专利名称:用于工业无线网络的防重放攻击系统的制作方法
技术领域:
本发明涉及工业无线网络技术领域和网络安全技术领域,具体涉及一种用于工业无线网络的防重放攻击系统。
背景技术:
无线技术的飞速发展和日渐成熟,极大地改善了人们的生活质量,加快了社会发展的进程,也使信息共享及应用更加广泛和深入。工业无线通信网络技术扩展了工业用户的自由度,具有网络结构方便、灵活、经济等特点,成为工控领域中迅速发展的热点技术之一,引领工业自动化系统未来的发展方向。然而,这种自由同时也带来了新的挑战,安全问题已经成为制约无线网络技术应用普及的一个主要障碍。由于Internet本身安全机制较为脆弱,无线网络传输介质固有的开放性和移动设备存储资源及计算资源的局限性,特别是在工业现场恶劣的环境中,不仅要面对有线网络环境下的所有安全威胁,而且还要面对新出现的专门针对工业无线环境的安全威胁。
在无线网络中,数据传输是利用微波在空气中进行辐射传播,攻击者可以在无线接入点所覆盖的任何位置,侦听、拦截、重放、破坏用户的通讯数据。在这些攻击中重放攻击是一种最常见的、危害性最大的一种攻击。在可以受到攻击的认证协议中,百分之九十以上都来自于重放攻击。重放攻击(ReplayAttacks)也称为新鲜性攻击(Freshness Attacks),就是攻击者发送一个目的主机已接收过的包。该攻击一方面通过占用接收系统的资源使系统的可用性受到损害,另一方面攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器,来达到欺骗系统的目的。
目前对于重放攻击的研究主要是针对协议本身,而对重放攻击造成系统资源的消耗等方面确很少涉及。比较常用的新鲜性检查机制就是时间戳和挑战-应答机制。消息附带的时间戳标明该消息发送的系统时间,时间戳能够保证消息在一段时间内的新鲜性,接收方只接收时间戳与当前系统时间的差值在设定范围之内的消息。这种给关键信息加上单个时间戳的机制只能保证消息是在最近一段时间内发送的,但不能保证消息的确定性和唯一性。而另一种常用的Needham-Schroeder对称密钥协议亦容易遭受重放攻击,假设攻击者能够截获旧会话密钥,则冒充发送设备向接收设备重放消息后,欺骗接收设备,进而敌手就可假冒发送设备使用经认证过的旧会话密钥向接收设备发送假消息,从而也不能保证数据的新鲜性,因此该协议也不能应用与工业现场。
综上所述,现有的一些方法,虽然在防重放攻击方面取得了一些成果,但是大都以简化边界条件为前提,没有考虑到工业场合及复杂应用环境下,通过重放攻击耗尽系统的可用资源,最终破坏系统可用性,使得网络中的重放攻击的可能性高,潜藏着巨大的安全风险和安全隐患。工业无线网络的防重放攻击能力将直接影响整个网络总体上的信息安全、能量高效、容侵容错和高可用性等目标的实现。在现有的防重放攻击技术中,没有引入第三方检测机制,对系统资源消耗较大;未将重放攻击所消耗的系统资源与采用防重放攻击手段所带来的资源消耗进行比较,从而可能造成采用防重放攻击手段所带来的资源消耗比重放攻击所消耗的系统资源更大;此外,仅仅靠单一的时间戳机制不能保证消息的确定性和唯一性,不能有效地判断出重放攻击的数据包。
发明内容
有鉴于此,为了解决上述问题,为此,本发明提出一种用于工业无线网络的防重放攻击系统,引入第三方检测机制,以减少系统资源消耗。
本发明的目的是这样实现的用于工业无线网络的防重放攻击系统,所述工业无线网络包括网关、路由设备、现场设备和网络安全管理器,所述用于工业无线网络的防重放攻击系统包括第三方检测模块,所述第三方检测模块用于检测工业无线网络中是否存在入侵数据包和重放攻击数据包,并将检测结果发送给网络安全管理器,网络安全管理器根据第三方检测模块的检测结果实施防重放攻击手段。
进一步,所述第三方检测模块包括 全信道分析仪,用于捕获工业无线网络各信道的数据包,发送给防重放攻击检测分析系统;以及 防重放攻击检测分析系统,用于对全信道分析仪捕获的数据包的相似度、捕获时间和时间戳信息进行分析,将新接收到的数据包与之前一定时间内所接收到的数据包进行比较,当新接收到的数据包与原先接收到的数据包相似度超过预设值时,将这一新数据包认定为作为重放攻击的数据包并将检测结果发送给网络安全管理器。
进一步,所述用于工业无线网络的防重放攻击系统还包括加载于网关、路由设备和现场设备上的本地防重放攻击模块,所述本地防重放攻击模块用于过滤工业无线网络中的重放攻击数据包;网络安全管理器根据第三方检测模块的检测结果决定是否开启本地防重放攻击模块; 进一步,所述网络安全管理器通过如下步骤判断是否启用本地防重放攻击模块 网络安全管理器计算出系统单位时间中所受到的重放攻击次数NX,并计算单位时间内重放攻击所引起的资源的消耗PT=NX×WX,所述WX为系统处理一次重放攻击所引起资源的消耗; 将PT与QT进行比较,所述QT为单位时间内加载本地防重放攻击模块所引起系统额外资源的消耗; 如果PT>QT,启动本地防重放攻击模块; 如果PT≤QT,不启动本地防重放攻击模块; 进一步,所述本地防重放攻击模块由发送端模块和接收端模块组成,本地防重放攻击模块启动后,在全网时间同步的基础上,所述发送端模块在数据包中加入时间戳以构建防重放攻击的数据包,所述接收端模块接收数据包,根据时间戳信息判断接收的数据包是否是重放的数据包,并抛弃重放的数据包。
进一步,所述发送端模块采用如下步骤在数据包中加入时间戳构建防重放攻击的数据包 在应用层获得数据包的创造时间; 在MAC层获取数据包的发送时间; 设定容忍时间; 将数据包的创造时间、发送时间、容忍时间和完整性校验码作为防重放校验码加入数据包; 进一步,所述接收端模块通过如下步骤判断接收的数据包是否是重放的数据包,并丢弃重放的数据包 做第一次新鲜性判断比较当前接收的数据包的接收时间和发送时间差值是否在容忍时间范围内,如否,则丢弃该数据包,如是,则执行以下步骤 对当前接收的数据包的新鲜性做第二次判断通过比较当前接收的数据包与之前已经接收过的数据包的发送时间和创造时间,如果当前接收的数据包的发送时间和创造时间与之前接收的某一数据包相同时,则丢弃该数据包; 进一步,通过如下步骤使用滑动窗口协议对当前接收的数据包的新鲜性做第二次判断 以当前接收的数据包中的发送时间为滑动窗口的标识,滑动窗口大小设为时间T,右窗口值为T_right,则左窗口值T_left=T_right-T;构建二维数组a_time[N][2],用于存储已经接收过的数据包的发送时间和创造时间; 设置时间窗口大小; 当前接收的数据包的发送时间小于窗口左边缘所代表的时间值T_left时,则丢弃该数据包;滑动窗口不移动; 当前接收的数据包的发送时间大于时间窗右侧边缘所代表的时间值T_right,则将这个发送时间作为新的窗口的右边缘,左边缘也相对移动,同时将该当前接收的数据包的发送时间和创造时间存入二维数组中; 当前接收的数据包的发送时间在时间窗口内时,按如下方式分别处理 在窗口内未找到与当前接收的数据包的发送时间相同的数据包时,则将当前接收的数据包的发送时间和创造时间插入二维数组a_time[2][N]中; 在窗口内找到与当前接收的数据包的发送时间相同的数据包,但在二维数组中查询发现数据包中的创造时间不相同时,则将该当前接收的的发送时间和创造时间插入到二维数组中; 在窗口内找到与当前的发送时间和创造时间的发送时间相同的数据包,在二维数组中查询发现数据包中的创造时间也相同,则丢弃该数据包; 进一步,当接收端为网关设备时,时间窗口大小根据单位时间内网络接收数据包的数量进行自适应调整,当单位时间内接收的数据包增多时,减小时间窗口大小,单位时间内接收的数据包减少时,加大时间窗口大小。
本发明相对于现有技术,具有如下优点采用第三方检测模块进行检测,可以减少系统资源消耗;在进一步的技术方案中,网络安全管理器根据将重放攻击造成的系统资源消耗与采用防重放攻击手段所带来的资源消耗进行比较,以决定是否启用防重放攻击手段,可以有效避免防重放攻击手段带来比重放攻击更大的系统资源消耗;在更进一步的技术方案中,在防重放攻击时,发送方在数据包中加入创建时间和发送时间两个时间戳,能保证消息的确定性和唯一性,并采用接收方检测机制,由接收方判断并丢弃重放攻击的数据包,可以解决身份认证等问题;本发明可以更加合理利用网络资源,提高网络性能,有效的实现入网设备的入侵检测,支持网络安全的通信处理,保障网络正常运行。
本发明的其他优点、目标,和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书,权利要求书,以及附图中所特别指出的结构来实现和获得。
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步的详细描述 图1示出了用于工业无线网络的防重放攻击系统的结构示意图; 图2示出了用于工业无线网络的防重放攻击系统中的数据发送接收流程图; 图3示出了时间窗口结构示意图; 图4示出了数组a_time[2][N]结构示意图; 图5示出了当前接收的数据包的放送时间在时间窗口内的示意图; 图6示出了二维数组插入新数据包流程的示意图; 图7示出了原时间滑动窗口示意图; 图8示出了窗口滑动后的时间滑动窗口示意图; 图9示出了窗口滑动后的二维数组; 图10示出了举例分析示意图。
具体实施例方式 以下将参照附图,对本发明的优选实施例进行详细的描述。
安全的网络应该具备深度防御功能,防重放攻击系统作为一种积极主动的深度防护技术,可以通过检测网络流量或主机运行状态,通过构建防重放攻击模块,监测防控工业无线网络中重放攻击,并做出响应及时给网络提供安全防护措施。防重放攻击技术是工业无线网络安全的关键组成部分。
基于此,本实施例在详细研究攻击实例的基础上,设计一种防重放攻击的工业无线网络架构,并在此结构上构建一种防重放攻击系统,从本地检测和全网监测的角度设计本地防重放攻击模块和第三方检测重放攻击模块,提出一种防重放攻击检测方法,采取适合的安全措施和安全管理,保证无线工业通信网络系统在开放的环境中能够安全地运行,保护网络内部的系统、资源和正常的通信秩序,是提高工业无线网络安全的关键。
参见图1,工业无线网络通常由网络安全管理器、网关、路由设备、现场设备组成,本实施例的防重放攻击系统,由第三方检测模块和加载于网关、路由设备和现场设备上的本地防重放攻击模块组成,所述第三方检测模块用于检测工业无线网络中是否存在入侵数据包和重放攻击数据包,并将检测结果发送给网络安全管理器,网络安全管理器根据第三方检测模块的检测结果决定是否启用防重放攻击策略,如提高安全等级或跳信道,本实施例通过启用本地防重放攻击模块来提高安全等级,丢弃重放攻击数据包。
所述第三方检测模块由全信道分析仪和防重放攻击检测分析系统组成,所述全信道分析仪,针对工业无线网络全信道通信的特点,在2.4G频段,对网络中可能存在入侵的16个通信信道进行全信道监测,捕获各信道的数据包,发送给防重放攻击检测分析系统;所述防重放攻击检测分析系统与工业无线网络的系统管理系统、安全管理系统构成一个统一的系统,防重放攻击检测分析系统以第三方的身份监测网络流量和全网的数据包,对全网的数据包的相似度、捕获时间以及相关时间戳信息进行分析,系统设置数据包相似度参数Reseblence,作为评价数据包是否为重放数据包的依据,相似度参数可由用户根据整个工业网络的安全等级和安全需求进行设定,防重放攻击检测分析系统接收到来自全信道分析器发送过来的数据包,将新接收到的数据包与之前一定时间内的接收到的所有数据包进行比较和分析,该时间可根据网络数据包平均发送速率和系统的安全级别由用户配置,当新接收到的数据包与原先接收到的数据包相似度超过Reseblence时,将这一新数据包锁定在重放攻击范围内,并将这一情况记录并报告给网络安全管理器。
防重放攻击检测分析系统将所监测到的网络数据包情况报告给网络安全管理器,网络安全管理器计算出系统单位时间中所受到的重放攻击次数NX,假定系统处理一次重放攻击所引起资源的消耗为WX,计算单位时间内重放攻击所引起的资源的消耗PT=NX×WX,同时系统获得单位时间内加载本地防重放攻击模块所引起系统额外资源的消耗QT,将PT与QT进行比较,如果PT>QT则表示通过加载本地防重放攻击模块提高系统安全性所引起系统资源的消耗要小于系统处理这些重放攻击所引起的资源的消耗,系统将提高安全等级,启动本地防重放攻击模块,相应防重放使能位置1。如果PT≤QT,则表示通过加载本地防重放攻击模块提高系统安全性的同时,其资源的消耗大于或等于处理重放攻击所引起的消耗,则根据重放攻击的本质,没有必要启动本地防重放攻击模块,相应防重放使能位置0。
本地防重放攻击模块由发送端模块和接收端模块组成。本地防重放攻击模块采用时间戳检查机制,在发送方添加时间信息,在接收方构建重放检测机制,实现对重放攻击的防控。本方法的防重放攻击机制必须要保证时间同步,是在工业无线网络全网时钟同步的基础上实施的。
只有在时间同步的基础上,数据在协议栈每一层处理才可以获得精确的时间信息。一个工业无线网络为了保证通信方式的可靠性,网络中的设备一定要进行时间同步,通常设置一个基准时间源,这个基准时间源一般由网关充当。网络内的设备仅与网关进行相对时间同步,以确保设备可以区分事件发生的先后次序。至于网关时间是否与TAI(国际原子时间)同步,作为可选功能。
根据图1工业无线网络的拓扑结构,网络时间同步分为两层在网状网络中,网关为主时钟源,各个路由设备与网关进行时间同步;在星型网络中,每个路由设备为时间源,所有现场设备与之完成时间同步。
如图2所示,本地防重放攻击模块启动后,在时间同步的基础上,发送端与接收端的时间保持一致,发送端数据包在应用层获取数据包被创造时的时间CreateTime,在MAC层获取消息发送的时间SendTAITime。
在应用层获得消息的创造时间CreateTime用于标识包的唯一性,CreateTime的格式。在MAC层获取消息的发送时间SendTAITime,用于保证数据包的新鲜性。CreateTime和SendTAITime的格式如表1所示。表1 CreateTime时间戳和SendTAITime时间戳格式 发送端模块构造防重放攻击的数据包,帧格式如下表2 表2 防重放攻击数据包帧格式
其中MAC层协议数据单元MPDU构造的防重放数据包是基于IEEE802.15.4数据帧,由IEEE 802.15.4MAC帧头、DPDU和FCS(帧校验序列)组成。DPDU由DLSL帧控制,DLSL载荷,防重放控制字段,防重放校验码组成。
防重放攻击的数据包中的DLSL帧控制字段结构如下表3所示 表3 DLSL帧控制结构 第0位代表帧类型用来指定传输帧的类型,0表示数据帧,1表示命令帧。第1位代表时钟接收者,用来指定设备是否为时钟接收者,0表示是时钟接收者,1表示不是时钟接收者。第2位安全使能位用来指定DLSL是否使用安全机制,0表示不使用安全机制,1表示使用安全机制。第3位防重放使能位用来指定DLSL是否使用防重放机制,防重放使能位为0表示启动本地放重放攻击服务;防重放使能位为1表示不启动本地放重放攻击服务。
防重放攻击的数据包中防重放控制字段结构如下表4所示 表4 防重放控制字段结构 防重放控制字段包括加密模式和系统容忍时间模式。其中加密模式用于表示时间戳的加密方式,共有4种模式,如表5所示。
表5 加密模式字段结构 当加密模式字段为00时,不加密CreateTime,不加密SendTAITime。当加密模式字段为01时仅加密SendTAITime。当加密模式字段为10时,仅加密CreateTime。当加密模式字段为11时,加密CreateTime,加密SendTAITime。
发送端根据加密模式字段中的标志位可对所获取的时间戳进行加密,CreateTime用与网关共享的应用层数据加密密钥加密,发送时间SendTAITime可用DLL密钥加密。从而防止攻击者截取数据包后对其中时间戳信息进行篡改,并利用这些时间戳信息构造防重放攻击的数据包。
本方法推荐选用第三种方式,加密CreateTime,不加密SendTAITime。
系统容忍时间模式字段用于保证发送方只接收发送时间和接收时间差值在容忍的时间范围内的数据包。系统容忍时间模式字段结构如表6所示,可根据网络数据包平均发送速率,网络延迟确定系统的容忍时间TolerantTime。
表6 系统容忍时间模式字段结构 表2中的防重放校验码字段结构如表7所示。防重放校验码六个字节,用于描述防重放校验码,包括容忍时间TolerantTime,消息的创造时间CreateTime,消息的发送时间SendTAITime,完整性校验码。防重放校验码字段结构主要用于构造防重放攻击的数据包。
表7防重放校验码结构
MAC层,首先通过校验完整性校验码MIC判断接收到的DPDU的完整性,然后在MAC层通过相应的密钥解密时间戳信息,获取消息的接收时间Receive-TAITime和消息的发送时间SendTAITime; 通过判断ReceiveTAITime-SendTAITime≤TolerantTime,是否成立,来初步确定消息的新鲜性。若数据包初步新鲜,则进一步检查当前接收的数据包与之前已经接收过的数据包的发送时间和创造时间,如果当前接收的数据包的发送时间和创造时间与之前接收的某一数据包相同时,则丢弃该数据包;本实施例采用滑动窗口检测协议进行检查,具体步骤如下 1.接收方构建时间窗口结构如图3所示,以数据包的SendTAITime为滑动窗口的标识,假定滑动窗口大小设为时间T,右窗口值为T_right,则左窗口值T_left=T_right-T。参见图4,存储数据包时间信息的二维数组a_time[N][2]用于存储已经接收过的数据包的SendTAITime和CreateTime。数组a_time[N][2]大小根据网络在窗口时间内平均发包率来确定。TSn,TCn分别为与当前时间滑动窗口右边缘T_right所代表的时间值最接近的时间值。
2.接收方判断数据包的发送时间和接受时间的差值是否在容忍时间TolerantTime范围内(ReceiveTAITime-SendTAITime≤TolerantTime),若在容忍时间范围内,则进行下一步处理,若不在,则丢弃该数据包。
若该数据包在容忍时间范围内,利用滑动窗口协议对数据包的新鲜性做第二次判断。
则对于不同的接收方的路由设备和网关设备的存储和计算能力不同,分为以下两种情况分别讨论 (1)接收方是路由设备 由于路由设备存储能力有限,将时间窗口大小设为固定值T=T_fixed。下面分3种情况来判断是不是重放数据包 a.当接收数据包的SendTAITime小于窗口左边缘所代表的时间值T_left,则认为该数据包是重放的,接收方丢弃它。滑动窗口不移动。
b.接收数据包的SendTAITime在时间窗口内,如图5所示,则分为以下三种情况分别讨论 b1.在窗口内未找到与当前数据包的SendTAITime相同的数据包,则将当前数据包的时间值按时间值顺序插入二维数组a_time[2][N]中,如图6所示; b2.在窗口内找到与当前数据包的SendTAITime相同的数据包,但在二维数组中查询发现数据包中的CreateTime不相同,则判定为新鲜数据包并接收它同时将它的时间信息值插入到二维数组中; b3.在窗口内找到与当前数据包的SendTAItime相同的数据包,在二维数组中查询发现数据包中的CreateTime也相同,则判定该数据包为重放数据包并将它丢弃掉。
c.接收的数据包的SendTAITime大于时间窗右侧边缘所代表的时间值T_right,则认为是新鲜的,并将这个SendTAITime作为新的窗口的右边缘,左边缘也相对移动。同时将相应的时间值存入二维数组中,如图7、8、9所示。
(2)接收方是网关 由于网关存储量大,这里我们可以使用自适应滑动窗口,窗口大小可以根据单位时间内网络接收数据包的数量。如果单位时间内接收的数据包过多,则减小滑动窗口大小。如果单位时间内接收的数据包很少则可以加大窗口值大小。具体判断数据包是否是重放步骤如(1)。
参见图10,以下举例说明一个工业无线网络受到重放攻击后数据包被截取的过程 设备A在10点20分发送数据包“abcdef”,如果我们只加这一个时间戳,无法保证数据包的唯一性。同样的数据包可能被重复发过多次,攻击者可以在10点21分,10点22分,持续发送该数据包,由于没有合理的鉴别机制,接收方会一直接收这个包,从而占用系统资源。
如果加上两个时间戳,假定A设备发送数据包的创造时间CreateTime是10点19分,发送时间SendTAItime是10点20分。接收方接受到该数据包的时间ReceiveTAITime是10点20分0.015s。这里假定TolerantTime为0.02s,首先通过数据包初步新鲜性判断公式ReceiveTAITime-SendTAITime≤TolerantTime,发现该数据包都是新鲜的,然后再通过接收方缓存机制中的滑动窗口协议将该数据包的时间信息与存储在二维数组a_time[2][N]中的时间信息进行比较,如果当前数据包的CreateTime和SendTAITime与a_time[2][N]存储的时间信息完全不同或至少有一个不同时,就将该数据包的时间信息存储到该二维数组中。这里我们假定这个A设备发送数据包不是重放数据包,则A设备当前发送的数据包的时间信息被存储在二维数组中。同时B设备在10点20分时截取A设备发送的数据包,立即进行重放攻击,10点20分0.02s接收方收到重放数据包,同样由于它也满足ReceiveTAITime-SendTAITime≤TolerantTime的条件,因此也通过了第一次新鲜判断。然而在进行第二次判断时,通过接收方缓存机制中的滑动窗口协议,将当前接收数据包的CreateTime和SendTAITime,和存储这些数据包时间信息的数组a_time[2][N]进行比较,很快发现设备B目前发送的数据包与A设备在10点20分发送的数据包完全一样。因此立即可以判断B设备为重放的数据包,则将该数据包丢弃。
以上所述仅为本发明的优选实施例,并不用于限制本发明,显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.用于工业无线网络的防重放攻击系统,所述工业无线网络包括网关、路由设备、现场设备和网络安全管理器,其特征在于所述用于工业无线网络的防重放攻击系统包括第三方检测模块,所述第三方检测模块用于检测工业无线网络中是否存在入侵数据包和重放攻击数据包,并将检测结果发送给网络安全管理器,网络安全管理器根据第三方检测模块的检测结果实施防重放攻击手段。
2.根据权利要求1所述的用于工业无线网络的防重放攻击系统,其特征在于所述第三方检测模块包括
全信道分析仪,用于捕获工业无线网络各信道的数据包,发送给防重放攻击检测分析系统;以及
防重放攻击检测分析系统,用于对全信道分析仪捕获的数据包的相似度、捕获时间和时间戳信息进行分析,将新接收到的数据包与之前一定时间内所接收到的数据包进行比较,当新接收到的数据包与原先接收到的数据包相似度超过预设值时,将这一新数据包认定为作为重放攻击的数据包并将检测结果发送给网络安全管理器。
3.根据权利要求1或2所述的用于工业无线网络的防重放攻击系统,其特征在于所述用于工业无线网络的防重放攻击系统还包括加载于网关、路由设备和现场设备上的本地防重放攻击模块,所述本地防重放攻击模块用于过滤工业无线网络中的重放攻击数据包;网络安全管理器根据第三方检测模块的检测结果决定是否开启本地防重放攻击模块。
4.根据权利要求3所述的用于工业无线网络的防重放攻击系统,其特征在于所述网络安全管理器通过如下步骤判断是否启用本地防重放攻击模块
网络安全管理器计算出系统单位时间中所受到的重放攻击次数NX,并计算单位时间内重放攻击所引起的资源的消耗PT=NX×WX,所述WX为系统处理一次重放攻击所引起资源的消耗;
将PT与QT进行比较,所述QT为单位时间内加载本地防重放攻击模块所引起系统额外资源的消耗;
如果PT>QT,启动本地防重放攻击模块;
如果PT≤QT,不启动本地防重放攻击模块。
5.根据权利要求3所述的用于工业无线网络的防重放攻击系统,其特征在于所述本地防重放攻击模块由发送端模块和接收端模块组成,本地防重放攻击模块启动后,在全网时间同步的基础上,所述发送端模块在数据包中加入时间戳以构建防重放攻击的数据包,所述接收端模块接收数据包,根据时间戳信息判断接收的数据包是否是重放的数据包,并抛弃重放的数据包。
6.根据权利要求5所述的用于工业无线网络的防重放攻击系统,其特征在于所述发送端模块采用如下步骤在数据包中加入时间戳构建防重放攻击的数据包
在应用层获得数据包的创造时间;
在MAC层获取数据包的发送时间;
设定容忍时间;
将数据包的创造时间、发送时间、容忍时间和完整性校验码作为防重放校验码加入数据包。
7.根据权利要求6所述的用于工业无线网络的防重放攻击系统,其特征在于所述接收端模块通过如下步骤判断接收的数据包是否是重放的数据包,并丢弃重放的数据包
做第一次新鲜性判断比较当前接收的数据包的接收时间和发送时间差值是否在容忍时间范围内,如否,则丢弃该数据包,如是,则执行以下步骤
对当前接收的数据包的新鲜性做第二次判断通过比较当前接收的数据包与之前已经接收过的数据包的发送时间和创造时间,如果当前接收的数据包的发送时间和创造时间与之前接收的某一数据包相同时,则丢弃该数据包。
8.根据权利要求7所述的用于工业无线网络的防重放攻击系统,其特征在于通过如下步骤使用滑动窗口协议对当前接收的数据包的新鲜性做第二次判断
以当前接收的数据包中的发送时间为滑动窗口的标识,滑动窗口大小设为时间T,右窗口值为T_right,则左窗口值T_left=T_right-T;构建二维数组a_time[N][2],用于存储已经接收过的数据包的发送时间和创造时间;
设置时间窗口大小;
当前接收的数据包的发送时间小于窗口左边缘所代表的时间值T_left时,则丢弃该数据包;滑动窗口不移动;
当前接收的数据包的发送时间大于时间窗右侧边缘所代表的时间值T_right,则将这个发送时间作为新的窗口的右边缘,左边缘也相对移动,同时将该当前接收的数据包的发送时间和创造时间存入二维数组中;
当前接收的数据包的发送时间在时间窗口内时,按如下方式分别处理
在窗口内未找到与当前接收的数据包的发送时间相同的数据包时,则将当前接收的数据包的发送时间和创造时间插入二维数组a_time[2][N]中;
在窗口内找到与当前接收的数据包的发送时间相同的数据包,但在二维数组中查询发现数据包中的创造时间不相同时,则将该当前接收的的发送时间和创造时间插入到二维数组中;
在窗口内找到与当前的发送时间和创造时间的发送时间相同的数据包,在二维数组中查询发现数据包中的创造时间也相同,则丢弃该数据包。
9.根据权利要求8所述的用于工业无线网络的防重放攻击系统,其特征在于当接收端为网关设备时,时间窗口大小根据单位时间内网络接收数据包的数量进行自适应调整,当单位时间内接收的数据包增多时,减小时间窗口大小,单位时间内接收的数据包减少时,加大时间窗口大小。
全文摘要
本发明提出一种用于工业无线网络的防重放攻击系统,引入第三方检测机制,以减少系统资源消耗;所述工业无线网络包括网关、路由设备、现场设备和网络安全管理器,所述用于工业无线网络的防重放攻击系统包括第三方检测模块,所述第三方检测模块用于检测工业无线网络中是否存在入侵数据包和重放攻击数据包,并将检测结果发送给网络安全管理器,网络安全管理器根据将重放攻击造成的系统资源消耗与采用防重放攻击手段所带来的资源消耗进行比较,以决定是否启用防重放攻击手段,可以有效避免防重放攻击手段带来比重放攻击更大的系统资源消耗;发送方在数据包中加入创建时间和发送时间两个时间戳,能保证消息的确定性和唯一性,采用接收方检测机制,由接收方判断并丢弃重放攻击的数据包,可以解决身份认证等问题。
文档编号H04W24/04GK101800989SQ201010042089
公开日2010年8月11日 申请日期2010年1月19日 优先权日2010年1月19日
发明者魏旻, 王平, 王巧丽, 马守强, 张萱, 王浩, 金基天, 金燕 申请人:重庆邮电大学