《CEACENT》工业以太网Ethernet/IP协议安全分析整理

　　工业以太网由来: 随着以太网通信速率的提高和全双工通信、交换机技术的发展，20世纪90年代以后随着现场总线控制技术的逐渐成熟，智能化与功能自治性的现场设备的广泛应用，嵌入式控制器、智能现场测控仪表和传感器等方便地接入了现场总线。现场总线国际标准IEC 61158经过十几年的争论和斗争后，放弃了其制定单 一现场总线标准的初衷，最终发布了包括8种(第3版修订后增加了两种类型，而 成为10种类型)类型总线的国际标准。这说明各大总线各具特点、不可互相替代 的局面得到世界工控界的认可。 

　　目前有Modbus-IDA工业以太网，Ethernet／lP工业以太网，FF HSE工业 以太网，ProfitNet工业以太网等几种协议。下来我们就Ethernet／IP工业以太网进行介绍。 EtherNet／IP(EtherNet Industry Protoco1)是适合工业环境应用的协议体系。它是由两大工业组织ODVA(OpenDeviceNet Vendors Association)ControlNet International所推出的最新的成员。和DeviceNet以及ControlNet一样，它们都是基于CIP(Control andInformal／on Protoco1)协议的网络。它是一种是面向对象的协议，能够保证网络上隐式的实时I／0信息和显式信息(包括用于组态参数设置、诊断等)的有效传输。 EtherNet／IP采用和DevieNet以及ControlNet相同的应用层协CIP(Control and Information Protoco1)，因此，它们使用相同的对象库和一致的行业规范，具有较好的一致性。EtherNet／IP采用标准的EtherNet和TCP／IP技术来传送CIP通信包，这样，通用且开的应用层协议CIP加上已经被广泛使用的EtherNet和TCP／IP协议，就构成EtherNet／IP协议的体系结构。

　　EtherNetIP是由ODVA和ControlNet International两大国际工业组织所推出的面向工业自动化应用的工业应用层协议，它建立在UDP/IP和TCP/IP协议之上。由EtherNetIP工业以太网组成的系统具有兼容性和互操作性强、资源共享能力强、数据传输距离长、传输速率高的优势。

　　EtherNetIP在物理层和数据链路层采用以太网，可以与标准的以太网设备透明衔接，并保证随着以太网的发展，EtherNetIP也可以进一步扩展。EtherNetIP的网络层和传输层采用UDP协议传送实时性要求高的隐式报文，如面向控制的实时I/O数据，优先级较高；用TCP协议的流量控制和点对点特性通过TCP通道传输非实时性的显示报文，优先级较低。EthernetIP是实时以太网协议，容易受到以太网漏洞的影响，由于UDP之上的EthernetIP是无法连接的，因此没有内在网络层机制来保证可靠性、顺序性或进行数据完整性检查。CIP协议是一个端到端的面向对象并提供了工业设备和高级设备之间连接的一种协议，EtherNetIP协议在基于传统TCP/IP协议的基础上嵌入了CIP协议，CIP协议的对象模型也存在如下的安全问题：

　　CIP未定义任何显式或隐式的安全机制；使用通用工业协议必须对对象进行设备标识，为攻击者进行设备识别与枚举创造条件；使用通用应用对象进行设备信息交换与控制，可能扩大遭受工业攻击的范围，令攻击者可以操纵更多的工业设备；EthernetIP使用UDP与广播数据进行实时传输，两者都缺少传输控制，攻击者易于注入伪造数据或使用注入IGMP控制报文操纵传输途径。

　　工业以太网有着许多令人所信服的优点。但是传统商业以太网技术应用到工业现场仍然有着或多或少的不足和缺陷，经过许多研究机构和工程技术人员的不懈努力和对关键技术的研究，使传统以太网技术不断改进来满足工业现场控制要求。这些关键技术包括通信确定性和实时性技术、系统稳定性技术、系统互操作性技术、网络安全性技术、总线供电及本质安全与安全防爆技术等。下面就确定性和实时性做一些介绍。 

　　传统以太网采用总线式的拓扑结构和多路存取载波侦听／碰撞(CSMA／C通讯方式，即网络上的每个节点都通过竞争的方式来获取发送信息报文的权利，节点通过监听信道，当发现信道空闲时则把待发的信息报文发送出去，如果信道忙则处于等待状态。在发送信息后检测是否发生了碰撞，如果出现则退出信道等待重发。不难想象当网络负荷比较重的时候大量节点都在尝试重发进而导致网络堵塞，使一些节点的信息长时间得不到发送，这种特性称为以太网的不确定性。研究表明：传统以太网在工业控制中的传输延迟，对数据传送要求很高的场合是不能够应用的，这也影响了以太网技术在工业底层控制网络中的应用。随着以太网技术的不断发展，工业以太网在确定性和实时性方面已经基本达到了工业现场实时控制的要求。 

　　首先，在网络拓扑结构上采用了星形连接代替总线型连接。图1示意了两种不同的网络拓扑结构。其中的星形连接用网桥或路由器等设备将网络分割成多个网段(Segment)，在每个网段上以一个多口集线器为中心，将若干个设备或节点连接起来，这样挂接在同一网段上的所有设备形成一个冲突域(Collision)。每个冲突域均采用CSMA／CD机制来管理网络冲突。这种分段方法可以使每个冲突域的网络负荷减轻、碰撞几率减小。 

　　以太网最初应用在办公自动化领域，其MAC层采用的是CSMA／CD(载波监听多路访问／冲突检测协议)，当网络负荷较高时，数据的传输就会出现延迟，产生“不确定性”，而该“不确定性”正是工业控制领域的大忌。因此，在工业以太网发展初期，许多人都抱着质疑的态度，这大大制约了工业以太网的发展。

　　然而，技术在不断进步，以太网的通信速率从最初的10 MB增大到如今的0．1～10 GB。同样的通信量，通信速率的提高意味着网络负荷的减轻，而减轻网络负荷则意味着确定性的提高。据有关试验证明，在网络负荷不超过36％的情况下，以太网基本不会发生冲突；在负荷为10％以下时，10 MB以太网冲突机率为1次／5 a，100 MB以太网则为1次／15 a。而全双工通信方式也进一步避免了冲突的发生。另外，以太网交换机技术的迅速发展，给解决工业以太网的不确定性带来了新的契机。交换机可对网络上传输的数据进行过滤，使每个网段内节点间数据的传输只限在本地网段内进行，将数据包冲撞的机会从根本上减少到零，并且不占用其他网段的带宽，从而降低了所有网段和主干网的网络负荷。

       与此同时，许多制造商开始致力于研究适用于恶劣工业现场环境的以太网适配器、接插件、电缆、集线器、交换机等，网络配件来提高网络的抗干扰能力和可靠性。这些都为以太网直接应用于工业现场设备间通信提供了技术可能。

      深圳嘉华众力科技（CEACENT）推出的新品：四口万兆 工业光纤网卡CEACENT AN8710-T4，其采用了节能以太网和DMA合并等以太网电源管理技术，四个端口都支持远程唤醒功能（WOL），可工作于-40℃~85℃的工业环境，采用Auto-Negotiation技术，自动侦测全双工/ 半双工模式， 自动匹配网络传输速率；是深圳嘉华众力（CEACENT ）推出的首款真正的宽温工业用万兆光纤网卡。搭配UNICACA定制的光纤线，能更稳固的锁定电缆与网口（光口），有效的解决工业场所网口与线缆连接不稳定的难题。
 

在以太网中，TCP是一个可以提供可靠的数据传输服务面向链接的协议；UDP是一个能简单、快速地传递数据报，但不能保证数据报是否安全无误地到达目的设备不基于链接的协议。EtherNet／IP采用以太网的UDP传递实时数据，TCP传递诸如配置、诊断等非实时数据。为了确保实时数据的可靠性，EtherNet／IP协议增加了一系列措施，如在每次传输数据时都增加了数据头和序列号，每发送一次数据报，序列号增加一次，接收方通过序列号就能判断数据的有效性，从而确保了数据的可靠性。

　　在EtherNet／IP网络中，评估网络性能的主要是以下2个指标：

　　①请求包间隔时间(RequestedPacket Interval，RPI)；

　　②每秒钟所发的包的个数(Packet per Second，PPS)。

    RPI是数据周期性传输的一个重要指标，无论网络中有多少个节点，源设备都按照用户指定的RPI周期来向目标设备发送数据。而PPs=1 000÷RPI(ms)。—个设备的总PPS=源设备的总PPS+目标设备的总PPS
根据各设备的性能，设备厂家会制定设备的最小RPI和最大PPS。用户评估网络性能时，一个设备的总PPS通常不能超过最大PPS的90％，保留10％的带宽用于显式报文的通信。

　　EtherNet/IP 工业以太网具有许多优点,比如由其组成的系统兼容性和互操作性好,资源共享能力强,可以很容易的实现将控制现场的数据与信息系统上的资源共享; 数据的传输距离长、传输速率高;易与Internet 连接,低成本、易组网,与计算机、服务器的接口十分方便,受到了广泛的技术支持。基于商业以太网开发的各种以太网报文侦听和流量优化控制软件，甚至可以不加改变的应用到工业以太网控制系统中。 

　　但是，工业以太网也有瓶颈，主要是缺乏实时性和确定性、报文利用率低、回路供电、实时性环境适应等问题。以太网采用的CSMA/CD 协议，不支持优先级。报文头部比较大，载荷数据相对较少，相对现在广泛应用的一些现场总线协议而言，报文利用率较低。总线上无电源。这不但增加了重新购买电源和布置电源线的费用，而且现有以太网线比现场总线更容易受到电磁干扰。缺乏工业级的接插件。由于工业现场存在的腐蚀性气体，震动、维修和检测时的经常拔插等问题。因此需要一种通用工业级接插件。但是工业级接插件的引入势必增加设备的投资。所以，目前EtherNet/IP 工业以太网的应用主要是在自动化领域的信息层和控制层。在设备层则使用ODVA 支持的ControlNet DeviceNet现场总线，利用总线在设备层的抗干扰能力强等优点作为以太网的补充。 

　　EtherNet／IP采用生产者／消费者模式极大提高了EtherNet／IP设备通信的效率。而EtherNet／IP基于标准的以太网，意味着EtherNet／IP工业用户能够直接受益于标准以太网技术本身的持续创新和成本降低等带来的众多好处，EtherNet／IP的性能会随着以太网其他技术如信息安全技术、高速传输技术、高速交换技术等的不断发展而水涨船高。

　　再者以太网通信速率的提高和全双工通信、交换机技术的发展，以太网的通信确定性已经得到了保障，解决了以太网直接应用于工业现场设备间通信面临的最主要的问题。以太网的开放性、带宽高、应用广泛的特点使其在工控领域具有巨大的优势，因此，世界著名厂家和集团纷纷支持工业以太网并制订了不同的工业应用标准，而EtherNet／IP已成为国际标准IEC 61158(测量和控制数字数据通信——工业控制系统用现场总线)和IEC 61784(与工业控制系统中使用的现场总线有关的用于连续和离散制造的行规集)的重要组成部分，它能为自动化通信领域提供一个完整的网络解决方案，包含了实时以太网、分布式自动化、运动控制、网络安全等当前自动化领域的最新技术；虽然，工业以太网扔有着许多令人所信服的优点。但是传统商业以太网技术应用到工业现场仍然有着或多或少的不足和缺陷，但经过许多研究机构和工程技术人员的不懈努力和对关键技术的研究，使传统以太网技术会不断改进来满足工业现场控制要求；跟随着工业以太网网卡的技术完善，信息安全技术、高速传输技术、高速交换技术等的不断发展后的需求。EtherNet／IP将是新一代工业网络的主流。

资料来源：中控网、CSDN博客