李 浩，陸 陽，周森鑫

（1．合肥工業(yè)大學 計算機與信息學院，安徽 合肥 230009；2．安徽財經大學 管理科學與工程學院，安徽 蚌埠 233030）

可信工業(yè)控制網絡研究

李 浩1,2，陸 陽1，周森鑫2

（1．合肥工業(yè)大學 計算機與信息學院，安徽 合肥 230009；2．安徽財經大學 管理科學與工程學院，安徽 蚌埠 233030）

傳統(tǒng)獨立封閉的工業(yè)控制系統(tǒng)安全不能滿足當前的客觀需求.本文針對這一問題，在分析可信網絡和可信計算的基礎上，結合工業(yè)控制系統(tǒng)的特點，提出可信工業(yè)控制網絡的概念，揭示了其三大基本屬性，即安全性、可生存性和可控性.隨后提出一種可行的可信工業(yè)控制網絡體系結構，并詳細闡述了其基本工作原理.

可信工業(yè)控制網絡；安全性；可生存性；可控性

1 簡介

工業(yè)控制系統(tǒng)（Industrial Control Systems,ICSs）廣泛的應用于工業(yè)生產控制中，如化學化工生產、工藝品加工、農作物規(guī)?；喔取㈦娏⑦\輸和航天技術、石油和天然氣精煉等.工業(yè)控制系統(tǒng)是實現(xiàn)工業(yè)生產自動化的關鍵，在工業(yè)生產中發(fā)揮的作用越來越大，已成為衡量一個國家工業(yè)水平的重要指標.然而，工業(yè)控制系統(tǒng)的安全事故的發(fā)生，帶來的損失也非常巨大，工業(yè)安全事件信息庫（Repository of Security Incidents,RISI）統(tǒng)計數(shù)據(jù)表明：截止到2011年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的安全事件. 2010年伊朗“震網”病毒的爆發(fā)徹底將工業(yè)控制系統(tǒng)的安全問題暴露出來，引起廣泛的關注；我國的7.23甬溫線高鐵交通事故造成40人死亡、約200人受傷，直接經濟損失達19371.65萬元[1].類似事件的時有發(fā)生，越來越引起人們對工業(yè)控制系統(tǒng)“可信”的重視.工業(yè)控制系統(tǒng)的可信程度與人們對工業(yè)控制系統(tǒng)的依賴性的矛盾顯得日益突出.本文以可信網絡和可信計算為理論基礎，針對工業(yè)控制系統(tǒng)的特點，提出可信工業(yè)控制網絡的概念并分析其相關屬性特點，隨后提出可信工業(yè)控制網絡的一種體系結構模型并詳細分析其工作原理.

2 可信工業(yè)控制系統(tǒng)

2.1 可信系統(tǒng)

可信系統(tǒng)的概念提出已有一段歷史，然而國內外對可信系統(tǒng)的研究才剛剛起步.在文獻[2]中林闖等人認為可信網絡(tru-networks)是網絡系統(tǒng)的行為及其結果是可預期的,能夠做到行為狀態(tài)可監(jiān)測，行為結果可評估，異常行為可控制.并指出可信網絡的主要特征是具有安全性、可生存性和可控性.對于可信系統(tǒng)而言，“可信”一詞不僅帶有安全的意義，更具有可生存和可控等豐富的技術內涵.

2.2 工業(yè)控制系統(tǒng)

ICSs是包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（Supervisory Control And Data Acquisition,SCADA）、分布控制系統(tǒng)（Distributed Control Systems DCS）、可編程邏輯控制器（Programmable Logic Controller,PLC）、智能電子設備（Intelligent Electronic Device,IED）、遠程終端設備（Remote Terminal Unit,RTU）和確保各組件通信的接口技術等多種類型控制系統(tǒng)的總稱，是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集和監(jiān)測的過程控制組件，構成確保工業(yè)技術設施自動化運行、過程控制和監(jiān)控的業(yè)務流程管控系統(tǒng)，是國家關鍵基礎設施運行的“大腦”和“中樞”，已成為衡量一個國家工業(yè)水平的重要指標.它是大型的、復雜的系統(tǒng)，除了實現(xiàn)控制功能外，它往往還具有信息處理、管理、決策等功能.

2.3 可信工業(yè)控制系統(tǒng)

對于工業(yè)控制系統(tǒng)而言，從傳統(tǒng)的封閉獨立向現(xiàn)代開放的網絡化集成化轉變趨勢下，如何提供一致安全可靠的服務接口和體系結構;在系統(tǒng)組件的固有脆弱性、人為的操作或管理上的失誤和漏洞以及網絡遭受攻擊客觀存在的情況下,如何保障系統(tǒng)服務的可生存性;在保證系統(tǒng)實時高效傳輸數(shù)據(jù)的基礎上,如何提供強大監(jiān)控能力，并對異常情況及時的做出響應和措施等，都是當前可信工業(yè)控制系統(tǒng)必須綜合考慮的重要問題.在傳統(tǒng)的工業(yè)控制系統(tǒng)安全屬性的基礎上引入“可信”的概念，使工業(yè)控制系統(tǒng)不僅具有安全的意義，更具有可控和可生存的屬性.因此，將其定義如下：可信工業(yè)控制系統(tǒng)是指在系統(tǒng)運行時間內，在系統(tǒng)及組件存在固有的脆弱性，操控、管理不當以及遭受自然或人為的破壞、網絡攻擊等異常情況下，系統(tǒng)運行不中斷、依然能夠完成相應功能或主要功能的系統(tǒng)，并且能夠做到系統(tǒng)狀態(tài)可監(jiān)視，出現(xiàn)異?？烧瓶兀袨榻Y果可估測.

3 可信工業(yè)控制系統(tǒng)的相關屬性

根據(jù)定義，可信工業(yè)控制系統(tǒng)應具有安全性、可控性和可生存性三個屬性.從用戶的角度出發(fā)，可信的工業(yè)控制系統(tǒng)需要保障服務的安全性和可生存性，從設計的角度出發(fā)則需要提供系統(tǒng)的可控性.因此，三個屬性之間不是彼此分散、孤立的，而是相互聯(lián)系、密不可分的.

3.1 安全性

工業(yè)控制網絡是一個特殊網絡控制系統(tǒng)，整個網絡可分為處于管理層的通用以太網、處于監(jiān)控層的工業(yè)以太網以及處于執(zhí)行層的現(xiàn)場設備(如現(xiàn)場總線).管理層的安全性往往涉及的是信息的機密性和完整性問題，即保證正確的人訪問正確的信息、所有的信息是完整正確的，未被篡改、刪除和破壞.監(jiān)控層的安全性除了涉及設備和人員及操作安全外，最主要的是信息的實時性和有效性問題，即能夠實時有效的進行監(jiān)視和控制，并對異常信息能夠立即響應；執(zhí)行層的安全性主要涉及到設備的可靠性和可用性，即保證系統(tǒng)和設備的性能是可靠的，時時處于可用狀態(tài).

3.2 可生存性

可生存性指系統(tǒng)在遭受攻擊、故障或意外事故時依然能夠完成任務，并能在一定的時間內修復被損壞的服務的能力[3].工業(yè)控制系統(tǒng)的可生存性要求系統(tǒng)在完成基本服務的同時仍然保持其數(shù)據(jù)完整性、機密性和可用性等其基本屬性.因此，可生存性要求系統(tǒng)設計使其具有自測試、自診斷、自修復和自組織等能力.當前，容錯、容侵和面向恢復的計算是提高系統(tǒng)服務可生存性的常用手段.

3.3 可控性

網絡的可控性是可信工業(yè)控制網絡在設計上的一個重要屬性.從可信的角度來說，筆者認為可信工業(yè)控制網絡的可控性是指系統(tǒng)在運行過程中，在出現(xiàn)未檢測到的或是突然的異常（如遭到自然的或惡意的破壞）情況下，系統(tǒng)具有某種機制可以對這種異常進行及時有效處理，使系統(tǒng)能夠恢復正?；蚴鞘箵p失降到最小.工業(yè)控制網絡發(fā)展至今，已成為一個龐大的非線性復雜系統(tǒng)，如何解決工業(yè)網絡的可控性，建立內在的、關聯(lián)的安全可信的工業(yè)控制網絡可控模型，在理論和技術上仍是值得我們探索的一個難題.

4 一種可信工業(yè)控制網絡的體系結構

通過以上對可信工業(yè)控網絡的三個基本屬性分析，結合文獻[4-8]中當前可行的可信關鍵技術如：訪問控制、認證、審計、內容過濾等以及文獻[9、10]中的信任機制，構建可信工業(yè)控制網絡的體系結構模型如圖1：

圖1 可信工業(yè)控制網絡體系結構

4.1 可信工業(yè)網絡的組成

可信工業(yè)控制網絡由內部企業(yè)網絡（Enterprise Network,EN）、現(xiàn)場過程控制網絡（Process Control Network, PCN）以及處于兩者之間的隔離非軍事區(qū)（Demilitarized Zone,DMZ）[11]和AAA服務器等組成.

4.1.1 企業(yè)內部網絡（Enterprise Network,EN）組成

（1）可信PC機：根據(jù)TCG[12]的規(guī)范，可信PC是在主板上嵌有可信構建模塊(Trusted Building Blocks,TBB),即可信PC平臺的信任根,它由可信測量的根核(core root of trust for measurement,CRTM)和可信平臺模塊(trusted platform module,TPM)以及它們同主板之間的連接接口組成.

（2）可信網絡接入設備（Trust Network Access Device, TNAD）：所有的客戶端（Client）訪問網絡都要經過TNAD. TNAD是帶有具有可信驗證功能的可信緩沖模塊的網絡連接設備,如：可信交換機、可信路由器、VPN集中器和可信無線接入點.

4.1.2 隔離非軍事區(qū)（Demilitarized Zone,DMZ）組成

（1）歷史數(shù)據(jù)服務器（Data Historian Server）：用于提供備份數(shù)據(jù)，主要功能是冗余和容錯，是系統(tǒng)可生存性的保障.

（2）可控制服務器(Controllability server)：提供緊急控制服務，當系統(tǒng)出現(xiàn)未知的或緊急異常，導致通常的控制失效時，可由此服務器提供緊急控制措施.

4.1.3 AAA服務器組成

（1）AAA服務器：即認證（Authentication）、授權（Authorization）、訪問控制（Access Control）服務器.驗證用戶是否可以獲得訪問權限，授權用戶可以使用哪些服務，記錄用戶使用網絡資源的情況.

（2）狀態(tài)認定/修復服務器（Posture Validation/Remediation Server）：對所有要接入網絡的終端設備進行狀態(tài)掃描，并修復狀態(tài)異常的設備.

（3）根服務器（Directory Server）：記錄每個設備或用戶的身份信息.

（4）審計服務器（Audit server）：記錄系統(tǒng)在工作過程中產生的大量日志和事件.

4.1.4 現(xiàn)場過程控制網絡（Process Control Network,PCN）組成

PCN主要由一些傳感器、執(zhí)行器和若干交換機以及一些低端控制設備組成，主要有：智能監(jiān)控單元（MTU）、遠程終端單元（RTUs）、智能電子設備（IEDs）、可編程邏輯控制器（PLCs）、操作控制臺或人機交互接口（HMIs）等.

4.2 可信工業(yè)控制網絡使用的相關協(xié)議

可信工業(yè)控制網絡可以使用現(xiàn)有的標準和協(xié)議，從技術上具有可行性，并可以減少構建可信工業(yè)控制網絡的代價.除了使用TCP/IP協(xié)議通過防火墻與Internet通信外；內部還可以使用IPSec協(xié)議來強化通訊的信息安全[13、14]，使用EAP和 802.1x協(xié)議進行身份認證[14-16]，使用HCAP（主機憑據(jù)授權協(xié)議）協(xié)議來規(guī)范認證通信[14、16]，AAA服務器和審計服務器之間可以使用GAME協(xié)議來進行通信[14、17].

4.3 可信工業(yè)控制網絡的工作原理

4.3.1 安全性機制

（1）用戶的登陸：

圖2 可信網絡用戶登陸流程圖

為了保證網絡的安全性，如圖2，用戶登錄時，利用基于角色的訪問控制技術確定用戶的身份和權限，如果登錄成功，帶有TBB模塊的主機開始初始化，檢測自身的硬件和軟件是否正常，并把狀態(tài)報告投遞給具有可信驗證功能的TNAD設備，如果狀態(tài)達標，則允許主機接入網絡，成為可信節(jié)點.TNAD設置有受信緩沖區(qū)，作為主機之間的數(shù)據(jù)緩沖池和安全帶.一來過濾數(shù)據(jù)內容，發(fā)現(xiàn)并及時制止惡意網絡行為，二來可以減輕網絡數(shù)據(jù)傳輸壓力.

（2）可信節(jié)點之間的通信：

圖3 可信節(jié)點之間的通信

用戶在使用主機處理數(shù)據(jù)時，如圖3使用文獻[4]中的kerberos技術控制主機資源，防止用戶非法使用系統(tǒng)資源.用戶的數(shù)據(jù)操作由審計服務器進行記錄，實現(xiàn)不可抵賴性.主機之間的數(shù)據(jù)傳輸通過加密驗證，首先利用AAA服務器監(jiān)聽并檢測數(shù)據(jù)內容，如果內容非法，立刻終止該傳輸進程，并且由審計服務器記錄相應事件到日志文件，同時通知網絡中心.離該節(jié)點最近節(jié)點首先根據(jù)登錄用戶權限設置二者信任值，然后利用文獻[18]的信任值傳播計算方法求得該節(jié)點和其它網絡節(jié)點之間信任值，并添加到網絡中的TNAD受信緩沖區(qū)，完成主機信任值初始化.

4.3.2 可生存性機制

DMZ的歷史數(shù)據(jù)服務器（data historian）保存記錄著網絡的重要歷史數(shù)據(jù)備份，當網絡出現(xiàn)異常或是遭到攻擊導致故障時，可以啟用恢復機制，重新啟動系統(tǒng)，并從歷史數(shù)據(jù)服務器讀取備份，以恢復系統(tǒng)性能，進而實現(xiàn)系統(tǒng)的可生存性.

4.3.3 可控性機制

DMZ的可控制性服務器具有最高優(yōu)先級響應權限，可以為用戶提供對系統(tǒng)的絕對控制服務接口.當系統(tǒng)出現(xiàn)未知的或緊急異常，導致通常的控制失效時，可由此服務器提供緊急控制措施.以避免危險的發(fā)生和惡化以及損失的擴大.

5 結論與展望

可信概念的提出已有一段歷史，可信計算技術的發(fā)展也有了較大的進步，可信技術在網絡上的應用已成為國內外眾多學者研究的熱點，然而將可信技術應用到工業(yè)控制網絡方面的相關理論和文獻還比較少見.針對現(xiàn)有可信網絡研究成果進行分析，發(fā)現(xiàn)相對于互聯(lián)網，工業(yè)控制網絡的特點和約束條件更適合可信網絡理論的應用和實現(xiàn).首先，工業(yè)控制網絡的硬件設施和拓撲結構相對比較固定，其信任空間容易建立；其次，現(xiàn)有的安全協(xié)議和技術手段為可信工業(yè)控制網絡的構建提供了可行性；更為主要的是，工業(yè)控制網絡對可信要求尤其迫切，具有很大的實際意義和應用價值.本文以可信網絡和可信計算為理論基礎，針對工業(yè)控制系統(tǒng)的特點，提出了可行的可信工業(yè)控制網絡的概念，并對其相關屬性進行了詳細分析，然后在此基礎上提出了可信工業(yè)控制網絡的一種體系結構，并描述了其工作原理.目前，可信工業(yè)控制網絡技術的研究與發(fā)展在我國還處于初級階段，面對的技術和理論難題還很多.我們將在后續(xù)的研究中就可信工業(yè)控制網絡的可控性和可信度量等方面進行深入研究.希望通過本文，能夠引起國內對這一領域的關注，為我國可信工業(yè)控制網絡技術的研究與發(fā)展做出貢獻.

〔1〕http://baike.baidu.com/view/6171322.htm.

〔2〕林闖，彭雪海.可信網絡研究[J].計算機學報,2005，28(5)：751-757.

〔3〕周森鑫，韓江洪，唐吳.半Markov可信工業(yè)控制以太網研究[J].計算機應用研究,2010，27(3)：1047-1051.

〔4〕劉宏月,范九倫,馬建峰.訪問控制技術研究進展[J].小型微型計算機系統(tǒng),2004,25(1):56-59.

〔5〕Andrew S Tanenbaum.計算機網絡[M].第3版.北京:清華大學出版社,2001.

〔6〕Robert R.Moeller.Computer Audit,Control and Security.New York:W iley,1989.

〔7〕何靜,劉海燕,張惠民.基于文本的內容過濾算法的比較[J].計算機工程,2002,28(11):9-10.

〔8〕劉劍波,王能,沈捷.VPN網關的設計和實現(xiàn)[J].計算機工程,2004,30(3):130-132.

〔9〕D ING L,KOLAR I P,GANJUGUNTE S,et al. Modeling and evalua2ting trust network inference:p roc.of the 7th InternationalWorkshopon Trust in Agent Societies at AAMAS[C].[S.l.]:[s.n.],2004:21232.

〔10〕沈昌祥,張煥國,馮登國,等.信息安全綜述,中國科學E輯:信息科學,2007.37(2)：129-150.

〔11〕K.Stouffer,J.Falco,K.Scarfone,N IST guide to industrial control systems(ICS)Security,Second Public Draft,in: NIST Special Publication 800-82,NIST,2007.

〔12〕Trusted Computing Group.TCG Specification Architecture Overview [EB/OL].[2005-03-01].https:// www.trustedcomputinggroup.org.

〔13〕Cisco NAC Appliance-Clean Access Manager Installation and Configuration Guide,Release 4.1(2),Cisco Systems,Inc,2007.

〔14〕Network Adm ission Control (NAC), Technical Overview,Cisco Systems,Inc,2005.

〔15〕Cisco TrustSec:Enabling Sw itch Security Services, W hite Paper,Cisco Systems,Inc,December 2007.

〔16〕Implementing Network Adm ission Control Phase One Configuration and Deployment,Version 1.1,Cisco Systems,Inc,2005.

〔17〕D.D.Capite,Self-Defending Networks:The Next Generation of Network Security,Cisco Press,2006.

〔18〕張京循,金妍.基于對等網絡的信任模型[J].濟南大學學報(自然科學版),2002,16(4):343-345.

TP13；TP393

A

1673-260X（2014）02-0003-03

安徽省高等學校自然科學研究重大項目（2009ZD009）