新聞中心

EEPW首頁(yè) > 電源與新能源 > 設(shè)計(jì)應(yīng)用 > 智能電路環(huán)境下ZigBee 技術(shù)及其安全性研究

智能電路環(huán)境下ZigBee 技術(shù)及其安全性研究

作者: 時(shí)間:2014-01-08 來(lái)源:網(wǎng)絡(luò) 收藏

是以物理電路為基礎(chǔ),集成了先進(jìn)的傳感量測(cè)、網(wǎng)絡(luò)、通信、分析決策技術(shù)、自動(dòng)控制技術(shù)與能源動(dòng)力技術(shù)的新型現(xiàn)代化電路。具有堅(jiān)強(qiáng)、自愈、兼容、經(jīng)濟(jì)、集成和優(yōu)化等特征,能夠?qū)崿F(xiàn)對(duì)電路所有設(shè)備的狀態(tài)進(jìn)行監(jiān)測(cè)和控制,實(shí)現(xiàn)自適應(yīng)和自愈以及發(fā)電、輸配電和用電之間的優(yōu)化平衡,使得電力系統(tǒng)更加清潔、高效、安全、可靠。

本文引用地址:http://m.butianyuan.cn/article/227090.htm

是一種低功率、低傳輸速率、短距離的無(wú)線通信技術(shù),它基于面向無(wú)線傳感器網(wǎng)絡(luò)的標(biāo)準(zhǔn)IEEE 802.15.4,可以被廣泛運(yùn)用于工業(yè)控制、建筑自動(dòng)化、家庭自動(dòng)化、衛(wèi)生保健和遠(yuǎn)程控制等領(lǐng)域。在電力系統(tǒng)自動(dòng)化中,技術(shù)可運(yùn)用于遠(yuǎn)程抄表、電力系統(tǒng)監(jiān)控、電力參數(shù)量測(cè)等方面,技術(shù)可以提高電力系統(tǒng)監(jiān)控的效率以及系統(tǒng)的可靠性。

在眾多應(yīng)用中,對(duì)無(wú)線傳感器網(wǎng)絡(luò)的安全性有著很高的要求,安全問題是限制無(wú)線傳感器網(wǎng)絡(luò)發(fā)展的重要因素之一。同樣,將ZigBee技術(shù)應(yīng)用于時(shí),必須要考慮到其安全性問題。

1 ZigBee 技術(shù)

ZigBee 是一種新型無(wú)線通信技術(shù),其依據(jù)IEEE 802.15.4 標(biāo)準(zhǔn),在成百上千個(gè)微小的傳感器之間相互協(xié)調(diào)實(shí)現(xiàn)通信,這些傳感器所需的能量較少,通信以單跳的方式進(jìn)行,以無(wú)線電波為載體將數(shù)據(jù)從一個(gè)傳感器傳到另一個(gè)傳感器,具有非常高的通信效率。ZigBee技術(shù)具有低功率、低傳輸速率、低時(shí)延、自組織、網(wǎng)絡(luò)容量大、高安全性等特點(diǎn),比較適合于承載數(shù)據(jù)流量較小的業(yè)務(wù),目前ZigBee技術(shù)主要被應(yīng)用于自動(dòng)控制、傳感和遠(yuǎn)程控制領(lǐng)域。

一個(gè)基于ZigBee技術(shù)的無(wú)線傳感器網(wǎng)絡(luò)定義了兩種類型的設(shè)備:全功能設(shè)備(FFD)和簡(jiǎn)化功能設(shè)備(RFD)。ZigBee的全功能設(shè)備又稱為主設(shè)備,可以與網(wǎng)絡(luò)中任何類型的設(shè)備進(jìn)行通信,承擔(dān)網(wǎng)絡(luò)協(xié)調(diào)者的工作,這類設(shè)備主要包括ZigBee協(xié)調(diào)器、ZigBee路由和部分ZigBee終端;簡(jiǎn)化功能設(shè)備又稱為從設(shè)備,不能作為網(wǎng)絡(luò)協(xié)調(diào)者,只能與主設(shè)備進(jìn)行通信,這類設(shè)備主要為ZigBee終端。ZigBee協(xié)調(diào)器在網(wǎng)絡(luò)中可作為匯聚節(jié)點(diǎn),它具有比網(wǎng)絡(luò)中其他節(jié)點(diǎn)更強(qiáng)大的功能,在一個(gè)ZigBee網(wǎng)絡(luò)中只允許有一個(gè)ZigBee協(xié)調(diào)器,作為網(wǎng)絡(luò)的主控節(jié)點(diǎn),其主要負(fù)責(zé)啟動(dòng)和配置網(wǎng)絡(luò);ZigBee路由器是一種支持關(guān)聯(lián)的設(shè)備,主要負(fù)責(zé)路由發(fā)現(xiàn)、消息轉(zhuǎn)發(fā),一個(gè)網(wǎng)絡(luò)中可以包含多個(gè)ZigBee路由器,它們能夠?qū)⑾⑥D(zhuǎn)發(fā)到其他設(shè)備之上,通過(guò)連接其他節(jié)點(diǎn)可以擴(kuò)展網(wǎng)絡(luò)覆蓋范圍。ZigBee終端設(shè)備需通過(guò)ZigBee協(xié)調(diào)器或ZigBee路由器連接到網(wǎng)絡(luò)之中,可以執(zhí)行相關(guān)的功能,并將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸?shù)叫枰c之通信的設(shè)備,但是任何節(jié)點(diǎn)都不能通過(guò)ZigBee終端設(shè)備接入到網(wǎng)絡(luò)之中。

ZigBee共支持三種類型的自組織無(wú)線網(wǎng)絡(luò),分別為星型網(wǎng)絡(luò)、網(wǎng)狀型網(wǎng)絡(luò)和簇型網(wǎng)絡(luò),各類型網(wǎng)絡(luò)的示意圖如圖1所示。

智能電路環(huán)境下ZigBee 技術(shù)及其安全性研究

2 ZigBee 技術(shù)在智能電路中的應(yīng)用場(chǎng)景

在智能電路中,ZigBee技術(shù)可以用于遠(yuǎn)程抄表、家域網(wǎng)、電力資產(chǎn)管理和電力設(shè)施監(jiān)測(cè)與定位等諸多領(lǐng)域,其中家域網(wǎng)是一個(gè)典型的應(yīng)用場(chǎng)景。家域網(wǎng)(Home Area Network,HAN)是智能電路中高級(jí)量測(cè)體系(AMI)的組成部分。AMI是一個(gè)用于量測(cè)、采集、存儲(chǔ)、分析和處理用戶用電信息的完整網(wǎng)絡(luò)系統(tǒng),主要由安裝在用戶端的智能電表、家域網(wǎng)、電力公司端的數(shù)據(jù)管理系統(tǒng)和它們之間的通信系統(tǒng)組成[6].AMI將用戶和臨近的電力公司相連,被認(rèn)為是將智能電路概念實(shí)體化的第一步。HAN網(wǎng)關(guān)和數(shù)據(jù)中心之間的通信網(wǎng)絡(luò)可以使用電力通信線(PLC)、數(shù)字微波通信、SDH 光纖、ASON 網(wǎng)絡(luò)、GPRS/CDMA、衛(wèi)星通信或其他通信方式。

但作為智能電路的“最后一英里”,ZigBee無(wú)線通信技術(shù)可以被用于構(gòu)建一個(gè)完整的AMI系統(tǒng)。

通過(guò)ZigBee技術(shù),智能電表、能源網(wǎng)關(guān)和其他家用電器被緊密連接起來(lái),建立起家庭中的一個(gè)能源管理系統(tǒng)。智能電路的AMI中基于ZigBee技術(shù)的HAN的特征和優(yōu)點(diǎn)如下:提供需求響應(yīng)和載荷控制的能力;為分時(shí)計(jì)價(jià)提供機(jī)制;為家庭用戶和電力公司提供可靠的信息連接;提供實(shí)時(shí)用能信息;允許分項(xiàng)量測(cè)中電表與電表之間的通信;為整個(gè)家庭環(huán)境提供遠(yuǎn)程監(jiān)控。這些特征和優(yōu)點(diǎn)不僅可以降低電路的峰值載荷,而且能夠幫助家庭用戶合理決策自己的用能情況。

3 ZigBee 安全技術(shù)

3.1 ZigBee安全架構(gòu)

ZigBee 技術(shù)基于IEEE 802.15.4 無(wú)線標(biāo)準(zhǔn),IEEE 802.15.4 標(biāo)準(zhǔn)定義了兩個(gè)層次,物理層(PHY)和媒體接入控制層(MAC)。ZigBee在這兩層的基礎(chǔ)上又定義了網(wǎng)絡(luò)層(NWK)和應(yīng)用層(APL)。物理層提供基本的無(wú)線通信能力,媒體接入控制層為設(shè)備之間提供可靠的、單跳的通信鏈接服務(wù),ZigBee網(wǎng)絡(luò)層為不同網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)提供所需要的路由服務(wù)和多跳通信功能。

ZigBee的應(yīng)用層包含了一個(gè)應(yīng)用支持子層(APS),一個(gè)ZigBee 設(shè)備對(duì)象(ZDO)和應(yīng)用。ZDO 負(fù)責(zé)對(duì)整個(gè)設(shè)備進(jìn)行管理,應(yīng)用支持子層提供了服務(wù)ZDO 和ZigBee 應(yīng)用的基礎(chǔ)。媒體接入控制層、網(wǎng)絡(luò)層和應(yīng)用支持子層負(fù)責(zé)其各自層面上數(shù)據(jù)的安全傳輸,應(yīng)用支持子層提供安全關(guān)系的建立和維護(hù)的服務(wù),ZDO負(fù)責(zé)對(duì)安全策略和設(shè)別的安全配置進(jìn)行管理。ZigBee 的安全架構(gòu)如圖2所示。

智能電路環(huán)境下ZigBee 技術(shù)及其安全性研究

3.1.1 媒體接入控制層安全

媒體接入控制子層的數(shù)據(jù)幀共有四種類型:命令幀、信標(biāo)幀、確認(rèn)幀和數(shù)據(jù)幀,使用AES算法保證這些數(shù)據(jù)幀的保密性、完整性和可靠性。MAC幀頭的字節(jié)可表明此MAC幀是否加密,每個(gè)密鑰只能用于為一個(gè)數(shù)據(jù)包進(jìn)行加密。為了保證數(shù)據(jù)的完整性,MAC層計(jì)算幀頭和載荷的數(shù)據(jù)用于產(chǎn)生一個(gè)長(zhǎng)度為4 B,8 B或16 B的消息完整性編碼。同時(shí),每個(gè)MAC 幀的幀頭有一個(gè)幀號(hào)用于防止幀被丟失或重傳。密鑰的建立、安全操作模式的選擇和處理過(guò)程的控制等在更高的層中進(jìn)行解決。

3.1.2 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層的一個(gè)責(zé)任是將消息以多跳的方式進(jìn)行傳播。作為這個(gè)責(zé)任的一部分,網(wǎng)絡(luò)層將廣播路由請(qǐng)求消息并處理接收到的路由響應(yīng)消息。路由請(qǐng)求消息被同時(shí)廣播到臨近的設(shè)備,同時(shí)從臨近設(shè)備獲得路由響應(yīng)消息。如果鏈接密鑰可用,網(wǎng)絡(luò)層則通過(guò)鏈接密鑰來(lái)加密發(fā)出的數(shù)據(jù)幀,如果鏈接密鑰不可用,為了保證消息的安全,網(wǎng)絡(luò)層將通過(guò)有效的網(wǎng)絡(luò)密鑰來(lái)加密發(fā)出的數(shù)據(jù)幀,使用有效的或備用的網(wǎng)絡(luò)密鑰來(lái)加密收到的數(shù)據(jù)幀。在這個(gè)方案中,數(shù)據(jù)幀的接收者能夠推斷出使用哪個(gè)密鑰來(lái)處理一個(gè)接收到的數(shù)據(jù)幀并判定這個(gè)消息是否對(duì)于所有網(wǎng)絡(luò)設(shè)備都是可讀的,而不是只有對(duì)其自身可讀,因?yàn)閿?shù)據(jù)幀的格式明確指出用于保護(hù)幀的密鑰類型。

3.1.3 應(yīng)用層安全

在應(yīng)用層,可以使用鏈接密鑰或網(wǎng)絡(luò)密鑰進(jìn)行加密。應(yīng)用層的另一個(gè)安全責(zé)任是為應(yīng)用以及ZDO提供密鑰建立、密鑰傳輸和設(shè)備管理服務(wù)。應(yīng)用層為那些需要安全傳輸?shù)陌l(fā)出的數(shù)據(jù)幀、需要安全接收的接收到的數(shù)據(jù)幀以及需要安全建立和管理密鑰的處理步驟負(fù)責(zé)。密鑰的建立是在兩個(gè)設(shè)備之間進(jìn)行的,共包括暫時(shí)數(shù)據(jù)交換、共享密鑰生成、鏈接密鑰獲得和鏈接密鑰確認(rèn)四個(gè)步驟;密鑰傳輸服務(wù)在設(shè)備之間安全傳輸密鑰;設(shè)備管理服務(wù)包括更新和移除設(shè)備。其中,更新設(shè)備服務(wù)通過(guò)一種安全的方式通知其他設(shè)備存在第三方設(shè)備需要更新,移除設(shè)備是通知有不滿足安全需要的設(shè)備需要被刪除。

3.2 安全密鑰

3.2.1 密鑰類型

在數(shù)據(jù)加密過(guò)程中,ZigBee技術(shù)使用三種類型的密鑰,分別是:主密鑰、鏈接密鑰和網(wǎng)絡(luò)密鑰[9].主密鑰可以在設(shè)備出廠時(shí)預(yù)裝、由信任中心設(shè)定或是基于用戶訪問的數(shù)據(jù)等方式獲得,例如:個(gè)人識(shí)別碼(PN),密碼和口令等。主密鑰是兩個(gè)設(shè)備之間進(jìn)行安全通信的基礎(chǔ),也可被當(dāng)成一般的鏈接密鑰使用。必須保持主密鑰的保密性和精確性,在網(wǎng)絡(luò)傳輸之中,主密鑰可以防止數(shù)據(jù)被竊聽。鏈接密鑰在網(wǎng)絡(luò)中的兩個(gè)設(shè)備之間共享,可由主密鑰建立,也可由預(yù)裝的方式獲得。網(wǎng)絡(luò)密鑰可由信任中心設(shè)定或以預(yù)裝的方式獲得,可被應(yīng)用于數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層。鏈接密鑰和主密鑰必須周期性地進(jìn)行更新,當(dāng)兩個(gè)設(shè)備同時(shí)擁有鏈接密鑰和主密鑰時(shí),它們將使用鏈接密鑰進(jìn)行通信。雖然網(wǎng)絡(luò)密鑰的存儲(chǔ)開銷較小,但由于其可以用于多個(gè)設(shè)備,因此可能帶來(lái)內(nèi)部攻擊,從而降低系統(tǒng)的安全性。ZigBee網(wǎng)絡(luò)中的安全性是基于鏈接密鑰和網(wǎng)絡(luò)密鑰的。應(yīng)用層對(duì)等實(shí)體之間的單播通信通過(guò)兩個(gè)設(shè)備共享的128 位鏈接密鑰進(jìn)行加密,廣播通信通過(guò)所有設(shè)備共享的128位網(wǎng)絡(luò)密鑰進(jìn)行加密。

3.2.2 信任中心

信任中心在網(wǎng)絡(luò)中負(fù)責(zé)分配安全密鑰,是一種令人信任的設(shè)備。信任中心允許設(shè)備加入網(wǎng)絡(luò)之中,并為其分配密鑰,從而保證設(shè)備之間的安全性。在采用了安全機(jī)制的ZigBee網(wǎng)絡(luò)中,信任中心可由ZigBee協(xié)調(diào)者擔(dān)當(dāng)。信任中心共有三種功能:信任管理,負(fù)責(zé)驗(yàn)證加入網(wǎng)絡(luò)的設(shè)備;網(wǎng)絡(luò)管理,負(fù)責(zé)為設(shè)備獲取和分配網(wǎng)絡(luò)密鑰;配置管理,負(fù)責(zé)確保端到端設(shè)備的安全。ZigBee的信任中心分為住宅模式和商用模式兩種。在住宅模式的信任中心之中,需要維護(hù)一張網(wǎng)絡(luò)中所有設(shè)備和密鑰的清單,并對(duì)網(wǎng)絡(luò)訪問和密鑰進(jìn)行管控;在商用模式的信任中心之中,也需要維護(hù)一張網(wǎng)絡(luò)中設(shè)備和密鑰的清單,并對(duì)網(wǎng)絡(luò)密鑰的更新和網(wǎng)絡(luò)訪問控制進(jìn)行管理,除此之外還需在每個(gè)設(shè)備之中維護(hù)一個(gè)隨著密鑰產(chǎn)生而不斷變化的計(jì)數(shù)器,以保證順序更新。商用模式的信任中心需要維護(hù)密鑰并允許其更新,擴(kuò)展性能較好,但消耗的存儲(chǔ)空間也較多,而住宅模式不需設(shè)置密鑰,消耗的資源較少,但缺點(diǎn)是網(wǎng)絡(luò)的擴(kuò)展性較差。

3.3 安全措施

ZigBee技術(shù)提供多種方法以確保網(wǎng)絡(luò)的安全性,主要包括以下幾種:

(1)加密技術(shù),ZigBee使用的加密算法為128位AES算法。網(wǎng)絡(luò)層加密可以阻止外部攻擊,加密通過(guò)共享網(wǎng)絡(luò)密鑰完成。設(shè)備層使用鏈接密鑰在兩端的設(shè)備之間完成加密,可以同時(shí)阻止來(lái)自內(nèi)外部的攻擊。有無(wú)加密技術(shù)并不影響順序更新、鑒權(quán)和完整性保護(hù)。

(2)鑒權(quán)技術(shù),可以保證信息的原始性,防止其被第三方攻擊,分為網(wǎng)絡(luò)層和設(shè)備層。網(wǎng)絡(luò)層鑒權(quán)通過(guò)共享網(wǎng)絡(luò)密鑰完成,能夠阻止外部攻擊,但帶來(lái)了較大的內(nèi)存開銷。設(shè)備層鑒權(quán)通過(guò)設(shè)備間位移的鏈接密鑰完成,能夠阻止內(nèi)外部攻擊,但缺點(diǎn)是內(nèi)存開銷高。

(3)完整性保護(hù),ZigBee 提供0 位,32 位,64 位和128位的完整性保護(hù)技術(shù),默認(rèn)技術(shù)為64位。

(4)順序更新,ZigBee設(shè)置一個(gè)計(jì)數(shù)器來(lái)保證數(shù)據(jù)的更新,通過(guò)使用有序編號(hào)防止幀重放攻擊。接收到新的數(shù)據(jù)幀后,比較新編號(hào)和上一個(gè)編號(hào)之間的值,若新編號(hào)較新則校驗(yàn)通過(guò),同時(shí)更新編號(hào)為最新,反之校驗(yàn)失敗。順序更新技術(shù)可以確保收到的數(shù)據(jù)為最新數(shù)據(jù),但不能提供嚴(yán)格的與上一幀數(shù)據(jù)間的時(shí)間間隔信息。

4 智能電路中ZigBee 安全問題考慮

在智能電路,ZigBee技術(shù)可被應(yīng)用于多種領(lǐng)域,如輸變電線路在線監(jiān)測(cè)和高級(jí)量測(cè)體系等,這些應(yīng)用在安全性上都有著較高的要求。在高級(jí)量測(cè)體系之中,如第3節(jié)所述,ZigBee技術(shù)可以被用來(lái)構(gòu)建高級(jí)量測(cè)體系中的基礎(chǔ)--家域網(wǎng)。智能電表設(shè)施是構(gòu)成智能電網(wǎng)的基礎(chǔ),智能電表是用戶最常接觸也是最容易接觸到的設(shè)備,一旦其被攻破,就將對(duì)網(wǎng)絡(luò)中的其他設(shè)備造成威脅。同時(shí),有些高級(jí)量測(cè)體系中,用戶可以通過(guò)網(wǎng)絡(luò)操縱家中的電器,攻擊者可以通過(guò)網(wǎng)絡(luò)攻擊家中的電器,如偽裝成一個(gè)高能耗的設(shè)備,對(duì)用戶造成電費(fèi)上的損失。而在輸變電線路在線監(jiān)測(cè)之中,將會(huì)安裝大量的傳感器,組成無(wú)線傳感網(wǎng)絡(luò),ZigBee技術(shù)能夠較好地適用于無(wú)線傳感網(wǎng)絡(luò)。這些傳感器負(fù)責(zé)收集電路的運(yùn)作情況,并發(fā)送至管理中心,使得管理者能夠?qū)崟r(shí)準(zhǔn)確的獲得電路的運(yùn)行狀態(tài)。攻擊者可能攻擊傳感器網(wǎng)絡(luò),從而達(dá)到攻擊電路的目的。

綜合考慮,在使用了ZigBee 技術(shù)的智能電路應(yīng)用中,必須采取以下幾種技術(shù)來(lái)保證安全:身份認(rèn)證,確保接入無(wú)線傳感網(wǎng)絡(luò)的設(shè)備為合法設(shè)備;數(shù)據(jù)加密,對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密,確保數(shù)據(jù)不被攻擊者竊取;完整性保護(hù),對(duì)傳輸數(shù)據(jù)采取完整性保護(hù)措施,確保數(shù)據(jù)不被非法篡改。

5 結(jié)語(yǔ)

ZigBee技術(shù)具有諸多優(yōu)勢(shì),十分適合于無(wú)線傳感器網(wǎng)絡(luò),可應(yīng)用于智能電路中的多個(gè)領(lǐng)域,成為推動(dòng)智能電路技術(shù)發(fā)展的強(qiáng)大驅(qū)動(dòng)力。由于智能電路中個(gè)各種應(yīng)用對(duì)信息安全有著嚴(yán)格的要求,因此在應(yīng)用ZigBee技術(shù)的同時(shí),必須要考慮到其安全性問題。在安全問題上,ZigBee對(duì)協(xié)議棧各層加強(qiáng)安全防護(hù)措施,使用AES加密算法加密數(shù)據(jù),提供數(shù)據(jù)完整性保護(hù)和及安全措施,并建立信任中心機(jī)制管理安全密鑰,這些措施大大加強(qiáng)了ZigBee的安全性。盡管如此,在ZigBee密鑰分配協(xié)議的需求與性能指標(biāo)、密鑰管理方案等方面還有待進(jìn)一步研究。隨著智能電路技術(shù)對(duì)安全性要求的不斷提高,進(jìn)一步加強(qiáng)對(duì)ZigBee技術(shù)的安全研究是十分必要的。



關(guān)鍵詞: 智能電路 ZigBee 技術(shù)

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉