1、工业控制网络互联互通的安全问题 傅一帆 霍玉鲜 刘金 姜洪朝 中国电子信息产业集团有限公司第六研究所 摘 要: 针对工业控制系统使用的 OPC (Object Linking and Embedding for Process Control) 通信协议的安全防护, 通过分析 OPC 客户机和服务器之间的网络流, 用截获的网络帧说明如何开放动态生成的 TCP 连接会话、如何识别同步读写帧, 怎样对数据读写操作过滤;强调指出, 这种传统的防火墙保护模式, 仍可能存在利用暴露的密码攻击、假冒应用要求恶意增加访问次数破坏控制系统运行、借助不明信息流渗透攻击的隐患, 为此给出一个防火墙多端口分区保护纵
2、深防御的方案。关键词: 防火墙; OPC; 工业控制网络; 信息安全; 作者简介:傅一帆 (1953-) , 男, 硕士, 研究员级高工, 主要研究方向:防火墙、嵌入式系统、信息安全。作者简介:霍玉鲜 (1990-) , 女, 硕士, 助理工程师, 主要研究方向:嵌入式系统、信息安全。作者简介:刘金 (1990-) , 女, 硕士, 助理工程师, 主要研究方向:嵌入式系统、信息安全。收稿日期:2017-07-01基金:工业和信息化部“智能制造综合标准化与新模式应用”The security in the industrial communication networksFu Yifan Huo
3、 Yuxian Liu Jin Jiang Hongzhao The 6th Research Institute of China Electronics Corporation; Abstract: Aiming at the security issues of the OPC ( Object Linking and Embedding for Process Control) communication protocol in industrial communication networks, through the analysis of frames on traffic be
4、tween cient and server of OPC, it describes how to open dynamically generated TCP session, how to identify synchronized read and write frames based on OPC protocol, and how to filter read and write requests. It also points out the security risks posed by implementing traditional firewalls, such as f
5、acing threats due to leaked passwords, interruption in the operation of control systems by malware which disguises as an application and maliciously increases data access, and facing threats due to penetration of unknown frames on traffic, etc. To address these security threats, this paper provides
6、a solution by creating zones of protection for multports firewall.Keyword: firewall; OPC; industrial communication networks; information security; Received: 2017-07-010 引言在移动终端制造行业中, 整个生产线上仍存在着“信息孤岛”, 为满足移动终端制造行业产品多样化及快速投向市场的需求, 推进新一代信息技术与自动化技术的融合, 已成为制造行业的发展趋势。因此要解决生产设备之间、生产设备与计划排产等应用之间的信息互通问题, 普遍在
7、工业控制系统中使用 OPC (Object Linking and Embedding for Process Control) 协议实现互连, 通过支持 OPC 标准, 不同厂家的设备之间可以实现过程控制数据的互操作。在实际应用中, OPC 通信跨越了不同系统的边界, 因此也带来很多安全问题。同时, 由于 OPC 协议的应用数据是通过 TCP 协议动态生成的端口号创建的连接传输的, 给传统的 IT 防火墙的过滤造成困难1。下面用黑箱分析的方法来分析 OPC 协议, 探讨解决 OPC 通信的安全防护问题。1 OPC 协议的 TCP 动态端口号的生成OPC 通信采用客户机-服务器的模式, 服务器
8、指拥有控制数据资源的一端, 客户机指对拥有的数据资源进行读写操作的一端2。通过监听客户机和服务器之间的网络流, 分析可得到图 1 所示结果。图 1 OPC 协议的 TCP 动态连接过程 下载原图如图 1 显示了 OPC 协议的动态创建数据通信连接的过程:首先客户机向服务器的OPC135 端口发出连接请求, 经过大约几十个帧后, 从服务器的返回帧 ISystem Activat Remote Create Instance response 带回 OPC 服务器要创建的端口号, 分析帧数据即可解出要创建的端口号。针对动态链接过程的分析, 得到解决工控防火墙分析 OPC 动态连接端口的思路:(1)
9、 监视出/入 OPC 端口 (TCP135 号) 的网络帧;(2) 从 TCP 端口号为 135 的网络帧中找出包含有返回动态端口号的帧;(3) 从包含有返回动态端口号的帧定位到包含有动态端口号的字符串 (称为String Bindings) 的开始位置, 查找出该字符串数组的长度, 从 String Bindings 的开始位置向后查找, 解析出动态端口号;(4) 根据解析出的动态端口号, 建立该端口的防火墙状态连接表项, 放行该端口, 并实时检测该连接状态, 当遇到 4 次交互的结束包 (FIN, ACK) , 或终止包 (RST) 或遇到防火墙的 Timeout, 则及时断开连接, 撤除
10、该端口的防火墙状态连接表项, 以保证安全。从截获的 TCP 端口号为 135 的网络帧中找出包含有返回动态端口号的帧数据, 如下所示:地址 (十六进制) 网络帧数据 (十六进制) 要识别出有返回动态端口号的帧首先需找出包含有微软的全局唯一标识符 (Globally Unique Identifier, GUID) 的帧, 此帧的 GUID=a3 01 00 00 00 00 00 00 c0 00 00 0000 00 00 46, 如果是不含有 VLAN 和 QOS 标识的普通帧, 从地址 0x6A (十六进制) 往后的 128 位即是该 GUID 码。通过查找绑定的字符串区找出端口号。在帧
11、地址 0x274 取出 2 B 的字符串个数为 0x5100, 去小端后为 0x51, 一个字符占 2 B, 该绑定的字符串区长度为 0x A2, 从帧地址 0x276 开始, 到帧地址 (0x276+0x A2) 结束, 查找出包含在“” (5b 00 和“” (5d 00) 之间的字符串为33 0038 00 34 00 33 00, 得出返回的端口号为 3843。下一个要创建的用于数据传输的连接是以 OPC 服务器的 3843 端口号的 TCP 的连接, 工控防火墙可据此进行过滤。2 对传输数据读写的识别监视由 OPC 客户机请求数据通信动态创建的所有 TCP 连接的网络流内容, 下面以
12、截获的网络帧为例说明。(1) 在 OPC 客户机请求数据通信动态建立的 TCP 连接中, 逐个扫描由 OPC 客户机发出的网络帧中的通用唯一识别码 (Universally Unique Identifier, UUID) , 同步操作码 UUID=52 3A C1 39 1E 01 D0 11 96 75 00 20 AF D8AD B3, 异步操作码 UUID=71 3A C1 39 1E 01 D0 11 9675 00 20 AF D8 AD B3, 在截获的网络帧中, 客户机端口号 0x445, 服务器端口号 0x E50:地址 (十六进制) 网络帧数据 (十六进制) 在帧地址 0x
13、56 处, 匹配识别出是同步操作的 UUID。(2) 如果匹配了由 OPC 客户机发出的网络帧中的同步操作码 UUID, 则继续监视, 当 OPC 服务器发回一个应答帧之后, 在下一个从 OPC 客户机发出的网络帧中找到一个动态生成的 16 B 长的同步句柄 Object ID:地址 (十六进制) 网络帧数据 (十六进制) 该同步 Object ID 由帧地址 0x4E 开始, 长度为 16 B, 在该 TCP 连接中取代了同步操作码 UUID 的作用, 一直到该 TCP 连接结束或断开。在帧地址 0x4c 开始向后的 2 B, 是操作码 Opnum, Opnum=03 00 表示读操作, O
14、pnum=04 00 表示写操作。工控防火墙可根据设置好的安全策略据此进行过滤保护, 在此帧中, 是写操作, 其值在帧地址 0x AA 处向后的 4 B 中。3 安全问题分析可以用同样的方法对订阅方式进行分析, 同时可对要写入的数据的域做限定保护, 但这并不能做到安全保护3, 还存在着安全隐患:(1) 在一些 OPC 产品中, 要求 OPC 服务器和客户机必须配置相同的账户名和登录密码, 如果 OPC 通信是跨越不同的厂家或是不同的安全域, 这是一条可以渗透攻击的通道。(2) 恶意逻辑可以通过提高读取 OPC 数据的频度等操作构成对控制器的攻击。一般 OPC 服务器的数据来自于控制器或控制器采
15、集的数据。控制器大多是以定时轮询方式工作, 在一个定时轮询周期内要完成输入-控制处理计算-输出等一系列操作, 根据应用要求周期从几百毫秒到几十毫秒不等, 有些应用甚至到 1 ms 以下, 控制器在轮询周期内设计的网络流量是确定且平稳有序的, 但是一旦增加对数据的访问次数, 即使控制器一旦接收到网络中断请求就做丢弃处理, 仍会破坏控制器的工作节奏, 例如一个强度达到了 6 000 pps (Packet Per Second) 的网络访问, 可在几秒钟之内就会使某些类型的控制器复位, 如果是小帧, 该流量带宽也就 3 M 多, 网络上负载的变动会大大干扰甚至破坏控制器的正常运行。(3) 在前面的
16、分析中, 可对 OPC 动态生成的端口号的通信连接实行过滤, 可对读写过滤保护, 甚至可对数据的范围识别过滤, 但这些仅仅是 OPC 通信中的一小部分, 作为 OPC 通信的基础, 还有 RPC 和 DCOM 组件, 尤其是 DCOM 组件, 在通信中频繁出现, 比如在上节中对 OPC 服务器的一个数据开始做同步写操作之前, 已经来回传递了 272 个帧, 这些帧的作用不像“读”和“写”那样含义明确, 对这其中大量信息作分析不是件容易的事。按说都是为 OPC 通信服务的, 不应阻拦, 但这为会话劫持等攻击提供了机会, 对这种 OPC 通信中不明信息流, 是恶意逻辑可借以入侵和敏感信息外泄的通道
17、, 不仅可攻击生产系统, 对移动终端智能制造生产线来说, 甚至还可能侵入到在制品中, 将恶意逻辑转移到生产的产品中。在攻与防的对抗中, 如果守方对于底层计算资源的了解和掌握程度低于攻方, 显然是不能做到有效的防护。4 安全解决方案针对上述问题, 可以现有的防火墙技术为基础, 利用多端口划分不同的安全区域, 实现纵深安全防护, 如图 2 所示。图 2 对 OPC 通信的分区保护方案 下载原图其中, 防火墙 1、2 口为 OPC 服务器一方, 3、4 口为 OPC 客户机一方。对防火墙 2-4 端口配置 OPC 的 TCP135 号协议过滤和动态生成的端口号的协议过滤, 包括读写过滤策略;防火墙的
18、 1-2 端口仅是配置对控制器或现场设备数据的访问协议的放行策略, 包括对访问频度的保护;防火墙的 3-4 端口仅配置请求访问对方的数据通信协议的放行策略。由于防火墙 1-2 端口和 3-4 端口数据通信含义和结构清楚, 配置过滤策略可明确有效, 防火墙端口 2-4 是 OPC 协议过滤, 有暴露对方机器账户名、密码的问题, 还有大量不明信息流的安全隐患, 是潜在的渗透攻击的通道, 但这会被防火墙 1-2 端口和 3-4 端口的安全策略所遏制, 对两边的实际使用起到保护作用。若能增加对 OPC 服务器和客户的实时监控, 还可从整体上进一步提高安全防护能力, 当然对于双方之间的其他含义结构均明确
19、的数据通信, 可直接通过防火墙 1-3 端口实施过滤放行的策略, 以减少通信的迟延。5 结论对于移动终端制造行业, 在整个生产线上的工业控制系统中用于与信息网互联或各工控系统互联的 OPC 协议, 研发防火墙安全保护策略时不能仅仅考虑动态生成 TCP 端口号的过滤、数据读写过滤问题, 还要考虑到密码暴露、恶意提高访问数据频度等攻击, 对 OPC 通信中不明信息流, 是恶意逻辑可借以入侵和敏感信息外泄的通道, 不仅可攻击生产系统, 对移动终端智能制造生产线来说, 甚至还可能侵入到在制品中, 将恶意逻辑转移到生产的产品中, 是更大的安全隐患。安全问题实质上是攻防双方在对存在的和潜在的计算资源的掌控
20、能力上的斗争, 如果守方对基础软件原理机制的掌握程度差于攻方, 防护的效能会大打折扣。本文提出了一种用多端口防火墙分区过滤纵深防御的方案, 以期在基础软件劣势情况下得到相对的安全, 这也提示我们4, 自主研发安全可控的基础软件对保障安全的重要性。参考文献1屈婉莹, 魏为民, 朱苏榕.工业控制系统通信协议安全研究C.2015 年全国智能电网用户端能源管理学术年会论文集, 北京:2015. 2夏毅, 李红春.自动控制系统的安全防护J.仪器仪表用户, 2014, 21 (2) :97-100. 3尚振阳, 杨瑞先.实时数据库系统数据安全采集方案J.电信科学, 2016, 32 (10) :175-180. 4宫芳涛.基于二进制通信的 OPC UA 客户端及安全机制的研究与开发D.北京:华北电力大学, 2012.
