可信工业控制网络研究

李 浩，陆 阳，周森鑫

（1．合肥工业大学 计算机与信息学院，安徽 合肥 230009；2．安徽财经大学 管理科学与工程学院，安徽 蚌埠 233030）

可信工业控制网络研究

李 浩1,2，陆 阳1，周森鑫2

（1．合肥工业大学 计算机与信息学院，安徽 合肥 230009；2．安徽财经大学 管理科学与工程学院，安徽 蚌埠 233030）

传统独立封闭的工业控制系统安全不能满足当前的客观需求.本文针对这一问题，在分析可信网络和可信计算的基础上，结合工业控制系统的特点，提出可信工业控制网络的概念，揭示了其三大基本属性，即安全性、可生存性和可控性.随后提出一种可行的可信工业控制网络体系结构，并详细阐述了其基本工作原理.

可信工业控制网络；安全性；可生存性；可控性

1 简介

工业控制系统（Industrial Control Systems,ICSs）广泛的应用于工业生产控制中，如化学化工生产、工艺品加工、农作物规模化灌溉、电力供应、运输和航天技术、石油和天然气精炼等.工业控制系统是实现工业生产自动化的关键，在工业生产中发挥的作用越来越大，已成为衡量一个国家工业水平的重要指标.然而，工业控制系统的安全事故的发生，带来的损失也非常巨大，工业安全事件信息库（Repository of Security Incidents,RISI）统计数据表明：截止到2011年10月，全球已发生200余起针对工业控制系统的安全事件. 2010年伊朗“震网”病毒的爆发彻底将工业控制系统的安全问题暴露出来，引起广泛的关注；我国的7.23甬温线高铁交通事故造成40人死亡、约200人受伤，直接经济损失达19371.65万元[1].类似事件的时有发生，越来越引起人们对工业控制系统“可信”的重视.工业控制系统的可信程度与人们对工业控制系统的依赖性的矛盾显得日益突出.本文以可信网络和可信计算为理论基础，针对工业控制系统的特点，提出可信工业控制网络的概念并分析其相关属性特点，随后提出可信工业控制网络的一种体系结构模型并详细分析其工作原理.

2 可信工业控制系统

2.1 可信系统

可信系统的概念提出已有一段历史，然而国内外对可信系统的研究才刚刚起步.在文献[2]中林闯等人认为可信网络(tru-networks)是网络系统的行为及其结果是可预期的,能够做到行为状态可监测，行为结果可评估，异常行为可控制.并指出可信网络的主要特征是具有安全性、可生存性和可控性.对于可信系统而言，“可信”一词不仅带有安全的意义，更具有可生存和可控等丰富的技术内涵.

2.2 工业控制系统

ICSs是包括监控和数据采集系统（Supervisory Control And Data Acquisition,SCADA）、分布控制系统（Distributed Control Systems DCS）、可编程逻辑控制器（Programmable Logic Controller,PLC）、智能电子设备（Intelligent Electronic Device,IED）、远程终端设备（Remote Terminal Unit,RTU）和确保各组件通信的接口技术等多种类型控制系统的总称，是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件，构成确保工业技术设施自动化运行、过程控制和监控的业务流程管控系统，是国家关键基础设施运行的“大脑”和“中枢”，已成为衡量一个国家工业水平的重要指标.它是大型的、复杂的系统，除了实现控制功能外，它往往还具有信息处理、管理、决策等功能.

2.3 可信工业控制系统

对于工业控制系统而言，从传统的封闭独立向现代开放的网络化集成化转变趋势下，如何提供一致安全可靠的服务接口和体系结构;在系统组件的固有脆弱性、人为的操作或管理上的失误和漏洞以及网络遭受攻击客观存在的情况下,如何保障系统服务的可生存性;在保证系统实时高效传输数据的基础上,如何提供强大监控能力，并对异常情况及时的做出响应和措施等，都是当前可信工业控制系统必须综合考虑的重要问题.在传统的工业控制系统安全属性的基础上引入“可信”的概念，使工业控制系统不仅具有安全的意义，更具有可控和可生存的属性.因此，将其定义如下：可信工业控制系统是指在系统运行时间内，在系统及组件存在固有的脆弱性，操控、管理不当以及遭受自然或人为的破坏、网络攻击等异常情况下，系统运行不中断、依然能够完成相应功能或主要功能的系统，并且能够做到系统状态可监视，出现异常可掌控，行为结果可估测.

3 可信工业控制系统的相关属性

根据定义，可信工业控制系统应具有安全性、可控性和可生存性三个属性.从用户的角度出发，可信的工业控制系统需要保障服务的安全性和可生存性，从设计的角度出发则需要提供系统的可控性.因此，三个属性之间不是彼此分散、孤立的，而是相互联系、密不可分的.

3.1 安全性

工业控制网络是一个特殊网络控制系统，整个网络可分为处于管理层的通用以太网、处于监控层的工业以太网以及处于执行层的现场设备(如现场总线).管理层的安全性往往涉及的是信息的机密性和完整性问题，即保证正确的人访问正确的信息、所有的信息是完整正确的，未被篡改、删除和破坏.监控层的安全性除了涉及设备和人员及操作安全外，最主要的是信息的实时性和有效性问题，即能够实时有效的进行监视和控制，并对异常信息能够立即响应；执行层的安全性主要涉及到设备的可靠性和可用性，即保证系统和设备的性能是可靠的，时时处于可用状态.

3.2 可生存性

可生存性指系统在遭受攻击、故障或意外事故时依然能够完成任务，并能在一定的时间内修复被损坏的服务的能力[3].工业控制系统的可生存性要求系统在完成基本服务的同时仍然保持其数据完整性、机密性和可用性等其基本属性.因此，可生存性要求系统设计使其具有自测试、自诊断、自修复和自组织等能力.当前，容错、容侵和面向恢复的计算是提高系统服务可生存性的常用手段.

3.3 可控性

网络的可控性是可信工业控制网络在设计上的一个重要属性.从可信的角度来说，笔者认为可信工业控制网络的可控性是指系统在运行过程中，在出现未检测到的或是突然的异常（如遭到自然的或恶意的破坏）情况下，系统具有某种机制可以对这种异常进行及时有效处理，使系统能够恢复正常或是使损失降到最小.工业控制网络发展至今，已成为一个庞大的非线性复杂系统，如何解决工业网络的可控性，建立内在的、关联的安全可信的工业控制网络可控模型，在理论和技术上仍是值得我们探索的一个难题.

4 一种可信工业控制网络的体系结构

通过以上对可信工业控网络的三个基本属性分析，结合文献[4-8]中当前可行的可信关键技术如：访问控制、认证、审计、内容过滤等以及文献[9、10]中的信任机制，构建可信工业控制网络的体系结构模型如图1：

图1 可信工业控制网络体系结构

4.1 可信工业网络的组成

可信工业控制网络由内部企业网络（Enterprise Network,EN）、现场过程控制网络（Process Control Network, PCN）以及处于两者之间的隔离非军事区（Demilitarized Zone,DMZ）[11]和AAA服务器等组成.

4.1.1 企业内部网络（Enterprise Network,EN）组成

（1）可信PC机：根据TCG[12]的规范，可信PC是在主板上嵌有可信构建模块(Trusted Building Blocks,TBB),即可信PC平台的信任根,它由可信测量的根核(core root of trust for measurement,CRTM)和可信平台模块(trusted platform module,TPM)以及它们同主板之间的连接接口组成.

（2）可信网络接入设备（Trust Network Access Device, TNAD）：所有的客户端（Client）访问网络都要经过TNAD. TNAD是带有具有可信验证功能的可信缓冲模块的网络连接设备,如：可信交换机、可信路由器、VPN集中器和可信无线接入点.

4.1.2 隔离非军事区（Demilitarized Zone,DMZ）组成

（1）历史数据服务器（Data Historian Server）：用于提供备份数据，主要功能是冗余和容错，是系统可生存性的保障.

（2）可控制服务器(Controllability server)：提供紧急控制服务，当系统出现未知的或紧急异常，导致通常的控制失效时，可由此服务器提供紧急控制措施.

4.1.3 AAA服务器组成

（1）AAA服务器：即认证（Authentication）、授权（Authorization）、访问控制（Access Control）服务器.验证用户是否可以获得访问权限，授权用户可以使用哪些服务，记录用户使用网络资源的情况.

（2）状态认定/修复服务器（Posture Validation/Remediation Server）：对所有要接入网络的终端设备进行状态扫描，并修复状态异常的设备.

（3）根服务器（Directory Server）：记录每个设备或用户的身份信息.

（4）审计服务器（Audit server）：记录系统在工作过程中产生的大量日志和事件.

4.1.4 现场过程控制网络（Process Control Network,PCN）组成

PCN主要由一些传感器、执行器和若干交换机以及一些低端控制设备组成，主要有：智能监控单元（MTU）、远程终端单元（RTUs）、智能电子设备（IEDs）、可编程逻辑控制器（PLCs）、操作控制台或人机交互接口（HMIs）等.

4.2 可信工业控制网络使用的相关协议

可信工业控制网络可以使用现有的标准和协议，从技术上具有可行性，并可以减少构建可信工业控制网络的代价.除了使用TCP/IP协议通过防火墙与Internet通信外；内部还可以使用IPSec协议来强化通讯的信息安全[13、14]，使用EAP和 802.1x协议进行身份认证[14-16]，使用HCAP（主机凭据授权协议）协议来规范认证通信[14、16]，AAA服务器和审计服务器之间可以使用GAME协议来进行通信[14、17].

4.3 可信工业控制网络的工作原理

4.3.1 安全性机制

（1）用户的登陆：

图2 可信网络用户登陆流程图

为了保证网络的安全性，如图2，用户登录时，利用基于角色的访问控制技术确定用户的身份和权限，如果登录成功，带有TBB模块的主机开始初始化，检测自身的硬件和软件是否正常，并把状态报告投递给具有可信验证功能的TNAD设备，如果状态达标，则允许主机接入网络，成为可信节点.TNAD设置有受信缓冲区，作为主机之间的数据缓冲池和安全带.一来过滤数据内容，发现并及时制止恶意网络行为，二来可以减轻网络数据传输压力.

（2）可信节点之间的通信：

图3 可信节点之间的通信

用户在使用主机处理数据时，如图3使用文献[4]中的kerberos技术控制主机资源，防止用户非法使用系统资源.用户的数据操作由审计服务器进行记录，实现不可抵赖性.主机之间的数据传输通过加密验证，首先利用AAA服务器监听并检测数据内容，如果内容非法，立刻终止该传输进程，并且由审计服务器记录相应事件到日志文件，同时通知网络中心.离该节点最近节点首先根据登录用户权限设置二者信任值，然后利用文献[18]的信任值传播计算方法求得该节点和其它网络节点之间信任值，并添加到网络中的TNAD受信缓冲区，完成主机信任值初始化.

4.3.2 可生存性机制

DMZ的历史数据服务器（data historian）保存记录着网络的重要历史数据备份，当网络出现异常或是遭到攻击导致故障时，可以启用恢复机制，重新启动系统，并从历史数据服务器读取备份，以恢复系统性能，进而实现系统的可生存性.

4.3.3 可控性机制

DMZ的可控制性服务器具有最高优先级响应权限，可以为用户提供对系统的绝对控制服务接口.当系统出现未知的或紧急异常，导致通常的控制失效时，可由此服务器提供紧急控制措施.以避免危险的发生和恶化以及损失的扩大.

5 结论与展望

可信概念的提出已有一段历史，可信计算技术的发展也有了较大的进步，可信技术在网络上的应用已成为国内外众多学者研究的热点，然而将可信技术应用到工业控制网络方面的相关理论和文献还比较少见.针对现有可信网络研究成果进行分析，发现相对于互联网，工业控制网络的特点和约束条件更适合可信网络理论的应用和实现.首先，工业控制网络的硬件设施和拓扑结构相对比较固定，其信任空间容易建立；其次，现有的安全协议和技术手段为可信工业控制网络的构建提供了可行性；更为主要的是，工业控制网络对可信要求尤其迫切，具有很大的实际意义和应用价值.本文以可信网络和可信计算为理论基础，针对工业控制系统的特点，提出了可行的可信工业控制网络的概念，并对其相关属性进行了详细分析，然后在此基础上提出了可信工业控制网络的一种体系结构，并描述了其工作原理.目前，可信工业控制网络技术的研究与发展在我国还处于初级阶段，面对的技术和理论难题还很多.我们将在后续的研究中就可信工业控制网络的可控性和可信度量等方面进行深入研究.希望通过本文，能够引起国内对这一领域的关注，为我国可信工业控制网络技术的研究与发展做出贡献.

〔1〕http://baike.baidu.com/view/6171322.htm.

〔2〕林闯，彭雪海.可信网络研究[J].计算机学报,2005，28(5)：751-757.

〔3〕周森鑫，韩江洪，唐吴.半Markov可信工业控制以太网研究[J].计算机应用研究,2010，27(3)：1047-1051.

〔4〕刘宏月,范九伦,马建峰.访问控制技术研究进展[J].小型微型计算机系统,2004,25(1):56-59.

〔5〕Andrew S Tanenbaum.计算机网络[M].第3版.北京:清华大学出版社,2001.

〔6〕Robert R.Moeller.Computer Audit,Control and Security.New York:W iley,1989.

〔7〕何静,刘海燕,张惠民.基于文本的内容过滤算法的比较[J].计算机工程,2002,28(11):9-10.

〔8〕刘剑波,王能,沈捷.VPN网关的设计和实现[J].计算机工程,2004,30(3):130-132.

〔9〕D ING L,KOLAR I P,GANJUGUNTE S,et al. Modeling and evalua2ting trust network inference:p roc.of the 7th InternationalWorkshopon Trust in Agent Societies at AAMAS[C].[S.l.]:[s.n.],2004:21232.

〔10〕沈昌祥,张焕国,冯登国,等.信息安全综述,中国科学E辑:信息科学,2007.37(2)：129-150.

〔11〕K.Stouffer,J.Falco,K.Scarfone,N IST guide to industrial control systems(ICS)Security,Second Public Draft,in: NIST Special Publication 800-82,NIST,2007.

〔12〕Trusted Computing Group.TCG Specification Architecture Overview [EB/OL].[2005-03-01].https:// www.trustedcomputinggroup.org.

〔13〕Cisco NAC Appliance-Clean Access Manager Installation and Configuration Guide,Release 4.1(2),Cisco Systems,Inc,2007.

〔14〕Network Adm ission Control (NAC), Technical Overview,Cisco Systems,Inc,2005.

〔15〕Cisco TrustSec:Enabling Sw itch Security Services, W hite Paper,Cisco Systems,Inc,December 2007.

〔16〕Implementing Network Adm ission Control Phase One Configuration and Deployment,Version 1.1,Cisco Systems,Inc,2005.

〔17〕D.D.Capite,Self-Defending Networks:The Next Generation of Network Security,Cisco Press,2006.

〔18〕张京循,金妍.基于对等网络的信任模型[J].济南大学学报(自然科学版),2002,16(4):343-345.

TP13；TP393

A

1673-260X（2014）02-0003-03

安徽省高等学校自然科学研究重大项目（2009ZD009）