MODBUS TCP/IP协议防火墙的研究与实现

【摘要】：工业控制系统在电力、交通等关乎国计民生的领域发挥重要作用,但由于工业控制系统广泛使用通用协议和软硬件设备,因此它受到了互联网领域的安全威胁,如病毒、木马和黑客入侵。Modbus TCP/IP协议是工业控制系统中广泛使用的工业协议,但它无认证、无权限区分,且数据传输是明文这三个缺点严重影响着工业控制系统的安全性。因此研究如何在不更换协议和设备的条件下,提升使用Modbus TCP/IP协议的网络的安全性极具实际应用价值。 本文针对以上三点不足展开研究工作,设计了一个安全加固模型用来提升Modbus TCP/IP协议的安全性,并实现了以下主要功能模块：(1)内核模块。该模块完成了对数据包的直接获取,并使用IP地址和物理地址结合的方式来进行简单的连接认证。(2)过滤模块。该模块利用白名单的方式,对Modbus TCP/IP数据包文进行过滤。过滤针对的内容有功能码、线圈或寄存器地址、操作使用的数据。并对报文格式进行校验,排除不是Modbus TCP/IP协议的通信报文。(3)加解密模块。使用混合加密的方式进行Modbus数据的传输。使用AES加解密传输数据,使用RSA加解密AES的密钥。(4)配置模块。该模块完成对整个程序运行的配置和白名单的配置。(5)日志模块。该模块完成对过滤日志的记录。 实验结果表明整个系统具备设计的功能,和Tofino同类产品相比性能相当但增加了对数据的过滤提高了安全性。加解密模块和SSLVPN相比,减少了延迟时间和克服了中间人攻击的缺点。整个系统提高了Modbus TCP/IP的安全性,具有实用性。