英语原文共 9 页,剩余内容已隐藏,支付完成后下载完整资料
附录A
楼宇自动化系统的安全性
摘 要:建筑自动化系统传统上是与供热、通风、空调的控制、照明和遮阳相关的系统。他们的初衷是将安全作为最重要的侧面问题。如今,随着对由孤立子系统提供的安全关键服务进行整合的愿望越来越强烈,安全性问题就需要被重视起来。因此,一个全面的安全概念的发展是至关重要的。本文从安全威胁开始分析,并确定了在楼宇自动化领域中提供安全的挑战。之后,对可用标准的安全机制进行彻底分析。最后,提出了两种提供可能不受信任的控制应用的安全通信和安全执行的方法。
关键词 建筑自动化;嵌入式网络;集成;安全
0 引言和动机
建筑自动化系统(BAS)旨在提高建筑物中机械和电气系统的控制和管理,更一般地说,是通常在那里发现的各种设备之间的相互作用。BAS的核心应用领域是由传统服务-供热,通风和空调(HVAC)和照明/遮蔽[1]处理的环境控制。 其他特定于应用的服务通常由分离的系统实现。 这对于通常由专用独立系统[2]提供的安全关键(例如火灾或社会报警系统)和安全关键(例如,入侵报警或访问控制系统)服务尤其如此。如果有的话,只有松散耦合才能与核心BAS进行可视化和报警管理。
为了激活这些不同系统之间的所有内在协同作用,安全和安全关键系统的集成是一个重要的主题[3]。承诺的好处包括较低的(生命周期)成本,增加和改进的功能。例如,考虑在多个应用域中并行共享源自一个传感器的数据的可能性。这将减少投资和维护成本,并且还便于管理,并且特别地,集成BAS的配置,现在,多个不同的管理解决方案可以替代统一视图和单个中央配置接入点。
安全攻击: 安全威胁:
侵犯安全行为 潜在的安全行为
攻击目标
反措施
对手
漏洞
控制功能
图1 安全攻击
整合还使得传统服务的进一步改进成为可能。例如,尽管通常不被认为是安全关键的,但是将HVAC和照明/遮蔽服务的安全对策纳入其中将防止破坏行为。 公司全面关闭照明系统的经济影响可以轻易地与对公司Web服务器的成功攻击进行比较,唯一的区别是:对于Web服务器,复杂的安全措施已经是常见的做法。
显然,安全关键服务的集成使得底层控制系统对于恶意操纵是可靠的和鲁棒的。因此,基于可靠的威胁分析,本文的目标是提出一个完整的安全概念,以满足对安全关键的楼宇自动化服务的需求。
1 建筑物自动化系统的安全威胁
为了能够集成安全关键服务,必须保护实现的控制功能(即,控制建筑物自动化服务的功能)防止未经授权的访问和恶意干扰(安全性)。 这种安全攻击的典型示例是打开和关闭入口门的访问控制系统的操作。 为了执行安全攻击,恶意实体(对手)必须识别可用于获得对控制功能的未授权访问的系统的漏洞。 脆弱性的存在导致安全威胁,可以被认为是可能或可能不被利用的安全的潜在可能性。图1中表示出了这些基本安全性术语之间的关系。
一方面,保护系统免受安全攻击需要通过在系统生命周期的每个阶段中并入安全性来最小化脆弱性的量,特别是在设计期间[4]。 另一方面,必须实施预先消除或防止安全威胁和攻击的对策。 例如,可以使用给所发送的数据加密来避免泄露机密信息。 如果不能以合理的努力进行预防,则必须部署尝试至少检测安全攻击,报告并最小化结果损坏的机制。 例如,考虑一个入侵检测系统(IDS),它揭示异常的系统行为,并试图通过隔离攻击源来防止传播。
(管理设备)
(主干级)
(主干网络)
(字段级)
(互连设备)
(传感器执行器和控制器) (现场网络)
图2 楼宇自动化网络
1.1 目标分析
在今天的BAS中,控制功能被分布以控制被托管在通过公共网络互连的不通设备上的应用。通过一方面直接操纵控制应用(例如,改变控制逻辑或修改诸如输出值的控制数据)或者另一方面通过间接改变控制,可以获得对手对控制功能的未授权访问参数或干扰在控制应用之间交换的数据。因此,控制应用程序本身以及与它们交互的方式必须得到保护。
BAS的分布式控制应用分布在称为建筑物自动化网络(BAN)的网络上。虽然BAS的功能被组织在三级层次结构中,但是BAN通常在两层模型之后实现(参见图2)。现场网络是传感器,致动器和控制器(SAC)的家。它们通过公共骨干网互连,其中需要对整个BAN的全局视图的管理节点被定位。
考虑到这种拓扑,可以识别三种不同的设备类别:与环境交互并执行控制功能的SAC,执行配置(例如,设置初始配置参数)的管理设备(MD),维护(例如,改变设置点)和操作员任务(例如,可视化和报警监控)以及提供网络段(例如,路由器)之间的互连或对外部网络的远程访问(例如,到广域网的网关)的互连设备(ICD)。
1.2 攻击分析
基于此抽象BAN模型,可以识别五个潜在攻击目标和以下攻击场景。
(1)现场网络:对手可能试图干扰在控制应用程序之间交换的数据。(2)骨干:跨网络边界传输的数据集中在那里。 因此,对手可以获得整个系统的全局视图。(3)SAC:对手可以通过改变配置参数(例如,设置点),控制逻辑(例如,算法)或控制数据(例如,输出值)来直接访问SAC以操纵托管控制应用的行为 )。(4)ICD:攻击者可能攻击在ICD上运行的应用程序以访问通过ICD的数据。 由于ICD还可以提供到外部公共网络(例如,因特网)的互连,ICD也可以被误用作接入点以对BAN发起进一步的攻击。(5)MD:对手可能通过操纵操作员软件攻击MD,并模仿MD。 被攻击设备的特权可能被错误地用于获得对SAC或ICD的管理访问。
总之,对手有两个不同的机会获得控制功能(参见图3)。 一方面,对手可能攻击网络介质以访问所交换的数据,并且因此在它们被传输(网络攻击)时干扰数据。 根据[5],一个副本可能试图拦截,操纵,制造或中断传输的数据。 对网络介质的访问可以以两种方式实现。
(1)介质访问:对手获得对网络介质的物理访问。 当使用开放通信技术(即,射频或电力线)时,这可以更容易地实现。(2)设备访问:对手可以使用另一设备的网络接口(例如,受损SAC或Web网关)。
另一方面,对手可以攻击设备以访问控制功能(设备攻击)。 这些攻击可以根据用于启动它们的手段来分类[6]、[7]。(1)软件攻击:对手可能使用常规通信渠道来利用设备软件中的弱点。(2)物理或侵入式攻击:对手可能使用物理入侵或操纵来干扰设备。(3)侧信道攻击:对手可以观察在操作期间可测量的外部设备参数,以收集关于内部的信息。
虽然抵御网络攻击的机制在第四节中提出,对设备攻击的对策将在第五节中讨论。
楼宇自动化系统安全中的攻击
设备攻击
互联网攻击
物理
侧通道
软件
拦截
制造
修改
中断
--网络 --插入格式 --中间人 --拒绝服务 --代码注入 --时间分析 --窃听
嗅探 不正确邮件 攻击 --网络洪水 --利用算法 --能量分析 --微喷
--插入正确 --改造 --重新定向 弱点 --故障行为 --组件
信息 --可用性攻击 分析 更换
--重播旧消息 --配置机制滥
用
图3 楼宇自动化系统中的攻击
1.3 在楼宇自动化系统中提供安全的挑战
在信息技术(IT)世界中,存在许多完善的安全机制。 然而,由于各种原因,它们不能被简单地映射到建筑物自动化域。 由于成本效率,SAC通常是具有依赖于总线或电池功率的有限系统资源(例如,存储器和处理能力)的嵌入式设备。 安全机制(特别是加密算法)是计算密集,并且不得超过可用的设备资源。 这些机制所产生的开销需要相当小。 因此,必须在可靠的安全级别和可用资源之间找到适当的平衡(“足够好的安全性”)。
对于IT世界中的许多服务,彼此通信的设备的量相对较小,因此允许客户端/服务器模型在仅必须保证客户端和服务器之间的通信的大多数情况下使用。 另一方面,BAN通常仅由几个MD组成,一些具有确定应用的ICD,以及数千个歧管SAC。 SAC之间的通信发生在没有中央实例的对等。 因此,集成安全机制的可扩展性是主要关注的
此外,IT安全机制针对使用的网络技术有不同要求。 虽然在IT世界中,基于互联网协议(IP)的网络协议是主要的,但是在BAN中的IP网络的使用保留给主干级。在现场级,主要使用非IP现场总线。 此外,通常在BAN中发送的控制数据具有可能具有软实时要求(例如,照明系统中的反应时间)的小体积(在字节数量级上)。 在IT / office域中,要传送的数据量通常很高(大约为兆或吉字节),通常没有实时要求。
此外,在BAN中,设备通常在不可信的环境中操作,其中给出物理访问(例如,公共建筑物中的入侵报警或无线传感器网络[8])。 因此,必须假设不能避免对设备和网络的短时间物理访问。
最后,BAS必须保持可操作几年甚至几十年。 由于预期的长寿命,必须提供更新在设备上运行的软件的可能性。 此更新机制还提供了必须防止未经授权使用的额外攻击点。
2 建筑自动化标准的安全
跨越多个应用领域的最重要的开放BAS协议标准是BACnet [9],LonWorks [10],KNX [11]和IEEE 802.15.4 / ZigBee [12]、[13]。
BACnet [9]提供了几种服务,以防止未经授权拦截,修改和制造交换的数据。这些机制使用对称数据加密标准(DES)算法和可信密钥服务器,其负责生成和分发会话密钥的。
会话密钥用于加密两个设备之间的传输数据。为了建立到密钥服务器的安全连接,每个节点保持初始秘密密钥。然而,BACnet提供了几个安全缺陷和弱点[14]:最初的秘密密钥管理没有被定义,旧的会话密钥的重用是可能的,因为寿命不受限制,DES不再是安全的,并且最后,协议容易受到中间人攻击,类型缺陷,并行交织攻击,重放攻击和依赖实现的缺陷。因此,BACnet Addendumg[15]取代了这些安全服务以克服上述限制。新服务使用高级加密标准(AES),密钥哈希消息认证码(MAC)(HMAC)算法和结合时间戳的唯一消息标识符来保护所交换的数据免受拦截,修改和制造。此外,引入了高级安全概念,如使用不同的密钥类型和密钥修订。
LonWorks [10]提供了一个四步的挑战 - 响应机制,以抵消修改和制造攻击。意图认证传输的发送者断言其消息的认证位。接收器用64-b随机数回复。发送方使用共享密钥返回对消息内容和随机数计算的64-b哈希值。接收器执行相同的计算并比较结果。然而,参考文献[16]描述了以下安全缺陷:不能避免机密数据的拦截,接收器的身份未被验证,认证被限制为被确认的单播和多播,认证协议在大组中是低效的,这是由于有限密钥长度,加密算法不安全,密钥管理服务没有定义,并且每个节点只能使用单个密钥。除了基本的LonWorks认证机制,LonWorks / IP [17]定义了自己的安全机制,它使用MD5与共享秘密,以保护数据不被修改和制造。由于所发送的数据未被加密,因此不能避免拦截。然而,由于MD5不耐碰撞的事实,所使用的机制也是不安全的。此外,缺少管理和分发所使用的共享秘密的安全机制。
KNX [11]没有提供避免网络攻击的机制。它仅提供可用于限制对设备的管理访问的基本访问控制方案。最多可以定义255个不同的访问级别,每个级别都与一组不同的权限相关联。对于每一个访问级别,可以指定4-B密码。然而,由于存在以下弱点[18],它的使用有限:密钥以明文形式传输,没有机制以安全的方式管理密钥,KNX的单一管理工具工程工具软件(ETS)只使用一个密钥对于整个安装,并且在成功认证之后注入消息不能避免。除了这种访问控制机制,KNXnet/ IP还规定了一些基本的安全指南。因为它们基于隔离(例如,防火墙;仅KNXnet / IP
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[485675],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。