基于可信计算的工业控制系统

基于可信计算的工业控制系统

裴志江;邹起辰;谢超

【摘要】为增强现代工业控制系统安全性,预防大规模爆发的病毒破坏工业系统,使经济遭受重大损失,提出一种基于工业控制系统的针对可信网络系统的解决方案,根据针对工业控制系统安全性的需求分析,设计基于可信计算的工业控制安全解决方案.对该安全解决方案的性能指标进行实验,确保其在硬件消耗方面不会有明显影响,验证其在工业控制系统中是可行的.在安全性方面,由于该方案基于可信的思想,可以从内到外自底向上的方式保护工业控制系统,安全性优于其它相关安全协议.

【期刊名称】《计算机工程与设计》

【年(卷),期】2018(039)005

【总页数】7页(P1283-1289)

【关键词】工业控制系统;可信计算;认证协议;安全分析;三元对等模型

【作者】裴志江;邹起辰;谢超

【作者单位】南京理工大学计算机科学与工程学院,江苏南京210094;北京机电工程总体设计部信息中心,北京100854;中国航天科工运载技术研究院政工人事部,北京102308

【正文语种】中文

【中图分类】TP309+.1

0 引言

现代工业控制系统已经广泛的应用于医药、车辆、水电力、石油化工、食品、航空航天等工业领域中，成为国家关键基础设施的核心[1]。在信息化的推动下工业化

进程大大加速，产能得到巨大提高的同时大量安全问题随之而来，如木马、病毒、网络攻击和一些专门针对工业控制系统出现的攻击手段层出不穷，2010年“震网”病毒[2]在伊朗爆发造成大量工业系统受到严重破坏，经济遭受重大损失。由于工

业控制系统尤其自身特殊的性质，所以对它的安全性需求要一直增加。

1 相关工作

目前来看，安全产品中商业化的ICS[3]比较稀少，这其中核心因素是在“两化融合”的基础背景之下，太过庞大和丰富的工业控制系统规模，促使进行安全防护的困难程度大大增加。一些工控安全产品设计标准 ISA-99/NERC-CI等是国外的研

究性质的机构和相关公司首先提出来，并且以此为根基，不断地开发出一些新产品，比如Tofino，C4等等，生产出的新产品的标准以及产品本身体现了工业控制系统安全技术的一种新发展的走向。在国内有一些研究机构和相关公司，最开始从“软防护”这一特别的角度着手，想到了一批批不同的解决措施和方案，不过新方案仅仅只能被当作是完善工业控制系统边界安全[4]的一种措施手段，但是针对ICS来说，解决它的终端安全以及通信管控等问题的作用并非明显的突出效果。因此对于工业控制系统安全所要面临的问题，一种以可信理论为基础的安全策略便应运而生，使可信工业控制系统能够从底层向上层全方位的保障控制信息以及保证工业设备的安全可信。

2 可信计算[5]工业控制系统设计

可信工业控制系统设计目标在于系统应保证受到可信模块的保护、符合可信理论思想；系统应满足更高层级的安全需求；可信链接结构、三元对等模型是系统设计理念的基础[6]。

本系统设计还包括工程师站身份认证、访问控制、安全度量。整个设计基于可信理

论，排除攻击方进入程师站后对整个系统造成的危害，确保整个系统的安全性。对于系统的安全目标来说，我们可以借鉴可信理论中的3点理论：

(1)访问控制

在可信工业控制系统内部网络中加入可信安全管理中心，可信安全管理中心对工程师站的可信判断通过工程师站内置的可信模块实现，可信模块可监管工程师站的启动执行等过程，安全管理中心对其监管过程进行度量，识别结果表现为工程师站是否可信。系统将可信工业控制系统架构中的可信控制站作为可信安全管理中心的策略执行点，对工程师站进行访问控制。

(2)数据加密

工业控制系统对于存储的数据是以密文形式存储的，可信模块存储密钥是被加解密管理器产生的加解密密钥所保护起来，ISCSI这个命令的作用是工程师站发出一个加密申请，接着可信安全管理中心进行审核，是否给工程师站提供加密服务，对于没有授权的用户来说，数据的存储、加密、ISCSI都是不可视的，都是不可进行干扰的。

(3)日志管理

当面对有可能泄露事件之时，必须有一个类似日志的管理方式来进行对信息的追踪，以方便人员管理，所以有周期的加密的日志系统必不可少。工程师站上的用户对日志的操作具有一定的限制，不可随意进行一般性的修改操作，日志的散列值是由可信配置寄存器来进行保存，一旦日志被强行修改，那么工程师站将被判断为安全不可信，从而被放入到一片单独的隔离区域。

2.1 可信计算工业控制系统的组成构造

本文中工业控制系统安全方案基于典型工业控制系统网络结构，在其基础上增加可信安全管理中心，并在工程师站与控制站中增加可信模块。可信工业控制系统结构如下：

工业以太网：过程控制工业以太网络采用IEEE 802.3标准，符合TCP/IP传输协议。实现系统中可信工程师站、可信控制站以及可信安全管理中心等的连接，它能够被看作是在传送的过程中进行实时信息控制的一种通道。

可信安全管理中心：提供整个可信工业控制系统的安全策略，授权可信工程师站，采用安全策略库调用的方式生成安全策略。工程师站向中心提出申请后，中心对信息进行评估判定工程师站的安全性，检测可信控制站。

可信工业控制系统网络结构如图1所示。

图1 可信工业控制系统网络结构

可信控制站：完成工业设备信号的输入/输出，实现过程控制中的数据采集、回路控制、顺序控制、优化控制等控制算法，负责整个工业过程的实时监控。可信控制站执行整个可信工业控制系统的安全策略，当工程师站未被授权管理时，可信控制站拒绝工程师站的一切控制指令。当可信安全管理中心对工程师站授权成功后，可信控制站接受工程师站的管理控制。可信控制站比一般控制站需增加可信的相关板块。

可信工程师站：主要用于控制应用软件的组成状态、系统监控、系统维护和对整个可信网络监控。其作为访问申请者，只有当得到可信管理中心授权后才能够访问管理可信控制站，防止工程师站被攻陷或假冒的工程师站对工业设备进行非授权修改和破坏。

可信工业控制系统授权概述，如图2所示。

工业设备：承载工业生产任务，可信工业控制系统中最终受保护目标。

图2 可信工业控制系统授权概述

可信工程师站向可信安全管理中心申请访问管理可信控制站，可信安全管理中心开始对可信工程师站进行身份鉴别认证过程，认证结束通过后可信工程师站得到访问可信控制站的授权，从而能够通过对可信控制站的控制来控制工业设备，让工业设