【方原柏专栏】流程行业无线通信系统安全威胁和应对措施

1 概述

如果流程行业无线通信系统没有很高的安全性能,用户是不会考虑采用无线系统的,流程行业无线通信系统必须得像有线系统一样安全可靠,才能够引起用户足够的关注,所以安全性是一个基本要求。流程行业有线设备与控制网络的连接是相对固定的,边界是确定的,而无线网络则是开放的,与控制网络的连接是相对可变的,边界也不是确定的。有线系统的传输环境基本不会改变,信号传输质量稳定,无线系统的网络会受障碍物移动、各种各样的射频和电磁信号干扰等影响,信号质量有波动,在一定程度上影响通信的顺畅。更令人担忧的是无线网络通常部署在无人维护、不可控制的环境中,存在有敌手攻击网络的可能性,敌手出于各种目的,针对无线网络发起被动窃听或主动干扰等各种攻击,使无线系统遭遇截取信息、恶意注入信息、未授权使用服务等一系列信息安全问题。

无线信号在空间传播,其传播信号可能会扩张到装置范围以外。必须禁止外人甚至是敌手加入网络、窃听、修改、延迟或发送数据,破坏网络安全,否则生产数据与库存数据将会泄露,危及信息安全。因此任何应用中的无线通信都要求采取加密,验证和其它安全措施。

我们必须充分考虑流程行业无线通信系统可能面临的安全问题,并把安全机制集成到系统设计中,只有这样,才能促进流程行业无线通信系统的广泛应用。一种好的安全机制设计是建立在对其所面临的干扰和威胁、网络特点等的深刻分析基础之上的,流程行业无线通信系统的安全机制的主要目标是保障系统的正常运行,当受到干扰或敌手攻击时能迅速发现并采取相应措用户能深切体会到:流程行业无线通信系统是安全可靠的。
2 流程行业无线通信系统可能受到的威胁

流程行业无线通信系统的数据包括操作数据,这包括来自无线现场变送器类设备的过程值和送往无线现场执行器的操作值,还包括无线系统的管理数据,如通信状态和系统配置信息。

对于传送和接收这些重要信息的流程行业无线通信系统来说,威胁通常是以下几类:

●信道干扰

●监听

●伪造数据

●欺骗

●重放攻击

2.1 信道干扰(Channel interference)

流程行业无线通信系统的工作频段是2.4GHz,是一个全球免费许可频段,蓝牙、Wi-Fi也工作在这个频段,因此在使用环境中,不同类型的无线通信并行并且共享相同的传输介质和开放的空间,就有可能产生通信干扰。特别是当两个无线通信系统同时以同一频率在同一区域发送数据包时,数据包可能发生碰撞造成发送失败。

2.2 监听(Sniffing)

监听涉及第三方恶意的拦截通信和试图窃取通信内容。

如果一个怀有恶意的人以某种方式从通信中窃听数据,一些敏感和机密的信息,如制造技术的诀窍、产量和其他与业务相关的数据都有可能泄露出去。即使数据本身没有价值,通过互联网和其他媒体披露造成的信息泄漏,可能使企业在系统供应商和用户面前失去了社会公信力。

2.3 伪造数据(Data falsification)

伪造数据涉及恶意的第三方监控通信和故意改变通信内容。

如果不知道过程值或操作值已被恶意篡改,因异常输出可能降低产品质量,使生产设施的破坏,甚至危及人的生命。

2.4 欺骗(Spoofing)

敌手以伪造的非法设备试图进入无线网络,可称之为欺骗,它是一个非认证的设备,无线现场设备和网关可以作为欺骗的目标,如果敌手用一台伪设备模拟一个相应的无线现场变送器,它可以发送错误的过程值到主机系统。如果敌手用一台伪网关模拟相应的网关,它可以向阀门和执行器等现场设备发送错误的操作值。

2.5 重放攻击(replay attack)

重放攻击是一种特殊类型的欺骗,它记录通信数据包,然后将记录的数据包发送。重放攻击的特征在于它无密码分析就能攻击。

如果无线网关将一个开的命令发送给一个阀门的执行器,因为该命令来自有效的网关,执行器打开阀门。敌手拦截和记录通信,然后重放通信。因为执行器无法区分这一通信是来自网关还是敌手的伪网关,执行器按通信要求打开阀门,这将使操作阀门进行错误的操作。

3 流程行业无线通信系统应对威胁的安全对策

相对于一般的无线通信系统来说,流程行业无线通信系统采用更多的安全措施来保障无线网络和数据的安全。这些安全措施有:跳频扩频技术和定义设备黑名单技术、加密算法、设备认证、信息认证、通信信息新鲜度等。

3.1 跳频扩频技术和定义设备黑名单技术

工业无线通信的国际标准均采用2.4GHz(2.4000GHz~2.4835GHz)频段,但不是将这个频段范围作为一个单信道,而通常是将2.4GHz频段划分成16个信道(WirelessHART不支持使用信道26,只使用另外的15个信道),每个信道的带宽是2MHz,信道间隔为3MHz,这相当于将带宽扩大了16倍。而在某个瞬间,只使用其中一个信道通信,这个信道可以指定也可以以跳频扩频(FHSS)方式选择(见图1下图)。采用根据信道状态自适应跳频机制时,通过在线信道状态评估、信道黑名单在线建立,进行调频序列自适应调整,可以有效地抑制突发性干扰,消除频率选择性衰减,提高通信的安全性。


图1  跳频扩频技术和定义信道黑名单技术

信号频率的变化,或者说频率跳跃,总是按照某种随机的模式安排的。在实际传输之前先对目标信道作信道空闲评估测试,那些时常受干扰或已被占用的信道将会列入信道黑名单,被禁止使用。如果在测试时发现现场已经使用了如图1上图所示的Wi-Fi信号,它占用了WirelessHART的21~25号信道,那么我们就将这几个信道列入黑名单,频率跳跃时将不会再选择这几个信道,而可供挑选的信道仅有11~20这10个信道了。图1下方跳信道表示了按顺序的时隙(宽度约10ms)所自动选择的通信信道,第一个时隙是17信道,第二个时隙是12信道……

3.1.2 加密算法

有线通信因不接受来自外部的访问,信息受到保护;而与有线通信相比,无线通信是通过共享媒体的开放空间传送,信息可能被截获、改变和干扰。开放的空间任何人都可进入,不加密保护不能防止信息被截获。所以,无线通信所传输的信息都需要通过各种安全技术进行保护。

加密(encryption),是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知道解密的方法,仍然无法了解信息的内容。在流程行业无线通信系统里,仅终端设备才可以解密信息和使用信息,这意味着端到端的数据加密使数据在到达有线网络之前始终是加密的。

图2介绍了信息加密和解密的过程,用一个随机数和密钥给明文信息加密使之成为密码文本,终端设备接收到密码文本信息后对其解密,使之恢复成明文。


图2  信息的加密和解密过程

加密使用标准的AES-128加密算法,AES是美国、欧盟采用的加密标准,在金融机构和电子商务中已经被证明是最有效、最安全的加密算法。

此外,加密的密钥由安全管理器定期更新,因此,即使一个加密密钥被一蛮力攻击解码,但定期更新后,被解码的加密密钥不再使用,新的加密密钥使数据包仍处于加密状态,敌手需再次用蛮力攻击解码。攻击的过程费时费力,即使能解码一次,得到的只是特定设备有限的通信内容。

3.1.3 设备认证

防止未经设备认证的设备加入网络是无线网络安全的关键,每个无线网络的设备都拥有各自的入网密钥,用于设备入网过程中的加密和认证,以确保加入过程中发送和接收的数据的机密性。入网密钥还用于向安全管理器证明设备属于该网络,入网密钥为每台设备所独有或在给定的无线网络中共用,但每个无线网络产生的入网密钥是不同的,入网密钥应被视为保密的,并满足有关方安全政策的要求。设备的入网密钥不能以物理或数字方式读取,既不能被非预期的用户读取,也不能被用户读取,入网密钥被存储在网关的文件中。

在WirelessHART无线网络里,无线变送器均需配备一个有线的HART维护终端,可连接所有工厂内现有的手操器或笔记本电脑,用于在开启无线通信功能之前对变送器进行安全调试,其中包括给WirelessHART无线变送器生成入网密钥,采用这种方式生成入网密钥是无法通过无线形式来完成的。图3显示的是在任何一台WirelessHART变送器(图3右),端盖里面的标准“COMM”端口上连接475HART手操器(图3左),以进行WirelessHART无线现场设备组态和设置,其中包括入网密钥的生成。


图3  连接WirelessHART变送器和475HART手操器生成入网密钥

1-变送器的“COMM”端口

ISA100.11a是通过红外通信生成入网密钥,红外通信的有限传输范围提供安全的数据传输。图4显示配置的授权工具手持设备PDA,从控制系统的密钥服务器获取无线设备的授权密码,当红外线端口放置在离设备小于30cm的位置时,可对无线变送器、多功能节点、网关的红外端口授权。经过授权的无线设备会自动加入无线网络进行无线通信,并自动完成其他安全设定。


图4  ISA100.11a通过红外通信生成入网密钥

横河公司的ISA100.11a产品在加入过程中的验证使用了一种称为挑战应答的相互认证机制,在挑战应答认证时,一方提出了一个问题(“挑战”),另一方必须提供一个有效的答案(“应答”)进行认证。挑战的发送者计算自己的反应,并比较来自另一方的反应。如果应答匹配,发送者决定与另一方共享这一有效的入网密钥,图5显示了ISA100.11a挑战应答的认证。无线现场设备从伪随机数中产生挑战的CA和入网密钥。网关产生一个对应于挑战的应答RA。无线现场设备自生产生一个响应,并将其与来自网关的应答进行比较。如果应答匹配,无线现场设备确定网关是有效的。无线现场设备根据RA产生应答挑战RB,网关会自生产生一个应答,并将其与设备的响应进行比较。如果应答匹配,则网关确定该设备是有效的。


图5  通过挑战应答的相互认证

3.1.4 信息认证

WirelessHART无线网络提供信息完整性(MIC)检查,检查通过无线网络发送的数据是否被更改,为每个数据包添加信息完整性代码,接收设备检查MIC,以便确认数据包的内容未被更改,让用户可以确认信息未经网络外部设备更改。

凌力尔特公司WirelessHART无线网络的所有数据包都在每一层上进行鉴定,并实施端到端加密。在链路层上,采用一个运行时间密钥和一个基于时间的计数器在每一跳上对数据包进行鉴定。此外还采用运行时间会话密钥和一个共享的计数器对数据包实施鉴定和端到端加密。这些鉴定层共同提供了针对重放攻击和敌手攻击的防护作用。

横河公司的ISA100.11a产品信息认证是一种用于检查信息是来自合适的合作伙伴还是伪设备的机制。这是通过信息验证码实现的,只有设备知道加密密钥可以创建并嵌入在信息中。就是说,如果在一个信息中的代码与接收器生成的不同,接收器判定,该信息来自那些不知道加密密钥的伪设备,并丢弃该信息。

3.1.5 通信信息新鲜度

为有效的对抗重放攻击,对策是将新鲜度的概念引入到通信信息中。在这个概念中,只有在一段特定的时间内传送的信息能被接受。横河公司的ISA100.11a无线网络的每个设备相互的同步时间在ms级,发送信息时还增加了当前的时间信息,接收机通过增加时间信息来判断传输时间是否合适。

总结以上流程行业无线网络应对干扰和威胁的措施,其影响见表1。

表1  流程行业无线网络的干扰、威胁和应对的安全功能

威胁安全功能

跳频扩频技和

定义设备黑名单

设备认证

加密

信息认证

通信信息刷新

信道干扰

监听

伪造数据

欺骗

重放攻击

√:功能应对威胁有效;

4 结束语

流程行业无线通信系统的安全是用户最关注的问题,针对流程行业无线通信系统实际应用中出现的干扰和威胁,无线通信系统产品的生产厂家已经采取了很多安全措施,目前这项工作还在不断推进,以使流程行业无线通信系统的安全性能不断增强。

作者简介

方原柏:湖北黄冈人,昆明仪器仪表学会理事长,昆明有色冶金设计研究院教授级高级工程师,冶金自动化、衡器、自动化信息、仪器仪表用户、自动化与仪器仪表等杂志编委、中国衡器协会技术专家委员会顾问。发表论文270余篇,由冶金工业出版社出版“电子皮带秤的原理及应用”(1994年)、“电子皮带秤”(2007年)、"流程行业无线通信技术及应用"(2015年)三本专著,参与主编国家标准“有色金属冶炼厂自控设计规范”。