方原柏（昆明有色冶金設計研究院，云南 昆明 650051）

?

流程行業(yè)無線通信系統(tǒng)的安全措施

方原柏（昆明有色冶金設計研究院，云南 昆明 650051）

摘要：流程行業(yè)無線通信系統(tǒng)是開放的，與控制網(wǎng)絡的連接是相對可變的，邊界也不是確定的，因此容易受到射頻和電磁信號的干擾，存在敵手攻擊網(wǎng)絡的可能性。首先介紹流程行業(yè)無線通信系統(tǒng)可能受到的干擾或威脅，然后闡述流程行業(yè)無線通信系統(tǒng)應對干擾和威脅的安全措施，以使用戶能體會到：流程行業(yè)無線通信系統(tǒng)是安全可靠的。

關鍵詞：流程行業(yè)無線通信系統(tǒng)；干擾和威脅；安全措施

1　概述

如果流程行業(yè)無線通信系統(tǒng)沒有很高的安全性能，用戶是不會考慮采用無線系統(tǒng)的，流程行業(yè)無線通信系統(tǒng)必須得像有線系統(tǒng)一樣安全可靠，才能夠引起用戶足夠的關注，所以安全性是一個基本要求。流程行業(yè)有線設備與控制網(wǎng)絡的連接是相對固定的，邊界是確定的，而無線網(wǎng)絡則是開放的，與控制網(wǎng)絡的連接是相對可變的，邊界也不是確定的。有線系統(tǒng)的傳輸環(huán)境基本不會改變，信號傳輸質(zhì)量穩(wěn)定，無線系統(tǒng)的網(wǎng)絡會受障礙物移動、各種各樣的射頻和電磁信號干擾等影響，信號質(zhì)量有波動，在一定程度上影響通信的順暢。更令人擔憂的是無線網(wǎng)絡通常部署在無人維護、不可控制的環(huán)境中，存在有敵手攻擊網(wǎng)絡的可能性，敵手出于各種目的，針對無線網(wǎng)絡發(fā)起被動竊聽或主動干擾等各種攻擊，使無線系統(tǒng)遭遇截取信息、惡意注入信息、未授權使用服務等一系列信息安全問題。

無線信號在空間傳播，其傳播信號可能會擴張到裝置范圍以外。必須禁止外人甚至是敵手加入網(wǎng)絡、竊聽、修改、延遲或發(fā)送數(shù)據(jù)，破壞網(wǎng)絡安全，否則生產(chǎn)數(shù)據(jù)與庫存數(shù)據(jù)將會泄露，危及信息安全。因此任何應用中的無線通信都要求采取加密，驗證和其它安全措施。

我們必須充分考慮流程行業(yè)無線通信系統(tǒng)可能面臨的安全問題，并把安全機制集成到系統(tǒng)設計中，只有這樣，才能促進流程行業(yè)無線通信系統(tǒng)的廣泛應用。一種好的安全機制設計是建立在對其所面臨的干擾和威脅、網(wǎng)絡特點等的深刻分析基礎之上的，流程行業(yè)無線通信系統(tǒng)的安全機制的主要目標是保障系統(tǒng)的正常運行，當受到干擾或敵手攻擊時能迅速發(fā)現(xiàn)并采取相應措施。用戶能深切體會到：流程行業(yè)無線通信系統(tǒng)是安全可靠的。

2　流程行業(yè)無線通信系統(tǒng)可能受到的威脅

流程行業(yè)無線通信系統(tǒng)的數(shù)據(jù)包括操作數(shù)據(jù)，這包括來自無線現(xiàn)場變送器類設備的過程值和送往無線現(xiàn)場執(zhí)行器的操作值，還包括無線系統(tǒng)的管理數(shù)據(jù)，如通信狀態(tài)和系統(tǒng)配置信息。

對于傳送和接收這些重要信息的流程行業(yè)無線通信系統(tǒng)來說，威脅通常是以下幾類：

·信道干擾；

·監(jiān)聽；

·偽造數(shù)據(jù)；

·欺騙；

·重放攻擊。

2.1信道干擾（Channel interference）

流程行業(yè)無線通信系統(tǒng)的工作頻段是2.4GHz，是一個全球免費許可頻段，藍牙、Wi-Fi也工作在這個頻段，因此在使用環(huán)境中，不同類型的無線通信并行并且共享相同的傳輸介質(zhì)和開放的空間，就有可能產(chǎn)生通信干擾。特別是當兩個無線通信系統(tǒng)同時以同一頻率在同一區(qū)域發(fā)送數(shù)據(jù)包時，數(shù)據(jù)包可能發(fā)生碰撞造成發(fā)送失敗。

2.2監(jiān)聽（Sniffing）

監(jiān)聽涉及第三方惡意的攔截通信和試圖竊取通信內(nèi)容。

如果一個懷有惡意的人以某種方式從通信中竊聽數(shù)據(jù)，一些敏感和機密的信息，如制造技術的訣竅、產(chǎn)量和其他與業(yè)務相關的數(shù)據(jù)都有可能泄露出去。即使數(shù)據(jù)本身沒有價值，通過互聯(lián)網(wǎng)和其他媒體披露造成的信息泄漏，可能使企業(yè)在系統(tǒng)供應商和用戶面前失去了社會公信力。

2.3偽造數(shù)據(jù)（Data falsification）

偽造數(shù)據(jù)涉及惡意的第三方監(jiān)控通信和故意改變通信內(nèi)容。

如果不知道過程值或操作值已被惡意篡改，因異常輸出可能降低產(chǎn)品質(zhì)量，使生產(chǎn)設施破壞，甚至危及人的生命。

2.4欺騙（Spoofing）

敵手以偽造的非法設備試圖進入無線網(wǎng)絡，可稱之為欺騙，它是一個非認證的設備，無線現(xiàn)場設備和網(wǎng)關可以作為欺騙的目標，如果敵手用一臺偽設備模擬一個相應的無線現(xiàn)場變送器，它可以發(fā)送錯誤的過程值到主機系統(tǒng)。如果敵手用一臺偽網(wǎng)關模擬相應的網(wǎng)關，它可以向閥門和執(zhí)行器等現(xiàn)場設備發(fā)送錯誤的操作值。

2.5重放攻擊（replay attack）

重放攻擊是一種特殊類型的欺騙，它記錄通信數(shù)據(jù)包，然后將記錄的數(shù)據(jù)包發(fā)送。重放攻擊的特征在于它無密碼分析就能攻擊。

如果無線網(wǎng)關將一個開的命令發(fā)送給一個閥門的執(zhí)行器，因為該命令來自有效的網(wǎng)關，執(zhí)行器打開閥門。敵手攔截和記錄通信，然后重放通信。因為執(zhí)行器無法區(qū)分這一通信是來自網(wǎng)關還是敵手的偽網(wǎng)關，執(zhí)行器按通信要求打開閥門，這將使操作閥門進行錯誤的操作。

3　流程行業(yè)無線通信系統(tǒng)應對威脅的安全對策

相對于一般的無線通信系統(tǒng)來說，流程行業(yè)無線通信系統(tǒng)采用更多的安全措施來保障無線網(wǎng)絡和數(shù)據(jù)的安全。這些安全措施有：跳頻擴頻技術和定義設備黑名單技術、加密算法、設備認證、信息認證、通信信息新鮮度等。

3.1跳頻擴頻技術和定義設備黑名單技術

工業(yè)無線通信的國際標準均采用2.4GHz（2.4000GHz～2.4835GHz）頻段，但不是將這個頻段范圍作為一個單信道，而通常是將2.4GHz頻段劃分成16個信道（WirelessHART不支持使用信道26，只使用另外的15個信道），每個信道的帶寬是2MHz，信道間隔為3MHz，這相當于將帶寬擴大了16倍。而在某個瞬間，只使用其中一個信道通信，這個信道可以指定也可以以跳頻擴頻（FHSS）方式選擇（如圖1所示）。采用根據(jù)信道狀態(tài)自適應跳頻機制時，通過在線信道狀態(tài)評估、信道黑名單在線建立，進行調(diào)頻序列自適應調(diào)整，可以有效地抑制突發(fā)性干擾，消除頻率選擇性衰減，提高通信的安全性。

圖1　跳頻擴頻技術和定義信道黑名單技術

信號頻率的變化，或者說頻率跳躍，總是按照某種隨機的模式安排的。在實際傳輸之前先對目標信道做信道空閑評估測試，那些時常受干擾或已被占用的信道將會列入信道黑名單，被禁止使用。如果在測試時發(fā)現(xiàn)現(xiàn)場已經(jīng)使用了如圖1上圖所示的Wi-Fi信號，它占用了WirelessHART的21～25號信道，那么我們就將這幾個信道列入黑名單，頻率跳躍時將不會再選擇這幾個信道，而可供挑選的信道僅有11～20這10個信道了。圖1下圖跳信道表示了按順序的時隙（寬度約10ms）所自動選擇的通信信道，第一個時隙是17信道，第二個時隙是12信道……

3.1.2 加密算法

有線通信因不接受來自外部的訪問，信息受到保護；而與有線通信相比，無線通信是通過共享媒體的開放空間傳送，信息可能被截獲、改變和干擾。開放的空間任何人都可進入，不加密保護不能防止信息被截獲。所以，無線通信所傳輸?shù)男畔⒍夹枰ㄟ^各種安全技術進行保護。

加密（encryption），是以某種特殊的算法改變原有的信息數(shù)據(jù)，使得未授權的用戶即使獲得了已加密的信息，但因不知道解密的方法，仍然無法了解信息的內(nèi)容。在流程行業(yè)無線通信系統(tǒng)里，僅終端設備才可以解密信息和使用信息，這意味著端到端的數(shù)據(jù)加密使數(shù)據(jù)在到達有線網(wǎng)絡之前始終是加密的。

圖2介紹了信息加密和解密的過程，用一個隨機數(shù)和密鑰給明文信息加密使之成為密碼文本，終端設備接收到密碼文本信息后對其解密，使之恢復成明文。

圖2　信息的加密和解密過程

加密使用標準的AES-128加密算法，AES是美國、歐盟采用的加密標準，在金融機構和電子商務中已經(jīng)被證明是最有效、最安全的加密算法。

此外，加密的密鑰由安全管理器定期更新，因此，即使一個加密密鑰被一蠻力攻擊解碼，但定期更新后，被解碼的加密密鑰不再使用，新的加密密鑰使數(shù)據(jù)包仍處于加密狀態(tài)，敵手需再次用蠻力攻擊解碼。攻擊的過程費時費力，即使能解碼一次，得到的也只是特定設備有限的通信內(nèi)容。

3.1.3 設備認證

防止未經(jīng)設備認證的設備加入網(wǎng)絡是無線網(wǎng)絡安全的關鍵，每個無線網(wǎng)絡的設備都擁有各自的入網(wǎng)密鑰，用于設備入網(wǎng)過程中的加密和認證，以確保加入過程中發(fā)送和接收的數(shù)據(jù)的機密性。入網(wǎng)密鑰還用于向安全管理器證明設備屬于該網(wǎng)絡，入網(wǎng)密鑰為每臺設備所獨有或在給定的無線網(wǎng)絡中共用，但每個無線網(wǎng)絡產(chǎn)生的入網(wǎng)密鑰是不同的，入網(wǎng)密鑰應被視為保密的，并滿足有關方安全政策的要求。設備的入網(wǎng)密鑰不能以物理或數(shù)字方式讀取，既不能被非預期的用戶讀取，也不能被用戶讀取，入網(wǎng)密鑰被存儲在網(wǎng)關的文件中。

在WirelessHART無線網(wǎng)絡里，無線變送器均需配備一個有線的HART維護終端，可連接所有工廠內(nèi)現(xiàn)有的手操器或筆記本電腦，用于在開啟無線通信功能之前對變送器進行安全調(diào)試，其中包括給WirelessHART無線變送器生成入網(wǎng)密鑰，采用這種方式生成入網(wǎng)密鑰是無法通過無線形式來完成的。圖3顯示的是在任何一臺WirelessHART變送器（圖3右），端蓋里面的標準“COMM”端口上連接475HART手操器（圖3左），以進行WirelessHART無線現(xiàn)場設備組態(tài)和設置，其中包括入網(wǎng)密鑰的生成。

圖3　連接WirelessHART變送器和475HART手操器生成入網(wǎng)密鑰1-變送器的“COMM”端口

ISA100.11a是通過紅外通信生成入網(wǎng)密鑰，紅外通信的有限傳輸范圍提供安全的數(shù)據(jù)傳輸。圖4顯示配置的授權工具手持設備PDA，從控制系統(tǒng)的密鑰服務器獲取無線設備的授權密碼，當紅外線端口放置在離設備小于30cm的位置時，可對無線變送器、多功能節(jié)點、網(wǎng)關的紅外端口授權。經(jīng)過授權的無線設備會自動加入無線網(wǎng)絡進行無線通信，并自動完成其他安全設定。

圖4　ISA100.11a通過紅外通信生成入網(wǎng)密鑰

橫河公司的ISA100.11a產(chǎn)品在加入過程中的驗證使用了一種稱為挑戰(zhàn)應答的相互認證機制，在挑戰(zhàn)應答認證時，一方提出了一個問題（“挑戰(zhàn)”），另一方必須提供一個有效的答案（“應答”）進行認證。挑戰(zhàn)的發(fā)送者計算自己的反應，并比較來自另一方的反應。如果應答匹配，發(fā)送者決定與另一方共享這一有效的入網(wǎng)密鑰，圖5顯示了ISA100.11a挑戰(zhàn)應答的認證。無線現(xiàn)場設備從偽隨機數(shù)中產(chǎn)生挑戰(zhàn)的CA和入網(wǎng)密鑰。網(wǎng)關產(chǎn)生一個對應于挑戰(zhàn)的應答RA。無線現(xiàn)場設備自生產(chǎn)生一個響應，并將其與來自網(wǎng)關的應答進行比較。如果應答匹配，無線現(xiàn)場設備確定網(wǎng)關是有效的。無線現(xiàn)場設備根據(jù)RA產(chǎn)生應答挑戰(zhàn)RB，網(wǎng)關會自產(chǎn)生一個應答，并將其與設備的響應進行比較。如果應答匹配，則網(wǎng)關確定該設備是有效的。

圖5　通過挑戰(zhàn)應答的相互認證

3.1.4 信息認證

WirelessHART無線網(wǎng)絡提供信息完整性（MIC）檢查，檢查通過無線網(wǎng)絡發(fā)送的數(shù)據(jù)是否被更改，為每個數(shù)據(jù)包添加信息完整性代碼，接收設備檢查MIC，以便確認數(shù)據(jù)包的內(nèi)容未被更改，讓用戶可以確認信息未經(jīng)網(wǎng)絡外部設備更改。

凌力爾特公司W(wǎng)irelessHART無線網(wǎng)絡的所有數(shù)據(jù)包都在每一層上進行鑒定，并實施端到端加密。在鏈路層上，采用一個運行時間密鑰和一個基于時間的計數(shù)器在每一跳上對數(shù)據(jù)包進行鑒定。此外還采用運行時間會話密鑰和一個共享的計數(shù)器對數(shù)據(jù)包實施鑒定和端到端加密。這些鑒定層共同提供了針對重放攻擊和敵手攻擊的防護作用。

橫河公司的ISA100.11a產(chǎn)品信息認證是一種用于檢查信息是來自合適的合作伙伴還是偽設備的機制。這是通過信息驗證碼實現(xiàn)的，只有設備知道加密密鑰可以創(chuàng)建并嵌入在信息中。就是說，如果在一個信息中的代碼與接收器生成的不同，接收器判定，該信息來自那些不知道加密密鑰的偽設備，并丟棄該信息。

3.1.5 通信信息新鮮度

為有效的對抗重放攻擊，對策是將新鮮度的概念引入到通信信息中。在這個概念中，只有在一段特定的時間內(nèi)傳送的信息能被接受。橫河公司的ISA100.11a無線網(wǎng)絡的每個設備相互的同步時間在ms級，發(fā)送信息時還增加了當前的時間信息，接收機通過增加時間信息來判斷傳輸時間是否合適。

總結以上流程行業(yè)無線網(wǎng)絡應對干擾和威脅的措施，其影響如表1所示。

表1　流程行業(yè)無線網(wǎng)絡的干擾、威脅和應對的安全功能

4　結語

流程行業(yè)無線通信系統(tǒng)的安全是用戶最關注的問題，針對流程行業(yè)無線通信系統(tǒng)實際應用中出現(xiàn)的干擾和威脅，無線通信系統(tǒng)產(chǎn)品的生產(chǎn)廠家已經(jīng)采取了很多安全措施，目前這項工作還在不斷推進，以使流程行業(yè)無線通信系統(tǒng)的安全性能不斷增強。

參考文獻：

[1] Kinichi Kitano, Shuji Yamamoto. Strong Security Measures Implemented in ISA100. 11a Wireless System[R]. Yokogawa Technical Report English Edition，2014, 57（2）47 - 50.

[2] 朱祥彬.WIA - PA網(wǎng)絡安全機制的研究[J]. 儀器儀表標準化與計量, 2010 （5）：36 - 39.

[3] 任偉.無線網(wǎng)絡安全問題初探[J]. 理論研究，2012（1）：10 - 13.

[4] 曲家興, 周瑩, 王希忠, 等. 工業(yè)控制系統(tǒng)無線網(wǎng)絡安全體系的研究[J]. 信息技術, 2013 (1) : 36 - 38.

[5] 方原柏. 流程行業(yè)無線通信技術及應用[M]. 北京：化學工業(yè)出版社，2015.

[6]EMERSON. 工業(yè)無線測量工程師指南[EB/OL]. https://www. rosemount. com. cn. 2014. 1.

[7]Steve Munns. 面向國防應用的安全和可靠無線傳感器網(wǎng)絡[J]. 電子產(chǎn)品世界, 2013（10）：15 - 17.

文獻標識碼：B

文章編號：1003-0492（2016）04-0078-04中圖分類號：TN92

作者簡介

方原柏（1942-），男，湖北黃岡人，昆明有色冶金設計研究院電氣自動化技術部教授級高工，昆明儀器儀表學會理事長，中國衡器協(xié)會技術專家委員會顧問，主要從事儀器儀表、控制系統(tǒng)的應用研究，曾出版《電子皮帶秤的原理及應用》（1994年，冶金工業(yè)出版社）、《電子皮帶秤》（2007年，冶金工業(yè)出版社）、《流程行業(yè)無線通信技術及應用》（2015年化學工業(yè)出版社）、《有色金屬生產(chǎn)過程自動化》（2015年，人民郵電出版社）四本專著，發(fā)表論文290篇。

Security Measures for the Wireless Communication System in the Process Industry

Abstract:The wireless communication system of the process industry is open. The connection with the control network is relatively variable, and the boundary is not certain. Therefore, it is vulnerable to the interference of radio frequency and electromagnetic signals, and there is the possibility of adversary attack network. In this paper, we first introduce the possible interference and threat subject to the wireless communications system in the process industry, and then explains security measures to deal with interference or threat for the wireless communication system of the process industry so that the user can feel: the wireless communications system in the process industry is safe and reliable.

Key words:Wireless communication system of the process industry; Interference and threat; Security measures