0 引言
隨著以太網通信技術的快速發(fā)展和廣泛應用,其開放性、平臺無關、信息服務多樣性等優(yōu)點以及和傳統總線相比具有的高速和互聯互通優(yōu)勢,使以太網通信成為目前世界上工業(yè)控制領域高速通信的事實標準和未來通信的發(fā)展趨勢。工業(yè)自動化領域的主要廠商紛紛開發(fā)了自己的工業(yè)以太網標準并推出了相應的以太網產品。ARC Group針對工業(yè)以太網市場的調查報告顯示,2003~2008年間,與工業(yè)以太網密切相關的DCS產品和PLC產品的市場容量年增長率分別達到了15%和14%。
從應用領域來看,工業(yè)以太網除了在工廠自動化和樓宇自動化等過程控制領域不斷提升應用比例外,在電信、電力、石油、交通等重大基礎設施中,由于項目應用本身對分布式和互聯互通的要求,被依賴的程度也會不斷加深。
工業(yè)控制網絡的以太網化使得企業(yè)的制造控制網絡和企業(yè)信息網絡可以無縫地結合起來,形成生產、控制、管理、決策、服務一體化的企業(yè)運行模式,對改變生產管理運營模式、提升企業(yè)競爭力產生了巨大的提升作用。
可見,工業(yè)以太網已經成為了連接地理上分布的控制網絡的紐帶,更成為了企業(yè)信息自動化的“神經中樞”。因此,以工業(yè)以太網為對象,研究其信息安全具有重大意義。
1 工業(yè)以太網面臨的信息安全問題
由于技術和商業(yè)等因素的原因,工業(yè)領域的主要廠商單獨或者幾家聯合推出了不同的解決方案,導致了多種網絡標準共存的局面。例如,西門子公司主推Profibus和ProfiNet;羅克韋爾自動化提出了CIP網絡概念,包括EtherNet/IP,ControlNet和DeviceNet三層網絡;施耐德電器則基于Modbus和Modbus TCP實現數據在系統中的透明傳輸。
目前,實際使用的工業(yè)以太網的協議有上百種,常用的也有20多種,例如Modbus TCP,FF-HSE,Profi-Net,SRTP TCP/IP,EtherCAT等。
考慮到現場總線的實時性要求,對于要求響應時間小于5ms的應用,各大廠商和標準化組織還在IEEE 802.11的基礎上進行了實時擴展,即實時以太網。2005年5月發(fā)布的實時以太網國際標準IEC 61784-2公布了包括中國在內的EPA在內的15種實時以太網協議。
雖然工業(yè)以太網總線協議的種類繁多,但是基本上都是在各自修改其應用層協議的基礎上支持TCP/IP規(guī)范實現的,以爭取通過高層協議達到相互兼容的目的。圖1是部分典型以太網協議棧的示意圖,其中的(a),(b),(c)分別是Modbus TCP,ProfiNet,EPA協議的模型。
![SCTP在工業(yè)以太網通信技術中的應用研究[圖]](http://image.c114.net/20110412018(1).jpg)
作為工控網絡通信的關鍵環(huán)節(jié),工業(yè)以太網帶來更加開放集成的工業(yè)自動化和信息化的整體解決方案,擁有越來越廣闊的應用前景的同時,也導致了工業(yè)自動控制網絡的安全威脅的增加。目前,針對工業(yè)以太網的安全研究已經成為一個熱點。一種研究思路是從信息安全的五個基本要素:機密性、完整性、可用性、可控性與可審查性對照審查并加強其薄弱環(huán)節(jié),另一種研究思路是按照資產風險威脅模型針對具體的工業(yè)以太網從入侵檢測的角度進行網絡安全的防范。
一些工業(yè)以太網絡存在的信息安全威脅主要表現在缺乏認證,容易導致非授權訪問;信息泄露或者丟失;破壞數據完整性;拒絕服務攻擊。
和以太網面臨的安全威脅一樣,工業(yè)以太網也面臨偵聽、重放、拒絕服務攻擊等多種安全威脅。舉例來說,對Modbus TCP這樣的簡單協議而言,由于協議的功能字簡單,使用Modbus TCP的工業(yè)以太網很容易遭受攻擊者使用偽造數據來對設備進行控制的攻擊危險。對于通信通道數有限的以太網客戶端而言,攻擊者通過偽造的連接占用通信通道會導致工業(yè)以太網模塊的拒絕服務攻擊。另外,對于實時性要求強的控制網絡而言,通過占用帶寬和干擾等手段可能導致網絡的不可用或不可靠,從而威脅控制網絡安全。
總結存在上述信息安全威脅的原因,有以下幾點:
(1)沒有適當強度的認證、授權措施;
(2)沒有相應的數據加密措施;
(3)工業(yè)以太網使用的協議都是基于TCP/IP協議的,從而不可避免地繼承了TCP/IP協議的安全性缺陷。
2 SCTP簡介
流控制傳輸協議SCTP是由IETF提出的新一代構架于IP層之上的通用IP傳輸協議。SCTP在以IP為基礎的網絡上提供面向連接的可靠的端對端報文傳輸。
SCFP作為TCP的改進技術,繼承了TCP的流控技術、超時重傳以及擁塞控制技術等成熟技術。同時,SCTP引入了新的擁塞控制、防止syn-flood和偽裝攻擊、更優(yōu)的實時性能、支持多宿主支持等思想。因此,SCTP被一些標準化組織認為是TCP的繼承者。
