标准规范下载简介
GB/T 41868-2022 Modbus TCP安全协议规范.pdf简介:
GB/T 41868-2022《Modbus TCP安全协议规范》是中国国家标准,它是在原有的Modbus TCP(传输层控制协议)基础上,对网络安全进行强化的安全通信协议。Modbus TCP是一种广泛应用于工业自动化领域的通信协议,主要用于设备间的通信,例如PLC(可编程逻辑控制器)和SCADA( supervisory control and data acquisition,数据采集和监控系统)等。
GB/T 41868-2022的出台,主要是为了解决原有的Modbus TCP在网络安全方面存在的问题,比如数据易被窃取、篡改或中断等。该规范可能包含了加密技术(如SSL/TLS)、消息认证码(MAC)、访问控制、数据完整性校验等安全措施,以提高Modbus TCP网络环境下的数据传输安全性和可靠性。
该标准可能要求设备支持安全的连接,如使用加密的端口(例如5020而非默认的502)和证书管理,以防止未经授权的访问。此外,它可能还规定了安全事件的报告和处理机制,以及时发现和应对安全威胁。
总的来说,GB/T 41868-2022是针对工业自动化领域中Modbus TCP协议的网络安全强化标准,旨在提升通信过程中的数据安全性和保护工业设备免受网络攻击。
GB/T 41868-2022 Modbus TCP安全协议规范.pdf部分内容预览:
ModbusTCP安全协议规范
本文件规定了ModbusTCP安全协议的服务定义、协议说明、系统依赖性以及TLS要求等内容。 本文件适用于开发或检测Modbus产品的相关机构。
本文件没有需要界定的术语和定义。
施工组织设计-某市东环快速路工程标书mmunicationsUnion) PDU:协议数据单元(ProtocolDataUnit) PKI:公钥基础设施(PublicKeyInfrastructure) PRF:伪随机函数族(PseudorandomFunctionFamily) RA:登记机关(RegistrationAuthority) SSL:安全套接字层(SecureSocketLayer) TCP:传输控制协议(TransportControlProtocol) TLS:传输层安全协议(TransportLayerSecurity)
Modbus TCP协议广泛应用于工业控制系统(ICS)。ModbusTCP规范定义了应用数据 ADU)。此ADU定义见图1。
图 Modbus TCP ADU
Modbus TCP和Modbus TCP安全协议。
Modbus TCP和Modbus TCP安全协
GB/T 418682022
ModbusTCP协议安全原则: a) ModbusTCP安全协议使用端口号802; b) 通过TLS使用X.509V3进行身份识别和认证; 客户端/服务器端双向TLS认证; d) 通过证书传输的角色进行授权; e) 授权规则是产品特定的; f 没有更改mbap。
6.3传输层安全性概述
mbaps/TLS/TCP配置文件使用RFC5246中定义的安全TLS传输协议。RFC5246定义了本文 件发布时最新的TLS版本TLSv1.2,并为早期版本中已知的漏洞提供对策和缓解措施。此文件基于 TLSv1.2,当更新的TLS版本被广泛应用时,将考虑使用它们。 TLS由一组协议组成,见图2。该集合中的主要协议是TLS记录协议。其余的协议是由TLS记 录协议承载的子协议。它们由一个TLS中间件管理。
图2TLS通信协议栈
mbaps中未更改,封装在TLS应用协议报文中,
图3mbapADU封装在TLS中
TLS握手协议见图4的ModbusTCP安全概念图,其主要完成下列功能: 在端点之间协商安全通道的加密,包括算法,密钥等; 一 提供基于x.509v3证书的双向客户端/服务器身份验证; 从证书中提取客户端角色OID; 一一建立TLS会话。 在建立TLS会话之后,正常的Modbus请求和响应序列在安全的TLS应用协议通道中传输。在 处理请求的过程中,mbaps协议处理程序调用特定于供应商的授权功能。此授权功能使用来自mbap ADU的输人和从连接的x.509客户端证书中提取的角色来评估角色到权限算法。该算法根据对等方 的角色确定是否可以处理ADU。如果授权功能不能处理mbapADU代码,则mbap处理程序返回 01一IllegalFunctionCode的Modbus异常码。此授权过程发生在每个请求上,确保请求流的全面 验证。
图4ModbusTCP安全概念图
带有角色扩展的x.509v3
在GB/T19582.1一2008和GB/T19582.3一2008中详细描述了Modbus应用层协议上使用的标 准功能码。本文件中的标准功能码没有修改
mbapADU的通信使用传输层安全协议(TLS)进行保护,该协议在RFC5246中定义。图3为封 装在TLS中的mbapADU,说明了如何通过TLS应用协议传输mbapADU。mbapADU数据包结构 应符合附录A的规定。 TLS在两个端点之间提供传输层安全协议。为此,TLS端点执行TLS握手协议协商安全参数并 创建TLS会话。
为了让两个mbaps终端设备使用TLS安全通信,应在TLS连接的端点之间建立安全上下文。 TLS握手协议建立安全上下文,即TLS会话。TLS会话具有会话标识符,安全上下文是由RFC5246
为了让两个mbaps终端设备使用TLS安全通信,应在TLS连接的端点之间建立安全上下文。 TLS握手协议建立安全上下文,即TLS会话。TLS会话具有会话标识符,安全上下文是由RFC5246 A.6中定义的一组安全参数描述。 双向身份验证要求每个端点都将其域证书链发送到远程端点。从远程对等端收到证书链后,TLS
双向身份验证要求每个端点都将其域证书链发送到远程端点。从远程对等端收到证书链后,TLS 端点将使用链中的下一个CA证书,验证每个证书签名,直到它可以验证链的根。 TLS完整握手协议见表2,TLS完整握手协议见图6,定义见RFC5246中的7.3。
图6TLS完整握手协议
TLS还提供会话恢复功能。服务器端缓存最后一次会话的已知安全状态,并将其与客户端和服务 器端中使用的会话ID配对。如果客户端缓存安全上下文和会话ID,它可以将此会话ID呈现给下一个 ClientHello上的服务器。如果此会话ID与服务器上的缓存会话ID匹配,则服务器将立即更改密码规 范,见图7,连接将恢复,TLS恢复握手见表3。这将TLS协商时间减少到1个应用往返时间,并省掉了 授权新端所需的公钥/私钥密码验证的过程。使用TLS恢复功能时,服务器应缓存与客户端证书相关 联的角色RoleID,并将它与会话ID相关联。 如果ClientHello提供的sessionID与已知的服务器会话不匹配,则会在ServerHello消息中返回 新的sessionID,并执行图6所示的TLS完整握手协议。
表2TLS完整握手协议
8.4mbaps基于角色的客户端授权
mbaps协议提供执行基于角色的客户端授权(AuthZ)的能力。客户端角色数据在其x.509v3域证 书的扩展中传输。带有角色扩展的证书示例见图5。 mbaps的基于角色的客户端授权见图8。
基于角色的授权是指:
图8基于角色的客户端授权
基于角色的授权是指: a) x.509v3证书扩展包含角色编码; b) 授权功能取决于供应商; ?) 授权角色对应权限的规则取决于供应商,并在授权功能中配置。 在两个TLS端点之间建立了一个TLS会话后,基于角色的客户端授权的执行过程分为两步。 在第一步中,当mbaps服务器接收到图6所示的消息8时,mbaps服务器获取x.509v3客户端的域
,从x.509v3证书中提取角色并缓存。如果在会话恢复的情况下SH/T 3051-2014 石油化工配管工程术语.pdf,则此角色应与恢复的会话关联 角色扩展为ASN1编码的UTF8字符串。
在解决方案架构中,mbaps设备依赖于公钥基础设施(PKI)的证书管理服务,其具体细节对于 mbaps服务器或客户端行为的实现并不重要。
10.2TLSv1.2密码选择
10.2.2TLS密钥交换
JTS 116-4-2014 水运工程测量概算预算编制规定10.2.3TLS认证
可以使用自签名设备证书来完成对信任锚的身份认证。宜使用由证书颁发机构签名的证书进行 份认证。
使用自签名设备证书来完成对信任锚的身份认证。宜使用由证书颁发机构签名的证书进行身