流程行業(yè)無線通信系統(tǒng)的安全措施

方原柏（昆明有色冶金設(shè)計(jì)研究院，云南 昆明 650051）

?

流程行業(yè)無線通信系統(tǒng)的安全措施

方原柏（昆明有色冶金設(shè)計(jì)研究院，云南 昆明 650051）

摘要：流程行業(yè)無線通信系統(tǒng)是開放的，與控制網(wǎng)絡(luò)的連接是相對可變的，邊界也不是確定的，因此容易受到射頻和電磁信號的干擾，存在敵手攻擊網(wǎng)絡(luò)的可能性。首先介紹流程行業(yè)無線通信系統(tǒng)可能受到的干擾或威脅，然后闡述流程行業(yè)無線通信系統(tǒng)應(yīng)對干擾和威脅的安全措施，以使用戶能體會到：流程行業(yè)無線通信系統(tǒng)是安全可靠的。

關(guān)鍵詞：流程行業(yè)無線通信系統(tǒng)；干擾和威脅；安全措施

1　概述

如果流程行業(yè)無線通信系統(tǒng)沒有很高的安全性能，用戶是不會考慮采用無線系統(tǒng)的，流程行業(yè)無線通信系統(tǒng)必須得像有線系統(tǒng)一樣安全可靠，才能夠引起用戶足夠的關(guān)注，所以安全性是一個基本要求。流程行業(yè)有線設(shè)備與控制網(wǎng)絡(luò)的連接是相對固定的，邊界是確定的，而無線網(wǎng)絡(luò)則是開放的，與控制網(wǎng)絡(luò)的連接是相對可變的，邊界也不是確定的。有線系統(tǒng)的傳輸環(huán)境基本不會改變，信號傳輸質(zhì)量穩(wěn)定，無線系統(tǒng)的網(wǎng)絡(luò)會受障礙物移動、各種各樣的射頻和電磁信號干擾等影響，信號質(zhì)量有波動，在一定程度上影響通信的順暢。更令人擔(dān)憂的是無線網(wǎng)絡(luò)通常部署在無人維護(hù)、不可控制的環(huán)境中，存在有敵手攻擊網(wǎng)絡(luò)的可能性，敵手出于各種目的，針對無線網(wǎng)絡(luò)發(fā)起被動竊聽或主動干擾等各種攻擊，使無線系統(tǒng)遭遇截取信息、惡意注入信息、未授權(quán)使用服務(wù)等一系列信息安全問題。

無線信號在空間傳播，其傳播信號可能會擴(kuò)張到裝置范圍以外。必須禁止外人甚至是敵手加入網(wǎng)絡(luò)、竊聽、修改、延遲或發(fā)送數(shù)據(jù)，破壞網(wǎng)絡(luò)安全，否則生產(chǎn)數(shù)據(jù)與庫存數(shù)據(jù)將會泄露，危及信息安全。因此任何應(yīng)用中的無線通信都要求采取加密，驗(yàn)證和其它安全措施。

我們必須充分考慮流程行業(yè)無線通信系統(tǒng)可能面臨的安全問題，并把安全機(jī)制集成到系統(tǒng)設(shè)計(jì)中，只有這樣，才能促進(jìn)流程行業(yè)無線通信系統(tǒng)的廣泛應(yīng)用。一種好的安全機(jī)制設(shè)計(jì)是建立在對其所面臨的干擾和威脅、網(wǎng)絡(luò)特點(diǎn)等的深刻分析基礎(chǔ)之上的，流程行業(yè)無線通信系統(tǒng)的安全機(jī)制的主要目標(biāo)是保障系統(tǒng)的正常運(yùn)行，當(dāng)受到干擾或敵手攻擊時(shí)能迅速發(fā)現(xiàn)并采取相應(yīng)措施。用戶能深切體會到：流程行業(yè)無線通信系統(tǒng)是安全可靠的。

2　流程行業(yè)無線通信系統(tǒng)可能受到的威脅

流程行業(yè)無線通信系統(tǒng)的數(shù)據(jù)包括操作數(shù)據(jù)，這包括來自無線現(xiàn)場變送器類設(shè)備的過程值和送往無線現(xiàn)場執(zhí)行器的操作值，還包括無線系統(tǒng)的管理數(shù)據(jù)，如通信狀態(tài)和系統(tǒng)配置信息。

對于傳送和接收這些重要信息的流程行業(yè)無線通信系統(tǒng)來說，威脅通常是以下幾類：

·信道干擾；

·監(jiān)聽；

·偽造數(shù)據(jù)；

·欺騙；

·重放攻擊。

2.1信道干擾（Channel interference）

流程行業(yè)無線通信系統(tǒng)的工作頻段是2.4GHz，是一個全球免費(fèi)許可頻段，藍(lán)牙、Wi-Fi也工作在這個頻段，因此在使用環(huán)境中，不同類型的無線通信并行并且共享相同的傳輸介質(zhì)和開放的空間，就有可能產(chǎn)生通信干擾。特別是當(dāng)兩個無線通信系統(tǒng)同時(shí)以同一頻率在同一區(qū)域發(fā)送數(shù)據(jù)包時(shí)，數(shù)據(jù)包可能發(fā)生碰撞造成發(fā)送失敗。

2.2監(jiān)聽（Sniffing）

監(jiān)聽涉及第三方惡意的攔截通信和試圖竊取通信內(nèi)容。

如果一個懷有惡意的人以某種方式從通信中竊聽數(shù)據(jù)，一些敏感和機(jī)密的信息，如制造技術(shù)的訣竅、產(chǎn)量和其他與業(yè)務(wù)相關(guān)的數(shù)據(jù)都有可能泄露出去。即使數(shù)據(jù)本身沒有價(jià)值，通過互聯(lián)網(wǎng)和其他媒體披露造成的信息泄漏，可能使企業(yè)在系統(tǒng)供應(yīng)商和用戶面前失去了社會公信力。

2.3偽造數(shù)據(jù)（Data falsification）

偽造數(shù)據(jù)涉及惡意的第三方監(jiān)控通信和故意改變通信內(nèi)容。

如果不知道過程值或操作值已被惡意篡改，因異常輸出可能降低產(chǎn)品質(zhì)量，使生產(chǎn)設(shè)施破壞，甚至危及人的生命。

2.4欺騙（Spoofing）

敵手以偽造的非法設(shè)備試圖進(jìn)入無線網(wǎng)絡(luò)，可稱之為欺騙，它是一個非認(rèn)證的設(shè)備，無線現(xiàn)場設(shè)備和網(wǎng)關(guān)可以作為欺騙的目標(biāo)，如果敵手用一臺偽設(shè)備模擬一個相應(yīng)的無線現(xiàn)場變送器，它可以發(fā)送錯誤的過程值到主機(jī)系統(tǒng)。如果敵手用一臺偽網(wǎng)關(guān)模擬相應(yīng)的網(wǎng)關(guān)，它可以向閥門和執(zhí)行器等現(xiàn)場設(shè)備發(fā)送錯誤的操作值。

2.5重放攻擊（replay attack）

重放攻擊是一種特殊類型的欺騙，它記錄通信數(shù)據(jù)包，然后將記錄的數(shù)據(jù)包發(fā)送。重放攻擊的特征在于它無密碼分析就能攻擊。

如果無線網(wǎng)關(guān)將一個開的命令發(fā)送給一個閥門的執(zhí)行器，因?yàn)樵撁顏碜杂行У木W(wǎng)關(guān)，執(zhí)行器打開閥門。敵手?jǐn)r截和記錄通信，然后重放通信。因?yàn)閳?zhí)行器無法區(qū)分這一通信是來自網(wǎng)關(guān)還是敵手的偽網(wǎng)關(guān)，執(zhí)行器按通信要求打開閥門，這將使操作閥門進(jìn)行錯誤的操作。

3　流程行業(yè)無線通信系統(tǒng)應(yīng)對威脅的安全對策

相對于一般的無線通信系統(tǒng)來說，流程行業(yè)無線通信系統(tǒng)采用更多的安全措施來保障無線網(wǎng)絡(luò)和數(shù)據(jù)的安全。這些安全措施有：跳頻擴(kuò)頻技術(shù)和定義設(shè)備黑名單技術(shù)、加密算法、設(shè)備認(rèn)證、信息認(rèn)證、通信信息新鮮度等。

3.1跳頻擴(kuò)頻技術(shù)和定義設(shè)備黑名單技術(shù)

工業(yè)無線通信的國際標(biāo)準(zhǔn)均采用2.4GHz（2.4000GHz～2.4835GHz）頻段，但不是將這個頻段范圍作為一個單信道，而通常是將2.4GHz頻段劃分成16個信道（WirelessHART不支持使用信道26，只使用另外的15個信道），每個信道的帶寬是2MHz，信道間隔為3MHz，這相當(dāng)于將帶寬擴(kuò)大了16倍。而在某個瞬間，只使用其中一個信道通信，這個信道可以指定也可以以跳頻擴(kuò)頻（FHSS）方式選擇（如圖1所示）。采用根據(jù)信道狀態(tài)自適應(yīng)跳頻機(jī)制時(shí)，通過在線信道狀態(tài)評估、信道黑名單在線建立，進(jìn)行調(diào)頻序列自適應(yīng)調(diào)整，可以有效地抑制突發(fā)性干擾，消除頻率選擇性衰減，提高通信的安全性。

圖1　跳頻擴(kuò)頻技術(shù)和定義信道黑名單技術(shù)

信號頻率的變化，或者說頻率跳躍，總是按照某種隨機(jī)的模式安排的。在實(shí)際傳輸之前先對目標(biāo)信道做信道空閑評估測試，那些時(shí)常受干擾或已被占用的信道將會列入信道黑名單，被禁止使用。如果在測試時(shí)發(fā)現(xiàn)現(xiàn)場已經(jīng)使用了如圖1上圖所示的Wi-Fi信號，它占用了WirelessHART的21～25號信道，那么我們就將這幾個信道列入黑名單，頻率跳躍時(shí)將不會再選擇這幾個信道，而可供挑選的信道僅有11～20這10個信道了。圖1下圖跳信道表示了按順序的時(shí)隙（寬度約10ms）所自動選擇的通信信道，第一個時(shí)隙是17信道，第二個時(shí)隙是12信道……

3.1.2 加密算法

有線通信因不接受來自外部的訪問，信息受到保護(hù)；而與有線通信相比，無線通信是通過共享媒體的開放空間傳送，信息可能被截獲、改變和干擾。開放的空間任何人都可進(jìn)入，不加密保護(hù)不能防止信息被截獲。所以，無線通信所傳輸?shù)男畔⒍夹枰ㄟ^各種安全技術(shù)進(jìn)行保護(hù)。

加密（encryption），是以某種特殊的算法改變原有的信息數(shù)據(jù)，使得未授權(quán)的用戶即使獲得了已加密的信息，但因不知道解密的方法，仍然無法了解信息的內(nèi)容。在流程行業(yè)無線通信系統(tǒng)里，僅終端設(shè)備才可以解密信息和使用信息，這意味著端到端的數(shù)據(jù)加密使數(shù)據(jù)在到達(dá)有線網(wǎng)絡(luò)之前始終是加密的。

圖2介紹了信息加密和解密的過程，用一個隨機(jī)數(shù)和密鑰給明文信息加密使之成為密碼文本，終端設(shè)備接收到密碼文本信息后對其解密，使之恢復(fù)成明文。

圖2　信息的加密和解密過程

加密使用標(biāo)準(zhǔn)的AES-128加密算法，AES是美國、歐盟采用的加密標(biāo)準(zhǔn)，在金融機(jī)構(gòu)和電子商務(wù)中已經(jīng)被證明是最有效、最安全的加密算法。

此外，加密的密鑰由安全管理器定期更新，因此，即使一個加密密鑰被一蠻力攻擊解碼，但定期更新后，被解碼的加密密鑰不再使用，新的加密密鑰使數(shù)據(jù)包仍處于加密狀態(tài)，敵手需再次用蠻力攻擊解碼。攻擊的過程費(fèi)時(shí)費(fèi)力，即使能解碼一次，得到的也只是特定設(shè)備有限的通信內(nèi)容。

3.1.3 設(shè)備認(rèn)證

防止未經(jīng)設(shè)備認(rèn)證的設(shè)備加入網(wǎng)絡(luò)是無線網(wǎng)絡(luò)安全的關(guān)鍵，每個無線網(wǎng)絡(luò)的設(shè)備都擁有各自的入網(wǎng)密鑰，用于設(shè)備入網(wǎng)過程中的加密和認(rèn)證，以確保加入過程中發(fā)送和接收的數(shù)據(jù)的機(jī)密性。入網(wǎng)密鑰還用于向安全管理器證明設(shè)備屬于該網(wǎng)絡(luò)，入網(wǎng)密鑰為每臺設(shè)備所獨(dú)有或在給定的無線網(wǎng)絡(luò)中共用，但每個無線網(wǎng)絡(luò)產(chǎn)生的入網(wǎng)密鑰是不同的，入網(wǎng)密鑰應(yīng)被視為保密的，并滿足有關(guān)方安全政策的要求。設(shè)備的入網(wǎng)密鑰不能以物理或數(shù)字方式讀取，既不能被非預(yù)期的用戶讀取，也不能被用戶讀取，入網(wǎng)密鑰被存儲在網(wǎng)關(guān)的文件中。

在WirelessHART無線網(wǎng)絡(luò)里，無線變送器均需配備一個有線的HART維護(hù)終端，可連接所有工廠內(nèi)現(xiàn)有的手操器或筆記本電腦，用于在開啟無線通信功能之前對變送器進(jìn)行安全調(diào)試，其中包括給WirelessHART無線變送器生成入網(wǎng)密鑰，采用這種方式生成入網(wǎng)密鑰是無法通過無線形式來完成的。圖3顯示的是在任何一臺WirelessHART變送器（圖3右），端蓋里面的標(biāo)準(zhǔn)“COMM”端口上連接475HART手操器（圖3左），以進(jìn)行WirelessHART無線現(xiàn)場設(shè)備組態(tài)和設(shè)置，其中包括入網(wǎng)密鑰的生成。

圖3　連接WirelessHART變送器和475HART手操器生成入網(wǎng)密鑰1-變送器的“COMM”端口

ISA100.11a是通過紅外通信生成入網(wǎng)密鑰，紅外通信的有限傳輸范圍提供安全的數(shù)據(jù)傳輸。圖4顯示配置的授權(quán)工具手持設(shè)備PDA，從控制系統(tǒng)的密鑰服務(wù)器獲取無線設(shè)備的授權(quán)密碼，當(dāng)紅外線端口放置在離設(shè)備小于30cm的位置時(shí)，可對無線變送器、多功能節(jié)點(diǎn)、網(wǎng)關(guān)的紅外端口授權(quán)。經(jīng)過授權(quán)的無線設(shè)備會自動加入無線網(wǎng)絡(luò)進(jìn)行無線通信，并自動完成其他安全設(shè)定。

圖4　ISA100.11a通過紅外通信生成入網(wǎng)密鑰

橫河公司的ISA100.11a產(chǎn)品在加入過程中的驗(yàn)證使用了一種稱為挑戰(zhàn)應(yīng)答的相互認(rèn)證機(jī)制，在挑戰(zhàn)應(yīng)答認(rèn)證時(shí)，一方提出了一個問題（“挑戰(zhàn)”），另一方必須提供一個有效的答案（“應(yīng)答”）進(jìn)行認(rèn)證。挑戰(zhàn)的發(fā)送者計(jì)算自己的反應(yīng)，并比較來自另一方的反應(yīng)。如果應(yīng)答匹配，發(fā)送者決定與另一方共享這一有效的入網(wǎng)密鑰，圖5顯示了ISA100.11a挑戰(zhàn)應(yīng)答的認(rèn)證。無線現(xiàn)場設(shè)備從偽隨機(jī)數(shù)中產(chǎn)生挑戰(zhàn)的CA和入網(wǎng)密鑰。網(wǎng)關(guān)產(chǎn)生一個對應(yīng)于挑戰(zhàn)的應(yīng)答RA。無線現(xiàn)場設(shè)備自生產(chǎn)生一個響應(yīng)，并將其與來自網(wǎng)關(guān)的應(yīng)答進(jìn)行比較。如果應(yīng)答匹配，無線現(xiàn)場設(shè)備確定網(wǎng)關(guān)是有效的。無線現(xiàn)場設(shè)備根據(jù)RA產(chǎn)生應(yīng)答挑戰(zhàn)RB，網(wǎng)關(guān)會自產(chǎn)生一個應(yīng)答，并將其與設(shè)備的響應(yīng)進(jìn)行比較。如果應(yīng)答匹配，則網(wǎng)關(guān)確定該設(shè)備是有效的。

圖5　通過挑戰(zhàn)應(yīng)答的相互認(rèn)證

3.1.4 信息認(rèn)證

WirelessHART無線網(wǎng)絡(luò)提供信息完整性（MIC）檢查，檢查通過無線網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)是否被更改，為每個數(shù)據(jù)包添加信息完整性代碼，接收設(shè)備檢查MIC，以便確認(rèn)數(shù)據(jù)包的內(nèi)容未被更改，讓用戶可以確認(rèn)信息未經(jīng)網(wǎng)絡(luò)外部設(shè)備更改。

凌力爾特公司W(wǎng)irelessHART無線網(wǎng)絡(luò)的所有數(shù)據(jù)包都在每一層上進(jìn)行鑒定，并實(shí)施端到端加密。在鏈路層上，采用一個運(yùn)行時(shí)間密鑰和一個基于時(shí)間的計(jì)數(shù)器在每一跳上對數(shù)據(jù)包進(jìn)行鑒定。此外還采用運(yùn)行時(shí)間會話密鑰和一個共享的計(jì)數(shù)器對數(shù)據(jù)包實(shí)施鑒定和端到端加密。這些鑒定層共同提供了針對重放攻擊和敵手攻擊的防護(hù)作用。

橫河公司的ISA100.11a產(chǎn)品信息認(rèn)證是一種用于檢查信息是來自合適的合作伙伴還是偽設(shè)備的機(jī)制。這是通過信息驗(yàn)證碼實(shí)現(xiàn)的，只有設(shè)備知道加密密鑰可以創(chuàng)建并嵌入在信息中。就是說，如果在一個信息中的代碼與接收器生成的不同，接收器判定，該信息來自那些不知道加密密鑰的偽設(shè)備，并丟棄該信息。

3.1.5 通信信息新鮮度

為有效的對抗重放攻擊，對策是將新鮮度的概念引入到通信信息中。在這個概念中，只有在一段特定的時(shí)間內(nèi)傳送的信息能被接受。橫河公司的ISA100.11a無線網(wǎng)絡(luò)的每個設(shè)備相互的同步時(shí)間在ms級，發(fā)送信息時(shí)還增加了當(dāng)前的時(shí)間信息，接收機(jī)通過增加時(shí)間信息來判斷傳輸時(shí)間是否合適。

總結(jié)以上流程行業(yè)無線網(wǎng)絡(luò)應(yīng)對干擾和威脅的措施，其影響如表1所示。

表1　流程行業(yè)無線網(wǎng)絡(luò)的干擾、威脅和應(yīng)對的安全功能

4　結(jié)語

流程行業(yè)無線通信系統(tǒng)的安全是用戶最關(guān)注的問題，針對流程行業(yè)無線通信系統(tǒng)實(shí)際應(yīng)用中出現(xiàn)的干擾和威脅，無線通信系統(tǒng)產(chǎn)品的生產(chǎn)廠家已經(jīng)采取了很多安全措施，目前這項(xiàng)工作還在不斷推進(jìn)，以使流程行業(yè)無線通信系統(tǒng)的安全性能不斷增強(qiáng)。

參考文獻(xiàn)：

[1] Kinichi Kitano, Shuji Yamamoto. Strong Security Measures Implemented in ISA100. 11a Wireless System[R]. Yokogawa Technical Report English Edition，2014, 57（2）47 - 50.

[2] 朱祥彬.WIA - PA網(wǎng)絡(luò)安全機(jī)制的研究[J]. 儀器儀表標(biāo)準(zhǔn)化與計(jì)量, 2010 （5）：36 - 39.

[3] 任偉.無線網(wǎng)絡(luò)安全問題初探[J]. 理論研究，2012（1）：10 - 13.

[4] 曲家興, 周瑩, 王希忠, 等. 工業(yè)控制系統(tǒng)無線網(wǎng)絡(luò)安全體系的研究[J]. 信息技術(shù), 2013 (1) : 36 - 38.

[5] 方原柏. 流程行業(yè)無線通信技術(shù)及應(yīng)用[M]. 北京：化學(xué)工業(yè)出版社，2015.

[6]EMERSON. 工業(yè)無線測量工程師指南[EB/OL]. https://www. rosemount. com. cn. 2014. 1.

[7]Steve Munns. 面向國防應(yīng)用的安全和可靠無線傳感器網(wǎng)絡(luò)[J]. 電子產(chǎn)品世界, 2013（10）：15 - 17.

文獻(xiàn)標(biāo)識碼：B

文章編號：1003-0492（2016）04-0078-04中圖分類號：TN92

作者簡介

方原柏（1942-），男，湖北黃岡人，昆明有色冶金設(shè)計(jì)研究院電氣自動化技術(shù)部教授級高工，昆明儀器儀表學(xué)會理事長，中國衡器協(xié)會技術(shù)專家委員會顧問，主要從事儀器儀表、控制系統(tǒng)的應(yīng)用研究，曾出版《電子皮帶秤的原理及應(yīng)用》（1994年，冶金工業(yè)出版社）、《電子皮帶秤》（2007年，冶金工業(yè)出版社）、《流程行業(yè)無線通信技術(shù)及應(yīng)用》（2015年化學(xué)工業(yè)出版社）、《有色金屬生產(chǎn)過程自動化》（2015年，人民郵電出版社）四本專著，發(fā)表論文290篇。

Security Measures for the Wireless Communication System in the Process Industry

Abstract:The wireless communication system of the process industry is open. The connection with the control network is relatively variable, and the boundary is not certain. Therefore, it is vulnerable to the interference of radio frequency and electromagnetic signals, and there is the possibility of adversary attack network. In this paper, we first introduce the possible interference and threat subject to the wireless communications system in the process industry, and then explains security measures to deal with interference or threat for the wireless communication system of the process industry so that the user can feel: the wireless communications system in the process industry is safe and reliable.

Key words:Wireless communication system of the process industry; Interference and threat; Security measures