S7协议安全加固之加密方案
发布时间:
2019-07-25
来源:
作者:
访问量:
86
针对S7协议和设备的脆弱性,可以从S7协议漏洞管理与挖掘、PLC自身的固件更新、上位机主机安全防护、S7协议加密等方面对S7协议进行安全加固。本文重点讨论S7协议加密方案。S7协议的加密可以借助其他安全设备或安全协议实现协议传输安全,主要加密方式包括链路加密、节点加密以及端到端加密。
链路加密方式是指数据在数据链路层上进行加密,只对中间的传输链路进行加密,不考虑信源和信宿。链路加密过程中,所有消息从源节点流出后,被传输之前需要由加密设备(加密机或者集成在网卡上的安全模块)使用下一个链路的密钥对数据进行加密,在下一个中间节点接收消息前再由加密设备用本链路的密钥进行解密;然后在流出该中间节点进行下一链路传输前再由加密设备使用下一个链路的密钥对消息进行加密;然后再进行传输,直到消息到达目的节点,该方式的主要缺点是密钥管理成文高。
节点加密与链路加密有相同的地方,也有一些不同。相同的是它与链路加密一样,是基于数据链路层的加密,两者均在通信链路上为传输的消息提供安全性,而且都需要在中间节点上先对消息进行解密,然后进行加密(因为不同链路上的加密密钥不一样,所以要先解密,然后再加密);不同的是,节点加密的加密功能是由节点自身的安全模块完成的(通常是集成在网卡中,而链路加密需要由专门的加密设备或者集成在网卡中的安全模块来完成加密功能),而且消息在节点中处于加密状态,而链路加密中间节点中的消息是以明文形式存在的。
链路加密和节点加密架构如下图所示
端到端加密是数据通信中的一端到另一端的全程加密方式,而且加密、解密过程只进行一次。在端到端加密方式中,数据在发送端被加密,只在接收端解密,中间节点处不以明文的形式出现。但端到端加密是在应用层完成的。在端到端加密中,除报头外的报文均以密文的形式贯穿于全部传输过程,只是在发送端和接收端才有加、解密设备,而在中间任何节点报文均不解密,因此中间节点不需要有密码设备。与链路加密相比,由于只对通信的源端和目的端进行加、解密操作,所以中间节点无需配备加、解密设备,可以减少整个加密过程和密码设备的数量,大大降低了加密成本。
另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息;由于网络传输中要涉及到路由选择,在端到端加密时,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此只能加密报文而不能对报头加密。这与节点加密是机同的,同样会被某些通信分析发觉而从中获取某些敏感信息。端到端加密方式是目前应用最广的一种方式,其中TLS/SSL 、IPSec等加密技术都属于端到端加密方式。采用上述端到端加密方式,可以实现s7报文的加密、验证s7数据完整性以及确认s7通讯双方身份合法性,可以有效防止信息被窃听、数据被篡改以及身份被冒充。
基于TLS/SSL加密实现
SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL/TLS流程如下图所示:
基于IPsec加密实现
IPsec主要由以下协议组成:一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
IPsec流程如下图所示:
通过加密方式实现S7协议进行安全改进,虽然安全性得到了加强,但也存在自身的不足,包括成本问题、运维工作量问题、故障点增多问题,但最为严重的是实时性问题,由于工业控制系统的实时性要求较高,因此应用加密技术时,需要充分考虑加解密对于通信实时性造成的影响。
上一条:
下一条:
相关资讯
