隨著日漸嚴(yán)峻的網(wǎng)絡(luò)環(huán)境,網(wǎng)絡(luò)安全已成為核電安全體系的一個(gè)重要關(guān)注方向,核電站DCS作為一個(gè)以網(wǎng)絡(luò)通信為基礎(chǔ)的分布式系統(tǒng),網(wǎng)絡(luò)安全尤為重要。在網(wǎng)絡(luò)攻擊中,重放攻擊是一種常見的攻擊手段,在核電DCS常用的UDP協(xié)議中對抵御重放攻擊的研究意義重大。實(shí)現(xiàn)了一種基于UDP協(xié)議的防范重放攻擊方法,該方法能有效抵御重放攻擊,保證受到攻擊時(shí)系統(tǒng)能正常提供服務(wù),同時(shí)內(nèi)存和CPU負(fù)荷滿足核電站DCS運(yùn)行要求,目前已在核電站數(shù)字化儀控系統(tǒng)中進(jìn)行了實(shí)現(xiàn)和應(yīng)用,并已通過國家信息技術(shù)安全研究中心的信息安全檢測。 

【文章來源】：工業(yè)控制計(jì)算機(jī). 2020,33(05)

【文章頁數(shù)】：3 頁

【部分圖文】：

網(wǎng)絡(luò)通信過程

針對網(wǎng)絡(luò)通信的典型重放攻擊過程如圖2所示：重放攻擊時(shí)，攻擊者不會(huì)使用正規(guī)客戶端，而使用假冒的客戶端代替。攻擊者首先捕獲到客戶端的請求數(shù)據(jù)包A，然后冒充客戶端不斷地發(fā)送數(shù)據(jù)包A，不會(huì)阻塞等待服務(wù)端返回，在這種攻擊策略下，如果服務(wù)端不進(jìn)行針對性的處理，將接收到大量的攻擊者不斷發(fā)送的數(shù)據(jù)包A，這些數(shù)據(jù)包A在服務(wù)端都是合法的請求，很快會(huì)將服務(wù)端資源占用殆盡，使服務(wù)器癱瘓。

客戶端在發(fā)起請求時(shí)，在請求包中加入時(shí)間戳，即本地的當(dāng)前時(shí)間，精確到毫秒。服務(wù)端通過UDP協(xié)議通信接收來自一個(gè)或多個(gè)客戶端發(fā)送的請求和對應(yīng)的數(shù)據(jù)包，解析數(shù)據(jù)包中的客戶端時(shí)間戳，與本地的時(shí)間進(jìn)行比較，如果小于設(shè)定的有效值（比如2s），則認(rèn)為數(shù)據(jù)包有效，否則丟棄數(shù)據(jù)包。服務(wù)端處理完數(shù)據(jù)之后，再將返回的處理結(jié)果中增加第二時(shí)間戳，而客戶端獲取第二時(shí)間戳后，如果判斷第二時(shí)間戳不滿足要求，則丟棄返回的處理結(jié)果；這樣攻擊方即使截取網(wǎng)絡(luò)通信中發(fā)送的數(shù)據(jù)，不斷發(fā)送重放數(shù)據(jù)，但是不能即時(shí)獲取第二時(shí)間戳，就不能破獲處理結(jié)果對應(yīng)的真實(shí)含義，以此來保證數(shù)據(jù)的安全。進(jìn)一步地，后續(xù)服務(wù)端可以基于客戶端是否能即時(shí)解析第二時(shí)間戳，來確定后續(xù)是否繼續(xù)處理該客戶端發(fā)送的數(shù)據(jù)；從而進(jìn)一步避免服務(wù)端被重放攻擊。另外為了使時(shí)效性判斷正確有效，客戶端和服務(wù)端需要使用統(tǒng)一的時(shí)鐘源進(jìn)行校時(shí)。同時(shí)時(shí)間戳字段需要加密，使攻擊者無法偽造。如圖3、圖4所示。圖4 利用時(shí)效性防止重放攻擊序列圖

【參考文獻(xiàn)】：
期刊論文
[1]基于雙重驗(yàn)證的抗重放攻擊方案[J]. 肖斌斌,徐雨明.  計(jì)算機(jī)工程. 2017(05)
[2]B/S架構(gòu)下基于會(huì)話指紋的同源重放攻擊應(yīng)對方案研究[J]. 董本清,張永,徐斌昕.  湖北師范學(xué)院學(xué)報(bào)(自然科學(xué)版). 2015(02)
[3]基于身份的跨域直接匿名認(rèn)證機(jī)制[J]. 周彥偉,楊波,吳振強(qiáng),何聚厚,李駿.  中國科學(xué):信息科學(xué). 2014(09)
[4]代理檢查檢驗(yàn)服務(wù)平臺(tái)中的安全機(jī)制設(shè)計(jì)[J]. 施華宇,余浩,楊俊,邱明輝.  中國數(shù)字醫(yī)學(xué). 2013 (07)
[5]主流電子交易網(wǎng)站賬戶安全登錄模式缺陷與安全設(shè)計(jì)[J]. 龔茜茹,趙建超.  電子測試. 2013(07)
[6]一種抗重放攻擊的Web服務(wù)認(rèn)證協(xié)議[J]. 韓崇硯,張紅旗,張斌,楊艷.  計(jì)算機(jī)工程. 2011(21)
[7]互聯(lián)網(wǎng)環(huán)境下一種新的非否認(rèn)協(xié)議研究[J]. 陳桂芳.  計(jì)算機(jī)測量與控制. 2010(02)

碩士論文
[1]無線傳感器網(wǎng)絡(luò)多源安全時(shí)間同步協(xié)議的設(shè)計(jì)與實(shí)現(xiàn)[D]. 徐為.國防科學(xué)技術(shù)大學(xué) 2008



本文編號(hào)：3370652