李嘉偉 劉京娟

摘? ?要：隨著工業(yè)4.0智能化時代的到來，工業(yè)軟件被提升到了前所未有的高度。目前，工業(yè)軟件已經(jīng)滲透于工業(yè)企業(yè)產(chǎn)業(yè)鏈的各個環(huán)節(jié)，其在促進制造業(yè)提質(zhì)增效的同時，也帶來了巨大的安全隱患。當前，針對工業(yè)軟件安全性的研究多注重于“功能安全”，而隱通道作為工業(yè)軟件“通信安全”的首要威脅，并未引起產(chǎn)業(yè)界的足夠重視。文章簡要概述了隱通道的定義、分類、成因以及典型案例，并基于法國施耐德電氣的Quantum PLC設(shè)備搭建隱通道實驗環(huán)境，詳細分析了工業(yè)軟件領(lǐng)域隱通道的構(gòu)建過程以及數(shù)據(jù)隱蔽傳輸過程，并通過實驗數(shù)據(jù)印證了隱通道可繞過系統(tǒng)訪問控制策略進行敏感信息隱蔽傳輸?shù)奶匦浴?/p>

關(guān)鍵詞：隱通道;隱蔽傳輸;工業(yè)軟件;Modbus協(xié)議

中圖分類號： TN918.91? ? ? ? ? 文獻標識碼：A

1 引言

進入21世紀，互聯(lián)網(wǎng)、云計算、人工智能等技術(shù)以極快的速度形成了巨大的產(chǎn)業(yè)能力，有力地推動了傳統(tǒng)制造業(yè)的轉(zhuǎn)型升級，以智能化、網(wǎng)絡(luò)化、數(shù)字化為核心的新一輪工業(yè)革命即“工業(yè)4.0”已徐徐拉開帷幕[1]。工業(yè)軟件作為工業(yè)4.0的核心，已經(jīng)廣泛應(yīng)用于幾乎所有工業(yè)領(lǐng)域的研發(fā)設(shè)計、生產(chǎn)控制、組裝測試、售后運維、遠程服務(wù)等環(huán)節(jié)，可謂“工業(yè)之魂”[2]，但在其促進制造業(yè)轉(zhuǎn)型升級的同時，也帶來了巨大的安全隱患。由于工業(yè)軟件自身會產(chǎn)生大量的工業(yè)數(shù)據(jù)和商業(yè)信息，一旦丟失或被濫用將使企業(yè)蒙受嚴重經(jīng)濟損失，甚至危及國家工業(yè)產(chǎn)業(yè)的安全，因此絕大多數(shù)工業(yè)軟件屬于高安全等級軟件[3]。

目前，“功能安全”是國內(nèi)外大多數(shù)工業(yè)軟件廠商、工業(yè)軟件用戶以及安全企業(yè)所重點關(guān)注的方向，而“通信安全”，即工業(yè)軟件與操作系統(tǒng)或其他工業(yè)軟件進行信息交換時是否安全可靠，并未引起足夠重視，隱通道便是工業(yè)軟件“通信安全”的首要威脅[4]。

工業(yè)軟件要想發(fā)揮其“工業(yè)大腦”的作用，離不開支撐其運行的底層操作系統(tǒng)以及輔助其進行信息傳輸?shù)木W(wǎng)絡(luò)和協(xié)議[5]，而操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫都可能存在隱通道。內(nèi)網(wǎng)惡意用戶通常會嘗試利用工業(yè)軟件自身或其所處操作系統(tǒng)、網(wǎng)絡(luò)存在的漏洞，通過在系統(tǒng)外部開辟隱蔽通信通道的方式，繞過訪問控制策略，直接將工業(yè)軟件產(chǎn)生的工業(yè)數(shù)據(jù)或商業(yè)信息發(fā)送于外網(wǎng)攻擊者，達到敏感信息隱蔽傳輸?shù)哪康?。由于隱通道使用的是非正常的通信手段，這導致一般的安全機制無法對其進行有效的檢測和預(yù)防，因此其雖不是最普遍的威脅源，但卻對高安全等級的系統(tǒng)、網(wǎng)絡(luò)、軟件構(gòu)成了巨大的安全威脅[6]。

本文對隱通道的定義、分類、成因以及典型案例進行了簡要概述，針對施耐德Quantum PLC設(shè)備構(gòu)建隱通道實際應(yīng)用場景，對該隱通道的構(gòu)造過程以及數(shù)據(jù)傳輸過程進行了詳細分析。

2 隱通道概述

2.1 隱通道定義

隱通道的概念最初由Butler W.Lampson在1973年提出。他指出：隱通道是利用一些本來不是用于通信的系統(tǒng)資源或服務(wù)進行信息傳輸?shù)耐ǖ繹7]。美國可信計算機系統(tǒng)評價準則（TCSEC）對隱通道的描述為：隱通道是一個通信通道，隱通道可使一個主體（進程）能以違背訪問控制策略的方式來傳遞數(shù)據(jù)[8]。

雖然上述定義已經(jīng)能夠說明隱通道的含義，但目前認可度最高的隱通道定義為：給定一個非自主安全策略模型和它在一個操作系統(tǒng)中的實現(xiàn)，中的兩個主體和之間的通信是隱蔽的，當且僅當模型中相應(yīng)的兩個主體和之間的通信是非法的[9]。

2.2 隱通道分類

根據(jù)隱通道的依賴對象，可將隱通道劃分為時間隱通道和存儲隱通道。當攻擊者通過隱通道傳遞數(shù)據(jù)時，如果其所依賴的對象為系統(tǒng)資源屬性的改變，這類隱通道稱為存儲隱通道;如果其所依賴的對象為系統(tǒng)時間的改變，這類隱通道稱為時間隱通道。因此，存儲隱通道經(jīng)常涉及到系統(tǒng)資源的釋放與回收等信息，而時間隱通道經(jīng)常涉及到系統(tǒng)時間的改變或時間的度量[10]。

2.3 隱通道成因

假設(shè)存在某一高安全等級軟件或系統(tǒng)，針對的安全策略為。在的開發(fā)過程中，實現(xiàn)其安全策略的程序與算法稱為安全模型，是的形式化描述，是計算機能夠理解并執(zhí)行的程序[11]。隱通道可在安全模型的監(jiān)控下，以違反安全策略的方式進行信息傳輸，因此假如中存在隱通道，則中必然存在滿足安全模型但卻違反安全策略的信息流動方式。

使用函數(shù)代表模型所能覆蓋的安全空間，則代表安全策略所確定的安全空間，代表安全模型所確定的安全空間。多數(shù)情況下，，只有理想化的安全模型，才能夠完全實現(xiàn)安全策略，即，此時有。受到技術(shù)人員水平以及軟硬件環(huán)境等多方面因素的影響，在從安全策略向安全模型翻譯的過程中，多少會有偏差，即，此時在中便會存在隱通道。因此，安全模型所覆蓋的安全空間未能徹底涵蓋安全策略的要求，是隱通道形成的根本原因[12]。

3 隱通道典型案例

3.1 磁盤移臂隱通道

最早被發(fā)現(xiàn)的隱通道為磁盤移臂隱通道，1977年由Marvin Schaefer等人在KVM/370系統(tǒng)中發(fā)現(xiàn)。該隱通道屬于存儲隱通道，發(fā)送方和接收方之間的數(shù)據(jù)通信載體為磁盤磁臂的移動路徑[13]。

假設(shè)在一個高安全等級系統(tǒng)中存在兩個進程，分別為和，的安全等級高于，并且已被惡意用戶控制，試圖將敏感數(shù)據(jù)發(fā)送于。但由于高安全等級系統(tǒng)中存在強制訪問控制策略，無法訪問的數(shù)據(jù)，同時無法直接與進行通信。此時，可利用系統(tǒng)存在的安全漏洞，采用表面上合法的方式，繞過強制訪問控制策略，將敏感信息泄露給。具體過程為：

（1）開辟一個屬于自己的文件目錄，該文件目錄所占用的磁道編號為51、52、53、54、55、56、57、58、59，同時可對該文件目錄進行合法讀取和訪問;

（2）請求讀磁道55，請求完成后，釋放CPU資源;

（3）如要發(fā)送“比特1”，請求讀磁道57，請求完成后，釋放CPU資源;

（4）如要發(fā)送“比特0”，請求讀磁道53，請求完成后，釋放CPU資源;

（5）同時請求讀磁道52和磁道58，若首先完成了對磁道52的訪問，則確認收到“比特0”，若首先完成了對磁道58的訪問，則確認收到“比特1”。

不斷重復上述操作，和可以在不違反系統(tǒng)強制訪問策略的前提下，傳送連續(xù)的比特流，整個過程如圖1所示。

3.2 數(shù)據(jù)包間隔隱通道

數(shù)據(jù)包間隔隱通道多出現(xiàn)于計算機網(wǎng)絡(luò)中，該隱通道屬于時間隱通道[14]。假設(shè)在一個高安全等級網(wǎng)絡(luò)中存在兩臺主機，分別為和，已被惡意用戶控制，試圖將敏感數(shù)據(jù)發(fā)送于。在向發(fā)送敏感數(shù)據(jù)之前，通過合法通信對相鄰數(shù)據(jù)包的到達時間間隔進行約定：

（1）如果接收相鄰兩個數(shù)據(jù)包到達的時間間隔超過ls，則表示所要發(fā)送的數(shù)據(jù)為“比特0”;

（2）如果接收相鄰兩個數(shù)據(jù)包到達的時間間隔小于0.5s，則表示所要發(fā)送的數(shù)據(jù)為“比特1”。

依據(jù)相鄰數(shù)據(jù)包到達的時間間隔對信息進行編碼和解碼，這種隱通道屬于時間隱通道，數(shù)據(jù)收發(fā)雙方不需要修改數(shù)據(jù)包的內(nèi)容，也不會產(chǎn)生新的流量，僅通過調(diào)整正常通信過程中數(shù)據(jù)包的發(fā)送時間間隔即可達到信息傳輸?shù)哪康模撾[通道具有很高的隱蔽性[15]。

4 Quantum PLC設(shè)備隱通道分析

4.1 理論基礎(chǔ)概述

4.1.1 施耐德電氣Modicon Quantum

Quantum是法國施耐德電氣有限公司開發(fā)的一款用于過程應(yīng)用、高可用性和安全解決方案的大型可編程邏輯控制器（Programmable Logic Controller，PLC）[16]。該PLC設(shè)備廣泛應(yīng)用于冶金、電力、化工、建材等行業(yè)的工業(yè)控制和自動化領(lǐng)域，在處理離散變量、模擬量以及過程回路控制方面具有強大的能力。Quantum繼承和發(fā)展了施耐德電氣PLC產(chǎn)品的優(yōu)勢，并且融入了當今最先進的IT技術(shù)和網(wǎng)絡(luò)技術(shù)，具有結(jié)構(gòu)靈活、功能強大、使用簡便、性價比高、集成度高、兼容性好等眾多優(yōu)勢[17]。

4.1.2 Modbus協(xié)議

Modbus協(xié)議是一種串行通信協(xié)議，由Modicon（法國施耐德電氣有限公司旗下品牌）公司于1978年發(fā)明[18]。通過此協(xié)議，控制器相互之間、控制器經(jīng)由網(wǎng)絡(luò)（例如以太網(wǎng)）以及其他設(shè)備之間可以進行通信，其已成為一種通用的工業(yè)標準。通過Modbus協(xié)議，不同廠商生產(chǎn)的控制器設(shè)備可連接成工業(yè)網(wǎng)絡(luò)，從而實現(xiàn)集中監(jiān)控[19]。

Modbus協(xié)議定義了一個與基礎(chǔ)通信層無關(guān)的簡單數(shù)據(jù)協(xié)議單元（Protocol Data Unit，PDU），特定總線或網(wǎng)絡(luò)上的Modbus協(xié)議映射能夠在應(yīng)用數(shù)據(jù)單元（Application Data Unit，ADU）上引入一些附加域[20]，Modbus幀的具體格式如圖2所示。

啟動Modbus事務(wù)處理的客戶機會創(chuàng)建Modbus PDU，其中的功能碼向服務(wù)器指示將執(zhí)行哪種操作，常用的功能碼及含義如表1所示。

4.2 測試環(huán)境搭建

本文基于搭建的真實PLC運行環(huán)境，采用流量分析技術(shù)，詳細展示了該隱通道的工作原理。測試環(huán)境中的主要設(shè)備包括Quantum PLC、上位機、惡意主機以及防火墻，測試環(huán)境的邏輯部署圖如圖3所示。

將攻擊機網(wǎng)卡設(shè)置為混雜模式，監(jiān)聽其所處網(wǎng)絡(luò)內(nèi)的所有數(shù)據(jù)包，Quantum PLC和上位機之間的數(shù)據(jù)通信可被攻擊機獲取;上位機按照一定的工藝流程下發(fā)相關(guān)控制指令，與Quantum PLC進行通信;Quantum PLC接收上位機下發(fā)的指令并執(zhí)行相關(guān)操作，但目前Quantum PLC已被木馬軟件所控制，企圖與攻擊機進行通信;防火墻實現(xiàn)對的合法性以及指令的合法性檢查。

4.3 隱通道構(gòu)建

4.3.1 常規(guī)通信過程

上位機與Quantum PLC之間的正常通信會涉及到Quantum PLC寄存器與線圈的讀寫操作。上位機與Quantum PLC之間的常規(guī)數(shù)據(jù)交互如圖4所示。

根據(jù)圖4展示的內(nèi)容可以發(fā)現(xiàn)，上位機與Quantum PLC之間采用的通信協(xié)議為Modbus，執(zhí)行的指令主要為Read Input Registers、Read Coils、Write Multiple Registers以及Write Multiple Coils，上述指令對應(yīng)的Modbus功能碼分別為0x04、0x01、0x10以及0x0F，且上述四個指令往往按照一定順序出現(xiàn)，即按照Read Input Registers→Read Coils→Write Multiple Registers→Write Multiple Coils的順序依次出現(xiàn)。上位機利用上述功能碼的Modbus協(xié)議發(fā)布讀寫指令，按照工藝流程來調(diào)整Quantum PLC寄存器的值，進而達到控制Quantum PLC的目的。在正常情況下，上位機發(fā)出的每個請求只會收到一個響應(yīng)。

4.3.2 信息隱蔽傳輸

在此測試環(huán)境中，Quantum PLC處于內(nèi)網(wǎng)當中且已被木馬控制，但由于防火墻的存在，其無法將敏感數(shù)據(jù)直接發(fā)送于攻擊機。防火墻雖然對敏感數(shù)據(jù)設(shè)置了訪問控制策略/過濾規(guī)則，但其并不會限制針對Quantum PLC的正常讀寫操作。因此，攻擊機可與內(nèi)網(wǎng)木馬約定通信規(guī)則，使用正常的、合法的Modbus數(shù)據(jù)幀，繞過防火墻的約束，達到信息隱蔽傳輸?shù)哪康摹?/p>

攻擊機可根據(jù)網(wǎng)絡(luò)中Modbus響應(yīng)的數(shù)量規(guī)律，與Quantum PLC之間構(gòu)建信息傳輸?shù)碾[通道，具體方式為：

（1）約定數(shù)據(jù)傳輸“開始”信號。當攻擊機在網(wǎng)絡(luò)中首次監(jiān)聽到兩個Write Multiple Registers響應(yīng)時，即可認為Quantum PLC準備向其發(fā)送數(shù)據(jù)，具體過程如圖5所示;

（2）傳輸比特“0”的信號。隱蔽數(shù)據(jù)傳輸開始（即收到數(shù)據(jù)傳輸“開始”信號）后，在收到數(shù)據(jù)傳輸“結(jié)束”信號前，如果一個Write Multiple Registers請求對應(yīng)一個Write Multiple Registers響應(yīng)，則認為Quantum PLC向攻擊機發(fā)送比特“0”，具體過程如圖6所示;

（3）傳輸比特“1”的信號。隱蔽數(shù)據(jù)傳輸開始（即收到數(shù)據(jù)傳輸“開始”信號）后，在收到數(shù)據(jù)傳輸“結(jié)束”信號前，如果一個Write Multiple Registers請求對應(yīng)兩個Write Multiple Registers響應(yīng)，則認為Quantum PLC向攻擊機發(fā)送比特“1”，具體過程如圖5所示;

（4）約定數(shù)據(jù)傳輸“結(jié)束”信號。當攻擊機在網(wǎng)絡(luò)中首次監(jiān)聽到三個Write Multiple Registers響應(yīng)時，即可認為Quantum PLC結(jié)束數(shù)據(jù)發(fā)送，具體過程如圖7所示。

通過上述方式，Quantum PLC上的木馬程序可將敏感信息（如制造工藝、設(shè)備重要參數(shù)等）編碼為零一比特串，利用構(gòu)造好的隱通道，以比特為單位向攻擊機傳輸數(shù)據(jù)，攻擊機只需對接收到的零一比特串進行解碼即可。由于Write Multiple Registers響應(yīng)為Write Multiple Registers請求的正常反饋，且未傳遞任何敏感信息，因此防火墻并不會對其實施攔截，Quantum PLC也不會發(fā)出任何報警。

4.4 實驗分析

在測試環(huán)境中構(gòu)建文中第3.3節(jié)所述隱通道，通過分析網(wǎng)絡(luò)中的數(shù)據(jù)包來驗證該隱通道的信息隱蔽傳輸特性。

假設(shè)試驗場景：Quantum PLC要將比特串“10”傳輸給攻擊機。信息隱蔽傳輸?shù)恼麄€過程如下。

（1）正常通信

在Quantum PLC向攻擊機傳輸數(shù)據(jù)之前，上位機與Quantum PLC通信正常，此時攻擊機捕獲的流量信息如圖8所示。

根據(jù)圖8展示的流量信息，在正常通信情況下，一個Write Multiple Registers請求對應(yīng)一個Write Multiple Registers響應(yīng)。

（2）傳輸開始

Quantum PLC開始數(shù)據(jù)傳輸時，會向攻擊機發(fā)送“開始”信號，攻擊機會首次捕獲如圖9所示的網(wǎng)絡(luò)流量信息。

根據(jù)圖9展示的流量信息，Quantum PLC在收到一個Write Multiple Registers請求后，反饋了兩個Write Multiple Registers響應(yīng)，此后攻擊機會持續(xù)記錄Write Multiple Registers響應(yīng)的數(shù)量變化規(guī)律。

（3）傳輸比特“1”

Quantum PLC準備傳輸比特“1”時，攻擊機會捕獲如圖10所示的網(wǎng)絡(luò)流量信息。

根據(jù)圖10展示的流量信息，在攻擊機收到數(shù)據(jù)傳輸“開始”信號后，Quantum PLC針對一個Write Multiple Registers請求，反饋了兩個Write Multiple Registers響應(yīng)，此時攻擊機記錄數(shù)據(jù)：比特“1”。

（4）傳輸比特“0”

Quantum PLC準備傳輸比特“0”時，攻擊機會捕獲如圖11所示的網(wǎng)絡(luò)流量信息。

根據(jù)圖11展示的流量信息，在攻擊機收到數(shù)據(jù)傳輸“開始”信號后，Quantum PLC針對一個Write Multiple Registers請求，反饋了一個Write Multiple Registers響應(yīng)，此時攻擊機記錄數(shù)據(jù)：比特“0”。

（5）傳輸結(jié)束

Quantum PLC結(jié)束數(shù)據(jù)傳輸時，會向攻擊機發(fā)送“結(jié)束”信號，攻擊機會首次捕獲如圖12所示的網(wǎng)絡(luò)流量信息。

根據(jù)圖12展示的流量信息，Quantum PLC在收到一個Write Multiple Registers請求后，反饋了3個Write Multiple Registers響應(yīng)數(shù)據(jù)包，此后攻擊機不再記錄Write Multiple Registers響應(yīng)的數(shù)量變化規(guī)律，直至再次遇到Quantum PLC發(fā)出“開始”信號。

在上述數(shù)據(jù)傳輸過程中，所有數(shù)據(jù)包均未被防火墻攔截，且Quantum PLC未發(fā)出異常報警，Quantum PLC與攻擊機通過構(gòu)建隱通道的方式繞過了防火墻的訪問控制策略/過濾規(guī)則，成功實現(xiàn)了敏感信息的隱蔽傳輸。

5 結(jié)束語

本文以工業(yè)軟件領(lǐng)域存在的隱通道為研究對象，系統(tǒng)分析了隱通道的定義、分類、成因以及典型案例。同時，以Quantum PLC設(shè)備為實驗對象，基于本地搭建的測試環(huán)境，通過構(gòu)建真實的隱通道應(yīng)用場景，詳細闡述了工業(yè)軟件領(lǐng)域隱通道的構(gòu)造過程以及數(shù)據(jù)傳輸過程。通過實驗數(shù)據(jù)可以看出，本文構(gòu)建的隱通道成功繞過了防火墻的訪問控制策略/過濾規(guī)則，實現(xiàn)了敏感信息的隱蔽傳輸。本文各項實驗均在本地搭建的測試環(huán)境中完成，擬在下一步工作中，在真實的工業(yè)生產(chǎn)場景中開展工業(yè)軟件隱通道相關(guān)研究，并探索隱通道的有效檢測手段。

參考文獻

[1] 張曙.工業(yè)4.0和智能制造[J].機械設(shè)計與制造工程， 2014（8）：1-5.

[2] 蘇楠，陳志.工業(yè)軟件是制造強國之重器[J].科技中國， 2019，260（05）：9-11.

[3] 靳江紅，莫昌瑜，李剛.工業(yè)控制系統(tǒng)功能安全與信息安全一體化防護措施研究[J].工業(yè)安全與環(huán)保，2020.

[4] 張猛，孫昊良，楊鵬.基于改進卷積神經(jīng)網(wǎng)絡(luò)識別DNS隱蔽信道[J].通信學報，2020.

[5] 張博.網(wǎng)絡(luò)安全之IP隱通道研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2018，215（11）：18-19.