使用DNP3打开并保护SCADA

DNP3协议已被世界范围内的水和电力公司广泛接受,用于与现场设备进行SCADA通信。它被接受的原因之一是因为它是一个开放协议。这使得制造商可以向公用事业公司提供可以轻松集成到SCADA系统中的设备。

通过Paul Gibson, MultiTrode 二八年六月一日

DNP3协议已被世界范围内的水和电力公司广泛接受,用于与现场设备进行SCADA通信。它被接受的原因之一是因为它是一个开放协议。这使得制造商可以向公用事业公司提供可以轻松集成到SCADA系统中的设备。但是,尽管恐怖袭击的威胁增加了,对DNP3的需求也增加了。但DNP3在设计时从未考虑过安全问题。

由于它是一个开放的设计,任何熟悉该协议的人都可以对SCADA系统发起攻击。当该协议在无线网络上使用时尤其如此,其中数据包可以被扫描仪截获。那么,如何保持SCADA网络的开放,同时免受网络攻击?DNP3社区已经认识到安全SCADA通信的必要性,并为该协议开发了安全模型。其目标是提供:

  • 身份验证和消息完整性;

  • 低开销;

  • 在应用层支持DNP3内置的远程密钥管理;而且

  • 兼容所有dnp3支持的通信链路。

安全DNP3协议规范目前正在定稿中,预计将于2008年提交DNP3用户组进行审查,预计随后不久将获得批准并发布。

一种常见的看法是,私有协议本质上是安全的,因为它们的设计不是开放的。不幸的是,这假设协议不容易被逆向工程。因为私有协议中可能存在的安全措施不能独立地验证其健壮性,所以假设私有协议安全到所需的级别是一种信念的飞跃。

DNP3安全性在协议内部实现,并采用了经过验证的行业标准认证方法,可以独立地进行调查和验证。

解决的具体风险

Secure DNP3旨在消除消息被伪造或被第三方拦截和重复的风险。如果执行正确,这两种情况都可能导致设备严重损坏和服务中断。

根据规范草案(DNP3规范,卷2,补充1,安全认证。版本1.00,2007年2月3日),该协议解决的安全威胁包括:欺骗、修改、重放、窃听(仅对加密密钥交换,而不是对其他数据)和不可抵赖性(识别系统的个人用户)。

安全DNP3通过提供身份验证和消息完整性来抵御这些威胁。它不加密消息,但是使用密钥加密来保证会话密钥的安全。

Secure DNP3使用“质询-响应”方法验证消息来自有效源。该实现基于经过验证的挑战握手认证协议(RFC 1994)。链接的任何一方都可以发起身份验证挑战。这可以是在初始化时,周期性地,或当接收到关键函数时。

然后发送一个身份验证响应。身份验证挑战包含一些伪随机数据、序列号和所需的算法。响应包含由挑战数据和键生成的散列值。序列号也会返回。如果身份验证响应有效,则挑战者将使用标准协议响应响应原始DNP3消息。

Secure DNP3使用“质询响应”方法验证消息来自有效源。

侵略性模式法

挑战-响应方法增加了所需的通信带宽。如果带宽有限,则可以使用更简单的身份验证方法。“主动模式”通过消除正常的询问和响应消息来减少所需的带宽。身份验证数据也可以包含在DNP消息的末尾。这种模式的安全性稍差。

在密钥管理方面,secure DNP3使用至少128位AES加密来保证密钥的安全。密钥有两种类型:临时会话密钥和更新密钥。会话密钥在启动时初始化,然后定期更改,大约每10分钟更改一次。更新密钥用于加密会话密钥。这些数据在链路的任何一端都是预先共享的,因此永远不需要传输。

在DNP3协议中增加安全措施对于在无线电等容易截获的媒介上运行的SCADA通信网络非常重要。通过在协议本身的应用层内实现安全身份验证,可以有效地处理消息拦截和重复等威胁。虽然最终的标准预计要到今年晚些时候才会出台,但安全的DNP3的实现已经开始可用。使用它可以让组织从一个开放的、公认的协议中受益。

在线额外

终端块:资源、应用建议、产品

学习资源,应用建议和终端块产品信息如下。

视频和更多细节来自凤凰接触

Phoenix Contacts提供:

视频Clipline互联技术。

www.phoenixcontact.com/terminal-blocks/26840.htm

更多关于Clipline端子座。

www.phoenixcontact.com/terminal-blocks/31584_29125.htm

更多关于SPTA的信息,它是一种紧凑,低调,倾斜的端子座,提供高达10a的节省空间的连接。

www.phoenixcontact.com/service/33677_36875.htm

罗克韦尔自动化公司的视频展示了节省时间的连接技术。

www.globalelove.com/BCVideo.html ? bcpid = 1078986906 &bclid = 1078986906 &bctid = 1427294974

Wago提供:

在线学习瓦戈笼夹弹簧压力连接技术。https://admin.acrobat.com/p35541967/

电力笼夹(PPC)系统概述,变体,和更多信息。

www.wago.us /产品/ 11660. htm

作者信息
保罗·吉布森是泵站管理产品制造商MultiTrode的研发经理。MultiTrode已经认识到安全通信在水和废水行业的重要性,并开始了一个开发项目,将新的DNP3安全措施引入到其MultiSmart泵站管理器产品中。这个新功能将在下一个产品版本中提供。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

工程师新产品
搜索产品,发现你所在行业的创新