智能网联场景下工业控制系统一体化安全防护

◎武汉大学 赵波 严飞 张立强 王鹃

一、引言

5G 作为新一代移动通信系统，在与工业融合之后逐步成为支撑工业生产的基础设施。5G 网络工业移动专网所具有的大带宽、广连接、高可靠、低时延特性为工控系统带来了颠覆性机遇，从多个维度提升了安全特性，实现工业向智能化、高端化转型。智能网联场景下的工业控制系统已经成为国家重要基础设施的“大脑”和“中枢神经”，但是智能网联工控系统的泛在、高可靠、低时延等核心需求与应用场景的多样化为整个系统带来了巨大的潜在安全风险，已成为制约我国“两化融合”以及工业4.0发展的重要因素，其安全问题面临更加严峻的挑战。

2020年，国家互联网应急中心报道指出，我国工控系统已成为黑客攻击利用的重要对象，仅2月，针对存在某特定漏洞工控设备的恶意代码攻击次数达6700万次，攻击对象包含数十万个IP 地址，全球每年有超过300 起大型工业网络安全事件发生。2020年，国家工信部发布《关于推动工业互联网加快发展的通知》中，特别强调了工控系统安全保障的必要性与迫切性。为此，开展智能网联场景工业控制系统深度防御与安全处置技术研究势在必行。

然而，智能网联场景工业控制系统的深度防御与安全处置技术还处于探索阶段，图1 展示了工业生产网整体安全防护框架。在工业控制系统防护方面，传统工业控制系统多运行于封闭环境中，其安全问题并不突出，安全措施相对缺乏。而近年来传统工控系统的攻击面不断扩大，特别是5G 通信技术的高速发展，云-边-端运行模式的不断演进，如何在满足高可靠、低时延的工控系统要求之下，构建面向5G 融合的多源异构应用场景约束的云-边-端融合可信防护能力至关重要。与此同时，网络协议异构、设备数量规模大、系统动态开放等特征给工控系统安全防护也带来了新的挑战，如何在满足智能网联场景下工控系统的安全性和功能性前提下，构建面向异构工控系统实体全生命周期的端到端一体化安全防护迫在眉睫。

图1 工业生产网整体安全防护框架

5G 工控场景对现有安全机制的融合性和实时性提出了更高要求，智能网联场景下设备属性工控系统可信性不强、实时防护力弱、结构复杂多源异构。国内外研究没有关注工控系统运行体内部行为和运行环境威胁之间的关系，仅仅能在启动等简单环节实现局部可信，缺乏面向工控系统的异构基础设施全要素一体化的安全可信执行环境架构支撑。

此外,智能网联工控系统具有安全机制多源异构、安全边界动态难确定、访问路径动态多样的特点，图2 展示了基于边界的网络安全措施安全防护现状，传统的基于边界的访问控制机制具有授权主体确定、授权策略静态、授权区域单一等问题，无法适应智能网联工控系统的需求。现有的密码防护技术只进行了简单的应用与部署，并没有针对工控场景进行深度融合，不适应智能网联工控系统安全边界动态跨域要求，也不能有效支持攻击溯源和授权最小化，导致工控设备资源受限与高速加解密要求存在冲突。

图2 基于边界的安全措施安全防护现状

本文在此背景下，从智能网联场景下工业控制系统一体化安全防护角度出发，研究智能网联场景下高可信工业控制系统层构建，解决智能网联工控系统复杂性和实时性要求下，安全可信属性的发现与量化问题，为工控系统基础设施环境和认证两个层面提供可信性保障，从而实现工控系统层的高可信。

二、研究方案

围绕智能网联工业控制系统一体化安全防护层面的研究目标，本文的研究主要包括两个部分，分别为：5G 融合工业控制系统可信防护技术、5G 融合工业控制系统密码一体化安全防护技术。图3 为工业控制系统现场控制层的系统部署示意图。

图3 工业控制系统现场控制层

（一）5G 融合工业控制系统可信防护技术

本节主要针对工业控制系统高安全期望与资源受限矛盾带来的安全挑战，立足于面向5G 融合的智能网联可信安全工业控制系统架构下，融合可信启动、动态度量与可信执行环境构建，展开关键技术研究。实现5G 融合工业控制系统可信防护技术所需各研究内容间的关系示意图如图4所示。

图4 各研究内容关系示意图

面向5G 工控系统多维多层攻击平面的多要素安全建模

工业控制系统的全生命周期可信性保证和工控设备组态安全是工控关键数据、代码及控制逻辑安全运行的重要保

证手段，为工控系统安全运行构建基础。通过实时信息采集与分析，建立动态更新的工控软件模型知识库，生成和维护真实系统的轻量化数字副本；同时基形式化方法，验证面向业务逻辑和数据安全的安全策略符合性，从模型角度提高设备组态的可信度。通过研究系统设备组网数据的全生命周期要素管理模型构建，挖掘工控系统云-边-端关键要素内在安全关联性，实现面向多维多层攻击平面的工控系统多要素形式化建模，解决可信要素建模不适应5G 场景下工控系统设备属性多样化、全要素多、数据结构复杂的情况。

面向工控系统基础设施的“静-动”结合可信度量技术

可信度量技术是构建工控系统信任链、实现工控基础设施安全可信的重要基础。针对目前已实现的工控可信系统由于可靠性和性能的限制，系统缺乏细粒度的可信静态度量与运行时可信动态度量机制的支撑等问题，本节讨论在通过对节点属性及行为的抽取、度量和封装，构建工控系统完整性度量的计算、存储、报告、验证机制，实现实时性约束下的可信启动的基础上，以面向组态安全要求的状态迁移动态度量为核心，研究工控系统运行过程中的安全状态属性验证机制。通过构建静-动结合的信任管理模型，基于形式化建模方法间接定义系统行为，实现节点综合可信评估，实现系统可信度量。

面向5G 工控场景的多元融合分布式可信验证技术

5G 工控场景下系统的多源异构带来了可信度量机制的多元化，导致异构设备可信证据采集机制缺乏，集中式单点可信验证性能消耗大等问题突出。为解决这些问题，文章首先通过结合工控设备的安全可信链接和通讯的动态监测机制，实现工控系统通讯网络边界可信验证；其次对身份指纹与状态指纹融合的主动可信验证机制，支持工控系统中信息不完备的多源异构节点设备可信证据收集。最后在基于边缘计算技术进行分布式认证的基础上，实现5G 融合场景下工控系统边端设备的高速接入验证，并对过对接入设备的动态监测和定期主动探测，实现异常设备的发现与隔离修复，构建满足高扩展、低延迟、高可信的工业控制系统可信验证架构。

其中多接入边缘计算技术是使能5G 业务多元化的核心技术之一。边缘计算技术将服务能力和应用推进到网络边缘，部署位置更接近用户，从而减少对传输网的带宽压力，大幅降低网络时延，可满足工业互联网等低时延业务的需求。边缘计算技术平台需要承载部分网络功能和垂直行业应用示意图如图5所示。

图5 位于边缘网络的边缘计算技术平台

面向多源异构应用场景约束的云-边-端融合可信执行环境构建技术

目前基于异构环境的工控系统由于节点结构复杂、安全机制异构，导致在5G 复杂场景下难以提供统一的可信执行环境，同时，攻击手法的多样化也为构建统一的可信执行环境带来困难。针对5G 工控系统多端点全要素可信度低、资源受限等问题，对5G 工控系统下云边端不同节点的可信运行基础研究；并从低开销、高延展性的可信环境构建需求出发，设计支持关键任务中信任根选取的柔性体系架构，设计面向多维指标的智能化性能优化技术，构造面向云-边-端协同的5G 工控性能数据采集与智能化分析方法，实现多源异构工控应用场景下云-边-端可信执行环境优化构建技术。保障工控系统云-边-端基础设施安全，解决5G 复杂场景下，工控系统节点结构复杂、安全机制异构导致难以提供统一的可信执行环境的问题。

（二）5G 融合工业控制系统密码一体化安全防护技术

本节围绕5G 融合网联工控场景，针对基于密码的认证和访问控制等安全防护问题，分析系统多源异构、安全边界动态、设备计算资源受限等特点，展开面向工控系统的软硬件协同的国密算法优化方法、面向5G 融合工控场景的全生命周期异构协同认证技术、跨动态边界的访问控制和授权管理技术的研究。实现5G 融合工业控制系统密码一体化安全防护技术所需各研究内容间的关系示意图如图6所示。

图6 各研究内容关系示意图

面向工控系统的软硬件协同的国密算法优化方法

高安全、高性能、低功耗的密码设备对智能网联工控系统至关重要，设计并实现自主知识产权的密码算法是保障工控系统信息安全的基础。本小节从国密算法软硬件协同的角度进行研究，通过分析SM2、SM3、SM4、SM9 算法的运行原理，利用硬件友好设计技术，充分挖掘算法的并行特性和适合硬件的低功耗实现方法，在系统层和算法层面对国密算法进行优化；同时基于软硬件协同的密码设备，对密码算法在系统层和算法层面对国密算法进行优化，在处理器上实现计算资源的合理分配和高效运行以及多个密码算法的综合调用，在FPGA上实现基本模块的并行执行和硬件系统的低功耗设计；设计构建软硬件协同的密码算法实现流程，并研究密码设备旁路信息的分析方法，来评估密码设备的安全性，整体提升基于软硬件协同优化的国密算法执行效率。

面向5G 融合工控场景的全生命周期异构协同认证技术

实体之间信任关系的建立对于智能网联工控系统的业务逻辑至关重要，安全且高效的认证方法是实体信任关系构建的基础。本文考虑以5G 网络安全协议为中心，通过构建5G 融合的工控系统协同认证机制，实现工控系统用户和设备的全生命周期数字身份管理和身份认证；开展工控协议和FIDO 标准协议的交互融合方法，实现工控认证协议的统一化，研究多因素认证机制，并通过基于多维度特征数据的认证因素，提高认证的安全性，研究特征数据隐私保护，针对网联工控系统用户和设备特征数据的开放性、高真实性、大量化、多样化、动态化等特点，基于同态加密等技术实现细粒度、高可靠的特征数据隐私保护。

跨动态边界的访问控制和授权管理技术

访问控制是指主体依据授权策略对客体进行的不同授权访问，是信息系统安全的重要保障。可以通过身份鉴别、安全状态持续监测、动态访问控制、授权、审计等技术，以最小化实时授权为核心，以多维信任算法为基础，基于软件定义边界、身份识别与访问管理、网络微隔离等技术，实现面向动态边界的端到端访问控制机制。同时利用可信执行环境技术，构建面向安全边界动态划分的可信第三方，实现可信的动态访问控制决策和授权信息加密存储；通过智能网联工控系统的网络安全数据的动态分析，实现安全风险和信任状态的实时且持续评估，依据系统的网络安全环境因素，实现授权策略的上下文关联和动态自适应调整；研究授权策略的动态自适应管理，实现策略的上下文关联和动态自适应调整，研究跨域多级授权自动检测，实现工控系统授权漏洞的自动发现。

三、总结

智能网联场景工控系统的所面临的安全问题在世界范围内得到了广泛的关注，本文从工业控制系统防护角度出发，研究智能网联场景下工业控制系统可信启动、动态度量、工业控制系统可信执行环境构建等一体化系统安全关键技术，实现复杂多维可信属性发现、实时性约束下信任泛在、高可靠、低时延的通讯网络可信度量机制，解决工控系统的整体可信性缺失问题，从而保障工控系统云-边-端的基础设施安全。同时，从密码一体化安全防护方面研究5G 融合场景下工业控制系统协同安全认证、商用密码加密通信等一体化密码关键技术，满足5G 融合场景工控系统的安全性和功能性前提下，构建面向异构工控系统实体全生命周期的端到端一体化安全防护。由此可见，如何构建高安全、低开销、高延展的智能网联工业控制系统一体化安全防护层目前是一个非常有挑战性的研究方向。