论文研究-一种基于共享内存摆渡的Modbus/TCP安全通信方法 .pdf

所需积分/C币:9 2019-08-24 19:03:56 528KB .PDF
28
收藏 收藏
举报

一种基于共享内存摆渡的Modbus/TCP安全通信方法,詹静,杨静,本文结合物理摆渡隔离和逻辑协议过滤技术的优点,提出一种基于共享内存摆渡的Modbus/TCP网络安全通信方法。采用基于共享内存的Xen虚��
山国武技论文在丝 标识符字段。 ●协议标识符( Protocol identifier,以下简称为prot.id)为2个字节。 Modbus 协议的值为0,非0表示其他协议。 图一种典型的 网络架构 图 格式 长度( Length,以下简称为leng)为2个字节。长度域是该字段后所有报文的字 节数。 单元标识符( Unit identifier,以下简称为unit.id)为1个字节。在TCP/IP网 终中,该域置为0xff 功能码域( ,以下简称为)为一个字节,有效的范围是 为异常响应)。当客户机向服务器 设备发送报文时 依据功能码完成相 应功能。可通过定义子功能码定义更多的操作。若正常响应,功能码域的值与原始功 能码相同;芢异常响应,则响应功能码域的值为原始功能码最晑有效位置为后的值。 数据域(,以下简称为)最大为字节。包括读写数据对象的起始地址、处理的 数据对象数量以及数据对象的值。某些功能码可以无数据域,此时功能码仅用来说明操作, 而不需要操作信息。 协议面临的安全威胁 由于 协议标准是公开的,攻击者能很轻易的构造 数据包直接 与控制现场设备的 服务器建立连接通信。加上 协议设计并没有 考虑安全性,在工业以太网中的通信双方身份无法得到认证、通信数据的机密性和完整性没 山国武花论文在丝 有受到保护。且攻击者通过 网络进入部的 网络,就可以通过 构造或篡改 通信数据的方式获取中的敏感操作和数据信息。 图所示 网络的 通信栈可分为串行链路和工业以太网通信栈两类, 其最上层的 协议应用层数据相同。依据通信栈层次可将 面临的安全威 胁来源分为 应用层 传输层以及底层两类。 图 甬信栈面临的攻击 上述安全威胁可进一步分为如下三种:)应用层行为不可信;)应用层连接不可信; )及下层连接不可信,具体分析如下 )应用层行为不可信 功能码代表客户机要求远程服务器执行的操作行为,可 分为数据类操作和诊断类操作两大类。 数据类操作能够读写线閣寄存器文件记录等数据,操作参数不合法可能导致现场设各 或客户端。例如,篡改线圈的值可改变现场改备开关状态、纂改寄存器的值可能导致现场改 备运行失效。因此应针对此类操作数值进行检验,防止非法数据被写入。 诊断类操作功能码叮能被攻击者用于破坏现场设备的完整性和可用性。这些功能码在诊 断模式下是必须的,但若被攻击者利用,很容易引发现场设备故障。因此需对此类敏感功能 码使用者身份进行检査,防止被攻击者利用。 )应用层连接不可信。攻击者可以通过分析篡改 字段,获取协议信息,发送恶 意数据,冒充串行链路客户机。 及下层连接不可信。于 协议建立在之上,针对协议 缺陷的一些攻击(例如 泛洪, 泛洪, 池耗尽攻击等)自然也被引入 网络。针对下层协议的攻击与针对协议的攻击类似。这类攻击如果 成功实施将导致 客户机和服务器丧失通信能力,服务器方甚至可能因为无法获 取客户机指令使得现场设备发生故嫜。因此应对及下层协议缺陷引入的安全风险进行 过滤。 根据上述威胁分类分析可知, 协议面临米自网络的应用层行为和连接 不可信,以及来自互联网和网络的及下层协议缺陷引入的风险。攻击方式分为被 动嗅探、主动篡改或构造协议数据,本文主要应对主动篡改和构造攻山方式进行防御。 一种基于共享内存摆渡的 网络安全通信方法 总体架构 由于 网络面临来自互联网和管理内网的双重安全风险,为了保障数据 山国武花论文在丝 在安全可信的环境中进行交换的同吋过滤协议数据中的不安全信息,本文设计了种结合摆 渡隔离和深度包过滤技术的 网络安全通信方法 图描述了基于共享内存摆渡的 网络安全通信架构,分别使用 和 基于不可路由的共亨内存摆渡数据通道实现管理网和现场网的网络隔离 和流量过滤。 CN VM FN VM Private protocol Encapsulation Application Private Protocol D Decapsulation Packet filter TCP/IP tering Shared memory ferry Modbus /TCP Flow Table openvswitcn Xen Host Modbus/TCP Client Modbus/TCP Server Control Network) (Field Network) 图基于共享内存摆渡的 网络安全通信架构 以从控制网络到现场网络的单向通信为例,基于本文架构的流量处理方式如下:)管 理网流入的流量由 流表牵引进入 )由 流量过滤模块剥离 协议特征,从而阻断底层协议攻击,并得到 应用层协议数据;)经过 深度包检测方法阻断应用层攻击;)封装不可路山的私有协议数据包,通过 共享内存摆渡的方式将私有协议数据传入 解封私有协议数据包, 得到经过清洗的 应用层流量,发往 流表;) 流表将 流量牵引到对应的现场网络。 基于本架构实现的网络隔离与过滤平台上的应用层深度包检测模块还可以替换为其他 ⊥控网络私有协议检测模块,具有较好的可扩展性。 深度包过滤策略 基于共享内存摆渡方法可以过滤节威胁中的及以下层次的办议特征攻击 然对 应用层数据攻击的防御需要围绕应用层建立针对性包深度过滤策略。本文 基于此建立了面冋应用层薮据类操作行为、诊断类操作行为、应用层连接管理的过滤策 )应用层数据类行为过滤策略。 数据类操作能够读写控訇设备的线圈寄存器文件记录等数据,是对业竻进行直接操作 的重要行为。操作本身是业务需要的正常行为,但操作参数不合法可能导致现场设备或客户 无法正常运行,导致业务失效。例如,篡改线圈的值可改变现场设备开关状态、篡改寄存 器的值可能导致现场设备运行失效。因此应针对此类操作数值进行检验,防止非法数据被写 入。本文建立的数据类操作参数过滤策略如下表所示,针对数据类慄作的地址、数量、参 山国武花论文在丝 数长度或输出值进行过滤。 表数据类行为过滤策略 功能码 起始地址 数 字节数输出值 01读线圈 0x000o-Oxffft 0x7D0 02读离散量输入 0x(000-()xfff十1-0x70 03读保持寄存器 0x0000-Oxffff1-Ox7D 无无无无 0A4读输入寄存器 0x0000-Oxffff1-Ox7D 无无无无无 05写单个线圈 0x0000-Oxffff 1-0x7D 0和1 06写单个寄存器 0x0000xfff无 Oxo000-Oxffff 15写多个线圈 0x0000-0 xffff1-0x07B0 无N N字十 16写多个寄存器 0x0000-0 xffff1-0x07B 2求N 2状N字节 20读文件记录 0x0000-0x270f无 21写多个寄存器 0x000-0x270f无 无无 尢无 注:写多个线圈操作的输出数量,若余数不为 写多个寄存器中为 寄存器数量 )应用层诊断类操作行为过滤策略。 诊断类操作功能码可能被攻击者用」破坏现场设备的完整性和可用性。例如,发送功能 码和子功能码能引起目标现场设备重启并执行上电测试:发送功能码及子功能码 会使服务器进入强制侦听模式,无法响应客户机;发送功能码及子功能码会使寄 存器重置。这些功能码在诊断模式下是必须的,但若被攻击者利用,很容易引发现场设备故 障。因此需对此类敏感功能码使用者身份进行检查,防止被攻击者利用。 表诊断类行为过滤策略 功能码子功能源P地址目的P地址 unitid 0x08诊断现场设备01重启现场设备诊断 Client IP现场设备TP0-247,255 04强制侦听 诊断 Client Ip现场设备IP 10重置寄存器诊断 Client ip现场设备IP )应用层连接營理过滤策略。 协议使用 识别 应用层的请求响应对,使用 识别 协议,使用识别传输数据大小,使用 别 使用还是串行链 路网络。攻击者可以通过分析篡改上述字段,获取协议信息,发送恶意数据,冒充串行链路 客户机,因此应对上述字段进行过滤检查。 表连接管理过滤策略 字段范围 源卩地址目的P地址 tran. id Request. tran. id=Response. tran id Client ip现场设备IP范围 prot.1 0 lient ip现场设备IP范围 leng sizeof (unit, id)+sizeof func)+sizeof (data) 现场设备范围 unit.id0-247,255 Client ip现场设备IP范围 上述只体过滤范围都可根据只体业务场景进行调整 山国武技论文在丝 实验与分析 本部分对上述安仝通信方法的效率及有效性进行测试,实验环境及测试结果分析如下。 实验环境 控制网 客户机与现场网服务器之间使用拟化隔离平台进行 网络阻新和深度包过滤,虚拟化隔离平台处理器为 内存,位 操作系统 内存设置为 服务器采用护展以太网模块 的 通过 协议连接安装 模拟通信软件的 客户机。山于 只能发起 数据类操作行为,夲文主要测试数据类行为过滤策略的有效性和整体系统效率。 结果分析 )功能测试及分析 假设在实际业务系统中,服务器寄存器值应处于之间。开启隔离过滤机制后, 山于写寄存器值为的非法操作报文被深度包过滤模块弃,寄存器值发现值仍为, 没有变化,如图所示。说明该协议隔离中协议清洗模块的 深度包过滤策略生 效,能有效过滤不可信报文。 a Morsel Device ld- Address: 0001 umber of Polls: 6 MODBUS Point Type alid slave Responses: 45 13: HOLDING F EGISTER Reset Ctrs Write Registe 3od自 Address:3 40008c0 M。dsca1 Device Id: 2 ddre零 MoDBUS Point Type Naid slav PHll uses: 55 03: HOLDING REGISTER Reset Ctrs 40001:<看009 图过滤效果 )性能测试及分析 本文提出方法效率主要受共享内存的创建及数据同步读写的限制。如表所示,本系统 数据交换读写带宽较高,分别为 和 ,能满足网终通信的实际应用需 求。但对隔离过滤平台的内存带宽的读写消耗分别为 消耗较大,但这与实 验虚拟机内存仅为有关,增加系统内存和优化系统实现能进一步降低带宽消耗。 表共享内存带宽及读写消耗 数据块大数据量原生系统写改进后写写性能原生系统读改进后读读性能 山国武花论文在丝 小 带宽 牛宽 消耗带宽 带宽 消耗 1024byte100MB121.9MS56.54M/S53.6%111.7M/S57.1M/S46.3% 结论 本文结合物理摆渡隔离和逻辑协议过滤技术的优点,提出一和基于共享內存摆渡的 网终安全通信方法,采用基于共享内存的虚拟机间通信方式实现无路由的 控制网和现场网隔离。针对 通信栈结构提出了威胁模型,采用无路由内存 摆渡隔离过滤底层协议攻击,面向应用层行为和迕接特征提出了较为完善的深度包过滤策 路,实验实现的隔离过滤平台表明该方法能针对 协议数据进行有效安全过滤, 数据交换效率较高,能进行控制网和现场网的可靠隔离,满足工控网络性能和安全双亘需求 下步研究方向是对系统进行优化,提升隔离过滤平台的读写效率 参考文献 北京神州绿盟信息实全科技股份有限公司工业控系统安全报告 吴欢詹静赵勇隃政杨静一种高效虚拟化多级网络安全互联机制山东大学学报(埋学版) 朱团结艾丽蓉基于共享内存的虚拟机间通信的研究计算机技术与发展

...展开详情
试读 8P 论文研究-一种基于共享内存摆渡的Modbus/TCP安全通信方法 .pdf
立即下载 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
  • 至尊王者

关注 私信
上传资源赚钱or赚积分
最新推荐
论文研究-一种基于共享内存摆渡的Modbus/TCP安全通信方法 .pdf 9积分/C币 立即下载
1/8
论文研究-一种基于共享内存摆渡的Modbus/TCP安全通信方法 .pdf第1页
论文研究-一种基于共享内存摆渡的Modbus/TCP安全通信方法 .pdf第2页

试读结束, 可继续读1页

9积分/C币 立即下载