一種基于ISA100.11a標(biāo)準(zhǔn)的工業(yè)傳感網(wǎng)數(shù)據(jù)重復(fù)檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于工業(yè)傳感網(wǎng)通信技術(shù)領(lǐng)域���,尤其涉及一種ISA100.1la標(biāo)準(zhǔn)的傳輸層數(shù)據(jù)重復(fù)檢測(cè)的方法�。
【背景技術(shù)】
[0002]目前�,工業(yè)傳感網(wǎng)的研宄和應(yīng)用正在廣泛的開(kāi)展,被越來(lái)越多的應(yīng)用在工業(yè)現(xiàn)場(chǎng)中���。然而安全問(wèn)題是工業(yè)傳感網(wǎng)的首要問(wèn)題��,必須保證網(wǎng)絡(luò)終端設(shè)備之間的數(shù)據(jù)可靠傳輸��。盡管目前不同的標(biāo)準(zhǔn)體系都對(duì)安全傳輸做了很多技術(shù)要求���,但由于傳感器網(wǎng)絡(luò)自身的局限性和應(yīng)用環(huán)境的復(fù)雜性����、多變性����,信息傳輸面臨著多種威脅,惡意干擾�����、完整性攻擊和重放攻擊等安全問(wèn)題比較突出����。其中,重放攻擊是指?jìng)鞲芯W(wǎng)中的惡意節(jié)點(diǎn)冒充合法節(jié)點(diǎn)���,向網(wǎng)絡(luò)重放當(dāng)前消息或歷史數(shù)據(jù)����,盡管重放的消息本身是合法的,但是消息已處理或者不是當(dāng)前網(wǎng)絡(luò)需要收集的數(shù)據(jù)�。重放攻擊不僅會(huì)占用信道資源而且還會(huì)造成網(wǎng)絡(luò)信息傳輸混亂、終端設(shè)備不能正常處理其他業(yè)務(wù)等問(wèn)題��。
[0003]ISA100.1la協(xié)議是工業(yè)傳感網(wǎng)的國(guó)際標(biāo)準(zhǔn)之一�,以低復(fù)雜度、低功耗�、適當(dāng)?shù)耐ㄐ艛?shù)據(jù)速率來(lái)支持工業(yè)現(xiàn)場(chǎng)應(yīng)用���。其協(xié)議棧由應(yīng)用層���、傳輸層、網(wǎng)絡(luò)層�����、數(shù)據(jù)鏈路層和物理層組成�。傳輸層主要功能是負(fù)責(zé)端到端的通信并提供具有靈活安全性的無(wú)連接服務(wù),向應(yīng)用層提供傳輸?shù)目煽啃?���,避免?bào)文的出錯(cuò)、丟失�����、延遲、時(shí)間紊亂等差錯(cuò)�。通過(guò)UDP校驗(yàn)和或消息完整性檢查(Message Integrity Code,MIC)來(lái)保證端到端 TPDU(Transport layerprotocol data unit����,傳輸層服務(wù)數(shù)據(jù)單元)的完整性。
[0004]通過(guò)這些機(jī)制實(shí)現(xiàn)了 TPDU的完整性保護(hù)��,能夠解決惡意干擾��、完整性攻擊等問(wèn)題�,但是對(duì)于TPDU的重放攻擊問(wèn)題,該標(biāo)準(zhǔn)并沒(méi)有給出具體技術(shù)要求和技術(shù)規(guī)范��,基于這樣的背景�,本發(fā)明提出一種數(shù)據(jù)重復(fù)檢測(cè)的方法。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是提供一種基于ISA100.1la標(biāo)準(zhǔn)的工業(yè)傳感網(wǎng)數(shù)據(jù)重復(fù)檢測(cè)方法���,該方法對(duì)于傳感網(wǎng)的重放攻擊問(wèn)題得到了很好的解決�����。
[0006]根據(jù)ISA100.1la標(biāo)準(zhǔn)的描述���,DL子網(wǎng)是由終端設(shè)備通過(guò)2.4G射頻連接的傳感器網(wǎng)絡(luò)����,一個(gè)骨干路由設(shè)備負(fù)責(zé)維護(hù)一個(gè)DL子網(wǎng)設(shè)備與網(wǎng)關(guān)等其他設(shè)備通信����;骨干網(wǎng)是由具有骨干路由功能的設(shè)備和網(wǎng)關(guān)設(shè)備組成骨干網(wǎng)絡(luò),骨干網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)基于IPv6格式的數(shù)據(jù)包�����。介于DL子網(wǎng)和骨干網(wǎng)的區(qū)別��,終端設(shè)備和骨干網(wǎng)設(shè)備的協(xié)議棧中采用的重復(fù)檢測(cè)方法不完全一致��。
[0007]DL子網(wǎng)中的終端設(shè)備的傳輸層之間傳輸?shù)腡PDU�����,都攜帶了 MIC信息�。MIC信息通過(guò)Hash算法計(jì)算得出���,基本原理是將一個(gè)可變長(zhǎng)的報(bào)文作為輸入����,輸出一個(gè)固定長(zhǎng)度的散列碼,叫做報(bào)文摘要�。該報(bào)文摘要占據(jù)的內(nèi)存空間要遠(yuǎn)小于報(bào)文所占據(jù)的內(nèi)存空間。這樣有兩個(gè)目的��,一個(gè)是驗(yàn)證消息的發(fā)送者是否偽裝��;另一個(gè)是檢驗(yàn)消息的完整性��,消息在傳遞過(guò)程中是否被篡改�����。對(duì)于報(bào)文摘要相同而輸入報(bào)文不同的情況在計(jì)算上是不可能的����。
[0008]基于這種完整性保護(hù)機(jī)制,考慮傳感器終端設(shè)備本身的硬件資源比較緊張�,而MIC信息占用內(nèi)存空間少并且能夠唯一表示接收的報(bào)文。因此���,將MIC作為傳感器終端設(shè)備重復(fù)檢測(cè)的判別標(biāo)志�����。
[0009]骨干網(wǎng)上的設(shè)備之間傳輸?shù)膱?bào)文都為基于IPv6格式的數(shù)據(jù)包�����,而且該數(shù)據(jù)包可能通過(guò)校驗(yàn)和或MIC來(lái)保證完整性��。如果有的數(shù)據(jù)包通過(guò)校驗(yàn)和進(jìn)行完整性檢查���,則無(wú)法通過(guò)MIC來(lái)進(jìn)行重復(fù)檢測(cè)��。因此�����,考慮到重復(fù)判別唯一性�,將報(bào)文的源和目的端口號(hào)�、源設(shè)備地址和序列號(hào)作為報(bào)文的檢測(cè)標(biāo)簽���,來(lái)進(jìn)行重復(fù)檢測(cè)的判別依據(jù)�����。
[0010]本發(fā)明的技術(shù)方案是:一種基于ISA100.1la標(biāo)準(zhǔn)的工業(yè)傳感網(wǎng)數(shù)據(jù)重復(fù)檢測(cè)方法��,包括重復(fù)檢測(cè)DL子網(wǎng)中終端設(shè)備和骨干網(wǎng)設(shè)備�,其中DL子網(wǎng)中終端設(shè)備重復(fù)檢測(cè)方法是:
[0011]當(dāng)終端設(shè)備接收到的數(shù)據(jù)幀,數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層解析完成后送給傳輸層��,傳輸層進(jìn)行偽報(bào)頭的恢復(fù)���,再對(duì)數(shù)據(jù)進(jìn)行完整性檢查����,最后進(jìn)行報(bào)文的重復(fù)檢測(cè)���。報(bào)文解析完成后�����,將不重復(fù)的數(shù)據(jù)送給應(yīng)用層�。
[0012]重復(fù)檢測(cè)過(guò)程:傳輸層維護(hù)一個(gè)MIC緩存隊(duì)列�����,將當(dāng)前TPDU的MIC信息與隊(duì)列中緩存的MIC逐個(gè)比較��,如果比較結(jié)果相同,表明被檢測(cè)TPDU重復(fù)���,給出重復(fù)警報(bào)�����,丟棄該TPDU ;否則��,表明被檢測(cè)TPDU不重復(fù)�����,將該MIC信息添加到隊(duì)列中存放時(shí)間最近的一組MIC后面��,將當(dāng)前的TPDU上報(bào)給應(yīng)用層����。
[0013]骨干網(wǎng)絡(luò)中設(shè)備重復(fù)檢測(cè)方法是:
[0014]骨干網(wǎng)設(shè)備的傳輸層接收到TPDU后同樣需要進(jìn)行IPv6偽報(bào)頭的恢復(fù)��,以獲取源和目的設(shè)備的端口號(hào)�、源設(shè)備地址。再進(jìn)行UDP校驗(yàn)和或完整性檢查�。如果數(shù)據(jù)包通過(guò)校驗(yàn)或檢查��,再進(jìn)行重復(fù)檢測(cè)。最后將重復(fù)檢測(cè)通過(guò)的報(bào)文送給應(yīng)用層�。
[0015]傳輸層維護(hù)了一個(gè)緩存隊(duì)列,每個(gè)緩存單元存儲(chǔ)報(bào)文的時(shí)間戳和檢測(cè)標(biāo)簽�,隊(duì)列內(nèi)容以及報(bào)文檢測(cè)標(biāo)簽內(nèi)容如圖1所示。時(shí)間戳表示該TPDU的接收時(shí)間����,檢測(cè)標(biāo)簽由TPDU的序列號(hào)、源地址�����、源端口和目的端口構(gòu)成��。其中:
[0016]時(shí)間戳:當(dāng)前接收時(shí)間��。
[0017]序列號(hào):報(bào)文順序的一個(gè)計(jì)數(shù)值����。
[0018]源地址:發(fā)送TPDU設(shè)備的IPv6地址。
[0019]源端口:發(fā)送TPDU進(jìn)程對(duì)象的端口號(hào)�。
[0020]目的端口:接收TPDU進(jìn)程對(duì)象的端口號(hào)。
[0021]重復(fù)檢測(cè)過(guò)程:在進(jìn)行重復(fù)檢測(cè)前�����,根據(jù)接收的報(bào)文中相關(guān)信息構(gòu)建一個(gè)報(bào)文檢測(cè)標(biāo)簽。重復(fù)檢測(cè)時(shí)�,時(shí)間戳指示該檢測(cè)標(biāo)簽是否為有效檢測(cè)標(biāo)簽。如果當(dāng)前時(shí)間與該時(shí)間戳的差值大于某個(gè)確定的時(shí)間窗口��,則表示該檢測(cè)標(biāo)簽無(wú)效���,重復(fù)檢測(cè)時(shí)不會(huì)再比較這些檢測(cè)標(biāo)簽��。
[0022]將當(dāng)前的檢測(cè)標(biāo)簽和隊(duì)列中存放的檢測(cè)標(biāo)簽內(nèi)容進(jìn)行比較�,如果比較結(jié)果相同�,表明消息具有重復(fù)性,給出重復(fù)警報(bào)��;否則���,表明報(bào)文不重復(fù)���,將當(dāng)前時(shí)間戳和新封裝的檢測(cè)標(biāo)簽添加到隊(duì)列中存放時(shí)間最近的一項(xiàng)報(bào)文標(biāo)識(shí)的后面,并將數(shù)據(jù)送給應(yīng)用層����。
[0023]在重復(fù)檢測(cè)過(guò)程中,通過(guò)報(bào)文檢測(cè)標(biāo)簽中的序列號(hào)的比較���,還能檢測(cè)出報(bào)文是否亂序���,如果對(duì)于報(bào)文源地址、源端口和目的端口相等�����,而序列號(hào)非遞增�,則指示報(bào)文亂序。
[0024]發(fā)明效果
[0025]本發(fā)明提出的重復(fù)檢測(cè)方法��,能夠有效的檢測(cè)ISA100.1la網(wǎng)絡(luò)中消息重復(fù)���、亂序等問(wèn)題���,在終端設(shè)備上執(zhí)行的重復(fù)檢測(cè)方法簡(jiǎn)單,易于實(shí)現(xiàn)��,同時(shí)節(jié)約了終端設(shè)備的存儲(chǔ)資源����。
【附圖說(shuō)明】
[0026]圖1是本發(fā)明緩存隊(duì)列結(jié)構(gòu)及報(bào)文檢測(cè)標(biāo)簽結(jié)構(gòu)示意圖。
[0027]圖2是本發(fā)明終端設(shè)備隊(duì)列管理示意圖���。
[0028]圖3是本發(fā)明終端設(shè)備重復(fù)檢測(cè)流程示意圖�。
[0029]圖4是本發(fā)明骨干網(wǎng)設(shè)備重復(fù)檢測(cè)隊(duì)列管理示意圖。
[0030