賴 軍,谷 鵬����,幸享宏��,鄒大均�,李 立
(1.中國(guó)電子科技集團(tuán)公司第三十研究所,四川 成都 610041;2.中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司�,四川 成都 610041)
0 引言
在信息化和工業(yè)化深度集成和工業(yè)轉(zhuǎn)型升級(jí)的同時(shí)�����,工業(yè)控制生產(chǎn)環(huán)境已從封閉轉(zhuǎn)向開放,生產(chǎn)過(guò)程從自動(dòng)化轉(zhuǎn)向智能化����。然而,工業(yè)控制系統(tǒng)安全漏洞數(shù)量在逐年遞增,各類工控信息安全事件層出不窮�,安全威脅加速滲透����,攻擊手段更加復(fù)雜多樣[1]�。
2019 年9 月,印度Kudankulam 核電站遭受了攻擊,惡意軟件感染了核電站的管理網(wǎng)絡(luò)���,導(dǎo)致一個(gè)反應(yīng)堆中止運(yùn)行。2020 年4 月,葡萄牙跨國(guó)能源公司EDP 遭到勒索軟件攻擊[1]。2022 年9 月,黑客組織GhosSec 入侵以色列各地55 套可編程邏輯控制器(Programmable Logic Controller�����,PLC)����,成功獲取PLC 管理控制權(quán)限����。眾多工控信息安全事件表明���,以PLC 控制系統(tǒng)為代表的工控系統(tǒng)正逐漸成為黑客組織��、敵對(duì)勢(shì)力開展勒索破壞活動(dòng)的重點(diǎn)目標(biāo)�,安全形勢(shì)異常嚴(yán)峻����。
當(dāng)前工業(yè)控制系統(tǒng)自身通常缺乏必要的信息安全防護(hù)措施,業(yè)務(wù)數(shù)據(jù)通信甚至采用明文傳輸���,攻擊者可以通過(guò)信息嗅探、通信劫持與數(shù)據(jù)篡改等方式開展攻擊破壞活動(dòng)����,造成工控系統(tǒng)停止運(yùn)行、業(yè)務(wù)邏輯運(yùn)行失序等嚴(yán)重后果。為防范相關(guān)安全風(fēng)險(xiǎn)����,提升工控系統(tǒng)自身信息安全防御能力���,本文通過(guò)研究PLC 控制系統(tǒng)特點(diǎn)�、主要安全威脅及防護(hù)需求�����,將商用密碼�����、訪問(wèn)控制、典型入侵防御等安全防護(hù)技術(shù)與PLC 控制器深度融合�,提出了一種基于商密的信息安全型PLC 控制系統(tǒng)方案�。
1 PLC 控制系統(tǒng)概述
1.1 PLC 控制系統(tǒng)簡(jiǎn)介
典型的PLC 控制系統(tǒng)由監(jiān)控層�、控制層、設(shè)備層構(gòu)成�����,典型系統(tǒng)結(jié)構(gòu)如圖1 所示�。其中,監(jiān)控層主要由工程師站、操作員站等設(shè)備組成�����,工程師站和操作員站在PLC 控制系統(tǒng)中通常統(tǒng)稱為上位機(jī)�;控制層主要包括PLC 控制器、遠(yuǎn)程I/O 站等設(shè)備�����,大中型PLC 控制器通常采用模塊化設(shè)計(jì)理念�����,根據(jù)功能一般可分為CPU 模塊、電源模塊�����、I/O 模塊�����、通信模塊等組件����;設(shè)備層則主要由傳感器����、執(zhí)行器、儀表、閥門等現(xiàn)場(chǎng)設(shè)備構(gòu)成��。位于控制層的PLC 控制器等設(shè)備通常被定義為PLC控制系統(tǒng)的核心設(shè)備。
圖1 典型的PLC 控制系統(tǒng)結(jié)構(gòu)
以PLC 控制系統(tǒng)為代表的工業(yè)控制系統(tǒng)長(zhǎng)期以來(lái)采用孤島方式運(yùn)行���,使用專用設(shè)備與協(xié)議,并且與外界物理網(wǎng)絡(luò)環(huán)境相對(duì)隔絕�,在很長(zhǎng)一段時(shí)間內(nèi)都是相對(duì)安全的���。然而�����,近年來(lái)隨著信息化與工業(yè)化深度融合的發(fā)展,PLC 控制系統(tǒng)面臨的信息安全威脅越來(lái)越受到重視����。
1.2 主要安全脆弱性分析
PLC 控制器在設(shè)計(jì)上主要關(guān)注于控制流程的時(shí)效性與準(zhǔn)確性,以及系統(tǒng)的易維護(hù)性����,極少考慮潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�����,缺少應(yīng)對(duì)網(wǎng)絡(luò)攻擊的防護(hù)措施。綜合歷年發(fā)生的各類工控安全事件與工控系統(tǒng)相關(guān)漏洞分析�����,PLC 控制系統(tǒng)的安全脆弱性主要表現(xiàn)為:
(1)在PLC 系統(tǒng)中廣泛使用的Modbus 等工業(yè)協(xié)議缺乏身份認(rèn)證機(jī)制�����,非法攻擊者可以輕易地冒充上位機(jī)接入控制網(wǎng)絡(luò)�,執(zhí)行非法操作����,嚴(yán)重威脅控制系統(tǒng)安全運(yùn)行。
(2)PLC 控制系統(tǒng)敏感數(shù)據(jù)缺乏密碼保護(hù)機(jī)制�,與生產(chǎn)業(yè)務(wù)相關(guān)敏感數(shù)據(jù)未采用加密存儲(chǔ)�,且通過(guò)明文傳輸��,這為攻擊者嗅探����、竊取��,甚至偽造關(guān)鍵數(shù)據(jù)提供了便利條件���。
(3)上位機(jī)與PLC 間的數(shù)據(jù)通信缺乏合理的權(quán)限管理機(jī)制,現(xiàn)有的鑒權(quán)機(jī)制通常僅存在于邏輯組態(tài)軟件或監(jiān)控組態(tài)軟件等上位機(jī)軟件層面,并未在通信流程中采取有效的權(quán)限控制�。這將導(dǎo)致任何接入PLC 控制器的攻擊者均可利用工業(yè)協(xié)議執(zhí)行任何操作�,破壞控制系統(tǒng)正常業(yè)務(wù)����。
2 國(guó)產(chǎn)商用密碼概述
國(guó)產(chǎn)商用密碼體系的密碼種類豐富,基本滿足了我國(guó)生產(chǎn)生活中的各類需求��,主要有SM 系列及祖沖之序列算法���,囊括了所有典型的密碼體制����,具體可分為3 類:SM3 密碼雜湊(Hash 散列)算法屬于散列算法范疇,SM1(SCB2)����、SM4�����、SM7、祖沖之序列密碼算法(ZUC)屬于對(duì)稱密碼算法體制范疇,SM2、SM9 屬于非對(duì)稱密碼算法體制范疇[2]。
SM3 算法[3]通過(guò)M-D 模型處理輸入消息�����,生成256 bit 的雜湊值����。SM3 算法于2012 年作為密碼行業(yè)標(biāo)準(zhǔn)發(fā)布�,于2016 年轉(zhuǎn)變?yōu)閲?guó)家標(biāo)準(zhǔn)���,并于2018 年正式成為國(guó)際標(biāo)準(zhǔn)�����。
SM4 算法[4]分組長(zhǎng)度為128 bit,密鑰長(zhǎng)度為128 bit��,加密與密鑰擴(kuò)展算法都采用32 輪非線性迭代結(jié)構(gòu)。加密和解密使用完全相同的結(jié)構(gòu)�,解密時(shí)只需倒置密鑰的順序����。SM4 算法于2012 年作為密碼行業(yè)標(biāo)準(zhǔn)發(fā)布���,并于2016 年轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)�。
SM1 與SM7 分組密碼算法尚未公開,所使用的密鑰長(zhǎng)度和分組長(zhǎng)度都是128 bit。
祖沖之密碼算法[5]密鑰長(zhǎng)度為128 bit����,由128 bit 種子密鑰和128 bit 初始向量共同作用生成32 bit寬的密鑰流�。ZUC 可用于數(shù)據(jù)保密性和完整性保護(hù)����。
SM2 算法[6]基于橢圓曲線離散對(duì)數(shù)問(wèn)題,提供數(shù)據(jù)加密解密��、簽名驗(yàn)簽和密鑰協(xié)商功能����。SM2 算法推薦使用256 bit 素域上的參數(shù)集。SM2 算法具有安全性高���、密鑰短、私鑰產(chǎn)生簡(jiǎn)單以及簽名速度快等優(yōu)點(diǎn)�。該算法已于2016 年成為國(guó)家標(biāo)準(zhǔn)��,并于2017 年被國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)采納成為國(guó)際標(biāo)準(zhǔn)�。
SM9 算法[7]是一種標(biāo)識(shí)密碼�����,是在傳統(tǒng)公鑰基礎(chǔ)設(shè)施PKI 基礎(chǔ)上發(fā)展而來(lái)的�,可以解決安全應(yīng)用場(chǎng)景中PKI 需要大量交換數(shù)字證書的問(wèn)題,使應(yīng)用更易部署和使用��。SM9 算法提供密鑰封裝�����、數(shù)據(jù)加密解密����、簽名驗(yàn)簽和密鑰協(xié)商功能���。2017 年�����,ISO將SM9 數(shù)字簽名算法采納為國(guó)際標(biāo)準(zhǔn)的一部分����。
3 總體架構(gòu)設(shè)計(jì)
基于國(guó)產(chǎn)商用密碼輕量應(yīng)用的信息安全型PLC控制系統(tǒng)總體架構(gòu)如圖2 所示��,上位機(jī)(工程師站�����、操作員站)通過(guò)安全模塊與基于商密的自主可控一體化安全PLC(簡(jiǎn)稱安全PLC)連接。其中�,上位機(jī)安全模塊采用支持標(biāo)準(zhǔn)商密IPSec 功能的安全網(wǎng)關(guān)設(shè)備或客戶端軟件���。安全PLC 則主要由安全模塊及常規(guī)控制模塊構(gòu)成����,核心模塊均采用國(guó)產(chǎn)龍芯處理器��。安全模塊內(nèi)置商密模塊���,并將基于商用密碼輕量應(yīng)用的安全防護(hù)功能有機(jī)融合于PLC 控制器中���,構(gòu)建形成PLC 控制器自身的安全防護(hù)能力�。
圖2 信息安全型PLC 控制系統(tǒng)總體架構(gòu)
在信息安全型PLC 控制系統(tǒng)中���,上位機(jī)(安全模塊)通過(guò)PLC 安全模塊接入PLC 控制器�����。上位機(jī)安全模塊與PLC 安全模塊之間通過(guò)商密IPSec 建立安全通信隧道�,從而通過(guò)商密技術(shù)保障上下位機(jī)間數(shù)據(jù)傳輸?shù)谋C苄耘c完整性��。商密技術(shù)還應(yīng)用于PLC 控制器對(duì)上位機(jī)用戶的安全接入認(rèn)證等場(chǎng)景�����,并可與訪問(wèn)控制、工業(yè)協(xié)議控制等安全防護(hù)功能相結(jié)合,對(duì)訪問(wèn)PLC 的用戶權(quán)限進(jìn)行精細(xì)控制�,從而全面提升PLC 控制系統(tǒng)自身的信息安全防護(hù)水平���。
4 安全PLC 方案設(shè)計(jì)
自1969 年第一臺(tái)PLC 誕生之日起����,PLC 成為工業(yè)界的核心控制器產(chǎn)品��。我國(guó)自20 世紀(jì)70 年代開始PLC 的研究和應(yīng)用���,近年來(lái)隨著國(guó)產(chǎn)芯片技術(shù)的升級(jí)發(fā)展,國(guó)產(chǎn)PLC 廠商逐步推出了基于國(guó)產(chǎn)龍芯���、飛騰等處理器的自主可控中大型PLC 成熟產(chǎn)品,并在軌道交通、水利水電等行業(yè)實(shí)現(xiàn)推廣應(yīng)用���。
4.1 安全PLC 總體設(shè)計(jì)
本文以成熟的國(guó)產(chǎn)自主可控中大型PLC 產(chǎn)品方案為基礎(chǔ),遵循中大型PLC 模塊化設(shè)計(jì)理念,結(jié)合商密安全防護(hù)技術(shù)對(duì)PLC 開展安全增強(qiáng)設(shè)計(jì)����,形成基于商密的自主可控一體化安全PLC 設(shè)計(jì)方案���。
安全PLC 總體框架如圖3 所示����,控制器主要由CPU 模塊��、IO模塊�、電源模塊����、通信模塊、PLC 安全模塊等模塊組成�,各模塊間均通過(guò)內(nèi)置于安裝背板中的背板總線交互數(shù)據(jù)�����。IO 模塊主要包括數(shù)字量輸入模塊(Digital Input Module,DIM)����、數(shù)字量輸出模塊(Digital Output Module���,DOM)、模擬量輸入模塊(Analog Input Module����,AIM)�����、模擬量輸出模塊(Analog Output Module��,AOM)等,通信模塊則包含Modbus RTU����、Profibus-DP 等專用工業(yè)協(xié)議通信擴(kuò)展模塊��。PLC 安全模塊為專用信息安全功能模塊,模塊內(nèi)置商密模塊�����,提供基于商用密碼的用戶認(rèn)證�����、基于商密技術(shù)的通信鏈路加密�、工業(yè)協(xié)議深度控制�、訪問(wèn)控制、典型入侵防御等安全功能����,使信息安全防御能力成為PLC 本體的一種固有屬性����。其中��,IO 模塊、電源模塊�����、通信模塊�����、安裝背板等部件均采用成熟自主可控解決方案��,本方案重點(diǎn)對(duì)安全模塊軟硬件功能開展深化設(shè)計(jì),并對(duì)CPU模塊進(jìn)行少量適配設(shè)計(jì)�����。
圖3 安全PLC 總體框架
4.2 PLC 安全模塊方案
4.2.1 硬件方案
PLC安全模塊硬件框圖如圖4 所示�����,模塊采用國(guó)產(chǎn)龍芯處理器���,搭載2GB DDR3 內(nèi)存及8GB SSD存儲(chǔ)����。商密模塊搭載SM2/SM3/SM4 等商密算法�,通過(guò)Mini PCIE 接口與龍芯處理器連接并提供商用密碼運(yùn)算服務(wù)。安全模塊配置3 路以太網(wǎng)口,其中eth0 作為模塊管理端口,eth1 與eth2 作為業(yè)務(wù)端口。
圖4 安全模塊硬件
安全模塊兩個(gè)以太網(wǎng)業(yè)務(wù)端口工作于透明橋模式���,其中eth2 將通過(guò)背板總線與CPU 模塊對(duì)應(yīng)端口連接,eth1 則將作為安全PLC 對(duì)外網(wǎng)絡(luò)接口�。所有流向PLC 的網(wǎng)絡(luò)流量都必須由eth1 端口接入PLC�,并通過(guò)安全模塊進(jìn)行安全檢測(cè)��。只有通過(guò)安全檢測(cè)的合法指令才允許通過(guò)eth2 端口轉(zhuǎn)發(fā)至CPU模塊進(jìn)一步處理執(zhí)行����。
此外����,為確保PLC 網(wǎng)絡(luò)通信功能的可靠性����,兩個(gè)以太網(wǎng)業(yè)務(wù)端口間設(shè)計(jì)有硬件BYPASS 電路。一旦安全模塊發(fā)生故障,BYPASS 模塊將立即將業(yè)務(wù)端口物理導(dǎo)通��,可快速恢復(fù)正常網(wǎng)絡(luò)通信�。
4.2.2 軟件方案
基于商密的自主可控一體化安全PLC 相關(guān)安全防護(hù)功能均內(nèi)置于PLC 安全模塊中。PLC 安全模塊依托內(nèi)置的商用密碼模塊��,實(shí)現(xiàn)加密與認(rèn)證相關(guān)商密計(jì)算功能。PLC 安全模塊搭載訪問(wèn)控制、工業(yè)協(xié)議深度控制�、入侵防御�����、商密身份認(rèn)證、商密IPSec VPN 等安全功能。
PLC 安全模塊提供適配CPU 模塊協(xié)議功能特征的“組態(tài)式”的防護(hù)策略配置�。安全模塊軟件總體上由WEBGUI���、配置管理框架���、防護(hù)對(duì)象配置���、安全模塊配置��、快捷配置、高級(jí)配置(含防火墻���、入侵防御、用戶認(rèn)證)����、VPN、日志與監(jiān)控等子系統(tǒng)構(gòu)成,總體系統(tǒng)結(jié)構(gòu)如圖5 所示。
圖5 安全模塊軟件總體結(jié)構(gòu)
(1)防護(hù)對(duì)象配置
防護(hù)對(duì)象配置子系統(tǒng)提供對(duì)PLC 控制器及其所在控制系統(tǒng)參數(shù)等“中心參數(shù)”的設(shè)置功能����,主要包括PLC 型號(hào)與IP 地址�����、上位機(jī)(工程師站/操作員站)名稱和IP 地址等控制系統(tǒng)核心參數(shù)。子系統(tǒng)內(nèi)置PLC(CPU 模塊)型號(hào)下拉菜單��,用戶點(diǎn)選即可便捷完成PLC 型號(hào)設(shè)置�。該子系統(tǒng)中設(shè)置的PLC 控制器和上位機(jī)IP 地址將作為控制參數(shù)由訪問(wèn)控制策略自動(dòng)引用,僅允許已配置的上位機(jī)訪問(wèn)PLC 控制器相關(guān)服務(wù)�。
(2)安全模塊配置
安全模塊配置子系統(tǒng)主要配置安全模塊自身的相關(guān)參數(shù)�����,主要包括模塊名稱、IP地址設(shè)置����、默認(rèn)網(wǎng)關(guān)�、管理配置�、時(shí)間設(shè)置、系統(tǒng)維護(hù)等功能�。其中�,IP 地址設(shè)置包括業(yè)務(wù)端口IP 設(shè)置和管理端口IP 設(shè)置�����。安全模塊包含兩個(gè)業(yè)務(wù)端口和一個(gè)管理端口����。兩個(gè)業(yè)務(wù)端口默認(rèn)配置為透明橋���,共用同一個(gè)IP 地址��。
(3)防護(hù)策略快捷配置
快捷配置是指基于被保護(hù)PLC 型號(hào)協(xié)議特征的防護(hù)策略快速配置方法。安全模塊默認(rèn)開啟白名單訪問(wèn)控制服務(wù)����,快捷配置亦即快捷白名單配置����。
安全模塊預(yù)置多種型號(hào)CPU 模塊模型�����?旖菖渲媒缑娓鶕(jù)防護(hù)對(duì)象配置中用戶選擇的PLC 型號(hào)參數(shù)匹配PLC 模型�����,并根據(jù)模型參數(shù)自動(dòng)生成該型號(hào)PLC 對(duì)應(yīng)的防護(hù)策略快捷設(shè)置菜單,用戶勾選即可完成訪問(wèn)控制策略的快捷配置�����?旖菖渲迷诤笈_(tái)生成的訪問(wèn)控制規(guī)則,自動(dòng)匹配防護(hù)對(duì)象配置項(xiàng)的PLC 系統(tǒng)核心參數(shù)��,自動(dòng)對(duì)允許訪問(wèn)的IP/MAC 地址進(jìn)行控制���,僅允許已配置的上位機(jī)訪問(wèn)PLC 相關(guān)服務(wù)�����。
快捷配置如圖6 所示����,用戶勾選相應(yīng)的允許選項(xiàng)便可激活該項(xiàng)策略����,不被允許的通信數(shù)據(jù)將被安全模塊阻斷丟棄�。用戶只需根據(jù)系統(tǒng)實(shí)際需要勾選相應(yīng)選項(xiàng),可極大地簡(jiǎn)化用戶操作流程�,具有極強(qiáng)的便利性與易用性����。
圖6 防護(hù)策略快捷配置
快捷配置支持勾選一鍵激活地址解析協(xié)議(Address Resolution Protocol�����,ARP)控制與入侵防御����。其中����,“激活A(yù)RP 控制”意味著安全模塊將對(duì)流向PLC的超過(guò)閾值的ARP包采取限流措施����!凹せ钊肭址烙奔窗踩K按默認(rèn)參數(shù)開啟對(duì)UDP/SYN/ICMP Flood����、PORT SCAN(端口掃描)等典型攻擊報(bào)文的檢測(cè)與過(guò)濾��。
在快捷配置中����,對(duì)Modbus/TCP 工業(yè)協(xié)議進(jìn)行控制���,并不是簡(jiǎn)單地允許該協(xié)議的所有報(bào)文通過(guò)�,而是根據(jù)被保護(hù)PLC 對(duì)象的型號(hào)協(xié)議特征����,對(duì)訪問(wèn)該P(yáng)LC 的協(xié)議功能碼或寄存器地址范圍等進(jìn)行深度控制,只有符合被保護(hù)對(duì)象規(guī)范的命令才允許通過(guò)���。
(4)防護(hù)策略高級(jí)配置
防護(hù)策略高級(jí)配置功能需在快捷配置界面中激活。高級(jí)配置功能總體上由訪問(wèn)控制��、入侵防御�、用戶認(rèn)證等功能模塊組成,可為用戶提供更為精細(xì)的訪問(wèn)控制粒度和防御策略�。
①訪問(wèn)控制(含工業(yè)協(xié)議深度控制)
訪問(wèn)控制與工業(yè)協(xié)議深度控制作為安全模塊的核心功能模塊���,總體實(shí)現(xiàn)安全模塊的包過(guò)濾策略 配置�����。
訪問(wèn)控制模塊由TCP/IP 訪問(wèn)控制(含工業(yè)協(xié)議深度控制)、二層訪問(wèn)控制功能組成。
通常PLC 對(duì)外開放的常規(guī)網(wǎng)絡(luò)服務(wù)僅包括FTP�、Telnet��、NTP 等少數(shù)幾種。安全模塊預(yù)置FTP、Telnet���、NTP 等PLC 常用網(wǎng)絡(luò)服務(wù)作為系統(tǒng)預(yù)定義服務(wù)。工控系統(tǒng)訪問(wèn)PLC 的主機(jī)相對(duì)有限����,在訪問(wèn)控制規(guī)則中PLC 型號(hào)�、主站IP、從站(PLC)IP 等參數(shù)快捷配置時(shí)自動(dòng)從防護(hù)對(duì)象配置中引用,無(wú)須用戶選擇或配置��。在高級(jí)配置中����,用戶僅需對(duì)每條規(guī)則的日志級(jí)別、權(quán)限組進(jìn)行配置。權(quán)限組要求對(duì)訪問(wèn)相關(guān)資源的用戶進(jìn)行認(rèn)證,結(jié)合用戶認(rèn)證模塊共同發(fā)揮作用。
針對(duì)PLC 控制系統(tǒng)網(wǎng)絡(luò)特點(diǎn)��,二層訪問(wèn)控制模塊方面僅針對(duì)ARP 訪問(wèn)控制采取ARP 限流策略�,用戶可在高級(jí)模式下對(duì)ARP 默認(rèn)閾值進(jìn)行修改����。
②典型入侵防御
根據(jù)PLC 控制系統(tǒng)特點(diǎn),入侵防御模塊提供針對(duì)UDP Flood�����、SYN Flood����、ICMP Flood、PORT SCAN等可能影響PLC 控制器的常規(guī)攻擊的防御功能。
快捷配置按照默認(rèn)參數(shù)開啟了入侵防御���,而在高級(jí)配置下,用戶可對(duì)各攻擊的防護(hù)策略的閾值��、記錄日志等參數(shù)進(jìn)行進(jìn)一步配置��。
③用戶認(rèn)證
安全模塊以PLC 資源訪問(wèn)用戶為核心進(jìn)行訪問(wèn)監(jiān)控��,用戶認(rèn)證系統(tǒng)實(shí)現(xiàn)了用戶的認(rèn)證、授權(quán)功能���。用戶認(rèn)證模塊主要由網(wǎng)絡(luò)訪問(wèn)服務(wù)器(Network Access Server,NAS)和認(rèn)證控制服務(wù)器(Authentication Control Server����,ACS)兩部分組成���,認(rèn)證控制服務(wù)器是一個(gè)標(biāo)準(zhǔn)的Radius 認(rèn)證服務(wù)器����,同時(shí)具有授權(quán)和記賬的功能�����。
在PLC 控制系統(tǒng)中,用戶認(rèn)證主要用于對(duì)FTP���、TELNET、程序下載/上傳、升級(jí)系統(tǒng)固件等PLC 內(nèi)部資源的訪問(wèn)權(quán)限進(jìn)行控制����。安全模塊預(yù)置FTP��、TELNET、PROGRAM(編程)����、FIRMWARE(固件升級(jí))等權(quán)限組�,并對(duì)每個(gè)權(quán)限組預(yù)置一個(gè)默認(rèn)賬戶���,用戶可自行修改用戶密碼���。同時(shí)�,用戶還可根據(jù)需求添加權(quán)限組,為不同權(quán)限組配置不同數(shù)量的用戶���,供訪問(wèn)控制規(guī)則引用,可確保只有經(jīng)過(guò)模塊認(rèn)證的用戶才能訪問(wèn)權(quán)限組權(quán)限范圍內(nèi)的PLC 資源��。
(5)日志記錄
日志記錄子系統(tǒng)提供包過(guò)濾日志��、工業(yè)協(xié)議深度檢測(cè)日志�、VPN 日志等日志記錄功能�����。工業(yè)協(xié)議深度日志不僅包含了網(wǎng)絡(luò)信息��,還包含了工業(yè)協(xié)議應(yīng)用層數(shù)據(jù)信息����,用戶可以通過(guò)日志一目了然地查看PLC 控制系統(tǒng)內(nèi)的具體操作和數(shù)據(jù)上報(bào)����,對(duì)發(fā)現(xiàn)誤操作���、惡意操作��、異常發(fā)現(xiàn)和事后審計(jì)等都能起到關(guān)鍵性作用��。
4.2.3 商用密碼輕量化應(yīng)用實(shí)現(xiàn)
在信息安全型PLC 控制系統(tǒng)中,商用密碼技術(shù)主要用于構(gòu)建控制系統(tǒng)尤其是其核心控制設(shè)備自身安全防護(hù)能力����。信息安全型PLC 控制系統(tǒng)基于國(guó)產(chǎn)商用密碼的輕量化應(yīng)用主要包括基于商密技術(shù)的通信鏈路加密�����、基于商密技術(shù)的PLC 控制器用戶認(rèn)證,主要實(shí)現(xiàn)對(duì)上位機(jī)與PLC 之間通信數(shù)據(jù)保密性、完整性保護(hù)����,并對(duì)用戶的安全接入和權(quán)限進(jìn)行訪問(wèn) 控制����。
(1)基于商密技術(shù)的通信鏈路加密
基于商密技術(shù)的工控系統(tǒng)通信鏈路加密功能通過(guò)商密IPSec VPN 實(shí)現(xiàn)�。首先,PLC 安全模塊內(nèi)部嵌入硬件商密模塊,實(shí)現(xiàn)對(duì)SM2����、SM3����、SM4 商密算法的加載�。同時(shí)�,在PLC 安全模塊系統(tǒng)中擴(kuò)展IPSec 對(duì)于商密算法套件的支持,采用SM2、SM3等商密算法實(shí)現(xiàn)簽名認(rèn)證與密鑰協(xié)商,采用SM4 算法實(shí)現(xiàn)數(shù)據(jù)加密���,最終實(shí)現(xiàn)商密IPSec 功能。以商密IPSec 技術(shù)為載體,通過(guò)SM2 商密證書技術(shù)和SM2/SM3 算法實(shí)現(xiàn)安全通信隧道創(chuàng)建與密鑰協(xié)商��,最終通過(guò)SM4 算法實(shí)現(xiàn)上位機(jī)與PLC 之間的通信數(shù)據(jù)加密傳輸��,并通過(guò)SM3 算法對(duì)數(shù)據(jù)完整性進(jìn)行保護(hù)�。
安全PLC 基于商密算法的數(shù)據(jù)加密傳輸服務(wù)主要數(shù)據(jù)流程如圖7 所示����,圖中安全PLC 的CPU 模塊運(yùn)行Modbus/TCP 服務(wù),上位機(jī)根據(jù)控制系統(tǒng)需求向安全PLC 發(fā)起Modbus 數(shù)據(jù)查詢請(qǐng)求或控制指令��。指令經(jīng)上位機(jī)安全網(wǎng)關(guān)加密后經(jīng)安全隧道以密文方式傳輸?shù)桨踩玃LC�����。PLC 由安全模塊接收密文數(shù)據(jù)���,并對(duì)密文進(jìn)行校驗(yàn)和解密�。解密后的Modbus協(xié)議數(shù)據(jù)在安全PLC 內(nèi)部經(jīng)安全模塊傳輸至CPU模塊��。CPU 模塊將根據(jù)實(shí)時(shí)運(yùn)行狀態(tài)響應(yīng)上位機(jī)的各種請(qǐng)求����,安全PLC 響應(yīng)數(shù)據(jù)的傳輸過(guò)程與上位機(jī)查詢過(guò)程相似�,在PLC 與上位機(jī)(安全模塊)之間的傳輸數(shù)據(jù)將一直處于商密算法的保護(hù)之中。
圖7 基于商密的通信鏈路加密實(shí)現(xiàn)原理
(2)基于商密技術(shù)的PLC 控制器用戶認(rèn)證
安全模塊用戶認(rèn)證���,實(shí)質(zhì)上是對(duì)PLC 用戶的接入認(rèn)證,以基于商密技術(shù)的PLC 控制器接入身份認(rèn)證技術(shù)為基礎(chǔ)。安全模塊內(nèi)部的商密模塊實(shí)現(xiàn)模塊對(duì)商密算法(SM2/SM3/SM4)的支持,在PLC 安全模塊中內(nèi)置身份認(rèn)證網(wǎng)關(guān),同時(shí)擴(kuò)展認(rèn)證網(wǎng)關(guān)對(duì)于商密模塊和商密算法的支持�����,PLC 安全模塊便具有了商密身份認(rèn)證功能�。在用戶側(cè)����,CA 證書系統(tǒng)頒發(fā)的SM2 證書存放于USBKey 中�,USBKey 支持SM2 和SM3 算法����,算法由USBKey 中的芯片實(shí)現(xiàn)��;谏堂艿挠脩粽J(rèn)證功能��,主要通過(guò)SM3withSM2算法實(shí)現(xiàn)PLC 用戶的接入認(rèn)證��,保障對(duì)控制器服務(wù)的可信接入與可信訪問(wèn)。此外���,認(rèn)證服務(wù)器在實(shí)現(xiàn)上支持USBkey+用戶名的雙因子認(rèn)證,可使用戶身份認(rèn)證更加安全���������;谏堂芩惴ǖ挠脩粽J(rèn)證流程結(jié)構(gòu)如圖8 所示。其中�����,上位機(jī)用戶需要通過(guò)USBkey 來(lái)進(jìn)行用戶認(rèn)證后�����,才能訪問(wèn)PLC 的內(nèi)部資源,或進(jìn)行相應(yīng)的指令控制����,主要流程如下:
圖8 基于商密算法的用戶認(rèn)證流程結(jié)構(gòu)
①USBKey 接入終端�,用戶使用USBKey 管理工具注冊(cè)證書�;②上位機(jī)用戶瀏覽器打開PLC 用戶認(rèn)證界面,輸入用戶名+密碼+PIN 碼的組合進(jìn)行認(rèn)證�����;③瀏覽器登錄頁(yè)面對(duì)用戶輸出的PIN 碼進(jìn)行驗(yàn)證�����,之后調(diào)用USBKey 中SM2 證書的簽名算法將用戶輸入的用戶名和密碼簽名��;④將簽名后的信息和USBKey 中SM2 公鑰證書(X509 證書)傳遞給一體化安全PLC;⑤安全PLC 接收到SM2 公鑰證書(X509 證書)后,首先用設(shè)備上的CA 來(lái)認(rèn)證該證書,之后使用該證書對(duì)信息(用戶名+密碼)進(jìn)行驗(yàn)簽�,再進(jìn)行用戶名+密碼的確認(rèn)����;⑥認(rèn)證通過(guò)的上位機(jī)用戶�����,才能訪問(wèn)PLC 內(nèi)部的各種資源�,如通過(guò)FTP�����、TELNET 訪問(wèn)PLC 資源�����、對(duì)PLC 進(jìn)行編程或固件升級(jí)�、與PLC 進(jìn)行協(xié)議通信等。
4.3 CPU 模塊適配說(shuō)明
在安全PLC 及其控制系統(tǒng)中,PLC 安全模塊將作為整個(gè)控制器的外部網(wǎng)絡(luò)安全接入點(diǎn)。因此,CPU 模塊無(wú)須再對(duì)外提供以太網(wǎng)接口�。CPU 模塊適配設(shè)計(jì)主要是針對(duì)硬件接口的安全優(yōu)化設(shè)計(jì)����,主要適配設(shè)計(jì)包括:將原對(duì)外提供的以太網(wǎng)RJ45 接口取消�����;將CPU 模塊以太網(wǎng)接口連接至背板總線連接器�����,通過(guò)背板總線實(shí)現(xiàn)與安全模塊網(wǎng)絡(luò)的硬件連接�,以保障CPU 模塊業(yè)務(wù)安全運(yùn)行�����。
5 結(jié)語(yǔ)
本文在研究PLC 控制系統(tǒng)結(jié)構(gòu)特征及脆弱性分析的基礎(chǔ)上�,結(jié)合控制系統(tǒng)實(shí)際安全需求��,將商用密碼�、訪問(wèn)控制���、典型入侵防御等安全防護(hù)技術(shù)與PLC 控制器深度融合���,設(shè)計(jì)了基于國(guó)產(chǎn)商用密碼的信息安全型PLC 控制系統(tǒng)�����,重點(diǎn)闡述了基于商密的自主可控一體化安全PLC 軟硬件方案及其中的商用密碼應(yīng)用技術(shù)實(shí)現(xiàn)��。通過(guò)將商用密碼等安全防護(hù)技術(shù)融合到PLC 控制器及控制系統(tǒng)中���,構(gòu)建了PLC控制系統(tǒng)自身安全防護(hù)能力��,為保障工業(yè)控制系統(tǒng)安全運(yùn)行����,防范工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��,提供了一種有效的解決方案�����。
