可信工業(yè)控制網(wǎng)絡(luò)研究

李 浩，陸 陽，周森鑫

（1．合肥工業(yè)大學 計算機與信息學院，安徽 合肥 230009；2．安徽財經(jīng)大學 管理科學與工程學院，安徽 蚌埠 233030）

可信工業(yè)控制網(wǎng)絡(luò)研究

李 浩1,2，陸 陽1，周森鑫2

（1．合肥工業(yè)大學 計算機與信息學院，安徽 合肥 230009；2．安徽財經(jīng)大學 管理科學與工程學院，安徽 蚌埠 233030）

傳統(tǒng)獨立封閉的工業(yè)控制系統(tǒng)安全不能滿足當前的客觀需求.本文針對這一問題，在分析可信網(wǎng)絡(luò)和可信計算的基礎(chǔ)上，結(jié)合工業(yè)控制系統(tǒng)的特點，提出可信工業(yè)控制網(wǎng)絡(luò)的概念，揭示了其三大基本屬性，即安全性、可生存性和可控性.隨后提出一種可行的可信工業(yè)控制網(wǎng)絡(luò)體系結(jié)構(gòu)，并詳細闡述了其基本工作原理.

可信工業(yè)控制網(wǎng)絡(luò)；安全性；可生存性；可控性

1 簡介

工業(yè)控制系統(tǒng)（Industrial Control Systems,ICSs）廣泛的應(yīng)用于工業(yè)生產(chǎn)控制中，如化學化工生產(chǎn)、工藝品加工、農(nóng)作物規(guī)?；喔取㈦娏?yīng)、運輸和航天技術(shù)、石油和天然氣精煉等.工業(yè)控制系統(tǒng)是實現(xiàn)工業(yè)生產(chǎn)自動化的關(guān)鍵，在工業(yè)生產(chǎn)中發(fā)揮的作用越來越大，已成為衡量一個國家工業(yè)水平的重要指標.然而，工業(yè)控制系統(tǒng)的安全事故的發(fā)生，帶來的損失也非常巨大，工業(yè)安全事件信息庫（Repository of Security Incidents,RISI）統(tǒng)計數(shù)據(jù)表明：截止到2011年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的安全事件. 2010年伊朗“震網(wǎng)”病毒的爆發(fā)徹底將工業(yè)控制系統(tǒng)的安全問題暴露出來，引起廣泛的關(guān)注；我國的7.23甬溫線高鐵交通事故造成40人死亡、約200人受傷，直接經(jīng)濟損失達19371.65萬元[1].類似事件的時有發(fā)生，越來越引起人們對工業(yè)控制系統(tǒng)“可信”的重視.工業(yè)控制系統(tǒng)的可信程度與人們對工業(yè)控制系統(tǒng)的依賴性的矛盾顯得日益突出.本文以可信網(wǎng)絡(luò)和可信計算為理論基礎(chǔ)，針對工業(yè)控制系統(tǒng)的特點，提出可信工業(yè)控制網(wǎng)絡(luò)的概念并分析其相關(guān)屬性特點，隨后提出可信工業(yè)控制網(wǎng)絡(luò)的一種體系結(jié)構(gòu)模型并詳細分析其工作原理.

2 可信工業(yè)控制系統(tǒng)

2.1 可信系統(tǒng)

可信系統(tǒng)的概念提出已有一段歷史，然而國內(nèi)外對可信系統(tǒng)的研究才剛剛起步.在文獻[2]中林闖等人認為可信網(wǎng)絡(luò)(tru-networks)是網(wǎng)絡(luò)系統(tǒng)的行為及其結(jié)果是可預(yù)期的,能夠做到行為狀態(tài)可監(jiān)測，行為結(jié)果可評估，異常行為可控制.并指出可信網(wǎng)絡(luò)的主要特征是具有安全性、可生存性和可控性.對于可信系統(tǒng)而言，“可信”一詞不僅帶有安全的意義，更具有可生存和可控等豐富的技術(shù)內(nèi)涵.

2.2 工業(yè)控制系統(tǒng)

ICSs是包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（Supervisory Control And Data Acquisition,SCADA）、分布控制系統(tǒng)（Distributed Control Systems DCS）、可編程邏輯控制器（Programmable Logic Controller,PLC）、智能電子設(shè)備（Intelligent Electronic Device,IED）、遠程終端設(shè)備（Remote Terminal Unit,RTU）和確保各組件通信的接口技術(shù)等多種類型控制系統(tǒng)的總稱，是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集和監(jiān)測的過程控制組件，構(gòu)成確保工業(yè)技術(shù)設(shè)施自動化運行、過程控制和監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)，是國家關(guān)鍵基礎(chǔ)設(shè)施運行的“大腦”和“中樞”，已成為衡量一個國家工業(yè)水平的重要指標.它是大型的、復雜的系統(tǒng)，除了實現(xiàn)控制功能外，它往往還具有信息處理、管理、決策等功能.

2.3 可信工業(yè)控制系統(tǒng)

對于工業(yè)控制系統(tǒng)而言，從傳統(tǒng)的封閉獨立向現(xiàn)代開放的網(wǎng)絡(luò)化集成化轉(zhuǎn)變趨勢下，如何提供一致安全可靠的服務(wù)接口和體系結(jié)構(gòu);在系統(tǒng)組件的固有脆弱性、人為的操作或管理上的失誤和漏洞以及網(wǎng)絡(luò)遭受攻擊客觀存在的情況下,如何保障系統(tǒng)服務(wù)的可生存性;在保證系統(tǒng)實時高效傳輸數(shù)據(jù)的基礎(chǔ)上,如何提供強大監(jiān)控能力，并對異常情況及時的做出響應(yīng)和措施等，都是當前可信工業(yè)控制系統(tǒng)必須綜合考慮的重要問題.在傳統(tǒng)的工業(yè)控制系統(tǒng)安全屬性的基礎(chǔ)上引入“可信”的概念，使工業(yè)控制系統(tǒng)不僅具有安全的意義，更具有可控和可生存的屬性.因此，將其定義如下：可信工業(yè)控制系統(tǒng)是指在系統(tǒng)運行時間內(nèi)，在系統(tǒng)及組件存在固有的脆弱性，操控、管理不當以及遭受自然或人為的破壞、網(wǎng)絡(luò)攻擊等異常情況下，系統(tǒng)運行不中斷、依然能夠完成相應(yīng)功能或主要功能的系統(tǒng)，并且能夠做到系統(tǒng)狀態(tài)可監(jiān)視，出現(xiàn)異?？烧瓶兀袨榻Y(jié)果可估測.

3 可信工業(yè)控制系統(tǒng)的相關(guān)屬性

根據(jù)定義，可信工業(yè)控制系統(tǒng)應(yīng)具有安全性、可控性和可生存性三個屬性.從用戶的角度出發(fā)，可信的工業(yè)控制系統(tǒng)需要保障服務(wù)的安全性和可生存性，從設(shè)計的角度出發(fā)則需要提供系統(tǒng)的可控性.因此，三個屬性之間不是彼此分散、孤立的，而是相互聯(lián)系、密不可分的.

3.1 安全性

工業(yè)控制網(wǎng)絡(luò)是一個特殊網(wǎng)絡(luò)控制系統(tǒng)，整個網(wǎng)絡(luò)可分為處于管理層的通用以太網(wǎng)、處于監(jiān)控層的工業(yè)以太網(wǎng)以及處于執(zhí)行層的現(xiàn)場設(shè)備(如現(xiàn)場總線).管理層的安全性往往涉及的是信息的機密性和完整性問題，即保證正確的人訪問正確的信息、所有的信息是完整正確的，未被篡改、刪除和破壞.監(jiān)控層的安全性除了涉及設(shè)備和人員及操作安全外，最主要的是信息的實時性和有效性問題，即能夠?qū)崟r有效的進行監(jiān)視和控制，并對異常信息能夠立即響應(yīng)；執(zhí)行層的安全性主要涉及到設(shè)備的可靠性和可用性，即保證系統(tǒng)和設(shè)備的性能是可靠的，時時處于可用狀態(tài).

3.2 可生存性

可生存性指系統(tǒng)在遭受攻擊、故障或意外事故時依然能夠完成任務(wù)，并能在一定的時間內(nèi)修復被損壞的服務(wù)的能力[3].工業(yè)控制系統(tǒng)的可生存性要求系統(tǒng)在完成基本服務(wù)的同時仍然保持其數(shù)據(jù)完整性、機密性和可用性等其基本屬性.因此，可生存性要求系統(tǒng)設(shè)計使其具有自測試、自診斷、自修復和自組織等能力.當前，容錯、容侵和面向恢復的計算是提高系統(tǒng)服務(wù)可生存性的常用手段.

3.3 可控性

網(wǎng)絡(luò)的可控性是可信工業(yè)控制網(wǎng)絡(luò)在設(shè)計上的一個重要屬性.從可信的角度來說，筆者認為可信工業(yè)控制網(wǎng)絡(luò)的可控性是指系統(tǒng)在運行過程中，在出現(xiàn)未檢測到的或是突然的異常（如遭到自然的或惡意的破壞）情況下，系統(tǒng)具有某種機制可以對這種異常進行及時有效處理，使系統(tǒng)能夠恢復正?；蚴鞘箵p失降到最小.工業(yè)控制網(wǎng)絡(luò)發(fā)展至今，已成為一個龐大的非線性復雜系統(tǒng)，如何解決工業(yè)網(wǎng)絡(luò)的可控性，建立內(nèi)在的、關(guān)聯(lián)的安全可信的工業(yè)控制網(wǎng)絡(luò)可控模型，在理論和技術(shù)上仍是值得我們探索的一個難題.

4 一種可信工業(yè)控制網(wǎng)絡(luò)的體系結(jié)構(gòu)

通過以上對可信工業(yè)控網(wǎng)絡(luò)的三個基本屬性分析，結(jié)合文獻[4-8]中當前可行的可信關(guān)鍵技術(shù)如：訪問控制、認證、審計、內(nèi)容過濾等以及文獻[9、10]中的信任機制，構(gòu)建可信工業(yè)控制網(wǎng)絡(luò)的體系結(jié)構(gòu)模型如圖1：

圖1 可信工業(yè)控制網(wǎng)絡(luò)體系結(jié)構(gòu)

4.1 可信工業(yè)網(wǎng)絡(luò)的組成

可信工業(yè)控制網(wǎng)絡(luò)由內(nèi)部企業(yè)網(wǎng)絡(luò)（Enterprise Network,EN）、現(xiàn)場過程控制網(wǎng)絡(luò)（Process Control Network, PCN）以及處于兩者之間的隔離非軍事區(qū)（Demilitarized Zone,DMZ）[11]和AAA服務(wù)器等組成.

4.1.1 企業(yè)內(nèi)部網(wǎng)絡(luò)（Enterprise Network,EN）組成

（1）可信PC機：根據(jù)TCG[12]的規(guī)范，可信PC是在主板上嵌有可信構(gòu)建模塊(Trusted Building Blocks,TBB),即可信PC平臺的信任根,它由可信測量的根核(core root of trust for measurement,CRTM)和可信平臺模塊(trusted platform module,TPM)以及它們同主板之間的連接接口組成.

（2）可信網(wǎng)絡(luò)接入設(shè)備（Trust Network Access Device, TNAD）：所有的客戶端（Client）訪問網(wǎng)絡(luò)都要經(jīng)過TNAD. TNAD是帶有具有可信驗證功能的可信緩沖模塊的網(wǎng)絡(luò)連接設(shè)備,如：可信交換機、可信路由器、VPN集中器和可信無線接入點.

4.1.2 隔離非軍事區(qū)（Demilitarized Zone,DMZ）組成

（1）歷史數(shù)據(jù)服務(wù)器（Data Historian Server）：用于提供備份數(shù)據(jù)，主要功能是冗余和容錯，是系統(tǒng)可生存性的保障.

（2）可控制服務(wù)器(Controllability server)：提供緊急控制服務(wù)，當系統(tǒng)出現(xiàn)未知的或緊急異常，導致通常的控制失效時，可由此服務(wù)器提供緊急控制措施.

4.1.3 AAA服務(wù)器組成

（1）AAA服務(wù)器：即認證（Authentication）、授權(quán)（Authorization）、訪問控制（Access Control）服務(wù)器.驗證用戶是否可以獲得訪問權(quán)限，授權(quán)用戶可以使用哪些服務(wù)，記錄用戶使用網(wǎng)絡(luò)資源的情況.

（2）狀態(tài)認定/修復服務(wù)器（Posture Validation/Remediation Server）：對所有要接入網(wǎng)絡(luò)的終端設(shè)備進行狀態(tài)掃描，并修復狀態(tài)異常的設(shè)備.

（3）根服務(wù)器（Directory Server）：記錄每個設(shè)備或用戶的身份信息.

（4）審計服務(wù)器（Audit server）：記錄系統(tǒng)在工作過程中產(chǎn)生的大量日志和事件.

4.1.4 現(xiàn)場過程控制網(wǎng)絡(luò)（Process Control Network,PCN）組成

PCN主要由一些傳感器、執(zhí)行器和若干交換機以及一些低端控制設(shè)備組成，主要有：智能監(jiān)控單元（MTU）、遠程終端單元（RTUs）、智能電子設(shè)備（IEDs）、可編程邏輯控制器（PLCs）、操作控制臺或人機交互接口（HMIs）等.

4.2 可信工業(yè)控制網(wǎng)絡(luò)使用的相關(guān)協(xié)議

可信工業(yè)控制網(wǎng)絡(luò)可以使用現(xiàn)有的標準和協(xié)議，從技術(shù)上具有可行性，并可以減少構(gòu)建可信工業(yè)控制網(wǎng)絡(luò)的代價.除了使用TCP/IP協(xié)議通過防火墻與Internet通信外；內(nèi)部還可以使用IPSec協(xié)議來強化通訊的信息安全[13、14]，使用EAP和 802.1x協(xié)議進行身份認證[14-16]，使用HCAP（主機憑據(jù)授權(quán)協(xié)議）協(xié)議來規(guī)范認證通信[14、16]，AAA服務(wù)器和審計服務(wù)器之間可以使用GAME協(xié)議來進行通信[14、17].

4.3 可信工業(yè)控制網(wǎng)絡(luò)的工作原理

4.3.1 安全性機制

（1）用戶的登陸：

圖2 可信網(wǎng)絡(luò)用戶登陸流程圖

為了保證網(wǎng)絡(luò)的安全性，如圖2，用戶登錄時，利用基于角色的訪問控制技術(shù)確定用戶的身份和權(quán)限，如果登錄成功，帶有TBB模塊的主機開始初始化，檢測自身的硬件和軟件是否正常，并把狀態(tài)報告投遞給具有可信驗證功能的TNAD設(shè)備，如果狀態(tài)達標，則允許主機接入網(wǎng)絡(luò)，成為可信節(jié)點.TNAD設(shè)置有受信緩沖區(qū)，作為主機之間的數(shù)據(jù)緩沖池和安全帶.一來過濾數(shù)據(jù)內(nèi)容，發(fā)現(xiàn)并及時制止惡意網(wǎng)絡(luò)行為，二來可以減輕網(wǎng)絡(luò)數(shù)據(jù)傳輸壓力.

（2）可信節(jié)點之間的通信：

圖3 可信節(jié)點之間的通信

用戶在使用主機處理數(shù)據(jù)時，如圖3使用文獻[4]中的kerberos技術(shù)控制主機資源，防止用戶非法使用系統(tǒng)資源.用戶的數(shù)據(jù)操作由審計服務(wù)器進行記錄，實現(xiàn)不可抵賴性.主機之間的數(shù)據(jù)傳輸通過加密驗證，首先利用AAA服務(wù)器監(jiān)聽并檢測數(shù)據(jù)內(nèi)容，如果內(nèi)容非法，立刻終止該傳輸進程，并且由審計服務(wù)器記錄相應(yīng)事件到日志文件，同時通知網(wǎng)絡(luò)中心.離該節(jié)點最近節(jié)點首先根據(jù)登錄用戶權(quán)限設(shè)置二者信任值，然后利用文獻[18]的信任值傳播計算方法求得該節(jié)點和其它網(wǎng)絡(luò)節(jié)點之間信任值，并添加到網(wǎng)絡(luò)中的TNAD受信緩沖區(qū)，完成主機信任值初始化.

4.3.2 可生存性機制

DMZ的歷史數(shù)據(jù)服務(wù)器（data historian）保存記錄著網(wǎng)絡(luò)的重要歷史數(shù)據(jù)備份，當網(wǎng)絡(luò)出現(xiàn)異?；蚴窃獾焦魧е鹿收蠒r，可以啟用恢復機制，重新啟動系統(tǒng)，并從歷史數(shù)據(jù)服務(wù)器讀取備份，以恢復系統(tǒng)性能，進而實現(xiàn)系統(tǒng)的可生存性.

4.3.3 可控性機制

DMZ的可控制性服務(wù)器具有最高優(yōu)先級響應(yīng)權(quán)限，可以為用戶提供對系統(tǒng)的絕對控制服務(wù)接口.當系統(tǒng)出現(xiàn)未知的或緊急異常，導致通常的控制失效時，可由此服務(wù)器提供緊急控制措施.以避免危險的發(fā)生和惡化以及損失的擴大.

5 結(jié)論與展望

可信概念的提出已有一段歷史，可信計算技術(shù)的發(fā)展也有了較大的進步，可信技術(shù)在網(wǎng)絡(luò)上的應(yīng)用已成為國內(nèi)外眾多學者研究的熱點，然而將可信技術(shù)應(yīng)用到工業(yè)控制網(wǎng)絡(luò)方面的相關(guān)理論和文獻還比較少見.針對現(xiàn)有可信網(wǎng)絡(luò)研究成果進行分析，發(fā)現(xiàn)相對于互聯(lián)網(wǎng)，工業(yè)控制網(wǎng)絡(luò)的特點和約束條件更適合可信網(wǎng)絡(luò)理論的應(yīng)用和實現(xiàn).首先，工業(yè)控制網(wǎng)絡(luò)的硬件設(shè)施和拓撲結(jié)構(gòu)相對比較固定，其信任空間容易建立；其次，現(xiàn)有的安全協(xié)議和技術(shù)手段為可信工業(yè)控制網(wǎng)絡(luò)的構(gòu)建提供了可行性；更為主要的是，工業(yè)控制網(wǎng)絡(luò)對可信要求尤其迫切，具有很大的實際意義和應(yīng)用價值.本文以可信網(wǎng)絡(luò)和可信計算為理論基礎(chǔ)，針對工業(yè)控制系統(tǒng)的特點，提出了可行的可信工業(yè)控制網(wǎng)絡(luò)的概念，并對其相關(guān)屬性進行了詳細分析，然后在此基礎(chǔ)上提出了可信工業(yè)控制網(wǎng)絡(luò)的一種體系結(jié)構(gòu)，并描述了其工作原理.目前，可信工業(yè)控制網(wǎng)絡(luò)技術(shù)的研究與發(fā)展在我國還處于初級階段，面對的技術(shù)和理論難題還很多.我們將在后續(xù)的研究中就可信工業(yè)控制網(wǎng)絡(luò)的可控性和可信度量等方面進行深入研究.希望通過本文，能夠引起國內(nèi)對這一領(lǐng)域的關(guān)注，為我國可信工業(yè)控制網(wǎng)絡(luò)技術(shù)的研究與發(fā)展做出貢獻.

〔1〕http://baike.baidu.com/view/6171322.htm.

〔2〕林闖，彭雪海.可信網(wǎng)絡(luò)研究[J].計算機學報,2005，28(5)：751-757.

〔3〕周森鑫，韓江洪，唐吳.半Markov可信工業(yè)控制以太網(wǎng)研究[J].計算機應(yīng)用研究,2010，27(3)：1047-1051.

〔4〕劉宏月,范九倫,馬建峰.訪問控制技術(shù)研究進展[J].小型微型計算機系統(tǒng),2004,25(1):56-59.

〔5〕Andrew S Tanenbaum.計算機網(wǎng)絡(luò)[M].第3版.北京:清華大學出版社,2001.

〔6〕Robert R.Moeller.Computer Audit,Control and Security.New York:W iley,1989.

〔7〕何靜,劉海燕,張惠民.基于文本的內(nèi)容過濾算法的比較[J].計算機工程,2002,28(11):9-10.

〔8〕劉劍波,王能,沈捷.VPN網(wǎng)關(guān)的設(shè)計和實現(xiàn)[J].計算機工程,2004,30(3):130-132.

〔9〕D ING L,KOLAR I P,GANJUGUNTE S,et al. Modeling and evalua2ting trust network inference:p roc.of the 7th InternationalWorkshopon Trust in Agent Societies at AAMAS[C].[S.l.]:[s.n.],2004:21232.

〔10〕沈昌祥,張煥國,馮登國,等.信息安全綜述,中國科學E輯:信息科學,2007.37(2)：129-150.

〔11〕K.Stouffer,J.Falco,K.Scarfone,N IST guide to industrial control systems(ICS)Security,Second Public Draft,in: NIST Special Publication 800-82,NIST,2007.

〔12〕Trusted Computing Group.TCG Specification Architecture Overview [EB/OL].[2005-03-01].https:// www.trustedcomputinggroup.org.

〔13〕Cisco NAC Appliance-Clean Access Manager Installation and Configuration Guide,Release 4.1(2),Cisco Systems,Inc,2007.

〔14〕Network Adm ission Control (NAC), Technical Overview,Cisco Systems,Inc,2005.

〔15〕Cisco TrustSec:Enabling Sw itch Security Services, W hite Paper,Cisco Systems,Inc,December 2007.

〔16〕Implementing Network Adm ission Control Phase One Configuration and Deployment,Version 1.1,Cisco Systems,Inc,2005.

〔17〕D.D.Capite,Self-Defending Networks:The Next Generation of Network Security,Cisco Press,2006.

〔18〕張京循,金妍.基于對等網(wǎng)絡(luò)的信任模型[J].濟南大學學報(自然科學版),2002,16(4):343-345.

TP13；TP393

A

1673-260X（2014）02-0003-03

安徽省高等學校自然科學研究重大項目（2009ZD009）