Статья опубликована в рамках: LIV Международной научно-практической конференции «Технические науки - от теории к практике» (Россия, г. Новосибирск, 25 января 2016 г.)
Наука: Технические науки
Секция: Информатика, вычислительная техника и управление
Скачать книгу(-и): Сборник статей конференции
дипломов
Статья опубликована в рамках:
Выходные данные сборника:
БЕЗОПАСНОСТЬ ПРОМЫШЛЕННЫХ ПРОТОКОЛОВ. FIELDBUS
Кротова Елена Львовна
канд. физ.-мат. наук, доц. Пермского национального исследовательского политехнического университета,
РФ, г. Пермь
E-mail:
Андреев Роман Александрович
студент Пермского национального исследовательского политехнического университета,
РФ, г. Пермь
E-mail: abusedroman@gmail.com
Бадртдинов Артём Сергеевич
студент Пермского национального исследовательского политехнического университета,
РФ, г. Пермь
E-mail: asbadrtd@gmail.com
Феофилова Полина Андреевна
студент Пермского национального исследовательского политехнического университета,
РФ, г. Пермь
E-mail: feofilovap@gmail.com
THE INDUSTRIAL PROTOCOLS SECURITY. FIELDBUS
Elena Krotova
сandidate of physical and mathematical sciences, docent of Perm National Research Polytechnic University
Russia, Perm
Roman Andreev
student of Perm National Research Polytechnic University
Russia, Perm
Artem Badrtdinov
student of Perm National Research Polytechnic University
Russia, Perm
Polina Feofilova
student of Perm National Research Polytechnic University
Russia, Perm
АННОТАЦИЯ
В данной статье рассмотрены встроенные меры безопасности промышленных протоколов полевого уровня иерархии автоматизированной системы управления.
ABSTRACT
This paper rewiews the built-in security measures of Industrial control system hierarchy field level industrial protocols.
Ключевые слова: fieldbus, промышленность, безопасность.
Keywords: fieldbus, industry, security.
Для использования в промышленных сетях, в частности в сетях полевого уровня иерархии автоматизированной системы управления [1], доступно множетсво различных коммуникационных технологий [8]. Классические fieldbus системы были первыми.
Бытует мнение, что промышленные сети не имеют встроенных мер безопасности. Фактически, это не совсем верно. Существует несколько концепций в системах связи автоматизации зданий [9] и промышленных сетей [10]. Однако эти подходы ограничены в объеме и возможностях. Fieldbus системы для автоматизации производства и автоматизации процессов в настоящее время стандартизированны IEC в стандартах IEC 61784-1 [6] и серии IEC 61158 [5], которые представляют неоднородный набор решений.
Две известные конкурирующие системы на fieldbus уровне – LonWorks и KNX – выделили средства защиты [9]. LonWorks предлагает механизм аутентификации; KNX предлагает основанное на пароле управление доступом. Однако оба подхода не достаточны с точки зрения безопасности: криптографический алгоритм, используемый LonWorks, основывается на CHAP (Challenge Handshake Authentication Protocol) (определен в RFC 1994 [7]). Используемый криптографический алгоритм вычисляет 64-разрядное значение хэш-функции по сообщению и случайному числу, используя совместно используемый секретный ключ. Однако короткая длина ключа и несколько дефектов протокола делают этот механизм небезопасным [9].
Более совершенный алгоритм на основе MD5 доступен для LonWorks/IP. Однако, так как MD5 не устойчив к коллизиям, этот алгоритм также расценен как небезопасный.
KNX обеспечивает только основную схему управления доступом на основе паролей в виде открытого текста. Могут быть определены до 255 различных уровней доступа, каждый из них связан с различным набором полномочий. Для каждого уровня доступа может быть определен 4-байтовый пароль (ключ). Этот элементарный механизм управления доступом, однако, не обеспечивает сильную безопасность [3]. Третий участник этой битвы, BACnet, используется, главным образом, на уровне управления, т. е. выше других. Механизмы безопасности, реализованные в нем, являются самыми зрелыми и в основном ориентированы на текущее состояние дел в информационных технологиях, включая службу проверки подлинности, а также службы безопасности, которые гарантируют конфиденциальность данных и их целостность. Эти механизмы используют симметричный алгоритм DES (который в настоящее время не является безопасным, так как вычислительные способности позволяют взломать его за относительно короткое время) и доверенный центр сертификации, ответственный за генерацию и распределение секретных ключей. Более свежая архитектура безопасности, определенная в BACnet Addendum g, использует AES и HMAC (hash-based message authentication) (описан в RFC 2104 [4]) в сочетании с идентификатором сообщения и меткой времени. Таблица 1 отражает механизмы безопасности различных fieldbus систем.
Таблица 1.
Сервисы безопасности различных fieldbus систем
Система fieldbus |
Сервисы безопасности |
BACnet |
Основанное на DES шифрование, проверка целостности, аутентификация |
BACnet Addendum g |
AES для конфиденциальности данных, HMAC для целостности данных, метка времени + идентификатор сообщения для свежести данных |
ControlNet |
Аутентификация соединения, незашифрованный пароль |
Foundation Fieldbus |
Восемь групп доступа, 8-разрядный незашифрованный пароль |
Interbus |
Восемь групп доступа, 8-разрядный незашифрованный пароль |
KNX |
Незашифрованный пароль для управления доступом |
LonWorks |
CHAP, проверка целостности, MD5 для IP |
P-Net |
Простая защита от записи для переменных |
PROFIBUS |
Управление доступом для предопределенных субъектов |
Swift-Net |
― |
WorldFIP |
Восемь групп доступа, 8-разрядный незашифрованный пароль |
Стоит отметить, что системы автоматизации зданий (LonWorks, KNX, BACnet) заботятся о безопасности больше, что не удивительно. Во-первых, они были разработаны значительно позже, чем большинство сетей автоматизации производства. Второй и более важный факт – такие системы намного более сложны, потому что заводские сети обычно включают в себя хорошо идентифицируемые подсистемы.
Использование сетей связи позволило уменьшить сумму кабельных соединений, по сравнению с, например, прямым соединением датчиков и контроллеров в токовую петлю. Уменьшение кабельных соединений приводят к уменьшенным затратам и обычно также более управляемой установке. Коммуникация также лучше использует возможности современной электроники. Однако доступные интерфейсы цифровой связи и в системах, и в устройствах порождают угрозы безопасности.
Список литературы:
- Борисов А.М. Основы построения промышленных сетей автоматики / А.М. Борисов. – Челябинск: Издательский центр ЮУрГУ, 2012. – 108 с.
- Felser M., T. Sauter, Standardization of industrial Ethernet, IEEE International Workshop on Factory Communication Systems (WFCS), Vienna, Austria, 2004.
- Granzer W., W. Kastner, G. Neugschwandtner, F. Praus, Security in networked building automation systems, 6th IEEE International Workshop on Factory Communication Systems (WFCS), Torino, Italy, 2006, P. 283–292.
- HMAC: Keyed-Hashing for Message Authentication. IETF Network Working Group, 1997. URL: https://www.ietf.org/rfc/rfc2104.txt.
- International Electrotechnical Commission, Digital data communications for measurement and control–Fieldbus for use in industrial control systems, IEC Standard IEC 61158, 2003.
- International Electrotechnical Commission, Digital data communications for measurement and control–Part 1: Profile sets for continuous and discrete manufacturing relative to fieldbus use in industrial control systems, IEC Standard IEC 61784-1, 2003.
- PPP Challenge Handshake Authentication Protocol (CHAP). IETF Network Working Group, 1996. URL: https://www.ietf.org/rfc/rfc1994.txt.
- Sauter T., The three generations of field-level networks—Evolution and compatibility issues, IEEE Transactions on Industrial Electronics, 57(11), 2010.
- Schwaiger C., A. Treytl, Smart card based security for fieldbus systems, IEEE International Conference on Emerging Technologies and Factory Automation (ETFA), Lisbon, Portugal, 2003, P. 398–406.
- Treytl A., T. Sauter, C. Schwaiger, Security measures for industrial fieldbus systems–State of the art and solutions for IP-based approaches, IEEE International Workshop on Factory Communication Systems (WFCS), Vienna, Austria, 2004.
дипломов