ICS25.040 CCS N10 中华人民共和国国家标准 GB/T41868—2022 ModbusTCP安全协议规范 Modbus TCP security protocol specification 2023-05-01实施 2022-10-12发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T41868—2022 目 次 前言 引言 范围 规范性引用文件 2 3 术语和定义 4 缩略语 5 规范性陈述 6 概述 6.1 mbap概述. 6.2 mbaps概述 6.3 传输层安全性概述 服务定义 7 协议规范 8 8.1 TLS协议 8.2 TLS握手 8.3 密码套件选择 8.4 mbaps基于角色的客户端授权· 系统依赖性 9 13 TLS 要求 10 10.1 TLS版本 13 10.2 TLSv1.2密码选择 13 10.3 TLS分片 14 10.4 TLS压缩 14 10.5 TLS会话重新协商 15 附录A（规范性）mbaps数据包结构 16 参考文献 18 GB/T41868—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由中国机械工业联合会提出。 本文件由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124）归口。 本文件起草单位：机械工业仪器仪表综合技术经济研究所、施耐德电气（中国）有限公司上海分公 司、重庆信安网络安全等级测评有限公司、国能智深控制技术有限公司、浙江中控技术股份有限公司、 中国科学院沈阳自动化研究所、东方电气集团科学技术研究院有限公司、北京卓识网安技术股份有限公 司、西南大学。 本文件主要起草人：冯夏维、王勇、周彦晖、王玉敏、尚羽佳、朱镜灵、陈俊璃、章维、刘明哲、桑梓、 刘韧、刘枫、梅恪 1 GB/T41868—2022 引言 目前已经发布的Modbus协议国家标准包括： GB/T19582.1一2008《基于Modbus协议的工业自动化网络规范第1部分：Modbus应用协议》； GB/T19582.2一2008《基于Modbus协议的工业自动化网络规范第2部分：Modbus协议在串行 链路上的实现指南》； GB/T19582.3一2008《基于Modbus协议的工业自动化网络规范 第3部分：Modbus协议在 TCP/IP上的实现指南》； GB/T25919.1一2010《Modbus测试规范第1部分：Modbus串行链路一致性测试规范》； GB/T25919.2一2010《Modbus测试规范第2部分：Modbus串行链路互操作测试规范》。 Modbus协议最初于1979年用于工业控制器与计算机或其他上位机通信的串行协议。1996年， Modbus协议进行了以太网的扩展，使用了IANA登记的5o2号端口，支持ModbusTCP基于以太网的 协议。同时，ModbusTCP保持了与ModbusRTU串行协议的一致与兼容，这使得Modbus串行设备 通过ModbusTCP实现桥接通信变得十分容易。2002年，Modbus抽象出适用于串行和以太网的 Modbus应用层，开始使用ModbusPDU的概念，发布了Modbus应用层规范，针对串行和TCP不同的 ADU，也发布了串行和以太网的规范。同时，Modbus也加入了IEC61784作为行规之一。 基于转化IEC61784中的Modbus协议规范，我国发布了GB/T19582Modbus系列推荐性国家 标准。 也是由于国家标准的发布，这使得依照规范标准进行互操作性测试成为可能。后来制定发布了 GB/T25919系列标准，这极大地改善了大量Modbus应用的一致性和互操作性，有利于工业自动化系 统的开发和集成。 像所有的工业通信协议一样，Modbus最初没有设计信息安全功能。随着工业通信及应用对数据 协议进行了扩充，使加密的Modbus通信能够增加抵抗比如重放和中间人等常见攻击的能力。 ModbusTCP安全保持了与ModbusTCP一致的ADU，这样能够使ModbusTCP通信能够容易 地迁移到ModbusSecurity。ModbusTCP安全使用了IANA登记的802号端口用于安全通信。Mod- bussecurity仅允许使用TLS1.2及以上版本。 用双向认证。同时，在证书中使用了OID扩展，设备厂家可以利用这个扩展指定客户端的角色和权限， 可以实现工业信息安全所需要的用户识别及基于角色的控制。随着ModbusTCP安全标准的推出，为 现有大量使用Modbus的设备，提供了一种简洁且直接的升级路径。 II GB/T41868—2022 ModbusTCP安全协议规范 1范围 本文件规定了ModbusTCP安全协议的服务定义、协议说明、系统依赖性以及TLS要求等内容。 本文件适用于开发或检测Modbus产品的相关机构。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 RFC4492用于传输层安全（TLS）的椭圆曲线密码（ECC)加密套件[EllipticCurveCryptography (ECC)CipherSuites for Transport Layer Security(TLS)J RFC5246传输层安全协议规范，第1.2版[TheTransportLayerSecurity（TLS）Protocol，V1.2 Public Key Infrastructure Certificate and Certificate Revocation List (CRL)profile] RFC6066传输层安全（TLS）扩展：扩展定义（TLSextensions·Extensiondefinitions） 3术语和定义 本文件没有需要界定的术语和定义。 4缩略语 下列缩略语适用于本文件。 ADU：应用数据单元（ApplicationDataUnit） AuthZ：授权（Authorization） BER：基本编码规则（BasicEncodingRules） CA：证书颁发机构（CertificateAuthority） CDP：CRL分发点（CRLDistributionPoint） CRL：证书吊销列表（CertificateRevocationList） HMAC：密钥哈希消息认证码（Keyed-hashMessageAuthenticationCode） IANA：互联网号码分配机构（InternetAssignedNumbersAuthority） ICS：工业控制系统（IndustrialControlSystem） IEC：国际电工委员会（InternationalElectrotechnicalCommission） MAC：消息认证码（MessageAuthenticationCode) mbap：Modbus应用协议（ModbusApplicationProtocol) mbaps：Modbus安全应用协议（ModbusSecurityApplicationProtocol) OID：国际电信联盟标准化的物联网域名（ObjectIdentifierstandardizedbytheInternationalTele 1 GB/T41868—2022 communicationsUnion) PDU：协议数据单元（ProtocolDataUnit） PKI：公钥基础设施（PublicKeyInfrastructure） PRF：伪随机函数族（PseudorandomFunctionFamily） RA：登记机关（RegistrationAuthority） SSL：安全套接字层（SecureSocketLayer） TCP：传输控制协议(TransportControlProtocol) TLS：传输层安全协议（TransportLayerSecurity） 5规范性陈述 本文件中的规范性陈述明确规定如下： R-n.m：这里是规范性声明文本。 其中“n.m”被需求声明语句标记号替换，该标记号可以是分层次的编号数字，例如R-1.2.3或简单 整数，例如R-1。 每个语句只包含一个需求级别关键字（例如，“应”）和一个一致性目标关键字（例如，“消息”）。 示例：“应使用BER对消息进行编码” 6概述 6.1mbap概述 ModbusTCP协议广泛应用于工业控制系统（ICS）。ModbusTCP规范定义了应用数据单元 （ADU）。此ADU定义见图1。 4 Modbus TCP/IPADU 数 mbap报头 功能码 PDU 图1ModbusTCPADU 传统的Modbus协议数据单元（PDU）和ModbusTCP应用数据单元（ADU）间的区别是在顿的前 面添加了mbap报头（mbapheader）。 1996年，ModbusTCP协议在IANA（互联网号码分配机构）注册并分配给了系统端口号502。在 IANA的注册过程中，由于ModbusTCPADU中的mbap报头，ModbusTCP协议被称为mbap协议。 mbap协议这个名称持续使用，并且仍然以mbap/TCP的名称用于IANA注册的502端口。 本文件所述的ModbusTCP安全协议是使用传输层安全性（TLS）的ModbusTCP协议的一个以 安全