陳功譜 曹向輝 孫長銀

摘要信息物理系統(tǒng)（CPS）融合控制、通信和計(jì)算等技術(shù)，使人與物理世界的交互更加便利.在智慧城市、智能電網(wǎng)、智能制造等領(lǐng)域，CPS被廣泛認(rèn)為是一項(xiàng)革命性技術(shù).在這些應(yīng)用中，由于信息安全引起的CPS系統(tǒng)安全問題，成為系統(tǒng)設(shè)計(jì)必須考慮的關(guān)鍵因素之一，并受到越來越多研究者的關(guān)注.本文旨在提供針對CPS安全問題研究的一種視角.首先介紹了幾類具有強(qiáng)大破壞力的信息安全攻擊，進(jìn)而對現(xiàn)有針對這些攻擊的分析、檢測與防御方法進(jìn)行了綜述.最后討論了CPS安全研究仍然存在的挑戰(zhàn).關(guān)鍵詞信息物理系統(tǒng)；系統(tǒng)安全；隱私；信息攻擊

中圖分類號(hào)TP13

文獻(xiàn)標(biāo)志碼A

近年來，隨著嵌入式系統(tǒng)、網(wǎng)絡(luò)通信、泛在感知與計(jì)算、自動(dòng)控制等技術(shù)的不斷發(fā)展與交叉融合，信息世界與物理世界的交互不斷深入，促使了信息物理系統(tǒng)（CyberPhysical System，CPS）的提出和發(fā)展.CPS的概念盡管早在2006年就由Helen Gill在美國國家科學(xué)基金會(huì)會(huì)議上提出[1]，并很快引起了廣泛的關(guān)注與研究，但由于其自身的高復(fù)雜度和較廣泛的學(xué)科交叉，人們從各自領(lǐng)域出發(fā)給出了不同的定義方式.例如，加州大學(xué)伯克利分校的Shankar Sastry認(rèn)為信息物理系統(tǒng)就是集成了通信、計(jì)算和存儲(chǔ)，能實(shí)時(shí)、可靠、安全、穩(wěn)定地運(yùn)行，并且能監(jiān)控物理世界各實(shí)體的網(wǎng)絡(luò)化計(jì)算機(jī)系統(tǒng)[2].而另一學(xué)者Edward A.Lee則認(rèn)為信息物理系統(tǒng)是一系列計(jì)算進(jìn)程和物理進(jìn)程的緊密集成，通過計(jì)算核心來監(jiān)控物理實(shí)體的運(yùn)行，而物理實(shí)體又借助于網(wǎng)絡(luò)和計(jì)算部件實(shí)現(xiàn)對環(huán)境的感知和控制[3].美國國家科學(xué)基金會(huì)將信息物理系統(tǒng)定義為依賴于計(jì)算算法和物理現(xiàn)實(shí)部件無縫融合基礎(chǔ)上的人工系統(tǒng)[4].

CPS融合了控制、通信與計(jì)算等技術(shù)（即所謂的Control，Communication，Computation組成的3C技術(shù)），通過對物理對象的認(rèn)知、通信和控制實(shí)現(xiàn)人與物理世界進(jìn)行交互的信息化、自動(dòng)化和智能化[57]，其基本結(jié)構(gòu)如圖1所示.CPS在航空航天、工業(yè)生產(chǎn)、智能電網(wǎng)、交通系統(tǒng)以及遠(yuǎn)程醫(yī)療等領(lǐng)域具有廣泛的應(yīng)用前景[810].例如，德國政府提出“工業(yè)40”戰(zhàn)略，通過打造由智能化的機(jī)械、存儲(chǔ)系統(tǒng)和生產(chǎn)手段構(gòu)成并應(yīng)用于智能工廠的“網(wǎng)絡(luò)物理融合生產(chǎn)系統(tǒng)”，使德國成為新一代工業(yè)技術(shù)的供應(yīng)國和主導(dǎo)市場的核心力量，進(jìn)一步提升了全球競爭力[11].我國政府也高度重視網(wǎng)絡(luò)化系統(tǒng)的重要性，國務(wù)院2015年發(fā)布的《中國制造2025》規(guī)劃中多次提到網(wǎng)絡(luò)系統(tǒng)的建設(shè)，特別要求“針對信息物理系統(tǒng)網(wǎng)絡(luò)研發(fā)及應(yīng)用需求，組織開發(fā)智能控制系統(tǒng)、工業(yè)應(yīng)用軟件、故障診斷軟件和相關(guān)工具、傳感和通信系統(tǒng)協(xié)議，實(shí)現(xiàn)人、設(shè)備與產(chǎn)品的實(shí)時(shí)聯(lián)通、精確識(shí)別、有效交互與智能控制”[12].

系統(tǒng)安全是CPS面向?qū)嶋H應(yīng)用的關(guān)鍵性新問題.在CPS中，信息空間和物理空間的深度融合帶來了重要的技術(shù)優(yōu)勢，但同時(shí)也使攻擊者可能通過攻擊信息空間來侵入物理空間，進(jìn)而對后者恣意破壞，其破壞程度之大、危險(xiǎn)系數(shù)之高往往是CPS設(shè)計(jì)者和管理者始料未

學(xué)報(bào)（自然科學(xué)版），2017，9（4）：372380 Journal of Nanjing University of Information Science and Technology（Natural Science Edition），2017，9（4）：372380

陳功譜，等.信息物理系統(tǒng)安全問題研究進(jìn)展.

及的.例如，2015年12月23日，烏克蘭西部地區(qū)約225萬居民家中

停電數(shù)小時(shí)，部分地方甚至引起民眾恐慌，而該事件被認(rèn)為是一例網(wǎng)絡(luò)攻擊造成的大停電事件[13].面對信息攻擊，工業(yè)控制網(wǎng)絡(luò)也無法幸免，如圖2所示，據(jù)來源于權(quán)威機(jī)構(gòu)ICSCERT 和OSVDB 工控網(wǎng)絡(luò)安全數(shù)據(jù)庫的數(shù)據(jù)表明，自2010年起，安全事故數(shù)量逐年大幅上升，特別是重大工業(yè)控制網(wǎng)絡(luò)安全事件呈現(xiàn)爆炸式增長[14].近年來，由于信息空間安全引起的CPS系統(tǒng)安全問題受到越來越多的學(xué)者和研究人員的關(guān)注.

雖然攻擊信息空間仍然是針對CPS的主要攻擊手段，但是CPS安全問題和傳統(tǒng)的信息安全問題存在很大不同，主要表現(xiàn)在以下幾個(gè)方面[1517]：

1） CPS不再區(qū)分安全等級(jí)[16].傳統(tǒng)的信息系統(tǒng)對系統(tǒng)內(nèi)的各組件是區(qū)分安全等級(jí)的，如服務(wù)器的安全等級(jí)要高于網(wǎng)絡(luò)邊緣的客戶端的等級(jí)，因此服務(wù)器的防御要高于客戶端.但是在CPS中沒有這種區(qū)分，中心的控制器和邊緣的執(zhí)行器對系統(tǒng)安全的重要性是同等的.

2） 軟件補(bǔ)丁和頻繁的更新不再適用于CPS[17].在傳統(tǒng)的信息系統(tǒng)中經(jīng)常使用補(bǔ)丁和更新的方式來改進(jìn)防御系統(tǒng)，但是CPS往往涉及到大規(guī)模工業(yè)生產(chǎn)或者重要基礎(chǔ)設(shè)施，而更新和升級(jí)補(bǔ)丁需要暫時(shí)停止系統(tǒng)運(yùn)行，這不僅需要事先制定復(fù)雜的脫機(jī)計(jì)劃，還往往意味著相當(dāng)?shù)慕?jīng)濟(jì)損失.

3） CPS對實(shí)時(shí)性和可靠性的要求不同于信息系統(tǒng)[16].信息系統(tǒng)是所謂軟實(shí)時(shí)系統(tǒng)，它對實(shí)時(shí)性的要求是在一定的時(shí)間長度內(nèi)完成操作.而CPS是硬實(shí)時(shí)系統(tǒng)，它要求的是在一個(gè)固定的時(shí)間節(jié)點(diǎn)之前完成操作.對于信息系統(tǒng)來說，達(dá)不到實(shí)時(shí)性要求可能只會(huì)降低服務(wù)質(zhì)量，但對于CPS來說，錯(cuò)過系統(tǒng)要求的時(shí)間節(jié)點(diǎn)往往就意味著整個(gè)系統(tǒng)運(yùn)行的失敗.

如前所述，與傳統(tǒng)的信息安全相比，CPS安全面臨的是更加嚴(yán)峻、更加復(fù)雜的情況，而且由于CPS與國民生產(chǎn)和人類生活的緊密聯(lián)系，其重要性比傳統(tǒng)信息安全有過之而無不及，所以急需更多研究者的關(guān)注和努力.

1CPS安全威脅

由于信息物理系統(tǒng)中信息空間與物理空間的高度融合，通過入侵信息空間進(jìn)而破壞整個(gè)系統(tǒng)的信息攻擊成為CPS的主要安全威脅.在網(wǎng)絡(luò)通信的發(fā)展中，信息攻擊始終是揮之不去的安全隱患，并且隨著通信技術(shù)的發(fā)展也一直在發(fā)展，甚至早在CPS提出之前就已經(jīng)形成了種類繁多的攻擊方式，而現(xiàn)在這些攻擊大多也可以直接對信息物理系統(tǒng)造成破壞.根據(jù)攻擊者是否具有被攻擊系統(tǒng)的相關(guān)知識(shí)，信息攻擊大體可以分為以下幾種方式：

1）干擾通信.攻擊者通過干擾甚至阻斷系統(tǒng)中節(jié)點(diǎn)之間的通信鏈接和數(shù)據(jù)包路由，使系統(tǒng)喪失實(shí)時(shí)管控能力，從而對系統(tǒng)的運(yùn)行和性能造成破壞.由于攻擊者的目的是破壞系統(tǒng)通信，干擾甚至截?cái)嘞到y(tǒng)的信息流，因此這種攻擊方式對攻擊者相關(guān)知識(shí)要求較低，攻擊者只需要從一般化的通信信道著手就可實(shí)施攻擊，甚至幾乎不需要了解系統(tǒng)中物理對象的相關(guān)信息.此外，由于攻擊者并不關(guān)心通信中傳遞的數(shù)據(jù)內(nèi)容，所以對數(shù)據(jù)進(jìn)行加密傳輸很難對這種攻擊構(gòu)成挑戰(zhàn).干擾通信最主要的方式就是DOS攻擊[19].DOS攻擊一般通過向網(wǎng)絡(luò)發(fā)送大量的數(shù)據(jù)，使網(wǎng)絡(luò)忙于處理這些無意義的數(shù)據(jù)從而無法響應(yīng)正常服務(wù)請求.DOS攻擊的攻擊者只需要掌握系統(tǒng)組件之間的通信協(xié)議，就可以據(jù)此開展多種形式的攻擊，包括對控制器或網(wǎng)絡(luò)進(jìn)行泛洪攻擊[20]、對控制器或網(wǎng)絡(luò)發(fā)送無效數(shù)據(jù)致其非正常終止運(yùn)行、DDOS攻擊和信道擁塞攻擊等.其中信道擁塞攻擊（channel jamming attack）是DOS攻擊的一種主要形式，它通過干擾無線信號(hào)來降低接收端的信噪比，從而破壞現(xiàn)有的無線通信[21].文獻(xiàn)[22]指出，擁塞攻擊是無線傳感器網(wǎng)絡(luò)（WSNs）領(lǐng)域面臨的最嚴(yán)重威脅，因?yàn)樗梢詿o視WSNs的初始化設(shè)計(jì)和上層安全機(jī)制，輕易地使目標(biāo)系統(tǒng)陷入混亂.此外，WSNs在實(shí)際應(yīng)用中的諸多限制，如較低的計(jì)算能力、有限的存儲(chǔ)資源和能量資源以及使用不安全的通信信道等，更加削弱了其對擁塞攻擊的抵抗力.

2）獲取隱私.攻擊者對系統(tǒng)中節(jié)點(diǎn)間的通信數(shù)據(jù)、數(shù)據(jù)流向及流量等信息進(jìn)行監(jiān)聽，經(jīng)過適當(dāng)?shù)臄?shù)據(jù)分析技術(shù)，竊取系統(tǒng)中的關(guān)鍵參數(shù)、運(yùn)行數(shù)據(jù)等隱私信息，理解并掌握系統(tǒng)的運(yùn)行狀態(tài)，從而有利于其采取進(jìn)一步的入侵式攻擊.竊聽者需要對系統(tǒng)具有一定的相關(guān)知識(shí)，才能從監(jiān)聽到的數(shù)據(jù)中分析得到想要的、有價(jià)值的信息.攻擊者可以通過特殊的設(shè)備和軟件來竊聽系統(tǒng)正在使用的信道，捕獲其中傳輸?shù)臄?shù)據(jù).此外，攻擊者可以實(shí)施中間人攻擊（maninthemiddle attack）[23]，即在通信雙方都不知情的情況下介入他們的通信，分別偽裝二者各自正確的通信對象，從而不僅可以竊聽二者的通信數(shù)據(jù)，甚至還可以轉(zhuǎn)發(fā)經(jīng)過篡改的數(shù)據(jù)以達(dá)到破壞目的.攻擊者竊聽到數(shù)據(jù)后，通過數(shù)據(jù)分析獲取物理系統(tǒng)大量信息，例如通過數(shù)據(jù)流量分析獲得傳感器采樣周期、控制周期等信息，通過傳感器數(shù)據(jù)濾波獲得物理系統(tǒng)狀態(tài)信息，通過輸入輸出分析并結(jié)合系統(tǒng)辨識(shí)獲得物理對象模型，通過分析控制信號(hào)獲取控制器參數(shù)等.

3）入侵攻擊.對于功能強(qiáng)大的攻擊者，若其已經(jīng)掌握了系統(tǒng)大量相關(guān)知識(shí)，就可以侵入系統(tǒng)內(nèi)部，干擾或破壞其他節(jié)點(diǎn)的正常運(yùn)行、劫持或癱瘓系統(tǒng)運(yùn)行、制造系統(tǒng)性破壞等.例如，若攻擊者已經(jīng)獲得相關(guān)通信密鑰和節(jié)點(diǎn)地址信息，就可以通過修改地址數(shù)據(jù)偽裝成正常節(jié)點(diǎn)甚至系統(tǒng)管理者，發(fā)送有害信息對系統(tǒng)進(jìn)行破壞.ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙的，它能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)擁塞，攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IPMAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊[24].另一種典型的入侵攻擊是網(wǎng)絡(luò)釣魚攻擊，它將惡意郵件或者網(wǎng)站偽裝成合法的樣子然后欺騙用戶輸入自己的個(gè)人信息，或者欺騙用戶下載、安裝惡意軟件，然后通過該軟件來掃描甚至監(jiān)控用戶的設(shè)備以獲取其隱私信息[25].這些網(wǎng)絡(luò)入侵攻擊方式在信息物理系統(tǒng)中極易造成很大破壞，例如攻擊者侵入某個(gè)控制器中并迫使后者發(fā)送錯(cuò)誤的控制命令，從而使系統(tǒng)出現(xiàn)不穩(wěn)定.震網(wǎng)（Stuxnet）應(yīng)該是入侵攻擊中最具代表性的一種，作為第一個(gè)被發(fā)現(xiàn)的網(wǎng)絡(luò)武器，它制造了轟動(dòng)世界的伊朗核電站事件[26].震網(wǎng)病毒通過USB接入感染，侵入系統(tǒng)后會(huì)檢測該系統(tǒng)是否為目標(biāo)系統(tǒng)，如果是則開始嘗試接入互聯(lián)網(wǎng)并下載它自己的最新版本，然后利用零日漏洞迅速展開攻擊.它會(huì)監(jiān)視目標(biāo)系統(tǒng)的操作并收集相關(guān)的信息，然后利用這些信息來控制目標(biāo)系統(tǒng)（比如伊朗核電站事故中的離心機(jī)）并使之錯(cuò)誤運(yùn)行，同時(shí)它還會(huì)向外界的控制器提供錯(cuò)誤的反饋，使之無法發(fā)現(xiàn)運(yùn)行錯(cuò)誤，直至對系統(tǒng)造成不可挽回的破壞[27].

這些攻擊方式從系統(tǒng)外部逐漸深入到系統(tǒng)內(nèi)部，從干擾運(yùn)行到劫持系統(tǒng)，對信息物理系統(tǒng)的安全運(yùn)行構(gòu)成層次漸深、危害漸大的破壞.我們也注意到，單純通過信息加密已經(jīng)難以有效應(yīng)對以上所有攻擊方式，同時(shí)，由于信息空間和物理空間的融合，促使我們必須同時(shí)考慮兩種空間，采用通信、計(jì)算和控制相融合的安全技術(shù)，來提升系統(tǒng)的安全性和可靠性.

事實(shí)上，CPS的安全問題并不局限于信息安全.由于CPS是一個(gè)信息和物理相融合的系統(tǒng)，攻擊者不僅可以從信息空間入侵，有時(shí)候甚至可以直接影響物理組件來實(shí)現(xiàn)攻擊目的[28].比如攻擊者可以通過對溫度傳感器加熱的方式來從物理上制造錯(cuò)誤的測量數(shù)據(jù).類似的這種全新的攻擊方式已經(jīng)不是傳統(tǒng)的信息安全策略所能應(yīng)對的了，這就更加要求研究者從系統(tǒng)和控制的角度出發(fā)，重新審視CPS安全問題.

2CPS安全的研究進(jìn)展

近年來，CPS的安全問題研究逐漸受到國內(nèi)外學(xué)者的關(guān)注，成為相關(guān)領(lǐng)域的熱點(diǎn)方向之一.雖然針對CPS的攻擊方式和傳統(tǒng)的網(wǎng)絡(luò)攻擊方式有很多相似之處，但正如前文所提到的，信息物理系統(tǒng)信息空間和物理空間深度融合的這一特性，使得信息物理系統(tǒng)與傳統(tǒng)的信息安全問題有很大的不同.這些因素促使CPS的安全問題要跳出傳統(tǒng)信息安全問題的藩籬，可以也必須要從更多的角度去考慮，而不再僅僅局限于通信的角度.下面根據(jù)最新的文獻(xiàn)分析，從三個(gè)方面來介紹相關(guān)研究.

21從計(jì)算和通信的角度出發(fā)，加強(qiáng)信息空間的安全性

從計(jì)算角度出發(fā)，現(xiàn)有方法很多集中于數(shù)據(jù)的加密及其相關(guān)的密鑰分配與管理等技術(shù)，通過對系統(tǒng)信息和隱私數(shù)據(jù)的加密，使其免于泄露和免受外界入侵.例如，文獻(xiàn)[2930]提出基于公共密鑰的方法對智能電網(wǎng)通信數(shù)據(jù)包進(jìn)行加密以保護(hù)隱私，這種發(fā)送方用公共密鑰加密然后接收方用私人密鑰解密的方法不僅能實(shí)現(xiàn)雙向驗(yàn)證，還能確保共享密鑰的語義安全.此外，由于在加密信息中帶有時(shí)間戳，這種方法還可以有效防止重放攻擊.IEEE 80211和IEEE 802154等網(wǎng)絡(luò)通信標(biāo)準(zhǔn)都提供了數(shù)據(jù)加密協(xié)議[3132].然而，由于加密本身帶來的復(fù)雜度，計(jì)算和通信的代價(jià)為之提高[33]，因此，相關(guān)研究提出了通過代理和協(xié)同驗(yàn)證等方式，在保護(hù)隱私的同時(shí)降低加密成本[3435].例如文獻(xiàn)[34]考慮的是在車聯(lián)網(wǎng)這種典型的信息物理系統(tǒng)中，車輛周期性廣播自己的位置信息，然后通過特定的協(xié)議來選擇周邊的車輛作為這個(gè)信息的驗(yàn)證者，一旦該信息被驗(yàn)證為無效，驗(yàn)證者就會(huì)向周邊車輛廣播一個(gè)警告信息.收到警告信息的車輛會(huì)再做第二次驗(yàn)證，這樣就能防止在有效位置信息丟失的情況下攻擊者惡意發(fā)送警告信息帶來的誤判.這樣一來，驗(yàn)證過程就通過鄰近車輛的相互驗(yàn)證完成，從而可以降低系統(tǒng)的加密成本.

同時(shí)，從網(wǎng)絡(luò)通信角度出發(fā)，針對拒絕服務(wù)（Denial of Service，DoS）攻擊、女巫（Sybil）攻擊、洪泛（flooding）攻擊、中間人攻擊、重放（replay）攻擊等，研究者提出了大量安全防御對策，包括節(jié)點(diǎn)身份驗(yàn)證、安全路由、安全定位、安全的密鑰共建與管理協(xié)議等方法，以加強(qiáng)網(wǎng)絡(luò)通信安全性[910，3643].例如，文獻(xiàn)[36]提出一種魯棒、安全時(shí)間同步協(xié)議（RTSP）來抵御女巫攻擊.該協(xié)議采用分布式時(shí)間同步算法，除了信息接收、時(shí)鐘更新和信息廣播這三個(gè)在時(shí)鐘同步協(xié)議中常見的步驟外，還加入了一個(gè)異常檢測的安全機(jī)制.當(dāng)接收到足夠多的時(shí)鐘同步信息之后，節(jié)點(diǎn)就會(huì)實(shí)施異常檢測算法濾掉錯(cuò)誤信息.該算法的核心是通過合法時(shí)間戳之間的一致性關(guān)系來檢測并去掉非法時(shí)間戳.文獻(xiàn)[37]研究了CPS中遠(yuǎn)程狀態(tài)估計(jì)器面臨的擁塞攻擊的相關(guān)問題，提出了一種基于博弈論的防御策略.考慮到網(wǎng)絡(luò)中的傳感器節(jié)點(diǎn)和攻擊者節(jié)點(diǎn)都受到能量約束，因此對雙方來說，何時(shí)發(fā)送數(shù)據(jù)或者何時(shí)開展攻擊是一個(gè)相互影響的決策過程.于是文章提出了一個(gè)基于博弈論的架構(gòu)，并證明存在最優(yōu)策略可以使雙方在零和游戲上達(dá)到納什均衡.

總體而言，目前的這些方法能夠抵御某些具體的網(wǎng)絡(luò)通信攻擊行為，但大多局限于信息空間，只考慮數(shù)據(jù)安全和網(wǎng)絡(luò)通信安全，以保護(hù)數(shù)據(jù)隱私和網(wǎng)絡(luò)正常通信為主要目標(biāo)，并沒有與物理空間深入結(jié)合，沒有考慮物理系統(tǒng)的動(dòng)態(tài)性.而信息物理系統(tǒng)除了數(shù)據(jù)和通信的安全，更在于保護(hù)物理系統(tǒng)的安全運(yùn)行，因此上述方法尚不能完全滿足信息物理系統(tǒng)安全性需求.

22從控制的角度出發(fā)，加強(qiáng)物理空間的安全性

目前，針對信息攻擊下的信息物理系統(tǒng)控制安全性，相關(guān)研究主要考慮拒絕服務(wù)攻擊、重放攻擊、注入錯(cuò)誤數(shù)據(jù)（false data injection）等，研究攻擊方的最優(yōu)攻擊策略和防御方（被攻擊系統(tǒng)）的穩(wěn)定性及安全控制方法[8，4464].例如，文獻(xiàn)[55]假設(shè)攻擊者可以通過注入數(shù)據(jù)來篡改狀態(tài)估計(jì)器的測量值，考慮在這種情況下攻擊者和防御者之間可以進(jìn)行的博弈——因?yàn)闊o論攻擊者還是防御者都不能完全掌握所有節(jié)點(diǎn)，雙方都試圖增加或者減少錯(cuò)誤數(shù)據(jù)的注入.文章探討了在這個(gè)零和博弈中最終可以達(dá)到的納什均衡以及雙方可以達(dá)到的最大收益.文獻(xiàn)[46]考慮了DoS攻擊下線性二次高斯（LQG）控制問題，并提出了最優(yōu)反饋控制器.文獻(xiàn)[48]研究了重放攻擊下的LQG控制問題，并提出用檢測器剔除錯(cuò)誤數(shù)據(jù)和含噪音控制器來檢測攻擊行為.文獻(xiàn)[45，47]研究了重放、注入錯(cuò)誤數(shù)據(jù)等攻擊形式下線性控制系統(tǒng)的穩(wěn)定性問題，并提出了通過增強(qiáng)控制器設(shè)計(jì)[45]或增加攻擊檢測與鑒別觀測器[47]等方法來改善系統(tǒng)安全性.文獻(xiàn)[56]則將隱秘的攻擊當(dāng)成影響系統(tǒng)狀態(tài)和傳感器測量的一個(gè)輸入，然后定義了攻擊的可檢測性和可識(shí)別性，并設(shè)計(jì)了相應(yīng)的檢測算法.雖然很多方法考慮了信息攻擊，但在研究中往往將攻擊簡化為造成數(shù)據(jù)丟包（針對DoS攻擊）或在系統(tǒng)中注入有害數(shù)據(jù)，并沒有深入信息空間內(nèi)部分析攻擊的形成或攻擊效果.例如，在無線網(wǎng)絡(luò)中，針對DoS攻擊，其往往由于攻擊者制造干擾信號(hào)所引起，考慮到實(shí)際中無線通信信道的動(dòng)態(tài)性以及路徑衰減等性質(zhì)，DoS攻擊將體現(xiàn)在時(shí)域、頻域和地域等多個(gè)維度上.

探測器能夠檢測重放攻擊、DoS攻擊，但不能檢測到錯(cuò)誤數(shù)據(jù)注入的攻擊，而歐幾里得探測器可以檢測錯(cuò)誤數(shù)據(jù)注入的攻擊.文獻(xiàn)[58]研究了單個(gè)傳感器、單個(gè)系統(tǒng)的無線狀態(tài)估計(jì)中，當(dāng)傳感器具有一定的能量限制時(shí)，如何選擇發(fā)送數(shù)據(jù)的時(shí)機(jī)以使得系統(tǒng)的估計(jì)性能達(dá)到最優(yōu)，并且給出了具體的調(diào)度方案.文獻(xiàn)[59]則考慮無線狀態(tài)估計(jì)中，被測系統(tǒng)可以同時(shí)被兩個(gè)傳感器檢測，但是由于傳輸帶寬的約束，同一時(shí)刻最多允許一個(gè)傳感器向遠(yuǎn)程狀態(tài)估計(jì)器發(fā)送本地狀態(tài)估計(jì)信息的情況，并給出了這種情況下傳感器的最優(yōu)調(diào)度方案.

文獻(xiàn)[5051]提出了針對無線狀態(tài)估計(jì)和網(wǎng)絡(luò)控制的最優(yōu)DoS攻擊調(diào)度策略.其中文獻(xiàn)[50]指出攻擊者受到能量限制時(shí)，最優(yōu)的攻擊為連續(xù)攻擊，且連續(xù)攻擊可以在[0，T]的任意位置.文獻(xiàn)[60]將文獻(xiàn)[50]中的單系統(tǒng)情況擴(kuò)展到多個(gè)獨(dú)立傳感器、多個(gè)獨(dú)立系統(tǒng)的情況，并且假設(shè)攻擊者由于信道帶寬限制，同一時(shí)刻只能攻擊一個(gè)信道，此時(shí)攻擊者的最優(yōu)攻擊策略與系統(tǒng)參數(shù)、攻擊者的能量限制有關(guān).文獻(xiàn)[61]則考慮系統(tǒng)的帶寬有限時(shí)，兩個(gè)獨(dú)立系統(tǒng)之間如何調(diào)度可以使得兩個(gè)系統(tǒng)的平均誤差協(xié)方差之和達(dá)到最優(yōu)，并給出了具體的調(diào)度方案.另外，也有一些學(xué)者同時(shí)考慮攻防雙方，例如，文獻(xiàn)[62]研究了在無線傳感網(wǎng)中最優(yōu)的干擾與防御策略，文獻(xiàn)[63]則從博弈論的角度研究攻擊方與防御方的博弈問題，構(gòu)建了一個(gè)馬爾可夫游戲框架，并利用一種改進(jìn)的納什Qlearning算法求得問題的最優(yōu)解.

分布式計(jì)算與控制系統(tǒng)（如多智能體系統(tǒng)）是CPS的典型應(yīng)用場景，一致性（consensus）算法在這些系統(tǒng)中有著重要的作用，但是在一致性過程中需要和周邊節(jié)點(diǎn)進(jìn)行的信息互換同樣帶來了信息泄露的風(fēng)險(xiǎn)，因此一致性算法的隱私保護(hù)問題也引起了很多學(xué)者的關(guān)注.文獻(xiàn)[65]研究了在平均一致性算法中如何保護(hù)節(jié)點(diǎn)的初始狀態(tài)不被泄露的問題，提出了一種通過加減隨機(jī)噪聲的方法來實(shí)現(xiàn)隱私保護(hù).每個(gè)節(jié)點(diǎn)在廣播自己的狀態(tài)之前獨(dú)立產(chǎn)生一個(gè)符合標(biāo)準(zhǔn)正態(tài)分布的隨機(jī)噪聲，然后將這個(gè)噪聲加到自己當(dāng)前狀態(tài)中再廣播出去.這樣所有節(jié)點(diǎn)收到的其他節(jié)點(diǎn)的信息都不是真實(shí)的，但由于所有噪聲都符合標(biāo)準(zhǔn)正態(tài)分布，因此不會(huì)對最后要達(dá)到的平均值造成影響，也就能在保護(hù)了節(jié)點(diǎn)隱私的前提下達(dá)到系統(tǒng)一致性.而文獻(xiàn)[66]則研究了在最大一致性算法中的隱私保護(hù)問題，給出了被稱之為PPMC的隱私保護(hù)算法.每個(gè)節(jié)點(diǎn)在發(fā)送初始狀態(tài)之前隨機(jī)產(chǎn)生一列不大于自身狀態(tài)的隨機(jī)數(shù)（其個(gè)數(shù)也是隨機(jī)的），并將這列隨機(jī)數(shù)的第一個(gè)作為自己的初始狀態(tài)廣播出去，然后在每次迭代中取隨機(jī)序列中對應(yīng)的隨機(jī)數(shù)和上一時(shí)刻周邊節(jié)點(diǎn)狀態(tài)之間的最大值作為自己的新狀態(tài)，直到自身狀態(tài)和周邊節(jié)點(diǎn)的狀態(tài)都相等為止.

23環(huán)境感知的綜合安全技術(shù)

因?yàn)樾畔⑽锢硐到y(tǒng)本身都和其所處的物理環(huán)境緊密相連，切實(shí)地考慮系統(tǒng)與環(huán)境的相互作用也有利于提高系統(tǒng)安全性.文獻(xiàn)[67]提出了一種被稱之為CYPSec的解決方案，它考慮了傳統(tǒng)的安全因素與環(huán)境信息的交互，利用CPS所自帶的監(jiān)控能力來保證系統(tǒng)安全.該方案研究的是在體域網(wǎng)（Body Area Networks）的場景下，提出了一種基于生理信號(hào)的密鑰協(xié)商（PSKA）方法，利用生理信號(hào)（比如心電圖）來達(dá)成體域網(wǎng)中兩個(gè)傳感器的對稱密鑰協(xié)商.為了證明CYPSec解決方案的可行性，該文章還提出了一種環(huán)境耦合型的接入控制模型.

文獻(xiàn)[68]研究了基于上下文感知的安全架構(gòu)，如圖3所示，該方法設(shè)想將系統(tǒng)所處環(huán)境的各種狀態(tài)和信息融入到傳統(tǒng)的安全手段如認(rèn)證、加密、接入控制等過程中，使CPS的安全機(jī)制能夠動(dòng)態(tài)地適應(yīng)所處的環(huán)境.CPS因其系統(tǒng)需要，本身就需要收集大量的環(huán)境數(shù)據(jù)，包括系統(tǒng)環(huán)境（如CPU、網(wǎng)絡(luò)狀態(tài)等）、物理環(huán)境（如溫度、光照等）以及時(shí)間等在內(nèi)的信息，將這些物理數(shù)據(jù)再利用并有機(jī)地融入到安全機(jī)制中也是CPS安全的一個(gè)新思路.

3CPS安全的研究挑戰(zhàn)

由于CPS已經(jīng)漸漸成為國民生產(chǎn)和人類生活的重要組成部分，而其潛在的安全隱患又意味著巨大的破壞效應(yīng)，所以世界各國都在積極推進(jìn)CPS安全問題的理論研究和科學(xué)實(shí)踐，CPS安全問題也已成為國內(nèi)外學(xué)者的研究熱點(diǎn).盡管大量的相關(guān)研究已經(jīng)從各個(gè)角度對這個(gè)問題進(jìn)行了探索，但是安全問題向來是攻防雙方相互刺激、此消彼長的不斷演進(jìn)的過程.不斷復(fù)雜化的安全形勢也給CPS安全問題帶來了許多挑戰(zhàn)[6971]，具體可以總結(jié)為以下幾個(gè)方面：

1）信息空間和物理空間融合所帶來的新的安全問題.目前安全領(lǐng)域大多數(shù)成熟的研究成果都是針對傳統(tǒng)的信息安全，也就是說只考慮了信息空間的安全問題.但是CPS是一個(gè)融合了計(jì)算、通信和控制的綜合系統(tǒng)，CPS安全的目標(biāo)也不再局限于傳統(tǒng)信息安全的機(jī)密性、完整性和可用性.例如前文所提到的，由于CPS和物理進(jìn)程的緊密結(jié)合使得其對實(shí)時(shí)性有著嚴(yán)格的要求[16]，達(dá)不到實(shí)時(shí)性要求往往將導(dǎo)致系統(tǒng)的失敗，這一特性勢必會(huì)成為CPS的一個(gè)安全弱點(diǎn)而被攻擊者利用.充分分析和認(rèn)識(shí)這種二元空間的融合下存在怎樣的新的安全隱患是當(dāng)下急需解決的一個(gè)問題，然后需要在此基礎(chǔ)上考慮新的防御策略.

2）嵌入式系統(tǒng)的資源局限性所帶來的安全漏洞.CPS當(dāng)中往往存在大量的嵌入式組件，而嵌入式系統(tǒng)的特點(diǎn)是要求專用性強(qiáng)、系統(tǒng)精簡.為了節(jié)約成本、降低能耗，嵌入式系統(tǒng)的計(jì)算、存儲(chǔ)等各方面的資源通常是很有限的，因此很多嵌入式操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議棧都是被精簡的，這就可能會(huì)帶來很多安全漏洞.如何在這樣資源受限的情況下實(shí)現(xiàn)上層軟件的安全功能也成了一個(gè)難題.

3）通信干擾下CPS的安全控制與方法.如前所述，通過干擾通信的攻擊形式不依賴于系統(tǒng)知識(shí)，并且不易受數(shù)據(jù)是否加密傳輸?shù)挠绊?，因此易被惡意?jié)點(diǎn)所使用.為了分析這種攻擊的破壞力，從攻擊者角度出發(fā)，研究最優(yōu)的攻擊策略及其對系統(tǒng)所造成的最大影響，對實(shí)際系統(tǒng)的設(shè)計(jì)具有指導(dǎo)意義.進(jìn)一步，通過研究攻防兩方的對策，可以對防御措施進(jìn)行綜合評估和分析設(shè)計(jì)，保障系統(tǒng)的穩(wěn)定、安全運(yùn)行.

4）隱私保護(hù)的系統(tǒng)分析與控制.對于攻擊者而言，了解并掌握系統(tǒng)的參數(shù)、狀態(tài)和運(yùn)行規(guī)則，是實(shí)施進(jìn)一步破壞行動(dòng)的基礎(chǔ).特別是在無線網(wǎng)絡(luò)化系統(tǒng)中，無線通信數(shù)據(jù)很可能會(huì)被其他臨近惡意節(jié)點(diǎn)偵聽到，即使在有向天線的幫助下，通信仍可能被處于鏈路之間的節(jié)點(diǎn)所捕獲.如果沒有良好的隱私保護(hù)機(jī)制，其后果可能包括：通信數(shù)據(jù)流信息以及數(shù)據(jù)本身被竊聽，造成系統(tǒng)重要隱私數(shù)據(jù)（例如系統(tǒng)參數(shù)、用戶信息等）泄露給他人；惡意節(jié)點(diǎn)通過對竊聽的數(shù)據(jù)進(jìn)行分析，掌握系統(tǒng)的真實(shí)運(yùn)行狀態(tài)，從而偽裝成正常節(jié)點(diǎn)對系統(tǒng)進(jìn)行破壞；惡意節(jié)點(diǎn)還可以對捕獲的數(shù)據(jù)進(jìn)行篡改后發(fā)送出去，以迷惑接收者，甚至以此方式劫持某個(gè)節(jié)點(diǎn)或者整個(gè)系統(tǒng).因此，研究系統(tǒng)隱私保護(hù)機(jī)制，對于保障系統(tǒng)安全運(yùn)行、免受劫持和篡改具有重要意義.

5）分布式環(huán)境下入侵攻擊的檢測與防御.當(dāng)攻擊者掌握更多系統(tǒng)知識(shí)甚至包括通信密鑰時(shí)，就可能侵入系統(tǒng)內(nèi)部，通過偽造地址和身份、篡改或發(fā)送有害數(shù)據(jù)或控制信號(hào)、阻礙其他節(jié)點(diǎn)的信息傳輸、誣陷正常節(jié)點(diǎn)、包庇合謀攻擊者等手段對系統(tǒng)實(shí)施最直接的破壞.而且，當(dāng)入侵節(jié)點(diǎn)掌握通信密鑰時(shí)，可以使其所發(fā)信息符合正常的加密規(guī)則，導(dǎo)致其惡意行徑將很難通過數(shù)據(jù)認(rèn)證（authentication）等方式檢測出來.特別地，在大規(guī)模網(wǎng)絡(luò)系統(tǒng)中，入侵者可能通過攻擊有限范圍內(nèi)的網(wǎng)絡(luò)節(jié)點(diǎn)，達(dá)到最終破壞整個(gè)系統(tǒng)的效果.因此，如何分布式檢測并防御這種入侵行為，對保證系統(tǒng)安全運(yùn)行、避免事故發(fā)生具有重要意義.

4結(jié)束語

CPS正在引導(dǎo)一場改變?nèi)祟惻c物理環(huán)境交互方式的大變革，它在工業(yè)、農(nóng)業(yè)、交通、航空航天等各個(gè)領(lǐng)域都有廣闊的應(yīng)用前景.但所有這些應(yīng)用都要建立在能夠保證系統(tǒng)安全的基礎(chǔ)上，否則可能造成的損失將是無法估量的.本文對CPS的概念和應(yīng)用做了概述，并分析了CPS安全問題的重要性以及CPS存在的安全威脅，隨后重點(diǎn)討論了CPS安全問題的研究進(jìn)展和存在的研究挑戰(zhàn).通過分析發(fā)現(xiàn)，針對CPS安全問題的研究已引起國內(nèi)外學(xué)者的高度重視，但現(xiàn)有研究仍處于起步階段，存在很多研究挑戰(zhàn)尚待解決，相關(guān)研究任重而道遠(yuǎn).

參考文獻(xiàn)

References

[1]UC Regents.Cyber physical system [EB/OL].[20170510].http：∥cyberphysicalsystems.org，2011

[2]Sastry S.Networked embedded systems：From sensor webs to cyberphysical systems[C]∥International Conference on Hybrid Systems：Computation and Control，2007：11

[3]Lee E A.Cyber physical systems：Design challenges[C]∥IEEE International Symposium on Object Oriented RealTime Distributed Computing，2008：363369

[4]National Science Foundation.CyberPhysical systems （CPS）[EB/OL].[20170510].https：∥www.nsf.gov/funding/pgmsumm.jsp？pimsid=503286

[5]Wu F K，Kao Y F，Tseng Y C.From wireless sensor networks towards cyber physical systems[J].Pervasive and Mobile Computing，2011，7（4）：397413

[6]Kang W，Kapitanova K，Sang S H.RDDS：A realtime data distribution service for cyberphysical systems[J].IEEE Transactions on Industrial Informatics，2012，8（2）：393405

[7]Rajhans A，Bhave A，Ruchkin I，et al.Supporting heterogeneity in cyberphysical systems architectures[J].IEEE Transactions on Automatic Control，2014，59（12）：31783193

[8]Mo Y L，Kim T H J，Brancik K，et al.Cyberphysical security of a smart grid infrastructure[J].Proceedings of the IEEE，2012，100（1）：195209

[9]Lee I，Sokolsky O，Chen S J，et al.Challenges and research directions in medical cyberphysical systems[J].Proceedings of the IEEE，2012，100（1）：7590

[10]Ali S，Qaisar S，Saeed H，et al.Network challenges for cyber physical systems with tiny wireless devices：A case study on reliable pipeline condition monitoring[J].Sensors，2015，15（4）：71727205

[11]Schwab K.The fourth industrial revolution[R].World Economic Forum，2016

[12]中華人民共和國國務(wù)院.中國制造2025[R].2015

State Council of the People's Republic of China.Made in China 2025 strategy[R].2015

[13]王勇，王鈺茗，張琳，等.烏克蘭電力系統(tǒng)BlackEnergy病毒分析與防御[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2017，3（1）：4653

WANG Yong，WANG Yuming，ZHANG Lin，et al，Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system[J].Chinese Journal of Network and Information Security，2017，3（1）：4653

[14]李鴻培，于旸，忽朝儉，等.工業(yè)控制系統(tǒng)的安全性研究[J].中國計(jì)算機(jī)學(xué)會(huì)通訊，2013，9（9）：3742

LI Hongpei，YU Yang，HU Zhaojian.Research on security of industrial control system[J].Communications of the China Computer Federation，2013，9（9）：3742

[15]Moholkar A V.Security for cyberphysical systems[J].International Journal of Computing and Technology，2014，1（6）：257262

[16]Zhu B N，Joseph A，Sastry S.A taxonomy of cyber attacks on SCADA systems[C]∥International Conference on Internet of Things and The 4th International Conference on Cyber，Physical and Social Computing，2011：380388

[17]Cardenas A A，Amin S，Sastry S.Research challenges for the security of control systems[C]∥Conference on Hot Topics in Security，2008：6

[18]北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司.2016工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢報(bào)告[R].2016

Beijing Kuangen Network Technology Co.，Ltd.Security situation of industrial control network in 2016[R].2016

[19]Peng T，Leckie C，Ramamohanarao K.Survey of networkbased defense mechanisms countering the DoS and DDoS problems[J].ACM Computing Surveys，2007，39（1），DOI：101145/12163701216373

[20]Xiao B，Chen W，He Y X，et al.An active detecting method against SYN flooding attack[C]∥IEEE International Conference on Parallel and Distributed Systems，2005：709715

[21]Grover K，Lim A，Yang Q.Jamming and antijamming techniques in wireless networks：A survey[J].International Journal of Ad Hoc and Ubiquitous Computing，2014，17（4）：197215

[22]Mpitziopoulos A，Gavalas D，Konstantopoulos C，et al.A survey on jamming attacks and countermeasures in WSNs[J].IEEE Communications Surveys & Tutorials，2009，11（4）：4256

[23]Nayak G N，Samaddar S G.Different flavours of ManInTheMiddle attack，consequences and feasible solutions[C]∥IEEE International Conference on Computer Science and Information Technology，2010：491495

[24]Wright J.Detecting wireless LAN MAC address spoofing[R].White Paper，2003

[25]Wu M，Miller R C，Garfinkel S L.Do security toolbars actually prevent phishing attacks？[C]∥Conference on Human Factors in Computing Systems，2006：601610

[26]Langner R.Stuxnet：Dissecting a cyberwarfare weapon[J].IEEE Security & Privacy，2011，9（3）：4951

[27]Kushner D.The real story of stuxnet[J].IEEE Spectrum，2013，50（3）：4853

[28]Wu G Y，Sun J，Chen J.A survey on the security of cyberphysical systems[J].Control Theory and Technology，2016，14（1）：210

[29]Fouda M M，F(xiàn)adlullah Z M，Kato N，et al.A lightweight message authentication scheme for smart grid communications[J].IEEE Transactions on Smart Grid，2011，2（4）：675685

[30]Li Q H，Cao G H.Multicast authentication in the smart grid with onetime signature[J].IEEE Transactions on Smart Grid，2011，2（4）：686696

[31]Chen J C，Jiang M C，Liu Y W.Wireless LAN security and IEEE 80211i[J].IEEE Wireless Communications，2005，12（1）：2736

[32]Xiao Y，Chen H H，Sun B，et al.MAC security and security overhead analysis in the IEEE 802154 wireless sensor networks[J].EURASIP Journal on Wireless Communications and Networking，2006（1）：093830

[33]Cao X H，Shila D M，Cheng Y，et al.GhostinZigBee：Energy depletion attack on ZigBeebased wireless networks[J].IEEE Internet of Things Journal，2016，3（5）：816829

[34]Shen W L，Liu L，Cao X H，et al.Cooperative message authentication in vehicular cyberphysical systems[J].IEEE Transactions on Emerging Topics in Computing，2013，1（1）：8497

[35]Lu R X，Lin X D，Zhu H J，et al.BECAN：A bandwidthefficient cooperative authentication scheme for filtering injected false data in wireless sensor networks[J].IEEE Transactions on Parallel & Distributed Systems，2012，23（1）：3243

[36]Dong W，Liu X J.Robust and secure timesynchronization against sybil attacks for sensor networks[J].IEEE Transactions on Industrial Informatics，2015，11（6）：14821491

[37]Li Y Z，Shi L，Cheng P，et al.Jamming attacks on remote state estimation in cyberphysical systems：A gametheoretic approach[J].IEEE Transactions on Automatic Control，2015，60（10）：28312836

[38]Han S，Xie M，Chen H H，et al.Intrusion detection in cyberphysical systems：Techniques and challenges[J].IEEE Systems Journal，2014，8（4）：10521062

[39]Li X，Liang X H，Lu R X，et al.Securing smart grid：Cyber attacks，countermeasures，and challenges[J].IEEE Communications Magazine，2012，50（8）：3845

[40]Cao X H，Liu L，Shen W L，et al.Realtime misbehavior detection and mitigation in cyberphysical systems over WLANs[J].IEEE Transactions on Industrial Informatics，2017，13（1）：186197

[41]Vijayakumar P，Azees M，Kannan A，et al.Dual authentication and key management techniques for secure data transmission in vehicular Ad Hoc networks[J].IEEE Transactions on Intelligent Transportation Systems，2016，17（4）：10151028

[42]He J P，Chen J M，Cheng P，et al.Secure time synchronization in wireless sensor networks：A maximum consensusbased approach[J].IEEE Transactions on Parallel & Distributed Systems，2014，25（4）：10551065

[43]Zeng Y P，Cao J D，Hong J，et al.Secure localization and location verification in wireless sensor networks：A survey[J].The Journal of Supercomputing，2013，64（3）：685701

[44]Cardenas A A，Amin S，Sastry S.Secure control：Towards survivable cyberphysical systems[C]∥IEEE International Conference on Distributed Computing Systems Workshops，2008：495500

[45]Fawzi H，Tabuada P，Diggavi S.Secure estimation and control for cyberphysical systems under adversarial attacks[J].IEEE Transactions on Automatic Control，2012，59（6）：14541467

[46]Amin S，Crdenas A A，Sastry S S.Safe and secure networked control systems under denialofservice attacks[C]∥International Conference on Hybrid Systems：Computation and Control，2009：3145

[47]Pasqualetti F，Drfler F，Bullo F.Attack detection and identification in cyberphysical systems[J].IEEE Transactions on Automatic Control，2013，58（11）：27152729

[48]Chabukswar R，Mo Y L，Sinopoli B.Detecting integrity attacks on SCADA systems[J].IFAC Proceedings Volumes，2014，22（4）：13961407

[49]Zhu M H，Martínez S.On the performance analysis of resilient networked control systems under replay attacks[J].IEEE Transactions on Automatic Control，2013，59（3）：804808

[50]Zhang H，Cheng P，Shi L，et al.Optimal denialofservice attack scheduling with energy constraint[J].IEEE Transactions on Automatic Control，2015，60（11）：30233028

[51]Zhang H，Cheng P，Shi L，et al.Optimal DoS attack scheduling in wireless networked control system[J].IEEE Transactions on Control Systems Technology，2016，24（3）：843852

[52]Li Y Z，Shi L，Cheng P，et al.Jamming attacks on remote state estimation in cyberphysical systems：A gametheoretic approach[J].IEEE Transactions on Automatic Control，2015，60（10）：28312836

[53]Bonaci T，Yan J J，Herron J，et al.Experimental analysis of denialofservice attacks on teleoperated robotic systems[C]∥ACM/IEEE International Conference on CyberPhysical Systems，2015：1120

[54]Sridhar S，Hahn A，Govindarasu M.Cyberphysical system security for the electric power grid[J].Proceedings of the IEEE，2012，100（1）：210224

[55]Esmalifalak M，Shi G，Zhu H，et al.Bad data injection attack and defense in electricity market using game theory study[J].IEEE Transactions on Smart Grid，2012，4（1）：160169

[56]Pasqualetti F，Drfler F，Bullo F.Attack detection and identification in cyberphysical systems[J].IEEE Transactions on Automatic Control，2013，58（11）：27152729

[57]Manandhar K，Cao X J，Hu F，et al.Combating false data injection attacks in smart grid using Kalman filter[C]∥IEEE International Conference on Computing，Networking and Communications，2014：1620

[58]Shi L，Cheng P，Chen J M.Sensor data scheduling for optimal state estimation with communication energy constraint[J].Automatica，2011，47（8）：16931698

[59]Shi L，Cheng P，Chen J M.Optimal periodic sensor scheduling with limited resources[J].IEEE Transactions on Automatic Control，2011，56（9）：21902195

[60]Peng L H，Cao X H，Sun C Y，et al.Optimal jamming attack schedule against wireless state estimation in cyberphysical systems[C]∥International Conference on Wireless Algorithms，Systems，and Applications，2016：318330

[61]Shi L，Zhang H S.Scheduling two GaussMarkov systems：An optimal solution for remote state estimation under bandwidth constraint[J].IEEE Transactions on Signal Processing，2012，60（4）：20382042

[62]Li M Y，Koutsopoulos I，Poovendran R.Optimal jamming attacks and network defense policies in wireless sensor networks[J].IEEE International Conference on Computer Communications，2007，9（8）：13071315

[63]Li Y Z，Quevedo D E，Dey S，et al.SINRbased DoS attack on remote state estimation：A gametheoretic approach[J].IEEE Transactions on Control of Network Systems，2016，99：110

[64]Brumback B，Srinath M.A Chisquare test for faultdetection in Kalman filters[J].IEEE Transactions on Automatic Control，2003，32（6）：552554

[65]Mo Y L，Murray R M.Privacy preserving average consensus[J].IEEE Transactions on Automatic Control，2017，62（2）：753765

[66]Duan X M，He J P，Cheng P，et al.Privacy preserving maximum consensus[C]∥IEEE Conference on Decision and Control，2015：45174522

[67]Venkatasubramanian K K，Nabar S，Gupta S K S，et al.Cyber physical security solutions for pervasive health monitoring systems[M]∥UserDriven Healthcare：Concepts，Methodologies，Tools，and Applications.Hershey，PA：Medical Information Science Reference，2012

[68]Wang E K，Ye Y M，Xu X F，et al.Security issues and challenges for cyber physical system[C]∥IEEE/ACM International Conference on Green Computing and Communications，2011：733738

[69]彭昆侖，彭偉，王東霞，等.信息物理融合系統(tǒng)安全問題研究綜述[J].信息網(wǎng)絡(luò)安全，2016（7）：2028

PENG Kunlun，PENG Wei，WANG Dongxia，et al.Research survey on security issues in cyberphysical systems[J].Netinfo Security，2016（7）：2028

[70]張恒.信息物理系統(tǒng)安全理論研究[D].杭州：浙江大學(xué)控制科學(xué)與工程學(xué)院，2015

ZHANG Heng.Research on security theory for cyberphysical systems[D].Hangzhou：College of Control Science and Engineering，Zhejiang University，2015

[71]Cardenas A，Amin S，Sinopoli B，et al.Challenges for securing cyber physical systems[C]∥Workshop on Future Directions in Cyberphysical Systems Security，2009：363369