第36卷第5期。
计算机工程。
010年3月。
工程应用技术与实现文章编号文献标识码:a中圈分类号ltp
pa网络安全组态技术。
王。平,陈。
洲,刘思东,王。
斑。重庆邮电大学网络化控制与智能仪表教育部重点实验室,重庆400
摘要:针对工业控制中epa网络的网关安全问题,基于epa组态软件,提出epa网络安全组态技术。设计epa网络安全组态模块,通。
过组态功能块定义访问控制对象,设置加密密钥、校验密钥、校验算法。访问控制对象经编译后**到安全设备中,决定安全设备的运行状态。测试结果表明,该技术可提升工业控制领域epa网络控制的安全性和可靠性。
关健诃:ep协议;功能块;安全组态;设备鉴别;访问控制对象。
时。标准面向控制工程师。
在epa安全网络中,ep安全网关不仅起到分隔epa微网段的作用,同时为现场设备层网络提供边界保护。ep
的应用,利用基于epa通信规范与epa网络安全规范标准和iec标准定义开放、分布式、可重用的自控系统基本模块(如功能块),通过易实现的连接关系联。
安全网关包含完整实现的epa安全协议栈,位于应用层的epa安全实体,以及位于网络层和数据链路层的epa报文控制管理实体。ep报文控制管理实体提供防火墙和地址转化。
系,组成分布式现场网络控制系统,以满足不同工程应用的要求。随着epa的发展,其工控网络安全性已成首要问题。本文基于用于工业测量与控制系统的epa系统结构与通信。
功能,对出入epa微网段的所有数据包进行控制,保护epa
设备免于各种非epa报文的攻击。ep网络安全管理实体通。
过epa安全措施,保护微网段内设备免于epa报文的攻击n
标准》提出并实现了epa工业控制网络安全组态技术。
epa安全阿络结构。
pa安全网络结构如图1所示。
epa网络安全组态的总体架构。
.1子模块的划分。
pa网络安全组态【3】是epa组态软件中很重要的模块,其作用是防止非法设备接入epa网络,防止epa网络数据被非法篡改,保护epa网络数据被非法获取,设置epa安全设备之间的访问权限。根据以上要求将epa网络安全组态划分为4个子模块:设备鉴别处理,访问控制管理,数据报文加。
密管理,数据报文校验管理。
.2子模块之间的结构关系。
pa设备鉴别处理子模块是整个epa网络安全组态的基础,该子模块用于鉴别epa网络中设备的合法性。只有通过。
pa设备鉴别处理的设备组态软件才能对该设备设置访问权。
**项目:国家“86计划**资助重点项目“基于epa的应用系统开发。
作者筒介:王。
pa安垒设备e队设备epa设备epa
:备。pa无线设备。
平(19一),男,教授、博士、博士生导师,主研方。
埏,副教授。
向:工业以太网及网络控制,无线传感器网络,工业无线通信;
陈。洲、刘思东,硕士研究生;王。
图1ep安全罔络结构。
一。收稿日期:20一。
28一。限,选择报文加密算法,选择数据校验算法。ep网络安全组态结构如图2所示。
图2ep网络安全组态的结构。
ep网络安全组态的实现。
.1e设备鉴别处理。
pa设备通过设备鉴别服务进行鉴别。发送方在发送设备鉴别服务时,使用md5算法对dev时间戳和。
所组成的8位位组串进行摘要。摘要值作为鉴别码与设备的。
ddr时间戳等共同构成设备鉴别报文一起发送。发送的数据具体结构如下:
本地设备时间戳时间戳2
本地设备鉴别码。
地址。组态软件作为鉴别服务的接收方,在收到设备鉴别服务时,根据设备鉴别报文内的dev字段查找设备描述文件,从其中读取和从设备鉴别报文中取得的时间戳共同组成8位位组,采用md5算法进行摘要获得正确鉴别码。若从报文中获取的鉴别码与正确鉴别码一致,则向发送端发送设备鉴别确认服务,设置设备鉴别状态为已通过,允许对其组态,并写入通过鉴别的时间。
戳,否则认为设备不可信,拒绝对其进行组态。3.设备访问控制管理。
pa设备访问控制管理应用于使用epa协议对功能块和。
管理信息库中的变量对象、域对象、事件对象的存取访问。依照不同的srl安全网关将pcn保护起来,防止来自外部网络的威胁。ep设备访问控制管理的基本任务:防止未授。
权,进入epa系统和授权的用户对系统资源的非法使用。
根据epa网络安全规范,在组态软件中,访问控制对象定义如下:
管理信息库中索引。
本地功能块标识。
本地变量索引。
远程功能块标识。
远程变量索引。
服务类型。服务角色。
远程设备ip
报文发送时间相对于通信宏。
/周期起始时间的偏离量。
访问权限。一。
访问组。口令。
成员函数略);
pa网络安全组态时,组态软件从当前界面上的可视化功能块和连线信息可以获得访问控制列表长度以及对象的。
而对象的m a
ass从安全组态设置窗13来。
获取。由于epa标准和epa安全规范中规定的数据格式与组态。
软件中使用的数据格式有所差异,因此需要经过编译,将访问控制列表长度和所有对象中的信息通过epa服务**到安全设备中。
.3 数据报文加密管理。
pa报文发送方利用加密密钥epa通过用异或算法或者aes算法对报文加密。然后将加密后的用户数据作为报文体加在安全报文头后交epa应用实体发送。接收方用安。
全报文头中的时问戳得到解密密钥epa运用该密钥epa对接收到的用户报文进行异或算法或者aes算法解密,得到解密后的用户数据,并将用户数据上传。
pa安全设备内都维护着一张密钥表,组态软件在对epa安全设备组态时,必须为整个网段内的epa安全设备**密钥表,否则epa安全设备将会因为没有匹配的密钥而不能实现相互通信。密钥表是从组态软件中获取16个4位整型的随机数,然后将其打包生成。组态软件需要设置密钥表管理对象中的当前使用密钥在密钥表内的偏移量,该偏移量通。
过安全组态设置窗口设置。
.4 数据报文校验管理。
发送方选择校验密钥,利用该校验密钥对用户数据进行。
处理得到校验码,将用户数据与校验码一起作为报文体交。
pa应用实体发送。接收方根据选择的校验密钥,运用此校验密钥与接收到的用户数据进行处理得到新校验码。将此新。
校验码与接收报文中的校验码进行比较,若完全相同则确定。
消息合法并接受数据包,否则丢弃该数据包,并根据。
erv决定是否返回负响应。
1)校验密钥管理:组态软件可以设置动态获取校验密钥。
和静态获取校验密钥。动态获取校验密钥是根据本地时间戳得到校验密钥,静态获取校验密钥在组态软件中获取16个4位整型的随机数,然后将其打包生成的同时,组态软件要设置校验密钥表,管理对象中的当前使用校验密钥在校验密钥表内的偏移量。
曼耀性。●口‘
2)校验算法管理:ep设备维护校验算法表,校验算法表中保存着各种校验算法处理函数的函数指针。组态软件在对epa安全设备组态时要选择当前校验算法在校验算法表中ste一ch蛳l- 口。
曲irⅱ一。
的偏移量。 ep网络安全组态实例。
本epa网络安全组态实例利用epa组态软件对epa网络中的安全设备进行鉴别,对合法的安全设备进行功能块组态并设置访问控制权限、密钥、校验算法,实现epa安全设备之间的通信。
.1e安全设备上线。
pa网络中所有的安全设备都需要在epa组态软件进行上线处理,上线处理的目的:
1)构造安全设备在epa组态软件中映射的信息结构;
2)通过设备鉴别来鉴定epa安全设备的合法性。,2设备安全组态。
pa组态软件对所有通过设备鉴别的合法安全设备进行链路组态、访问控制设置、数据报文加密密钥设置、数据报文检验密钥和算法设置。对于没有通过设备鉴别的非法安全设备,ep组态软件拒绝对其进行链路组态和安全设置。
黪epa合法安全设备组态如图3所示。三一董目。
望阵暗辑键田工且曹口姊。德0醢黼。
嘲豳磷。龋嗣豳馥鹾螽。
谭 1盎功萱 l0
曼垒诵壅。螈。
目t%厂——,
三矗 …? e■一 rr一』删。
:“a譬。电u
。.¨世鬟誊…鼍dm_
一。龟∞_i龟。越。
r一ol1
魁hy鼍rm_
盏 …爹… 雇■ t硅目i^
一~一眦屯s。。
暇分舟0ba日母杪秒:最设鲁备明c—q一一。
一 ̄qo链以密使当加设码用密接下前备对藏袭意使模壁钶用期量舸f块5链载表毫使加0接成的钶用富0对功眭在加算下孽{度表密法载个算曩成下内功敷簌的i型去戚售**功咎羲鞋!量成萌功f聃载-!戚珈!
三 ,口}ss示膏口f1
请捷镝口猫口。
圈3 e合法安全设备组态。
图4为网络安全组态设置窗口。
嗣蓬罨墨翟嚣a圈醣。
蘩黪l设置。
{谦权跟广域下戴权限事件确认权限。
广写权睢。域上载投限改变事件条件权障 {
蛆设置。秘钥长度 …—
夸铺设置。密钥偏罄 f-
二]!!图4网络安全组态设置窗口。
在组态完成后,ep安全设备中的访问控制链表、加密密钥、校验密钥如图5所示。
30一。 匾]暖驷。
唾殖回。目时阗h)誊。
图5ep安全设备中的安全羹据信■
.3安全设备通信测试。
安全设备通信测试具体包括。
1)访问控制测试。测试访问控制时,使用epa组态软件模拟未经授权的应用进程发送变量写报文,由于epa设备组。
态未制定安全设备与该应用进程间的通信关系,因此该访问会被epa安全设备拒绝,网络监控计算机接收到变量写负响应报文。访问控制措施安全功能测试结果如图6所示。测试结果为epa组态软件运行的epa协议栈模拟软件接收到变量读负响应报文,错误描述为访问控制权限不存在。
结果证明,访问控制措施可以保护epa数据免于为授权的访问,保证epa系统信息安全。
息框t一三。
发送变量服务。
二。收割变量聃隶服务 sa功:l负响应报文l
搿丞 …谛阿投积布存在孱一椭。
图6访问控翻措麓安全功能试结果。
2)数据加密与校验测试。测试数据加密和数据校验措施的目的是确定数据加密和数据校验过程是完全可逆的,并且。
不会对原数据造成影响。测试数据加密和数据校验过程首先从epa安全设备发送epa安全变量写报文,然后从阿络中抓取该报文,分析报文内容,最后在目的端解析报文。图7为网络中的epa安全变量写报文密文。
牡。埘。
砷。图7网络中的epa安全变量写报文密文。
下转第233页)
嵌入式网络服务器的自识别、自描述和互操作性。
本系统can报文采用11字节的标准帧,前3字节是表。
节点同时向网络传送信息时,优先级低的节点主动停止数据发送,而优先级高的节点继续传输数据。
头信息,后面8字节为数据区,表头信息中标识符占11位。信息功能码共2位,表征信息的含义,每个设备可以接收4组功能不同的信息,第4组点对点信息(信息功能码为11)主要用于网络设备配置或者长数据块的传输,实现网络传感。
器动态配置和重构功能,动态配置适用于有非易失性数据存储器的网络设备,ca协议必须进入复位模式才可以修改参数,不能直接读写相应的寄存器,修改完成后需要重新启动设备。前3组信息用来描述信息的类型,实现网络设备自描述功能,网络设备也可以主动或者被动地从网络上其他设备。
结束语。本文给出基于arm和can总线的远程监控系统的软硬件设计方法,介绍了嵌入式网络服务器的自识别、自描述和互操作性,初步实现了can现场总线与以太网间的数据转换,使现场智能设备之间、现场智能设备和控制室设备之问构成网络互联系统,顺应了控制系统向智能化、网络化、分散化发展的趋势。将带有l0个节点的can总线系统和以太网环境连接,并进行了联调。
对测试得到的数据与真实数据进行比较和分析后发现,本文的系统具有较好的实时性和可靠性,较好地解决了can
获取需要的数据,每个设备可以接收多个设备发送的信息,每个设备发送的信息也可以被多个设备接收,设备自主决定接收哪个或者哪些节点的数据。
每个设备在发生故障时可以主动向嵌入式网络服务器发送信息,网络服务器可以及早做出报警和出错处理;节点号表示源节点号,共6位,总线上最多可以接64个节点。每个can节点定义不同的节点号(id节点通过不同的id进行识别,从而保证了连接在嵌入式网络服务器上的接口设。
现场总线与以太网问的通信问题。
参考文献。1]蒋园园,宋良图.农田远程数据采集系统的设计与实现[j]自动。
化与仪器仪表。
e葬#《2]2夏继强,袁骏,满庆丰.基于arm处理器的通。
信模块实现[j1测控技术谢。
东.基于arm的嵌入式远程测控系统网关的设计[j]现代。
备的自动识别。数据场格式共3位,说明要传送的数据信息在数据场中的存放格式,可以根据实际需要扩展数据格式信息,在点对点进行大量数据传送时,需要对数据进行分包,电子技术。
每包共8个字节。在发送数据帧时,第1字节为目的节点号,第2字节为数据块总帧数或者帧编号,后6个字节为数据。
an总线技术采用非破坏性总线仲裁技术,当2个can
41惠晓实,王凯航,陆舟.一种基于web技术的网络数据库系统。
的设计『j]计算机应用研究。
编辑张帆。上接第230页)
测试中用于构造变量写报文的参数为:源应用进程标志为100目的应用进程标志为0,目的对象标志为2,子索引为3。经过解析,最后接收端解密后的变量写报文如图8所示。
瑚。结束语。
本文介绍了epa网络安全组态技术,并详细阐述了网络。
安全组态的设计流程。最后通过一个完整的测试系统,测试并验证了epa网络安全组态模块的正确性。验证结果表明,该技术能够准确地对epa安全设备进行组态,并保证现场的。
设备属性辖l应用标识。
邮。连用访雌制的服务。
她读服务变量写服务一鞲口僵髓。
信息框:收刊变量写服务。
pa安全设备按预期方式运行。ep组态软件的开发有效地推动了基于epa标准相关产品的工业应用。
目的应用对{0
目的对象朽}剐。数据。
参考文献。1ep国家标准起草工作组用于工业测量与控。
制系统的epa系统结构与通信标准is]
2]i国际电工委员会。
遁回正_ 直道回负响应。
退出。图8接收靖解密后的变量写报文。
3]朱友志.基于int的ncs监控组态软件[j]计算机工程,一62.
网络中发送的epa安全报文校验和为图7中细线标示的部分,加密密文为粗线标示的部分。在报文接收端,经过报文解密、校验后,正确识别该报文为变量读报文并且报文参数正确。安全功能测试结果证明,报文校验与报文加密措施是完全可逆的,解密后报文信息不会受到损害。
因此,报文。
4]楼正华.ep功能块互连技术及其实现方法[j1微计算机信息,5]崔中杰.网络安全设备故障管理中智能轮询策略的研究[j]
计算机工程一l28
校验和加密措施有利于epa系统安全性的提高。
编辑陆燕菲。
33一。
网络安全组织管理
网络安全管理组织管理。一 组织机构。航务部门成立网络信息安全领导小组,组长应由本部门经理担任 袁伟 该小组是信息安全的最高决策机构,负责网络信息安全领导小组的日常事务,并负责机场公司的网络信息安全事务。网络信息安全领导小组负责研究重大事件,落实机场公司方针政策和制定总体策略等。职责主要包括 根据国家...
网络安全技术
网络安全技术答案。单选题。1.下列。a协议是有连接。a tcpb icmpc dnsd udp 2.下列加密算法中 b 是对称加密算法。a.rsab.3desc.rabind.椭圆曲线。3.防火墙是建立在内外网络边界上的 c a路由设备。b寻址设备。c过滤设备。d扩展设备。4.完整性服务提供信息的 ...
网络安全技术及其相关问题分析网络安全技术有哪几种
网络安全技术及其相关问题分析 网络安全技术有哪几种。网络安全是我国信息产业发展过程中一直面临的一个重要难题,对于这个问题,我国已经从系统上进行了整体规划,从政策上给予引导,从技术上给予研发。安全问题已经成为信息产业的一个重要组成部分,甚至可以说它对国内各行业的电子化和信息化发展的速度会有非常重要的影...