張曉莉 郭慶西安科技大學(xué)通信學(xué)院大唐移動(dòng)通信設(shè)備有限公司
具有工業(yè)控制信息安全特性的TD—LTE無線RTU*
張曉莉1郭慶21西安科技大學(xué)通信學(xué)院2大唐移動(dòng)通信設(shè)備有限公司
安全的SCADA遠(yuǎn)程監(jiān)控系統(tǒng)需引入端到端加密和無線RTU接入認(rèn)證。在SCADA側(cè)引入基于數(shù)字證書的接入認(rèn)證服務(wù)器AS和加密網(wǎng)關(guān)CiperGW,無線RTU中增加數(shù)字證書(DC)接入功能和安全加密功能。TD—LTE無線RTU集無線數(shù)傳DTU和井場數(shù)字化遠(yuǎn)程終端單元RTU功能于一身,具有功能強(qiáng)、體積小的優(yōu)勢,在應(yīng)用到油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)時(shí)可以替代DTU和RTU,以減少安裝占用的空間,降低故障率。該系統(tǒng)除了在油田的應(yīng)用外還可以推廣到其他行業(yè)領(lǐng)域,尤其對(duì)于正在北京、天津試點(diǎn)的政務(wù)物聯(lián)網(wǎng),可以保證遠(yuǎn)程無線監(jiān)控的安全性。
TD-LTE無線RTU;工業(yè)信息安全;安全認(rèn)證;加密網(wǎng)關(guān)
安全的SCADA遠(yuǎn)程監(jiān)控系統(tǒng)需引入端到端加密和無線RTU接入認(rèn)證。在SCADA側(cè)引入基于數(shù)字證書的接入認(rèn)證服務(wù)器AS和加密網(wǎng)關(guān)Ciper GW,無線RTU中增加數(shù)字證書(DC)接入功能和安全加密功能。無線RTU接入數(shù)字證書認(rèn)證步驟流程如下:
(1)無線RTU發(fā)送請求初始化的信息Init及cnt1給AS。
(2)AS驗(yàn)證cnt1,若正確,則發(fā)送(Cert(KASP),KASP)及cnt1給無線RTU。
(3)無線RTU驗(yàn)證cnt1,若正確,驗(yàn)證Cert(KASP),若該證書有效,無線RTU將其身份IDRTU、身份證書Cert(IDRTU)、EKA(Hash(IDRTU|| Cert(IDRTU)))及cnt1的級(jí)聯(lián)用KASP加密后發(fā)送給AS。其中形如EKA(x)的公式是表示用KA對(duì)x進(jìn)行加密,下同。
(4)AS用KASP對(duì)應(yīng)的私鑰解密,驗(yàn)證cnt1,若正確,再驗(yàn)證Cert(IDRTU),若正確,用Cert(IDRTU)從TTP處獲得無線RTU的臨時(shí)密鑰KA。然后計(jì)算EKA(Hash(IDRTU||Cert(IDRTU))),若與其接收到的相同,則證明無線RTU合法。AS將KA對(duì)應(yīng)于IDRTU保存,并將success信息及cnt1用KA加密后發(fā)送給無線RTU。至此無線RTU與AS之間的認(rèn)證結(jié)束。
無線RTU在原有產(chǎn)品架構(gòu)基礎(chǔ)上,增加數(shù)字證書認(rèn)證功能以及相應(yīng)的數(shù)字證書(DC)存儲(chǔ)功能,增加安全加密芯片。安全加密芯片應(yīng)采用國家保密局認(rèn)可并授權(quán)生產(chǎn)的國產(chǎn)安全芯片。
安全芯片TPM(TrustedPlatformModule),即可信任平臺(tái)模塊,是一個(gè)可獨(dú)立進(jìn)行密鑰生成、加解密的裝置,內(nèi)部擁有獨(dú)立的處理器和存儲(chǔ)單元,可存儲(chǔ)密鑰和特征數(shù)據(jù),為處理器提供加密和安全認(rèn)證服務(wù)。用安全芯片進(jìn)行加密,密鑰被存儲(chǔ)在硬件中,被竊的數(shù)據(jù)無法解密,從而保護(hù)商業(yè)隱私和數(shù)據(jù)安全。現(xiàn)在大多數(shù)廠家的安全芯片加解密處理能力達(dá)到20Mbps,有些廠商的安全芯片還內(nèi)置了雙向數(shù)字證書認(rèn)證算法。
TD—LTE無線RTU集無線數(shù)傳DTU和井場數(shù)字化遠(yuǎn)程終端單元RTU功能于一身,具有功能強(qiáng)、體積小的優(yōu)勢,在應(yīng)用到油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)時(shí)可以替代DTU和RTU,以減少安裝占用空間,降低故障率。在信息安全配置方面,需在SCADA系統(tǒng)前端部署接入認(rèn)證系統(tǒng)AS和加密網(wǎng)關(guān)設(shè)備作為安全中心,實(shí)現(xiàn)作業(yè)區(qū)內(nèi)井場無線RTU的接入安全認(rèn)證和數(shù)據(jù)傳輸加密。
該系統(tǒng)除了在油田應(yīng)用外還可以推廣到其他行業(yè)領(lǐng)域,如智能電網(wǎng)、城市燃?xì)獗O(jiān)控等關(guān)系國計(jì)民生能源行業(yè)的工業(yè)生產(chǎn)遠(yuǎn)程監(jiān)控系統(tǒng)中。尤其對(duì)于正在北京、天津試點(diǎn)的政務(wù)物聯(lián)網(wǎng),可以保證遠(yuǎn)程無線監(jiān)控的安全性。綜上所述,具有工業(yè)控制信息安全特性的TD—LTE無線RTU的應(yīng)用,極大地提高了油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)油氣水井遠(yuǎn)程監(jiān)控信息安全水平,具有廣闊的應(yīng)用前景。
(欄目主持 樊韶華)
10.3969/j.issn.1006-6896.2014.12.072
基金論文:陜西省科技廳科技攻關(guān)計(jì)劃項(xiàng)目“油田物聯(lián)網(wǎng)”(2012K06—16)。