Modbus测试规范 第3部分：TCP 安全协议一致性测试规范 征求意见稿

1GB/T25919.3—XXXXModbus测试规范第3部分：TCP安全协议一致性测试规范本文件规定了针对ModbusTCP安全协议规范的一致性测试规范。本文件适用于相关检测机构作为ModbusTCP安全产品一致性测试的依据，也可以作为厂商开发ModbusTCP安全协议产品和用户选择相关产品的参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T19582.1-2008基于Modbus协议的工业自动化网络规范第1部分：Modbus应用协议GB/T19582.3-2008基于Modbus协议的工业自动化网络规范第3部分：Modbus协议在TCP/IP上的实现指南GB/T41868-2022ModbusTCP安全协议规范IETFRFC5246Thetransportlayersecurity（TLS）Protocol,V1.2,Aug2008IETFRFC8446TheTransportLayerSecurity(TLS)ProtocolVersion1.3,August20183术语和定义GB/T19582.1-2008，GB/T19582.3-2008中定义的以及下列术语和定义适用于本文件。3.1一致性conformance实现协议的实体或系统与协议标准的符合程度。（见25919.1定义3.1）3.2一致性测试conformancetest检测实现协议的实体或系统与协议标准的符合程度。（见25919.1定义3.2）4缩略语下列缩略语适用于本文件。GB/T25919.3—XXXX2ADU:应用数据单元(ApplicationDataUnit)AuthZ:授权(Authorization)CA:证书颁发机构(CertificateAuthority)CDP:CRL分发点(CRLDistributionPoint)CRL:证书吊销列表(CertificateRevocationList)HMAC:密钥哈希消息身份认证码(Keyed-hashMessageAuthenticationCode)IANA:互联网号码分配机构(InternetAssignedNumbersAuthority)ICS:工业控制系统(IndustrialControlSystem)IEC:国际电工委员会(InternationalElectrotechnicalCommission)MAC:消息验证码(MessageAuthenticationCode)mbap:网络通讯应用协议(ModbusApplicationProtocol)mbaps:网络通讯安全应用协议(ModbusSecurityApplicationProtocol)OID:国际电信联盟标准化的物联网域名(ObjectIdenitifierstandardizedbytheInternationalTelecommunicationsUnion)PDU:协议数据单位(ProtocolDataUnit)PKI:公钥基础设施(PublicKeyInfrastructure)PRF:伪随机函数族(PsuedorandomFunctionFamily)RA:登记机关(RegistrationAuthority)SSL:安全套接字层(SecureSocketLayer)TCP:传输控制协议(TransportControlProtocol)TLS:传输层安全协议(TransportLayerSecurity)5测试要求5.1基本要求本部分定义了ModbusTCP安全协议的一致性要求，有关传输层安全性基本要求见GB/T41868-2022ModbusTCP安全协议规范6.3，建议在进行一致性测试之前，设备应当完成功能测试。mbaps/TLS/TCP配置文件使用IETFRFC5246中定义的安全TLS传输协议，如图1所示。RFC5246定义了本文件发布时最新的TLS版本TLSv1.2，并为早期版本中已知的漏洞提供对策和缓解措施。此文件基于TLSv1.2，当更新的TLS版本被广泛应用时，将考虑使用它们。图1TLS通信协议栈GB/T25919.3—XXXX3在mbaps行规中未更改的mbapADU封装在TLS应用程序中协议消息如图2mbapADU封装在TLS中所示。图2mbapADU封装在TLS中TLS握手协议见图3的ModbusTCP安全概念视图：——在端点之间协商安全通道的加密，包括算法，密钥等；——提供基于x.509v3证书的双向客户端/服务器身份验证；——从证书中提取客户端角色OID；——建立TLS会话。在建立TLS会话之后，正常的modbus请求和响应序列在安全的TLS应用协议通道中传输。在处理请求的过程中，mbaps协议处理程序调用特定于供应商的授权功能。此授权功能使用来自mbapADU的输入和从连接的x.509客户端证书中提取的角色来评估角色到权限算法。该算法根据对等方的角色确定是否可以处理ADU。如果授权功能不能处理mbapADU代码，则mbap处理程序返回01-IllegalFunction的Modbus异常码。GB/T25919.3—XXXX4图3ModbusTCP安全概念视图5.2测试原则ModbusTCP协议安全检查原则：a)ModbusTCP安全协议支持802端口号；b)通过TLS使用X.509V3进行身份识别和认证；c)客户端/服务器端双向TLS认证；d)通过证书传输的角色进行授权；e)授权规则与具体产品相关；f)没有更改mbap。5.3测试系统一致性测试系统见图4。GB/T25919.3—XXXX5图4一致性测试系统测试系统包括测试设备、被测对象，按图4进行连接，组成基本测试环境。测试设备为支持mbaps客户端或服务端并有诊断分析功能的mbaps一致性测试平台，通过充当ModbusTCP安全协议的一端，对另一端被测对象进行测试。被测对象为mbaps服务器或mbaps客户端，可以是同一个设备/对象或不同设备/对象。一般情况下不共同进行测试。6协议安全特征测试6.1mbaps设备mbaps设备应遵循以下规则：R-01：mbaps设备的安全传输协议应使用TLS协议v1.2([RFC5246]定义)或更新版本；检查项：由R-32、R-33、R-34、R-35四项指标覆盖，全部满足视同R-01满足。R-02：与mbaps设备的安全通信应使用由TLS握手协议提供的双向客户端/服务器身份验证；检查项：1)服务器必须对客户端进行验证，若客户端证书有瑕疵，服务器端应该中断握手和中止连接。2)客户端必须对服务器端进行验证，若服务器端证书有瑕疵，客户端应该中断握手和中止连接。3)一般情况下，服务器检查客户端IP地址或主机名。若服务器不支持对IP地址或主机名进行检查，则服务器必须对客户端进行基于角色的鉴权，即对客户端的roleOID进行检查，也可视为此项通过；否则为不通过。R-03：mbaps设备的TLS协议身份标识/认证应使用x.509v3证书（RFC5280定义）；检查项:证书版本。R-04：如果执行授权功能，应使用通过x.509v3证书扩展中传输的角色；GB/T25919.3—XXXX6检查项：服务器端应能正确处理客户端roleOID的信息并正确处理相应授权。R-05：mbap协议仅通过安全传输进行封装，不应对其进行任何更改。检查项：依据第七章的ModbusTCP协议检测范围、测试结果进行判断。6.2TLS版本R-32：mbaps设备应提供TLSv1.2或更高版本。检查项:检测TLSv1.2及更高版本。R-33：mbaps设备应符合[RFC5246]的要求。检查项:检测TLS版本必须支持v1.2R-34：mbaps设备不应协商降级到TLSv1.1，TLSv1.0或SSLV3.0。检查项:若可降级，则该项不通过，设备不符合要求。R-35：mbaps设备不应根据[RFC6176]协商使用SSLv2.0和SSLv1.0。检查项:若可降级，则该项不通过，设备不符合要求。6.3TLS协议握手TLS[RFC5246]还提供会话恢复功能。服务器端缓存最后一次会话的已知安全状态，并将其与客户端和服务器端中使用的会话ID配对。如果客户端缓存安全上下文和会话ID，它可以将此会话ID呈现给下一个ClientHello上的服务器。这将TLS协商时间减少到1个应用往返时间，并省掉了授权新端所需的公钥/私钥密码验证的过程。这种恢复将会要求服务器缓存与连接的客户端证书相关联的角色，并将它与会话ID相关联。R-06：mbaps终端设备在执行TLS握手协议时应提供双向身份认证用于创建TLS会话。检查项:若终端设备在执行TLS握手协议时未提供双向身份认证，则该项不通过，设备不符合要求。R-07TlsServer应在TLS握手期间发送CertificateRequest消息检查项:若TlsServer在TLS握手期间没有发送CertificateRequest消息，则该项不通过，设备不符合要求。R-08TlsClient在收到包含客户端证书的请求时应发送客户端证书消息检查项:若TlsClient在收到包含客户端证书的请求时不发送客户端证书消息，则该项不通过，设备不符合要求。R-10如果TlsClient没有发送ClientCertificate消息，那么TlsServer应向TlsClient发送一个“fatalalert”消息并终止连接。检查项:查验服务器端在客户端不提供证书情况下，若TlsServer向TlsClient发送一个“fatalalert”消息并终止连接，则该项通过。R-11根据RFC5246-7.2.2，在“fatalalert”之后，不应恢复TLS连接。检查项：若TlsServer向TlsClient发送一个“fatalalert”消息后，不恢复TLS连接，则该项通过。6.4TLS密码套件TLS会话的安全强度取决于在TLS端点之间协商的密码套件。密码套件指定将使用何种加密方法为TLS会话提供一定级别的安全性。只有在IANA注册且当前无已知弱点的密码套件才能用在mbaps中。GB/T25919.3—XXXX7/assignments/tls-parameters/tls-parameters.xhtml。检查项：若TLS密码套件在IANA注册表中，则该项通过。R-13：用于mbaps的TLS的密码应适应于x.509v3证书。检查项：加载证书，若mbaps的TLS的密码符合相应标准要求，则该项通过。R-14：mbaps设备当使用RSA为私钥时，应至少提供TLSv1.2密码套件TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256检查项：若支持的TLS密码套件中含有TTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256，则该项通过。当设备仅支持TLSv1.3时，该项不适用。R-66：具有批量传输加密和NULL批量加密的客户端设备宜始终将NULL批量传输密码套件放在密码套件优先级的最后一位。检查项：具有批量传输加密和NULL批量加密的客户端设备，若密码套件优先级顺序符合NULL批量传输密码套件放在密码套件优先级的最后一位的顺序，则该项通过。R-67服务器设备宜提供支持仅含有认证部分的密码套件TLS_RSA_WITH_NULL_SHA256的能检查项：若服务器设备能提供支持仅含有认证部分的密码套件TLS_RSA_WITH_NULL_SHA256，则该项通过。R-36：mbaps设备宜提供计数器模式密码套件。计数器模式密码套件包括：——TLS_RSA_WITH_AES_128_GCM_SHA256,{0x00,0x9C};——TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,{0xC0,0x2B}。检查项：若mbaps设备支持计数器模式密码套件，则该项通过。对于TLSv1.3，该项不适用。R-37：mbaps设备不应协商使用TLS_NULL_WITH_NULL_NULL密码套件检查项：若mbaps设备密码套件支持该套件，则该项不通过，设备不符合要求。R-38：由mbaps设备使用并在TLS握手协议交换中协商的任何密码套件应是在TLS-PARAMS的IANATLS密码套件注册表中列出的。检查项：若使用IANA未注册的套件，则该项不通过。R-201设备若支持TLSV1.3，宜支持[RFC8998]规定的商密密码套件，检测结果在报告中列出CipherSuiteTLS_SM4_GCM_SM3={0x00,0xC6};CipherSuiteTLS_SM4_CCM_SM3={0x00,0xC7};/doc/html/rfc8998检查项：若设备支持TLSV1.3,则查验[RFC8998]规定的商密密码套件，检测结果应在报告中列6.5TLS密钥交换R-39：mbaps设备应提供基于RSA技术的TLS客户端-服务器密钥交换，参照[RFC5246]所描述的强制密码套件。依据[RFC5246]9.MandatoryCipherSuites,在应用行规未指定情形下强制套件为TLS_RSA_WITH_AES_128_CBC_SHA，而Modbus安全协议标准R-14中已指定强制套件为TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。检查项：，本项测试等同检查项R-14。8R-40mbaps设备宜提供基于ECC技术的TLS客户端-服务器的密钥交换。（也就是支持ECDSA签署的密钥/证书）检查项：检测mbaps设备，检查TLS客户端-服务器密钥交换的密码套件，若有基于ECC技术的套件，则该项通过。若无，则R-61，R-62,R-63及R-64检查项不适用。对于TLSv1.3，该项不适用。R-61使用ECC技术的mbaps设备应至少支持P-256NIST曲线。检查项：在mbaps设备支持ECC的情况下，若支持P-256NIST曲线的密码套件，则该项通过；否则该项不通过，设备不符合要求。对于TLSv1.3，该项不适用。R-62使用ECC技术的mbaps设备应至少支持密码套件：TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256。TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256，则该项通过。对于TLSv1.3，该项不适用。R-63使用ECC技术的mbaps设备应在ClientHello指定使用[RFC4492]支持的椭圆曲线扩展中的检查项：在mbaps设备支持ECC的情况下，若在ClientHello指定使用[RFC4492]支持的椭圆曲线扩展中的曲线，则该项通过。R-64使用ECC技术的mbaps设备应在ClientHello指定[RFC4492]中的“支持的点格式”扩展支持的点格式。检查项：在mbaps设备支持ECC的情况下，若在ClientHello指定扩展支持的点格式符合[RFC4492]中的“支持的点格式”，则该项通过。6.6TLS认证可以使用自签名设备证书来完成对信任锚的身份认证。建议使用由证书颁发机构签名的证书进行身份认证。宜支持使用会话票证或恢复会话ID进行会话恢复，以减少连接的握手时间。会话恢复首选使用会话ID。在会话恢复中，服务器负责缓存和维护会话信息以供以后使用，这样对客户端管理与其对端的会话信息的支持更好，需求也更少。会话票证将会话信息的负担置于客户端上。这个信息是由服务器加密并传输到客户端。在新会话中，此信息将被传回服务器，并用于重新建立连接。对服务器资源需求减少了，但网络资源被浪费，同时由于信息的传输，重新建立连接需要更长的时间。R-41：mbaps设备应支持TLS客户端-服务器端双向身份认证握手。检查项：通过证书连接服务器端，查看是否认证成功，认证成功则该项通过。R-42：mbaps设备宜支持客户端和服务器上的TLS恢复会话握手。检查项：客户端连接服务器端，保存会话信息，断开后若能通过会话证书恢复会话，则该项通过。R-43：mbaps设备可支持客户端和服务器上的TLS会话票证恢复。检查项：设备可支持客户端和服务器上的TLS会话票证恢复，则该项通过。GB/T25919.3—XXXX9R-44：如果客户端没有用证书响应服务器端证书请求，则mbaps服务器应拒绝TLS握手。检查项：查看不指定证书是否拒绝握手，若拒绝则该项通过。R-45：mbaps设备宜提供由证书颁发机构签署的x.509v3证书。检查项：查看若存在由CA签署的x.509v3证书，则该项通过。R-46：mbaps设备在发送证书时应发送包含向下到根CA的整个证书链。检查项：检测在发送证书时，若包含向下发到根CA的证书链，则该项通过。R-47：mbaps设备提供的X.509v3证书应符合[RFC5280]的要求。检查项：检测X.509v3证书，若符合[RFC5280]，则该项通过。6.7TLS加密R-48：如果要在需要加密的情况下使用mbaps设备，则应从TLS-PARAMS中IANA的TLS密码套件注册表中选择具有所需加密指示符的密码套件。检查项：需要加密的情况下，密码套件为TLS-PARAMS中IANA的TLS密码套件注册表中具有加密指示符的密码套件，则该项通过。R-49：如果要在不需要加密的情况下使用mbaps设备，则应从TLS-PARAMS中IANA的TLS密码套件注册表中选择具有NULL批量加密指示符的密码套件。检查项：若设备声明支持不加密情况下使用mbaps设备，密码套件为TLS-PARAMS中IANA的TLS密码套件注册表中选择具有NULL批量加密指示符的密码套件，则该项通过。若设备声明只支持加密情况下使用mbaps设备，该项不适用。6.8TLSMACR-50：mbaps设备不应使用HMAC-MD5哈希算法。检查项：密码套件不包括HMAC-MD5哈希算法，则该项通过。R-51：mbaps设备不应使用HMAC-SHA-1哈希算法。检查项：密码套件不包括HMAC-SHA-1哈希算法，则该项通过。R-52：mbaps设备应提供HMAC-SHA-256哈希算法。检查项：密码套件包括HMAC-SHA-256哈希算法，则该项通过。R-53：mbaps设备不应使用NULLHMAC哈希算法。检查项：密码套件不包括NULLHMAC哈希算法，则该项通过。6.9TLSPRFR-54：mbaps设备不应提供HMAC-SHA-1哈希算法用于PRF函数，以计算[RFC5246]的5、6.3和8.1节中定义的密钥块。检查项：密码套件不包括HMAC-SHA-1哈希算法，则该项通过。R-55：mbaps设备应提供HMAC-SHA-256哈希算法，以便在PRF函数中使用，以计算[RFC5246]第5、6.3和8.1节中定义的密钥块。检查项：密码套件包括HMAC-SHA-256或更高安全性的哈希算法，则该项通过。GB/T25919.3—XXXX6.10TLS分片R-57：mbaps设备应支持[RFC6066]中定义的“最大片段长度协商扩展”。检查项：测试最大片段长度，支持[RFC6066]中定义的“最大片段长度协商扩展”，则该项通过。R-58：mbaps设备应支持协商“最大片段长度”为29（512）字节，如RFC6066中所定义的。检查项：测试最大片段长度支持29（512）字节，则该项通过。6.11TLS压缩R-59：mbaps设备应将ClientHello消息的TLSCompressionMethod字段设置为NULL。检查项：ClientHello消息的TLSCompressionMethod的值为NULL，则该项通过。6.12TLS会话重新协商R-60：mbaps设备应提供[RFC5746]中定义的“TLS重新协商指示扩展”，以提供安全的TLS会话重新协商。检查项：设备支持TLS重新协商指示扩展，并提供安全的TLS会话重新协商，则该项通过。6.13mbaps基于角色的客户端授权mbaps协议提供执行基于角色的客户端授权（AuthZ）的能力。客户端角色数据在其x.509v3域证书的扩展中传输。mbaps的基于角色的客户端授权见图5。图5基于角色的客户端授权基于角色的授权是指：——x.509v3证书扩展包含角色编码；——授权功能取决于供应商；——授权角色对应权限的规则取决于供应商，并在授权功能中配置。在两个TLS端点之间建立了一个TLS会话，基于角色的客户端授权的执行过程分为两步。GB/T25919.3—XXXX在第一步中，当mbaps服务器接收到含有客户端证书的消息时，mbaps服务器获取x.509v3客户端的域证书，从x.509v3证书中提取角色并缓存。如果在会话恢复的情况下，则此角色应与恢复的会话关联。角色扩展为ASN1编码的UTF8字符串。在示例角色扩展中，如图6所示，角色值是“Operator”。...Role：.4.1.50316.802.1:Operator图6角色扩展示例在第二步中，mbaps基于角色的客户端授权功能提取的客户端的Role和Modbus请求代码。这两个字段都输入到mbaps授权算法。授权算法确定客户端是AUTHORIZED或者NOT_AUTHORIZED在指定资源上执行指定的功能，该资源在mbaps服务器为角色对应权限规则库提供接收的Modbus功能码中指定。如果请求是NOT_AUTHORIZED，则返回Modbus异常码01-非法功能码。如果请求AUTHORIZED，则mbap服务器将正常处理该请求。授权功能和角色对应权限规则库可以在服务器设备上，也可能是远程的，需要单独的协议来确定请求的授权状态。这超出了本文件的范围。两步过程见图3。R-16：mbaps服务器设备宜提供基于角色的客户端授权，如本节所述。检查项：若没有roleOID支持，将在报告中列出，也需要在声明中描述服务器功能。R-17：如果mbaps服务器设备提供基于角色的客户端授权，它应符合本节中确定的要求。检查项：若支持roleOID，R18～R31中有不符合，则该项不符合，设备不符合要求。R-18：要提供mbaps基于角色的客户端授权能力，以下要素是需要的：1）x.509v3客户端域证书“角色”扩展；检查项：服务器端能正确识别处理客户端提供的roleOID，则该项通过；2）mbaps服务器授权算法；检查项：依据被测设备提供的roleOID相关授权说明，选择不同的roleOID，测试与其说明功能的一致性。若一致，则该项通过。3）mbaps服务器角色对应权限规则库。检查项：依据被测设备提供的roleOID相关授权说明，选择不同的roleOID，测试与其说明功能的一致性。若一致，则该项通过。R-19：mbaps客户端设备应预置x.509v3域证书。检查项：检测客户端设备证书，预置x.509v3域证书，则该项通过。R-20：x.509v3客户端域证书宜包含角色扩展。检查项：检测客户端设备证书，包含RoleOID，则该项通过。R-21：x.509v3证书中的角色应使用MPEMOID.4.1.50316.802.1检查项：检测客户端设备证书。证书中的角色使用MPEMOID.4.1.50316.802.1，则该项通过。GB/T25919.3—XXXXR-22：x.509v3证书中的角色应使用ASN1:UTF8字符串编码。检查项：检测客户端设备证书，角色若使用ASN1:UTF8字符串编码，则该项通过。R-65：每个证书应仅定义一个角色。整个字符串将被视为一个角色。检查项：检测客户端设备证书，每个证书若仅定义一个角色，则该项通过。R-23：如果在x.509v3证书中没有指定角色，则mbaps服务器应为授权算法提供NULL角色。检查项：依据厂商提供的NULL角色文档说明，检测服务端能正常处理NULL角色，且与其文档说明一致，则该项通过。R-24：mbaps授权算法应由设备供应商定义和提供。检查项：送测设备厂商若提供服务器对roleOID支持的完整描述文档，则该项通过。R-25：角色对应权限规则库设计，包括语法和语义，应由设备供应商定义。检查项：送测设备厂商若提供服务器roleOID规则库设计的语法和语义相关文档，则该项通过。R-26：特定应用的角色对应权限规则库应根据设备供应商的设计进行配置，并由最终用户在mbaps服务器中预置。检查项：根据送测设备厂商提供的规则库文档进行测试，若且与其文档说明一致，则该项通过。R-27：特定应用程序的角色对应权限规则库应是最终用户可配置的检查项：根据送测设备厂商提供的规则库文档对规则库进行配置，如规则库可配置，则该项通过。R-28：特定应用程序的角色对应权限规则库不应具有不可变更的硬编码默认角色。检查项：根据送测设备厂商提供的规则库文档对规则库进行配置，若不存在不可变更的硬编码角色，则该项通过。R-29：x.509v3客户端域证书中使用的角色值应与设备供应商的角色对应权限规则库的设计一致。检查项：根据送测设备厂商提供的规则库文档使用客户端证书，若客户端证书角色的权限与规则库一致，则该项通过。R-30：mbaps服务器应从收到的x.509v3客户端域证书中提取客户端角色。检查项：若服务器可以从收到的x.509v3客户端域证书中正确提取客户端角色，则该项通过。R-31：如果用于授权的mbap协议处理程序拒绝请求，则应使用异常码01-非法功能码。检查项：在客户端证书中使用非授权角色对服务器进行访问请求，若返回内容为异常码01，则该项通过。7应用协议一致性测试7.1Modbus应用协议GB/T25919.3—XXXXModbus安全协议未对ModbusTCP/IPADU进行修改，与ModbusTCP/IPADU完全相同。Modbus/TCP规范所定义的应用数据单元（ADU）及应用层协议PDU如图所示：图7ModbusTCPADU故Modbus安全协议设备其ModbusADU应完全符合GB/T19582.1-2008《基于Modbus协议的工业自动化网络规范第1部分：Modbus应用协议》及GB/T19582.3-2008《基于Modbus协议的工业自动化网络规范第3部分：Modbus协议在TCP/IP上的实现指南》对应的PDU和ADU的要求。对Modbus安全协议设备进行一致性测试，将同时进行TLS中PDU符合性测试，测试内容包括且不限于传输ID、协议类型、报文包的装配、功能代码、功能代码对应的报文的格式和正常及异常返回的符合性等。若ModbusTCPmbap不符合对应标准等规定，则被测对象的一致性测试不合格，报告中将列出mbap不合格项。ModbusADU一致性测试，在TLS测试合格之后进行。若TLS测试不合格，不进行此部分测试。7.2测试范围依照被测对象一致性声明文档声明所支持的Modbus功能代码的种类和对应Modbus寄存器的范围进行测试。测试仅支持GB/T19582.1-2008标准所规定的01(0x01)，02(0x02)，03(0x03)，04(0x04)，05(0x05)，06(0x06)，15(0x0f)，16(0x10)进行测试。对其他功能码及用户自定义代码不进行测试。7.3测试内容根据被测对象规则库文档描述及被测对象声明支持的功能码进行如下测试：1)声明支持功能码的起始地址检查；2)声明支持功能码的结束地址检查；3)声明支持寄存器范围检查；4)不支持功能码异常回复；5)寄存器数据范围超限检查。若测试结果与文档描述一致，则被测对象满足测试要求。8产品一致性声明和用户文档8.1产品Modbus安全协议一致性声明产品厂商送测产品，应该同时提供产品的Modbus安全协议一致性声明，声明应包括如下内容：GB/T25919.3—XXXX1)Modbus安全协议服务器端口支持情况；2)产品TLS版本支持情况和密码套件支持情况；3)Modbus功能码支持情况和Modbus寄存器范围；4)Modbus安全服务器roleOID及客户端主机名检查支持情况；5)Modbus安全服务器是否支持数据不加密的情况下使用设备。如用户文档含有相应内容描述，其描述可以作为Modbus安全协议一致性声明使用。8.2用户文档产品厂商送测产品，应同时提供产品用户文档，应包含且不限于以下内容：1)产品基本功能的使用；2)服务器端证书的配置方法；3)服务器端的授权功能和角色对应权限规则库说明；4)服务器端对应客户端roleOID权限的设定和配置方法；5)一致性声明所包含的内容。GB/T25919.3—XXXX（规范性附录）mbaps数据包结构图A.1mbapADU的TLS传输显示了TCP上的TLS协议的分层。封装在TLS应用程序协议包中的mbapADU。mbap协议是在TCP端口802上由TLS传输的mbap协议。TLS应用协议mbapADUTLS内容类型=23TLS记录协议端口802TCP图A.1mbapADU的TLS传输mbaps使用的TLS记录层的结构在RFC5246第A-1中定义，见图A.2，