基于信息物理系統(tǒng)(CPS)安全及解決方案的分析

張文婷

(山西大學(xué) 自動(dòng)化系，山西 太原 030000)

0 引 言

在傳統(tǒng)的關(guān)于計(jì)算系統(tǒng)和物理系統(tǒng)的概念中，信息系統(tǒng)和物理世界是分開的，所以在各領(lǐng)域中信息基礎(chǔ)設(shè)施的建設(shè)與物理世界的基礎(chǔ)設(shè)施建設(shè)是分隔開的。近年來(lái)，隨著自動(dòng)化控制、網(wǎng)絡(luò)通信與嵌入式系統(tǒng)等技術(shù)的不斷發(fā)展與融合，人們對(duì)信息技術(shù)提出了更為嚴(yán)格的要求，人類賴以生存的世界正朝著網(wǎng)絡(luò)化、信息化和智能化的方向發(fā)展，在這樣的背景環(huán)境下，促使了信息物理系統(tǒng)的提出和發(fā)展。

信息物理系統(tǒng)是一個(gè)利用現(xiàn)代傳感器、計(jì)算和網(wǎng)絡(luò)技術(shù)有效集成網(wǎng)絡(luò)和物理組件的系統(tǒng)。就是將信息技術(shù)融入到物理系統(tǒng)中從而提高物理系統(tǒng)的原有功能，并且增加原有系統(tǒng)不能通過其他途徑獲得的特點(diǎn)。CPS在航空航天、交通系統(tǒng)、智能電網(wǎng)、工業(yè)生產(chǎn)以及遠(yuǎn)程醫(yī)療等領(lǐng)域具有廣泛的應(yīng)用前景[1-3]。CPS的廣泛采用與德國(guó)“工業(yè)4.0”的概念有關(guān)，它構(gòu)成了技術(shù)與知識(shí)相結(jié)合的過程，在沒有人類參與的情況下提供了自主性、可靠性、系統(tǒng)性和控制性。CPS的主要技術(shù)趨勢(shì)包括物聯(lián)網(wǎng)、大數(shù)據(jù)、智能技術(shù)、云計(jì)算等。

信息物理系統(tǒng)是新興的科技領(lǐng)域，其一出現(xiàn)就得到全世界的廣泛關(guān)注，各個(gè)國(guó)家都試圖從中得到其核心競(jìng)爭(zhēng)力。例如，德國(guó)政府根據(jù)其提出的“工業(yè)4.0”戰(zhàn)略，通過打造由智能化的機(jī)械、存儲(chǔ)系統(tǒng)和生產(chǎn)手段構(gòu)成并應(yīng)用于智能工廠的“網(wǎng)絡(luò)物理融合生產(chǎn)系統(tǒng)”，使德國(guó)成為新一代工業(yè)技術(shù)的供應(yīng)國(guó)和主導(dǎo)市場(chǎng)的核心力量，進(jìn)一步提升全球競(jìng)爭(zhēng)力[4]。中國(guó)政府也高度重視網(wǎng)絡(luò)化系統(tǒng)的重要性，國(guó)務(wù)院2015年發(fā)布的《中國(guó)制造2025》規(guī)劃中多次提到網(wǎng)絡(luò)系統(tǒng)的建設(shè)，特別要求“針對(duì)信息物理系統(tǒng)網(wǎng)絡(luò)研發(fā)及應(yīng)用需求，組織開發(fā)智能控制系統(tǒng)、工業(yè)應(yīng)用軟件、故障診斷軟件和相關(guān)工具、傳感和通信系統(tǒng)協(xié)議，實(shí)現(xiàn)人、設(shè)備與產(chǎn)品的實(shí)時(shí)聯(lián)通、精確識(shí)別、有效交互與智能控制”[5]。

系統(tǒng)的安全問題是CPS面向?qū)嶋H應(yīng)用的關(guān)鍵性新問題。在CPS中，信息技術(shù)與物理世界的深度融合帶來(lái)了很重要的技術(shù)優(yōu)勢(shì)，但是CPS系統(tǒng)是以網(wǎng)絡(luò)作為核心承載，所以系統(tǒng)的網(wǎng)絡(luò)規(guī)模的增長(zhǎng)和分布式的信息處理環(huán)境使得CPS系統(tǒng)非常容易受到網(wǎng)絡(luò)攻擊，從而對(duì)系統(tǒng)進(jìn)行肆意的破壞，造成不可估量的損失。因此，CPS系統(tǒng)安全面臨著非常嚴(yán)峻復(fù)雜的挑戰(zhàn)，其重要性與傳統(tǒng)信息安全相比有過之而無(wú)不及，急需越來(lái)越多研究者的關(guān)注和努力。

1 信息物理系統(tǒng)

1.1 CPS的核心概念

CPS是以外界環(huán)境感知為基礎(chǔ)，融合計(jì)算、通信和控制能力的可控、可信、可擴(kuò)展的網(wǎng)絡(luò)化物理設(shè)備系統(tǒng)，它通過計(jì)算進(jìn)程與物理進(jìn)程的彼此影響實(shí)時(shí)反饋循環(huán)，使信息世界與物理世界深度融合且實(shí)時(shí)交互。其中，通信網(wǎng)絡(luò)子系統(tǒng)包括傳感器網(wǎng)絡(luò)，用以感知收集數(shù)據(jù)、泛在通信網(wǎng)絡(luò)，用于完成傳輸和通信功能；計(jì)算子系統(tǒng)完成對(duì)各類數(shù)據(jù)的分析、存儲(chǔ)和處理；控制子系統(tǒng)通過通信和計(jì)算子系統(tǒng)提供的信息來(lái)確定對(duì)物理世界的控制策略，從而協(xié)調(diào)各個(gè)執(zhí)行器，實(shí)現(xiàn)對(duì)物理世界的操作和控制，使虛擬世界與實(shí)際物理世界互聯(lián)協(xié)同發(fā)展。因此，CPS是一類“系統(tǒng)的系統(tǒng)”。具體如圖1所示。

圖1 CPS概念示意圖

1.2 CPS的技術(shù)背景

·是基于嵌入式處理器的設(shè)備，增加了用于數(shù)據(jù)存儲(chǔ)的存儲(chǔ)器的記憶功能。

·CPS控制算法的質(zhì)量會(huì)影響其復(fù)雜性和可靠性，這增加了計(jì)算工作量的強(qiáng)度。

·響應(yīng)時(shí)間表征反饋延遲，反饋延遲越多，對(duì)象的質(zhì)量控制越差。

·大型系統(tǒng)中不同技術(shù)趨勢(shì)的結(jié)合：物聯(lián)網(wǎng)，智能環(huán)境等。

·隨著信息量的增長(zhǎng)，有必要轉(zhuǎn)移部分CPS控制由人來(lái)操控[6]。

1.3 CPS的獨(dú)特功能

·嵌入式和移動(dòng)感應(yīng)。

·傳感器源和數(shù)據(jù)流。

·網(wǎng)絡(luò)和物理組件的相互作用[7]。

·培訓(xùn)和適應(yīng)能力。

·通過互聯(lián)網(wǎng)的互操作性(如物聯(lián)網(wǎng))。

·通過集中自動(dòng)控制確保系統(tǒng)(如ATM和POS)的可靠運(yùn)行。

·存在一個(gè)共同的網(wǎng)絡(luò)空間，以密碼系統(tǒng)，防火墻，防病毒等形式提供系統(tǒng)內(nèi)部和環(huán)境的交換，以及信息安全[8]。

·在某些情況下，操作必須可靠且經(jīng)過認(rèn)證。

·通過自動(dòng)智能控制確保系統(tǒng)的穩(wěn)健性。

·人在循環(huán)內(nèi)外。

2 信息物理系統(tǒng)架構(gòu)

信息物理系統(tǒng)架構(gòu)如圖2所示。

圖2 信息物理系統(tǒng)三層體系結(jié)構(gòu)

2.1 物理層

物理層為CPS架構(gòu)奠定了基礎(chǔ)。物理層由傳感器、執(zhí)行器組成，它們通過無(wú)線或有線網(wǎng)絡(luò)相互連接。例如，2G/3G/4G，WiFi，ZigBee，藍(lán)牙，WiMAX，RFID閱讀器和標(biāo)簽以及有線技術(shù)等，主要負(fù)責(zé)感知獲取外界物理環(huán)境的數(shù)據(jù)以及執(zhí)行系統(tǒng)的控制命令。通過分布在外界物理設(shè)備中的嵌入式傳感器以及執(zhí)行器與外部環(huán)境進(jìn)行交互，對(duì)物質(zhì)屬性、環(huán)境狀態(tài)等開展大規(guī)模的分布式數(shù)據(jù)獲取與狀態(tài)辨識(shí)，且通過數(shù)據(jù)通信層獲得上層數(shù)據(jù)的處理結(jié)果，再反饋至執(zhí)行器，根據(jù)控制命令進(jìn)行操作，以適應(yīng)系統(tǒng)與物理環(huán)境的變化。收集的數(shù)據(jù)可以包括聲音、光學(xué)、力學(xué)、化學(xué)、熱學(xué)，電，生物學(xué)或位置等，傳感器可以在廣域網(wǎng)和本地網(wǎng)域中通過節(jié)點(diǎn)協(xié)作生成實(shí)時(shí)數(shù)據(jù)，在控制層進(jìn)行匯總和分析，傳感器根據(jù)其類型可以匯總與溫度、加速度、濕度、振動(dòng)、位置或空氣化學(xué)變化相關(guān)的信息[9]。

2.2 傳輸層

數(shù)據(jù)傳輸層由若干的通信基站和網(wǎng)絡(luò)節(jié)點(diǎn)組成，主要負(fù)責(zé)將從物理層感知的原始數(shù)據(jù)傳送至信息中心，主要通過互聯(lián)網(wǎng)、局域網(wǎng)、專網(wǎng)、通信網(wǎng)等現(xiàn)有網(wǎng)絡(luò)對(duì)數(shù)據(jù)進(jìn)行傳輸，實(shí)現(xiàn)數(shù)據(jù)之間的交互。同時(shí)數(shù)據(jù)傳輸層還需具有對(duì)海量信息進(jìn)行智能處理和安全高效管理的能力。

2.3 應(yīng)用層

應(yīng)用控制層是信息物理系統(tǒng)交互的核心部分。該層存儲(chǔ)、分析和更新從先前層接收的信息，通過在聚合數(shù)據(jù)上實(shí)施復(fù)雜的決策算法來(lái)生成正確的決策，對(duì)信息進(jìn)行抽象處理，再經(jīng)過預(yù)設(shè)規(guī)則和高層控制語(yǔ)義規(guī)范的判斷，確定要調(diào)用的所需自動(dòng)化操作，生成執(zhí)行控制命令，將生成的執(zhí)行控制命令通過傳輸層反饋至物理層中的底層物理單元，由執(zhí)行器進(jìn)行相關(guān)操作。應(yīng)用控制層也使信息物理系統(tǒng)與行業(yè)專業(yè)領(lǐng)域相結(jié)合，從而實(shí)現(xiàn)廣泛化智能化的應(yīng)用解決方案，如智能交通、智能電網(wǎng)和工業(yè)控制等。

3 信息物理系統(tǒng)的安全問題

一般來(lái)說，CPS的安全性分為信息(數(shù)據(jù))安全和控制安全兩個(gè)方面。信息安全是指在網(wǎng)絡(luò)環(huán)境下，尤其是開放的松散耦合網(wǎng)絡(luò)中，在數(shù)據(jù)聚集、處理和大規(guī)模共享過程中對(duì)信息的安全保護(hù)?？刂瓢踩园ń鉀Q網(wǎng)絡(luò)環(huán)境中的任何控制問題，以及減輕對(duì)系統(tǒng)估計(jì)和控制算法的任何攻擊。信息安全側(cè)重于數(shù)據(jù)保護(hù)，例如使用加密技術(shù)，而控制安全則側(cè)重于保護(hù)控制系統(tǒng)的動(dòng)態(tài)免受網(wǎng)絡(luò)攻擊[10]。

3.1 CPS中的重要安全因素

(1)保護(hù)對(duì)設(shè)備的訪問。

保護(hù)對(duì)設(shè)備的訪問是安全問題的第一個(gè)挑戰(zhàn)。如果身份驗(yàn)證不受支持或支持不當(dāng)，未經(jīng)授權(quán)的對(duì)象將獲得訪問和操作系統(tǒng)的權(quán)利。

(2)保護(hù)數(shù)據(jù)傳輸。

為了檢測(cè)CPS通信網(wǎng)絡(luò)中的冒充者和惡意活動(dòng)，并阻止未經(jīng)授權(quán)訪問的進(jìn)行，需要保證數(shù)據(jù)傳輸?shù)陌踩?。例如，攻擊者試圖攔截系統(tǒng)功耗的物理特性和定時(shí)行為，以分析正在發(fā)送和接收的數(shù)據(jù)，一些攻擊者通過發(fā)起拒絕服務(wù)攻擊或中斷路由拓?fù)鋪?lái)破壞網(wǎng)絡(luò)。

有些終端設(shè)備不是一個(gè)完整的計(jì)算機(jī)系統(tǒng)，沒有很強(qiáng)的數(shù)據(jù)處理和通信能力，也沒有足夠的存儲(chǔ)能力，使得這些設(shè)備更容易被滲透。在工業(yè)控制系統(tǒng)終端，依賴于開放網(wǎng)絡(luò)標(biāo)準(zhǔn)的連通性有助于提高系統(tǒng)性能和降低運(yùn)營(yíng)成本。雖然這樣的終端會(huì)帶來(lái)更高效的操作，但它們會(huì)使系統(tǒng)面臨更高的入侵和惡意攻擊的可能性，例如惡意代碼、分布式拒絕服務(wù)、竊聽和未經(jīng)授權(quán)的訪問。另一個(gè)直接導(dǎo)致漏洞的因素是，設(shè)計(jì)過程總是受到處理時(shí)間即速度、硬件資源和功耗的限制。此外，嵌入式系統(tǒng)是由在安全問題上經(jīng)驗(yàn)有限的專家設(shè)計(jì)的，他們更注重功能、錯(cuò)誤更正和性能，而不是安全性[11]。這反過來(lái)又會(huì)導(dǎo)致系統(tǒng)中的漏洞，這些漏洞可能會(huì)將安全信息泄漏給未經(jīng)授權(quán)或不想要的用戶。

(3)保護(hù)應(yīng)用程序。

應(yīng)用層結(jié)合了不同的應(yīng)用程序和安全挑戰(zhàn)。在此，攻擊者可以對(duì)用戶的私有信息進(jìn)行分析，從而導(dǎo)致隱私數(shù)據(jù)的泄露和隱私的丟失。由于這些數(shù)據(jù)可能包含用戶訪問過的過去和現(xiàn)在的位置，因此在這一層中有關(guān)于數(shù)據(jù)保護(hù)的一些技術(shù)，包括位置偽裝、匿名空間或空間加密。

(4)保護(hù)數(shù)據(jù)存儲(chǔ)。

保護(hù)CPS設(shè)備中存儲(chǔ)的秘密數(shù)據(jù)是非常重要的。大多數(shù)CPS設(shè)備，如傳感器，都是微小的無(wú)線連接的和資源受限的節(jié)點(diǎn)。雖然各種基于軟件的解決方案，通過使用加密技術(shù)對(duì)這些設(shè)備中的數(shù)據(jù)進(jìn)行加密，但由于這些設(shè)備的內(nèi)存限制和處理能力薄弱，它們是不夠的。

(5)保護(hù)執(zhí)行器。

執(zhí)行安全性是指任何驅(qū)動(dòng)動(dòng)作必須從授權(quán)來(lái)源發(fā)出。這將確保所提供的反饋和控制命令是正確的。

3.2 對(duì)CPS的攻擊

對(duì)CPS的攻擊可能會(huì)對(duì)物理環(huán)境造成嚴(yán)重破壞，CPS的每一層都容易受到被動(dòng)或主動(dòng)攻擊。本節(jié)根據(jù)攻擊目標(biāo)所處的層次，分別對(duì)物理層、傳輸層和應(yīng)用層所面臨的攻擊展開討論。

3.2.1 物理層面臨的攻擊

物理層由終端設(shè)備組成，如RFID中的標(biāo)簽和傳感器，這些設(shè)備大多位于室外環(huán)境中，容易造成物理攻擊，例如篡改設(shè)備的組件或替換設(shè)備。物理層的常見攻擊包括設(shè)備故障、線路故障、電磁干擾、感知數(shù)據(jù)損壞、差分功率分析，信息披露，信息跟蹤，篡改，感知信息泄漏，物理破壞和能量耗盡攻擊。攻擊方法包括：直接在物理設(shè)備上進(jìn)行損壞；迫使物理系統(tǒng)在指定的頻率附近產(chǎn)生諧振；散布虛假時(shí)鐘消息，破壞系統(tǒng)內(nèi)部各個(gè)單元間的協(xié)同工作；用注入惡意代碼等節(jié)點(diǎn)控制的方式掌握物理設(shè)備內(nèi)存儲(chǔ)的隱私數(shù)據(jù)和對(duì)話密鑰，從而對(duì)該節(jié)點(diǎn)的傳輸消息進(jìn)行竊聽、監(jiān)測(cè)、流量分析等被動(dòng)攻擊或篡改、偽造等主動(dòng)攻擊，并以捕獲的節(jié)點(diǎn)為跳板進(jìn)一步攻擊其他節(jié)點(diǎn)[12]。這些攻擊的常見形式有：

節(jié)點(diǎn)捕獲：接管節(jié)點(diǎn)，獲取和泄漏可能涉及加密密鑰的信息，然后使用加密密鑰威脅整個(gè)系統(tǒng)的安全，這種攻擊的目標(biāo)是機(jī)密性、可用性、完整性和真實(shí)性。

虛假節(jié)點(diǎn)：向網(wǎng)絡(luò)中添加另一個(gè)節(jié)點(diǎn)，通過發(fā)送惡意數(shù)據(jù)攻擊數(shù)據(jù)完整性，這反過來(lái)又會(huì)消耗系統(tǒng)中節(jié)點(diǎn)的能量，從而導(dǎo)致拒絕服務(wù)攻擊。

節(jié)點(diǎn)中斷：停止節(jié)點(diǎn)服務(wù)，從而很難從這些節(jié)點(diǎn)讀取和收集信息，并發(fā)起各種其他影響可用性和完整性的攻擊。

基于路徑的拒絕服務(wù)：沿路由路徑向基站發(fā)送大量數(shù)據(jù)包，淹沒數(shù)據(jù)包，導(dǎo)致節(jié)點(diǎn)電池耗盡，網(wǎng)絡(luò)中斷，從而降低節(jié)點(diǎn)的可用性。

共振：強(qiáng)迫受損的傳感器或控制器以不同的諧振頻率工作。

3.2.2 傳輸層面臨的攻擊

對(duì)這一層的攻擊是在信息傳輸期間以數(shù)據(jù)泄漏的形式進(jìn)行的，這是由于傳輸媒體的開放性，特別是在無(wú)線通信中。這類攻擊通過無(wú)線電接口捕獲傳輸?shù)南?，冒充合法用戶，?duì)其進(jìn)行修改和重傳，或在異構(gòu)網(wǎng)絡(luò)之間交換信息。此外，一些其他因素，如大量網(wǎng)絡(luò)節(jié)點(diǎn)之間的遠(yuǎn)程訪問機(jī)制，可能導(dǎo)致交通阻塞，也會(huì)增加受到攻擊的可能性[13]。這一層常見的攻擊包括流量分析、篡改、耗盡、碰撞、黑洞、洪水、陷阱門、下沉節(jié)點(diǎn)、誤導(dǎo)性天坑、蟲洞、錯(cuò)誤路徑選擇、隧道、非法進(jìn)入等，通過手段影響網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)之間的正常通信。以下是傳輸層常見的攻擊形式：

路由：創(chuàng)建可能導(dǎo)致抵抗網(wǎng)絡(luò)傳輸、增加傳輸延遲或擴(kuò)展源路徑的路由循環(huán)。

蟲洞：通過宣布所有數(shù)據(jù)包路由的錯(cuò)誤路徑在網(wǎng)絡(luò)中建立信息漏洞。

干擾：干擾傳感器節(jié)點(diǎn)和遠(yuǎn)程基站之間的無(wú)線信道，以引入噪音或同頻率的信號(hào)。這種攻擊會(huì)造成有意的網(wǎng)絡(luò)干擾，從而導(dǎo)致拒絕服務(wù)。

選擇性轉(zhuǎn)發(fā)：使一個(gè)受損的節(jié)點(diǎn)丟棄且丟棄數(shù)據(jù)包，并轉(zhuǎn)發(fā)選定的數(shù)據(jù)包。在某些情況下，受損節(jié)點(diǎn)停止將數(shù)據(jù)包轉(zhuǎn)發(fā)到預(yù)定的目的地，或者只轉(zhuǎn)發(fā)選定的消息并丟棄所有其他數(shù)據(jù)包，而此節(jié)點(diǎn)被認(rèn)為是合法的。

3.2.3 應(yīng)用層面臨的攻擊

由于這一層收集了大量的用戶信息，這里的攻擊會(huì)導(dǎo)致數(shù)據(jù)損壞、隱私丟失以及對(duì)設(shè)備未經(jīng)授權(quán)的訪問，應(yīng)用層的常見攻擊包括用戶隱私泄漏、未經(jīng)授權(quán)訪問、惡意代碼、數(shù)據(jù)庫(kù)和控制命令偽造攻擊[14]。應(yīng)用層在對(duì)大量用戶數(shù)據(jù)進(jìn)行挖掘以改善服務(wù)時(shí)，就會(huì)導(dǎo)致用戶的個(gè)人隱私面臨著巨大威脅，用戶的個(gè)人隱私很有可能由于不安全的數(shù)據(jù)傳輸和存儲(chǔ)而被泄露。此外，應(yīng)用層也可能遭受非授權(quán)訪問攻擊，包括未認(rèn)證用戶假冒已認(rèn)證用戶進(jìn)入網(wǎng)絡(luò)和已認(rèn)證用戶擅自擴(kuò)大自己的權(quán)限等訪問攻擊。這一層的常見攻擊例子包括：

緩沖區(qū)溢出：利用軟件中任何導(dǎo)致緩沖區(qū)溢出情況發(fā)生的漏洞，并利用此漏洞發(fā)起攻擊。

惡意代碼：通過啟動(dòng)各種惡意代碼(如病毒和蠕蟲)攻擊用戶應(yīng)用程序，并導(dǎo)致網(wǎng)絡(luò)減速或造成損壞。

3.3 CPS安全分析

CPS中的安全挑戰(zhàn)可分為兩大類：(1)與實(shí)現(xiàn)所需功能相關(guān)的異構(gòu)技術(shù)帶來(lái)的挑戰(zhàn)；(2)應(yīng)用安全功能所帶來(lái)的挑戰(zhàn)。由于CPS與Internet的廣泛連接，CPS的安全體系結(jié)構(gòu)將包括因特網(wǎng)、無(wú)線傳感器網(wǎng)絡(luò)和移動(dòng)通信網(wǎng)絡(luò)中的所有安全問題。CPS沒有像傳統(tǒng)IT那樣具有統(tǒng)一的執(zhí)行或計(jì)算處理能力以達(dá)到高安全性的要求，因此，基于動(dòng)態(tài)變化的環(huán)境采用任何統(tǒng)一的安全機(jī)制都是很有挑戰(zhàn)性的。

目前提出的大多數(shù)安全解決方案都試圖在每個(gè)層解決不同的安全問題，雖然這種辦法可能有助于確保系統(tǒng)所需部分的安全，但風(fēng)險(xiǎn)可能來(lái)自該系統(tǒng)的其他部分。為了克服這一問題，CPS的安全體系結(jié)構(gòu)用于通過從底層到頂層的所有層(如信息收集、傳輸和處理)來(lái)保護(hù)安全性。在接下來(lái)的內(nèi)容中，對(duì)CPS的每一層的安全需求進(jìn)行了自下而上的分析，因?yàn)樵诿恳粚佣加性S多安全問題需要考慮，且從多層結(jié)合的角度分析系統(tǒng)的安全性能，以保護(hù)這些系統(tǒng)免受攻擊。

3.3.1 物理層的安全性分析

這一層的主要目標(biāo)是對(duì)象感知、識(shí)別和數(shù)據(jù)收集，但是，連接設(shè)備的數(shù)量會(huì)導(dǎo)致額外的安全漏洞，保護(hù)這些裝置和防止任何的信息泄露是非常重要的。添加室外環(huán)境中的設(shè)備也可以被攻擊者利用，以泄露信息或分析系統(tǒng)情況，從而導(dǎo)致物理攻擊，例如篡改設(shè)備組件或用另一設(shè)備替換原有設(shè)備，因此，添加任何新設(shè)備都是一個(gè)需要考慮的重要問題。

許多物理層設(shè)備缺乏身份驗(yàn)證支持，這反過來(lái)又允許未經(jīng)授權(quán)的訪問，并公開私有信息或安裝可能危害系統(tǒng)的惡意程序，然而由于許多原因，將身份驗(yàn)證應(yīng)用于此類設(shè)備是非常困難的，在這一層實(shí)現(xiàn)身份驗(yàn)證的合適機(jī)制是加密。然而，在某些情況下，由于受約束設(shè)備的資源有限，無(wú)法實(shí)現(xiàn)足夠的加密功能。

總之，身份驗(yàn)證和訪問控制進(jìn)程將阻止來(lái)自無(wú)效節(jié)點(diǎn)的訪問，且防止物理攻擊，在數(shù)據(jù)傳輸過程中，數(shù)據(jù)加密將保護(hù)數(shù)據(jù)的機(jī)密性以及保證私有數(shù)據(jù)不被泄露。

3.3.2 傳輸層的安全性分析

雖然網(wǎng)絡(luò)在連接設(shè)備和為用戶提供便捷方面得到了廣泛的應(yīng)用，但它們暴露了各種各樣的安全問題，很容易受到攻擊者的攻擊或竊聽。例如，無(wú)線可訪問性為用戶提供了極大的便利，但攻擊者卻也可以與網(wǎng)絡(luò)進(jìn)行交互，造成一些損害或竊取有價(jià)值的信息[15]。CPS通信不同于Internet中僅限于機(jī)器到人的通信，它引入了機(jī)器與機(jī)器之間的通信。由于設(shè)備連接之間缺乏兼容性，機(jī)器對(duì)機(jī)器的數(shù)據(jù)傳輸帶來(lái)了安全問題。這些安全問題無(wú)法使用當(dāng)前的網(wǎng)絡(luò)協(xié)議來(lái)解決，這些協(xié)議主要是為Internet設(shè)計(jì)的，雖然這些協(xié)議仍然提供了一些保護(hù)機(jī)制，但它們并不是最佳的解決方案。

為了保護(hù)網(wǎng)絡(luò)中的設(shè)備以及網(wǎng)絡(luò)本身，設(shè)備應(yīng)該能夠檢測(cè)出任何可能影響系統(tǒng)安全性的異常行為或情況，這需要在設(shè)備端安裝具有穩(wěn)定的傳輸協(xié)議以及入侵檢測(cè)功能的軟件。傳輸層的安全性可分為兩類，第一類來(lái)自連接設(shè)備，第二類來(lái)自相關(guān)技術(shù)，以及在實(shí)現(xiàn)過程中所設(shè)計(jì)的相關(guān)協(xié)議的缺陷。

3.3.3 應(yīng)用層的安全性分析

該層包含許多應(yīng)用程序，每個(gè)應(yīng)用程序自身的漏洞可能會(huì)影響CPS安全性，此層可能包含不同的應(yīng)用，如智能家居和智能城市中的服務(wù)和工業(yè)監(jiān)控。主要的安全問題是此設(shè)計(jì)導(dǎo)致的漏洞可被攻擊者用來(lái)攻擊系統(tǒng)，可以啟動(dòng)惡意代碼或軟件以影響系統(tǒng)安全性。另外一個(gè)安全問題可能是各種技術(shù)集成的結(jié)果，這些技術(shù)可能會(huì)阻礙數(shù)據(jù)處理，從而在系統(tǒng)中造成瓶頸。這些安全問題會(huì)影響系統(tǒng)的可用性和可靠性。

應(yīng)用層的安全性包括信息訪問、用戶身份驗(yàn)證、信息隱私和平臺(tái)穩(wěn)定性。每個(gè)應(yīng)用程序都有自己的安全需求，而且由于被實(shí)時(shí)監(jiān)視和控制的系統(tǒng)應(yīng)用越來(lái)越廣泛，對(duì)提供這類需求的要求也在增加。事實(shí)上，需要考慮的復(fù)雜安全問題的數(shù)量取決于應(yīng)用程序的類型，所以，如果不考慮系統(tǒng)的底層執(zhí)行操作，就很難設(shè)計(jì)出彼此完全信任的應(yīng)用程序。另一個(gè)問題是，不同的行業(yè)標(biāo)準(zhǔn)有不同的CPS應(yīng)用程序，目前，還沒有全球標(biāo)準(zhǔn)規(guī)范的CPS應(yīng)用程序的交互和開發(fā)，這就加劇了安全性的不足，意味著不同的應(yīng)用程序環(huán)境需要不同的安全需求。

在設(shè)計(jì)CPS應(yīng)用程序時(shí)，需要考慮許多安全問題，包括：針對(duì)各種應(yīng)用程序的不同身份驗(yàn)證機(jī)制，使得在保證身份驗(yàn)證時(shí)的集成非常復(fù)雜；大量連接的設(shè)備和共享的數(shù)據(jù)導(dǎo)致大量的應(yīng)用程序開銷。

4 信息物理系統(tǒng)的安全解決方案

4.1 物理層安全措施

CPS物理層主要涉及各節(jié)點(diǎn)基礎(chǔ)設(shè)施的物理安全、感知數(shù)據(jù)的采集以及控制命令的執(zhí)行。需要保障傳感器、執(zhí)行器、RFID裝置、圖像捕捉裝置等設(shè)備的安全，是信息物理系統(tǒng)安全的基礎(chǔ)。以下是針對(duì)物理層安全威脅的一些安全措施：

(1)對(duì)節(jié)點(diǎn)的身份進(jìn)行適當(dāng)?shù)墓芾砗捅Ｗo(hù)。這可以在一定程度上延長(zhǎng)節(jié)點(diǎn)的認(rèn)證時(shí)間，在實(shí)際應(yīng)用中可以權(quán)衡系統(tǒng)的安全性和效率，制定較為平衡的節(jié)點(diǎn)認(rèn)證策略。

(2)通過生物識(shí)別和近場(chǎng)通信等技術(shù)，更好地保護(hù)節(jié)點(diǎn)感知數(shù)據(jù)的安全性。

(3)加強(qiáng)立法，對(duì)利用CPS威脅用戶或者系統(tǒng)安全的行為建立法規(guī)，明確違法行為及其需承擔(dān)的后果。

(4)對(duì)密碼與密鑰技術(shù)、隱私保護(hù)技術(shù)、安全路由技術(shù)、安全數(shù)據(jù)融合技術(shù)和安全定位技術(shù)等進(jìn)行深入研究。

4.2 傳輸層安全措施

數(shù)據(jù)傳輸層的安全措施主要是為了確保系統(tǒng)的通信數(shù)據(jù)安全，包括數(shù)據(jù)的完整性、機(jī)密性和一致性等。數(shù)據(jù)傳輸層的安全機(jī)制可綜合利用點(diǎn)到點(diǎn)的加密機(jī)制和端到端的加密機(jī)制。

(1)點(diǎn)對(duì)點(diǎn)加密機(jī)制保證數(shù)據(jù)在傳輸過程中的安全性，但由于每個(gè)節(jié)點(diǎn)都可以得到明文數(shù)據(jù)，因此對(duì)節(jié)點(diǎn)的可信度要求較高，安全機(jī)制包括節(jié)點(diǎn)認(rèn)證、逐跳加密和跨網(wǎng)認(rèn)證等。

(2)端對(duì)端加密機(jī)制主要實(shí)現(xiàn)端到端數(shù)據(jù)的機(jī)密性，并可以提供不同安全等級(jí)的靈活安全策略，安全機(jī)制包括端到端的身份認(rèn)證、密鑰協(xié)商以及密鑰管理等。

4.3 應(yīng)用層安全措施

應(yīng)用層是CPS做出決策的核心部分，系統(tǒng)中的海量數(shù)據(jù)要求應(yīng)用控制層要有較強(qiáng)的數(shù)據(jù)處理能力，同時(shí)必須對(duì)數(shù)據(jù)的安全性和用戶隱私數(shù)據(jù)進(jìn)行保護(hù)，對(duì)應(yīng)用層的安全措施包括：

(1)加強(qiáng)系統(tǒng)的訪問控制策略以及不同應(yīng)用場(chǎng)景的身份認(rèn)證機(jī)制和加密機(jī)制。

(2)在不影響各應(yīng)用的同時(shí)為信息物理系統(tǒng)建立起一個(gè)統(tǒng)一高效的安全管理平臺(tái)。

4.4 多層結(jié)合的安全措施

在一個(gè)層中實(shí)現(xiàn)安全性并不能滿足所需的安全目標(biāo)，因此，系統(tǒng)的三層之間以及跨域安全解決方案之間應(yīng)該進(jìn)行協(xié)作，目前一些研究人員正專注于研究作為所有CPS框架的安全解決方案。然而，每一層都有不同的要求，這反過來(lái)又導(dǎo)致任何的解決方案都非常復(fù)雜，因此，重點(diǎn)必須是開發(fā)一種替代機(jī)制以適應(yīng)所用設(shè)備的限制。

目前提出一種依賴于組合公鑰的離線認(rèn)證機(jī)制[16]。該機(jī)制的主要目的是解決與大規(guī)模數(shù)據(jù)集認(rèn)證相關(guān)的安全問題，該安全體系結(jié)構(gòu)為傳感器數(shù)據(jù)、標(biāo)簽隱私和數(shù)據(jù)傳輸提供了安全保護(hù)，所應(yīng)用的方法包括集成節(jié)點(diǎn)的認(rèn)證有效性以及身份識(shí)別。為了提高網(wǎng)絡(luò)的安全性，該方法將應(yīng)用層、傳輸層和物理層結(jié)合起來(lái)構(gòu)建可信系統(tǒng)。在應(yīng)用層，使用可信訪問控制來(lái)增強(qiáng)合法訪問，唯一地驗(yàn)證連接的設(shè)備，然后執(zhí)行代碼驗(yàn)證，以便在開放和不安全的網(wǎng)絡(luò)環(huán)境中保持運(yùn)行，再使用可信數(shù)據(jù)庫(kù)提供數(shù)據(jù)訪問相互認(rèn)證。在傳輸層，組合公鑰專用通信芯片嵌入無(wú)線或有線通信設(shè)備，在物理層，標(biāo)簽嵌入橢圓曲線密碼算法以提供授權(quán)訪問，并與基于身份的認(rèn)證組合公鑰一起使用，以提供快速身份驗(yàn)證。

還有一些研究者提出了用于一般CPS的感知安全框架，安全框架包括三個(gè)重要的安全部分：感知、網(wǎng)絡(luò)和控制。該框架使用參數(shù)來(lái)確定系統(tǒng)的行為、態(tài)勢(shì)信息和環(huán)境情況，以計(jì)算系統(tǒng)的安全性水平，并改進(jìn)信息安全決策。它將相關(guān)的信息集成到多個(gè)安全措施中，例如加密、密鑰協(xié)議和訪問控制，以使CPS安全適應(yīng)于物理環(huán)境。安全框架的主要目標(biāo)是保密性、可用性、完整性和真實(shí)性。該方法將CPS的功能劃分為四個(gè)階段：監(jiān)測(cè)物理過程和環(huán)境；聯(lián)網(wǎng)，包括數(shù)據(jù)匯總和傳播；對(duì)在監(jiān)測(cè)階段收集到的數(shù)據(jù)進(jìn)行分析和計(jì)算；執(zhí)行確定動(dòng)作。該方法的目的是為CPS提供一種動(dòng)態(tài)適應(yīng)物理環(huán)境的安全機(jī)制。

5 CPS的未來(lái)研究方向

CPS在創(chuàng)造新的市場(chǎng)和解決社會(huì)風(fēng)險(xiǎn)方面具有很高的潛力，但對(duì)質(zhì)量、安全和隱私等方面提出了很高的要求，要實(shí)現(xiàn)可預(yù)測(cè)的核查和測(cè)量質(zhì)量水平，有效應(yīng)對(duì)外部和內(nèi)部變化，就必須進(jìn)行基礎(chǔ)科學(xué)研究。基于以上對(duì)CPS最新安全研究的分析，未來(lái)的研究方向包括以下幾個(gè)方面：

(1)CPS組件認(rèn)證方法的開發(fā)，組件認(rèn)證機(jī)制的存在，以及傳感器和控制器之間的安全通道的存在，使CPS不受任何篡改，安全性得以提高[17]。

(2)發(fā)展保障個(gè)人資料安全的方法，隨著數(shù)據(jù)挖掘技術(shù)的日益普及和發(fā)展，個(gè)人機(jī)密信息的安全問題面臨著嚴(yán)重威脅。未經(jīng)授權(quán)訪問個(gè)人數(shù)據(jù)可能會(huì)侵犯數(shù)據(jù)隱私，而機(jī)器學(xué)習(xí)算法的廣泛應(yīng)用允許惡意用戶使用智能數(shù)據(jù)分析來(lái)訪問私有信息，這個(gè)問題可以從倫理和技術(shù)兩個(gè)方面來(lái)解決[18]。

(3)CPS安全體系結(jié)構(gòu)的發(fā)展，隨著網(wǎng)絡(luò)的快速發(fā)展以及物理威脅的產(chǎn)生，CPS面臨越來(lái)越多的問題，有必要?jiǎng)?chuàng)建一個(gè)可靠和容錯(cuò)的體系結(jié)構(gòu)，以確保高水平的安全性和成本效益。

(4)制定提高CPS生存能力的對(duì)策，為了最大限度地減少CPS中的漏洞，制定對(duì)策是一項(xiàng)緊迫的任務(wù)，有必要開發(fā)防御機(jī)制并評(píng)估它們對(duì)CPS生存能力的影響。

(5)安全協(xié)議開發(fā)，CPS中越來(lái)越多的設(shè)備對(duì)確保數(shù)據(jù)機(jī)密性和完整性的安全標(biāo)準(zhǔn)和協(xié)議提出了質(zhì)疑，智能安全協(xié)議的使用允許CPS體系結(jié)構(gòu)的自我采納和自我控制，并將它們集成到創(chuàng)新的、先進(jìn)的設(shè)備中，這是最優(yōu)先的任務(wù)之一。

6 結(jié)束語(yǔ)

文中詳細(xì)介紹了CPS中的重要安全因素以及各個(gè)層次面臨的安全挑戰(zhàn)和攻擊方式，并針對(duì)所面臨的安全問題提出了相應(yīng)的解決措施，最后闡述了CPS的未來(lái)研究方向。CPS的研究是一項(xiàng)長(zhǎng)期的計(jì)劃，其應(yīng)用涉及各個(gè)領(lǐng)域，是一項(xiàng)龐大的綜合性、復(fù)雜性系統(tǒng)。所以對(duì)CPS的研究必須著眼于現(xiàn)在，展望于未來(lái)數(shù)十年或更長(zhǎng)時(shí)間進(jìn)行的系統(tǒng)設(shè)計(jì)、構(gòu)造、實(shí)現(xiàn)、優(yōu)化和跟蹤，使研究者按照需要進(jìn)行有計(jì)劃、分階段的研究。對(duì)于CPS的研究面臨的挑戰(zhàn)與機(jī)遇并存，只要能夠科學(xué)的分析、優(yōu)化決策，持續(xù)地開展與研發(fā)，按需引導(dǎo)，必定會(huì)獲得發(fā)展與成功。