張曉莉 郭慶西安科技大學通信學院大唐移動通信設備有限公司

具有工業(yè)控制信息安全特性的TD—LTE無線RTU*

張曉莉1郭慶21西安科技大學通信學院2大唐移動通信設備有限公司

安全的SCADA遠程監(jiān)控系統(tǒng)需引入端到端加密和無線RTU接入認證。在SCADA側引入基于數(shù)字證書的接入認證服務器AS和加密網(wǎng)關CiperGW，無線RTU中增加數(shù)字證書（DC）接入功能和安全加密功能。TD—LTE無線RTU集無線數(shù)傳DTU和井場數(shù)字化遠程終端單元RTU功能于一身，具有功能強、體積小的優(yōu)勢，在應用到油氣生產物聯(lián)網(wǎng)系統(tǒng)時可以替代DTU和RTU，以減少安裝占用的空間，降低故障率。該系統(tǒng)除了在油田的應用外還可以推廣到其他行業(yè)領域，尤其對于正在北京、天津試點的政務物聯(lián)網(wǎng)，可以保證遠程無線監(jiān)控的安全性。

TD-LTE無線RTU；工業(yè)信息安全；安全認證；加密網(wǎng)關

1 SCADA無線遠程監(jiān)控安全機制

安全的SCADA遠程監(jiān)控系統(tǒng)需引入端到端加密和無線RTU接入認證。在SCADA側引入基于數(shù)字證書的接入認證服務器AS和加密網(wǎng)關Ciper GW，無線RTU中增加數(shù)字證書（DC）接入功能和安全加密功能。無線RTU接入數(shù)字證書認證步驟流程如下：

（1）無線RTU發(fā)送請求初始化的信息Init及cnt1給AS。

（2）AS驗證cnt1，若正確，則發(fā)送（Cert（KASP），KASP）及cnt1給無線RTU。

（3）無線RTU驗證cnt1，若正確，驗證Cert（KASP），若該證書有效，無線RTU將其身份IDRTU、身份證書Cert（IDRTU）、EKA(Hash(IDRTU|| Cert(IDRTU)))及cnt1的級聯(lián)用KASP加密后發(fā)送給AS。其中形如EKA(x)的公式是表示用KA對x進行加密，下同。

（4）AS用KASP對應的私鑰解密，驗證cnt1，若正確，再驗證Cert(IDRTU)，若正確，用Cert(IDRTU)從TTP處獲得無線RTU的臨時密鑰KA。然后計算EKA(Hash(IDRTU||Cert(IDRTU)))，若與其接收到的相同，則證明無線RTU合法。AS將KA對應于IDRTU保存，并將success信息及cnt1用KA加密后發(fā)送給無線RTU。至此無線RTU與AS之間的認證結束。

2 安全的無線RTU設備架構

無線RTU在原有產品架構基礎上，增加數(shù)字證書認證功能以及相應的數(shù)字證書（DC）存儲功能，增加安全加密芯片。安全加密芯片應采用國家保密局認可并授權生產的國產安全芯片。

安全芯片TPM（TrustedPlatformModule），即可信任平臺模塊，是一個可獨立進行密鑰生成、加解密的裝置，內部擁有獨立的處理器和存儲單元，可存儲密鑰和特征數(shù)據(jù)，為處理器提供加密和安全認證服務。用安全芯片進行加密，密鑰被存儲在硬件中，被竊的數(shù)據(jù)無法解密，從而保護商業(yè)隱私和數(shù)據(jù)安全。現(xiàn)在大多數(shù)廠家的安全芯片加解密處理能力達到20Mbps，有些廠商的安全芯片還內置了雙向數(shù)字證書認證算法。

3 應用

TD—LTE無線RTU集無線數(shù)傳DTU和井場數(shù)字化遠程終端單元RTU功能于一身，具有功能強、體積小的優(yōu)勢，在應用到油氣生產物聯(lián)網(wǎng)系統(tǒng)時可以替代DTU和RTU，以減少安裝占用空間，降低故障率。在信息安全配置方面，需在SCADA系統(tǒng)前端部署接入認證系統(tǒng)AS和加密網(wǎng)關設備作為安全中心，實現(xiàn)作業(yè)區(qū)內井場無線RTU的接入安全認證和數(shù)據(jù)傳輸加密。

該系統(tǒng)除了在油田應用外還可以推廣到其他行業(yè)領域，如智能電網(wǎng)、城市燃氣監(jiān)控等關系國計民生能源行業(yè)的工業(yè)生產遠程監(jiān)控系統(tǒng)中。尤其對于正在北京、天津試點的政務物聯(lián)網(wǎng)，可以保證遠程無線監(jiān)控的安全性。綜上所述，具有工業(yè)控制信息安全特性的TD—LTE無線RTU的應用，極大地提高了油氣生產物聯(lián)網(wǎng)系統(tǒng)油氣水井遠程監(jiān)控信息安全水平，具有廣闊的應用前景。

（欄目主持 樊韶華）

10.3969/j.issn.1006-6896.2014.12.072

基金論文：陜西省科技廳科技攻關計劃項目“油田物聯(lián)網(wǎng)”（2012K06—16）。