《物联网信息安全》-第5章 有线网络接入安全

扩展接入网的安全PART

ONE

01近距离无线

低速网络安全PART

TWO

02有线网络接入安全近距离无线低速接入方法的典

型代表是Bluetooth和Zigbee。此外，红外技术也可以进行无

线通信，但限制是只能在两个

实体间通信，且有视距的限制。蓝牙定义蓝牙协议蓝牙特点蓝牙安全简介的一部分，协议在应用层和链路层均提供了安全措施

。它的工作频

率为2.4GHz,

有效范围大

约在10m半

径内。蓝牙被列入了IEEE802.15.1

规范，规定

了

包

括PHY、

MAC、

网

络

和应用层等

集成协议栈。蓝牙技术可解决小型移动设备间的短

距离无线互连问题，

它的硬件涵盖了局

域网中的各类数据及语音设备，如计

算机、移动电话等。蓝牙是一种

能使手机与

其附件(如

耳机)之间

互相通信的

无线模块

。蓝牙定义安全性是整

个蓝牙协议中非常重要蓝牙标准主要定义的是底层协议，同时为

保证和其他协议的兼容性，也定义了一些

高层协议和相关接口。

从ISO的OSI七层协议

标准来看，蓝牙标准

主要定义的是物理层、

链路层和网络层的结构。蓝牙协议蓝牙标准包括两大部分：核心

(Core)

部分和轮廓

(Profile)

部分核心

(Core)

部分定义了蓝牙的技术细

节

。轮廓

(Profile)部分定义了在蓝牙的各种应用中协议栈的

组

成

。PECOMML2CAP主控制器接口(

HCI)

LMP基带蓝牙无线电信道WAETCS

二

进

制WAPAT

指

令UDP

TCP/IP

SDPPPP完整的蓝牙协议栈vCard/CalOBEX语

音(5)功耗低蓝牙的抗干扰能力强，采用跳频方式扩展频谱来避免工作在ISM频段的设备干扰。且成本低廉、应用广泛大量手机和笔记本电脑

实现了蓝牙功能。蓝牙特点(1)全球范围使用(2

)可以传输语音和数据(4)体积小，便于集成到其他设备中(3)组网灵活蓝牙安全模式蓝牙安全信息单元蓝牙与红外、

NFC

的

比

较蓝牙链路层安全简介蓝牙的安全模式(1)非安全模式(2)业务层安全模式(也称为服务层安全模式)(3)链路层安全模式安全模式2与安全模式3的本质区别在于：安全

模式2下的蓝牙设备在信道建立以前启动安全

过程，即它的安全过程在较高层协议进行；安

全模式3下的蓝牙设备在信道建立以后启动安全过程，即它的安全过程在较低层协议进行。蓝牙的安全信息单元(1)蓝牙设备地址(BD_ADDR):

每个蓝牙设备唯

一的48比特的地址。(3)加密密钥：用于加密的8～128位密钥，用Kc表示，

由E3算法产生。(4)随机数：由蓝牙设备产生的128位伪随机数。(2)链路密钥：是身份认证和加密的重要参数128比

特。通过E21或E22算法产生。NFC蓝牙红外网络类型点对点单点对多点点对点使用距离≤0.1m≤10m1m速度106,212,424kbps规龙速率可达868kbps

721kbps

115kbps2.1

Mbps~1.0

Mbps建立时间80.186s0.58安全性具备，硬件实现具备，软件实现不具备，使用IRFM时除外通信模式主动主动/被动主动-主动主动一主动成本低中低蓝牙与红外、

NFC

的比较ZigBee技术简介ZigBee技术的特点ZigBee安全架构ZigBee安全简介ZigBee技术简介2000年IEEE成立了IEEE802.15.4工作组致力于开发一种可应用在固定便携或移动设备上的低成本低功耗及多节点的

低速率无线个域网

(LR-WPAN)

技术标准，但该工作组只

专注MAC层和物理层协议，要达到产品的互操作和兼容，

还需要定义高层的规范。ZigBee联盟所主导的ZigBee标准定义了网络层、安全层、应用层和各种应用产品的资料或规范，并对其网络层协议

和应用编程接口

(API)进行了标准化。ZigBee提供了高可靠性的安全服务，它的安全服务所提供

的方法包括密码建立、密码传输、帧保护和设备管理。这

些服务构成了一个模块用于实现ZigBee设备的各类安全策

略

。ZigBee技术的特点(1)低功耗(4)低速率(2)成本低(5)近距离(6)网络容量大(3)时延短设

备

对

象ZDO管理

平台APSMENLME-SAPAPSDE-SAPAPS安全管理NLDE-SAPNVK安全管理ZigBee安全架构应用框架应用

应用

对象对象端

口

端口网

络

层(

NWK

)NWK

路由

网络信息管理

管理

管理MLME-SAPMAC层PLME-SAP物理层

868/915MHzMLDE-SAPPD-SAP2.4

GHzAPSDE-

APSDE-SAP数

据响应管理NLME-SAP应用支持子层

(APS)APS安全管理ZDO公共

接口Zigbee

(ZDO)安全服务提

供

者现场总线的定义为：现场总线是一种应用于

生产现场，在现场设备之间、现场设备和控

制装置之间实行双向、串形、多结点的数字

通信技术。它在生产现场、微机化测量控制

设备之间实现双向串行多节点数字通信，也

被称为开放式、数字化、多点通信的底层控

制网络。现场总线简介现场总线简介常见的现场总线CAN

03CC-Link

05现场总线

现场总线Lonworks

WorldFIP02现场总线

04

现场总线PROFIBUS现

场总线01WWW服务器现场总线信息层管理PC现场总线管理层控制q

现场总线控制层现场级智能化现场设备控

制PC

I/0连线现场信号4~20mA或24VDC现场总线现场总线现场级智能化现场设备图1现场总线控制系统的结构管理PCPROFIBUS现

场

总

线采用PROHBUS

现场总线的白动化系统结构图公司级企业资源管理(ERP)用户关系管理(CRM)管理资源规划(MRP)管理级产品设计规划系统(PPS)制造执行系统(MES)监视和操作级人机界面接口(HMI)SCADAconfiguratinstnol控制级可编程逻辑控制器(PLC)过程控制系统/分散控制系统(DCS/FCS)现场级远程I/O,驱动和现场设

备CAN

节点1CAN

节点2CAN

节点3

CAN

节点110—网络节点容量最大110个一图1标准CAN-bus

园络CAN现场总线—

—

网络通信距离最长10公里/5Kbps—CAN_H终端电阻120欧终端电阻120欧网

络

拓

扑型Lonworks现场总线节点↵节

点↵节

点↵节点

节点

节点

节点

节点

节点

节点

节点

节点CC-Link现场总线CC-LINK主通信模块A1SJ61BT11AJ65BT64ADAD转换模块AJ65BTB1-16DT输入输出模块终端电阻远程IO

站(2号站)AJ65BTB2-16R输出模块远程IO

站(1号站)AJ65BTB2-16DR输入输出模块终端电阻

远程装置站(4号站)远程IO

站(3号站)A2SHCPUWorldFIP现场总线Ethemet,TCPIP监控

显示

现场总线

计算机操作站

网间连接器高

速Etheet

HSE现场总线桥小

型PLC现场总线装置级网络A

S

A

S图

2WorldFIP

现场总线体系结构02

组网管理要求(1)工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施(2)采取虚拟专用网络(VPN)

、

线路冗余备份、数据加密等措施，加强对

关键工业控制系统远程通信的保护01连接管理要求(1)断开工业控制系统同公共网络之间的所有不必要连接(2)严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机工业控制系统安全简介工业控制系统的信息安全管理04

设备选择与升级

管理要求(1)密切关注产品漏洞和补丁发布，严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、

补丁安装前要请专业技术机构进行安全评估和验证03

配置管理要求(1)建立控制服务器等工业控制系统关键设备安全配置和审计制度(2)严格账户管理，根据工作需要合理分类

设置账户权限工业控制系统安全简介工业控制系统的信息