污染源自动监测系统中的数据安全传输设计与实践
2023-07-17 09:30吴哲黄健权冠宇等
计算机应用文摘 2023年13期
吴哲 黄健 权冠宇等
摘要:污染源自动监测系统是生态环境管理中的一项重要应用.其数据安全传输对生态环境管理有着非常重要的意义。目前,监测数据基于HJ 212协议传输,数据的真实性、完整性、机密性尚有不足。
由于污染源监测设备软硬件产品化程度高,并且设备数量多及产权属性等因素,存在二次开发困难的问题。文章就这些问题结合浙江省污染源自动监测系统提出了一种基于通信密码模块的安全数据传输改造方案,选取试点开展实践应用,并验证方案的可行性。
关键词:商用密码;SSL安全通信;污染源自动监测系统
中图法分类号:TP319 文献标识码:A
1 引言
随着环境监测的自动化、标准化、信息化水平逐渐提升,环境自动监测技术正在快速发展[1] 。污染源自动监测系统利用信息技术提供废水废气监测、数据管理与可视化展示功能,实现业务数据与环境信息立体化、可视化,是环境执法与科学管理的重要信息系统。污染源监测包含现场机与上位机[2] ,现场机负责环境监测与数据采集,上位机负责数据处理统计与展示。参考Dolev⁃Yao 提出的网络威胁模型,攻击者可在现场機与上位机的通信网络中发动窃听、篡改等网络攻击[3] ,破坏监测数据的“真、准、全”,对环境管理工作的正常开展造成影响。
此外,由于污染源自动监测系统的设备数量多、产品化程度高及产权属性因素等,部署安全传输网关设备或者二次集成开发等应用方式并不适用,因此设计一种轻型、简易的安全数据传输改造方式,不仅可以极大地保障数据机密性和真实性,还可以节约时间成本和经济成本,将具有广阔的应用前景。
2 数据传输现状
污染源自动监测系统上位机与现场之间基于HJ212 协议传输数据。HJ 212 是生态环境部于2017 年4 月发布的数据传输协议,被用来规范各种污染物监控监测仪器设备、传输网络和环保部门应用软件系统之间的连通,是一种基于TCP / IP 协议的应用层协议。
该协议规定了数据传输过程的数据格式和代码定义,各地根据精细化管理需求也有相应的拓展[4] 。协议中规定上位机以通信数据结构中的“设备唯一标识”
标识现场机,现场机以通信数据结构中的“访问密码”
认证上位机,当攻击者窃听获取“设备唯一标识”与“访问密码”等关键信息后,可假冒上位机或现场机伪造消息与另一方通信,因此必须保证通信数据来源的真实性。由于污染源自动监测系统的数据传输信道的复杂性,当通信数据包被恶意攻击者抓包并解析后,通信数据包内的关键信息可能被攻击者获取,导致攻击者发动假冒、篡改等主动攻击,造成恶劣影响,因此对通信数据的机密性十分重要。另外,监测数据在传输中,依靠CRC 校验码来对抗因为传输介质故障或外界干扰而产生的差错。对于安全的信道,CRC校验足以验证数据完整性,但是在复杂的信道中,攻击者却可以通过篡改通信数据内容并对CRC 校验码进行重新计算,从而实现在不被发现的情况下篡改数据的目的。
3 应用协议
为实现监测数据传输的真实性、机密性、完整性,可以在原有数据传输协议的基础上增加一层安全通信协议。安全通信协议既包含身份认证,又包含密钥协商。应用安全通信协议后可以在通信前验证对方身份的真实性,又可以通过协商的密钥确保通信数据的完整性与机密性。IPSec(Internet Protocol Security)和SSL(Secure Socket Layer)都是实现安全传输的常见协议。IPSec 协议是工作在OSI 七层模型中的网络层的开放通信协议,各个厂商的实现标准不一,通过认证并加密IP 数据包实现安全通信;SSL 协议工作在应用层,是一种标准的通信协议,认证并加密上层协议的通信内容实现安全通信。针对污染源自动监测系统的应用场景,应用IPSec 协议需要更换大量原有通信设备,在实施部署和维护上难度较大;SSL 协议相对来说标准化程度更高,实施部署较为简单[5] 。
基于商用密码应用安全性评估的一些要求,应用的SSL 协议中涉及的密钥交换算法、对称加密算法和杂凑算法均采用商用密码算法,数字证书选取权威认证机构签发的SM2 数字证书[6] 。SM2 是国家密码管理局于2010 年12 月17 日发布的非对称密钥算法,相较于RSA 算法,SM2 算法以更短的密钥长度实现了更高的加密强度,同等强度下SM2 签名的运算速度也快于RSA。
4 系统架构与功能设计
污染源自动监测系统的通信结构包含现场机、传输网络、上位机。其中,现场机上运行的数据采集软件大多与硬件作为软硬件一体化的产品存在,因此很难对数据采集软件二次集成SSL 通信协议,并且安全传输设计与实践需要在原有的通信协议的基础上进行设计。对通信密码模块进行设计和配置,集成数字证书,以取代现场机上的数据采集软件和上位机上的数据处理软件,实现身份认证、密钥协商等,这是一种更低成本的应用方式。这种应用方式不仅避免了对成品软件的二次开发,还将安全通信功能与数据采集业务分割开,从而降低了集成耦合度。安全通信结构如图1 所示。
4.1 通信密码模块设计
通信密码模块的功能主要有安全管理模块、通信模块、自检模块。
安全管理模块提供密钥分量的生命周期管理,以及自身的证书管理。
通信模块提供基于商用密码技术SSL 的双向身份认证与密钥协商功能,具体设计与实现基于商用密码技术标准实现[7] 。
自检模块在模块启动前以及启动后,周期性地开展数字证书有效性、证书及密钥完整性、密码算法正确性的检测。在测试过程中,若测试出现了故障,则判定该模块不具备安全通信条件而强制退出模块,以保证通信数据不会遭受泄露。
4.2 通信密码模块管理端设计
通信密码模块管理端主要包括证书管理、密钥管理。
SSL 协议是一种基于数字证书实现双向身份认证的协议,应用SSL 协议需要为通信实体分发数字证书。污染源自动监测系统的设备数量众多,而分散式的证书管理并不利于维护与管理,构建集中式的证书管理能够为证书申请、续订、吊销以及证书吊销列表查询等操作提供有效的帮助。
配套的密钥管理为通信参与者提供了密钥存储介质,以协同签名方案为基础,对其进行统一密钥管理,其中包含密钥协商、密钥分量存储、密钥销毁等功能[8] 。
5 实践效果
为探究在污染源自动监测系统中实现安全数据传输设计的可行性,本文对污染源自动监测系统做了实验性的安全传输应用。本次探究以舟山市某船舶修造企业的污染源监测站点为试点,在现场机完成通信密码模块部署,其中现场机的设备为工控机,其操作系统为CentOS 6,2 核CPU,2 GB 内存,上位机部署于浙江省政务云上,操作系统为Windows Server 2012,16 核CPU,16 GB 内存。
在为期3 个月的运行期间,试运行设备数为1台,期间通信密码模块构建总计2 163 个SSL 通道,加密263 MB 监测数据,SSL 通道协商失败0 次。在系统占用方面,现场机CPU 占用稳定在48%,内存占用稳定在72%,相较于未部署通信密码模块时CPU 占用提升约5%、内存提升约30 MB,没有明显提升,几乎未占用资源。
6 结束语
根据实践效果可以得出,安装通信密码模块代替软件应用实现安全认证与加密传输是实现污染源自动监测系统基于商用密码技术安全通信改造的一种有效方式。
参考文献:
[1] 朱卫兴.自动化技术在环保设备中的应用及发展[J].企业科技与发展,2021(2):62⁃64.
[2] 西安交大长天软件股份有限公司,环境保护部信息中心,中国环境监测总站.HJ 212⁃2017.污染物在线监控(监测)系统数据传输标准[S].北京:中国标准出版社,2017.
[3] DOLEV D,Yao A. On the security of public key protocols[J].IEEE Transactions on information theory,1983,29(2):198⁃208.
[4] 何万清,佟杰,石爱军.《餐饮业废气排放过程(工况)监控数据采集技术指南》解读[J].中国环保产业,2021(12):56⁃60.
[5] 钱臣,尹家强.使用IPsec、TLS/ SSL 或SSH 作为VPN 解决方案的限制和差异[J].有线电视技术,2017(12):105⁃106.
[6] 北京华大信安科技有限公司,中国人民解放军信息工程大学,中国科学院数据与通信保护研究教育中心. GM/T0003.1⁃2012.SM2 椭圆曲线公钥密码算法第1 部分:总则[S].北京:中国标准出版社,2012.
[7] 國家密码管理局. GM/ T 0024⁃2014. SSL⁃VPN 技术规范[S].北京:中国标准出版社,2014.
[8] 苏吟雪,田海博.基于SM2 的双方共同签名协议及其应用[J].计算机学报,2020,43(4):701⁃710.
作者简介:
吴哲(1988—),本科,工程师,研究方向:环境工程信息化和网络安全。
叶新辉(1969—),本科,高级工程师,研究方向:环境工程(通信作者)。
