控制系统信息安全
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇控制系统信息安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
控制系统信息安全范文第1篇
信息技术近几年来在工业生产领域得到了广泛应用,信息化也是现如今工业生产的大势所趋。自动化控制系统在工业生产中的的迅速发展,极大地减少了对人力的使用,降低了企业生产成本,提高了生产效率。用好工业自动化控制系统关键在信息,对企业而言,随之而来的问题是,如何保障工业自动化控制系统的信息安全[1]。本文将对这一问题展开讨论,简要介绍工业自动化控制系统自身的特点,并具体说明我国企业在保障工业自动化控制系统信息安全方面存在的问题以及应对的策略。
1.工业自动化控制系统简述
传统的工业生产以人力操作为主,需要人为的直接干预,遇到繁重的生产活动,常常使人不堪重负,而且易出现偏差。而工业自动化则是通过对各种参数的调节,生产目标的提前设定和控制生产过程来实现工业生产,是人类社会的巨大进步,大规模的、智能型的机器生产代替了手工操作,工人不必直接面对生a流程,只需熟练掌握自动化控制系统,对照产品要求启动相应的系统程序。与传统的工业生产相比,自动化生产效率更高,产品合格率也更高。从实际情况来看,企业在自动化系统方面收获的效益要远远高于其对该系统的投入[2]。要实现工业自动化,所用的设备也较多,大致可分为三类:通用自动化装备、自动装配检测生产线、专用设备自动化控制系统。专用设备自动化控制系统又包括控制层、驱动层和执行层三个部分。如今在机械制造、电力、建筑、交通运输、信息技术等领域,工业自动化已得到广泛运用,极大地提高了企业生产效率。
2.对工业自动化控制系统信息安全的探讨
2.1我国企业在保障工业自动化控制系统信息安全方面存在的问题
(1)管理制度不够完善。我国市场经济的发展历史才三十年,即使是较为成熟的大型国有企业,在管理制度方面也存在很多漏洞。人员是企业运行的主体,管理好了人员,一个企业才能良好运行。例如,现如今我国很多生产企业都没有规范门禁制度,外来人员与内部员工不能很好区分,鱼龙混杂,极容易导致重要信息的泄露。对于工业自动化控制系统也没有严格执行“一人对应一个系统”的管理制度,无法规范自己的人员,也就无法保障信息的绝对安全。
(2)缺乏专业的技术人才。工业自动化控制系统的迅速普及呼唤专业的技术人才。目前我国在培养工业自动化控制系统专业技术人才方面还未建立健全科学、有效的教育培训体系,专业技术人才略显匮乏。另外一个方面,自动化控制系统更新换代的速度也远远超过人才培养的速度,对员工的技术培训远远跟不上时代前进的步伐。中国企业真正缺少既了解控制系统又能保障信息安全的综合性人才。
2.2针对存在的问题采取的应对策略
(1)借鉴欧美发达国家的先进管理理念。欧美发达国家的工业生产历史长达两百多年,他们有更为丰富的工业管理经验,当前中国企业在管理上出现的诸多问题对他们而言屡见不鲜。在保障工业自动化控制系统信息安全领域,他们也有着更多成功的经验,可以充分借鉴。
(2)加强专业技术人才培养。专业技术人才是工业自动化控制系统的灵魂,灵魂健全才能使该系统发挥最大效力。因此,企业应针对工业自动化控制系统,完善教育培训体系,大力培养专业性的操作人才,与工业生产前沿接轨,同时针对员工信息安全意识薄弱的问题,加强思想教育,使其充分认识到保障信息安全的重要性[3]。此外,还有必要构建完善的工业自动化控制系统信息安全管理体系,加强人员及系统设备的管理,进一步使工业自动化系统信息安全得到有效保障。
3.结语
工业自动化控制系统信息安全是控制系统和信息安全的充分结合,是当下工业生产的潮流。不仅要求企业了解计算机控制系统,还要求企业懂得如何保障信息安全。用好工业自动化控制系统将极大地促进我国工业的迅猛发展,为中国经济添砖加瓦。工业自动化控制系统信息安全涉及到企业生产的多个环节,需要各个生产部门的完美协作。相信在企业、员工与政府三方的共同努力下,工业自动化控制系统必将不断完善,信息安全也将得到充分保障。
参考文献:
[1]董吉成.工业自动化控制的发展漫谈[J].电子世界,2014,01:19-20.
控制系统信息安全范文第2篇
【关键词】 工业控制系统 信息安全 存在问题 解决方案
按照工业控制系统信息安全的相关要求及防范手段的特点,当前工业控制系统对信息安全提出了解决方案,在控制系统内部建立防火墙、安装入侵检测系统及建立连接服务器的验证机制,能够在控制系统内部实现网络安全设备交互信息的目的,以此可以提升工业控制系统的整体防御能力[1]。在此情况下,工业控制系统现已成为信息安全领域愈来愈受关注的话题与重点之一,对其中存在的问题加以解决是迫不可待的[2]。
一、当前工业控制系统信息安全存在问题分析
工业控制系统,一般来说可以分为三个层面,即现场控制层面、监控管理层面与生产控制层面。现场控制层面由生产设备、DCS及PLC等相关控制器组成,用来通讯的工具主要是工业以太网及现场总线;监控管理层面基本由上位机、数据服务器、监控设备及数据采集机等组成,用来通讯的工具为工业以太网及OPC;生产控制层面由管理终端组成,比如:供应链、质检与物料等相关的管理服务器,主要用以太网来进行通讯。当前工业控制系统的信息安全问题来自以下方面:1、工业控制系统通讯方案较为落后守旧。大多数的工业控制系统通讯方案都具有一定的历史,是由技术人员在多年前便已设计好的,基本上都是在串行连接的基础上访问网络,设计时考虑的主要因素便是工业控制系统的可靠性与实用性,而忽视了控制系统的安全性,加之通讯方案对于用户的身份认证、信息数据保密等这些方面存在考虑不足的问题[3]。2、接入限定点不够明确。接入限定点不够明确的问题主要体现在系统终端与计算机接口等,不同版本、不同安全要求及通讯要求的设备都可以直接或者间接连接互联网,加上访问的策略管理工作存在松散与懈怠的情况,能够在一定程度上增加工业控制系统内部病毒感染的几率[4]。3、工业控制系统信息安全的关注降低。现阶段网络安全方面很少有黑客攻击工业网络的情况发生,故工业控制系统技术人员对于工业控制系统信息安全的关注逐渐降低,也没有制定科学化与合理化的工业控制系统安全方案、管理制度,也没有加强培养操作人员与设计人员的安全意识,随着时间的推移,人员的安全意识愈来愈淡薄,操作管理的实际技术能力与安全思想观念存在差异,极容易出现违规操作与越权访问的情况,给工业控制系统的生产系统埋下安全隐患[5]。4、在信息科学技术及工业技术的高速融合下,现代企业的物联程度与信息化程度不断提升,这样便促使更多更智能的仪器设备将会在市场上出现,也将带来更多的安全问题。
二、当前工业控制系统信息安全的相关特点分析
传统计算机信息系统信息安全的要求主要有:保密性、可用性与完整性,而现代工业控制系统信息安全首要考虑的是可用性。工业控制系统的控制对象为不同方面的生产过程,如物理、生物与化学,系统终端设备与执行部位能够严格设定生产过程中的实际操作,故在对安全措施进行调整与试行之前必须要将生产设备保持停机状态,对工业控制系统采取的安全措施必须查看其是否具有一定的准确性及时效性,并要在停机状态下对其进行测试与调整,但这些程序势必会给企业带来一定程度的经济影响[6]。
根据相关的研究报告显示,在已公布于社会与民众的工业控制系统漏洞中,拒绝服务类与控制软件类等漏洞造成系统业务停止的比重,分别占据了百分之三十三与百分之二十,这样的情况,便给工业控制系统的实用功能带来了巨大的威胁,不但会在信息安全方面造成信息丢失,增加工业生产过程中生产设备出现故障的几率,而且会在最大程度上造成操作人员的意外伤亡情况及设备损坏情况,造成企业经济利益严重亏损。
三、当前工业控制系统信息安全解决方案分析
1、主动隔离式。主动隔离式信息安全解决方案的提出,来自于管道与区域的基本概念,即将同样性能与安全要求的相关设备安置在同一个区域内,通讯过程主要靠专门管道来完成,并利用管道管理工作来起到抵制非法通信的作用,能够集中防护网络区域内或者外部的所有设备。这种方案,相对来说具有一定的有效性,可以按照实际需求来灵活运用工业控制系统,并为其实施信息安全防护工作,但在实施这种解决方案之前,必须先确定防护等级与安全范围,并寻找出一种适度的防护与经济成本折中办法。
2、被动检测式。被动检测式解决方案是一种以传统计算机系统为基础的新型网络安全保护方案,因为计算机系统本身便具有结构化、程序化及多样化等特点,故除了采取对用户的身份认证与加密数据等防护技术之外,还添设了查杀病毒、检测入侵情况及黑名单匹配等手段,以此有助于确定非法身份,并结合多方面的部署来提升网络环境的安全。这种方案的硬件设备除了原部署的系统之外,还能利用终端的白名单技术来实现主机的入侵抵制功能,这些措施能够减少对原来系统具备性能的负面影响,达到工业控制系统实用的目标。但网络威胁的特征库无法及时更新,故黑名单技术对于新出现的违法入侵行为不能做出实时回应,故对于工业控制系统来说还是带来了一定的危害。
结束语:总而言之,本文主要对当前工业控制系统信息安全存在的问题展开分析,针对工业控制系统通讯方案较为落后守旧、接入限定点不够明确及工业控制系统信息安全的关注降低等问题,研究了当前工业控制系统信息安全的特点,最后对当前工业控制系统信息安全解决方案展开剖析,即主动隔离式与被动检测式。当然,要完全解决工业控制系统存在的问题,还得要求我国政府机关及相关部门提高网络安全的意识,构建并不断完善一个有效、科学且合理的安全机制,以此来推动我国工业控制系统的发展。
参 考 文 献
[1]朱世顺,黄益彬,朱应飞,张小飞.工业控制系统信息安全防护关键技术研究[J].电力信息与通信技术,2013,11:106-109.
[2]张波.西门子纵深防御DCS信息安全方案在青岛炼化项目的应用[J].自动化博览,2015,02:42-45.
[3]陈绍望,罗琪,陆晓鹏.海洋石油平台工业控制系统信息安全现状及策略[J].自动化与仪器仪表,2015,05:4-5+8.
[4]张波.基于纵深防御理念的DCS信息安全方案在青岛炼化项目的应用[J].中国仪器仪表,2014,02:30-35.
控制系统信息安全范文第3篇
【 关键词 】 智能电网;工业系统通信控制协议;Modbus;ICCP;DNP3;安全
The Study of Security Issues for the Industrial Control System Communication Protocols in Smart Grid System
Fu Ge 1 Zhou Nian-rong 2 Wen Hong 3
(1. Information Security Department, Yunnan YundianTongfang Technology Co.,Ltd. YunnanKunming 650217;
2.Yunnan Power Grid r Research Institute YunnanKunming 650011;
3.National Key Laboratory of Science and Technology on Communications, UESTC SichuanChengdu 611731)
【 Abstract 】 With the development of the smart grid application, the industrial control system communication protocols’ risks have become increasingly prominent in the smart grid system. How to enhance and improve of industrial control system communication protocols’ security is one of the key problems that need to be solved in the smart grid system security. This paper firstyly analyzes the security issues and security risks of the current mainstream smart grid industrial control system communication protocols’ common. Then the security recommendations are raised against such issues and risks of industrial control system communication protocols.
【 Keywords 】 smart grid; ics protocols; modbus; iccp; dnp3; profibus; opc; security
1 前言
在传统电网系统中一直以来使用着种类繁多的工业系统通信控制协议。这些通信控制协议完成了电力ICS系统的数据交互与采集、命令与执行、业务监控与管理等诸多重要功能。然而这些协议从颁布至今已运行有数十年(例如Modbus协议是1979年开发的协议),随着智能电网概念的提出以及IT技术的不断革新,传统电网将不断的引入新技术、新系统并改变原有网络架构和业务模式,这些通信控制协议的安全问题日益凸显。
2010年震惊世界的Stuxnet病毒正是利用移动介质感染了德国西门子公司的基于WinCC操作系统的PCS 7 (STEP7)系统,利用Profibus协议的缺乏认证和链路加密的漏洞攻击西门子的S7 PLC设备,最终破坏了伊朗的核设施。由此可见,电力行业而言,工控协议自身的不安全性也是智能电网安全威胁中的一个环节,需要加以重视。
本文将对目前电力行业中数个主流和广泛应用的工业通信控制协议进行安全问题分析并尝试提出相应的安全防护建议。
2 智能电网工业系统通信控制协议安全漏洞分析
智能电网中的工业控制系统包括大量的监控与数据采集(SCADA)系统、分布式控制(DCS)系统、过程控制(PCS)系统、可编程逻辑控制器(PLC)以及其它系统。所使用的网络通信协议也非TCP/IP协议,而是Modbus、ICCP/TASE.2(IEC60870-6)、DNP3这样的几十种工业控制通信协议。这些ICS系统和工业网络通信协议与IT系统和TCP/IP协议有很多的区别,所面临的安全威胁也不一样,下面针对Modbus、ICCP、DNP3进行分析。
2.1 Modbus协议的安全问题
Modbus是Modicon公司于1979年开发的一种通讯协议。它是一种在当今工业控制领域被广为应用的真正开放、标准的网络通讯协议。通过此协议,控制器相互之间、或控制器经由网络(如以太网)可以和其它设备之间进行通信。最初的Modbus系统只是简单的两层通信并工作在EIA-232链路之上,随着光纤、无线等不同的物理层通信方式的应用,已发展出了了Modbus+和Modubus/TCP。这些协议的共同点都是采用client-server命令架构,如图1所示是Modbus协议族和ISO模型的对照。
由于Modbus在设计之初并未考虑信息安全,因此它缺乏机制来避免典型的信息安全威胁,Modbus的安全问题主要在于几点。
(1) 不验证:Modbus的会话仅要求使用有效的Modbus地址和有效的功能码。无法知道原始信息在传输过程中是否被更改。
(2) 不加密:Modubs会话的命令和地址内容在网络中以明文方式传输。很容易被窃听和伪造。
(3) 不校验(仅Modbus TCP):由于Modbus是应用层协议,而在OSI模型中校验在仅在传输层而非应用层进行,因此伪造的命令可以运行于Modbus/TCP。
(4) 缺乏广播抑制(仅在串行Modbus):所有串接的设备都有可能接收到所有的信息,则就意味着一个未知地址的对广播可能对这个串行连接上的所有设备造成有效的拒绝服务(DOS)攻击。
(5) 可编程:该缺点为最重要的Modbus缺陷,其它很多的工业协议也都存在该安全隐患。因为Modbus这类协议被用来对控制器进行编程,因此攻击者可加以利用形成对RTU和PLC的恶意逻辑代码注入。
2.2 ICCP协议的安全问题
ICCP(Intercontrol Center Communication Protocol)是美国电科院EPRI(Electric Power Research Institute)开发的标准,该协议后被采纳为国际标准IEC60870-6 TASE.2. ICCP-TASE.2。ICCP/TASE.2(IEC60870-6)协议不同于串行控制的Modbus协议,它是一个双向WAN通信协议,用于设施控制中心和其它控制中心,电站以及其它设施之间的通信。ICCP是应用层网络协议,可工作在TCP/IP之上,默认端口为102。该协议是一个点对点协议,使用“双边表”来定义通信双方的约定。
ICCP协议也存在着几点安全隐患。
(1) 缺乏认证和加密:ICCP协议并不进行强制性的认证和加密。容易受到欺骗和伪装攻击。可对ICCP数据包进行窃听并可修改和伪造数据包内。尽管存在安全型ICCP协议,但它并未广泛使用和部署。
(2) 明确定义信任关系:因ICCP在client和server之间通过“双边表”进行明确的关系定义,因此可导致修改双边表从而侵入ICCP。
(3) 可接入性:ICCP是个广域网协议导致其存在高度的接入性和容易导致DOS攻击。
2.3 DNP3协议的安全问题
DNP 协议最早是加拿大Westronic公司在1990年开发工业控制协议。DNP3规约是加拿大HARRIS公司在1993年7月开始起草制定的、基于IEC870-5标准的增强型体系结构的网络分布式协议。DNP3使用的参考模型源于的ISO-OSI参考模型。
DNP3协议运行在在主控站和从设备之间,例如RTU、IED和控制站之间。DNP3可通过TCP或UDP封装运行于IP之上并使远程RTU通信可运行在现代网络上。与Modbus 协议不同,DNP3协议提出了不少安全措施,尽管DNP3协议比起Modbus协议在安全性上有了很大的改善,但现实中DNP3协议仍存在着安全威胁。最为主要的安全威胁是窃听和中间人攻击,一旦攻击者获得地址和信任,则可以发起多种攻击行为;(1)关闭主动报告使告警无效;(2)发出虚假的主动响应使主控设备收到欺骗并采取错误的行动;(3)通过注入广播导致DOS攻击,使DNP3网络发生大规模的异常动作;(4)篡改同步时钟数据,导致同步丢失和数据通信错误;(5)篡改和删除确认信息,强制进入连续性的数据再传输状态;(7)发起非授权的停止、重启或其它导致运行中断的功能。
3 智能电网工业系统通信控制协议安全防护措施
3.1 Modbus协议的安全防护
对于Modbus协议建议采取几项安全措施。
(1) 部署使用工业防火墙设备:在Modbus Server和Modbus Client之间部署防火墙设备对通问进行访问控制,只开放Modbus 通信端口,只允许既定地址范围内Modbus Server和Modbus Client进行相互通信。
(2) 部署使用IDS设备:通过IDS设备对Modbus数据包进行以下重要内容检测和监控,并根据实际需求制定报警策略。
(3) 采取其他安全措施,例如在Modbus通信中增加用户名和密码验证,在Modbus通信中使用VPN加密隧道,在Modbus通信中采用数据加密方式(如SSL和TLS),在Modbus通信中采用PKI。
3.2 ICCP协议的安全防护
对于ICCP/TASE.2协议建议采取几项安全措施。
(1) 部署使用工业级防火墙:将ICCP的Client和Server进行严格的区域隔离。
(2) 部署使用IDS设备:通过IDS设备对ICCP数据包进行以下重要内容检测和监控,并根据实际需求制定报警策略。
(3) 使用Secure ICCP:在应用层中通过数字证书提供强认证方式,增加用户名和密码认证,在Web页面中通过SSL和TLS方式提供安全加密隧道,保障数据传输安全。
3.3 DNP3协议的安全防护
对于DNP3协议建议采取几项安全措施。
(1) 部署使用工业级防火墙:将DNP3的Master和Slaver进行严格的区域隔离,只开放DNP3通信端口(默认为TCP/UDP 20000端口)。
(2) 部署使用IDS设备:通过IDS设备对DNP3数据包进行以下重要内容检测和监控,并根据实际需求制定报警策略。
(3) 使用Secure DNP3协议:在Master和Slaver之间启用定期身份验证;使用Aggressive Mode模式解决在正常Secure DNP3模式中因未设置预防外部延时而导致在质询/响应中存在大量的延时和负荷开销;使用Secure DNP3中新增加的安全功能码增加安全特性。
4 结束语
本文对Modbus、ICCP、DNP3这几个常见工业系统通信控制协议和接口的安全问题进行了分析,阐述了协议本身缺陷可能引起的攻击行为,并针对这些安全问题提出了对应的安全防护措施,为智能电网的安全防护建设提供了技术参考,具有一定的实际指导意义。
参考文献
[1] Matthew Franz and Darrin Miller, The Use of Attack Trees in Assessing Vulnerabilities in SCADA Systems,Eric J. Byres.
[2] Industrial Network Security Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems Eric Knapp ISBN:978-1-59749-645-2.
[3] Best Practices for Securing SCADA Networks and Systems in the Electric Power Industry. Semantec.
[4] DNP3 Overview,http://.
[5] Aniket Rodrigues, Scada Security Device: Design and Implementation, Wichita State University, 2009.
[6] Rolf Schulz, ICS Protocol Security, GNSEC Pte Ltd Tech. Report..
[7] Todd Mander, Farhad Nabhan, Lin Wang, Richard Cheung, Data Object Based Security for DNP3 Over TCP/IP for Increased Utility Commercial Aspects Security.
[8] http:///scadapedia/protocols/secure-dnp3/.
作者简介:
傅戈(1976-),男,云南人,现任云电同方信息安全保障部安全咨询顾问,主要研究方向为信息安全。
控制系统信息安全范文第4篇
[关键词]物联网;通信管道;安全控制
中图分类号:TP391.44;TN915.08 文献标识码:A 文章编号:1009-914X(2014)34-0242-01
1 引言
从定义来讲,物联网是一种在互联网的基础之上来延伸和扩展的一种网络,是互联网从数字世界向物理世界的进一步延伸,传统的互联网的安全威胁物联网也拥有,所以由于物联网涉及的现实世界数量很庞大,安全风险将从原本的虚拟世界向真实的物理世界所延伸,安全形势则越来越严峻。电信运营商作为物联网建设的重要参与者要时刻重视物联网的安全问题,为物联网业务发展提供有利的环境。
2 物联网安全风险及防护思路
1.感知层
物联网感知层的特点包括数量庞大,环境条件恶劣,无人值守,节点失效等等,风险很大。所以大多数感知点在能量和储存空间方面,计算能力方面受到多方面的限制,无法应付高强度的安全协议和安全算法,所以安全防护的困难很大。感知层的安全防护重点在于保障信息采集的安全性,在考虑因素中要注意节点资源受限等因素,建立加密算法,密钥管理体系,保障采集的节点信息和其控制信息的有效性和真实性,防止信息的篡改。同时防止感知节点被病毒和垃圾信息的攻击导致停止工作。
2.网络层
物联网的网络层主要包括了有线,无线以及卫星通道等等,网络安全问题已经不是物联网研究范围下的新课题,但对于物联网通信网络的大部分安全问题可以通过传统的安全防护策略来解决。但是物联网的网络层和传统的通信网络层也很不同,物联网网络层的特点包括数量巨大,需要短时间之内接入网络,信息流量和数据流量非常大,短时间内接入网络,信息流量会到来网络堵塞,所以要控制加强网络资源管控能力,减少和环节突发流量对网络的冲击。同时物联网的网络层要认真考虑和计算安全性和实用性之间的平衡关系,考虑基于组的形式进行认证,避免导致大量网络资源被消耗的问题发生。
(1)应用层
在物联网应用层方面主要通过分析处理感知数据,为行业的用户提供数据的服务。所以在这个过程中存在一系列的风险点,比如,大量的在使用无线通信和电子标签涉及到用户隐私的泄漏和恶意跟踪等安全威胁,同时数据控制的安全也需要注意,存在一些业务滥用或者恶意的使用风险。由于应用层涉及各种行业应用,差异较大,应针对各类智能应用的特点、使用场景、服务对象及用户特殊要求制定个性化的安全策略。在这些个性化安全策略的制定过程中,会有很多共性的安全防护策略。所以在应用层数据处理过程中应注意隐私保护问题,除了采用位置伪装,空间加密等隐私保护技术外,还应对数据存取控制权限进行严格限定,防止隐私数据的非授权读取。
3 物联网通信管道安全控制方案
3.1 安全管理平台架构
安全平台的架构主要包括能力租用管理,能力租用管理又包括本平台租用他平台安全能力,另一种包括其他系统租用本平台的安全管理能力。根据这几点本方案主要采用云计算来架构安全管理的平台,为物联网终端提供统一的身份认证和安全基础服务,同时为了减少终端存在的风险,要为物联网终端提供配置安全策略,集中分发校验的功能。最后,根据流量的变化来调整安全策略,用以环节突发流量对物联网造成的破坏冲击。
3.2 实现流程
在终端方面,首先应用系统要确认双方身份的合法性才能够保证安全管理,其次,在安全管理平台验证使用访问权限和验证码的配置来控制保证安全策略的应用。第三,在双方配置安全策略实现互相访问和物联网数据流量过大时造成的网络堵塞,对网关的安全进行认证,从而有效的解决大量的验证请求,最大限度的避免过多请求带来的资源损耗。最后,在平台相对闲暇时由管理平台按照一定的策略来控制终端发起重认证。
3.3 密钥管理
对安全密钥的管理关系到整个数据传输的安全性,所以是非常有必要的手段,在本方案中,感知网络通信密钥由安全管理平台来进行统一的历和维护。本方案将安全密钥大体分为两种,第一是网内通信的密钥,这个密钥主要用于感知网络内普通节点之间的通信,第二类是网关密钥,但网关的密钥要高于网内的密钥,这两点要辨析清楚,不能混用。对于普通的节点与应用服务器之间的数据传输经过网关节点来进行转发,所以在过程中需要对两段数据分别加密,普通节点和网关节点都应该加网络密钥,此后网关接收并且解密数据,最后再采用远距离传输密钥进行重新的加密和上传。普通的节点在需要通信时,如果双方都支持密钥组,那么需要交换和协商,或者直接采用密钥加密的方法,否则网关申请的密钥从维护的密钥组中随机选择一组密钥来分配给双方,双方来对该密钥进行加密。但在此过程中要对严格控制密钥的扩散范围,每个节点最多分配m个密钥,当节点达到临界点时,则无需与相同密钥节点通信时,网关将为通信的双方分配缺省的组间通信密钥。
3.4 方案特点
本方案中,感知网络安全策略和密钥由安全管理平台来进行统一的管理,并且并下发到网关节点,网关节点在感知网络内实施安全策略从而大量的解决认证请求,特别是突发请求对于网络资源大量消耗问题的解决。除此之外,安全管理平台可以根据流量的变化来动态的调整安全策略,避免和缓解突发流量来对网络进行冲击,在本方案中,物联网和终端中间,终端和应用服务器之间来进行互访,由安全管理平台进行统一的访问控制和安全控制,配置动态的安全策略,按需开放最小访问的权限以此来减少风险。另外,家庭网关默认禁止用户接入,当控制终端需要接入时,才根据安全管理平台下发的安全策略临时添加相应的访问控制策略,从而极大降低家庭网关的安全风险。
4 结语
物联网的安全是物联网大规模运用于生活中的基础,同时物联网的特性和安全问题将面临着巨大的挑战,给予安全管理平台的通信管道安全控制方案来感知网络安全策略,并将通信密钥由安全管理平台来统一的进行管理和发放到网关节点,这些都能够有效的解决突发请求对于网络资源大量消耗的问题,不仅如此,通过安全管理平台来实施统一的安全策略控制,通信的双方采取动态的配置安全策略,这些都能够非常有效的减少通信双方的安全风险。
参考文献
控制系统信息安全范文第5篇
目前的智能家居系统主要基于互联网,针对目前中国广大农村互联网缺乏而移动通信网络普遍存在等现状,本文设计了基于移动通信的家居控制与安全系统。系统利用GSM网络与TC35模块实现远程控制通信,利用学习型红外遥控模块实现对家电的万能遥控,利用315M超再生无线通信及人体红外感应实现防盗报警,是农村普及智能家居系统的良好设计方案。
【关键词】智能家居 GSM 学习型红外遥控 人体红外感应
1 前言
21世纪是信息化的世纪,人类对计算机和互联网的依赖程度越来越高。智能家居是通过物联网技术将居室内的各种设备(如家电、照明、窗帘、安防等)连接到一起,实现远程家电控制、照明控制、窗帘控制、防盗报警、环境监测等功能。但目前这些先进的智能家居技术大都是应用在城市高档小区中,而在广大农村和偏远山区却因为各种限制而难以推广。但是随着家电和手机在农村的普及,利用GSM网络可构建简单的智能家居系统,让广大农民享受信息技术所带来的生活便捷。本文的主要内容就是利用移动通信网络为农村等互联网不发达地区设计符合最基本要求、便捷实用的智能家居系统,作为推广智能家居系统的一种过渡性设计。
2 系统硬件设计
系统的基本功能:正常情况下,用户通过手机远程向系统发短信,系统根据短信编码,遥控家中电器(如空调、窗帘等)的启停,也可拨打系统电话进行环境监听,当有盗贼闯入室内或其它异常状况出现时,启动大功率声光报警器,自动拨打报警电话和户主电话并短信通知。
2.1 硬件结构
系统硬件结构如图1所示,主要包括STC89系列单片机作为控制模块,西门子TC35模块作为GSM远程通讯,315M超再生无线收发模块作为室内中短程通讯,红外释热防盗模块,HX1838红外一体化接收及红外发射二极管作为红外学习及家电遥控模块,其它传感器电路(如温度、湿度、烟雾等),声光报警器电路,键盘输入及1602LCD显示电路。
2.2 远程控制通信模块
全球移动通信系统GSM是当前应用最为广泛的移动电话标准,具有普及度高,几乎无网络盲点,只要会打电话、发短信就能操作,在使用飞信、微信等工具发短信控制的情况下更是无需任何额外开支。
TC35 GSM模块具有成本低、技术成熟稳定等特点,由供电模块(ASIC)、闪存、ZIF连接器、天线接口等组成。其核心基带处理器主要处理GSM终端内的语音和数据信号,并涵盖了蜂窝射频设备中的所有模拟和数字功能。引脚16~23为数据输入/输出,其接口是一个串行异步收发器,符合RS232接口标准,硬件握手信号用RTS0/CTS0,软件流量控制用XON/XOFF,支持标准的AT命令集,与单片机通过串口进行通讯,引脚24~29连接SIM卡,引脚35~38为语音输入/输出接口,连接话筒和扬声器。单片机通过AT指令对TC35模块进行初始化和短消息的接收/发送及拨打电话等操作。常用的AT指令如表1所示。
2.3 学习型红外遥控电路
家用电器的遥控器绝大多数属于红外遥控器,为了避免遥控器间互相的干扰,每个厂商的红外遥控器都具有其特定的编码,包含厂商固定编码和面板按键编码。本系统中的红外遥控部分要求能对居室内所有家电进行遥控,故必须预先对所有家电红外遥控编码进行学习,然后存储、回放。虽然市面上的遥控器的编码格式各不相同,但是最终都是高低电平组成,所以只要利用单片机对遥控器的发射信号的波形进行测量,然后将测量的数据回放即可,由于只关心发射信号波形中的高低电平的宽度,不管其如何编码,因此做到了真正的万能。
本系统使用HX1838红外模块,设置按键启动一个学习过程,设置LED指示学习型红外模块状态,红外接收头在与单片机连接时,将接收来的红外遥控信号反相,其正向信号接外部中断0,反相信号接外部中断1,通过记录2个中断间的间隔时间来测量红外遥控信号高低电平的脉宽值。
2.4 红外防盗及近程无线通信模块
人体体温恒定37度,会发出特定波长为10微米左右的红外线,使用HC-SR501探测人体发射的红外线,内部的热释电元件在接收到人体红外辐射温度发生变化时会失去电荷平衡,向外释放电荷,后续电路经检测处理后就能产生报警信号。
室内无线通信选择315M超再生无线收发模块,具有功耗低、传输距离长、可靠性高等特点,利用PT2262编码芯片对HC-SR501产生的电信号进行编码,送给315M超再生无线发送模块,控制端的315M超再生无线接收模块负责接收数据,利用PT2272解码芯片对信号进行解码,然后送单片机处理,控制声光报警器工作,并启动TC35 GSM模块拨打报警电话、向户主发送短信等操作。
3 系统软件设计
3.1 主程序流程
系统首先对设备初始化,然后检测TC35工作是否正常,接着判断是否进行家电红外编码学习,然后通过按键扫描方式查询是否打开防盗模式,进而查询是否触发红外人体感应模块,条件满足时,单片机启动声光报警器并通过AT指令控制TC35模块拨打设定的手机号码(或报警电话),同时向户主发短信提示有盗贼闯入。
因为TC35模块收到的短信文本格式是固定的,在收到短信时只要检测特定位置的串口数据,与预设数值对比,就可实现对短信指令的判断,从而执行相应的动作。当判断收到短信为预设的指令时,单片机通过拉低P2.2的电平控制学习型红外遥控模块发射已学习的相应红外编码,从而实现遥控家电的目的。图2为主控单片机程序流程图。
3.2 学习型红外模块程序设计
利用单片机的两个外部中断可以测量出红外遥控编码的脉冲宽度,将发射信号中高、低电平的时间宽度进行存储。当要发射红外信号时,从存储区中还原出相应的红外遥控编码,并调制到38KHz的载波信号上,从而实现学习型红外遥控的功能。其流程图如图3。
4 结束语
本智能家居系统经过实物测试,具有结构简单、功能完善、运行可靠、成本低廉、易于扩展等特点,特别适合于互联网普及率较低的广大农村和偏远山区,是广大农村地区城镇化建设进程中非常合适的智能家居系统的过渡替代品,具有广阔的发展前景。
参考文献
[1]卓承军.家庭自动报警系统设计与实现[J].电子科技大学硕士学位论文,2011(04).
[2]周涛.基于无线传感器网络的智能家居安防系统[J].太原理工大学硕士学位论文,2010(05).
[3]张俊.SMS短消息传输的远端控制技术及其实现[J].仪器仪表学报,2003,24(4).
[4]张玉莲.传感器与自动检测技术[M].机械工业出版社,2011(6).
[5]邓凯.智能化住宅安防系统的应用[J].冶金矿山设计与建设,2000(3).
作者简介
张景虎(1975-),男,汉族,山东省茌平县人,硕士,讲师,研究方向为信号与信息处理。
孔芳(1976-),女,山东省曲阜人,现供职于曲阜少年儿童竞技体育运动学校。
作者单位
