協(xié)議安全測(cè)試在工業(yè)DCS系統(tǒng)測(cè)評(píng)中的應(yīng)用

姬勝凱，劉仁輝，董 偉，許鳳凱

(華北計(jì)算機(jī)系統(tǒng)工程研究所 工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室，北京 100083)

協(xié)議安全測(cè)試在工業(yè)DCS系統(tǒng)測(cè)評(píng)中的應(yīng)用

姬勝凱，劉仁輝，董 偉，許鳳凱

(華北計(jì)算機(jī)系統(tǒng)工程研究所 工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室，北京 100083)

為了發(fā)現(xiàn)工業(yè)控制系統(tǒng)的信息安全問題，需要對(duì)工業(yè)DCS系統(tǒng)的私有通信協(xié)議進(jìn)行安全測(cè)試。面對(duì)自動(dòng)化工具無(wú)法準(zhǔn)確測(cè)試私有協(xié)議安全性的問題，提出了DCS系統(tǒng)私有通信協(xié)議的分析方法?；趨f(xié)議分析編寫測(cè)試用例對(duì)被測(cè)DCS系統(tǒng)進(jìn)行安全性測(cè)試，有效發(fā)現(xiàn)被測(cè)DCS系統(tǒng)協(xié)議的安全問題，為DCS系統(tǒng)的安全測(cè)試和防護(hù)提供了研究的基礎(chǔ)。研究表明，在工業(yè)DCS系統(tǒng)安全測(cè)評(píng)中，通過(guò)人工協(xié)議分析、協(xié)議測(cè)試能夠有效發(fā)現(xiàn)系統(tǒng)的安全問題。

工控系統(tǒng)；信息安全；DCS；協(xié)議分析；協(xié)議測(cè)試

0 引言

以2010年發(fā)生的席卷全球的“震網(wǎng)病毒”事件為爆發(fā)點(diǎn)，工業(yè)控制系統(tǒng)領(lǐng)域的安全威脅越來(lái)越多[1]。面對(duì)諸多威脅，在DCS系統(tǒng)的開發(fā)階段必須充分考慮系統(tǒng)的安全性。為了提高系統(tǒng)安全性，必須進(jìn)行專業(yè)的信息安全測(cè)試，以檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)與脆弱性[2]。對(duì)公開的工控DCS系統(tǒng)協(xié)議的脆弱性進(jìn)行測(cè)試，可以使用如加拿大Wurldtech的Achilles等自動(dòng)化測(cè)試工具[3]，但對(duì)私有協(xié)議的測(cè)試使用自動(dòng)化測(cè)試工具則準(zhǔn)確率較低，所以對(duì)私有的工控通信協(xié)議的測(cè)試必須基于通信協(xié)議的人工深度分析。目前工控私有協(xié)議安全測(cè)試才剛發(fā)展，技術(shù)和方法還未成熟，對(duì)私有工控通信協(xié)議人工深度分析的研究還在起步階段[4]。工控通信協(xié)議測(cè)試需要對(duì)協(xié)議的狀態(tài)空間中的每一個(gè)狀態(tài)和協(xié)議的每一個(gè)功能碼段進(jìn)行測(cè)試[5]，而協(xié)議的狀態(tài)路徑和功能碼段需要對(duì)協(xié)議進(jìn)行深度分析，本文提出了私有DCS通信協(xié)議狀態(tài)與功能碼段的分析方法，并基于分析結(jié)果對(duì)被測(cè)系統(tǒng)進(jìn)行了測(cè)試驗(yàn)證，為DCS系統(tǒng)的安全測(cè)試和防護(hù)提供了研究的基礎(chǔ)。

1 工業(yè)DCS系統(tǒng)通信協(xié)議

工業(yè)網(wǎng)絡(luò)使用一系列專用的總線協(xié)議來(lái)實(shí)現(xiàn)系統(tǒng)的功能，重點(diǎn)關(guān)注操作同步和實(shí)時(shí)性[6]。同時(shí)各種不同的協(xié)議擁有不同程度的內(nèi)在的安全性與可靠機(jī)制，為了保證系統(tǒng)的安全，測(cè)試時(shí)必須考慮這些系統(tǒng)本身的屬性。通常，由于工業(yè)網(wǎng)絡(luò)協(xié)議缺少足夠的授權(quán)和加密，一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)攻擊，比如中間人攻擊，就可以干擾協(xié)議正常運(yùn)作或篡改協(xié)議消息以竊取信息、進(jìn)行欺詐或引發(fā)控制進(jìn)程本身的故障。所以對(duì)工控系統(tǒng)通信協(xié)議在使用前，必須進(jìn)行專門的審核與測(cè)試[7]。

自動(dòng)化測(cè)試工具使用模糊測(cè)試的方法對(duì)私有協(xié)議進(jìn)行測(cè)試[8]，主要利用逆向提取的協(xié)議規(guī)范編寫測(cè)試腳本，但工控系統(tǒng)通信協(xié)議為有狀態(tài)的協(xié)議，需要依據(jù)協(xié)議的狀態(tài)機(jī)信息編寫測(cè)試用例，才能向被測(cè)系統(tǒng)發(fā)送可被協(xié)議所處狀態(tài)接受的測(cè)試報(bào)文序列。自動(dòng)化測(cè)試工具對(duì)主流的工控協(xié)議，比如Modbus/TCP、Profinet、DNP3等能夠進(jìn)行應(yīng)用層協(xié)議測(cè)試[9]，而對(duì)私有工控協(xié)議的灰盒測(cè)試，需要對(duì)系統(tǒng)通信協(xié)議進(jìn)行抓包分析，根據(jù)系統(tǒng)本身的狀態(tài)機(jī)信息，按照抓包、分析、檢測(cè)驗(yàn)證、再分析的過(guò)程進(jìn)行測(cè)試，其中的難點(diǎn)和重點(diǎn)是分析的過(guò)程。分析過(guò)程主要分析協(xié)議的狀態(tài)空間和協(xié)議的功能碼段。

工控DCS系統(tǒng)通信協(xié)議的測(cè)試不同于傳統(tǒng)網(wǎng)絡(luò)協(xié)議的測(cè)試，因?yàn)楣た叵到y(tǒng)的通信協(xié)議是一種有狀態(tài)的協(xié)議[10]，對(duì)有狀態(tài)的通信協(xié)議進(jìn)行測(cè)試必須基于協(xié)議自身相關(guān)的報(bào)文序列，測(cè)試需要對(duì)協(xié)議的每一個(gè)狀態(tài)和功能碼段進(jìn)行測(cè)試，編寫的測(cè)試腳本需要覆蓋所有的協(xié)議狀態(tài)路徑和功能碼段。例如，在未知系統(tǒng)通信協(xié)議認(rèn)證方式時(shí)，自動(dòng)化的協(xié)議測(cè)試工具無(wú)法對(duì)協(xié)議認(rèn)證的可靠性和安全性進(jìn)行測(cè)試[11]。

圖2 系統(tǒng)數(shù)據(jù)流

2 工業(yè)DCS系統(tǒng)通信協(xié)議分析

本文研究對(duì)象為國(guó)內(nèi)某企業(yè)自主開發(fā)的DCS系統(tǒng)，其中在操作員站與控制器之間的通信為私有協(xié)議。要進(jìn)行協(xié)議的安全測(cè)試，除了要分析協(xié)議的格式信息，還需要分析出協(xié)議報(bào)文的時(shí)序關(guān)系，即協(xié)議狀態(tài)機(jī)[12]，這里主要體現(xiàn)在系統(tǒng)的數(shù)據(jù)流分析過(guò)程中。根據(jù)以上要求，對(duì)該系統(tǒng)的通信協(xié)議進(jìn)行測(cè)試主要分為協(xié)議數(shù)據(jù)流分析、協(xié)議功能碼段分析、協(xié)議測(cè)試。

工控系統(tǒng)對(duì)數(shù)據(jù)的實(shí)時(shí)性要求特別嚴(yán)格，直接接入工控系統(tǒng)中的檢測(cè)設(shè)備勢(shì)必對(duì)數(shù)據(jù)傳輸實(shí)時(shí)性造成影響，工業(yè)控制系統(tǒng)的數(shù)據(jù)一般通過(guò)交換機(jī)鏡像端口抓取[13]。通過(guò)交換機(jī)鏡像端口獲取工控網(wǎng)絡(luò)流量，對(duì)數(shù)據(jù)進(jìn)行分析，數(shù)據(jù)的分析流程如圖1所示。

圖1 工控協(xié)議分析流程

協(xié)議分析包括協(xié)議數(shù)據(jù)包處理，分為通信協(xié)議數(shù)據(jù)流分析、協(xié)議數(shù)據(jù)包內(nèi)容分析和協(xié)議特征提取三個(gè)階段，重點(diǎn)是協(xié)議數(shù)據(jù)包內(nèi)容分析。在分析之前，還需要剔除原始數(shù)據(jù)中的冗余和干擾，如報(bào)文序列中可能出現(xiàn)的重傳、亂序、分片。通信協(xié)議數(shù)據(jù)流的分析，根據(jù)系統(tǒng)中所有設(shè)備的IP、端口、數(shù)據(jù) 包類型進(jìn)行區(qū)分，按照系統(tǒng)正常工作時(shí)的通信狀態(tài)，理清系統(tǒng)通信數(shù)據(jù)方向、交互方式。在分析出系統(tǒng)數(shù)據(jù)交互方式后，根據(jù)系統(tǒng)正常工作時(shí)的操作內(nèi)容，對(duì)協(xié)議數(shù)據(jù)包進(jìn)行分析，例如，對(duì)控制器進(jìn)行寫操作時(shí)的數(shù)據(jù)包進(jìn)行分析，以此分析寫操作數(shù)據(jù)包的結(jié)構(gòu)和語(yǔ)義。在協(xié)議分析的基礎(chǔ)上，提取系統(tǒng)通信協(xié)議特征，針對(duì)不同的協(xié)議特征需要編寫不同的測(cè)試腳本。

2.1 通信協(xié)議數(shù)據(jù)流分析

協(xié)議分析的第一步是通信協(xié)議數(shù)據(jù)流分析，基于協(xié)議的狀態(tài)機(jī)推斷技術(shù)，獲得協(xié)議實(shí)體處理狀態(tài)遷移的邏輯及行為語(yǔ)義[14]。實(shí)際分析過(guò)程中根據(jù)系統(tǒng)的通信數(shù)據(jù)抓包，依據(jù)系統(tǒng)的設(shè)備IP、端口、數(shù)據(jù)包類型，還原系統(tǒng)實(shí)際運(yùn)行時(shí)的IP、端口、服務(wù)等信息，然后應(yīng)用基于報(bào)文序列的協(xié)議狀態(tài)推斷方法推斷協(xié)議數(shù)據(jù)流。首先對(duì)協(xié)議進(jìn)行狀態(tài)標(biāo)注，把一個(gè)或多個(gè)連續(xù)的多個(gè)協(xié)議對(duì)話標(biāo)注為一個(gè)狀態(tài)；然后把這些狀態(tài)進(jìn)行分類；最后通過(guò)化簡(jiǎn)得出系統(tǒng)的協(xié)議數(shù)據(jù)流。系統(tǒng)數(shù)據(jù)流向詳細(xì)信息如圖2所示。

系統(tǒng)雙網(wǎng)段、雙控制器冗余實(shí)現(xiàn)系統(tǒng)的可靠性，下行數(shù)據(jù)主要包括組態(tài)下裝數(shù)據(jù)包、系統(tǒng)控制數(shù)據(jù)包等TCP數(shù)據(jù)包和UDP數(shù)據(jù)包；上行數(shù)據(jù)包分為UDP廣播數(shù)據(jù)包和EGD組播數(shù)據(jù)包，實(shí)現(xiàn)控制器實(shí)時(shí)數(shù)據(jù)的上傳。DCS系統(tǒng)和其他外部設(shè)備的通信通過(guò)MODBUS和OPC協(xié)議實(shí)現(xiàn)。

2.2 協(xié)議數(shù)據(jù)包內(nèi)容分析

協(xié)議測(cè)試用例的編寫既需要知道協(xié)議狀態(tài)空間的時(shí)序,同時(shí)也需要詳盡的數(shù)據(jù)包功能碼段的語(yǔ)義。數(shù)據(jù)包內(nèi)容的分析，需要把DCS系統(tǒng)本身的功能特點(diǎn)與協(xié)議逆向分析相結(jié)合，包括先驗(yàn)知識(shí)的應(yīng)用與人工糾正過(guò)程。通過(guò)先驗(yàn)知識(shí)分析協(xié)議的長(zhǎng)度字段、FD字段、序號(hào)字段等相對(duì)位置和長(zhǎng)度固定的字段，分析后根據(jù)相應(yīng)字段編寫測(cè)試腳本，驗(yàn)證先驗(yàn)知識(shí)的正確性，進(jìn)一步進(jìn)行人工糾正，糾正后再編寫測(cè)試腳本驗(yàn)證猜測(cè)的協(xié)議數(shù)據(jù)包內(nèi)容的正確性。

協(xié)議數(shù)據(jù)包功能碼段的逆向分析基于不同數(shù)據(jù)包的對(duì)比、數(shù)據(jù)包自身的碼段特征的對(duì)比。運(yùn)行DCS的組態(tài)配置、實(shí)時(shí)測(cè)量數(shù)據(jù)采集、控制指令輸出等操作過(guò)程，確認(rèn)DCS按照正常的流程安全運(yùn)行，實(shí)時(shí)抓取上述操作過(guò)程的系統(tǒng)數(shù)據(jù)包，分析對(duì)比進(jìn)行不同操作時(shí)數(shù)據(jù)包的異同點(diǎn)。對(duì)比的主要內(nèi)容包括：(1)對(duì)系統(tǒng)操作員站進(jìn)行多次操作，分析各次操作數(shù)據(jù)包中各功能碼段的區(qū)別，以此發(fā)現(xiàn)數(shù)據(jù)包中序列號(hào)、時(shí)間等字符段；(2)對(duì)系統(tǒng)操作員站進(jìn)行不同操作，比如讀/寫操作，分析不同操作時(shí)，數(shù)據(jù)包的長(zhǎng)度、字符段等區(qū)別。對(duì)于功能碼段序列位置一樣、數(shù)值相近的字符字段，進(jìn)行重點(diǎn)分析；(3)對(duì)系統(tǒng)數(shù)據(jù)包中的大量重復(fù)出現(xiàn)的字符段進(jìn)行分析，一般為系統(tǒng)傳輸?shù)臄?shù)據(jù)，主要有輸入數(shù)字量、輸出數(shù)字量、輸入模擬量、輸出模擬量等。對(duì)系統(tǒng)通信數(shù)據(jù)抓包，進(jìn)行協(xié)議深度分析，嘗試解析數(shù)據(jù)包的結(jié)構(gòu)、語(yǔ)義和字段。分析得知，系統(tǒng)通過(guò)不同功能碼下發(fā)不同的指令，例如0130、0230、0530等功能碼。每種功能碼下存在多個(gè)功能指令，如0130下有01、07、08、09、0f等指令，0530下有02、04等。圖3為數(shù)據(jù)包中的0530功能碼段下的02功能指令。

圖3 數(shù)據(jù)包功能碼段

協(xié)議逆向分析中發(fā)現(xiàn)該系統(tǒng)通信協(xié)議沒有進(jìn)行加密傳輸，只是在建立連接時(shí)通過(guò)認(rèn)證來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全，在協(xié)議測(cè)試中協(xié)議的認(rèn)證分析是協(xié)議逆向分析的一個(gè)難點(diǎn)。結(jié)合系統(tǒng)的狀態(tài)空間中的數(shù)據(jù)流信息，分析協(xié)議得出組態(tài)軟件與控制器之間存在賬戶和密碼的認(rèn)證，系統(tǒng)的認(rèn)證方式如圖4所示。

圖4 協(xié)議認(rèn)證交互方式

首先建立TCP握手連接，然后控制器返回一個(gè)時(shí)間戳信息，接著組態(tài)軟件對(duì)時(shí)間戳字段進(jìn)行加密，將加密后的密碼和賬戶發(fā)送給控制器進(jìn)行驗(yàn)證，驗(yàn)證成功時(shí)返回驗(yàn)證成功字段，驗(yàn)證錯(cuò)誤時(shí)返回驗(yàn)證錯(cuò)誤字段并主動(dòng)斷開連接。同時(shí)控制器通過(guò)UDP3300端口向外發(fā)出組播數(shù)據(jù)包說(shuō)明登錄驗(yàn)證情況。

協(xié)議認(rèn)證數(shù)據(jù)包中對(duì)時(shí)間戳進(jìn)行加密的方式就是系統(tǒng)協(xié)議的一個(gè)重要特征，按照這個(gè)特征編寫測(cè)試用例，自組認(rèn)證數(shù)據(jù)包，發(fā)送給控制器，控制器立即回復(fù)認(rèn)證失敗的數(shù)據(jù)包，測(cè)試結(jié)果表明系統(tǒng)協(xié)議的這種認(rèn)證方式安全性相對(duì)較高。用于編寫用例的協(xié)議特征不但在用例編寫的過(guò)程中有重要的作用，而且在系統(tǒng)安全防護(hù)時(shí)建立協(xié)議指紋庫(kù)、對(duì)系統(tǒng)協(xié)議進(jìn)行實(shí)時(shí)異常檢測(cè)時(shí)，也是非常重要的。

3 工業(yè)DCS系統(tǒng)通信協(xié)議測(cè)試

基于分析被測(cè)DCS系統(tǒng)通信協(xié)議的特征，分析出上行EGD數(shù)據(jù)包為控制器數(shù)據(jù)實(shí)時(shí)上傳，數(shù)據(jù)的功能碼段為數(shù)字信號(hào)量、模擬信號(hào)量以及對(duì)應(yīng)的上傳數(shù)據(jù)標(biāo)示符碼段，測(cè)試主機(jī)IP地址為192.168.101.124，編寫測(cè)試腳本，腳本發(fā)送數(shù)字量、模擬量、標(biāo)識(shí)符等功能碼段都是“0”的數(shù)據(jù)包，以高于控制器上傳的頻率發(fā)送給操作員站。

如圖5所示，數(shù)據(jù)包的內(nèi)容都是00，系統(tǒng)控制器實(shí)時(shí)數(shù)據(jù)上傳沒有認(rèn)證也沒有進(jìn)行加密，MMI的組態(tài)的實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)的數(shù)據(jù)類型被篡改為“有符號(hào)2字節(jié)短整數(shù)”，實(shí)時(shí)值為“0”，基本狀態(tài)值為“00000000”，被篡改后系統(tǒng)的實(shí)時(shí)數(shù)據(jù)趨勢(shì)如圖6所示。

圖5 被篡改的數(shù)據(jù)包

圖6 系統(tǒng)數(shù)據(jù)趨勢(shì)圖

由于控制器也在不停地上行發(fā)送數(shù)據(jù)，所以圖6(a)中的線條部分為控制器上傳的正常數(shù)據(jù)，而圖中的空白部分，由于數(shù)據(jù)的值被篡改為0，屬于無(wú)效值，在趨勢(shì)圖中不顯示。圖6(b)中發(fā)送篡改數(shù)據(jù)，系統(tǒng)數(shù)據(jù)趨勢(shì)圖立馬出現(xiàn)異常，并被篡改，停止數(shù)據(jù)發(fā)送，系統(tǒng)數(shù)據(jù)實(shí)時(shí)顯示趨勢(shì)圖恢復(fù)正常。

基于協(xié)議分析的測(cè)試還發(fā)現(xiàn)其他一些安全問題，比如主副控制器切換數(shù)據(jù)中的IP地址功能碼段被篡改后，組態(tài)失去對(duì)控制器的控制。操作員站失去了對(duì)控制器的控制能力，同時(shí)主控制器的IP地址被篡改為測(cè)試主機(jī)的IP地址(192.168.101.124)。

基于協(xié)議逆向分析的通信協(xié)議測(cè)試，還發(fā)現(xiàn)了其他一些安全問題，這些安全問題在不知道具體的協(xié)議狀態(tài)空間和協(xié)議數(shù)據(jù)包語(yǔ)義的情況下是不能被驗(yàn)證的。所以對(duì)工控系統(tǒng)通信協(xié)議進(jìn)行安全測(cè)試，必須要基于系統(tǒng)通信協(xié)議的人工深度分析。

4 總結(jié)和建議

針對(duì)工業(yè)DCS系統(tǒng)信息安全，對(duì)其進(jìn)行通信協(xié)議安全測(cè)試，必須根據(jù)工控DCS系統(tǒng)本身的通信協(xié)議的特點(diǎn)，對(duì)系統(tǒng)通信協(xié)議進(jìn)行逆向分析，對(duì)復(fù)雜的通信數(shù)據(jù)流進(jìn)行梳理，提取該工控DCS系統(tǒng)的通信協(xié)議的特征，基于通信協(xié)議的特征，有針對(duì)性地對(duì)系統(tǒng)進(jìn)行安全測(cè)試，全面、深入的測(cè)試能發(fā)現(xiàn)系統(tǒng)通信協(xié)議的風(fēng)險(xiǎn)與脆弱性?；跍y(cè)試結(jié)果，開發(fā)和維護(hù)人員才能更好地對(duì)系統(tǒng)進(jìn)行升級(jí)和防護(hù)，以提高工控系統(tǒng)的安全性。

[1] 謝耀濱，舒輝，常瑞，等.可編程邏輯控制器脆弱性分析關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2016，52(12)：101-107，152.

[2] 李華. DCS工業(yè)控制系統(tǒng)信息安全新趨勢(shì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016(8)：94-95.

[3] 李航，董偉，朱廣宇.基于Fuzzing測(cè)試的工業(yè)控制協(xié)議漏洞挖掘技術(shù)研究[J].電子技術(shù)應(yīng)用，2016，42(7):79-82.

[4] 謝豐，彭勇，趙偉，等.工業(yè)控制設(shè)備安全測(cè)試技術(shù)[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版)，2014,54(1)：29-34.

[5] 屈婉瑩，魏為民，朱蘇榕. 工業(yè)控制系統(tǒng)通信協(xié)議安全研究[C]. 全國(guó)智能電網(wǎng)用戶端能源管理學(xué)術(shù)年會(huì)，2015.

[6] 唐文.協(xié)議安全測(cè)試在工業(yè)信息安全領(lǐng)域的應(yīng)用[J].中國(guó)儀器儀表，2014,7(4)：14-16.

[7] KNAPP E D.工業(yè)網(wǎng)絡(luò)安全：智能電網(wǎng)，SCADA和其他工業(yè)控制系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全[M].周秦，郭冰逸，賀惠民，等，譯.北京：國(guó)防工業(yè)出版，2014.

[8] 王斌.工業(yè)控制系統(tǒng)信息安全的安全保障-Achilles認(rèn)證[J].自動(dòng)化博覽， 2014(1):50-52.

[9] 熊琦，彭勇，伊勝偉，等. 工控網(wǎng)絡(luò)協(xié)議Fuzzing測(cè)試技術(shù)研究綜述[J] 小型微型計(jì)算機(jī)系統(tǒng)，2015，36(3):497-502.

[10] 萬(wàn)明，趙劍明，喬全勝，等. 面向工業(yè)嵌入式設(shè)備的漏洞分析方法研究[J].自動(dòng)化儀表, 2015,36(10):63-67.

[11] 向登寧，馬增良.工業(yè)控制系統(tǒng)安全分析及解決方案[J].信息安全與技術(shù)，2013,4(11)：28-30.

[12] 吳禮發(fā)，王辰，洪征，等.協(xié)議狀態(tài)機(jī)推斷技術(shù)研究進(jìn)展[J].計(jì)算機(jī)應(yīng)用研究，2015,32(7)：1931-1936.

[13] 王灝然，肖玉珺，徐文淵，等. 基于旁路信息的PLC安全監(jiān)控系統(tǒng)[J]. 工業(yè)控制計(jì)算機(jī), 2016, 29(6):74-76.

[14] 吳禮發(fā)，洪征，潘瑤.網(wǎng)絡(luò)協(xié)議逆向分析及應(yīng)用[M].北京：國(guó)防工業(yè)出版社，2016.

劉仁輝(1968-)，男，碩士，高級(jí)工程師，碩士生導(dǎo)師，主要研究方向：工控與工控信息安全。

董偉(1986-)，男，碩士，工程師，主要研究方向：計(jì)算機(jī)、滲透測(cè)試、自動(dòng)控制、工業(yè)控制系統(tǒng)信息安全、工控信息安全檢測(cè)。

使用超聲波技術(shù)進(jìn)行流量計(jì)量

超聲波技術(shù)已在民用、醫(yī)療和軍事應(yīng)用中有上百年的歷史。幾乎每個(gè)人都經(jīng)歷過(guò)醫(yī)療超聲波技術(shù)(如B超)。目前，最新的超聲波應(yīng)用已發(fā)展到工業(yè)和汽車市場(chǎng)的自動(dòng)化中。

超聲波技術(shù)的非接觸性質(zhì)使其成為醫(yī)療、制藥、軍事和工廠用途的絕佳選擇。此外，其操作環(huán)境也大大超出人們所了解的范圍。

流量計(jì)量是以每小時(shí)升(l/h)或加侖/分鐘(g/m)為單位測(cè)量液體或氣體的流量。流量計(jì)可用于住宅和工業(yè)環(huán)境中，包括住宅和工業(yè)儀表中的簡(jiǎn)易功用表(氣表、水表、熱量計(jì))或危險(xiǎn)液體或氣體用混合器(石油、采礦、廢水處理、油漆、化學(xué)品)。在結(jié)構(gòu)上，流量計(jì)包括三個(gè)單元：傳感器單元、計(jì)量單元和通信單元。這些單元或功能塊中的每一個(gè)都可以是機(jī)械式或電子式。

在大部分流量計(jì)的設(shè)計(jì)中，其活動(dòng)部件都會(huì)使用機(jī)械感測(cè)。例如，使用電感電容器(LC)、巨磁電阻(GMR)、隧道式磁阻(TMR)或霍爾效應(yīng)傳感器捕獲螺旋槳或葉輪的運(yùn)動(dòng)，該運(yùn)動(dòng)根據(jù)流量而變化，并被轉(zhuǎn)換成數(shù)據(jù)并傳遞給測(cè)量單元。因?yàn)橛谢顒?dòng)部件，所以可能會(huì)出現(xiàn)磨損和不準(zhǔn)確的情況。

這些儀表的壽命普遍較短(不到7年)，并且不能檢測(cè)到低流量或小泄漏。同時(shí)，介質(zhì)污染、污垢積聚以及部件的結(jié)垢和老化也會(huì)影響測(cè)量精度，很可能導(dǎo)致傳感器結(jié)果不準(zhǔn)確，因此還需要定期對(duì)流量計(jì)進(jìn)行重新校準(zhǔn)。

超聲波傳感避免了上述幾個(gè)問題。該傳感技術(shù)非常精確(<±1%)，具有較長(zhǎng)使用壽命(>10年)，可以方便地檢測(cè)不同成分的液體或氣體，并調(diào)整介質(zhì)和管道腐蝕污染的影響。超聲波儀表沒有活動(dòng)部件，因此無(wú)需重新校準(zhǔn)。

用于流量測(cè)量的超聲波頻率范圍為100 kHz～4 MHz。使用一定頻率的電脈沖信號(hào)激發(fā)超聲波傳感器從而產(chǎn)生相應(yīng)頻率的超聲波，并使用同一聲波傳輸路徑從兩個(gè)對(duì)立的方向在不同時(shí)段發(fā)射聲波并測(cè)量聲波傳輸時(shí)間(記為上行傳輸時(shí)間和下行傳輸時(shí)間,TOF,Time of flight)。通過(guò)計(jì)算上下行傳輸時(shí)間的絕對(duì)時(shí)間差，進(jìn)而計(jì)算出實(shí)際流量。

TOF測(cè)量的精確度將直接影響流量計(jì)量的分辨率和精度。TOF通常以皮秒(ps)或納秒(ns)計(jì)量，它的主要參數(shù)包括零流量漂移(ZFD)、標(biāo)準(zhǔn)偏差(STD)、最小和最大可檢測(cè)流量、流量、流速、體積、絕對(duì)值(Abs)TOF和Delta(Δ)TOF。流量表行業(yè)標(biāo)準(zhǔn)；最常見的是國(guó)際標(biāo)準(zhǔn)化組織(ISO)4064、國(guó)際法制計(jì)量組織(OIML)R49和歐洲標(biāo)準(zhǔn)(EN)1434。TI的超聲波流量表方案能夠達(dá)到符合標(biāo)準(zhǔn)的高水平精度要求。

(TI公司供稿)

Application of protocol security testing in industrial DCS system evaluation

Ji Shengkai, Liu Renhui, Dong Wei, Xu Fengkai

(National Engineering Laboratory for Information Security Technology of Industrial Control System,National Computer System Engineering Research Institute of China, Beijing 100083, China)

In order to find out the information security problem of industrial control system, the private communication protocol of industrial DCS system is tested. Aiming at the problem that the automation tool can not accurately test protocol security problems, this paper puts forward and realizes the analysis method of DCS proprietary communication protocol. Based on the protocol analysis, the test cases are used to test the security of the DCS system, which can effectively detect the security problems of the DCS system, and provide the basis for the research of the DCS system. The results show that the security of the industrial DCS system can be effectively detected by manual protocol analysis and protocol testing.

industrial control system; information safety; DCS; protocol analysis; protocol testing

TP39

A

10.19358/j.issn.1674- 7720.2017.20.003

姬勝凱，劉仁輝，董偉，等.協(xié)議安全測(cè)試在工業(yè)DCS系統(tǒng)測(cè)評(píng)中的應(yīng)用[J].微型機(jī)與應(yīng)用，2017,36(19)：10-13,16.

2016-04-18)

姬勝凱(1990-)，通信作者，男，碩士研究生，主要研究方向：工控協(xié)議分析、滲透測(cè)試、工業(yè)控制系統(tǒng)信息安全、工控信息安全檢測(cè)。E-mail：18811569089@163.com。