PDF下载
数字油田安全问题研究

孟伟

大庆油田信息技术公司,黑龙江大庆,163000

摘要: 数字油田以物联网为基础,是油田企业信息基础设施和企业生产管理的基础信息平台,是建立勘探、开发、地面建设、储运销售以及企业管理多专业的综合数据体系,并将各专业的数据和应用系统进行高度融合。本文分析数字油田中面临的安全问题,提出安全策略。
关键词: 数字油田;物联网;安全策略
DOI:10.12721/ccn.2021.158120
基金资助:
文章地址:

一、数字油田概念

数字油田是信息技术在油田企业应用的高级阶段,是油田生产经营业务与计算机网络、数据、应用系统的高度融合,主要包括数字石油业务、数字企业文化、数字员工[3]。国内对数字油田的研究经历了三个阶段:理论萌芽期,蓬勃发展期,探索转型期。理论萌芽时期,大庆油田提出数字油田,否认早期研究是在数字地球理论框架下进行,而是油气田勘探、开发、生产和经营管理各个环节由传统人工数据采集向自动化、远程控制方向发展的探索。蓬勃发展时期,数字油田概念、内涵、模型及内容架构提出,推动数字油田理论研究深入发展。探索转型期,数据成为石油勘探开发的工作对象,数字转化为数据,数据转化为信息,信息转化为知识,知识转化为智慧的理论体系,并构成数字油田的本质内涵[4]

二、数字油田面临的安全问题:

数字油田以物联网为基础,物联网体系结构分为感知层、网络层和应用层。感知层决定物联网数据获取问题,网络层建立在现有的无线通信网和互联网等基础通信网络之上,将感知层获取的数据传输到节点用户或应用层,应用层利用云计算、大数据等智能计算和数据分析技术,分层次地处理海量数据信息,为生产服务[5]。物联网体系结构的各个层次都面临安全威胁,感知层的安全威胁表现为RFID标签安全问题和通信信道安全问题。网络层的安全问题为无线传感器网络、移动通信网络、互联网等网络自身存在的安全问题以及异构网络互联互通问题。应用层安全威胁主要为敏感信息泄露问题。本文主要从感知层安全问题进行分析。

物联网终端多为具有感知能力的RFID标签或者无线传感器节点,本身CPU结构简单、存储容量小、运算能力有限,难以负担高计算量的安全协议和身份认证算法。针对RFID系统的安全攻击分为主动攻击和被动攻击。主动攻击有:物理去除芯片封装进行标签重构攻击;软件寻求通信协议、加密算法篡改标签内容攻击;干扰广播、阻塞信道改变应用环境使服务器拒绝服务攻击。被动攻击有:窃听 RFID和阅读器之间的通信数据;通过阅读器窃听商品流通动态等[1]

三、安全策略

针对RFID的安全攻击所采用的方法主要有物理保护方法、基于密码学的身份认证机制。

物理保护方法是利用一些物理原理,基于RFID设备硬件对其进行物理保护,包括静电屏蔽法、有源干扰法、标签移除法和标签阻塞法等[1]

1.静电屏蔽法依据法拉第笼静电屏蔽原理,将RFID设备放置在导体材料制成的网罩内,使无线信号无法穿过网罩以防止标签被非法扫描,但同时屏蔽了合法阅读器,因此局限性很高,只适应特定场合[2]

2.有源干扰法利用干扰仪器主动广播无线信号来干扰RFID设备的无线通信,防止RFID设备被非法扫描,有源干扰法广播无线信号范围广,能够在一定范围内对设备进行屏蔽,但同时会对附近其他无线信号系统造成干扰[2]

3.标签移除法是将一个带有无源标签的RFID设备在其完成任务后,移除其标签,使标签失效,在无任务时不被非法扫描。这种方法以牺牲标签重复利用性来保护RFID设备,标签利用率降低,增加成本。

4.标签阻塞法基于标签隔离碰撞算法来阻止阅读器与标签之间的通信,但这种方法同样能阻止合法阅读器扫描标签,而且具有大规模阻止通信功能,攻击者可以利用此方法进行大规模DOS攻击。

物理保护方法能够在一定程度上保护RFID设备,但存在诸多弊端,在实际应用中物理保护方法防御效果一般,物理保护方法应用场景受限。

基于密码学的身份认证方法与物理保护方法相比有相当大优势,针对RFID设备身份认证机制包括单向认证协议和双向认证协议。

单向认证协议包括基于散列函数的协议:Hash-Lock协议、随机Hash-Lock协议和Hash-Chain协议。单项认证协议完成阅读器对RFID设备的认证,未完成RFID设备对阅读器设备的认证,存在非法阅读器扫描信息的情况,造成信息泄露[2]

1.Hash-Lock协议基于简单的Hash函数对阅读器进行加密认证,RFID设备向阅读器发送固定的ID和固定的Hash函数使得每次的哈希值不变,容易被跟踪[2]

2.随机Hash-Lock协议基于随机数的询问-应答机制,在对ID进行哈希加密前引入一个随机数,从而哈希值不可预估,能够有效防止跟踪猜测式的攻击[2]

3.Hash-Chain协议使用2中不同的Hash函数对ID进行加密,安全性更高。这种协议加大的计算量,给终端设备造成更大负担[2]

双向认证协议包括:基于杂凑的ID变化协议、LCAP协议、和重加密协议。

1.基于杂凑的ID变化协议对每次的会话ID进行更新,可以抗重传攻击,存在前后端数据不同步隐患,容易受到同步攻击[2]

2.LCAP协议也是询问-应答机制,每次执行后都要动态刷新标签ID。与杂凑的ID变化协议类似,不适用于分布式数据库的计算环境[2]

3.重加密协议实现标签匿名,采用非对称密钥加密机制,用户可对标签定期进行加密重写,但此机制需要标签至少具备几百位的存储空间,将增大标签的成本[1]

四、结语

本文对目前数字油田面临的安全问题做出及时的判断和分析,并针对感知层安全问题提出了相应的物理保护方法和基于密码学的身份认证机制,构建数字油田防御体系,才能保证数字油田系统健康平稳的运行。目前,物联网还是发展阶段,安全机制尚未成熟,数字油田的安全问题的研究任重道远。

一、参考文献

[1]、 杨海东 , 杨 春 .RFID安全问题研究.微计算机信息(嵌入式与SOC),2008(24)

[2]、 杨金翠.物联网环境下的控制安全关键技术研究.北京邮电大学.2013

[3]、 王权.大庆油田有限责任公司 数字油田模式与发展战略研究.天津大学管理学院.2003

[4]、 高倩.多源数字油田数据与油田数据融合及 方法研究.长安大学.2015

[5]、 周彩秋,王永健,刘涛.物联网安全威胁及其应对措施.