基于OpenSSL的信息安全RTU的设计与实现.docVIP

基于OpenSSL的信息安全RTU的设计与实现-工程论文 基于OpenSSL的信息安全RTU的设计与实现 1刘学海1计小军1卫乾2尹鹏 (1．北京中油瑞飞信息技术有限责任公司；2．中国石油伊拉克鲁麦拉项目部；北京100007) 摘要：随着信息化技术的快速发展，工业现场的安全通信越来越受到重视。本文介绍了SSL和OpenSSL技术．然后给出了基于OpenSSL的信息安全RTU的总体设计方案，并详细介绍了其设计与实现过程。 关键字：OpenSSL；嵌入式系统；RTU；安全 1引言 随着计算机技术应用的不断深入，特别是信息化与工业化深度融合及物联网技术的快速发展，相继开发出许多如RTU等的嵌入式网络设备。 RTU( Remote TerminalUnit)中文全称为远程终端单元，通过自身的软件系统可以实现调度系统对生产现场的遥测、遥控、遥调和遥信等功能。它是组成工业控制数据采集与监视控制系统的细胞单元，在工业控制领域有着非常广泛的应用。 随着网络技术的飞速发展，具备快速的响应能力、开放式的通信协议和平台的网络化RTU已经成为目前市场上的主流工业控制产品之一，而安全性一直是通信网络中最大的问题之一。目前工业控制现场应用的RTU控制器与SCADA（数据采集与监视控制系统）组态软件之间一般采用明文方式进行数据交互，这种开放式的通信方式存在重大的安全隐患，传输的通讯报文容易被第三方监听、截取和伪造。一旦发生这种情况，将产生不可估量的生产效益损失。如何防止工业控制系统安全事件的发生、在重点能源企业构筑安全的工业控制系统，已经成为政府和企业关注的热点。 信息安全型RTU控制器（图1）不但可以实现对工业控制现场数据的采集及处理功能，同时在数据传输前进行加密，拒绝未授权用户的访问，从而有效杜绝由于信息泄露或非法侵入导致的工业安全隐患。 目前密码编码算法按秘钥使用方法分为对称密码算法、非对称密码算法以及不需要秘钥的信息摘要算法，要实现这些算法及相应的协议，工作量非常巨大，实现中通常采用现存的一些密码算法软件包来实现二次开发。OpenSSL为开发密码安全平台提供了丰富的密码算法接口，可以安全高效的实现信息安全RTU 2 SSL与OpenSSL 2.1 SSL协议 SSL协议即安全套接层(Secure Sockets Layer)协议，是Netscape公司推出的为网络应用层的通信提供认证、数据保密和数据完整性服务的一种安全通信协议。SSL协议建立在可靠的TCP传输控制协议之上，在网络模型中位于应用层和传输层之间，并且与上层协议无关，各种应用层协议（如HTTP、FTP、TELNET等）都能通过SSL协议进行透明传输。 SSL协议分为握手协议和记录协议两种。握手协议是指在数据传输前，服务器与客户端进行身份鉴别，同时协商决定采用的协议版本、加密算法等。每次连接，握手协议都要建立一个会话，且每次握手中产生的对称秘钥都是独特的，这种每次更换秘钥的方法在更大程度上保证了通信的安全性。记录协议是指对要传输的信息用协商好的对称秘钥加密后，再通过TCP/IP的连接将信息发送出去。 SSL协议提供的安全连接具有以下3个基本特点： (1)连接是保密的：对于每个连接都有一个唯一的会话密钥，采用对称密码体制（如DES、RC4等）来加密数据； (2)连接是可靠的：消息的传输采用MAC算法（如MD5、SHA等）进行完整性检验。 (3)双方是可信任的：对端实体的鉴别采用非对称密码体制（如RSA、DSS等）进行认证。 2.2 0penSSL OpenSSL是一个健全的、全开放的和开放源代码的软件包，最早由Eric A Yang和Tim J.Hudson开发，现在OpenSSL已经实现了对安全套接层SSL V2 0/V30和传输安全协议TLS Vl.0的支持。与同类型密码库相比，OpenSSL具有以下优点： (1)采用C语言开发，支持多种操作系统(Linux、BSD、Windows、Mac、VMS等)，可移植性好。 (2)功能全面，密码库支持的密码算法丰富，如对称密码算法AES、DES、CAST、IDEA、RC4等；非对称密码算法DH算法、RSA算法、DSA算法和椭圆曲线算法；信息摘要算法MD2、MD5、SHA-l和RIPEMD。 (3) OpenSSL提供了CA等用于生成各种X 509证书（网络通信中标志服务方实体的身份，合有服务方的公开秘钥）、秘钥文件的命令，方便程序的编写和调试。 (4)源