一文了解IEC104协议规约、弱点分析与防护实践

一

前言

电力行业作为关系国计民生的重要基础产业，是关系千家万户的公用事业。电力安全可靠供应事关经济发展、人民生活和社会稳定，保障电力系统安全是国家安全的重要组成部分。现代电力工业具有高度网络化、系统化、自动化的特征，以网络、数据库及计算机自动控制技术为代表的信息处理技术已成为支撑电力生产控制和经营管理不可或缺的基础要素，保障电力网络与信息系统安全已成为电力系统安全稳定运行的重要前提。但是要做好电力行业安全保障工作的前提，是需要对应的技术人员详细了解电力工业使用的系统、设备以及各类协议的安全特性，本文将主要介绍IEC 60870-5-104协议的定义和在电力场景的应用，并进行对应的弱点分析和防护实践分享。

二

IEC104协议简介

IEC60870-5-104（简称：IEC104）协议是一个主要在电力、城市轨道交通（轨交的常用于变电站）行业应用的国际标准，IEC104协议从协议的更新发展的角度来看，其实是将IEC60870-5-101（简称：IEC101）协议与TCP/IP协议提供的传输层功能相结合，从而实现IEC101协议在传统的TCP/IP协议的各种网络类型中应用。所以IEC104协议实际处于应用层协议的位置，使用的端口为2404，IEC104协议在终端系统的协议结构如图2.1所示。

图2.1 IEC104在终端系统的规约结构

三

IEC104协议结构

一个完整的IEC104协议的报文通常被称为应用协议数据单元（APDU），主要分为应用协议控制信息（APCI）和应用服务数据单元（ASDU）两个部分。如图3.1所示，在实际应用中可以传输一个完整的应用协议数据单元或者出于控制目的仅仅只传送应用协议控制信息。

图 3.1应用协议数据单元APDU结构

应用协议控制信息APCI的结构

应用协议控制信息的基本报文格式如图3.2所示，其中启动字符68H规定了数据流的起点，应用协议数据单元的长度字段定义了应用协议数据单元体的长度，它包括应用协议控制信息的四个控制域八位位组和应用服务数据单元。而应用服务数据单元的最大长度被限制在249以内，因为应用协议数据单元域的最大长度是253（APDU最大值=255减去启动和长度八位位组），控制域的长度是4个八位位组。

图 3.2应用协议控制信息APCI结构图

其中的控制域定义了保护报文在传输时不重复传送和丢失的控制信息，如报文传输的启动或停止，以及传输连接状态的监视等。通过这四个八位位组的控制域为IEC104定义了三种类型的控制域格式，分别为编号的信息传输的I格式，编号的监视功能的S格式和未编号的控制功能的U格式。

I格式的应用协议数据单元常常包含一个应用服务数据单元：控制域第一个八位位组的第一位比特为0的控制域为I 格式。
S格式的应用协议数据单元只包括应用协议控制信息：控制域第一个八位位组的第一位比特为1且第二位比特为0的控制域为S格式。
U格式的应用协议数据单元只包括应用协议控制信息：控制域第一个八位位组的第一位比特为1，且第二位比特为1，第三个八位位组第一位为0的控制域为U格式，而且在同一时刻，STOPDT、STARTDT、TESTFR中只有一个功能可以被激活。

应用服务数据单元ASDU的结构

如图3.3所示，应用服务数据单元的基本结构包括：数据单元标识符和一个或多个信息体。其中的数据单元标识符的结构是被固定的，每个应用服务数据单元中包含传送原因和单一的类型标识。

图 3.3应用服务数据单元ASDU的结构

类型标识在数据单元标识符中的第一个八位位组，该标识定义了信息对象的类型、结构、格式。分为控制方向的过程信息类型标识、控制方向的系统命令、监视方向的过程信息类型标识、监视方向的系统信息。第二个八位组定义为可变化结构限定词，其中的低7位表示本ASDU内包含的信息对象数量，而最高位表示的是信息对象的排列方式。第三个八位位组和第四个八位位组分别定义为源发地址和传送原因。而其中的源发地址一般情况不使用，传送原因又分为三个部分，第一部分是低6位，表示传送原因序号，第二部分是次高位，表示肯定或否定确认，第三部分是最高位，表示的是测试标志。最后的两个八位位组是应用服务数据单元公共地址和信息体。

四

应用介绍

IEC104协议主要用在电力设施的设备控制、信息传输、状态监控等方面，本章节主要介绍IEC104协议在变电站综合自动化系统的使用场景。

IEC104协议在变电所综合自动化系统中的应用

变电所综合自动化系统的总控单元主要完成与远方主控系统的通信，以及对变电所供电设备运行状态进行监视等其他重要功能。实现的软件数据流程图如4.1所示，总控单元收来自远端主控系统（调度、集控）的各种命令并进行协议转换后，直接发送至相应的自动化设备；接收来自动化设备的上送报文，对其进行协议转换后发送至远方主控（调度、集控）中心。应用IEC104协议，变电所与远方主控（调度、集控）之间的通信是一种典型的C/S模式，其中变电所监控系统的总控单元是服务器端，远方主控（调度、集控）系统是客户机端。

图4.1应用IEC104协议的软件数据流程图

正常工作时总控单元一直处于侦听状态，等待远端的连接请求，所以在远方主控（调度、集控）发出连接请求后能及时建立TCP连接。当总控单元收到主控发送的U格式报文STARTDT后，总控单元会回应该命令报文，然后开始传输数据，此时会立即向主控发送变位信息和周期性扫描数据。对于来自主控系统的各种命令报文，进行输入有效性检查：确定报文校验码、报文序号、对象号、通信站码是否有效，并回应主控。

五

IEC104协议的弱点分析

基于TCP/IP协议传输的IEC104协议在工控系统中已经得到广泛应用，然而这种协议在设计时并没有充分考虑到网络安全问题。因此，采用IEC104协议的工控系统存在如下风险：

（1）假冒：攻击者入侵系统后通过伪造合法的通信地址，假冒从站设备向控制主站发送虚假数据，干扰系统正常的数据分析。

（2）旁路控制：攻击者通过旁路监听发掘系统的缺陷或安全脆弱性后，向从站设备发送非法的控制命令，如针对配电站发送非法的分闸或合闸命令，可能导致重大的停电事故或生命安全事故。

（3）篡改：攻击者非法篡改系统通信中的数据，如控制主站的下行数据或从站设备的上行数据，从而对系统造成破坏。

（4）重放攻击：攻击者入侵系统后对系统通信中的控制命令或上传数据进行拦截，延迟或者重复发送这些数据，从而造成生产事故。

（5）拒绝服务：攻击者窃听系统通信中的数据并进行数据分析，伪造大量合法但无用的垃圾数据发送到系统中，使得系统网络变得拥塞，导致传输速度减缓，最终影响系统的正常运转。

在实际的业务环境中，使用工业协议的工业控制系统所面临的安全风险相对传统业务系统会更大。主要原因有两种，一种原因是协议本身的前期规划设计引起的，另一种原因是协议的不正确实现造成的，因为工业控制系统使用的工控协议在面临实用性问题时，都会放弃一些保障安全的特征或功能。

六

安全防护实践

需求分析

在工业控制系统中，为避免因为IEC104协议存在的弱点，而导致工业控制系统被恶意利用和攻击，需要从区域边界、通信网络、计算环境3个方面实现针对性的安全防护：

区域边界

(1)正常情况下，在工业控制系统与其他业务进行数据交换的边界，不应该出现工业协议的控制信号，所以在该类边界提供常规的访问控制和入侵防御的同时，还需要具备针对工业协议深度解析，发现工业协议异常时能及时阻断的能力。

(2)在接近现场设备的控制网络节点，需要提供访问控制、边界防护、工业协议值域级解析的能力。如上位机与工控设备的通信、工程师站与工控设备的通信、数据服务器与工控设备的通信均可能被恶意利用（如旁路攻击、假冒攻击、篡改指令、重放攻击、拒绝服务），对工控设备造成损坏。

通信网络

在工业控制系统网络的关键节点，识别工业协议，并解析出工业协议的执行内容，在出现旁路控制、仿冒攻击、数据篡改、重放攻击、拒绝服务攻击等行为时及时预警。

计算环境

工业控制系统内部的服务器、主机需要专业的防护软件建立安全可信的运行环境，避免出现针对工业协议而编写恶意代码在工控服务器、主机内执行，造成对工控设备的破坏。

防护实践

威努特根据IEC104协议的弱点和工业控制系统运行环境相对稳定，系统更新频率较低的特点，按照GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》和工业和信息化部印发的《工业控制系统网络安全防护指南》关于工控主机安全软件的选择与管理中的要求，提出基于“白名单”机制的工业控制系统网络安全“白环境”解决方案。

某变电站具体防护实践如下：

安全区域边界防护

如图6.1所示，在变电站与电力调度数据网络边界防护主要通过电力专用纵向加密认证装置来实现对业务数据的过滤、加解密、认证和完整性校验，从而保证业务数据传输的安全可靠。纵向认证装置集成基于应用的内容过滤和硬件防火墙技术，在应用协议防护方面支持对多种电力专用协议IEC104、DL476-92等进行安全解析，可以实现对不同功能的报文采取不同的应用策略。

图6.1安全域边界防护

安全通信网络防护

如图6.2所示，利用为威努特生产的工控安全监测与审计系统（图标为）采用旁路模式部署安全I区的实时交换机上。提供物理层纯单向的能力来采集A/B网的流量，对生产控制过程“零风险”。基于对多余种工业控制协议（如OPC、Siemens S7、Modbus TCP、Ethernet/IP（CIP）、IEC61850 MMS、IEC104、DNP3、Profinet、OMRON Fins等）的通信报文进行深度解析，实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括值域级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。实现只有可信任的消息，才能在内部网络上传输。

图6.2安全通信网络防护

安全计算环境防护

如图6.3所示，利用威努特工控主机卫士（图标为）针对操作员站、工程师站、数据服务器等主机进行可执行程序管理，防止病毒木马等恶意程序感染，采用轻量级“白名单”机制，系统资源占用小，不影响工控系统监控软件和组态软件的正常使用，可有效阻止针对IEC104协议、IEC61850协议而编写的工控恶意程序在工控主机上的执行、扩散。通过截取系统调用实现对文件、目录、进程、注册表和服务的强制访问控制，结合文件和服务的完整性检测、防缓冲区溢出等功能，将普通操作系统透明提升为安全操作系统，保障计算环境的安全可信。

图6.3安全计算环境防护

七

总结

电力行业作为关系国计民生的重要基础产业，保障电力网络与信息系统安全已成为电力系统安全稳定运行的重要前提。威努特作为国内工控安全领域的领军企业，利用公司首创的“白名单”技术，在电力行业有着成熟的解决方案和大量的项目实践经验，可以为电力行业客户提供自主可控的安全防护能力。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121