工業以太網PROFINET安全隔離器的設計

韓丹濤，趙艷領，閆曉風

(機械工業儀器儀表綜合技術經濟研究所，北京 100055)

工業以太網PROFINET安全隔離器的設計

韓丹濤，趙艷領，閆曉風

(機械工業儀器儀表綜合技術經濟研究所，北京 100055)

隨著智能制造技術的發展，工業控制網絡的安全問題日益突出?；诠I通信網絡診斷、隔離和安全防護技術，以應用前景廣泛的PROFINET工業以太網為研究對象，設計了基于PROFINET的專用工業網絡安全隔離器。安全隔離器主要作用于工業網絡內部，具有通用的工業網絡層防火墻功能。對PROFINET通信協議進行了深度解析，并識別相應的報文類型與關鍵數據。通過配置安全策略，并將其傳輸到安全隔離器，可以實時監控網絡狀態和PROFINET關鍵數據，阻斷異?；螆笪?，同時可以防止未授權設備的非法訪問。針對以上情形產生的報警信息，將被實時發送到配置管理平臺并進行報警顯示。經測試表明，工業網絡安全隔離器對正常工業控制網絡無影響。配置策略可有效保護關鍵設備，從而保護工業控制網絡的安全。

工業控制網絡； PROFINET； 通信協議； 網絡層防火墻； 安全隔離器

0 引言

隨著工業4.0以及中國制造2025的持續升溫，在“兩化融合”以及物聯網的未來發展趨勢下，工業控制系統產品越來越多地采用通用通信協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，造成病毒、木馬等威脅正在向工業控制系統擴散。目前工業以太網采用工業防火墻，基本可以實現管理網絡與工業控制網絡的防護，保護外網對工業控制網絡發起的攻擊。隨著“震網”、“Duqu”、火焰等針對工控系統的國家級網絡病毒的曝光[1-2]，使之前工業控制網絡“物理隔絕即絕對安全”的理念不斷被顛覆，因此在工業控制網內部也需要針對性的防護。針對目前主流的工業控制網絡PROFINET，設計了一套安全隔離器。作為工業控制網絡的最后一道防線，安全隔離器可有效保護工業控制系統網絡。

1 系統方案

1.1 系統原理

在工控系統中，需要與外網相連的現場設備通常設置為可讀不可寫，或者通過單向隔離手段禁止外網的數據流量進入控制網中[3]。在工業控制系統內網中，很少使用防火墻，普通的防火墻只支持網絡層防護，目前主流的防火墻支持網絡層防護以及協議防護[4]。協議防護主要通過配置策略允許指定的控制協議(如Modbus TCP、OPC等可以通過)，并沒有對關鍵的數據塊進行監控處理。工業以太網安全隔離器主要工作于工業控制系統網絡內部，可作為“工業通信安全縱深防御體系”中重要的一環[5]，用于底層設備層的安全防護，以及時隔離來自環境或人為蓄意的對工業以太網絡的干擾與攻擊，并實時將通信錯誤或受威脅信息傳遞給配置管理平臺。

針對網絡攻擊的特征與特點，安全隔離器應具備網絡層防火墻的功能[6]，檢測并阻斷網絡攻擊，防止控制網絡和現場設備的未授權訪問。在此基礎上，對通過的網絡報文進行識別處理，針對PROFINET協議報文的應用層數據包，進行協議分析以及深度檢測[7-8]，通過配置監測關鍵PROFINET 報文數據并識別總線上的危險報文，保護設備信息和數據不被泄漏和非法改變。安全隔離器可布置在關鍵設備以及容易產生漏洞攻擊的HMI或監視器等設備之前，通過網絡層防火墻功能與PROFINET協議過濾相結合，實現統一的調度、配置與融合。

整套系統由上位機配置軟件配置管理平臺與安全隔離器構成。配置管理平臺的主要功能是配置安全策略并下發到安全隔離器，接收并顯示安全隔離器的報警信息，配置管理平臺的設計不在本文介紹范圍。安全隔離器布置點如圖1所示。

圖1 安全隔離器布置點示意圖

安全隔離器布置在I/O監視器之前，可有效防護通過I/O監視器發起的攻擊；布置在控制器PLC之前，可防止未授權設備訪問控制PLC；布置在設備IOD之前，可有效防護未授權控制器訪問控制設備。

1.2 系統設計

根據防護策略以及系統防護功能分析，將系統軟件劃分為網絡層防火墻模塊、PROFINET安全模塊、報警處理模塊、策略配置解析模塊這四個模塊。安全隔離器系統整體架構如圖2所示。

圖2 安全隔離器系統架構圖

安全隔離器系統的四個模塊的功能介紹如下。

①網絡層防火墻模塊。

網絡層防火墻模塊屬于網絡層防護，通過對IP封包解析過濾，實現安全防護功能。該模塊可根據MAC地址、源 IP地址、源端口號、目的 IP 地址、目的端口號、協議類型等多種屬性組合進行網絡層報文過濾?；谂渲玫陌踩呗裕瑢νㄟ^的所有報文進行解析分析，過濾非法報文與畸形報文，保護工業控制網絡免受非法用戶的侵入；同時，當監測到非法報文以及異常報文時，進行實時報警處理。

②PROFINET安全模塊。

PROFINET安全模塊屬于應用層防護，主要實現兩方面的防護功能。功能一是對關鍵數據塊進行防護。只有經過授權的控制器等設備，才可以進行訪問與控制；當有非授權設備進行訪問時，及時進行報警處理。功能二是對關鍵的I/O數據塊進行監控，如配置此數據塊的邊界范圍，當數據出現異常時及時進行報警。本模塊需要識別所有的PROFINET報文，并對PNIOCM以及PNIO數據報文進行深入解析，結合配置的安全策略實現對網絡的安全防護。

③報警處理模塊。

報警處理模塊的主要功能是將其他模塊產生的報警信息實時發送到配置管理平臺，主要分為三類報警。一類是基于安全策略產生的報警信息，主要由網絡層防火墻產生；一類是訪問設備權限以及監控數據產生的報警，主要由PROFINET安全模塊產生；一類是監控網絡通信狀態如網絡負載產生的報警。以上產生的報警信息會實時地發送到配置管理平臺進行解析顯示。

④策略配置解析模塊。

策略配置解析模塊主要分為兩部分功能。功能一是解析配置管理平臺下發的安全配置策略，并保存到本地文件系統中；功能二是解析本地策略，實時更新安全策略，為安全隔離器的安全防護提供防護策略。

PROFINET協議實時(real time,RT)通信速率較高，安全隔離器對PROFINET報文的接收、分析、轉發三個環節的實時性要求很高，同時設備需要適應復雜的工業環境。本文選用某廠商的工業以太網交換機為硬件平臺，在此基礎上開發安全隔離器的功能。此交換機為X86架構，Linux系統，具備四個千兆網卡，將一個網卡設為配置接口，用于上傳報警信息以及接收安全策略配置信息，選其中兩個網卡作為通信網絡接口，用于實現安全隔離器的功能。

2 系統實現

根據系統設計，安全隔離器主要實現網絡層防火墻功能、PROFINET協議解析、報警功能以及策略配置服務。安全隔離功能框圖如圖3所示。

圖3 安全隔離器功能框圖

2.1 網絡層防火墻

網絡層防火墻基于安全策略對IP封包進行解析過濾。首先解析MAC地址，根據目的MAC地址加載對應的安全策略；接著對IP報文頭進行解析，并校驗長度等信息，根據安全策略對MAC地址、IP地址以及協議類型進行檢驗；然后對UDP報文頭解析及校驗，根據安全策略對端口號進行校驗。對符合安全策略的報文進行轉發，對不符合安全策略的報文以及校驗失敗的異常報文進行隔離，并通過報警模塊上傳報警信息。

2.2 PROFINET協議解析

PROFINET協議解析是專門針對PROFINET協議報文的安全模塊。首先根據協議類型識別出PROFINET協議報文，然后深入解析識別不同類型的PROFINET報文。根據配置策略，首先對保護設備的關鍵槽的訪問控制權限進行控制，阻止未授權控制器等設備訪問與控制被保護設備；其次，針對PROFINET RT幀的I/O數據進行監測，對關鍵的I/O數據塊進行監控，在超出范圍時進行報警。PROFINET協議解析主要由以下三個模塊構成。①PROFINET報文識別:識別PROFINET報文，并深入解析識別具體類型PROFINET報文。②PROFINET 設備權限控制:采用白名單策略，對設備的槽的訪問控制與讀寫權限進行控制，只有被授權的設備，才可以進行相應操作。③PROFINET I/O數據監測:根據配置策略，對關鍵數據進行監測，當數據異常時進行報警。

2.3 報警功能

報警功能采用多線程的方式實現。創建UDP客戶端發送線程，采用共享變量的方式獲取報警信息，并將報警信息實時發送到指定報警服務器。建立UDP客戶端時需要指定網卡，即綁定到配置口網卡，所有的報警信息都通過配置網卡向配置管理平臺傳輸。

2.4 策略配置功能

策略配置功能采用多線程方式實現。建立UDP套接字并綁定到配置口網卡，創建UDP服務端接收線程；接收配置管理平臺下發的配置信息，保存到本地文件系統中；然后更新共享安全策略內存。系統防護策略流程圖如圖4所示。

圖4 系統防護策略流程圖

3 系統驗證

根據通信報文分析，需要解析識別的報文協議類型如表1所示。在此基礎上進行安全防護功能的實現。系統測試分為安全防護測試以及性能測試。安全防護測試主要測試系統的防護功能，如是否可以阻止非法設備的訪問及攻擊、當有非法訪問等行為時能否及時產生報警信息；性能測試主要測試安全隔離器設備在網絡中的通信性能，如不能影響正常網絡通信、超出網絡負載設定值時能及時報警。

表1 報文協議類型

安全防護測試首先進行仿真測試，主要通過模擬實際報文的方式測試系統的報文解析功能以及安全防護功能。測試報文分為正常報文以及畸形報文，測試通過之后進行實際網絡系統的測試。網絡防護測試與系統性能測試在ITEI PROFINET認證試驗室進行測試。測試設備主要由測試主機PROFINET Controller1516(輸入輸出控制器IOC)、Scalance X204IRT(IOD工業交換機)、PROFINET DEVICE ET200(IOD)以及互操作墻組成。依據測試標準組建標準網絡結構，其中使用兩端口被測設備(device under test,DUT)的端口與互操作墻連接，將安全隔離器布置在被測設備前。測試網絡結構如圖5所示。

圖5 測試網絡結構圖

網絡防護測試主要分為四部分。第一部分配置正常通信網絡，運行測試集，測試案例通過測試，間接驗證安全隔離器對正常網絡無影響。第二部分配置網絡層防護策略，例如將IOC或者測試主機配置為非法設備，測試案例運行失敗，同時安全隔離器進行報警，驗證安全隔離器的網絡層防護狀態。第三部分配置PROFINET防護策略，例如配置設備的子槽0x0000/0x8001為不可讀寫。當IOC發送讀寫子槽的PNIOCM時設備無響應信息，安全隔離器發送報警信息，配置設備的0x0001/0x0005的輸入范圍。當PNIO數據超出范圍時，安全隔離器發送報警信息，通過配置不同的權限驗證安全隔離器的PROFINET防護狀態。第四部分組合配置網絡防護層與PROFINET防護策略，驗證整體的防護狀態。通過查看控制器在線診斷，獲取網絡通信狀態。配置IOC為合法設備，設備間正常通信。配置IOC為DUT的非法設備，IOC不能訪問被保護設備DUT，其他設備正常通信。

在PROFINET網絡負載測試下進行性能測試，設置設備的最小發送間隔為32 ms，配置安全隔離器網絡負載閾值為100，在normal狀態下設備正常通信，在faulty狀態下安全隔離器產生負載報警。測試完成后，設備仍能與控制器正常通信。

通過以上的測試案例結果分析，安全隔離器對正常網絡無影響，允許正常報文通行。通過配置安全策略可實現對設備的安全防護及報警，阻斷非法報文以及畸形報文，對關鍵的數據進行了合理監控，達到了預期效果。

4 結束語

工業控制系統網絡與信息安全是未來發展的重點，所有針對控制網絡的攻擊只有到達設備層才能起到真正的破壞作用。本系統針對工業控制網絡PROFINET，實現了網絡層以及應用層防護。對PROFINET協議進行了深度解析，實現了關鍵數據的監控，阻止非法設備的訪問，可有效保護關鍵設備。后續還需進一步進行安全防護測試以及網絡系統的穩定性測試，對相關的工業控制系統網絡安全具有重要意義。

[1] 陶耀東,李寧,曾廣圣.工業控制系統安全綜述[J].計算機工程與應用,2016,52(13):8-18.

[2] 彭杰,劉力.工業控制系統信息安全性分析[J].自動化儀表,2012,33(12):36-39.

[3] 魏可承,李斌,易偉文,等.工業控制系統信息安全防護體系規劃研究[J].自動化儀表,2015,36(2):49-52.

[4] 楊建民，楊凡.基于Tofino防火墻技術實現工業網絡隔離[J].計算機與網絡,2013,39(5):70-73.

[5] 彭勇,江常青,謝豐，等.工業控制系統信息安全研究進展[J].清華大學學報(自然科學版),2012,52(10):1396-1408 .

[6] 成亞男，董晨，褚靈偉.基于軟件定義網絡的防火墻系統設計與實現[J].計算機應用與軟件,2015,32(1):286-288.

[7] 陳曦,張桂紅.PROFINET I/O系統實時報文的深入解析[J].中國儀器儀表,2015(1):34-36.

[8] 殷奕，汪蕓.防火墻規則間包含關系的解析方法[J].計算機應用,2015,35(11):3083-3086.

Design of PROFINET Security Isolator of Industrial Ethernet

HAN Dantao，ZHAO Yanling，YAN Xiaofeng
(Instrumentation Technology and Economy Institute,P.R. China,Beijing 100055,China)

With the in-depth development of intelligent manufacturing technology,the security problem industrial control network is becoming more and more prominent.Based on the technologies of industrial communication network diagnosis,isolation,and security protection,with the most widely used PROFINET industrial Ethernet as the research object,the dedicated industrial network security isolator is designed based on PROFIBUS.Security isolator is mostly acting inside the industrial network,and offers generic industrial network layer firewall function.PROFINET communication protocol is deeply analyzed,and message types and key data are diagnosed and recognized.Through configuring the safety strategy on the configuration management platform,and transmitting the safety strategy to security isolator,network status and the critical data of PROFINET can be monitored in real-time,while the abnormal and malformed messages can be blocked,and the illegal access from unauthorized devices can also be prevented.The alarm information generated from above situation is sent to the configuration management platform in real time for alarm display.Tested,the industrial network security isolator has no influence on the normal industrial control network,and the key devices can be effectively protected by configuration strategy,thus the security of industrial control network can be protected.

Industrial control network； PROFINET； Communication protocol； Network layer firewall； Security isolator

科技部轉制科研院所創新能力專項基金資助項目(2014EG119050)

韓丹濤(1985—)，男，碩士，工程師，主要從事傳感技術與工業信息系統等方向的研究。E-mail:handantao@tc124.com。

TH-705;TP39

A

10.16086/j.cnki.issn1000-0380.201707012

修改稿收到日期:2017-03-16