PyModbus中TLS客户端对最新Modbus/TCP安全协议的支持问题分析

背景介绍

Modbus/TCP安全协议是工业自动化领域中广泛使用的通信协议，随着网络安全要求的提高，其安全版本MB-TCP-Security规范也在不断更新。最新版本MB-TCP-Security-v36_2021-07-30对数据传输格式提出了新的要求。

问题描述

在使用PyModbus 3.6.5版本时发现，其TLS客户端实现与最新Modbus/TCP安全规范存在兼容性问题。具体表现为：

1. TLS连接建立成功，但数据传输格式不符合规范
2. 当前实现仅封装功能码和数据部分，而规范要求封装完整的MBAP ADU（包括MBAP头部）

技术细节分析

Modbus/TCP安全协议规范要求TLS封装的数据应包含：

• MBAP头部（事务标识符、协议标识符、长度字段等）
• 功能码
• 实际数据

而PyModbus当前的TLS帧处理器(ModbusTlsFramer)实现仅封装了功能码和数据部分，缺少了MBAP头部信息。这种实现方式与早期版本规范兼容，但不满足最新规范要求。

解决方案

经过验证，可以采用以下两种解决方案：

1. 使用Socket帧处理器替代
   通过配置使用socket_framer而非默认的tls_framer，可以正确封装完整的MBAP ADU数据。

2. 自定义帧处理器
   开发者可以基于现有代码实现符合最新规范的帧处理器，正确处理MBAP头部的封装。

影响与建议

这一问题主要影响需要与严格遵循最新Modbus/TCP安全规范的设备通信的场景。对于大多数应用场景，现有实现仍能正常工作。

建议开发者：

• 评估目标设备对协议规范的遵循程度
• 根据实际需求选择合适的帧处理器
• 关注PyModbus后续版本对此问题的官方修复

对于安全要求较高的工业控制系统，建议优先采用符合最新规范的通信方案，确保数据传输的完整性和安全性。