图 4 窃听攻击的流程
3 安全应对策略
由于在设计DNP3.0总线协议时,主要考虑协议的功能和传输效率,而没有过多地考虑协议的安全性,致使DNP3.0总线协议的安全性很低,无法鉴别系统中某个设备的合法性,也无法防止报文被入侵者窃听。为了提高SCADA系统中DNP3.0总线协议的安全性,需要在标准DNP3.0协议的基础上增加安全措施。
3.1 校验传输报文
为了防止中间人攻击,可以在DNP3.0总线协议中增加校验报文,校验报文中含有校验字节,将其附加在某条正常通信报文的后面,发送到报文的接收方。因为DNP3.0协议中主站或外站都可以主动发出报文,所以主站或外站均可发起校验报文。接收方收到校验报文后,读取其中的校验字节,然后根据事先预置的校验算法计算校验值,并在响应报文中将校验值回送到校验报文的发出方。因为校验算法是事先预置的,所以入侵者无法知道根据校验字节计算正确的校验值,校验报文的发出方可以根据校验值判断接收方的合法性。校验字节是一次性的,每次发送后发出方会产生新的校验字节。
为提高通信效率,发出方无需在每条请求中都增加校验字节,仅在满足以下条件时应当发出校验报文。
1. 需要校验报文接收方的合法性;
2. 达到随机时间;
3. 在发出控制命令、读取关键数据时;
4. 某次通信时接收方收到异常报文,则在下一次通信时应当发送校验报文。
3.2 预置白名单列表
为防止中间人攻击和拒绝服务攻击,可以在SCADA系统的每个设备中预置白名单列表[ ],即设备只能与白名单上所列举的设备进行通信。
为了防止入侵者将合法设备停止,并把自己的地址替换为合法地址,为每一个合法设备预置一个唯一的标志码,该标识码在系统内部是公开的[ ]。每个设备的存储空间中都预置一个白名单,其中包含两列,第一列包括所有预置设备的地址,第二列为对应设备的标识码。在发出请求报文时,根据自己的标识码和报文内容计算得到一个标识值,并将标识值附加在报文上。接收方收到报文后,根据报文发送方的地址查询白名单,得到发出方的标识码,再根据同样的算法计算标识值,如果报文中的标识值和自己计算得到的标识值一致,则认为报文是系统内合法设备发出的。
