核电站DCS中抵御UDP重放攻击的研究
发布时间:2021-08-29 12:25
随着日渐严峻的网络环境,网络安全已成为核电安全体系的一个重要关注方向,核电站DCS作为一个以网络通信为基础的分布式系统,网络安全尤为重要。在网络攻击中,重放攻击是一种常见的攻击手段,在核电DCS常用的UDP协议中对抵御重放攻击的研究意义重大。实现了一种基于UDP协议的防范重放攻击方法,该方法能有效抵御重放攻击,保证受到攻击时系统能正常提供服务,同时内存和CPU负荷满足核电站DCS运行要求,目前已在核电站数字化仪控系统中进行了实现和应用,并已通过国家信息技术安全研究中心的信息安全检测。
【文章来源】:工业控制计算机. 2020,33(05)
【文章页数】:3 页
【部分图文】:
网络通信过程
针对网络通信的典型重放攻击过程如图2所示:重放攻击时,攻击者不会使用正规客户端,而使用假冒的客户端代替。攻击者首先捕获到客户端的请求数据包A,然后冒充客户端不断地发送数据包A,不会阻塞等待服务端返回,在这种攻击策略下,如果服务端不进行针对性的处理,将接收到大量的攻击者不断发送的数据包A,这些数据包A在服务端都是合法的请求,很快会将服务端资源占用殆尽,使服务器瘫痪。
客户端在发起请求时,在请求包中加入时间戳,即本地的当前时间,精确到毫秒。服务端通过UDP协议通信接收来自一个或多个客户端发送的请求和对应的数据包,解析数据包中的客户端时间戳,与本地的时间进行比较,如果小于设定的有效值(比如2s),则认为数据包有效,否则丢弃数据包。服务端处理完数据之后,再将返回的处理结果中增加第二时间戳,而客户端获取第二时间戳后,如果判断第二时间戳不满足要求,则丢弃返回的处理结果;这样攻击方即使截取网络通信中发送的数据,不断发送重放数据,但是不能即时获取第二时间戳,就不能破获处理结果对应的真实含义,以此来保证数据的安全。进一步地,后续服务端可以基于客户端是否能即时解析第二时间戳,来确定后续是否继续处理该客户端发送的数据;从而进一步避免服务端被重放攻击。另外为了使时效性判断正确有效,客户端和服务端需要使用统一的时钟源进行校时。同时时间戳字段需要加密,使攻击者无法伪造。如图3、图4所示。图4 利用时效性防止重放攻击序列图
【参考文献】:
期刊论文
[1]基于双重验证的抗重放攻击方案[J]. 肖斌斌,徐雨明. 计算机工程. 2017(05)
[2]B/S架构下基于会话指纹的同源重放攻击应对方案研究[J]. 董本清,张永,徐斌昕. 湖北师范学院学报(自然科学版). 2015(02)
[3]基于身份的跨域直接匿名认证机制[J]. 周彦伟,杨波,吴振强,何聚厚,李骏. 中国科学:信息科学. 2014(09)
[4]代理检查检验服务平台中的安全机制设计[J]. 施华宇,余浩,杨俊,邱明辉. 中国数字医学. 2013 (07)
[5]主流电子交易网站账户安全登录模式缺陷与安全设计[J]. 龚茜茹,赵建超. 电子测试. 2013(07)
[6]一种抗重放攻击的Web服务认证协议[J]. 韩崇砚,张红旗,张斌,杨艳. 计算机工程. 2011(21)
[7]互联网环境下一种新的非否认协议研究[J]. 陈桂芳. 计算机测量与控制. 2010(02)
硕士论文
[1]无线传感器网络多源安全时间同步协议的设计与实现[D]. 徐为.国防科学技术大学 2008
本文编号:3370652
【文章来源】:工业控制计算机. 2020,33(05)
【文章页数】:3 页
【部分图文】:
网络通信过程
针对网络通信的典型重放攻击过程如图2所示:重放攻击时,攻击者不会使用正规客户端,而使用假冒的客户端代替。攻击者首先捕获到客户端的请求数据包A,然后冒充客户端不断地发送数据包A,不会阻塞等待服务端返回,在这种攻击策略下,如果服务端不进行针对性的处理,将接收到大量的攻击者不断发送的数据包A,这些数据包A在服务端都是合法的请求,很快会将服务端资源占用殆尽,使服务器瘫痪。
客户端在发起请求时,在请求包中加入时间戳,即本地的当前时间,精确到毫秒。服务端通过UDP协议通信接收来自一个或多个客户端发送的请求和对应的数据包,解析数据包中的客户端时间戳,与本地的时间进行比较,如果小于设定的有效值(比如2s),则认为数据包有效,否则丢弃数据包。服务端处理完数据之后,再将返回的处理结果中增加第二时间戳,而客户端获取第二时间戳后,如果判断第二时间戳不满足要求,则丢弃返回的处理结果;这样攻击方即使截取网络通信中发送的数据,不断发送重放数据,但是不能即时获取第二时间戳,就不能破获处理结果对应的真实含义,以此来保证数据的安全。进一步地,后续服务端可以基于客户端是否能即时解析第二时间戳,来确定后续是否继续处理该客户端发送的数据;从而进一步避免服务端被重放攻击。另外为了使时效性判断正确有效,客户端和服务端需要使用统一的时钟源进行校时。同时时间戳字段需要加密,使攻击者无法伪造。如图3、图4所示。图4 利用时效性防止重放攻击序列图
【参考文献】:
期刊论文
[1]基于双重验证的抗重放攻击方案[J]. 肖斌斌,徐雨明. 计算机工程. 2017(05)
[2]B/S架构下基于会话指纹的同源重放攻击应对方案研究[J]. 董本清,张永,徐斌昕. 湖北师范学院学报(自然科学版). 2015(02)
[3]基于身份的跨域直接匿名认证机制[J]. 周彦伟,杨波,吴振强,何聚厚,李骏. 中国科学:信息科学. 2014(09)
[4]代理检查检验服务平台中的安全机制设计[J]. 施华宇,余浩,杨俊,邱明辉. 中国数字医学. 2013 (07)
[5]主流电子交易网站账户安全登录模式缺陷与安全设计[J]. 龚茜茹,赵建超. 电子测试. 2013(07)
[6]一种抗重放攻击的Web服务认证协议[J]. 韩崇砚,张红旗,张斌,杨艳. 计算机工程. 2011(21)
[7]互联网环境下一种新的非否认协议研究[J]. 陈桂芳. 计算机测量与控制. 2010(02)
硕士论文
[1]无线传感器网络多源安全时间同步协议的设计与实现[D]. 徐为.国防科学技术大学 2008
本文编号:3370652
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3370652.html
