| 标准编号 | GB/T 41868-2022 (GB/T41868-2022) | | 中文名称 | Modbus TCP安全协议规范 | | 英文名称 | Modbus TCP security protocol specification | | 行业 | 国家标准 (推荐) | | 中标分类 | N10 | | 国际标准分类 | 25.040 | | 字数估计 | 22,237 | | 发布日期 | 2022-10-14 | | 实施日期 | 2023-05-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 41868-2022
Modbus TCP security protocol specification
ICS 25.040
CCSN10
中华人民共和国国家标准
ModbusTCP安全协议规范
2022-10-12发布
2023-05-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 规范性陈述 2
6 概述 2
6.1 mbap概述 2
6.2 mbaps概述 3
6.3 传输层安全性概述 3
7 服务定义 7
8 协议规范 7
8.1 TLS协议 7
8.2 TLS握手 7
8.3 密码套件选择 11
8.4 mbaps基于角色的客户端授权 11
9 系统依赖性 13
10 TLS要求 13
10.1 TLS版本 13
10.2 TLSv1.2密码选择 13
10.3 TLS分片 14
10.4 TLS压缩 14
10.5 TLS会话重新协商 15
附录A(规范性) mbaps数据包结构 16
参考文献 18
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国机械工业联合会提出。
本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本文件起草单位:机械工业仪器仪表综合技术经济研究所、施耐德电气(中国)有限公司上海分公
司、重庆信安网络安全等级测评有限公司、国能智深控制技术有限公司、浙江中控技术股份有限公司、
中国科学院沈阳自动化研究所、东方电气集团科学技术研究院有限公司、北京卓识网安技术股份有限公
司、西南大学。
本文件主要起草人:冯夏维、王勇、周彦晖、王玉敏、尚羽佳、朱镜灵、陈俊瑀、章维、刘明哲、桑梓、
刘韧、刘枫、梅恪。
引 言
目前已经发布的 Modbus协议国家标准包括:
GB/T 19582.1-2008《基于 Modbus协议的工业自动化网络规范 第1部分:Modbus应用协议》;
GB/T 19582.2-2008《基于 Modbus协议的工业自动化网络规范 第2部分:Modbus协议在串行
链路上的实现指南》;
GB/T 19582.3-2008《基于 Modbus协议的工业自动化网络规范 第3部分:Modbus协议在
TCP/IP上的实现指南》;
GB/T 25919.1-2010《Modbus测试规范 第1部分:Modbus串行链路一致性测试规范》;
GB/T 25919.2-2010《Modbus测试规范 第2部分:Modbus串行链路互操作测试规范》。
Modbus协议最初于1979年用于工业控制器与计算机或其他上位机通信的串行协议。1996年,
Modbus协议进行了以太网的扩展,使用了IANA登记的502号端口,支持ModbusTCP基于以太网的
协议。同时,ModbusTCP保持了与 ModbusRTU串行协议的一致与兼容,这使得 Modbus串行设备
通过 ModbusTCP实现桥接通信变得十分容易。2002年,Modbus抽象出适用于串行和以太网的
Modbus应用层,开始使用 ModbusPDU的概念,发布了 Modbus应用层规范,针对串行和TCP不同的
ADU,也发布了串行和以太网的规范。同时,Modbus也加入了IEC 61784作为行规之一。
基于转化IEC 61784中的 Modbus协议规范,我国发布了GB/T 19582Modbus系列推荐性国家
标准。
也是由于国家标准的发布,这使得依照规范标准进行互操作性测试成为可能。后来制定发布了
GB/T 25919系列标准,这极大地改善了大量 Modbus应用的一致性和互操作性,有利于工业自动化系
统的开发和集成。
像所有的工业通信协议一样,Modbus最初没有设计信息安全功能。随着工业通信及应用对数据
保密和完整性、设备身份识别等要求的需求增加,本文件使用通用的TLS传输层加密技术,对 Modbus
协议进行了扩充,使加密的 Modbus通信能够增加抵抗比如重放和中间人等常见攻击的能力。
ModbusTCP安全保持了与 ModbusTCP一致的ADU,这样能够使 ModbusTCP通信能够容易
地迁移到 ModbusSecurity。ModbusTCP安全使用了IANA登记的802号端口用于安全通信。Mod-
bussecurity仅允许使用TLS1.2及以上版本。
ModbusTCP安全还采用了X.509v3的数字签名证书,在客户端和服务器进行TLS协商握手时使
用双向认证。同时,在证书中使用了OID扩展,设备厂家可以利用这个扩展指定客户端的角色和权限,
可以实现工业信息安全所需要的用户识别及基于角色的控制。随着 ModbusTCP安全标准的推出,为
现有大量使用 Modbus的设备,提供了一种简洁且直接的升级路径。
ModbusTCP安全协议规范
1 范围
本文件规定了 ModbusTCP安全协议的服务定义、协议说明、系统依赖性以及TLS要求等内容。
本文件适用于开发或检测 Modbus产品的相关机构。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的......
|