一種面向云端輔助工業控制系統的安全機制

屠袁飛 楊庚 張成真

工業企業為了降低運營成本和相關費用,不斷尋求能夠提供穩定性,容錯性和靈活性的工業系統解決方案.云端輔助的工業控制系統[1]隨之出現,即將云計算服務、物聯網與傳統的數據采集與監控(Supervisory control and data acquisition,SCADA)系統整合,以感知真實世界中不斷變化的狀態,通過云計算、大數據分析,實現動態的優化控制,甚至可以將其部署在實時閉環的控制回路中[2?5].在整合過程中,新舊技術重疊使用,除具有傳統SCADA系統存在的安全問題外,還面臨其他來源多樣的威脅,包括敵對政府,恐怖組織,內部人士的惡意或意外行為,惡意入侵者,事故和自然災害等.依賴云通信使得SCADA 系統更加開放,但系統命令和信息也可能在通信過程中被修改,嗅探或丟失.即使一些工業云采用了傳統的用戶名密碼的訪問控制機制,進入云中的用戶面對系統全部的數據,也可能破壞其他不可訪問資源的隱私.更重要的是,在工業系統中執行的邏輯對物理世界有直接的影響,被惡意攻擊的系統會對人類的健康安全、環境、設備造成嚴重的破壞及損失,最知名的莫過于2010年伊朗核系統遭受的Stuxnet病毒事件[6].近年來,世界各國均提出了一些極具參考意義的指標和安全實踐指南[7],我國也頒布了《網絡安全法》,提出加強關鍵信息基礎設施安全防護,維護國家網絡安全.

對此有學者提出通過加密方法來阻止信息泄露,實現隱私保護[8].文獻[9]基于穩定性判據設計了一種工業控制系統中加密傳輸機制的可行性評估模型.

文獻[10]對SCADA 網絡安全已有的標準規范進行了綜述,并使用縱深防御理論對其分別進行了評估.文獻[11]采用粒子濾波算法,建立工控系統網絡態勢感知模型,判斷系統是處于“安全態勢”還是“危險態勢”.文獻[12]針對SCADA系統使用的DNP3通信協議的安全問題,使用密碼學工具來防止數據在傳輸的過程中被竊聽,保護數據通信的安全,并做了相關性能測試.文獻[13]針對工業無線傳感器網絡中無線介質的開放特性,攻擊者可以容易地竊聽通信來收集關于傳感器的隱私信息這一問題,提出了一種能夠支持網絡身份驗證的假名通信方案.該方案利用代理服務器為每臺傳感器分配隨機ID的方法來匿名通信,但僅支持傳感器的一跳范圍之內的隱私保護.文獻[14]將主流加密算法應用在PLC中,對其性能進行了仿真測試,并在PLC網絡中實測了網絡吞吐量,結果表明AES算法是目前最適合PLC的加密方法.然而作為一種對稱加密算法,如何管理其密鑰是必須考慮的問題.

通過上述安全控制措施的確能夠檢測惡意軟件的引入,減輕系統運行威脅,但并沒有將攻擊者拒之門外.文獻[15]表明通過APT攻擊,攻擊者能夠在不引起數據被破壞的情況下,長時間地潛伏在系統中竊取數據.文獻[16]指出用戶的疏忽也是導致信息泄露的重要因素,因此需要設計一種覆蓋所有現場設備的細粒度訪問控制方案,防止任何未經授權的訪問行為.文獻[17]提出應限制對打印機或共享磁盤等公共資源的訪問,訪問者應包含在網絡的已知用戶中,并通過認證方法來阻止隱蔽信道.文獻[18]針對關鍵基礎設施資產保護問題,采用可信計算方法來限制軟件平臺上的開放接口,達到保護資產的目的,但并不能提供細粒度的訪問控制.變電站安全標準IEC/TS62351-8[19]建議使用認證機制,尤其是基于角色的訪問控制(Role-based access control,RBAC)方法[20]來降低整個SCADA網絡的復雜性.文獻[21]則針對樓宇控制系統中各分布式子系統間的通信安全問題,為用戶分配預定訪問權限策略的角色,保護資源免受未經授權的訪問.文章缺點在于當主體和客體屬性的數量變大時,角色的數量呈指數增長.

與RBAC不同,從分布式計算派生的基于屬性的訪問控制(Attribute-based access control,ABAC)方法為系統中的每個實體分配所謂的“屬性”.用屬性描述的策略可以表達基于屬性的邏輯語義,靈活地描述訪問控制策略[22].在基于密文策略(Ciphertext-policy attribute-based encryption,CP-ABE)的方案中[23],密文中嵌入了訪問控制結構,即加密之后就確定了哪些用戶能夠對它進行解密而不需要借助可信服務器來實現這種控制.

本文利用基于屬性的加密(Attribute-based encryption,ABE)算法能夠有效實現細粒度非交互訪問控制[24]的特點,為云端輔助的工業控制系統提出了安全高效的訪問控制方案,有效地控制了用戶權限,保護了數據隱私.方案能夠對云中存儲數據進行實時動態地驗證來識別損壞數據的行為,確保數據的完整性.并且為現場設備與用戶建立了安全的通信連接,通過對用戶的嚴格認證,保證現場控制器獲得可信的數據.最后,文章分析了方案的安全性與性能開銷,并給出實驗結果.

1 預備知識及系統模型

1.1 預備知識

1.1.1 雙線性映射

設G1和G2是兩個p階循環群,其中p為一大素數設p為G1的生成元,定義雙線性映射e:G1×G1→G2滿足如下條件:

1)雙線性性:對任意的P,Q∈G1,a,b∈Zp,滿足e(Pa,Qb)=e(P,Q)ab.

2)非退化性:e(P,P)=1.

3)可計算性:對任意P,Q∈G1,a,b∈Zp,存在一個有效的多項式時間算法計算出e(P,Q).

1.1.2 線性秘密共享方案

一個基于成員集P的秘密共享方案Π 在Zp上是線性的需要滿足一下兩個條件:

1)每個成員所分得秘密的一部分構成一個Zp上的矩陣.

2)Π 中存在一個l×(n+1)秘密共享矩陣M.對于i=1,···,l,M的第i行表示第i個成員xi∈P.設一個列向量v=(s,r2,···,rn),其中s∈Zp是待分享的秘密,是隨機的,則M·v把秘密s根據Π分成l個部分.(M ·v)i屬于成員xi.

1.2 系統模型

如圖1所示,云端輔助的工業控制系統一般包含四個實體:SCADA 系統、私有云(Private cloud,PC)、公有云(Public clouds,PubC)以及數據用戶(Data consumers,DC).

1.2.1 SCADA系統

SCADA系統作為一個可以監控及控制所有設備的集中式系統,一般包括以下的子系統:人機界面系統,遠程終端控制系統(Remote terminal unit,RTU),可編程邏輯控制器(Programmable logic controller,PLC),分布式控制系統(Distributed control system,DCS)等.對現場設備的控制及數據采集功能由PLC等控制系統進行,包括啟停電機,讀發送設備的狀態報告等.SCADA系統將采集到的數據發送到企業私有云平臺,并接收來自私有云的指令.

圖1 系統模型Fig.1 System model

1.2.2 私有云

私有云是為一個企業單獨使用而構建的,能夠提供對數據、安全性和服務質量的最有效控制.私有云具有相對安全的優勢,但不適合大規模存儲.企業在私有云部署授權中心(Key generation center,KGC),根據基于屬性的加密方法,生成公鑰及主密鑰,管理系統中的屬性,構建訪問策略并以此加密數據,之后再把密文發送到公有云存儲.

此外,為防止由于軟件錯誤或配置錯誤導致的數據損壞,私有云對外包存儲的數據進行完整性檢查,以確保數據是真實的,或未被未經授權方修改過.

1.2.3 公有云

公有云由第三方提供商為企業提供,包括位置獨立的數據存儲,無處不在的數據訪問,按需的高質量服務,成本低廉,動態擴展性等優勢.企業在公有云上完成資源租用、應用托管和服務外包.

在本模型中,我們假設公有云是誠實但又好奇,且易受到攻擊的.因此由私有云對數據進行加密后再發送到公有云,用戶從公有云中獲取密文.由于訪問控制策略包含在密文中,只有具備相應屬性的用戶才能獲得訪問數據的權限,因此公有云只能對密文進行存儲、轉發,其自身也沒有訪問原始數據的權限.此外,公有云接受來自私有云的審核,配合私有云完成存儲數據的完整性檢查.

1.2.4 數據用戶

數據用戶一般為企業管理人員、工藝員、操作工、監管部門等.用戶向KGC聲明其所擁有的屬性,獲得屬性私鑰.如果數據用戶的屬性滿足密文中所定義的訪問策略,則用戶可通過該私鑰獲得訪問公有云中原始數據的權限,對數據進行分析診斷,再將優化后的參數或指令經私有云發送到底層PLC、RTU等設備.

2 系統方案

本文首先在文獻[25]的加密算法基礎上,提出了一種面向云端輔助工業控制系統的保護用戶隱私的訪問控制方案.一個支持細粒度屬性撤銷的ABAC方案由6種多項式時間算法組成:Setup,KeyGen,Encrypt,Decrypt,ReEnc,ReKeyGen.Setup(1λ)→PK,PK,MK:KGC運行初始化算法,輸入安全參數1λ,輸出公鑰PK、PK和主密鑰MK.KeyGen(MK,S)→SK:KGC運行私鑰生成算法,輸入主密鑰MK和用戶屬性集合,輸出用戶屬性私鑰SK.Encrypt(PK,K,Λ)→CT:明文數據K的擁有者執行加密算法.算法輸入公鑰PK,明文K和訪問結構Λ,輸出密文CT.Decrypt(SK,CT)→K:數據用戶執行解密算法.算法輸入該用戶的屬性私鑰SK和密文CT,若用戶所持有的屬性私鑰SK滿足密文CT中包含的訪問結構Λ,算法能夠正確輸出明文K.ReKeyGen(SK,x)→KGC執行私鑰更新算法,算法輸入私鑰SK的部分組件以及待撤銷屬性x,輸出更新后的用戶屬性私鑰ReEnc(CT,x)→明文數據K的擁有者執行重加密算法.算法輸入密文CT的部分組件以及待撤銷屬性x,輸出更新后的密文

如圖2所示,某生產企業配方數據的訪問策略規定只有工藝部門的技術員、主任或管理部門經理才可以看到其中的具體內容,其邏輯表達式為:{[(工藝部門)AND(技術員OR 主任)]OR[(管理部門)AND(經理)]}.由于配方數據已按上述訪問策略被加密,因此其他部門人員就無法對該密文進行解密,從而實現了靈活、細粒度的訪問控制.

圖2 訪問策略Fig.2 Access policy

隨著時間的推移,用戶屬性會發生變化,相應的訪問策略也要有變化,此時需通過ReKeyGen算法和ReEnc算法對用戶屬性私鑰及密文進行更新,令被撤銷屬性的用戶不能再訪問密文.

2.1 訪問控制方案構造

算法1.系統初始化Setup(1λ)

設G,GT是兩個階為大素數p的乘法循環群,g是G的一個生成元,在G中隨機選取輔助變量u,定義e:G×G →GT是一個雙線性映射.KGC隨機選取α,β,a∈Zp.哈希函數H:{0,1}?→G作為散列到群G一個隨機庫.

生成系統公鑰為:

主密鑰為:

算法2.私鑰生成算法KeyGen(MK,S)

算法輸入主密鑰的組件α,gα和用戶屬性集S,選取隨機數t∈Zp,計算輸出用戶私鑰為:

算法3.加密算法Encrypt(PK,K,(M,ρ))

算法輸入公共密鑰PK,對稱加密算法的密鑰K,以及LSSS訪問結構(M,ρ).令M為一個l×n階的矩陣,l為用戶屬性數,n為訪問策略中的屬性數,函數ρ將M中的每一行映射到一個用戶屬性.在Zp上隨機選擇一個矢量vv=(s,y2,···,yn)∈用于分享加密元素s,對i=1,2,···,l,計算λi=Miv,其中Mi為M的第i行,再隨機選取r1,···,rl∈Zp,得到密文如下:

算法4.解密算法Decrypt(SK,CT)

算法以屬性私鑰以及密文為輸入,擁有的解密者試圖解密,假設用戶的屬性列表滿足訪問結構,則存在使得,其中I={i:ρ(i)∈S}解密算法首先計算:

再計算輸出明文:

算法5.私鑰更新算法ReKeyGen(SK,x)

對任意待撤銷屬性x,KGC隨機選取Vx∈Zp作為其更新值再選取私鑰SK的部件Kx按如下公式與新的屬性值Vx進行計算:

用?Kx替代原私鑰部件中相對應的Kx算法輸出重定義的用戶私鑰為:

算法6.重加密算法ReEnc(CT,x)

算法選取密文CT的部件Di,及算法5中為待撤銷的屬性x選取的值Vx按如下公式計算:

此時重加密之后的密文為

2.2 用戶讀取數據

ABE算法作為一種公鑰加密算法,本身較復雜,不適合對大型文件進行加密,而對稱加密算法又必須解決安全傳遞對稱密鑰的問題,因此本文采用混合加密的方式,首先私有云從密鑰空間中隨機選取一個對稱密鑰K,利用對稱加密算法AES(K,D)對現場采集數據D進行加密.之后根據ABE 算法,定義該文件的訪問結構,調用加密算法3加密上述對稱密鑰K,得到密鑰密文CT,再按照圖3的存儲格式發送至公有云.

其中PC →PubC表示由私有云至公有云的數據傳輸.

圖3 數據文件的密文格式Fig.3 Format of ciphertext

用戶向KGC聲明其所擁有的屬性,根據算法2獲得屬性私鑰.之后從公有云獲取加密數據,利用算法4得到會話密鑰K.最后利用會話密鑰K解密AES(K,D)得到原始數據D.

2.3 數據完整性檢查

用戶可以在將數據發送到云端之前對數據進行加密來保護數據,但是它不能防止由于軟件錯誤或配置錯誤導致的數據損壞或惡意用戶的篡改.這就需要對云中存儲數據進行完整性檢查,以確保租戶存儲的數據是完整可獲取的.通過密碼學的挑戰應答方式,企業在私有云上部署完整性檢查服務,由其對公有云發送挑戰信息,通過對公有云響應的嚴格認證,獲得其政策合規性的技術保證.認證過程分為2個階段:初始化階段和挑戰階段,以下將詳細描述2階段的過程.

2.3.1 初始化階段

步驟1.私有云根據算法1生成密鑰對{gβ,β}.

步驟2.私有云對密文F進行分塊,將其分為F={b1,b2,···,bn},隨機選擇mi∈Zp,為上述每一數據塊生成認證元數據集合Φ={σ1,σ2,···,σn},這里σi=(H(i)·umi)β,H(i)為i對應的哈希運算.

步驟3.私有云將{mi}和{σi}附在密文之后發送到公有云中存儲.

2.3.2 挑戰階段

步驟1.私有云作為驗證者,周期性地發起完整性驗證.從文件F分塊中隨機選取t個索引編號,并為每一個編號選取一個隨機數vi∈Zp,將二者組合形成挑戰請求{i,vi}i∈[1,n],并將vi發送到公有云作為挑戰.

步驟2.公有云利用其存儲的vi做以下運算

然后將{μ,σ}發送給私有云進行驗證.

步驟3.私有云接收到{μ,σ}后,判斷如下等式是否成立

若等式成立,則認為公有云中存儲的數據是完整的.

2.4 用戶與私有云的直接通信

通過公有云的分析、優化服務,用戶可以更好地掌控生產全局,提供個性化產品的關鍵參數,優化生產工藝.用戶將關鍵信息提交給私有云,私有云解析產品數據和關鍵參數,再將數據傳輸給底層的工業機器人、PLC、RTU控制器開展生產流程.在這一過程中,私有云需對用戶進行身份認證,防止惡意用戶的攻擊,保證系統的安全運行.為此本文提出一種簡單且安全的數據通信方案,為Internet上傳輸的數據提供可互操作的、基于密碼學的安全保證,保護了傳輸數據的機密性、完整性.詳細步驟如下:

步驟1.系統根據算法1進行初始化,用戶獲得KGC發布的屬性私鑰.

步驟2.用戶向私有云提出更新參數Para的請求.私有云從密鑰空間中隨機選取一個密鑰K1,利用算法3加密KT date=K1||datetime,并將加密后的標記發送到用戶,并保存H(KT date)運算值.

H(·)表示發送端與接收端協議預先約定的哈希函數,datetime為當前時間.

步驟3.用戶得(Encrypt(KT date))|PC→DC后,通過算法4解密密文,并做哈希運算,再發回私有云,供其讀取驗證:H=H(KT date)|DC→PC.

步驟4.私有云讀取用戶返回的信息后,比較H與H是否相等.如果相等,私有云和用戶便可將標記K1作為雙方直接通信的會話密鑰進行安全的加密通信.

步驟5.用戶按如下格式將參數Para、目標控制器編號IDs、用戶編號IDc,當前時間datetime串聯并按如下格式發送到私有云.

步驟6.私有云解密消息得到新的參數Para,然后比較(H=H(IDs||IDc||Para))是否與H相等,如果相等,則證明消息的真實性、完整性.

步驟7.私有云將新的參數Para傳送到目標控制器中,執行指令.

2.5 對稱密鑰的有效期

作為一種非對稱加密算法,ABE的加解密時間長、速度慢,計算復雜度高.因此在第2.2節用戶讀取數據一節中,采用ABE算法加密對稱密鑰,再用對稱密鑰完成對現場采集數據的加密.由于訪問控制策略包含在密文中,只有具備相應屬性的用戶才能得到對稱密鑰,從而獲得現場數據.在實際使用中,為保證通信的安全,對稱密鑰在使用一段時間后就應被撤銷.私有云可定時更新對稱密鑰,用戶需重新通過KGC的身份認證后才能獲得新密鑰.在此過程中,密鑰的有效期越短,系統的安全性越高,但是系統開銷也會增大.

在第2.4節用戶與私有云的直接通信一節中,也采用了上述的混合加密方法.在用戶發往私有云的參數密文中,包含了當前的傳送時間.因此通信雙方可約定用戶指令的有效時間,當私有云接收用戶指令達到約定時間后,即可撤銷用于該直接通信的密鑰K1.

3 方案分析

3.1 正確性分析

以下對算法4解密過程的正確性進行驗證:在沒有屬性撤銷情況下:

當需對某用戶的屬性x進行撤銷時,算法4求解A的過程將分為如下兩部分:

若ρ(i)=x:

若ρ(i)=x:

此時:

然后求解下式:

以下對數據完整性驗證的式(11)進行證明:

3.2 安全性分析

3.2.1 數據的機密性

本方案中,數據文件的機密性取決于對稱加密算法(AES),而對稱加密算法的機密性則主要取決于對稱密鑰K的安全性.密鑰K的加密采用了ABE算法,該算法已被證明是安全的,未認證用戶(如攻擊者)的屬性集不滿足訪問策略,無法在解密過程中恢復e(g,g)ast的值,從而不能訪問數據文件.同理,撤銷屬性的用戶所擁有的屬性私鑰已無法與重加密密文中的組件進行匹配運算,因此也不能成功解密.

本方案利用公有云存儲密文數據,一方面它對所存文件的內容是好奇的,另一方面它也會誠實地執行企業私有云安排的任務.公有云除存儲密文外,僅負責接受私有云的完整性檢查挑戰,返回相應的密文數據塊,不參與任何與加密相關的行為,也不會獲得任何有效的屬性私鑰,因此其無法解密密文.

3.2.2 抗合謀攻擊

基于屬性的加密算法最大的挑戰是防止合謀用戶的攻擊.在CP-ABE中,秘密共享值s嵌入在密文中.為了解開密文,用戶或者合謀攻擊者需要將e(g,g)ast恢復出來.合謀攻擊者必須利用密文中的組件Cl,Dl和其他合謀用戶的私鑰組件L,Kρ(i)做相應的雙線性配對運算.但是,每一個用戶的私鑰都通過一個隨機數t唯一生成,每個用戶的t不同,因此即使用戶合謀,e(P,P)ast的值也不會被恢復.只有當該用戶具有的屬性滿足訪問策略時e(P,P)ast值才會被恢復.

3.2.3 數據的完整性

在云存儲環境中,由于用戶失去了對外包數據的本地控制,會擔心數據是否一直正確地存儲在云中.為了檢測甚至防止這種情況發生,需要定期審核云數據的完整性.因此用戶如何驗證云數據的完整性成為了云存儲中一個關鍵問題.

該方案通過數據分塊、分別編碼及抽查文件隨機子集技術來確保云服務系統中數據的持有性和可恢復性,能夠進行無限多次完整性驗證,同時有效地確保了數據的內容不被驗證者察知,用戶甚至可以將繁瑣的數據審計任務交由可信的第三方管理者來完成.

3.2.4 通信認證

大多數SCADA元件不認證發給他們的命令,無論命令是否合法,它們仍將執行發送給他們的任何命令.本方案中,當用戶發送指令到現場控制器時,需先通過私有云的認證,才能完成指令更新.在這一過程中,考慮到密鑰K1可能會被用戶泄露或者被攻擊者離線破解來獲得,因此隨機選取了密鑰K1并加入失效時間來保證通信安全.

在SCADA 系統中,拒絕服務攻擊是最常見的攻擊方式.這種攻擊一般不能對系統進行控制,但會降低整個系統的性能,甚至令其故障.攻擊者利用大量合理的服務請求來占用過多的服務資源,或頻繁發送命令來限制各種SCADA 系統所需的資源,從而導致系統無法執行預定的任務[26].本方案不用實時在線檢測用戶身份,且采用了隨機密鑰和失效時間的設置,如果攻擊者不能在規定的時間內提交會話密鑰,則不能訪問系統.對于頻繁提交認證請求的攻擊者,也可撤銷其屬性,拒絕訪問請求.

3.3 性能分析

3.3.1 通信消息長度

用戶訪問公有云獲取數據時,需首先利用式(9)獲取對稱加密密鑰K,根據式(4)和式(9),可以計算出密鑰密文總長度為:

在實際應用場景中,為達到足夠的訪問屬性數目與較低的計算開銷,令訪問屬性數l=10.

式(14)中的每個參數長度是可變的,本方案的評估中,雙線性映射e采用基于橢圓曲線上的Tate對,橢圓曲線定義在有限域Fp上,G和GT的階p是一個20 Byte 的素數.為了達到1 024-bit RSA的安全等級,p應為一個64 Byte的素數,其中GT是一個定義在有限域上的乘法群的p階子群.設定p為有限域上長度為42.5 Byte的素數,以及有限域上長度為20 Byte 的素數.因此,式(14)計算出的總密文長度可表示為22|p|Byte,大小范圍為440 Byte到1 408 Byte.

信道建立后,在下次會話生成之間的通信,由于用戶擁有了對稱密鑰,其通信密文長度可表示為:

其長度為16 Byte.

當用戶需與私有云進行通信時,同理根據式(3)和式(11)可計算出私有云與用戶之間通信時的密文長度如下:

按照相同的分析方法,從式(16)以計算出總密文長度為22|p|+16 Byte,大小范圍為456 Byte 到1 424 Byte.

數據用戶成功建立鏈接之后,其發送到私有云的密文長度為:

此處將IDs和IDc的長度分別設為1 Byte,這已能滿足實際使用.從以上分析可見,在用戶與公有云建立鏈接完成認證這一過程中,通信的密文長度為22|p|Byte,建立安全鏈接后,二者之間通信的密文長度為16 Byte.而在用戶與私有云建立鏈接完成認證的過程中,通信的密文長度為22|p|+16 Byte,建立安全鏈接后,二者之間通信的密文長度為34 Byte.

各通信階段的消息長度如表1所示,為了建立安全的通信連接,本方案會形成一個較大的消息密文,但當連接建立之后,用戶和云之間通信的消息密文長度會大大縮短.

表1 密文長度Table 1 Length of ciphertext

密文長度與不同安全強度的關系如圖4所示,可以看出,在建立通信鏈接進行認證時,密文長度與安全強度成線性關系,安全強度越高,密文越長當用戶完成認證進行數據傳輸時,密文長度不依賴于安全強度.

圖4 密文長度與安全強度關系圖Fig.4 Relationship between the ciphertext size and the security level

3.3.2通信消耗

該方案的通信消耗主要集中在用戶從公有云獲取密文的通信及用戶發送指令到私有云的通信,因此密文長度直接影響了通信消耗.

表1可以看出,為了建立安全的通信連接,本方案會形成一個較大的密文長度,但當連接建立之后,用戶和公有云之間的通信密文長度會大大縮短,由于密文長度直接決定了通信能量損耗與計算開銷,因此在通信相對頻繁時,本方案較短的密文長度能夠保證更低的能量損耗與更小的計算開銷.

3.3.3 計算開銷

該節將本方案與傳統的基于證書的認證、基于默克爾樹的認證和基于身份的認證方法進行比較,分析計算開銷.根據文獻[27],在主頻400 MHz的32位微處理器上計算Tate對大約需要62.04 ms,校驗一次ECDSA-160簽名需要耗時18.48 ms,由于哈希算法和對稱加密算法有著極低的計算開銷,此處忽略了哈希算法和對稱加密算法的開銷.

假設每個數據用戶進行N次數據交互,在基于證書的算法中,計算開銷主要由兩次ECDSA簽名認證產生,總開銷為2×18.48N=36.96Nms;在基于默克爾樹的認證方法中,計算開銷主要是一次ECDSA 簽名認證,因此開銷為18.48Nms;基于身份的認證方法中,計算開銷主要為兩次Tate對計算,總計算開銷為2×62.04N=124.08Nms.本文提出的算法中,數據用戶與公有云或私有云通信進行身份認證的計算開銷主要為22次Tate對,總開銷為22×62.04N=1 364.88Nms,認證完成后,在會話密鑰更新之前,用戶無需再計算Tate對表2展示了計算開銷對比.

從表2可以得出以下結論:在數據傳輸次數較少時,本方案由于注重安全性認證,因此產生較大的計算開銷,在認證完成后,無需再進行重復認證,因此隨著數據傳輸次數的增加(N >11),在相同傳輸次數條件下,本文方案計算開銷低的優勢逐步體現.

表2 計算開銷Table 2 Computation overhead

3.4 實驗仿真

本節通過仿真實驗驗證算法整體的計算開銷.實驗采用斯坦福大學開發的基于JAVA的雙線性對密碼庫(PBC Library),橢圓曲線采用Type A:y2=x3+x.實驗環境為Inter (R)Core(TM)i5-3230M 2.60 GHz CPU,12.00 GB內存,Windows7 64 bit操作系統.實驗中對稱加密采用128 bit AES加密算法,不計實際應用中的數據傳輸延時.實驗對算法最關鍵的初始化、私鑰生成、加密、解密這4個步驟進行仿真,結果如圖5～8所示.算法在屬性個數不斷增加的情況下,消耗時間也隨之增加.這是因為隨著屬性個數增多,算法需生成的屬性值、密文組件及需解密的組件均隨之增多.

圖5 系統初始化時間Fig.5 Setup time

圖6 私鑰生成時間Fig.6 Private key generation time

圖7 加密時間Fig.7 Encryption time

從以上仿真可見,當屬性個數達到100,系統仍能夠保持一個較短的運行時間,在實際應用中,數據屬主可靈活設定訪問策略,實現細粒度的訪問控制.

圖8 解密時間Fig.8 Decryption time

4 結束語

本文為面向云端輔助的工業控制系統的數據傳輸、存儲、訪問設計了一種安全機制,利用基于屬性的訪問控制方法,對用戶進行身份授權及認證,為其與控制系統之間建立安全的通信連接,并對存儲數據進行完整性檢查,解決了數據的機密性、完整性保護問題.通過性能分析并與已有方案的比較,本方案的性能隨著數據傳輸次數的增加(N >11),其優勢逐步體現.