物联网扩展要求的数据重放如何测评

admin 2025年6月19日21:41:54评论10 views字数 1244阅读4分8秒阅读模式

等保2.0扩展标准中,很多条款写的让人云里雾里,各种培训和教材、书籍都没有讲清楚,都是照本宣科,这样的条款很容易让测评人员产生歧义,在和客户沟通时候,也无法说明和举例如何才能满足等保要求。本文将从物联网扩展中,选择最常见的抗重放的两条简单介绍下。如有不对,欢迎指正。

Part.01

什么是数据重放

重放攻击,是一种比较传统的网络攻击方式。重放攻击需要基于中间人攻击,攻击者通过截获合法的数据传输并重新发送它们来欺骗接收方,让接收方误以为是合法的消息。

听起来是不是很简单?其实并非如此,在物联网通信中,大部分基于TCP协议(MQTT协议),少部分基于UDP(CoAP协议),但是TCP不是自身有数据重放机制么,这跟我们今天物联网扩展指标的数据重放是否相同?其实不一样,个人认为,物联网扩展的数据重放要求主要是在应用层,跟下层的传输层的数据重放并不冲突。

Part.02

抗数据重放的两条要求区别

a)应能够鉴别数据的新鲜性,避免历史数据的重放攻击:这条偏重于是否能够具有识别历史数据的重放攻击,至于历史数据是否遭受篡改则不考虑。

b)应能够鉴别历史数据的非法修改,避免数据的修改重放攻击:这条在上条具有历史数据重放攻击检测功能的基础之上,还需要检测数据是否遭受篡改

因此,我们可以得知,若a)不符合,b)必然不符合;若a)符合,b)不一定符合。

Part.03

测评实施方法

那么实际测评时候,如何去实施呢。其实这个很难通过核查手段,因为涉及协议层面,物联网应用层协议很多,导致协议格式也很多。个人认为主要还是看测试。通过wireshark和tcpreplay等工具在服务器前端或者RTU等处抓包,根据源地址、目的地址和协议筛选出数据包,然后保存后或者修改后重新发送,看看应用页面是否能够正常显示刚刚发送的数据。若能显示,则说明没有抗数据重放措施。

Part.04

防护措施

那么具体如何去防护呢?根据已有的公开信息,主要有以下措施:

1、时间戳:这是最为常见的方式之一,感知节点在发送数据时候会带上自己的时间戳,应用在接收到数据时候,校验时间戳是否在正常误差范围内,若在则认为数据正常。缺点是,要求感知节点和应用双方的时间偏差需要非常小,场景主要是视频监控系统;

2、序列号:每个消息包含一个唯一序列号,应用检查序列号以确保每个消息只被接受一次;

3、计数器:跟序列号类似,但是不同的是,计数器一般只能新增。最常见的场景是智能水表和智能电表领域的读数,一般只能较历史数据新增,不可能减少;

4、基于HMAC的完整性保护算法。比如HMAC-SM3、HMAC-SHA2等,感知节点通过预置的密钥将报文通过HMAC-SM3算法计算出散列值后附加到数据中一起发送到应用,应用使用同一个密钥进行进行HMAC-SM3计算后,校验是否是否是历史数据并且是否被篡改。值得注意的是,这里必须是基于HMAC的完整性算法,不能是单一的MD5、SHA1、SM3等散列算法。

原文始发于微信公众号(等级保护那些事):物联网扩展要求的数据重放如何测评

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月19日21:41:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   物联网扩展要求的数据重放如何测评https://cn-sec.com/archives/4182492.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息