具有工业控制信息安全特性的TD—LTE无线RTU*

张晓莉 郭庆西安科技大学通信学院大唐移动通信设备有限公司

具有工业控制信息安全特性的TD—LTE无线RTU*

张晓莉1郭庆21西安科技大学通信学院2大唐移动通信设备有限公司

安全的SCADA远程监控系统需引入端到端加密和无线RTU接入认证。在SCADA侧引入基于数字证书的接入认证服务器AS和加密网关CiperGW，无线RTU中增加数字证书（DC）接入功能和安全加密功能。TD—LTE无线RTU集无线数传DTU和井场数字化远程终端单元RTU功能于一身，具有功能强、体积小的优势，在应用到油气生产物联网系统时可以替代DTU和RTU，以减少安装占用的空间，降低故障率。该系统除了在油田的应用外还可以推广到其他行业领域，尤其对于正在北京、天津试点的政务物联网，可以保证远程无线监控的安全性。

TD-LTE无线RTU；工业信息安全；安全认证；加密网关

1 SCADA无线远程监控安全机制

安全的SCADA远程监控系统需引入端到端加密和无线RTU接入认证。在SCADA侧引入基于数字证书的接入认证服务器AS和加密网关Ciper GW，无线RTU中增加数字证书（DC）接入功能和安全加密功能。无线RTU接入数字证书认证步骤流程如下：

（1）无线RTU发送请求初始化的信息Init及cnt1给AS。

（2）AS验证cnt1，若正确，则发送（Cert（KASP），KASP）及cnt1给无线RTU。

（3）无线RTU验证cnt1，若正确，验证Cert（KASP），若该证书有效，无线RTU将其身份IDRTU、身份证书Cert（IDRTU）、EKA(Hash(IDRTU|| Cert(IDRTU)))及cnt1的级联用KASP加密后发送给AS。其中形如EKA(x)的公式是表示用KA对x进行加密，下同。

（4）AS用KASP对应的私钥解密，验证cnt1，若正确，再验证Cert(IDRTU)，若正确，用Cert(IDRTU)从TTP处获得无线RTU的临时密钥KA。然后计算EKA(Hash(IDRTU||Cert(IDRTU)))，若与其接收到的相同，则证明无线RTU合法。AS将KA对应于IDRTU保存，并将success信息及cnt1用KA加密后发送给无线RTU。至此无线RTU与AS之间的认证结束。

2 安全的无线RTU设备架构

无线RTU在原有产品架构基础上，增加数字证书认证功能以及相应的数字证书（DC）存储功能，增加安全加密芯片。安全加密芯片应采用国家保密局认可并授权生产的国产安全芯片。

安全芯片TPM（TrustedPlatformModule），即可信任平台模块，是一个可独立进行密钥生成、加解密的装置，内部拥有独立的处理器和存储单元，可存储密钥和特征数据，为处理器提供加密和安全认证服务。用安全芯片进行加密，密钥被存储在硬件中，被窃的数据无法解密，从而保护商业隐私和数据安全。现在大多数厂家的安全芯片加解密处理能力达到20Mbps，有些厂商的安全芯片还内置了双向数字证书认证算法。

3 应用

TD—LTE无线RTU集无线数传DTU和井场数字化远程终端单元RTU功能于一身，具有功能强、体积小的优势，在应用到油气生产物联网系统时可以替代DTU和RTU，以减少安装占用空间，降低故障率。在信息安全配置方面，需在SCADA系统前端部署接入认证系统AS和加密网关设备作为安全中心，实现作业区内井场无线RTU的接入安全认证和数据传输加密。

该系统除了在油田应用外还可以推广到其他行业领域，如智能电网、城市燃气监控等关系国计民生能源行业的工业生产远程监控系统中。尤其对于正在北京、天津试点的政务物联网，可以保证远程无线监控的安全性。综上所述，具有工业控制信息安全特性的TD—LTE无线RTU的应用，极大地提高了油气生产物联网系统油气水井远程监控信息安全水平，具有广阔的应用前景。

（栏目主持 樊韶华）

10.3969/j.issn.1006-6896.2014.12.072

基金论文：陕西省科技厅科技攻关计划项目“油田物联网”（2012K06—16）。