SCTP在工業(yè)以太網(wǎng)通信技術(shù)中的應(yīng)用研究
一些工業(yè)以太網(wǎng)絡(luò)存在的信息安全威脅主要表現(xiàn)在缺乏認(rèn)證,容易導(dǎo)致非授權(quán)訪問;信息泄露或者丟失;破壞數(shù)據(jù)完整性;拒絕服務(wù)攻擊。
和以太網(wǎng)面臨的安全威脅一樣,工業(yè)以太網(wǎng)也面臨偵聽、重放、拒絕服務(wù)攻擊等多種安全威脅。舉例來說,對Modbus TCP這樣的簡單協(xié)議而言,由于協(xié)議的功能字簡單,使用Modbus TCP的工業(yè)以太網(wǎng)很容易遭受攻擊者使用偽造數(shù)據(jù)來對設(shè)備進行控制的攻擊危險。對于通信通道數(shù)有限的以太網(wǎng)客戶端而言,攻擊者通過偽造的連接占用通信通道會導(dǎo)致工業(yè)以太網(wǎng)模塊的拒絕服務(wù)攻擊。另外,對于實時性要求強的控制網(wǎng)絡(luò)而言,通過占用帶寬和干擾等手段可能導(dǎo)致網(wǎng)絡(luò)的不可用或不可靠,從而威脅控制網(wǎng)絡(luò)安全。
總結(jié)存在上述信息安全威脅的原因,有以下幾點:
(1)沒有適當(dāng)強度的認(rèn)證、授權(quán)措施;
(2)沒有相應(yīng)的數(shù)據(jù)加密措施;
(3)工業(yè)以太網(wǎng)使用的協(xié)議都是基于TCP/IP協(xié)議的,從而不可避免地繼承了TCP/IP協(xié)議的安全性缺陷。
2 SCTP簡介
流控制傳輸協(xié)議SCTP是由IETF提出的新一代構(gòu)架于IP層之上的通用IP傳輸協(xié)議。SCTP在以IP為基礎(chǔ)的網(wǎng)絡(luò)上提供面向連接的可靠的端對端報文傳輸。
SCFP作為TCP的改進技術(shù),繼承了TCP的流控技術(shù)、超時重傳以及擁塞控制技術(shù)等成熟技術(shù)。同時,SCTP引入了新的擁塞控制、防止syn-flood和偽裝攻擊、更優(yōu)的實時性能、支持多宿主支持等思想。因此,SCTP被一些標(biāo)準(zhǔn)化組織認(rèn)為是TCP的繼承者。
在SCTP中,偶聯(lián)是一個十分重要的概念,它表示了在兩個SCTP端點間的一個對應(yīng)關(guān)系,這種關(guān)系包括兩個SCTP端點以及包括驗證標(biāo)簽和傳輸順序號碼等信息在內(nèi)的協(xié)議狀態(tài)信息,一個偶聯(lián)可以由使用該偶聯(lián)的SCTP端點用傳輸?shù)刂穪砦┮蛔R別,在任何時候兩個SCTP端點間都不會有多于一個的偶聯(lián)。
與TCP,UDP相比,SCTP的新特性具體介紹如下:
(1)支持多宿主連接和通路管理
在建立SCTP連接時,連接的雙方都可以聲明多個IP地址。SCTP通路管理功能可以根據(jù)SCTP用戶的指令和當(dāng)前合格的目的地集合的可達性狀態(tài)為每個發(fā)送的SCTP分組選擇一個目的地傳輸?shù)刂?,通路管理功能可以通過心跳消息來監(jiān)視到某個目的地地址的可達性。當(dāng)端點發(fā)起連接請求時,通路管理功能可以向遠(yuǎn)端和本地報告對方的傳輸?shù)刂?。建立的SCTP偶聯(lián)可以包含多個可能的起源/目的地址的組合,如圖2所示,這些組合記錄在每個SCTP端點的傳輸?shù)刂妨斜碇小_@樣,若當(dāng)前地址連接失效時,應(yīng)用程序的偶聯(lián)可以切換到其他地址上,有效地避免了單一鏈路的失敗。本文引用地址:http://cafeforensic.com/article/156500.htm
評論