密碼技術在工業控制系統中的應用研究

蘭 昆 唐 林 張 曉

(中國電子科技集團公司第三十研究所，四川 成都 610041)

密碼技術在工業控制系統中的應用研究

蘭 昆 唐 林 張 曉

(中國電子科技集團公司第三十研究所，四川 成都 610041)

在工業控制系統面臨的網絡攻擊活動日益頻繁的形勢下，將基于密碼的信息安全技術用于工業遠程實時控制系統中是一項意義重大的技術創新。先討論目前工業控制系統面臨的安全威脅，指出了工業控制系統的信息安全目標，然后分析如何應用基于密碼的信息安全技術防護這些威脅。同時，提出兩種在控制站和受控設備之間建立可靠、可信的控制通信信道的加密模型，其實際應用為密碼技術在工業控制系統信息安全中的應用提供了參考。

工業控制系統 威脅 加密 機密性 可鑒別性 安全通信信道 模型

0 引言

工業化和信息化的發展，以及“兩化融合”的趨勢，促使工業企業中的IT系統與工業自動化系統不斷融合，特別是制造執行系統(MES)使生產控制系統與過程控制系統不斷融合。因此，傳統IT系統面臨的威脅，不斷地延伸到工業控制系統中。來自互聯網或內網的安全威脅，無論影響到管理網還是生產網，都會對工業控制系統造成實質性影響[1]。在這種背景下，基于密碼的信息安全技術將發揮重要作用，這類密碼技術通常用于銀行系統、財務結算及辦公自動化等數據網絡業務環境中。

1 工業控制系統安全威脅現狀

傳統工業自動控制系統一般與互聯網絡隔離，但現代遠程控制系統越來越多地需要與互聯網連接,固有的生產控制網絡與互聯網絡的邊界已經被打破，工業控制系統遭受網絡攻擊的問題日趨嚴峻。2013 年度ICS-CERT 公開報告處理的安全事件就達 256 件[3], 近4年來ICS-CERT公開報告處理的安全事件已達 632件[3]。2014年6月出現了專門針對工業控制系統的新型攻擊病毒——“Havex”，這些攻擊事件多分布在能源、關鍵制造業、市政、交通等涉及國家安全和國計民生的關鍵基礎行業，工業控制系統的信息安全研究已經十分迫切[2]。因此，在重要的工業控制系統如工業監視控制與數據采集系統(SCADA系統)、集散控制系統(DCS系統)、可編程邏輯控制器(PLC)中使用加密技術的需求日趨明顯。一般認為，在此類工業實時控制系統中部署加密技術面臨很多困難，原因在于加密過程需要一定的計算資源，工業控制系統設備中的計算資源在有些情況下不可能重新分配，或者消耗額外的計算資源將導致自動化控制系統不可接受的延遲[1]。但是，最近的一些研究結果表明，加密技術可以成功用于計算能力較低、通信交互能力較差、資源受限的環境中，如傳感器網絡。

本論文主要討論在工業遠程自動化控制環境中使用加密技術的問題，提出兩種簡單高效的、基于加密算法的保護控制中心和遠程受控設備之間通信信道的應用模型。這兩種方法不需要耗費太多計算資源和存儲空間。

2 工業控制系統信息安全目標

不同的網絡信息系統有不同的信息安全目標，一般情況下存在兩種截然不同的信息安全目標：通用安全目標和特殊安全目標[4]。

通用安全目標是不同領域的多數信息系統都需要達到的基本要求，通用安全目標如下。

① 機密性——確保信息只能被授權實體訪問。機密性是加密技術的最初目標，目前信息安全界已經設計出一系列加密算法支撐實現機密性。

② 完整性——確保信息在傳輸過程中未被篡改。完整性機制意味著接收端可以及時地發現入侵者非法更改傳輸信息的行為。

③ 鑒別性——分為實體鑒別和數據鑒別兩類。實體鑒別或識別指的是參與通信會話的實體可以證明其身份的真實性和合法性。數據鑒別是指數據接收方可以驗證數據或信息是由正確的發送方發送的，事實上數據鑒別性也可以提供完整性保護。

④ 抗抵賴性——防止實體否認其曾經發生過的行為。當會話過程中的一方否認曾經發送過特殊信息給另一方，雙方因此發生沖突時，接收方可以向任何中立的第三方證明此特殊信息確實是由剛才否認發送行為的發送方發送的。

特殊安全目標僅針對一些特殊的應用系統，下列兩類信息安全目標只會出現在工業自動控制系統中，原因是工業自動控制系統通常是實時控制系統。

① 可用性——當用戶提出需求時，系統可以及時提供相應服務。在工業自動控制過程中，可用性表現為自動控制系統中的控制功能運行正常,并正確完成設計功能。

② 數據更新——確保接收到的信息是持續更新的。目前有兩種方法實現數據持續更新能力：以周期方式發布信息數據；以一定順序接收信息數據包，例如工業控制中心站點按照固定不變的順序發送控制指令。

3 工業控制加密算法模型

提出并分析兩種加密算法模型：對稱加密算法模型和單向鏈密碼算法模型在具體的工業控制系統環境中的應用。

3.1 應用環境

根據第2節討論的信息安全目標，工業控制系統中的遠程受控終端系統Ri，需要確保下列幾方面的信息安全。

① 控制中心站點和目標受控終端系統之間傳輸的控制指令的機密性。

② 控制指令本身是可以鑒別的，即控制中心站點確保產生針對特定的受控終端系統的控制指令，該機制也可以確保控制指令的完整性。

③ 控制指令的生命周期的合規性，指的是入侵者不能隨意改變控制指令接收的順序。此處討論的網絡安全問題主要來源于惡意攻擊者非法改變控制指令的正確接收順序，進而引起對工業生產運轉的破壞。值得注意的是，在該類工業控制環境中，有可能發生另外一些實時通信中的非正常運行問題，但不在本論文的討論范圍內。

控制中心站點C必須確保其所發的指令能被正確的遠程受控終端系統Ri正確接收。實現這個安全目標相對容易些，因為Ri可以向C發送一條鑒別確認信息。這種工業控制系統的通信環境如圖1所示，控制中心站點和遠程受控終端系統之間的下行通信信道是可信和機密的，但遠程受控終端系統和控制中心站點間的上行通信信道(如圖1中虛線所示)只能確保可鑒別性，因為遠程受控終端系統在接收到控制指令后可以向控制中心站點發送一條鑒別確認信息。

圖1 網絡化的工業控制系統環境

3.2 模型涉及密碼概念定義

理論上有很多種密碼技術可以用來實現上述信息安全目標,但是大多數成熟的密碼技術都基于非對稱加密算法,或稱公鑰加密-私鑰解密算法,并在加密和解密階段使用不同的密鑰[4]。這類密碼算法比一般的對稱加密算法需要更多的計算資源和更多的存儲空間,直接應用于計算資源、存儲空間或通信能力受限的工業控制系統環境將會遇到很多問題。與此相反的情況是，對稱加密算法使用相同的密鑰進行加密和解密，不需要太多的計算資源和存儲空間，但它的安全性依賴于共享密鑰的強度[5]。在諸如傳感器網絡等資源受限的自動化環境中使用對稱加密技術,更容易實現信息安全目標[8]。

此外，為實現低計算資源和存儲空間，模型中討論的技術主要基于對稱算法模型。討論利用模型實現上述章節提到的信息安全目標時，將會涉及下列對稱加密算法中的基本概念。

① 使用密鑰k對消息x進行對稱加密。高級加密標準(advanced encryption standard，AES)算法是目前眾多的對稱加密算法中較為常用的算法。

② H(x)對消息x進行哈希運算。哈希運算是一種單向運算過程，該運算過程可以對任意長度的消息報文進行運算，生成一個固定長度的數值，但對該數值進行逆運算卻不能恢復原始消息。哈希運算主要用于確保數據完整性，最常用的哈希運算是安全哈希算法(securehashalgorithm，SHA)[6]。

③MACR(x)使用密鑰k對消息x進行鑒別運算，運算結果形成基本的對稱加密算法安全因子，該安全因子可以提供消息的身份鑒別能力。有很多方法可以對消息進行MAC運算，最簡單的方法是對消息進行哈希運算時伴隨使用一個密鑰，但是為增加安全性，需要使用更復雜的算法并迭代哈希運算過程。

3.3 對稱加密算法模型

典型的運算函數可以是MAC運算[7]。

另一方面，該模型要求控制中心站點C為每個遠程受控終端系統Ri維系一個計數器θC,Ri，每個遠程受控終端系統Ri與控制中心站點完成信息交換后，θC,Ri累加1。每個遠程受控終端系統Ri也獨立地保持一個計算器，每次正確接收控制指令后，計數器自動累加。

為保證向遠程受控終端系統Ri發送控制指令的機密性和可鑒別性，控制中心站點C應用程序需要完成下列過程。

① 將工業控制指令表示為M。

③ 計數器累加。

θC,Ri=θC,Ri+1

(3)

從控制中心站點發往遠程受控終端系統的消息如下所示：

(4)

遠程受控終端系統接收到該消息后需要進行如下操作。

① 基于數值i驗證該消息的正確性，如果發生校驗錯誤則忽略該消息，并等待傳輸下一組消息。

② 更新計數器數值，以確保新接收消息報文的計數器數值大于上一次接收到的消息報文的計數器數值，否則將丟棄該消息報文，并等待傳輸新的消息報文。

③ 對已加密的消息報文進行MAC運算，以此確保消息報文和計數器的可鑒別性。如果鑒別失敗，則丟棄該消息報文并等待消息重傳。

④ 使用新接收的數值θC,Ri更新計數器。

⑤ 解密接收的消息報文并進行使用。

⑥ 更新計數器值θC,Ri，同時用計數器值和更新過的計數器值進行MAC運算。

(5)

利用MAC運算的結果應答控制中心站點。

控制中心站點端也將等待應答報文，并通過檢查計數器數值和進行報文MAC計算的方法，檢驗該應答報文的正確性。如果檢驗結果正確,則表明已正常接收控制指令，控制中心站點的計數器進行同步更新；反之表示控制指令未被正常接收需要進行重傳。

對稱加密算法模型的特點是控制中心與遠程受控終端系統共享的因素較少,僅幾個少量字節的報文交互就可以完成整個加密過程,占用的計算資源和存儲空間不大且可控。

3.4 單向鏈密碼算法模型

單向鏈密碼算法模型是指在工業控制系統中應用單向鏈密碼技術，即使用單向陷門函數。

3.4.1 工業控制單向鏈的構建

本節討論工業控制系統網絡實體的鑒別或識別問題，通常情況下基于可以證明一個實體身份的某項秘密特征來實現鑒別過程。基于密碼的鑒別是最普遍的鑒別技術，但缺點是僅能提供較弱的安全防護等級，因為密碼有可能會在其存儲的系統中被竊取，或在并不安全的會話通信信道中泄漏[6]。但是在那些計算時間特別受限的重要工業控制系統中，基于密碼的鑒別技術優勢很突出，而在一些不能占用太多計算資源的場合可以使用一次性密碼。

一次性密碼技術指的是每次鑒別認證過程都使用不同的密碼，其最大的優點是及時放棄已經使用過一次的密碼，并保證不會被第二次使用，確保用戶不會遭受重放攻擊。

Lamport等人在1981年開展的一次性密碼研究計劃中，曾經提出僅將秘密信息存儲在會話雙方中的一方，從會話雙方傳輸密碼的過程中截獲密碼將不會導致系統遭受重放攻擊，因為在該系統中同一個密碼不會被使用兩次。Lamport的鑒別認證過程要求需要進行鑒別的實體計算序列{x，F(x)，F1(x) ，F2(x)，...，FNA(x) },其中x為實體選擇的隨機數并確保是秘密不公開的，NA是需要進行鑒別的次數，F是已知的單向函數也稱為單向鏈，且F具有交換性，或F本身是單向陷門函數[6](本論文中討論的單向函數F均指F具有交換性，或F是單向陷門函數)。

工業遠程受控終端系統(如PLC等)的運算速度和資源往往非常受限，構建上述單向鏈一般可以有兩種較為實用有效的解決方案，但各有優缺點，需要根據實際情況進行選擇。

① 基于對稱加密算法構建單向鏈。hash運算是一種典型的對稱加密算法，其運算速度很快。但在國外一些密碼研究計劃中曾報道過該方案存在的明顯缺陷。單向鏈的長度固定，如果將所有的原始數據用于單向鏈進行hash運算，則這些數據將變得不可再利用，因為單向鏈本身是不可逆的。如果將單向鏈的存儲空間設置得過長，則單向鏈運算將需要更多的計算資源，如果設置得過短，則很快就會占滿存儲空間[9]。

② 基于非對稱算法構建單向鏈。使用公開密鑰作為初始加密密鑰，以及支持多個整型變量的加密算法作為單向鏈計算方法。優點在于單向鏈的長度可以是任意的并且單項鏈不存在存儲空間被占滿的問題。但是，公開密鑰算法帶來更靈活的安全性的同時卻需要消耗更多的計算資源[10]。

單向鏈密碼算法模型最大的特點在于一次性密碼的使用不僅確保了信息安全能力，而且降低了工程實現上的難度，使用更靈活。

3.4.2 工控單向鏈的應用分析

于是在第3.3節討論的鑒別應用中使用單向鏈的過程可以是：在控制中心站點C和每個遠程受控終端系統θOWC之間重新維持一個新的基于單向鏈的計數器θOWC，而不是簡單的累加計數器θC,Ri。控制中心站點生成鑒別計算函數實體序列{x，F(x)，F1(x)，F2(x)，...，Fj(x)，...，Fη(x)}，其中η的值足夠大，且x是隨機的。在最初階段，C與Ri共享θOWC=Fη(x)，鑒別計算實體序列中的任一個函數實體都可以作為基于單向鏈的計數器，并且是鑒別計數器。

在工業生產控制現場，為確保控制中心站點向每個遠程受控終端系統發送控制指令的機密性和可鑒別性，控制中心站點需要進行下列運算。

① 將控制指令表示為M。

③ 使用單向鏈函數計算出新的數值。

從控制中心站點發往遠程受控終端系統的消息報文結構如下所示。

(6)

該消息報文可以向所有遠程受控終端系統發送，但是只有當遠程受控終端系統的MAC計算結果與消息報文中的MAC值一致時，Ri才能解密消息報文并還原出正確的控制指令。

每個遠程受控終端系統接收到該消息報文后需要進行如下操作。

① 進行F[Fj(x)]運算，如果結果是預先共享的，則表明控制中心站點一直在線并可信。如果結果是其他值，則該消息報文將被丟棄，遠程受控終端系統等待接收下一個消息報文。

② 使用接收到消息報文與預先共享的θOWC進行MAC運算。當運算計算結果與接收到的值一致時，完成消息的鑒別性計算；否則，丟棄該消息報文，等待接收下一個消息報文。

③ 解密該消息報文并還原控制指令。

④ 接收正確的控制指令報文并還原出控制指令的遠程受控終端系統，需要向控制中心站點發送的應答報文為：

(7)

報文應答交互過程中可能發生的突出問題是：如果在網絡傳輸過程中丟失一個應答消息報文，那么控制中心站點將無法進行單向運算F[Fj(x)]，進而無法確認控制指令得到執行，于是將向網絡中重復發送同一個控制指令，直到接收遠程受控終端系統發送的應答報文為止，遠程受控終端系統一側也將重復接收到同一個控制指令，形成“循環”。

解決“循環”問題的辦法是，當遠程受控終端系統重復接收到控制指令報文時，進行函數迭代運算：

(8)

式中：k為丟失的應答報文數量。

將θOWC值隨應答報文一起發往控制中心站點，一旦控制中心站點接收到應答報文，控制中心站點將通過計算MAC值的方法完成遠程受控終端系統身份鑒別。為確保控制中心站點的可用性，建議在發生“循環”問題時，控制中心站點在重復發送同一個控制指令的消息報文時，盡可能避免使用同一個θOWC值。

在工程化應用階段,上述對稱加密算法或單向鏈算法的軟硬件實現載體，主要有三種形式：密碼芯片、軟件模塊、獨立的外設。其中，密碼芯片和軟件模塊可以與原有的控制中心站點設備和遠程受控終端系統融為一體，而獨立的外設將以串接或并接的方式接入到原有工業控制通信網絡環境中，因而應根據具體的使用環境和條件靈活選擇。

4 結束語

研究工業自動控制系統中的控制中心站點與遠程受控終端系統之間的安全通信問題，在當前的網絡安全形勢下非常有意義。本論文提出兩種基于密碼的解決方案及應用模型，確保控制中心站點能向其控制網絡中的每個遠程受控終端系統發送機密的、可鑒別的控制指令，并保證工業控制會話雙方的可用性。這兩種應用模型能夠較好地適應工業控制系統中計算和存儲資源受限條件，以及克服信息安全技術對工業控制系統實時性的影響問題,具有一定的應用價值。

[1] 饒志宏，蘭昆，蒲石.工業SCADA系統信息安全技術[M].北京：國防工業出版社,2014:1-67.

[2] 彭杰,劉力. 工業控制系統信息安全性分析[J].自動化儀表，2012,33(12)：36-39.

[3] ICS-CERT_Monitor_Oct-Dec2013.ICS-MM201312 US.[EB/OL].[2013-12-18]http://ics-cert.us-cert.gov/monitors/ICS-MM201312.

[4] 盧開澄.計算機密碼學—計算機網絡中的數據保密與安全[M].北京：清華大學出版社,1998：36-49.

[5] 楊義先.編碼密碼學[M].北京：人民郵電出版社,1992：15-22.

[6] 斯托林斯.密碼編碼學與網絡安全:原理與實踐[M].北京：電子工業出版社,2011:156-213.

[7] Liu, D,Ning P.Efficient distribution of key chain commitments for broadcast authentication in distributed sensor networks[C]//Proceedings of the 10th Annual Network and Distributed System Security Symposium,2002:89-96.

[8] Falco J, Gilsinn J, Stouffer K.IT security for industrial control systems: requirements specification and performance testing[C]//NDIA Homeland Security Symposium & Exhibition,2004:117-129.

[9] Dzung D,Naedele M,Hoff T P,et al.Security for industrial communication systems[J].Proceedings of the IEEE, 2005,93(6):47-50.

[10]Lamport L.Password authentication with insecure communication[J].Communication of the ACM,1981，24(11)：770-772.

Research on the Application of Cryptographic Technologies in Industrial Control System

Nowadays, the industrial control systems are facing the situation of network attacks become more frequently, thus applying cryptography based information security technology in industrial remote and real time control systems is very important technologic innovation. The security threats of which industrial control systems facing are discussed first; and the target of information security for industrial control systems are pointed out, then the measures of applying cryptography based information security technologies to prevent these threads are analyzed. In addition, two types of the encryption models of establishing reliable and credible communication channel between control station and controlled equipment are proposed. The practical application of these models will be helpful to provide applicable reference for applying cryptographic technology in information security of industrial control systems.

Industrial control system Threat Encryption Confidentiality Identifiability Secure channel Model

工業和信息化部電子信息產業發展計劃基金資助項目(編號：工信部財[2012]407號)。

蘭昆(1979-)，男，2005年畢業于四川大學通信與信息系統專業，獲碩士學位，高級工程師；主要從事工業控制系統信息安全方面的研究。

TP393

A

10.16086/j.cnki.issn1000-0380.201510018

修改稿收到日期：2015-04-17。