基于商密的信息安全型PLC 控制系統(tǒng)設(shè)計*

賴 軍，谷 鵬，幸享宏，鄒大均，李 立

（1.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引言

在信息化和工業(yè)化深度集成和工業(yè)轉(zhuǎn)型升級的同時，工業(yè)控制生產(chǎn)環(huán)境已從封閉轉(zhuǎn)向開放，生產(chǎn)過程從自動化轉(zhuǎn)向智能化。然而，工業(yè)控制系統(tǒng)安全漏洞數(shù)量在逐年遞增，各類工控信息安全事件層出不窮，安全威脅加速滲透，攻擊手段更加復(fù)雜多樣[1]。

2019 年9 月，印度Kudankulam 核電站遭受了攻擊，惡意軟件感染了核電站的管理網(wǎng)絡(luò)，導(dǎo)致一個反應(yīng)堆中止運行。2020 年4 月，葡萄牙跨國能源公司EDP 遭到勒索軟件攻擊[1]。2022 年9 月，黑客組織GhosSec 入侵以色列各地55 套可編程邏輯控制器（Programmable Logic Controller，PLC），成功獲取PLC 管理控制權(quán)限。眾多工控信息安全事件表明，以PLC 控制系統(tǒng)為代表的工控系統(tǒng)正逐漸成為黑客組織、敵對勢力開展勒索破壞活動的重點目標(biāo)，安全形勢異常嚴(yán)峻。

當(dāng)前工業(yè)控制系統(tǒng)自身通常缺乏必要的信息安全防護(hù)措施，業(yè)務(wù)數(shù)據(jù)通信甚至采用明文傳輸，攻擊者可以通過信息嗅探、通信劫持與數(shù)據(jù)篡改等方式開展攻擊破壞活動，造成工控系統(tǒng)停止運行、業(yè)務(wù)邏輯運行失序等嚴(yán)重后果。為防范相關(guān)安全風(fēng)險，提升工控系統(tǒng)自身信息安全防御能力，本文通過研究PLC 控制系統(tǒng)特點、主要安全威脅及防護(hù)需求，將商用密碼、訪問控制、典型入侵防御等安全防護(hù)技術(shù)與PLC 控制器深度融合，提出了一種基于商密的信息安全型PLC 控制系統(tǒng)方案。

1 PLC 控制系統(tǒng)概述

1.1 PLC 控制系統(tǒng)簡介

典型的PLC 控制系統(tǒng)由監(jiān)控層、控制層、設(shè)備層構(gòu)成，典型系統(tǒng)結(jié)構(gòu)如圖1 所示。其中，監(jiān)控層主要由工程師站、操作員站等設(shè)備組成，工程師站和操作員站在PLC 控制系統(tǒng)中通常統(tǒng)稱為上位機(jī)；控制層主要包括PLC 控制器、遠(yuǎn)程I/O 站等設(shè)備，大中型PLC 控制器通常采用模塊化設(shè)計理念，根據(jù)功能一般可分為CPU 模塊、電源模塊、I/O 模塊、通信模塊等組件；設(shè)備層則主要由傳感器、執(zhí)行器、儀表、閥門等現(xiàn)場設(shè)備構(gòu)成。位于控制層的PLC 控制器等設(shè)備通常被定義為PLC控制系統(tǒng)的核心設(shè)備。

圖1 典型的PLC 控制系統(tǒng)結(jié)構(gòu)

以PLC 控制系統(tǒng)為代表的工業(yè)控制系統(tǒng)長期以來采用孤島方式運行，使用專用設(shè)備與協(xié)議，并且與外界物理網(wǎng)絡(luò)環(huán)境相對隔絕，在很長一段時間內(nèi)都是相對安全的。然而，近年來隨著信息化與工業(yè)化深度融合的發(fā)展，PLC 控制系統(tǒng)面臨的信息安全威脅越來越受到重視。

1.2 主要安全脆弱性分析

PLC 控制器在設(shè)計上主要關(guān)注于控制流程的時效性與準(zhǔn)確性，以及系統(tǒng)的易維護(hù)性，極少考慮潛在的網(wǎng)絡(luò)安全風(fēng)險，缺少應(yīng)對網(wǎng)絡(luò)攻擊的防護(hù)措施。綜合歷年發(fā)生的各類工控安全事件與工控系統(tǒng)相關(guān)漏洞分析，PLC 控制系統(tǒng)的安全脆弱性主要表現(xiàn)為：

（1）在PLC 系統(tǒng)中廣泛使用的Modbus 等工業(yè)協(xié)議缺乏身份認(rèn)證機(jī)制，非法攻擊者可以輕易地冒充上位機(jī)接入控制網(wǎng)絡(luò)，執(zhí)行非法操作，嚴(yán)重威脅控制系統(tǒng)安全運行。

（2）PLC 控制系統(tǒng)敏感數(shù)據(jù)缺乏密碼保護(hù)機(jī)制，與生產(chǎn)業(yè)務(wù)相關(guān)敏感數(shù)據(jù)未采用加密存儲，且通過明文傳輸，這為攻擊者嗅探、竊取，甚至偽造關(guān)鍵數(shù)據(jù)提供了便利條件。

（3）上位機(jī)與PLC 間的數(shù)據(jù)通信缺乏合理的權(quán)限管理機(jī)制，現(xiàn)有的鑒權(quán)機(jī)制通常僅存在于邏輯組態(tài)軟件或監(jiān)控組態(tài)軟件等上位機(jī)軟件層面，并未在通信流程中采取有效的權(quán)限控制。這將導(dǎo)致任何接入PLC 控制器的攻擊者均可利用工業(yè)協(xié)議執(zhí)行任何操作，破壞控制系統(tǒng)正常業(yè)務(wù)。

2 國產(chǎn)商用密碼概述

國產(chǎn)商用密碼體系的密碼種類豐富，基本滿足了我國生產(chǎn)生活中的各類需求，主要有SM 系列及祖沖之序列算法，囊括了所有典型的密碼體制，具體可分為3 類：SM3 密碼雜湊（Hash 散列）算法屬于散列算法范疇，SM1（SCB2）、SM4、SM7、祖沖之序列密碼算法（ZUC）屬于對稱密碼算法體制范疇，SM2、SM9 屬于非對稱密碼算法體制范疇[2]。

SM3 算法[3]通過M-D 模型處理輸入消息，生成256 bit 的雜湊值。SM3 算法于2012 年作為密碼行業(yè)標(biāo)準(zhǔn)發(fā)布，于2016 年轉(zhuǎn)變?yōu)閲覙?biāo)準(zhǔn)，并于2018 年正式成為國際標(biāo)準(zhǔn)。

SM4 算法[4]分組長度為128 bit，密鑰長度為128 bit，加密與密鑰擴(kuò)展算法都采用32 輪非線性迭代結(jié)構(gòu)。加密和解密使用完全相同的結(jié)構(gòu)，解密時只需倒置密鑰的順序。SM4 算法于2012 年作為密碼行業(yè)標(biāo)準(zhǔn)發(fā)布，并于2016 年轉(zhuǎn)化為國家標(biāo)準(zhǔn)。

SM1 與SM7 分組密碼算法尚未公開，所使用的密鑰長度和分組長度都是128 bit。

祖沖之密碼算法[5]密鑰長度為128 bit，由128 bit 種子密鑰和128 bit 初始向量共同作用生成32 bit寬的密鑰流。ZUC 可用于數(shù)據(jù)保密性和完整性保護(hù)。

SM2 算法[6]基于橢圓曲線離散對數(shù)問題，提供數(shù)據(jù)加密解密、簽名驗簽和密鑰協(xié)商功能。SM2 算法推薦使用256 bit 素域上的參數(shù)集。SM2 算法具有安全性高、密鑰短、私鑰產(chǎn)生簡單以及簽名速度快等優(yōu)點。該算法已于2016 年成為國家標(biāo)準(zhǔn)，并于2017 年被國際標(biāo)準(zhǔn)化組織（International Organization for Standardization，ISO）采納成為國際標(biāo)準(zhǔn)。

SM9 算法[7]是一種標(biāo)識密碼，是在傳統(tǒng)公鑰基礎(chǔ)設(shè)施PKI 基礎(chǔ)上發(fā)展而來的，可以解決安全應(yīng)用場景中PKI 需要大量交換數(shù)字證書的問題，使應(yīng)用更易部署和使用。SM9 算法提供密鑰封裝、數(shù)據(jù)加密解密、簽名驗簽和密鑰協(xié)商功能。2017 年，ISO將SM9 數(shù)字簽名算法采納為國際標(biāo)準(zhǔn)的一部分。

3 總體架構(gòu)設(shè)計

基于國產(chǎn)商用密碼輕量應(yīng)用的信息安全型PLC控制系統(tǒng)總體架構(gòu)如圖2 所示，上位機(jī)（工程師站、操作員站）通過安全模塊與基于商密的自主可控一體化安全PLC（簡稱安全PLC）連接。其中，上位機(jī)安全模塊采用支持標(biāo)準(zhǔn)商密IPSec 功能的安全網(wǎng)關(guān)設(shè)備或客戶端軟件。安全PLC 則主要由安全模塊及常規(guī)控制模塊構(gòu)成，核心模塊均采用國產(chǎn)龍芯處理器。安全模塊內(nèi)置商密模塊，并將基于商用密碼輕量應(yīng)用的安全防護(hù)功能有機(jī)融合于PLC 控制器中，構(gòu)建形成PLC 控制器自身的安全防護(hù)能力。

圖2 信息安全型PLC 控制系統(tǒng)總體架構(gòu)

在信息安全型PLC 控制系統(tǒng)中，上位機(jī)（安全模塊）通過PLC 安全模塊接入PLC 控制器。上位機(jī)安全模塊與PLC 安全模塊之間通過商密IPSec 建立安全通信隧道，從而通過商密技術(shù)保障上下位機(jī)間數(shù)據(jù)傳輸?shù)谋Ｃ苄耘c完整性。商密技術(shù)還應(yīng)用于PLC 控制器對上位機(jī)用戶的安全接入認(rèn)證等場景，并可與訪問控制、工業(yè)協(xié)議控制等安全防護(hù)功能相結(jié)合，對訪問PLC 的用戶權(quán)限進(jìn)行精細(xì)控制，從而全面提升PLC 控制系統(tǒng)自身的信息安全防護(hù)水平。

4 安全PLC 方案設(shè)計

自1969 年第一臺PLC 誕生之日起，PLC 成為工業(yè)界的核心控制器產(chǎn)品。我國自20 世紀(jì)70 年代開始PLC 的研究和應(yīng)用，近年來隨著國產(chǎn)芯片技術(shù)的升級發(fā)展，國產(chǎn)PLC 廠商逐步推出了基于國產(chǎn)龍芯、飛騰等處理器的自主可控中大型PLC 成熟產(chǎn)品，并在軌道交通、水利水電等行業(yè)實現(xiàn)推廣應(yīng)用。

4.1 安全PLC 總體設(shè)計

本文以成熟的國產(chǎn)自主可控中大型PLC 產(chǎn)品方案為基礎(chǔ)，遵循中大型PLC 模塊化設(shè)計理念，結(jié)合商密安全防護(hù)技術(shù)對PLC 開展安全增強(qiáng)設(shè)計，形成基于商密的自主可控一體化安全PLC 設(shè)計方案。

安全PLC 總體框架如圖3 所示，控制器主要由CPU 模塊、IO模塊、電源模塊、通信模塊、PLC 安全模塊等模塊組成，各模塊間均通過內(nèi)置于安裝背板中的背板總線交互數(shù)據(jù)。IO 模塊主要包括數(shù)字量輸入模塊（Digital Input Module，DIM）、數(shù)字量輸出模塊（Digital Output Module，DOM）、模擬量輸入模塊（Analog Input Module，AIM）、模擬量輸出模塊（Analog Output Module，AOM）等，通信模塊則包含Modbus RTU、Profibus-DP 等專用工業(yè)協(xié)議通信擴(kuò)展模塊。PLC 安全模塊為專用信息安全功能模塊，模塊內(nèi)置商密模塊，提供基于商用密碼的用戶認(rèn)證、基于商密技術(shù)的通信鏈路加密、工業(yè)協(xié)議深度控制、訪問控制、典型入侵防御等安全功能，使信息安全防御能力成為PLC 本體的一種固有屬性。其中，IO 模塊、電源模塊、通信模塊、安裝背板等部件均采用成熟自主可控解決方案，本方案重點對安全模塊軟硬件功能開展深化設(shè)計，并對CPU模塊進(jìn)行少量適配設(shè)計。

圖3 安全PLC 總體框架

4.2 PLC 安全模塊方案

4.2.1 硬件方案

PLC安全模塊硬件框圖如圖4 所示，模塊采用國產(chǎn)龍芯處理器，搭載2GB DDR3 內(nèi)存及8GB SSD存儲。商密模塊搭載SM2/SM3/SM4 等商密算法，通過Mini PCIE 接口與龍芯處理器連接并提供商用密碼運算服務(wù)。安全模塊配置3 路以太網(wǎng)口，其中eth0 作為模塊管理端口，eth1 與eth2 作為業(yè)務(wù)端口。

圖4 安全模塊硬件

安全模塊兩個以太網(wǎng)業(yè)務(wù)端口工作于透明橋模式，其中eth2 將通過背板總線與CPU 模塊對應(yīng)端口連接，eth1 則將作為安全PLC 對外網(wǎng)絡(luò)接口。所有流向PLC 的網(wǎng)絡(luò)流量都必須由eth1 端口接入PLC，并通過安全模塊進(jìn)行安全檢測。只有通過安全檢測的合法指令才允許通過eth2 端口轉(zhuǎn)發(fā)至CPU模塊進(jìn)一步處理執(zhí)行。

此外，為確保PLC 網(wǎng)絡(luò)通信功能的可靠性，兩個以太網(wǎng)業(yè)務(wù)端口間設(shè)計有硬件BYPASS 電路。一旦安全模塊發(fā)生故障，BYPASS 模塊將立即將業(yè)務(wù)端口物理導(dǎo)通，可快速恢復(fù)正常網(wǎng)絡(luò)通信。

4.2.2 軟件方案

基于商密的自主可控一體化安全PLC 相關(guān)安全防護(hù)功能均內(nèi)置于PLC 安全模塊中。PLC 安全模塊依托內(nèi)置的商用密碼模塊，實現(xiàn)加密與認(rèn)證相關(guān)商密計算功能。PLC 安全模塊搭載訪問控制、工業(yè)協(xié)議深度控制、入侵防御、商密身份認(rèn)證、商密IPSec VPN 等安全功能。

PLC 安全模塊提供適配CPU 模塊協(xié)議功能特征的“組態(tài)式”的防護(hù)策略配置。安全模塊軟件總體上由WEBGUI、配置管理框架、防護(hù)對象配置、安全模塊配置、快捷配置、高級配置（含防火墻、入侵防御、用戶認(rèn)證）、VPN、日志與監(jiān)控等子系統(tǒng)構(gòu)成，總體系統(tǒng)結(jié)構(gòu)如圖5 所示。

圖5 安全模塊軟件總體結(jié)構(gòu)

（1）防護(hù)對象配置

防護(hù)對象配置子系統(tǒng)提供對PLC 控制器及其所在控制系統(tǒng)參數(shù)等“中心參數(shù)”的設(shè)置功能，主要包括PLC 型號與IP 地址、上位機(jī)（工程師站/操作員站）名稱和IP 地址等控制系統(tǒng)核心參數(shù)。子系統(tǒng)內(nèi)置PLC（CPU 模塊）型號下拉菜單，用戶點選即可便捷完成PLC 型號設(shè)置。該子系統(tǒng)中設(shè)置的PLC 控制器和上位機(jī)IP 地址將作為控制參數(shù)由訪問控制策略自動引用，僅允許已配置的上位機(jī)訪問PLC 控制器相關(guān)服務(wù)。

（2）安全模塊配置

安全模塊配置子系統(tǒng)主要配置安全模塊自身的相關(guān)參數(shù)，主要包括模塊名稱、IP地址設(shè)置、默認(rèn)網(wǎng)關(guān)、管理配置、時間設(shè)置、系統(tǒng)維護(hù)等功能。其中，IP 地址設(shè)置包括業(yè)務(wù)端口IP 設(shè)置和管理端口IP 設(shè)置。安全模塊包含兩個業(yè)務(wù)端口和一個管理端口。兩個業(yè)務(wù)端口默認(rèn)配置為透明橋，共用同一個IP 地址。

（3）防護(hù)策略快捷配置

快捷配置是指基于被保護(hù)PLC 型號協(xié)議特征的防護(hù)策略快速配置方法。安全模塊默認(rèn)開啟白名單訪問控制服務(wù)，快捷配置亦即快捷白名單配置。

安全模塊預(yù)置多種型號CPU 模塊模型?？旖菖渲媒缑娓鶕?jù)防護(hù)對象配置中用戶選擇的PLC 型號參數(shù)匹配PLC 模型，并根據(jù)模型參數(shù)自動生成該型號PLC 對應(yīng)的防護(hù)策略快捷設(shè)置菜單，用戶勾選即可完成訪問控制策略的快捷配置?？旖菖渲迷诤笈_生成的訪問控制規(guī)則，自動匹配防護(hù)對象配置項的PLC 系統(tǒng)核心參數(shù)，自動對允許訪問的IP/MAC 地址進(jìn)行控制，僅允許已配置的上位機(jī)訪問PLC 相關(guān)服務(wù)。

快捷配置如圖6 所示，用戶勾選相應(yīng)的允許選項便可激活該項策略，不被允許的通信數(shù)據(jù)將被安全模塊阻斷丟棄。用戶只需根據(jù)系統(tǒng)實際需要勾選相應(yīng)選項，可極大地簡化用戶操作流程，具有極強(qiáng)的便利性與易用性。

圖6 防護(hù)策略快捷配置

快捷配置支持勾選一鍵激活地址解析協(xié)議（Address Resolution Protocol，ARP）控制與入侵防御。其中，“激活A(yù)RP 控制”意味著安全模塊將對流向PLC的超過閾值的ARP包采取限流措施。“激活入侵防御”即安全模塊按默認(rèn)參數(shù)開啟對UDP/SYN/ICMP Flood、PORT SCAN（端口掃描）等典型攻擊報文的檢測與過濾。

在快捷配置中，對Modbus/TCP 工業(yè)協(xié)議進(jìn)行控制，并不是簡單地允許該協(xié)議的所有報文通過，而是根據(jù)被保護(hù)PLC 對象的型號協(xié)議特征，對訪問該PLC 的協(xié)議功能碼或寄存器地址范圍等進(jìn)行深度控制，只有符合被保護(hù)對象規(guī)范的命令才允許通過。

（4）防護(hù)策略高級配置

防護(hù)策略高級配置功能需在快捷配置界面中激活。高級配置功能總體上由訪問控制、入侵防御、用戶認(rèn)證等功能模塊組成，可為用戶提供更為精細(xì)的訪問控制粒度和防御策略。

①訪問控制（含工業(yè)協(xié)議深度控制）

訪問控制與工業(yè)協(xié)議深度控制作為安全模塊的核心功能模塊，總體實現(xiàn)安全模塊的包過濾策略 配置。

訪問控制模塊由TCP/IP 訪問控制（含工業(yè)協(xié)議深度控制）、二層訪問控制功能組成。

通常PLC 對外開放的常規(guī)網(wǎng)絡(luò)服務(wù)僅包括FTP、Telnet、NTP 等少數(shù)幾種。安全模塊預(yù)置FTP、Telnet、NTP 等PLC 常用網(wǎng)絡(luò)服務(wù)作為系統(tǒng)預(yù)定義服務(wù)。工控系統(tǒng)訪問PLC 的主機(jī)相對有限，在訪問控制規(guī)則中PLC 型號、主站IP、從站（PLC）IP 等參數(shù)快捷配置時自動從防護(hù)對象配置中引用，無須用戶選擇或配置。在高級配置中，用戶僅需對每條規(guī)則的日志級別、權(quán)限組進(jìn)行配置。權(quán)限組要求對訪問相關(guān)資源的用戶進(jìn)行認(rèn)證，結(jié)合用戶認(rèn)證模塊共同發(fā)揮作用。

針對PLC 控制系統(tǒng)網(wǎng)絡(luò)特點，二層訪問控制模塊方面僅針對ARP 訪問控制采取ARP 限流策略，用戶可在高級模式下對ARP 默認(rèn)閾值進(jìn)行修改。

②典型入侵防御

根據(jù)PLC 控制系統(tǒng)特點，入侵防御模塊提供針對UDP Flood、SYN Flood、ICMP Flood、PORT SCAN等可能影響PLC 控制器的常規(guī)攻擊的防御功能。

快捷配置按照默認(rèn)參數(shù)開啟了入侵防御，而在高級配置下，用戶可對各攻擊的防護(hù)策略的閾值、記錄日志等參數(shù)進(jìn)行進(jìn)一步配置。

③用戶認(rèn)證

安全模塊以PLC 資源訪問用戶為核心進(jìn)行訪問監(jiān)控，用戶認(rèn)證系統(tǒng)實現(xiàn)了用戶的認(rèn)證、授權(quán)功能。用戶認(rèn)證模塊主要由網(wǎng)絡(luò)訪問服務(wù)器（Network Access Server，NAS）和認(rèn)證控制服務(wù)器（Authentication Control Server，ACS）兩部分組成，認(rèn)證控制服務(wù)器是一個標(biāo)準(zhǔn)的Radius 認(rèn)證服務(wù)器，同時具有授權(quán)和記賬的功能。

在PLC 控制系統(tǒng)中，用戶認(rèn)證主要用于對FTP、TELNET、程序下載/上傳、升級系統(tǒng)固件等PLC 內(nèi)部資源的訪問權(quán)限進(jìn)行控制。安全模塊預(yù)置FTP、TELNET、PROGRAM（編程）、FIRMWARE（固件升級）等權(quán)限組，并對每個權(quán)限組預(yù)置一個默認(rèn)賬戶，用戶可自行修改用戶密碼。同時，用戶還可根據(jù)需求添加權(quán)限組，為不同權(quán)限組配置不同數(shù)量的用戶，供訪問控制規(guī)則引用，可確保只有經(jīng)過模塊認(rèn)證的用戶才能訪問權(quán)限組權(quán)限范圍內(nèi)的PLC 資源。

（5）日志記錄

日志記錄子系統(tǒng)提供包過濾日志、工業(yè)協(xié)議深度檢測日志、VPN 日志等日志記錄功能。工業(yè)協(xié)議深度日志不僅包含了網(wǎng)絡(luò)信息，還包含了工業(yè)協(xié)議應(yīng)用層數(shù)據(jù)信息，用戶可以通過日志一目了然地查看PLC 控制系統(tǒng)內(nèi)的具體操作和數(shù)據(jù)上報，對發(fā)現(xiàn)誤操作、惡意操作、異常發(fā)現(xiàn)和事后審計等都能起到關(guān)鍵性作用。

4.2.3 商用密碼輕量化應(yīng)用實現(xiàn)

在信息安全型PLC 控制系統(tǒng)中，商用密碼技術(shù)主要用于構(gòu)建控制系統(tǒng)尤其是其核心控制設(shè)備自身安全防護(hù)能力。信息安全型PLC 控制系統(tǒng)基于國產(chǎn)商用密碼的輕量化應(yīng)用主要包括基于商密技術(shù)的通信鏈路加密、基于商密技術(shù)的PLC 控制器用戶認(rèn)證，主要實現(xiàn)對上位機(jī)與PLC 之間通信數(shù)據(jù)保密性、完整性保護(hù)，并對用戶的安全接入和權(quán)限進(jìn)行訪問 控制。

（1）基于商密技術(shù)的通信鏈路加密

基于商密技術(shù)的工控系統(tǒng)通信鏈路加密功能通過商密IPSec VPN 實現(xiàn)。首先，PLC 安全模塊內(nèi)部嵌入硬件商密模塊，實現(xiàn)對SM2、SM3、SM4 商密算法的加載。同時，在PLC 安全模塊系統(tǒng)中擴(kuò)展IPSec 對于商密算法套件的支持，采用SM2、SM3等商密算法實現(xiàn)簽名認(rèn)證與密鑰協(xié)商，采用SM4 算法實現(xiàn)數(shù)據(jù)加密，最終實現(xiàn)商密IPSec 功能。以商密IPSec 技術(shù)為載體，通過SM2 商密證書技術(shù)和SM2/SM3 算法實現(xiàn)安全通信隧道創(chuàng)建與密鑰協(xié)商，最終通過SM4 算法實現(xiàn)上位機(jī)與PLC 之間的通信數(shù)據(jù)加密傳輸，并通過SM3 算法對數(shù)據(jù)完整性進(jìn)行保護(hù)。

安全PLC 基于商密算法的數(shù)據(jù)加密傳輸服務(wù)主要數(shù)據(jù)流程如圖7 所示，圖中安全PLC 的CPU 模塊運行Modbus/TCP 服務(wù)，上位機(jī)根據(jù)控制系統(tǒng)需求向安全PLC 發(fā)起Modbus 數(shù)據(jù)查詢請求或控制指令。指令經(jīng)上位機(jī)安全網(wǎng)關(guān)加密后經(jīng)安全隧道以密文方式傳輸?shù)桨踩玃LC。PLC 由安全模塊接收密文數(shù)據(jù)，并對密文進(jìn)行校驗和解密。解密后的Modbus協(xié)議數(shù)據(jù)在安全PLC 內(nèi)部經(jīng)安全模塊傳輸至CPU模塊。CPU 模塊將根據(jù)實時運行狀態(tài)響應(yīng)上位機(jī)的各種請求，安全PLC 響應(yīng)數(shù)據(jù)的傳輸過程與上位機(jī)查詢過程相似，在PLC 與上位機(jī)（安全模塊）之間的傳輸數(shù)據(jù)將一直處于商密算法的保護(hù)之中。

圖7 基于商密的通信鏈路加密實現(xiàn)原理

（2）基于商密技術(shù)的PLC 控制器用戶認(rèn)證

安全模塊用戶認(rèn)證，實質(zhì)上是對PLC 用戶的接入認(rèn)證，以基于商密技術(shù)的PLC 控制器接入身份認(rèn)證技術(shù)為基礎(chǔ)。安全模塊內(nèi)部的商密模塊實現(xiàn)模塊對商密算法（SM2/SM3/SM4）的支持，在PLC 安全模塊中內(nèi)置身份認(rèn)證網(wǎng)關(guān)，同時擴(kuò)展認(rèn)證網(wǎng)關(guān)對于商密模塊和商密算法的支持，PLC 安全模塊便具有了商密身份認(rèn)證功能。在用戶側(cè)，CA 證書系統(tǒng)頒發(fā)的SM2 證書存放于USBKey 中，USBKey 支持SM2 和SM3 算法，算法由USBKey 中的芯片實現(xiàn)?；谏堂艿挠脩粽J(rèn)證功能，主要通過SM3withSM2算法實現(xiàn)PLC 用戶的接入認(rèn)證，保障對控制器服務(wù)的可信接入與可信訪問。此外，認(rèn)證服務(wù)器在實現(xiàn)上支持USBkey+用戶名的雙因子認(rèn)證，可使用戶身份認(rèn)證更加安全。基于商密算法的用戶認(rèn)證流程結(jié)構(gòu)如圖8 所示。其中，上位機(jī)用戶需要通過USBkey 來進(jìn)行用戶認(rèn)證后，才能訪問PLC 的內(nèi)部資源，或進(jìn)行相應(yīng)的指令控制，主要流程如下：

圖8 基于商密算法的用戶認(rèn)證流程結(jié)構(gòu)

①USBKey 接入終端，用戶使用USBKey 管理工具注冊證書；②上位機(jī)用戶瀏覽器打開PLC 用戶認(rèn)證界面，輸入用戶名+密碼+PIN 碼的組合進(jìn)行認(rèn)證；③瀏覽器登錄頁面對用戶輸出的PIN 碼進(jìn)行驗證，之后調(diào)用USBKey 中SM2 證書的簽名算法將用戶輸入的用戶名和密碼簽名；④將簽名后的信息和USBKey 中SM2 公鑰證書（X509 證書）傳遞給一體化安全PLC；⑤安全PLC 接收到SM2 公鑰證書（X509 證書）后，首先用設(shè)備上的CA 來認(rèn)證該證書，之后使用該證書對信息（用戶名+密碼）進(jìn)行驗簽，再進(jìn)行用戶名+密碼的確認(rèn)；⑥認(rèn)證通過的上位機(jī)用戶，才能訪問PLC 內(nèi)部的各種資源，如通過FTP、TELNET 訪問PLC 資源、對PLC 進(jìn)行編程或固件升級、與PLC 進(jìn)行協(xié)議通信等。

4.3 CPU 模塊適配說明

在安全PLC 及其控制系統(tǒng)中，PLC 安全模塊將作為整個控制器的外部網(wǎng)絡(luò)安全接入點。因此，CPU 模塊無須再對外提供以太網(wǎng)接口。CPU 模塊適配設(shè)計主要是針對硬件接口的安全優(yōu)化設(shè)計，主要適配設(shè)計包括：將原對外提供的以太網(wǎng)RJ45 接口取消；將CPU 模塊以太網(wǎng)接口連接至背板總線連接器，通過背板總線實現(xiàn)與安全模塊網(wǎng)絡(luò)的硬件連接，以保障CPU 模塊業(yè)務(wù)安全運行。

5 結(jié)語

本文在研究PLC 控制系統(tǒng)結(jié)構(gòu)特征及脆弱性分析的基礎(chǔ)上，結(jié)合控制系統(tǒng)實際安全需求，將商用密碼、訪問控制、典型入侵防御等安全防護(hù)技術(shù)與PLC 控制器深度融合，設(shè)計了基于國產(chǎn)商用密碼的信息安全型PLC 控制系統(tǒng)，重點闡述了基于商密的自主可控一體化安全PLC 軟硬件方案及其中的商用密碼應(yīng)用技術(shù)實現(xiàn)。通過將商用密碼等安全防護(hù)技術(shù)融合到PLC 控制器及控制系統(tǒng)中，構(gòu)建了PLC控制系統(tǒng)自身安全防護(hù)能力，為保障工業(yè)控制系統(tǒng)安全運行，防范工控網(wǎng)絡(luò)安全風(fēng)險，提供了一種有效的解決方案。