控制系統信息安全
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇控制系統信息安全范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
控制系統信息安全范文第1篇
信息技術近幾年來在工業生產領域得到了廣泛應用,信息化也是現如今工業生產的大勢所趨。自動化控制系統在工業生產中的的迅速發展,極大地減少了對人力的使用,降低了企業生產成本,提高了生產效率。用好工業自動化控制系統關鍵在信息,對企業而言,隨之而來的問題是,如何保障工業自動化控制系統的信息安全[1]。本文將對這一問題展開討論,簡要介紹工業自動化控制系統自身的特點,并具體說明我國企業在保障工業自動化控制系統信息安全方面存在的問題以及應對的策略。
1.工業自動化控制系統簡述
傳統的工業生產以人力操作為主,需要人為的直接干預,遇到繁重的生產活動,常常使人不堪重負,而且易出現偏差。而工業自動化則是通過對各種參數的調節,生產目標的提前設定和控制生產過程來實現工業生產,是人類社會的巨大進步,大規模的、智能型的機器生產代替了手工操作,工人不必直接面對生a流程,只需熟練掌握自動化控制系統,對照產品要求啟動相應的系統程序。與傳統的工業生產相比,自動化生產效率更高,產品合格率也更高。從實際情況來看,企業在自動化系統方面收獲的效益要遠遠高于其對該系統的投入[2]。要實現工業自動化,所用的設備也較多,大致可分為三類:通用自動化裝備、自動裝配檢測生產線、專用設備自動化控制系統。專用設備自動化控制系統又包括控制層、驅動層和執行層三個部分。如今在機械制造、電力、建筑、交通運輸、信息技術等領域,工業自動化已得到廣泛運用,極大地提高了企業生產效率。
2.對工業自動化控制系統信息安全的探討
2.1我國企業在保障工業自動化控制系統信息安全方面存在的問題
(1)管理制度不夠完善。我國市場經濟的發展歷史才三十年,即使是較為成熟的大型國有企業,在管理制度方面也存在很多漏洞。人員是企業運行的主體,管理好了人員,一個企業才能良好運行。例如,現如今我國很多生產企業都沒有規范門禁制度,外來人員與內部員工不能很好區分,魚龍混雜,極容易導致重要信息的泄露。對于工業自動化控制系統也沒有嚴格執行“一人對應一個系統”的管理制度,無法規范自己的人員,也就無法保障信息的絕對安全。
(2)缺乏專業的技術人才。工業自動化控制系統的迅速普及呼喚專業的技術人才。目前我國在培養工業自動化控制系統專業技術人才方面還未建立健全科學、有效的教育培訓體系,專業技術人才略顯匱乏。另外一個方面,自動化控制系統更新換代的速度也遠遠超過人才培養的速度,對員工的技術培訓遠遠跟不上時代前進的步伐。中國企業真正缺少既了解控制系統又能保障信息安全的綜合性人才。
2.2針對存在的問題采取的應對策略
(1)借鑒歐美發達國家的先進管理理念。歐美發達國家的工業生產歷史長達兩百多年,他們有更為豐富的工業管理經驗,當前中國企業在管理上出現的諸多問題對他們而言屢見不鮮。在保障工業自動化控制系統信息安全領域,他們也有著更多成功的經驗,可以充分借鑒。
(2)加強專業技術人才培養。專業技術人才是工業自動化控制系統的靈魂,靈魂健全才能使該系統發揮最大效力。因此,企業應針對工業自動化控制系統,完善教育培訓體系,大力培養專業性的操作人才,與工業生產前沿接軌,同時針對員工信息安全意識薄弱的問題,加強思想教育,使其充分認識到保障信息安全的重要性[3]。此外,還有必要構建完善的工業自動化控制系統信息安全管理體系,加強人員及系統設備的管理,進一步使工業自動化系統信息安全得到有效保障。
3.結語
工業自動化控制系統信息安全是控制系統和信息安全的充分結合,是當下工業生產的潮流。不僅要求企業了解計算機控制系統,還要求企業懂得如何保障信息安全。用好工業自動化控制系統將極大地促進我國工業的迅猛發展,為中國經濟添磚加瓦。工業自動化控制系統信息安全涉及到企業生產的多個環節,需要各個生產部門的完美協作。相信在企業、員工與政府三方的共同努力下,工業自動化控制系統必將不斷完善,信息安全也將得到充分保障。
參考文獻:
[1]董吉成.工業自動化控制的發展漫談[J].電子世界,2014,01:19-20.
控制系統信息安全范文第2篇
【關鍵詞】 工業控制系統 信息安全 存在問題 解決方案
按照工業控制系統信息安全的相關要求及防范手段的特點,當前工業控制系統對信息安全提出了解決方案,在控制系統內部建立防火墻、安裝入侵檢測系統及建立連接服務器的驗證機制,能夠在控制系統內部實現網絡安全設備交互信息的目的,以此可以提升工業控制系統的整體防御能力[1]。在此情況下,工業控制系統現已成為信息安全領域愈來愈受關注的話題與重點之一,對其中存在的問題加以解決是迫不可待的[2]。
一、當前工業控制系統信息安全存在問題分析
工業控制系統,一般來說可以分為三個層面,即現場控制層面、監控管理層面與生產控制層面。現場控制層面由生產設備、DCS及PLC等相關控制器組成,用來通訊的工具主要是工業以太網及現場總線;監控管理層面基本由上位機、數據服務器、監控設備及數據采集機等組成,用來通訊的工具為工業以太網及OPC;生產控制層面由管理終端組成,比如:供應鏈、質檢與物料等相關的管理服務器,主要用以太網來進行通訊。當前工業控制系統的信息安全問題來自以下方面:1、工業控制系統通訊方案較為落后守舊。大多數的工業控制系統通訊方案都具有一定的歷史,是由技術人員在多年前便已設計好的,基本上都是在串行連接的基礎上訪問網絡,設計時考慮的主要因素便是工業控制系統的可靠性與實用性,而忽視了控制系統的安全性,加之通訊方案對于用戶的身份認證、信息數據保密等這些方面存在考慮不足的問題[3]。2、接入限定點不夠明確。接入限定點不夠明確的問題主要體現在系統終端與計算機接口等,不同版本、不同安全要求及通訊要求的設備都可以直接或者間接連接互聯網,加上訪問的策略管理工作存在松散與懈怠的情況,能夠在一定程度上增加工業控制系統內部病毒感染的幾率[4]。3、工業控制系統信息安全的關注降低。現階段網絡安全方面很少有黑客攻擊工業網絡的情況發生,故工業控制系統技術人員對于工業控制系統信息安全的關注逐漸降低,也沒有制定科學化與合理化的工業控制系統安全方案、管理制度,也沒有加強培養操作人員與設計人員的安全意識,隨著時間的推移,人員的安全意識愈來愈淡薄,操作管理的實際技術能力與安全思想觀念存在差異,極容易出現違規操作與越權訪問的情況,給工業控制系統的生產系統埋下安全隱患[5]。4、在信息科學技術及工業技術的高速融合下,現代企業的物聯程度與信息化程度不斷提升,這樣便促使更多更智能的儀器設備將會在市場上出現,也將帶來更多的安全問題。
二、當前工業控制系統信息安全的相關特點分析
傳統計算機信息系統信息安全的要求主要有:保密性、可用性與完整性,而現代工業控制系統信息安全首要考慮的是可用性。工業控制系統的控制對象為不同方面的生產過程,如物理、生物與化學,系統終端設備與執行部位能夠嚴格設定生產過程中的實際操作,故在對安全措施進行調整與試行之前必須要將生產設備保持停機狀態,對工業控制系統采取的安全措施必須查看其是否具有一定的準確性及時效性,并要在停機狀態下對其進行測試與調整,但這些程序勢必會給企業帶來一定程度的經濟影響[6]。
根據相關的研究報告顯示,在已公布于社會與民眾的工業控制系統漏洞中,拒絕服務類與控制軟件類等漏洞造成系統業務停止的比重,分別占據了百分之三十三與百分之二十,這樣的情況,便給工業控制系統的實用功能帶來了巨大的威脅,不但會在信息安全方面造成信息丟失,增加工業生產過程中生產設備出現故障的幾率,而且會在最大程度上造成操作人員的意外傷亡情況及設備損壞情況,造成企業經濟利益嚴重虧損。
三、當前工業控制系統信息安全解決方案分析
1、主動隔離式。主動隔離式信息安全解決方案的提出,來自于管道與區域的基本概念,即將同樣性能與安全要求的相關設備安置在同一個區域內,通訊過程主要靠專門管道來完成,并利用管道管理工作來起到抵制非法通信的作用,能夠集中防護網絡區域內或者外部的所有設備。這種方案,相對來說具有一定的有效性,可以按照實際需求來靈活運用工業控制系統,并為其實施信息安全防護工作,但在實施這種解決方案之前,必須先確定防護等級與安全范圍,并尋找出一種適度的防護與經濟成本折中辦法。
2、被動檢測式。被動檢測式解決方案是一種以傳統計算機系統為基礎的新型網絡安全保護方案,因為計算機系統本身便具有結構化、程序化及多樣化等特點,故除了采取對用戶的身份認證與加密數據等防護技術之外,還添設了查殺病毒、檢測入侵情況及黑名單匹配等手段,以此有助于確定非法身份,并結合多方面的部署來提升網絡環境的安全。這種方案的硬件設備除了原部署的系統之外,還能利用終端的白名單技術來實現主機的入侵抵制功能,這些措施能夠減少對原來系統具備性能的負面影響,達到工業控制系統實用的目標。但網絡威脅的特征庫無法及時更新,故黑名單技術對于新出現的違法入侵行為不能做出實時回應,故對于工業控制系統來說還是帶來了一定的危害。
結束語:總而言之,本文主要對當前工業控制系統信息安全存在的問題展開分析,針對工業控制系統通訊方案較為落后守舊、接入限定點不夠明確及工業控制系統信息安全的關注降低等問題,研究了當前工業控制系統信息安全的特點,最后對當前工業控制系統信息安全解決方案展開剖析,即主動隔離式與被動檢測式。當然,要完全解決工業控制系統存在的問題,還得要求我國政府機關及相關部門提高網絡安全的意識,構建并不斷完善一個有效、科學且合理的安全機制,以此來推動我國工業控制系統的發展。
參 考 文 獻
[1]朱世順,黃益彬,朱應飛,張小飛.工業控制系統信息安全防護關鍵技術研究[J].電力信息與通信技術,2013,11:106-109.
[2]張波.西門子縱深防御DCS信息安全方案在青島煉化項目的應用[J].自動化博覽,2015,02:42-45.
[3]陳紹望,羅琪,陸曉鵬.海洋石油平臺工業控制系統信息安全現狀及策略[J].自動化與儀器儀表,2015,05:4-5+8.
[4]張波.基于縱深防御理念的DCS信息安全方案在青島煉化項目的應用[J].中國儀器儀表,2014,02:30-35.
控制系統信息安全范文第3篇
【 關鍵詞 】 智能電網;工業系統通信控制協議;Modbus;ICCP;DNP3;安全
The Study of Security Issues for the Industrial Control System Communication Protocols in Smart Grid System
Fu Ge 1 Zhou Nian-rong 2 Wen Hong 3
(1. Information Security Department, Yunnan YundianTongfang Technology Co.,Ltd. YunnanKunming 650217;
2.Yunnan Power Grid r Research Institute YunnanKunming 650011;
3.National Key Laboratory of Science and Technology on Communications, UESTC SichuanChengdu 611731)
【 Abstract 】 With the development of the smart grid application, the industrial control system communication protocols’ risks have become increasingly prominent in the smart grid system. How to enhance and improve of industrial control system communication protocols’ security is one of the key problems that need to be solved in the smart grid system security. This paper firstyly analyzes the security issues and security risks of the current mainstream smart grid industrial control system communication protocols’ common. Then the security recommendations are raised against such issues and risks of industrial control system communication protocols.
【 Keywords 】 smart grid; ics protocols; modbus; iccp; dnp3; profibus; opc; security
1 前言
在傳統電網系統中一直以來使用著種類繁多的工業系統通信控制協議。這些通信控制協議完成了電力ICS系統的數據交互與采集、命令與執行、業務監控與管理等諸多重要功能。然而這些協議從頒布至今已運行有數十年(例如Modbus協議是1979年開發的協議),隨著智能電網概念的提出以及IT技術的不斷革新,傳統電網將不斷的引入新技術、新系統并改變原有網絡架構和業務模式,這些通信控制協議的安全問題日益凸顯。
2010年震驚世界的Stuxnet病毒正是利用移動介質感染了德國西門子公司的基于WinCC操作系統的PCS 7 (STEP7)系統,利用Profibus協議的缺乏認證和鏈路加密的漏洞攻擊西門子的S7 PLC設備,最終破壞了伊朗的核設施。由此可見,電力行業而言,工控協議自身的不安全性也是智能電網安全威脅中的一個環節,需要加以重視。
本文將對目前電力行業中數個主流和廣泛應用的工業通信控制協議進行安全問題分析并嘗試提出相應的安全防護建議。
2 智能電網工業系統通信控制協議安全漏洞分析
智能電網中的工業控制系統包括大量的監控與數據采集(SCADA)系統、分布式控制(DCS)系統、過程控制(PCS)系統、可編程邏輯控制器(PLC)以及其它系統。所使用的網絡通信協議也非TCP/IP協議,而是Modbus、ICCP/TASE.2(IEC60870-6)、DNP3這樣的幾十種工業控制通信協議。這些ICS系統和工業網絡通信協議與IT系統和TCP/IP協議有很多的區別,所面臨的安全威脅也不一樣,下面針對Modbus、ICCP、DNP3進行分析。
2.1 Modbus協議的安全問題
Modbus是Modicon公司于1979年開發的一種通訊協議。它是一種在當今工業控制領域被廣為應用的真正開放、標準的網絡通訊協議。通過此協議,控制器相互之間、或控制器經由網絡(如以太網)可以和其它設備之間進行通信。最初的Modbus系統只是簡單的兩層通信并工作在EIA-232鏈路之上,隨著光纖、無線等不同的物理層通信方式的應用,已發展出了了Modbus+和Modubus/TCP。這些協議的共同點都是采用client-server命令架構,如圖1所示是Modbus協議族和ISO模型的對照。
由于Modbus在設計之初并未考慮信息安全,因此它缺乏機制來避免典型的信息安全威脅,Modbus的安全問題主要在于幾點。
(1) 不驗證:Modbus的會話僅要求使用有效的Modbus地址和有效的功能碼。無法知道原始信息在傳輸過程中是否被更改。
(2) 不加密:Modubs會話的命令和地址內容在網絡中以明文方式傳輸。很容易被竊聽和偽造。
(3) 不校驗(僅Modbus TCP):由于Modbus是應用層協議,而在OSI模型中校驗在僅在傳輸層而非應用層進行,因此偽造的命令可以運行于Modbus/TCP。
(4) 缺乏廣播抑制(僅在串行Modbus):所有串接的設備都有可能接收到所有的信息,則就意味著一個未知地址的對廣播可能對這個串行連接上的所有設備造成有效的拒絕服務(DOS)攻擊。
(5) 可編程:該缺點為最重要的Modbus缺陷,其它很多的工業協議也都存在該安全隱患。因為Modbus這類協議被用來對控制器進行編程,因此攻擊者可加以利用形成對RTU和PLC的惡意邏輯代碼注入。
2.2 ICCP協議的安全問題
ICCP(Intercontrol Center Communication Protocol)是美國電科院EPRI(Electric Power Research Institute)開發的標準,該協議后被采納為國際標準IEC60870-6 TASE.2. ICCP-TASE.2。ICCP/TASE.2(IEC60870-6)協議不同于串行控制的Modbus協議,它是一個雙向WAN通信協議,用于設施控制中心和其它控制中心,電站以及其它設施之間的通信。ICCP是應用層網絡協議,可工作在TCP/IP之上,默認端口為102。該協議是一個點對點協議,使用“雙邊表”來定義通信雙方的約定。
ICCP協議也存在著幾點安全隱患。
(1) 缺乏認證和加密:ICCP協議并不進行強制性的認證和加密。容易受到欺騙和偽裝攻擊。可對ICCP數據包進行竊聽并可修改和偽造數據包內。盡管存在安全型ICCP協議,但它并未廣泛使用和部署。
(2) 明確定義信任關系:因ICCP在client和server之間通過“雙邊表”進行明確的關系定義,因此可導致修改雙邊表從而侵入ICCP。
(3) 可接入性:ICCP是個廣域網協議導致其存在高度的接入性和容易導致DOS攻擊。
2.3 DNP3協議的安全問題
DNP 協議最早是加拿大Westronic公司在1990年開發工業控制協議。DNP3規約是加拿大HARRIS公司在1993年7月開始起草制定的、基于IEC870-5標準的增強型體系結構的網絡分布式協議。DNP3使用的參考模型源于的ISO-OSI參考模型。
DNP3協議運行在在主控站和從設備之間,例如RTU、IED和控制站之間。DNP3可通過TCP或UDP封裝運行于IP之上并使遠程RTU通信可運行在現代網絡上。與Modbus 協議不同,DNP3協議提出了不少安全措施,盡管DNP3協議比起Modbus協議在安全性上有了很大的改善,但現實中DNP3協議仍存在著安全威脅。最為主要的安全威脅是竊聽和中間人攻擊,一旦攻擊者獲得地址和信任,則可以發起多種攻擊行為;(1)關閉主動報告使告警無效;(2)發出虛假的主動響應使主控設備收到欺騙并采取錯誤的行動;(3)通過注入廣播導致DOS攻擊,使DNP3網絡發生大規模的異常動作;(4)篡改同步時鐘數據,導致同步丟失和數據通信錯誤;(5)篡改和刪除確認信息,強制進入連續性的數據再傳輸狀態;(7)發起非授權的停止、重啟或其它導致運行中斷的功能。
3 智能電網工業系統通信控制協議安全防護措施
3.1 Modbus協議的安全防護
對于Modbus協議建議采取幾項安全措施。
(1) 部署使用工業防火墻設備:在Modbus Server和Modbus Client之間部署防火墻設備對通問進行訪問控制,只開放Modbus 通信端口,只允許既定地址范圍內Modbus Server和Modbus Client進行相互通信。
(2) 部署使用IDS設備:通過IDS設備對Modbus數據包進行以下重要內容檢測和監控,并根據實際需求制定報警策略。
(3) 采取其他安全措施,例如在Modbus通信中增加用戶名和密碼驗證,在Modbus通信中使用VPN加密隧道,在Modbus通信中采用數據加密方式(如SSL和TLS),在Modbus通信中采用PKI。
3.2 ICCP協議的安全防護
對于ICCP/TASE.2協議建議采取幾項安全措施。
(1) 部署使用工業級防火墻:將ICCP的Client和Server進行嚴格的區域隔離。
(2) 部署使用IDS設備:通過IDS設備對ICCP數據包進行以下重要內容檢測和監控,并根據實際需求制定報警策略。
(3) 使用Secure ICCP:在應用層中通過數字證書提供強認證方式,增加用戶名和密碼認證,在Web頁面中通過SSL和TLS方式提供安全加密隧道,保障數據傳輸安全。
3.3 DNP3協議的安全防護
對于DNP3協議建議采取幾項安全措施。
(1) 部署使用工業級防火墻:將DNP3的Master和Slaver進行嚴格的區域隔離,只開放DNP3通信端口(默認為TCP/UDP 20000端口)。
(2) 部署使用IDS設備:通過IDS設備對DNP3數據包進行以下重要內容檢測和監控,并根據實際需求制定報警策略。
(3) 使用Secure DNP3協議:在Master和Slaver之間啟用定期身份驗證;使用Aggressive Mode模式解決在正常Secure DNP3模式中因未設置預防外部延時而導致在質詢/響應中存在大量的延時和負荷開銷;使用Secure DNP3中新增加的安全功能碼增加安全特性。
4 結束語
本文對Modbus、ICCP、DNP3這幾個常見工業系統通信控制協議和接口的安全問題進行了分析,闡述了協議本身缺陷可能引起的攻擊行為,并針對這些安全問題提出了對應的安全防護措施,為智能電網的安全防護建設提供了技術參考,具有一定的實際指導意義。
參考文獻
[1] Matthew Franz and Darrin Miller, The Use of Attack Trees in Assessing Vulnerabilities in SCADA Systems,Eric J. Byres.
[2] Industrial Network Security Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems Eric Knapp ISBN:978-1-59749-645-2.
[3] Best Practices for Securing SCADA Networks and Systems in the Electric Power Industry. Semantec.
[4] DNP3 Overview,http://.
[5] Aniket Rodrigues, Scada Security Device: Design and Implementation, Wichita State University, 2009.
[6] Rolf Schulz, ICS Protocol Security, GNSEC Pte Ltd Tech. Report..
[7] Todd Mander, Farhad Nabhan, Lin Wang, Richard Cheung, Data Object Based Security for DNP3 Over TCP/IP for Increased Utility Commercial Aspects Security.
[8] http:///scadapedia/protocols/secure-dnp3/.
作者簡介:
傅戈(1976-),男,云南人,現任云電同方信息安全保障部安全咨詢顧問,主要研究方向為信息安全。
控制系統信息安全范文第4篇
[關鍵詞]物聯網;通信管道;安全控制
中圖分類號:TP391.44;TN915.08 文獻標識碼:A 文章編號:1009-914X(2014)34-0242-01
1 引言
從定義來講,物聯網是一種在互聯網的基礎之上來延伸和擴展的一種網絡,是互聯網從數字世界向物理世界的進一步延伸,傳統的互聯網的安全威脅物聯網也擁有,所以由于物聯網涉及的現實世界數量很龐大,安全風險將從原本的虛擬世界向真實的物理世界所延伸,安全形勢則越來越嚴峻。電信運營商作為物聯網建設的重要參與者要時刻重視物聯網的安全問題,為物聯網業務發展提供有利的環境。
2 物聯網安全風險及防護思路
1.感知層
物聯網感知層的特點包括數量龐大,環境條件惡劣,無人值守,節點失效等等,風險很大。所以大多數感知點在能量和儲存空間方面,計算能力方面受到多方面的限制,無法應付高強度的安全協議和安全算法,所以安全防護的困難很大。感知層的安全防護重點在于保障信息采集的安全性,在考慮因素中要注意節點資源受限等因素,建立加密算法,密鑰管理體系,保障采集的節點信息和其控制信息的有效性和真實性,防止信息的篡改。同時防止感知節點被病毒和垃圾信息的攻擊導致停止工作。
2.網絡層
物聯網的網絡層主要包括了有線,無線以及衛星通道等等,網絡安全問題已經不是物聯網研究范圍下的新課題,但對于物聯網通信網絡的大部分安全問題可以通過傳統的安全防護策略來解決。但是物聯網的網絡層和傳統的通信網絡層也很不同,物聯網網絡層的特點包括數量巨大,需要短時間之內接入網絡,信息流量和數據流量非常大,短時間內接入網絡,信息流量會到來網絡堵塞,所以要控制加強網絡資源管控能力,減少和環節突發流量對網絡的沖擊。同時物聯網的網絡層要認真考慮和計算安全性和實用性之間的平衡關系,考慮基于組的形式進行認證,避免導致大量網絡資源被消耗的問題發生。
(1)應用層
在物聯網應用層方面主要通過分析處理感知數據,為行業的用戶提供數據的服務。所以在這個過程中存在一系列的風險點,比如,大量的在使用無線通信和電子標簽涉及到用戶隱私的泄漏和惡意跟蹤等安全威脅,同時數據控制的安全也需要注意,存在一些業務濫用或者惡意的使用風險。由于應用層涉及各種行業應用,差異較大,應針對各類智能應用的特點、使用場景、服務對象及用戶特殊要求制定個性化的安全策略。在這些個性化安全策略的制定過程中,會有很多共性的安全防護策略。所以在應用層數據處理過程中應注意隱私保護問題,除了采用位置偽裝,空間加密等隱私保護技術外,還應對數據存取控制權限進行嚴格限定,防止隱私數據的非授權讀取。
3 物聯網通信管道安全控制方案
3.1 安全管理平臺架構
安全平臺的架構主要包括能力租用管理,能力租用管理又包括本平臺租用他平臺安全能力,另一種包括其他系統租用本平臺的安全管理能力。根據這幾點本方案主要采用云計算來架構安全管理的平臺,為物聯網終端提供統一的身份認證和安全基礎服務,同時為了減少終端存在的風險,要為物聯網終端提供配置安全策略,集中分發校驗的功能。最后,根據流量的變化來調整安全策略,用以環節突發流量對物聯網造成的破壞沖擊。
3.2 實現流程
在終端方面,首先應用系統要確認雙方身份的合法性才能夠保證安全管理,其次,在安全管理平臺驗證使用訪問權限和驗證碼的配置來控制保證安全策略的應用。第三,在雙方配置安全策略實現互相訪問和物聯網數據流量過大時造成的網絡堵塞,對網關的安全進行認證,從而有效的解決大量的驗證請求,最大限度的避免過多請求帶來的資源損耗。最后,在平臺相對閑暇時由管理平臺按照一定的策略來控制終端發起重認證。
3.3 密鑰管理
對安全密鑰的管理關系到整個數據傳輸的安全性,所以是非常有必要的手段,在本方案中,感知網絡通信密鑰由安全管理平臺來進行統一的歷和維護。本方案將安全密鑰大體分為兩種,第一是網內通信的密鑰,這個密鑰主要用于感知網絡內普通節點之間的通信,第二類是網關密鑰,但網關的密鑰要高于網內的密鑰,這兩點要辨析清楚,不能混用。對于普通的節點與應用服務器之間的數據傳輸經過網關節點來進行轉發,所以在過程中需要對兩段數據分別加密,普通節點和網關節點都應該加網絡密鑰,此后網關接收并且解密數據,最后再采用遠距離傳輸密鑰進行重新的加密和上傳。普通的節點在需要通信時,如果雙方都支持密鑰組,那么需要交換和協商,或者直接采用密鑰加密的方法,否則網關申請的密鑰從維護的密鑰組中隨機選擇一組密鑰來分配給雙方,雙方來對該密鑰進行加密。但在此過程中要對嚴格控制密鑰的擴散范圍,每個節點最多分配m個密鑰,當節點達到臨界點時,則無需與相同密鑰節點通信時,網關將為通信的雙方分配缺省的組間通信密鑰。
3.4 方案特點
本方案中,感知網絡安全策略和密鑰由安全管理平臺來進行統一的管理,并且并下發到網關節點,網關節點在感知網絡內實施安全策略從而大量的解決認證請求,特別是突發請求對于網絡資源大量消耗問題的解決。除此之外,安全管理平臺可以根據流量的變化來動態的調整安全策略,避免和緩解突發流量來對網絡進行沖擊,在本方案中,物聯網和終端中間,終端和應用服務器之間來進行互訪,由安全管理平臺進行統一的訪問控制和安全控制,配置動態的安全策略,按需開放最小訪問的權限以此來減少風險。另外,家庭網關默認禁止用戶接入,當控制終端需要接入時,才根據安全管理平臺下發的安全策略臨時添加相應的訪問控制策略,從而極大降低家庭網關的安全風險。
4 結語
物聯網的安全是物聯網大規模運用于生活中的基礎,同時物聯網的特性和安全問題將面臨著巨大的挑戰,給予安全管理平臺的通信管道安全控制方案來感知網絡安全策略,并將通信密鑰由安全管理平臺來統一的進行管理和發放到網關節點,這些都能夠有效的解決突發請求對于網絡資源大量消耗的問題,不僅如此,通過安全管理平臺來實施統一的安全策略控制,通信的雙方采取動態的配置安全策略,這些都能夠非常有效的減少通信雙方的安全風險。
參考文獻
控制系統信息安全范文第5篇
目前的智能家居系統主要基于互聯網,針對目前中國廣大農村互聯網缺乏而移動通信網絡普遍存在等現狀,本文設計了基于移動通信的家居控制與安全系統。系統利用GSM網絡與TC35模塊實現遠程控制通信,利用學習型紅外遙控模塊實現對家電的萬能遙控,利用315M超再生無線通信及人體紅外感應實現防盜報警,是農村普及智能家居系統的良好設計方案。
【關鍵詞】智能家居 GSM 學習型紅外遙控 人體紅外感應
1 前言
21世紀是信息化的世紀,人類對計算機和互聯網的依賴程度越來越高。智能家居是通過物聯網技術將居室內的各種設備(如家電、照明、窗簾、安防等)連接到一起,實現遠程家電控制、照明控制、窗簾控制、防盜報警、環境監測等功能。但目前這些先進的智能家居技術大都是應用在城市高檔小區中,而在廣大農村和偏遠山區卻因為各種限制而難以推廣。但是隨著家電和手機在農村的普及,利用GSM網絡可構建簡單的智能家居系統,讓廣大農民享受信息技術所帶來的生活便捷。本文的主要內容就是利用移動通信網絡為農村等互聯網不發達地區設計符合最基本要求、便捷實用的智能家居系統,作為推廣智能家居系統的一種過渡性設計。
2 系統硬件設計
系統的基本功能:正常情況下,用戶通過手機遠程向系統發短信,系統根據短信編碼,遙控家中電器(如空調、窗簾等)的啟停,也可撥打系統電話進行環境監聽,當有盜賊闖入室內或其它異常狀況出現時,啟動大功率聲光報警器,自動撥打報警電話和戶主電話并短信通知。
2.1 硬件結構
系統硬件結構如圖1所示,主要包括STC89系列單片機作為控制模塊,西門子TC35模塊作為GSM遠程通訊,315M超再生無線收發模塊作為室內中短程通訊,紅外釋熱防盜模塊,HX1838紅外一體化接收及紅外發射二極管作為紅外學習及家電遙控模塊,其它傳感器電路(如溫度、濕度、煙霧等),聲光報警器電路,鍵盤輸入及1602LCD顯示電路。
2.2 遠程控制通信模塊
全球移動通信系統GSM是當前應用最為廣泛的移動電話標準,具有普及度高,幾乎無網絡盲點,只要會打電話、發短信就能操作,在使用飛信、微信等工具發短信控制的情況下更是無需任何額外開支。
TC35 GSM模塊具有成本低、技術成熟穩定等特點,由供電模塊(ASIC)、閃存、ZIF連接器、天線接口等組成。其核心基帶處理器主要處理GSM終端內的語音和數據信號,并涵蓋了蜂窩射頻設備中的所有模擬和數字功能。引腳16~23為數據輸入/輸出,其接口是一個串行異步收發器,符合RS232接口標準,硬件握手信號用RTS0/CTS0,軟件流量控制用XON/XOFF,支持標準的AT命令集,與單片機通過串口進行通訊,引腳24~29連接SIM卡,引腳35~38為語音輸入/輸出接口,連接話筒和揚聲器。單片機通過AT指令對TC35模塊進行初始化和短消息的接收/發送及撥打電話等操作。常用的AT指令如表1所示。
2.3 學習型紅外遙控電路
家用電器的遙控器絕大多數屬于紅外遙控器,為了避免遙控器間互相的干擾,每個廠商的紅外遙控器都具有其特定的編碼,包含廠商固定編碼和面板按鍵編碼。本系統中的紅外遙控部分要求能對居室內所有家電進行遙控,故必須預先對所有家電紅外遙控編碼進行學習,然后存儲、回放。雖然市面上的遙控器的編碼格式各不相同,但是最終都是高低電平組成,所以只要利用單片機對遙控器的發射信號的波形進行測量,然后將測量的數據回放即可,由于只關心發射信號波形中的高低電平的寬度,不管其如何編碼,因此做到了真正的萬能。
本系統使用HX1838紅外模塊,設置按鍵啟動一個學習過程,設置LED指示學習型紅外模塊狀態,紅外接收頭在與單片機連接時,將接收來的紅外遙控信號反相,其正向信號接外部中斷0,反相信號接外部中斷1,通過記錄2個中斷間的間隔時間來測量紅外遙控信號高低電平的脈寬值。
2.4 紅外防盜及近程無線通信模塊
人體體溫恒定37度,會發出特定波長為10微米左右的紅外線,使用HC-SR501探測人體發射的紅外線,內部的熱釋電元件在接收到人體紅外輻射溫度發生變化時會失去電荷平衡,向外釋放電荷,后續電路經檢測處理后就能產生報警信號。
室內無線通信選擇315M超再生無線收發模塊,具有功耗低、傳輸距離長、可靠性高等特點,利用PT2262編碼芯片對HC-SR501產生的電信號進行編碼,送給315M超再生無線發送模塊,控制端的315M超再生無線接收模塊負責接收數據,利用PT2272解碼芯片對信號進行解碼,然后送單片機處理,控制聲光報警器工作,并啟動TC35 GSM模塊撥打報警電話、向戶主發送短信等操作。
3 系統軟件設計
3.1 主程序流程
系統首先對設備初始化,然后檢測TC35工作是否正常,接著判斷是否進行家電紅外編碼學習,然后通過按鍵掃描方式查詢是否打開防盜模式,進而查詢是否觸發紅外人體感應模塊,條件滿足時,單片機啟動聲光報警器并通過AT指令控制TC35模塊撥打設定的手機號碼(或報警電話),同時向戶主發短信提示有盜賊闖入。
因為TC35模塊收到的短信文本格式是固定的,在收到短信時只要檢測特定位置的串口數據,與預設數值對比,就可實現對短信指令的判斷,從而執行相應的動作。當判斷收到短信為預設的指令時,單片機通過拉低P2.2的電平控制學習型紅外遙控模塊發射已學習的相應紅外編碼,從而實現遙控家電的目的。圖2為主控單片機程序流程圖。
3.2 學習型紅外模塊程序設計
利用單片機的兩個外部中斷可以測量出紅外遙控編碼的脈沖寬度,將發射信號中高、低電平的時間寬度進行存儲。當要發射紅外信號時,從存儲區中還原出相應的紅外遙控編碼,并調制到38KHz的載波信號上,從而實現學習型紅外遙控的功能。其流程圖如圖3。
4 結束語
本智能家居系統經過實物測試,具有結構簡單、功能完善、運行可靠、成本低廉、易于擴展等特點,特別適合于互聯網普及率較低的廣大農村和偏遠山區,是廣大農村地區城鎮化建設進程中非常合適的智能家居系統的過渡替代品,具有廣闊的發展前景。
參考文獻
[1]卓承軍.家庭自動報警系統設計與實現[J].電子科技大學碩士學位論文,2011(04).
[2]周濤.基于無線傳感器網絡的智能家居安防系統[J].太原理工大學碩士學位論文,2010(05).
[3]張俊.SMS短消息傳輸的遠端控制技術及其實現[J].儀器儀表學報,2003,24(4).
[4]張玉蓮.傳感器與自動檢測技術[M].機械工業出版社,2011(6).
[5]鄧凱.智能化住宅安防系統的應用[J].冶金礦山設計與建設,2000(3).
作者簡介
張景虎(1975-),男,漢族,山東省茌平縣人,碩士,講師,研究方向為信號與信息處理。
孔芳(1976-),女,山東省曲阜人,現供職于曲阜少年兒童競技體育運動學校。
作者單位
