凯时k66登录

WIA-SE無線通信系統安全性分析(4)

 

作者:楊雨沱 中科院沈陽自動化研究所;張心岸 沈陽師范大學;張少偉 遼寧工控科技有限公司

1. 引言

航空、航天、船舶、武器裝備制🥃造等🎉行業智能升級改造對無線技術需求迫切,無線介質的開放性增加了其安全風險,2000年的澳大利亞污水廠、2008年的波蘭的地鐵系統、2011年美國無人機在阿富汗誤著陸等🌞典型案例,使得軍工等國防重點行業“談無色變”,安全問題一📖直制約著無線通信在這些特殊行業的應用,同時也成為制約這些行業智能化升級改造的卡脖子問題。2017年以前,國家明令禁止在軍工等國防重點行業使用無線通信。

中國科學院沈陽自動化研究所長期致力于工業無線網絡研發工作,取得了WIA-PAWireless Ne𓆏tworks for Industria𝓰l Automation – Process Automation ,面向過程自動化的工業無線網絡)和WIA-FAWireless Network for Industrial Automation – Factory Auto🌳mation,面向工廠自動化的工業無線網絡)等國際領先的研究成果。從2015年開始,中國科學院沈陽自動化研究所致力于軍工用無線網絡的研究工作,開發了WIA-SE系列無線通信網絡系統WIA-SE是基于WIA-FA通信協議,并在報文格式、加密方式以及電磁信號強度控制等方面做了安全性升級安全增強無線通信解決方案整體方案目前取得了國家相關機構的認可。本文通過竊聽防護、攻擊防護以及電磁信號控制等幾方面詳細分析WIA-SE系列無線通信系統的通信安全性。

2. 竊聽防護

2.1 專用協議

WIA-SE系統基于WIA-FA協議重新設計無線報文格式,改變幀控制結構,將網絡ID、源或目的地址、序列號等信息調整位置。基于安全性考慮,WIA-SE💙網絡對通信報文模糊化🌄,即采用特定規則對安全幀結構進行重新組合,使得通信報文雜亂無章,無規律可循,防止攻擊者針對確定的幀格式進行重放DOS擊。

2.2 國密加密

加密是防止竊聽的有效手段,WIA-SE系統不同于WIFI5G等通信技術,其采用基于國產加密算法的硬件模塊進行加密,硬件模塊均通過了相關國家密碼管理部門的檢測

WIA-SE系統的密碼方案密鑰設計遵循“分層結構,逐層保護”的安全原則,如下圖所示:

img1        

本地主密鑰為SM4算法對稱密鑰,存儲在密碼機中,由運維人員在設備初始化時通過3段分量的方式注入;本地主密鑰用于密鑰管理系統數據庫存儲的密鑰加密密鑰、工作密鑰等關鍵數據實施加密保護

設備密鑰為SM2算法非對稱密鑰,分為簽名密鑰對和加密密鑰對,存儲在各設備密碼卡或密碼模塊中;設備密鑰中簽名密鑰對用于各個設備之間的身份認證,加密密鑰對用于各個設備之密鑰加密密鑰的加密保護下發

密鑰加密密鑰為SM4算法對稱密鑰,由密碼機隨機數方式產生后,被本地主密鑰加密后存儲在密鑰管理系統數據庫中;密鑰加密密鑰用于各個節點工作密鑰的加密保護下發

工作密鑰是為SM4算法對稱密鑰分為數據加密密鑰對和數據MAC密鑰,由密碼機隨機數方式產生后,被本地主密鑰加密后存儲在密鑰管理系統數據庫中,根據密管系統配置的策略定時更新;工༒作密鑰分發給各個設備,用于無線通訊數據的加密和完整性保護,保證數據報文傳輸的安全。

 

2.3 基于隧道的協議隔離

WIA-SE網絡系統在安全網關設備與安全現場設備實現嚴格的訪問控制策略。僅開放安全網關設備與安全現場設備的應用端口,屏蔽其他端口,基于隧道的協議轉換協議層次結構如圖3所示。

C:\Users\lenovo\AppData\Local\Temp\WeChat Files\2f72e9c29f7b6ba62badf256ff83662.png

3 WIA-SE無線網絡協議棧層次結構

 

現場設備利用以太網通用套接字接收應用設備發來的基于TCP/IP協議的數據,并在本地將TCP/IP協議頭部報文去掉,填充數據標簽和用于安全工業無線網絡的協議幀頭并發送🐷꧂。同理,網關設備利用以太網通用套接字接收服務器發來的基于TCP/IP協議的數據,并在本地將TCP/IP協議頭部報文去掉,填充數據標簽和用于專用工業無線網絡的協𒉰議幀頭并發送。當接收端收到安全工業無線網絡的無線報文后,根據數據標簽將幀頭🗹還原為原有的TCP/IP協議頭部并發送到對應的應用設備。相當于用高安全的無🙈線網絡技術將數據信息擺渡到對端,無線空氣鏈路中不存在以太網中的IP以及MAC地址信息,使竊聽設備無法猜測有線網絡結構,降低被竊聽與被攻擊的風險。

3. 攻擊防護

3.1 專有協議校驗

WIA-SE系統新增幀校驗機制,接入設備與現場設備間采用預配置的方式綁定無線數據的通信源地址與目的地址,且基于源地址、目的地址、發送時機三個要素進行通信資源分配。系統中的設備根據接收到的報文中源地址、目的地址、序列號、時間戳等信息進行報文合法性校驗,當檢測到異常時及時產生安全告警,如圖4所示。

C:\Users\ADMINI~1\AppData\Local\Temp\WeChat Files\1fcea5cc0df09d3d1edaf9a6af7741a.png

4 WIA-SE網絡攻擊檢測系統

3.2 基于國密算法的雙向認證密鑰管理

WIA-SE網絡系統新增安全管理服務器(包括數字證書系統密鑰管理系統以及服務器密碼機),數字證書系統負責各種設備數字證書簽發、更✨新以及注銷全生命周期管理;密鑰管理系統負責各種設備對稱密鑰的全生命周期管理,包括密鑰生成、密鑰更新、密鑰存儲、備份與追溯、刪除與銷毀等功能;服務器密碼機為數字證書系統和密鑰管理系統,提供密鑰生成和密碼運算服務的密碼設備WIA-SE網絡內所有設備的接入首先需要與安全管理服務器進行基于國密算法的雙向認證。設備接入認證密鑰管理架構5所示。

img4

5 接入認證密鑰管理架構

 

在密鑰管理系統中,密鑰加密密鑰和工作密鑰具有密鑰狀態、獲取狀態屬性,同時采用多態存儲方式ꦡ,分為當前密鑰和預置密鑰,充分保障當出現設備獲取密鑰異常時業務的連續性,如圖6所示。

img5

密鑰管理系統功能

3.3 信道攻擊監測

WIA-SE網絡系統支持對無線信道質量的監測,網關設備支持周期性發送信道質量監測數據至現場設備,現場設備接收到信道質量監測數據后返還給網關設備,網關設備通過信道質量監測數據中的報文序列號與時戳值得出實時的通信⛎可🍌靠性與實時性,信道監測界面如圖7所示。          &n𝓀bsp;                                                     &🅠nbsp;                                           1639481493(1)

                                   圖7 網絡在線監測平臺

4. 電磁信號控制

WIA-SE無線網絡系統采用增強星型拓撲結構,網絡中可能存在多個接入設備。在AGV應用場景🐻中,每個接入😼設備負責覆蓋一部分行走區域,在覆蓋重疊區域內采取多接入設備技術對通信數據進行重構,實現無縫漫游。為安全性考慮,WIA-SE中的無線設備能夠調整無線發射功率,結合智能天線的波束賦形技術實現信號覆蓋的空間選擇既控制無線信號在安全區域內,又確保AGV與服務器的通信實時可靠。

同時WIA-SE系統新增無線探針設備,用于抓取應用邊界附近相應頻率的無線報文,持續動態查看應用邊界的報文功率是否超過規定安全閾值,當出現功率過大時產生安全告警。

 

綜上,WIA-SE無線網絡系統通過多種手段有效形成了竊聽防護、攻擊防護以及電磁信號控制,是自主可控無線技術國密算法結合的國內唯一解決方案,未來將可能解決特殊敏感行業應用無線技術的卡脖子問題。

 

創建時間:2022-02-05 20:08
收藏
首頁    工業無線技術    WIA-SE無線通信系統安全性分析(4)

投稿:張少偉