具有工業(yè)控制信息安全特性的TD—LTE無線RTU*

張曉莉 郭慶西安科技大學(xué)通信學(xué)院大唐移動(dòng)通信設(shè)備有限公司

具有工業(yè)控制信息安全特性的TD—LTE無線RTU*

張曉莉1郭慶21西安科技大學(xué)通信學(xué)院2大唐移動(dòng)通信設(shè)備有限公司

安全的SCADA遠(yuǎn)程監(jiān)控系統(tǒng)需引入端到端加密和無線RTU接入認(rèn)證。在SCADA側(cè)引入基于數(shù)字證書的接入認(rèn)證服務(wù)器AS和加密網(wǎng)關(guān)CiperGW，無線RTU中增加數(shù)字證書（DC）接入功能和安全加密功能。TD—LTE無線RTU集無線數(shù)傳DTU和井場數(shù)字化遠(yuǎn)程終端單元RTU功能于一身，具有功能強(qiáng)、體積小的優(yōu)勢，在應(yīng)用到油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)時(shí)可以替代DTU和RTU，以減少安裝占用的空間，降低故障率。該系統(tǒng)除了在油田的應(yīng)用外還可以推廣到其他行業(yè)領(lǐng)域，尤其對(duì)于正在北京、天津試點(diǎn)的政務(wù)物聯(lián)網(wǎng)，可以保證遠(yuǎn)程無線監(jiān)控的安全性。

TD-LTE無線RTU；工業(yè)信息安全；安全認(rèn)證；加密網(wǎng)關(guān)

1 SCADA無線遠(yuǎn)程監(jiān)控安全機(jī)制

安全的SCADA遠(yuǎn)程監(jiān)控系統(tǒng)需引入端到端加密和無線RTU接入認(rèn)證。在SCADA側(cè)引入基于數(shù)字證書的接入認(rèn)證服務(wù)器AS和加密網(wǎng)關(guān)Ciper GW，無線RTU中增加數(shù)字證書（DC）接入功能和安全加密功能。無線RTU接入數(shù)字證書認(rèn)證步驟流程如下：

（1）無線RTU發(fā)送請求初始化的信息Init及cnt1給AS。

（2）AS驗(yàn)證cnt1，若正確，則發(fā)送（Cert（KASP），KASP）及cnt1給無線RTU。

（3）無線RTU驗(yàn)證cnt1，若正確，驗(yàn)證Cert（KASP），若該證書有效，無線RTU將其身份IDRTU、身份證書Cert（IDRTU）、EKA(Hash(IDRTU|| Cert(IDRTU)))及cnt1的級(jí)聯(lián)用KASP加密后發(fā)送給AS。其中形如EKA(x)的公式是表示用KA對(duì)x進(jìn)行加密，下同。

（4）AS用KASP對(duì)應(yīng)的私鑰解密，驗(yàn)證cnt1，若正確，再驗(yàn)證Cert(IDRTU)，若正確，用Cert(IDRTU)從TTP處獲得無線RTU的臨時(shí)密鑰KA。然后計(jì)算EKA(Hash(IDRTU||Cert(IDRTU)))，若與其接收到的相同，則證明無線RTU合法。AS將KA對(duì)應(yīng)于IDRTU保存，并將success信息及cnt1用KA加密后發(fā)送給無線RTU。至此無線RTU與AS之間的認(rèn)證結(jié)束。

2 安全的無線RTU設(shè)備架構(gòu)

無線RTU在原有產(chǎn)品架構(gòu)基礎(chǔ)上，增加數(shù)字證書認(rèn)證功能以及相應(yīng)的數(shù)字證書（DC）存儲(chǔ)功能，增加安全加密芯片。安全加密芯片應(yīng)采用國家保密局認(rèn)可并授權(quán)生產(chǎn)的國產(chǎn)安全芯片。

安全芯片TPM（TrustedPlatformModule），即可信任平臺(tái)模塊，是一個(gè)可獨(dú)立進(jìn)行密鑰生成、加解密的裝置，內(nèi)部擁有獨(dú)立的處理器和存儲(chǔ)單元，可存儲(chǔ)密鑰和特征數(shù)據(jù)，為處理器提供加密和安全認(rèn)證服務(wù)。用安全芯片進(jìn)行加密，密鑰被存儲(chǔ)在硬件中，被竊的數(shù)據(jù)無法解密，從而保護(hù)商業(yè)隱私和數(shù)據(jù)安全。現(xiàn)在大多數(shù)廠家的安全芯片加解密處理能力達(dá)到20Mbps，有些廠商的安全芯片還內(nèi)置了雙向數(shù)字證書認(rèn)證算法。

3 應(yīng)用

TD—LTE無線RTU集無線數(shù)傳DTU和井場數(shù)字化遠(yuǎn)程終端單元RTU功能于一身，具有功能強(qiáng)、體積小的優(yōu)勢，在應(yīng)用到油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)時(shí)可以替代DTU和RTU，以減少安裝占用空間，降低故障率。在信息安全配置方面，需在SCADA系統(tǒng)前端部署接入認(rèn)證系統(tǒng)AS和加密網(wǎng)關(guān)設(shè)備作為安全中心，實(shí)現(xiàn)作業(yè)區(qū)內(nèi)井場無線RTU的接入安全認(rèn)證和數(shù)據(jù)傳輸加密。

該系統(tǒng)除了在油田應(yīng)用外還可以推廣到其他行業(yè)領(lǐng)域，如智能電網(wǎng)、城市燃?xì)獗O(jiān)控等關(guān)系國計(jì)民生能源行業(yè)的工業(yè)生產(chǎn)遠(yuǎn)程監(jiān)控系統(tǒng)中。尤其對(duì)于正在北京、天津試點(diǎn)的政務(wù)物聯(lián)網(wǎng)，可以保證遠(yuǎn)程無線監(jiān)控的安全性。綜上所述，具有工業(yè)控制信息安全特性的TD—LTE無線RTU的應(yīng)用，極大地提高了油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)油氣水井遠(yuǎn)程監(jiān)控信息安全水平，具有廣闊的應(yīng)用前景。

（欄目主持 樊韶華）

10.3969/j.issn.1006-6896.2014.12.072

基金論文：陜西省科技廳科技攻關(guān)計(jì)劃項(xiàng)目“油田物聯(lián)網(wǎng)”（2012K06—16）。