引用本文

屠袁飞, 杨庚, 张成真.一种面向云端辅助工业控制系统的安全机制.自动化学报, 2021, 47(2): 432-441 doi: 10.16383/j.aas.c180142

Tu Yuan-Fei, Yang Geng, Zhang Cheng-Zhen. A security scheme for cloud-assisted industrial control system. Acta Automatica Sinica, 2021, 47(2): 432-441 doi: 10.16383/j.aas.c180142

http://www.aas.net.cn/cn/article/doi/10.16383/j.aas.c180142

关键词

工业控制系统，访问控制，身份认证，完整性，机密性 

摘要

随着云计算、物联网等信息通信技术与数据采集与监控系统的整合, 工业控制系统面临新的安全问题, 其中数据的完整性、机密性保护和有效的身份认证问题受到了关注.为了在这样一个多功能、分布式的环境中解决这些问题, 该文利用基于属性的加密方法, 构建访问控制策略, 为用户提供身份认证和授权服务, 保护用户与工业控制系统间的数据通信安全并实时检查存储数据的完整性.方案从正确性、安全性及系统性能等方面做出分析, 并与常用的认证方法进行了对比.

文章导读

工业企业为了降低运营成本和相关费用, 不断寻求能够提供稳定性, 容错性和灵活性的工业系统解决方案.云端辅助的工业控制系统[1]随之出现, 即将云计算服务、物联网与传统的数据采集与监控(Supervisory control and data acquisition, SCADA)系统整合, 以感知真实世界中不断变化的状态, 通过云计算、大数据分析, 实现动态的优化控制, 甚至可以将其部署在实时闭环的控制回路中[2-5].在整合过程中, 新旧技术重叠使用, 除具有传统SCADA系统存在的安全问题外, 还面临其他来源多样的威胁, 包括敌对政府, 恐怖组织, 内部人士的恶意或意外行为, 恶意入侵者, 事故和自然灾害等.依赖云通信使得SCADA系统更加开放, 但系统命令和信息也可能在通信过程中被修改, 嗅探或丢失.即使一些工业云采用了传统的用户名密码的访问控制机制, 进入云中的用户面对系统全部的数据, 也可能破坏其他不可访问资源的隐私.更重要的是, 在工业系统中执行的逻辑对物理世界有直接的影响, 被恶意攻击的系统会对人类的健康安全、环境、设备造成严重的破坏及损失, 最知名的莫过于2010年伊朗核系统遭受的Stuxnet病毒事件[6].近年来, 世界各国均提出了一些极具参考意义的指标和安全实践指南[7], 我国也颁布了《网络安全法》, 提出加强关键信息基础设施安全防护, 维护国家网络安全.

对此有学者提出通过加密方法来阻止信息泄露, 实现隐私保护[8].文献[9]基于稳定性判据设计了一种工业控制系统中加密传输机制的可行性评估模型.

文献[10]对SCADA网络安全已有的标准规范进行了综述, 并使用纵深防御理论对其分别进行了评估.文献[11]采用粒子滤波算法, 建立工控系统网络态势感知模型, 判断系统是处于"安全态势"还是"危险态势".文献[12]针对SCADA系统使用的DNP3通信协议的安全问题, 使用密码学工具来防止数据在传输的过程中被窃听, 保护数据通信的安全, 并做了相关性能测试.文献[13]针对工业无线传感器网络中无线介质的开放特性, 攻击者可以容易地窃听通信来收集关于传感器的隐私信息这一问题, 提出了一种能够支持网络身份验证的假名通信方案.该方案利用代理服务器为每台传感器分配随机ID的方法来匿名通信, 但仅支持传感器的一跳范围之内的隐私保护.文献[14]将主流加密算法应用在PLC中, 对其性能进行了仿真测试, 并在PLC网络中实测了网络吞吐量, 结果表明AES算法是目前最适合PLC的加密方法.然而作为一种对称加密算法, 如何管理其密钥是必须考虑的问题.

通过上述安全控制措施的确能够检测恶意软件的引入, 减轻系统运行威胁, 但并没有将攻击者拒之门外.文献[15]表明通过APT攻击, 攻击者能够在不引起数据被破坏的情况下, 长时间地潜伏在系统中窃取数据.文献[16]指出用户的疏忽也是导致信息泄露的重要因素, 因此需要设计一种覆盖所有现场设备的细粒度访问控制方案, 防止任何未经授权的访问行为.文献[17]提出应限制对打印机或共享磁盘等公共资源的访问, 访问者应包含在网络的已知用户中, 并通过认证方法来阻止隐蔽信道.文献[18]针对关键基础设施资产保护问题, 采用可信计算方法来限制软件平台上的开放接口, 达到保护资产的目的, 但并不能提供细粒度的访问控制.变电站安全标准IEC/TS62351-8[19]建议使用认证机制, 尤其是基于角色的访问控制(Role-based access control, RBAC)方法[20]来降低整个SCADA网络的复杂性.文献[21]则针对楼宇控制系统中各分布式子系统间的通信安全问题, 为用户分配预定访问权限策略的角色, 保护资源免受未经授权的访问.文章缺点在于当主体和客体属性的数量变大时, 角色的数量呈指数增长.

与RBAC不同, 从分布式计算派生的基于属性的访问控制(Attribute-based access control, ABAC)方法为系统中的每个实体分配所谓的"属性".用属性描述的策略可以表达基于属性的逻辑语义, 灵活地描述访问控制策略[22].在基于密文策略(Ciphertext-policy attribute-based encryption, CP-ABE)的方案中[23], 密文中嵌入了访问控制结构, 即加密之后就确定了哪些用户能够对它进行解密而不需要借助可信服务器来实现这种控制.

本文利用基于属性的加密(Attribute-based encryption, ABE)算法能够有效实现细粒度非交互访问控制[24]的特点, 为云端辅助的工业控制系统提出了安全高效的访问控制方案, 有效地控制了用户权限, 保护了数据隐私.方案能够对云中存储数据进行实时动态地验证来识别损坏数据的行为, 确保数据的完整性.并且为现场设备与用户建立了安全的通信连接, 通过对用户的严格认证, 保证现场控制器获得可信的数据.最后, 文章分析了方案的安全性与性能开销, 并给出实验结果.

图1 系统模型

图2 访问策略

图3 数据文件的密文格式

本文为面向云端辅助的工业控制系统的数据传输、存储、访问设计了一种安全机制, 利用基于属性的访问控制方法, 对用户进行身份授权及认证, 为其与控制系统之间建立安全的通信连接, 并对存储数据进行完整性检查, 解决了数据的机密性、完整性保护问题.通过性能分析并与已有方案的比较, 本方案的性能随着数据传输次数的增加(N>11), 其优势逐步体现.

作者简介

杨庚

南京邮电大学计算机学院教授, 会员.主要研究方向为网络安全, 分布与并行计算. E-mail: yangg@njupt.edu.cn

张成真

南京工业大学计算机科学与技术学院硕士研究生.主要研究方向为云计算与信息安全. E-mail: ddream-zhang@163.com

屠袁飞

南京邮电大学计算机学院博士研究生.主要研究方向为网络安全, 云计算与访问控制.本文通信作者. E-mail: yuanfeitu@163.com