萬躍鵬，黃 雙，秦元慶，周純杰

（華中科技大學(xué) 控制科學(xué)與工程系，湖北 武漢430074）

0 引 言

在工業(yè)控制系統(tǒng)現(xiàn)場級，工業(yè)以太網(wǎng)已成為現(xiàn)場總線發(fā)展的未來趨勢［1］?；诠I(yè)以太網(wǎng)的控制系統(tǒng)，不僅要在受到外界的惡意攻擊時，保證信息的機密性和完整性等信息安全要求，而且要求系統(tǒng)內(nèi)部以安全、可靠、高效的方式進行監(jiān)測或者控制，保證系統(tǒng)的功能安全要求［2］。工業(yè)以太網(wǎng)協(xié)議棧，作為工業(yè)以太網(wǎng)控制系統(tǒng)的連接樞紐，已成為系統(tǒng)安全性研究的重點。

目前國內(nèi)外學(xué)者對于工業(yè)以太網(wǎng)控制系統(tǒng)的安全問題已經(jīng)開展了很多研究工作。文獻 ［3］列舉了多種標(biāo)準(zhǔn)工業(yè)以太網(wǎng)的功能安全方案，文獻 ［4］詳述了Powerlink工業(yè)以太網(wǎng)的功能安全。文獻 ［5］研究了控制系統(tǒng)的安全自動化，文獻 ［6］分析了控制系統(tǒng)的安全威脅及安全問題對系統(tǒng)的影響，文獻 ［7］則提出了對應(yīng)于網(wǎng)絡(luò)各層次的信息安全措施。但是，對于工業(yè)以太網(wǎng)功能安全和信息安全問題綜合考慮的研究相對較少。

本文基于TI最新推出的 ARM Cortex－A8工業(yè)以太網(wǎng)開發(fā)套件，設(shè)計了綜合功能安全和信息安全的協(xié)議棧。利用AM3359處理器中與ARM內(nèi)核分離的工業(yè)通信子系統(tǒng)、Cortex－A8的高速處理能力和低功耗，高效地實現(xiàn)了工業(yè)以太網(wǎng)協(xié)議棧。

1 工業(yè)以太網(wǎng)安全分析

如圖1所示，工業(yè)以太網(wǎng)控制系統(tǒng)分為信息管理層、過程控制層和現(xiàn)場設(shè)備層?，F(xiàn)場設(shè)備層通過工業(yè)以太網(wǎng)將各種現(xiàn)場設(shè)備連接起來，過程控制層主要有網(wǎng)絡(luò)連接設(shè)備、數(shù)據(jù)庫和控制臺，用于連接上下兩層，信息管理層完成整個網(wǎng)絡(luò)的信息管理、監(jiān)控和安全處理等［8］。由于信息管理層的安全問題可以歸屬于IT領(lǐng)域的信息安全，目前已有很多相關(guān)的研究［9］；過程控制層的相關(guān)設(shè)備自身都有相應(yīng)的安全保護措施［10］；而現(xiàn)場設(shè)備層，現(xiàn)場環(huán)境惡劣，安全問題突出，所以需要采取相應(yīng)的安全解決方案。

圖1 工業(yè)以太網(wǎng)控制系統(tǒng)結(jié)構(gòu)

在現(xiàn)場設(shè)備層復(fù)雜的工業(yè)自動化環(huán)境中，工業(yè)以太網(wǎng)通信中常伴有電磁、高溫、靜電、機械振動等外部干擾，會引發(fā)各種功能安全問題，如信息的篡改和破壞、數(shù)據(jù)重傳、插入、亂序、偽裝延時和尋址出錯等。網(wǎng)絡(luò)中的設(shè)備可能遭到入侵、毀壞、重放攻擊等安全威脅，威脅大致可以分為三類：外部攻擊、內(nèi)部攻擊和物理攻擊［8］。信息安全相關(guān)的威脅和可能遭受的攻擊包括訪問授權(quán)的非法獲取、控制信息的非法獲取、控制信息的篡改和破壞、未授權(quán)的網(wǎng)絡(luò)連接、重放攻擊、拒絕提供服務(wù)、病毒感染引起的系統(tǒng)崩潰和數(shù)據(jù)損壞和抵賴等。針對工業(yè)以太網(wǎng)存在的這些安全威脅，需要設(shè)計綜合功能安全和信息安全的解決方案。

2 基于Cortex－A8的工業(yè)以太網(wǎng)安全協(xié)議棧設(shè)計

TI最新推出的 ARM Cortex－A8的工業(yè)以太網(wǎng)開發(fā)套件，可幫助用戶便捷地集成工業(yè)通信標(biāo)準(zhǔn)。套件中的處理器AM3359集成了Cortex－A8微處理器和各種必需的外設(shè)，支持智能能源管理技術(shù)以及先進的高級泄漏控制技術(shù)。Cortex－A8處理器得到了大量ARM技術(shù)的支持，從而能夠?qū)崿F(xiàn)快速的系統(tǒng)設(shè)計。安全協(xié)議棧的設(shè)計基于Cortex－A8的架構(gòu)特性，底層采用了TI提供的工業(yè)以太網(wǎng)快速實現(xiàn)方案。

2.1 基于Cortex－A8的工業(yè)以太網(wǎng)開發(fā)平臺

安全協(xié)議棧的實現(xiàn)，選擇了開源ARM開發(fā)板Beaglebone作為開發(fā)平臺。由于是開源平臺，參考TI提供的工業(yè)以太網(wǎng)開發(fā)軟件包，Beaglebone開發(fā)板也可快速便捷地添加工業(yè)通信功能。圖2為開發(fā)平臺的結(jié)構(gòu)框圖，主處理器為AM3359，其中包含有用于實現(xiàn)工業(yè)以太網(wǎng)的可編程實時單元和工業(yè)通信子系統(tǒng)。開發(fā)平臺從功能上可分為基于Cortex－A8構(gòu)架的AM3359基本電路模塊、以太網(wǎng)通訊電路模塊、AM3359外擴存儲器電路模塊、輸入輸出模塊以及CAN、串口通訊、電源管理等模塊。

圖2 基于Cortex－A8的工業(yè)以太網(wǎng)開發(fā)平臺

2.2 工業(yè)以太網(wǎng)安全協(xié)議棧結(jié)構(gòu)及分析

工業(yè)以太網(wǎng)安全協(xié)議棧綜合考慮功能安全和信息安全，針對可能出現(xiàn)的功能故障，采用序列號、關(guān)系密鑰、時間戳、時間預(yù)期和CRC校驗等安全措施保障功能安全；為實現(xiàn)信息安全采用的措施有設(shè)備鑒別、訪問控制和信息加密。

工業(yè)以太網(wǎng)安全協(xié)議棧是一個整體概念，按照網(wǎng)絡(luò)層次結(jié)構(gòu)，分層設(shè)計。如圖3所示，通過基于Cortex－A8的微處理器AM3359的可編程實時單元和工業(yè)通信子系統(tǒng)（PRU子系統(tǒng)），可以快速實現(xiàn)數(shù)據(jù)鏈路層。為保證工業(yè)以太網(wǎng)的實時性，在數(shù)據(jù)鏈路層之上設(shè)計了調(diào)度層。安全協(xié)議棧的應(yīng)用層設(shè)計成安全層，協(xié)議棧軟件在ARM Cortex－A8中實現(xiàn)。

3 基于Cortex－A8的工業(yè)以太網(wǎng)安全協(xié)議棧實現(xiàn)

如圖3所示，工業(yè)以太網(wǎng)安全協(xié)議棧軟件按照層次結(jié)構(gòu)，分為調(diào)度層、功能安全層和信息安全層，協(xié)議棧各層的實現(xiàn)建立在物理層和PRU子系統(tǒng)實現(xiàn)的數(shù)據(jù)鏈路層基礎(chǔ)上。

圖3 安全協(xié)議棧結(jié)構(gòu)

3.1 工業(yè)通信子系統(tǒng)

基于Cortex－A8的處理器 AM3359的可編程實時單元和工業(yè)通信子系統(tǒng) （PRU＿ICSS）從ARM Cortex－A8核分離，從而實現(xiàn)了針對更大效率和靈活性的獨立運行和時鐘控制。

通過PRU＿ICSS可以快速實現(xiàn)工業(yè)以太網(wǎng)的數(shù)據(jù)鏈路層，只需移植PRU固件程序。PRU驅(qū)動程序移植到Cortex－A8核中，用于協(xié)議棧對底層硬件的操作。Cortex－A8微處理器的高速處理能力和低功耗體現(xiàn)在協(xié)議棧各層實現(xiàn)部分。

3.2 工業(yè)以太網(wǎng)調(diào)度實現(xiàn)

網(wǎng)絡(luò)通信調(diào)度模型采用集中式基于表的調(diào)度方法。整個系統(tǒng)通信宏周期分為周期報文發(fā)送階段和非周期報文發(fā)送階段，周期報文發(fā)送階段主要用于從節(jié)點發(fā)送周期報文，非周期報文發(fā)送階段用于處理網(wǎng)絡(luò)中的非周期性事件。主節(jié)點首先發(fā)送綜合各從節(jié)點信息生成的調(diào)度表，每個從節(jié)點在收到調(diào)度表后，找到自己需要發(fā)送報文的編號和時刻，按照指定時間發(fā)送。所以，主從節(jié)點的時間精度對調(diào)度的影響很大。

網(wǎng)絡(luò)中只能有一個主節(jié)點用于監(jiān)控和調(diào)度，若有5個從節(jié)點，經(jīng)過計算若調(diào)度宏周期為1ms，時間槽為100us，非周期階段為200us。于是，在周期階段，5個從節(jié)點每隔100us發(fā)送一次周期報文，不會產(chǎn)生沖突；非周期階段200us用于處理一次優(yōu)先級最高的非周期事件。

調(diào)度實現(xiàn)包括主從節(jié)點的狀態(tài)機、主節(jié)點集中調(diào)度和從節(jié)點服從調(diào)度。主從節(jié)點狀態(tài)機轉(zhuǎn)換表示了整個主從節(jié)點組建網(wǎng)絡(luò)和處理網(wǎng)絡(luò)事件的狀態(tài)變換過程。整個調(diào)度主要包括主節(jié)點的調(diào)度表構(gòu)建及發(fā)送，和從節(jié)點的解析調(diào)度表和發(fā)送周期報文。為確保時間精度，主節(jié)點在linux下使用了POSIX高精度定時器，理論定時精度為1ns，實際為10us左右；從節(jié)點使用AM3359內(nèi)部的32位通用定時器。調(diào)度的實現(xiàn)，避免了報文沖突，實時性在一定程度上得到了保證。

3.3 工業(yè)以太網(wǎng)功能安全實現(xiàn)

工業(yè)以太網(wǎng)通信過程中，由于電磁干擾、機械振動等因素可能導(dǎo)致報文破壞、非預(yù)期重傳、延時、尋址出錯等故障，結(jié)合Cortex－A8的結(jié)構(gòu)功能特性，采用序列號、關(guān)系密鑰、時間戳、時間預(yù)期和CRC校驗這五項安全措施對這些故障進行檢測和防范。功能安全層在調(diào)度層之上，包括安全發(fā)送和接收過程。安全發(fā)送之前只需在報文中加上序列號、時間戳，獲取關(guān)系密鑰及CRC校驗值。安全接收則需要對安全報文進行解析，解析過程如圖4所示，Cortex－A8的高速處理能力能夠減小安全報文處理造成的延時。

圖4 安全解析流程

3.4 工業(yè)以太網(wǎng)信息安全實現(xiàn)

由于工業(yè)以太網(wǎng)與現(xiàn)有信息網(wǎng)絡(luò)的無縫結(jié)合，使得以往相對獨立的工業(yè)控制網(wǎng)絡(luò)出現(xiàn)了信息安全問題。針對常見的安全問題，采取了常用的設(shè)備鑒別、訪問控制和信息加密措施，為在基于Cortex－A8微處理器上進行實現(xiàn)，對這些措施都做了適應(yīng)性的修改。

3.4.1 基于器件識別號的設(shè)備鑒別

為了能夠有效地防止由于外部設(shè)備的非法接入而產(chǎn)生的對整個控制網(wǎng)絡(luò)的威脅，在現(xiàn)場設(shè)備初次接入網(wǎng)絡(luò)，或者掉電后重新接入時，都必須和監(jiān)控主節(jié)點完成設(shè)備鑒別過程。

設(shè)備鑒別過程包括現(xiàn)場設(shè)備產(chǎn)生鑒別碼并發(fā)送和監(jiān)控節(jié)點接收鑒別碼并解析。為提高安全性，使用了功能安全部分的序列號，加上密鑰，與設(shè)備屬性三者異或加密成鑒別碼。鑒別碼解析如圖5所示，解密過程仍然要用到序列號和密鑰，密鑰可從時間戳中獲取，安全頭部用于功能安全部分。將基于Cortex－A8的 AM3359器件識別號作為設(shè)備屬性，設(shè)備屬性列表包含了所有的設(shè)備屬性。若解密出來的設(shè)備屬性標(biāo)識在屬性列表中有相同的，則通過設(shè)備鑒別，可允許接入控制網(wǎng)絡(luò)。

圖5 設(shè)備鑒別接收過程

3.4.2 基于高速緩存的訪問控制

訪問控制是針對越權(quán)使用資源或非法操作的防御措施。訪問控制就是要對訪問的申請，批準(zhǔn)和撤銷的全過程進行有效的控制，以確保只有合法用戶的合法訪問才能得到批準(zhǔn)，而且被批準(zhǔn)的訪問只能進行授權(quán)的操作。

訪問控制表是以文件為中心建立的訪問權(quán)限表。訪問控制的實現(xiàn)主要在于動態(tài)維護一個訪問控制表，所有用戶初始分配普通訪問權(quán)限。只有經(jīng)過權(quán)限申請，并得到監(jiān)控節(jié)點同意后才能使用特殊權(quán)限。訪問控制表存放在基于Cortex－A8的AM3359的片載存儲器，片載存儲器為共享高速緩存，可提高訪問速度。訪問控制過程如圖6所示，用戶生成訪問控制字段，提供用于匹配訪問控制列表的信息，若條件不匹配則拒絕訪問。

圖6 訪問控制過程

3.4.3 基于超標(biāo)量流水線的信息加密

信息加密能有效防止機密控制信息的泄露及篡改等。加密方法主要是加密算法的選擇，在性能允許的的前提下，選擇了對稱分組加密算法DES。采用線性同余算法從時間戳字段獲取關(guān)系密鑰，利用Cortex－A8的超標(biāo)量流水線，包括雙算術(shù)邏輯單元流水線、乘法器和加載存儲流水線，提高運算速度，以減小對網(wǎng)絡(luò)實時性的影響。

DES加密算法的實現(xiàn)包括生成密鑰和數(shù)據(jù)加密。生成密鑰又分為取得密鑰，等分密鑰，密鑰移位和密鑰選取。數(shù)據(jù)加密包括取得數(shù)據(jù)，初始換位，數(shù)據(jù)擴展，數(shù)據(jù)壓縮，數(shù)據(jù)換位，交換數(shù)據(jù)迭代和數(shù)據(jù)整理。數(shù)據(jù)解密和加密算法相同，區(qū)別在于數(shù)據(jù)擴展時所使用的密鑰不同，加密時用第i次迭代密鑰，解密時用17－i次迭代密鑰。

4 實驗結(jié)果及分析

為驗證工業(yè)以太網(wǎng)安全協(xié)議棧的作用，根據(jù)現(xiàn)有資源，搭建了相應(yīng)的實驗平臺，實驗平臺基于章節(jié)1中提到的工業(yè)以太網(wǎng)控制系統(tǒng)。系統(tǒng)中一共包含三個Beaglebone開發(fā)板作為從節(jié)點，PC機作為主節(jié)點，另一臺PC機作為測試機，通過交換機連接在一起，如圖7所示。實驗時采用兩組網(wǎng)絡(luò)對比測試的方法，一組為普通網(wǎng)絡(luò)，協(xié)議棧不包含安全部分；另一組采用了安全協(xié)議棧，稱為安全網(wǎng)絡(luò)。

圖7 測試實驗平臺實物

測試時由測試機向系統(tǒng)注入不同的故障，由于不具備實際工業(yè)環(huán)境，所以通過使用群脈沖干擾儀產(chǎn)生強烈外部干擾來簡單模擬。通過插入相關(guān)故障生成代碼模擬插入、重傳、丟失、破壞、亂序和延時故障。對于插入、重傳，一次按鍵注入一次故障；而丟失、破壞、亂序和延時則是一次按鍵注入5次故障。

入侵攻擊測試通過在現(xiàn)場控制層接入非法設(shè)備 （FPGA開發(fā)板），頻繁接入或接入多個。對主節(jié)點連續(xù)進行強行口令攻擊，口令攻擊通過在測試機上用嗅探器sniffer軟件發(fā)送報文來模擬，設(shè)置一位口令密碼。測試機注入冰河木馬病毒，通過網(wǎng)絡(luò)感染主節(jié)點，進而竊取整個網(wǎng)絡(luò)的控制信息。

表1列出了實際測試時注入的故障和模擬的攻擊類型，以及通過抓包軟件wireshark分析后的測試結(jié)果。測試過程中記錄兩組網(wǎng)絡(luò)在發(fā)生不同故障和攻擊時網(wǎng)絡(luò)的具體狀態(tài)，以及安全協(xié)議棧造成的網(wǎng)絡(luò)延時，測試結(jié)果見表1。由表中內(nèi)容可知，在同樣的測試環(huán)境下，當(dāng)發(fā)生功能故障時，使用了安全協(xié)議棧的網(wǎng)絡(luò)能夠即時處理，使得網(wǎng)絡(luò)故障概率降至5%以下，而普通網(wǎng)絡(luò)出現(xiàn)故障的概率在95%以上。不過，安全協(xié)議的加入使得網(wǎng)絡(luò)產(chǎn)生了一定的延時，若實時性要求非常高，還需要對協(xié)議進行相應(yīng)的優(yōu)化。當(dāng)發(fā)生網(wǎng)絡(luò)攻擊時，安全網(wǎng)絡(luò)能將攻擊成功次數(shù)從普通網(wǎng)絡(luò)的90%以上降至10%以下。從實驗結(jié)果可以看出采用安全協(xié)議之后，有效地提高了網(wǎng)絡(luò)的安全防御性能。

表1 實際測試結(jié)果

5 結(jié)束語

本文綜合考慮工業(yè)以太網(wǎng)的功能安全和信息安全，結(jié)合Cortex－A8的架構(gòu)特性，設(shè)計了工業(yè)以太網(wǎng)安全協(xié)議棧。利用基于Cortex－A8的AM3359處理器的工業(yè)通信子系統(tǒng)、高速處理能力和低功耗，高效地實現(xiàn)了協(xié)議棧。在故障注入和模擬入侵的情況下，對協(xié)議棧進行了相關(guān)的實驗，實驗結(jié)果表明，安全協(xié)議棧能有效地減少系統(tǒng)故障和防御入侵攻擊。下一步將分析工業(yè)以太網(wǎng)控制系統(tǒng)安全與實時性的關(guān)系，并通過優(yōu)化安全協(xié)議棧提高系統(tǒng)實時性能。

：

［1］MA Shiping.The current standards of fieldbus and industrial Ethernet technology ［J］.Mechatronics，2007，13 （3）：6－13（in Chinese）.［馬世平.現(xiàn)場總線標(biāo)準(zhǔn)的現(xiàn)狀和工業(yè)以太網(wǎng)技術(shù) ［J］.機電一體化，2007，13（3）：6－13.］

［2］RUAN Dongru，XIE Dongguang.Security of industrial Ethernet［J］.Control Engineering of China，2006，13（Suppl）：112－114（in Chinese）.［阮冬茄，謝東光.工業(yè)以太網(wǎng)中的安全問題 ［J］.控制工程，2006，13（增刊）：112－114.］

［3］Hiroo Kanamaru，Taro Harima.Safety field network technology and its implementation［C］／／Tokyo：SICE Annual Conference，2008：1487－1490.

［4］YU Shujun.The research of key technology in EPA security［D］.Chongqing：Chongqing University of Posts and Telecommunications，2006：11－21 （in Chinese）.［余淑軍.EPA 系統(tǒng)的關(guān)鍵安全技術(shù)的研究 ［D］.重慶：重慶郵電大學(xué)，2006：11－21.］

［5］Thomas Novak，Andreas Gerstinger.Safety and security－critical services in building automation and control systems［J］.IEEE Transactions on Industrial Electronics，2010，57 （11）：3614－3621.

［6］JIE Peng，LI Liu.Security of industrial control system ［C］／／Nanchang：International Conference on Electric and Electronics，2011：959－964.

［7］WANG Hao，CHEN Minna，WANG Ping.Information security technology of EPA system ［J］.Process Automation Instrumentation，2006，27（9）：9－12 （in Chinese）.［王浩，陳敏娜，王平.EPA的信息安全技術(shù) ［J］.自動化儀表，2006，27（9）：9－12.］

［8］WANG Hao，MI Mingrui，LIU Jie，et al.Design and implementation of security solution in EPA network［J］.Automation＆Instrumentation，2011，26（3）：24－30 （in Chinese）.［王浩，秘明睿，劉杰，等.EPA網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn) ［J］.自動化與儀表，2011，26（3）：24－30.］

［9］LIU Quan.Information security research of networked control system［J］.Control ＆ Manament，2006，22（18）：87－90 （in Chinese）.［劉全.網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究 ［J］.微計算機信息，2006，22（18）：87－90.］

［10］ZHENG Yanping.Network equipment security measure and realization ［J］.Coal Technology，2011，30 （12）：206－207（in Chinese）.［鄭彥平.網(wǎng)絡(luò)設(shè)備安全措施與實現(xiàn) ［J］.煤炭技術(shù)，2011，30（12）：206－207.］