中的标准功能码没有修改
mbapADU的通信使用传输层安全协议(TLS)进行保护,该协议在RFC5246中定义。图3为封 装在TLS中的mbapADU,说明了如何通过TLS应用协议传输mbapADU。mbapADU数据包结构 应符合附录A的规定。 TLS在两个端点之间提供传输层安全协议。为此,TLS端点执行TLS握手协议协商安全参数并 创建TLS会话。
为了让两个mbaps终端设备使用TLS安全通信,应在TLS连接的端点之间建立安全上下文。 TLS握手协议建立安全上下文,即TLS会话。TLS会话具有会话标识符,安全上下文是由RFC5246
为了让两个mbaps终端设备使用TLS安全通信,应在TLS连接的端点之间建立安全上下文。 TLS握手协议建立安全上下文,即TLS会话。TLS会话具有会话标识符,安全上下文是由RFC5246 A.6中定义的一组安全参数描述。 双向身份验证要求每个端点都将其域证书链发送到远程端点。从远程对等端收到证书链后,TLS
双向身份验证要求每个端点都将其域证书链发送到远程端点。从远程对等端收到证书链后,TLS 端点将使用链中的下一个CA证书,验证每个证书签名,直到它可以验证链的根。 TLS完整握手协议见表2,TLS完整握手协议见图6,定义见RFC5246中的7.3。
某河道疏浚工程施工组织设计.doc图6TLS完整握手协议
TLS还提供会话恢复功能。服务器端缓存最后一次会话的已知安全状态,并将其与客户端和服务 器端中使用的会话ID配对。如果客户端缓存安全上下文和会话ID,它可以将此会话ID呈现给下一个 ClientHello上的服务器。如果此会话ID与服务器上的缓存会话ID匹配,则服务器将立即更改密码规 范,见图7,连接将恢复,TLS恢复握手见表3。这将TLS协商时间减少到1个应用往返时间,并省掉了 授权新端所需的公钥/私钥密码验证的过程。使用TLS恢复功能时,服务器应缓存与客户端证书相关 联的角色RoleID,并将它与会话ID相关联。 如果ClientHello提供的sessionID与已知的服务器会话不匹配,则会在ServerHello消息中返回 新的sessionID,并执行图6所示的TLS完整握手协议。
表2TLS完整握手协议
8.4mbaps基于角色的客户端授权
mbaps协议提供执行基于角色的客户端授权(AuthZ)的能力。客户端角色数据在其x.509v3域证 书的扩展中传输。带有角色扩展的证书示例见图5。 mbaps的基于角色的客户端授权见图8。
基于角色的授权是指:
波西塔诺小镇一期屋面防雷安装技术交底图8基于角色的客户端授权
基于角色的授权是指: a) x.509v3证书扩展包含角色编码; b) 授权功能取决于供应商; ?) 授权角色对应权限的规则取决于供应商,并在授权功能中配置。 在两个TLS端点之间建立了一个TLS会话后,基于角色的客户端授权的执行过程分为两步。 在第一步中,当mbaps服务器接收到图6所示的消息8时,mbaps服务器获取x.509v3客户端的域