复制成功
  • 图案背景
  • 纯色背景

Q GDW 1939-2013 电力无线传感器网络信息安全指南

下载积分:600

内容提示: 国家电网公司指导性技术文件Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 2013电力无线传感器网络信息安全指南PowerPowerPowerPowerw w w wirelessirelessirelessireless sensorsensorsensorsensornetworknetworknetworknetwork informationinformationinformationinformation securitysecuritysecuritysecurity guideguideguideguide2014-01-15发布2014-01-15 实施国家电网公司发 布Q/GDWICSICSICSICS 29.2409..240备案号:CECCECCECCEC 668-2012 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 2013I目次前言·············...

文档格式:PDF| 浏览次数:80| 上传日期:2015-06-17 09:31:44| 文档星级:
国家电网公司指导性技术文件Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 2013电力无线传感器网络信息安全指南PowerPowerPowerPowerw w w wirelessirelessirelessireless sensorsensorsensorsensornetworknetworknetworknetwork informationinformationinformationinformation securitysecuritysecuritysecurity guideguideguideguide2014-01-15发布2014-01-15 实施国家电网公司发 布Q/GDWICSICSICSICS 29.2409..240备案号:CECCECCECCEC 668-2012 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 2013I目次前言··········································································································································································II1范围···································································································································································· 12规范性引用文件················································································································································13术语与定义························································································································································14安全技术要求····················································································································································1感知层安全技术要求·······································································································································2传感器网络网关安全技术要求························································································································· 2附录 A(资料性附录) 电力无线传感器网络应用架构····················································································6附录 B(资料性附录) 感知层安全威胁············································································································8附录 C(资料性附录) 与业务应用对应的感知层安全机制············································································9附录 D(资料性附录) 感知层密钥管理机制··································································································10附录 E(资料性附录) 感知层鉴别机制·········································································································· 12附录 F(资料性附录) 感知层路由安全机制·································································································· 14编制说明································································································································································154.14.2 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 2013II前言无线传感器网络具有高监测精度、高容错性、覆盖区域大、可远程遥测、自组织、多跳路由等优点 ,在电力系统的输电线路状态监测、输变电设备状态监测、用电信息采集、电力用户用电服务等领域得以广泛应用。为规范无线传感器网络的安全防护手段,提高应用无线传感器网络的电力信息系统的信息安全防护能力,特制定本指导性技术文件。本指导性技术文件由国家电网公司信息通信部提出并解释。本指导性技术文件由国家电网公司科技部归口。本指导性技术文件主要起草单位:中国电力科学研究院。本指导性技术文件主要起草人:徐兴坤、赵婷、梁潇、高昆仑、郑晓崑、李焕、李怡康、白云、王志皓。本指导性技术文件首次发布。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 20131电力无线传感器网络信息安全指南1范围本指导性技术文件描述了应用于电力系统的无线传感器网络感知层和网关设备应具备的安全机制并提供实施措施。本指导性技术文件适用于指导应用无线传感器网络的业务系统的信息安全设计和实现, 相关的测试和产品采购亦可参照使用。2规范性引用文件下列文件对本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件 。凡是不注日期的引用文件,其最新版本(包括所有修改单)适用于本文件。GB/T 25069—2010 《信息安全技术术语》3术语与定义GB/T 25069—2010 确立的以及下列术语和定义适用于本文件。3.1无线传感器网络由被散落在被监测区域内的传感器构成自组织网络,其目标是协作地感知、采集、处理和传输网络覆盖地理区域内感知对象的监测信息。3.2传感节点sensorsensorsensorsensornodenodenodenode由感知单元、处理单元、无线收发单元和电源单元组成,用于感知、获取监测区域内的信息,并控制和协调节点各部分的工作,存储和处理自身采集的数据以及其它节点发来的数据。3.3路由节点routerouterouteroutenodenodenodenode无线传感器网络中完成数据转发功能的设备,根据网络通信环境、路径选择算法或其他因素等决策下一跳路由,可接受传感器网络网关、管理平台等对其的设备管理、网络管理、安全管理、参数配置及路由配置等。3.4传感器网络网关sensorsensorsensorsensornetworknetworknetworknetworkgatewaygatewaygatewaygateway具备汇聚、存储和处理功能的网络单元,主要负责对传感器网络内部数据进行汇聚,将数据转送至应用层, 传送时采用电力数据网、 公众通信网络系统等远程通信接入方式或本地通信接入方式中的一种或多种 。3.4感知层sensingsensingsensingsensing layerlayerlayerlayer由传感节点、路由节点和传感器网络网关构成,负责采集部署现场的信息。3.5密钥材料keyingkeyingkeyingkeying materialmaterialmaterialmaterial确立和维持密码密钥关系所必需的数据(如随机数、系统同步的时间信息) 。wirelesswirelesswirelesswireless sensorsensorsensorsensornetworknetworknetworknetwork4安全技术要求 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 20134.1感知层安全技术要求4.1.1实体鉴别a) 技术要求:感知层应具备机制以实现对加入网络的节点的身份鉴别。b) 附加指南:可利用对称加密算法或者非对称加密算法实现实体鉴别,宜采用国家密码局推荐的密码算法。24.1.2完整性a) 技术要求:感知层应具备机制保护网络上传输关键业务数据、配置信息、控制指令和安全信息完整且不被篡改。b) 附加指南:可使用散列值、消息认证码等方法来实现防篡改功能,防止中间人通过对协议观察分析从而加入、窃取通信会话或篡改传输信息内容。机制运行的失败不能对系统的可用性造成影响,导致业务的中断。4.1.3机密性a) 技术要求:感知层应具备机制保护网络上传输关键业务数据、配置信息、控制指令和安全信息的机密性。b) 附加指南:为防止未授权的通信数据窃听,宜采用非明文方式传输数据,可采用密码学机制对数据进行加密。如果安全防护涉及密钥管理,密钥管理策略需要能够解决周期密钥更新、密钥撤销和密钥分发等问题。对于关键业务数据、涉及用户的用电信息、配置信息和安全信息等应执行机密性保护。4.1.4抗重放a) 技术要求:感知层应具备机制保护网络上传输的关键业务数据、配置信息、控制指令和安全信息不被重放或重排。b) 附加指南:可使用随机数、时间标签的方式抵御重放攻击。4.1.5消息源鉴别a) 技术要求:感知层应具备机制实现节点对接收到数据包真实来源的鉴别。b) 附加指南:针对消息内容和发送节点信息(如节点 MAC 地址、IP 地址、ID 等)利用哈希函数计算消息认证码或消息完整性码,实现对消息发送源的鉴别。消息源鉴别的使用不应造成系统正常业务的不可容忍延时,机制运行的失败也不能对系统的可用性造成影响,导致信息传输的中断。4.1.6访问控制a) 技术要求:感知层中网关节点和关键节点应具备访问控制机制,控制可与其通信的节点。b) 附加指南:网关和节点通过列表方式记录它希望与之通信的设备,列表中可以包含地址、身份标识等。对于感知区域节点的策略违背行为宜进行日志记录,并定期由应用层发送指令进行处理。4.1.7密钥管理a) 技术要求:感知层应具备机制实现安全生成、更新、撤销节点间的密钥,保证网络通信的安全。b) 附加指南:无线传感器网络密钥管理机制包括密钥预分配、基于可信密钥分发中心的密钥管理机制、动态密钥管理机制和基于公钥体制的密钥管理机制四种类型。密钥预分配机制在节点开销方面最为理想,也就更加适用于电源供应、计算能力受限的无线传感器网络。现有密钥预分配机制主要包括密钥共享、基于多项式的密钥分配、基于密钥池或多项式池的密钥分配、基于位置信息等。应用于不同业务的无线传感器网络,可从计算处理、存储、通信开销、可扩展性和安全性等性能指标综合比较,制定密钥管理方案。4.2传感器网络网关安全技术要求无线传感器网络网关是整个无线传感器网络应用系统的核心部件,其安全保护能力对于整个系统的安全性至关重要,对基于嵌入式操作系统的无线传感器网络网关安全功能提出要求。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201334.2.14.2.1.1访问控制访问控制授权a) 技术要求:网关应只允许身份验证正确的实体访问被授权访问的资源,或者只有具有授权的实体才能发出访问请求,访问控制功能应基于请求访问的人/系统的身份。b) 附加指南:用户(管理员)应可以对网关的访问控制功能进行配置。网关的访问控制功能应提供支持基于角色的访问控制策略的能力,对重要的操作宜支持双重验证机制的能力。新建的帐号应仅具有最小的访问权限,应由账户管理员来根据策略提升对应帐号的权限,只有管理员角色权限允许建立和管理其他账号。 网关宜能够对操作功能进行授权, 查看数据、 查看配置设置 、强制修改、配置变更、固件变更、帐户管理和审计日志的功能均需要授权认证后才可以使用。对于不支持以上功能的设备,不需要进行认证。配置软件应分配给不同用户不同的操作权限:查看、修改和全配置功能。4.2.1.2配置软件认证a) 技术要求:网关应能够对专用配置软件进行认证,保证是软件授权的合法性。未授权的配置软件禁止访问设备的任何功能。b) 附加指南:无。4.2.1.3用户认证a) 技术要求:网关应具备用户身份验证方法,以支持网关功能的访问管理和使用控制。b) 附加指南:最典型的认证方式是用户名/口令认证,无论是通过本地控制面板、带测试功能通信/诊断接口、个人电脑或者通过远程网络访问,都应当使用唯一的用户名和密码组合进行认证。用户创建的密码宜遵循一个密码创建规则集,这在每个密码创建时都必须遵守。网关密码不宜以任何方式明文显示,包括本地显示面板、配置软件(本地或远程,脱机或联机) 、网页浏览器和访问终端等。其他身份验证方法可能包括生物特征和 RFID 令牌等。对于重要的网关的远程访问,宜使用双因素认证机制。4.2.1.4会话超时锁定a) 技术要求:当网关会话在管理员定义的一段时间内不活动,网关应锁定会话。b) 附加指南:网关应具有超时功能,可以自动使一段时间不活动的登录用户离线。不活动应定义为没有来自本地(面板)的输入和/或连接到设备接口的计算机键盘活动。会话锁定应一直保持到重新登录。4.2.24.2.2.1完整性和机密性存储数据的完整性a) 技术要求:网关应具备机制对存储数据的完整性进行保护,防止软件和信息被未授权篡改。b) 附加指南:无。4.2.2.2禁用不使用的端口a) 技术要求:网关应具备关闭不使用的或不在访问控制范围内的通信服务和端口的功能。b) 附加指南:不使用时,应关闭固件升级、配置修改、程序下载端口。除了诊断端口外的设备的所有通信端口都应可以通过修改配置进行开启和禁用, 一旦端口被禁用, 任何通信都禁止通过 。4.2.2.3输入数据的语法验证a) 技术要求:网关应对应用输入和程序配置信息进行检查,保证输入值的合理性,语法的完整性 、有效性和正确性。b) 附加指南:输入信息应可见,防止错误的输入被网关理解为命令。4.2.2.4非授权修改的检测a) 技术要求:1) 网关应自动检测对内存中的静态数据的修改。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 20132) 网关应具备对可执行代码的合法性校验机制, 并宜具备阻止或检测恶意代码植入的机制。3) 网关应具备检测用户应用配置数据的未授权修改、删除或插入的机制。4) 网关应具备操作系统配置数据安全的检测机制,防止修改、删除或插入数据导致设备操作系统运行异常。b) 附加指南:固件可在升级、调试等过程中被修改,但在常规业务操作中并不能被修改。嵌入式网关可以使用支持虚拟内存管理单元的操作系统或者CPU支持内存分离硬件设计的操作系统。4.2.2.5存储数据的机密性a) 技术要求:网关应能够保护存储数据的保密性,口令等敏感数据应以非明文方式存储。b) 附加指南:采用国家密码管理局认可的加密算法。4.2.3数据流控制4.2.3.1应用程序分区a) 技术要求:网关应将业务服务与管理功能分离。b) 附加指南:应用分离的手段可包括使用不同的处理单元、不同的操作系统实例、不同的网络地址或其他方法。44.2.3.2残余信息保护a) 技术要求:网关应能够对残余信息进行保护。b) 附加指南:残余信息保护或资源重用,是指防止上一个用户的信息或加密信息在释放后被当前用户访问。4.2.44.2.4.1审计和入侵防范审计a) 技术要求:1) 网关应产生和存储安全性事件和重要业务事件的审计信息。2) 网关应具备对需要审计的事件清单进行配置的功能。3) 网关应保护审计信息和审计工具不被非授权访问、修改和删除。4) 网关或者具备审计功能的组件宜具备在审计失败时告警的功能,并支持更多的可配置的操作(例如覆盖旧的审计记录和停止生成审计记录) 。5) 网关应为审计信息提供保护功能。b) 附加指南:网关审计记录的事件类型应包括,但不限于以下类型事件:用户(本地或远程)成功登录、用户发起的退出、系统注销一段时间内不活动的用户、强制修改、访问配置、配置更改、固件更换、创建用户名/口令或更改、删除用户名/口令、访问审计记录、修改时间/日期、多次输错口令、重启、非法的配置软件访问。审计记录内容宜包括,但不限于以下内容:1)事件的日期和时间;2)发生事件的组件(例如,软件,硬件) ;3)事件类型;4)用户/主体的 ID;5)该事件的结果(成功或失败) 。审计活动可能会影响设备性能,管理员应根据风险评估的结果决定足以支持安全事故事后调查的事件,形成需要审计的事件列表。审计记录应存储一定数量的信息,而且当审计记录超出存储空间时,新的记录可以覆盖旧的记录。应避免审计记录受到未预期的清除或修改,除非网关被永久性损毁,而且超出了可维修范围。大多数网关的审计信息存储容量是有限的, 可从系统层面来使用工具对系统范围内所有网关的审计记录进行过滤和分析。网关或从事审计功能的组件宜具备审计归纳和报告功能,实现对审计信息的归纳、审查。报告工具支持在不改变原始审计记录的情况下作安全事件的事后调查。4.2.4.2拒绝服务保护a) 技术要求:1) 网关应能够抵御拒绝服务攻击或降低攻击的影响。2) 网关应能够抵御一定的数据泛洪攻击,保证重要业务功能的数据通信。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201353) 网关应能够容忍针对通信协议的模糊攻击。4) 当通信请求增加到可以认为是拒绝服务攻击时,网关应能够向上层系统发出警报。b) 附加指南:在实际防护中还要综合考虑网络上的隔离手段,例如使用访问控制手段降低拒绝服务攻击或模糊攻击成功的可能性。 网关即使遭受拒绝服务攻击或模糊攻击发生故障也能保证重要业务数据的传输。网关厂商宜对可以预知的导致主要功能不能使用的情况进行整理,并且知会用户。需要发出警报的情况也包括高层系统检测到下层设备通信中断,例如收不到周期报文或网络状态报文等。4.2.54.2.5.1业务连续性自动保护a) 技术要求:应提供自动保护功能,当故障发生时自动保护当前所有状态信息,保证网关能够进行恢复。b) 附加指南:在出现故障时(软件错误、缓冲区溢出等) ,网关应具有进行自我恢复的能力。具体需要满足以下安全目标:网关在出现故障时,能够保存故障前一刻的运行状态;设备在出现故障并终止后,能够尝试按照故障前一刻的运行状态自动恢复运行。4.2.5.2事件响应支持a) 技术要求:网关应具备可配置的故障或事件通知功能。b) 附加指南:指示灯闪烁、发出警报声或发送短消息等功能。4.2.5.3设备备份a) 技术要求: 网关及其支持工具应提供备份功能, 以方便用户进行网关中用户级和系统级信息 (包括系统安全状态的信息)的备份。b) 附加指南:备份的功能和方法应在用户手册中说明。4.2.5.4设备恢复a) 技术要求:网关应提供恢复功能,使用户可以在业务中断或设备故障后恢复并重组以前保存的用户级和系统级信息的备份文件。b) 附加指南:无。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 20136附录A A A A((((资料性附录)电力无线传感器网络应用架构)))A A A A.1无线传感器网络体系架构国家标准《信息技术 传感器网络 第 1 部分 总则》 (征求意见稿)中,对无线传感器网络的网络体系架构描述如图 A.1 所示。图 A A A A.1无线传感器网络体系结构从网络角度来看,无线传感器网络的网络体系架构抽象了网络中主要网络功能实体的连接关系。根据网络设计不同,这些功能实体映射在网络中一个或多个不同类别的设备中,或者同一设备类别映射不同的功能实体。传感节点是信息采集终端,也是网络连接的起始点,各类传感节点和路由节点通过各种网络拓扑形态将感知数据传送至传感器网络网关。传感器网络网关是感知数据向网络外部传递的有效设备,通过网络适配转换连接至网络层,再通过网络层连接至传感器网络应用层。针对不用应用场景、布设物理环境、节点规模等在感知层内选取合理的网络拓扑和传输的方式。其中,传感节点、路由节点和传感器网络网关构成的感知层存在多种拓扑结构,如星型、树型、网状拓扑等,也可以根据网络规模大小定义层次型的拓扑结构,如图 A.2 所示。图 A A A A.2感知层的网络拓扑图((((从左至右依次为星型、树形、网状、分层拓扑)))) Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 20137A A A A.2电力无线传感器网络体系结构根据国家标准《信息技术 传感器网络 第 1 部分 总则》 (征求意见稿)中描述的无线传感器网络体系结构,从信息安全分析的角度,电力系统中应用的无线传感器网络系统架构可抽象如图 A.3 所示,可分为感知、网络和服务三个层次。图 A A A A.3电力系统中应用无线传感器网络的系统架构A A A A.2.1应用层应用层即系统的应用或控制中心,包括边界交换机/路由器、服务器、数据库等设备,实现对感知层现场数据的集中存储、分析和处理,并进行智能化的决策、控制和服务。A A A A.2.2网络层网络层包括局域网、广域专网和无线公网三种通信方式,主要实现智能电网中各类测、感、调、信 、控信息在感知层与应用层间广域范围内的传输。电力系统主要采用光纤专网作为远程通信网络技术。此外,为适应智能终端和设备数量众多、分布区域广、地貌复杂的客观情况,无线公网、无线专网等也被作为补充的通信方式。A A A A.2.3感知层感知层包括传感器和自动化设备,以群体为单位通过微功率无线通信技术一跳或多跳连接智能网关,并由智能网关统一进行与外部的数据交换。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 20138附录B B B B((((资料性附录)感知层安全威胁)))B B B B.1物理攻击攻击者物理俘获传感节点,并对节点内存储的内容进行读取、修改,并把修改或伪造的节点重新部署到网络中,发起很多恶意攻击,如伪造虚假传感信息、丢弃重要传感信息、分析敏感数据、信息篡改 、假冒合法节点、伪造合法身份等。B B B B.2信息窃听信息窃听是指攻击者对单个甚至多个通信链路间传输的信息进行窃听,并从多个传感信息中分析出敏感数据。B B B B.3拒绝服务攻击拒绝服务攻击主要用于破坏无线传感器网络的正常功能,其形式主要由以下几种:①在网络中发送大量的无用信息易产生链路阻塞,从而干扰网络协议和传感信息的正常传送;②想传感节点发送大量有用或无用的传感信息,快速消耗节点的能量和资源;③发布虚假路由,引起网络路由循环等。B B B B.4重放攻击重放攻击是指攻击者截获在无线传感器网络中传播的传感信息、控制信息、路由信息等,并假冒成合法节点对截获信息进行重放,造成网络混乱、传感节点错误决策等。B B B B.5完整性攻击完整性攻击是指由于无线传感器网络的广播性质,对传感信息进行修改、插入。B B B B.6路由攻击B B B B.6.1伪造路由信息攻击者通过哄骗方式伪装成网关节点,吸引网络通信量,而是真正的网关节点接收不到所需信息;或篡改或重发路由信息,导致网络内部建立路由循环;或延长或缩短正常的消息传输路径,产生伪造报错消息,增加端到端延时,以及将局部网络节点与整体网络隔离。B B B B.6.2陷洞攻击攻击者通过一个危害节点吸引某一特定区域的通信流量,形成以危害节点为中心的“陷洞”,并对截取的数据进行篡改。B B B B.6.3选择性转发攻击者通过伪造合法邻居节点,转发部分到达的消息分组,丢弃或者更改其他的消息分组。B B B B.6.4SybilSybilSybilSybil 攻击Sybil 攻击是指一个恶意的设备非法的对外呈现出多个身份,达到攻击的目的。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 20139附录C C C C((((资料性附录))))与业务应用对应的感知层安全机制C C C C.1密钥建立机制根据附录 A.2 描述了电力无线传感器网络体系结构,无线传感器网络可用于发电、输电、变电、配电、用电及企业经营管理各环节的业务系统中。由于各业务系统信息安全防护需求(参照 Q/GDW 594-2011)及可支持安全防护实施的系统资源不尽相同,其感知层应达到的安全防护强度也有所差别。本资料性附录结合无线传感器网络的不同应用,提出不同业务应用感知层宜具备的安全机制。表 C C C C.1业务应用感知层安全机制业务应用技术要求实体鉴别完整性机密性抗重放消息源鉴别访问控制密钥管理发电环境监测○○○○○√○发电设备状态监测(不接入控制网络)○√○√√√○发电设备状态监测(接入控制网络)○√√√√√√输电输电设备状态监测○○○○○√○变电环境监测○○○○○√○变电设备状态监测(不接入控制网络)○√○√√√○变电设备状态监测(接入控制网络)○√√√√√√配电配电线路/设备监测○√○√√√○配电自动化○√√√√√√用电用电信息采集○√√√√√√智能用电服务○○√○○√√经营管理电力资产全寿命周期管理○○√○○√√绿色机房管理○○○○○√○注 : “√”——宜具备; “○”——选择具备。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201310附录D D D D((((资料性附录)感知层密钥管理机制)))D D D D.1设计原则无线传感器网络中的数据加密、鉴别、数据完整性、安全路由等安全机制及安全服务均采用密码技术实现,其安全性和可靠性直接取决于对密钥的管理和保护。无线传感器网络在感知层的密钥管理机制应具备:a) 可扩展性无线传感器网络节点规模大,密钥协商过程所需的计算、存储和通信开销都会随之增大,密钥管理机制必须能够适应不同规模的传感器网络。b) 有效性传感节点的存储、 处理和通信能力严格受限, 在设计传感器网络密钥管理机制时应考虑存储、 计算 、通信复杂度。c) 抗毁性抗毁性是指密钥管理机制抵御节点受损的能力,表示当部分节点受损后,未受损节点的密钥被暴露的概率。抗毁性越好,意味着链路受损程度越低。无线传感器网络的密钥管理机制涉及以下三个方面:a) 初始密钥的产生、分发、更新和注销;b) 全局密钥的建立、撤销和更新;c) 会话密钥的建立和更新。其中初始密钥预置在传感节点和路由节点,适用于网络部署初期的连通以及新节点设备的入网。全局密钥是全网统一建立、撤销及更新的密钥,用于网络运行中周期性的实体鉴别。在网络部署初始,全局密钥与初始密钥一致。会话密钥是设备完成入网认证过程后产生的密钥,用于保证网络点对点通信链路的安全。D D D D.2密钥建立机制D D D D.2.1初始密钥建立选取随机数 IK∈R{0, 1}*,作为无线传感器网络的初始密钥,即路由节点和传感节点的初始密钥。D D D D.2.2全局密钥建立节点基于应用层下发的密钥材料(如随机数、系统同步的时间信息) ,以及(组网时的)初始密钥或(未更新的)全局密钥,利用哈希函数生成全局密钥。见图 D.1。图 D D D D.1全局密钥生成 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201311D D D D.2.3会话密钥建立利用通信两端相会发送的随机数和地址以及全局密钥,利用哈希函数生成会话密钥。见图 D.2。图 D D D D.2会话密钥生成D D D D.3密钥更新撤销机制D D D D.3.1全局密钥更新撤销全局密钥更新撤销过程是在保证密钥分发过程链路高安全性的前提下,在设定周期内完成全局密钥的更新撤销。具体步骤如下:a) 应用层重新下发的密钥生成材料(如随机数、系统同步的时间信息) 。b) 在分发过程中,每次点对点通信启动实体鉴别流程(附录 E.1) 。c) 利用原有会话密钥对更新过程的消息进行消息源认证和完整性保护 (附录 E.2) ,保证链路安全 ;利用原有会话密钥对消息进行加密处理,保证密钥信息的安全。d) 节点生成新的全局密钥,并删除原有全局密钥和会话密钥。e) 节点间重启实体鉴别流程(附录 E.2) 。f) 节点间重新生成会话密钥。D D D D.3.2会话密钥更新撤销会话密钥更新撤销过程是通过节点间周期性的实体鉴别过程 (附录 E.1) , 完成会话密钥的更新撤销 。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201312附录E E E E((((资料性附录)感 知 层 鉴 别 机 制)))E E E E.1实体鉴别根据 GB/T 15843.2—2008/ISO/IEC 9798—2:1999,实体鉴别采用三次传递鉴别流程实现,以减少节点间的信息交互次数和处理复杂度。见图 E.1。图 E E E E.1实体鉴别1) 接收端 R 发送一个随机数2) 发送端 S 产生一个随机数;,然后产生 TokenSR并发送给接收端 R;(||KSeRandomRandomRRandomRandomTokenS)||SRRR=3) 一旦收到包含确性以及步骤 1)中发给 S 的随机数证,同时获得随机数SRToken4) 接收端 R 产生并向发送端 S 发送的消息,接收端 R 便将加密部分解密,并检验可区分标识符 R 的正是否与RRandomToken;SRandom;RSTokenSRToken中含的随机数相符,从而验SR(||)RSKRSTokeneRandomRandom=5) 一旦收到包含收端 R 的随机数的随机数的消息,发送端 S 便将加密部分解密,并检验在步骤 1)中来自接是否与中的随机数相符以及在步骤 2) 中发送给接收端 SRRandomRSToken是否与中的随机数相符。SRandomRSTokenRSTokenE E E E.2消息源鉴别及完整性、抗重放保护节点间的消息源鉴别及完整性保护的具体步骤如下:1) 发送端将有效载荷和计数器值作为哈希函数的输入,结合会话密钥计算出完整性码,并将完整性码附加在有效载荷之后形成发送数据包;2) 接收端接收到数据包,重新计算完整性码,并与发送数据包的完整性码比对,验证数据是否完整且未被篡改。采用计数器模式是为了抵御重放攻击,同时不对节点设备带来较大的运算处理压力。见图 E.2。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201313图 E E E E.2消息源鉴别及完整性、抗重放保护 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201314附录F F F F((((资料性附录)感知层路由安全机制)))F F F F.1路由请求消息安全请求节点基于全局密钥利用数据加密机制和消息源鉴别及完整性、抗重放保护(附录 E.2)产生路由请求消息密文,防止路由请求消息被假冒,识别伪造或被篡改。F F F F.2路由响应消息安全路由节点基于全局密钥解密得到正确的路由请求消息明文, 采取基于全局密钥利用数据加密机制和消息源鉴别及完整性、抗重放保护(附录 E.2)产生路由响应消息密文,防止路由响应消息被假冒,识别伪造或被篡改。F F F F.3网络层信息传输安全请求节点与路由节点间的实体鉴别(附录 E.1)获取会话密钥,保证节点身份的合法性,抵御恶意节点制造的路由攻击(附录 B.6) 。请求节点基于会话密钥利用数据加密机制和消息源鉴别及完整性、抗重放保护(附录 E.2) ,防止网络层传输信息被假冒,识别伪造或被篡改。图 F F F F.1路由安全 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201315电力无线传感器网络信息安全技术规范编制说明 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 201316目次123456编制背景··························································································································································17编制主要原则··················································································································································17编制依据··························································································································································17主要工作过程··················································································································································17标准结构和内容··············································································································································17条文说明··························································································································································18 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 2013171编制背景无线传感器网络作为通信领域的新兴技术,具有高监测精度、高容错性、覆盖区域大、可远程遥测 、自组织、多路由等优点,在电力系统的输电设备状态监测、变电设备状态监测、自动抄表、电力用户用电服务等领域得以广泛应用。为规范无线传感器网络的安全防护手段,提高应用无线传感器网络的电力信息系统的信息安全防护能力,受国家电网公司信息通信部的委托,制定电力无线传感器网络信息安全指南。2编制主要原则1) 坚持先进性与实用性相结合、统一性与灵活性相结合、可靠性与经济性相结合的原则,以标准化为指导相关业务系统的安全建设。2) 采用分散与集中讨论的形式,分析各业务系统的安全需求、性能特征,研究提出具有必要性、实用性和可实施性的安全机制和实施措施。3) 认真研究、学习、借鉴现行相关的国际标准、国家标准、行业标准、企业标准,使标准具有科学性和规范性。3编制依据本指导性技术文件的制定过程主要依据和参考如下文献:GB/T 22239 信息安全技术 信息系统安全等级保护基本要求GB/T 9387.2—1995 《信息处理系统 开放系统互连 基本参考模型 第 2 部分:安全体系结构》GB/T 18336—2001《信息技术 信息技术安全性评估准则》Q/GDW 594-2011 《国家电网公司信息化“SG186 工程”安全防护总体方案》电监安全〔2006〕34 号《电力二次系统安全防护总体方案》国家电网信息〔2011〕1727 号《国家电网公司智能电网信息安全防护总体方案(试行) 》国家标准《信息技术 传感器网络 第 1 部分 总则》 (征求意见稿)IEEE Std 1686—2007 IEEE Standard for Substation Intelligent Electronic Devices (IEDs)CyberSecurity CapabilitiesISA Security Compliance Institute — Embedded Device Security Assurance — Functional SecurityAsssessment (FSA)4主要工作过程2012 年 2 月,国家电网公司信息通信部提出编制需求,并确定标准题目,成立了国家电网公司信息通信部牵头,以中国电力科学研究院为主要起草单位的工作组;2012 年 3 月,工作组针对标准中的概念进行讨论,确定标准的编制大纲和工作计划;2012 年 4 月-6 月,按照编制大纲和工作计划,编制标准初稿;2012 年 7 月-10 月,编写组内部讨论后形成修改意见,对标准修改完善形成初稿;2012 年 11 月,组织专家对标准进行初审,根据专家意见进行修改,形成征求意见稿;2012 年 12 月,标准在公司范围内征求意见,汇总梳理征求意见稿反馈意见,认真讨论,修改完善形成送审稿;召开评审会议,对送审稿进行评审,并修改形成报批稿。5标准结构和内容本指导性技术文件描述了应用于电力系统的无线传感器网络感知层和网关设备应具备的安全机制并提供实施措施。 Q Q Q Q/ / / /GDWGDWGDWGDW/ / / /Z Z Z Z 1939 — 2013本指导性技术文件适用于指导应用无线传感器网络的业务系统的信息安全设计和实现, 相关的测试和产品采购亦可参照使用。本指导性技术文件的主要结构和内容如下:a) 目次;b) 前言;c) 正文,共设四章:范围、规范性引用文件、术语和定义和安全技术要求;d) 附录 A 电力无线传感器网络应用架构;e) 附录 B 感知层安全威胁;f) 附录 C 与业务应用对应的感知层安全机制;g) 附录 D 感知层密钥管理机制h) 附录 E 感知层鉴别机制i) 附录 F 感知层路由安全机制j) 参考文献。186条文说明无。

关注我们

关注微信公众号