專利名稱:基于tcp/ip的工業(yè)控制網(wǎng)絡(luò)的安全策略實(shí)現(xiàn)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)���、計(jì)算機(jī)技術(shù)和自動(dòng)控制技術(shù)����,具體是一種基于TCP/IP協(xié)議的工業(yè)控制網(wǎng)絡(luò)的安全策略實(shí)現(xiàn)方法及其采用該方法的系統(tǒng)�����。
背景技術(shù):
與以往的現(xiàn)場(chǎng)總線是專用網(wǎng)絡(luò)不同�����,以太網(wǎng)����、無(wú)線局域網(wǎng)����、藍(lán)牙等基于TCP/IP協(xié)議的網(wǎng)絡(luò)技術(shù)均在商業(yè)計(jì)算機(jī)領(lǐng)域已經(jīng)獲得或正在獲得廣泛和成功的應(yīng)用,并逐漸直接應(yīng)用于工業(yè)現(xiàn)場(chǎng)設(shè)備間的通信��,形成基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)(這里簡(jiǎn)稱為ICN網(wǎng)絡(luò),ICN即Industrial Control Network)��。這樣����,隨之而來的工業(yè)控制網(wǎng)絡(luò)安全問題也成為廣大工控專家和用戶非常關(guān)心的問題。
基于TCP/IP的以太網(wǎng)具有開放性好���、軟硬件資源豐富�、應(yīng)用廣泛以及價(jià)格低廉等特點(diǎn)���,工廠現(xiàn)場(chǎng)設(shè)備間的通信和控制基于以太網(wǎng)技術(shù)來實(shí)現(xiàn)后�����,基于以太網(wǎng)的工業(yè)控制網(wǎng)絡(luò)再與計(jì)算機(jī)網(wǎng)絡(luò)相連接�,導(dǎo)致新的�����、一系列安全問題的出現(xiàn)���。因?yàn)樵谶@種類型的體系結(jié)構(gòu)中����,自動(dòng)化單元作為整個(gè)工廠或企業(yè)的Intranet的一個(gè)IP擴(kuò)展,每一個(gè)連接到自動(dòng)化單元網(wǎng)絡(luò)的儀表器件都能夠與網(wǎng)絡(luò)中的其它任何儀表或計(jì)算機(jī)通信���,這將使得基于網(wǎng)絡(luò)在任何地方都可以發(fā)起對(duì)自動(dòng)化儀表的訪問�����。
作為一個(gè)開放系統(tǒng)�,其潛在的安全風(fēng)險(xiǎn)是不可避免的���。因此��,ICN設(shè)備生產(chǎn)廠家必須采取必要的安全措施和工具����,以保證在這個(gè)開放的環(huán)境中能夠安全地操作��,保護(hù)內(nèi)部的系統(tǒng)�、資源和正常的生產(chǎn)秩序���。ICN系統(tǒng)安全主要解決工業(yè)以太網(wǎng)內(nèi)部資源與數(shù)據(jù)通信的安全性問題���,以保障系統(tǒng)正常的運(yùn)行��,或在受到攻擊時(shí)能夠迅速地發(fā)現(xiàn)并采取相應(yīng)的安全措施���,使系統(tǒng)的安全損失減少到最小。并在受到攻擊后能夠迅速地恢復(fù)�。
如圖1所示,ETHERNET POWERLINK Standardization Group和65C/314/RVN的報(bào)文識(shí)別定義方法是在鏈路層的幀格式中通過修改其TYPE或LENGTH字段��,以區(qū)別于現(xiàn)有的類型定義字段��,作為其報(bào)文類型標(biāo)識(shí)���。假定我們通過修改鏈路層的幀格式中的TYPE或LENGTH字段來作為ICN的標(biāo)識(shí)��,則由于網(wǎng)絡(luò)中鏈路層的特殊性����,即在不同介質(zhì)和不同鏈路層協(xié)議下���,其幀格式封裝各不相同�。如在Ethernet II中是類型字段,用來指出以太網(wǎng)幀內(nèi)數(shù)據(jù)所含的上層協(xié)議�;而在IEEE802.3中是長(zhǎng)度字段,該字段的最小值為46�,最大值為1500。因此����,每一種物理介質(zhì)我們都需要有一個(gè)中間過程(或者其它處理措施),把不同的幀格式轉(zhuǎn)化為圖1所示的格式�,以保證整個(gè)體系結(jié)構(gòu)的一致性。這必然帶來處理過程的時(shí)間開銷和空間開銷���。轉(zhuǎn)化后的幀格式����,必然需要為相應(yīng)的LEGHT/TYPE字段定義一個(gè)特殊的數(shù)值�����,以標(biāo)識(shí)這是一個(gè)建立在某種物理介質(zhì)上的ICN協(xié)議數(shù)據(jù)幀���。但是以太網(wǎng)幀中已經(jīng)用掉了LENGTH/TYPE字段大量數(shù)值,同時(shí)一些其它的網(wǎng)絡(luò)協(xié)議也在這個(gè)字段用掉了一些數(shù)值比如IPX協(xié)議等�����,這樣就可能會(huì)出現(xiàn)該字段值被用盡的問題。另外���,每當(dāng)兼容一種物理網(wǎng)絡(luò)�����,就需要重新賦值定義����,帶來擴(kuò)展性的問題�。無(wú)線、藍(lán)牙等網(wǎng)絡(luò)技術(shù)必須按照它自己的底層協(xié)議進(jìn)行相互間的通信�,如果改成了圖1的格式,它們自己內(nèi)部之間的等同于數(shù)據(jù)鏈路層的通信幀也必須按照ICN協(xié)議幀的通信格式進(jìn)行修改�����,這可以說是不可能實(shí)現(xiàn)的����。因此,如果在此處修改�,首先是增加了復(fù)雜性�����,且可能存在兼容性問題(即有可能和其它利用此字段的協(xié)議沖突����,如藍(lán)牙���、802.11等)���;其次,針對(duì)不同的鏈路層幀格式要予以考慮����,而幀格式的非通用格式的表現(xiàn)形式也限制了在這里修改為ICN標(biāo)識(shí)后的通用性;再者����,還需考慮ICN標(biāo)識(shí)的不同種類的應(yīng)用和對(duì)上層協(xié)議的引用等問題。
發(fā)明的內(nèi)容對(duì)于基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)����,根據(jù)組網(wǎng)方案和應(yīng)用層次的不同,一般可分為現(xiàn)場(chǎng)設(shè)備層��、監(jiān)控層和管理層,應(yīng)根據(jù)基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)面臨的安全風(fēng)險(xiǎn)及其出現(xiàn)的層次��,和可能受到的攻擊類別�����,分級(jí)實(shí)施不同的安全策略和措施�。綜合考慮工業(yè)控制網(wǎng)絡(luò)通信的實(shí)時(shí)性���、現(xiàn)場(chǎng)設(shè)備資源的有限性與安全管理問題�����,本發(fā)明從現(xiàn)場(chǎng)設(shè)備層�����、過程監(jiān)控層和管理層等三個(gè)網(wǎng)絡(luò)層次���,來考慮基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)的分層安全策略實(shí)現(xiàn)方法及其采用該方法的系統(tǒng)。我們利用在IP層加入ICNHeader定義ICN的幀格式���,通過獨(dú)創(chuàng)性的ICNHeader結(jié)構(gòu)�����,運(yùn)用安全功能塊技術(shù)�,結(jié)合其它已有的網(wǎng)絡(luò)與信息安全方法可有效地解決基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)安全問題。
首先�,建立ICN通信模型,取其物理層���、數(shù)據(jù)鏈路層�、網(wǎng)絡(luò)層���、傳輸層����、應(yīng)用層�,并在應(yīng)用層之上增加用戶層,以及在網(wǎng)絡(luò)層和傳輸層增加ICN實(shí)時(shí)通信管理接口��,共構(gòu)成六層結(jié)構(gòu)的通信模型�����。并通過標(biāo)準(zhǔn)的��、可擴(kuò)展的IP報(bào)文擴(kuò)展機(jī)制定義ICN幀格式,即在IP層加入ICNHeader來定義ICN幀格式�。將原始IP數(shù)據(jù)報(bào)格式化為加ICN字頭的IP數(shù)據(jù)報(bào),增加報(bào)頭ICNHeader��,將IP首部的IP協(xié)議位改為ICN標(biāo)識(shí)位���。對(duì)報(bào)頭ICNHeader作相關(guān)定義,在IP層加入報(bào)文頭ICNHeader來定義ICN幀格式����,提出了獨(dú)創(chuàng)性的ICNHeader結(jié)構(gòu)。
其次��,采用了安全功能塊�,通過定義安全功能塊為一個(gè)應(yīng)用程序提供一個(gè)或多個(gè)安全服務(wù)進(jìn)程,對(duì)安全功能塊組態(tài)��,實(shí)現(xiàn)兩個(gè)設(shè)備之間的安全通信��?�;诎踩?wù)功能塊的安全服務(wù)映射包括事件輸入(event input)���、事件輸出(event output)��、數(shù)據(jù)輸入(datainput)和數(shù)據(jù)輸出(data output)��。
對(duì)基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)的分層安全策略���,重點(diǎn)是現(xiàn)場(chǎng)設(shè)備層網(wǎng)絡(luò)的安全策略和過程監(jiān)控層網(wǎng)絡(luò)的安全措施���。
現(xiàn)場(chǎng)設(shè)備層網(wǎng)絡(luò)的安全策略包括1)在ICN設(shè)備鏈接對(duì)象屬性中增加訪問密碼,該密碼需放在ICN報(bào)文中���,以保護(hù)鏈接對(duì)象所表示的鏈路通信關(guān)系�����。該密碼在系統(tǒng)組態(tài)時(shí)由用戶指定���,不允許在線修改,2)增加ICNHeader�,通過報(bào)文頭實(shí)現(xiàn)a)通過報(bào)文過濾(檢查該報(bào)文頭),識(shí)別ICN報(bào)文與非ICN報(bào)文訪問���,b)時(shí)間戳控制及其它安全措施由用戶選擇���;過程監(jiān)控層網(wǎng)絡(luò)的安全策略包括1)在ICN網(wǎng)橋設(shè)備鏈接對(duì)象屬性中增加訪問密碼��,2)增加ICNHeader��,通過報(bào)文頭實(shí)現(xiàn)a)通過報(bào)文過濾(檢查該報(bào)文頭)��,識(shí)別ICN報(bào)文與非ICN報(bào)文訪問�����,b)選擇時(shí)間戳控制機(jī)制,c)其它安全措施由用戶選擇����;3)定義ICN安全功能塊,安全功能塊是標(biāo)準(zhǔn)的功能塊���,它只對(duì)ICN應(yīng)用層報(bào)文進(jìn)行安全處理�����;管理層網(wǎng)絡(luò)的安全策略包括管理層網(wǎng)絡(luò)涉及ICN網(wǎng)絡(luò)與非ICN網(wǎng)絡(luò)的跨網(wǎng)絡(luò)訪問���,由ICN代理和防火墻共同來實(shí)現(xiàn),根據(jù)ICN系統(tǒng)的性質(zhì)��、按照《中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)——計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》的規(guī)定選用各種已有的通信安全技術(shù)來保證整個(gè)網(wǎng)絡(luò)的安全。
本發(fā)明取得的有益效果首先��,協(xié)議簡(jiǎn)單�����,容易實(shí)現(xiàn)�,系統(tǒng)開銷小,實(shí)時(shí)性好��。
其次��,可擴(kuò)展性好���,可以隨網(wǎng)絡(luò)層協(xié)議的發(fā)展而進(jìn)行隨意擴(kuò)展��,且可以方便的兼容未來的網(wǎng)絡(luò)層協(xié)議���。
第三,直接封將成IP協(xié)議�����,即除在IP協(xié)議首部的8位協(xié)議字段增加ICN標(biāo)識(shí)外,其它沒有作修改�����,可與其它IP數(shù)據(jù)報(bào)一樣進(jìn)行傳輸�。因此只要是標(biāo)準(zhǔn)IP兼容的底層協(xié)議(包括不同的物理介質(zhì),如802.3/802.11/802.15等)�����,都能正常通信�����,不需要作任何修改�。
第四��,特別是解決了ICN協(xié)議的安全問題���。它不必集中較高層實(shí)現(xiàn)大量安全協(xié)議�,網(wǎng)絡(luò)層提供安全服務(wù)可以為它及上層傳輸協(xié)議(包括TCP和UDP等)“無(wú)縫”地提高安全保障���。同時(shí)�,兼容性好,網(wǎng)絡(luò)層支持以子網(wǎng)為基礎(chǔ)的安全�,容易實(shí)現(xiàn)VPN和內(nèi)聯(lián)網(wǎng)。
圖1表示通過修改鏈路層的幀格式中的TYPE或LENGTH字段來標(biāo)識(shí)ICN報(bào)文的結(jié)構(gòu)示意2表示基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)的分層安全策略結(jié)構(gòu)示意3表示ICN通信模型圖4表示ICNHeader的結(jié)構(gòu)圖5表示安全功能塊模型示意6表示ICN系統(tǒng)安全通信框架示意7表示安全服務(wù)執(zhí)行控制表ECC圖8表示安全功能塊算法調(diào)用執(zhí)行控制表的狀態(tài)機(jī)示意圖具體實(shí)施方式
對(duì)于基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)��,根據(jù)組網(wǎng)方案和應(yīng)用層次的不同���,一般從系統(tǒng)的拓?fù)浣Y(jié)構(gòu)來看���,可分為現(xiàn)場(chǎng)設(shè)備層、監(jiān)控層和管理層����,對(duì)不同的應(yīng)用層次應(yīng)采取不同的安全技術(shù)措施。
如圖2所示�����,基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)一般可分為現(xiàn)場(chǎng)級(jí)網(wǎng)絡(luò)(由現(xiàn)場(chǎng)設(shè)備構(gòu)成�����,以實(shí)現(xiàn)現(xiàn)場(chǎng)控制為主要目的網(wǎng)絡(luò))����、監(jiān)控級(jí)網(wǎng)絡(luò)(實(shí)現(xiàn)現(xiàn)場(chǎng)級(jí)網(wǎng)絡(luò)�����、操作站�、工程師站�����、ICN代理等設(shè)備的互聯(lián))與管理級(jí)網(wǎng)絡(luò)(監(jiān)控級(jí)網(wǎng)絡(luò)之上�,以管理與調(diào)度為主要目的網(wǎng)絡(luò))三個(gè)層次。
1.現(xiàn)場(chǎng)設(shè)備層網(wǎng)絡(luò)的安全措施在同一ICN網(wǎng)段上的現(xiàn)場(chǎng)設(shè)備間的安全保護(hù)機(jī)制�,一般可通過ICN網(wǎng)橋來保證網(wǎng)段內(nèi)部的安全,同時(shí)�,設(shè)備間還可采用以下安全保護(hù)機(jī)制。
1)在ICN設(shè)備鏈接對(duì)象屬性中增加訪問密碼(兩個(gè)字節(jié))�����,該密碼需放在ICN報(bào)文中��,以保護(hù)鏈接對(duì)象所表示的鏈路通信關(guān)系�����。該密碼在系統(tǒng)組態(tài)時(shí)由用戶指定���,不允許在線修改��。
2)增加ICN報(bào)文頭(ICNHeader)�,通過報(bào)文頭實(shí)現(xiàn)a)通過報(bào)文過濾(檢查該報(bào)文頭)識(shí)別ICN報(bào)文與非ICN報(bào)文訪問���,從而賦予不同的操作處理權(quán)限����。
b)是否采用時(shí)間戳控制及其它安全措施由用戶確定�。
2.過程監(jiān)控層網(wǎng)絡(luò)的安全措施監(jiān)控層網(wǎng)絡(luò)一般需要跨ICN網(wǎng)段進(jìn)行通信,這時(shí)建議由ICN網(wǎng)橋和ICN代理共同來實(shí)現(xiàn)ICN網(wǎng)絡(luò)安全保護(hù)��,安全保護(hù)機(jī)制包括�����。
1)在ICN網(wǎng)橋設(shè)備鏈接對(duì)象屬性中增加訪問密碼(兩個(gè)字節(jié))���。
2)增加ICN報(bào)文頭(ICNHeader)����,通過報(bào)文頭實(shí)現(xiàn)a)通過報(bào)文過濾(檢查該報(bào)文頭)�����,識(shí)別ICN報(bào)文與非ICN報(bào)文訪問,從而賦予不同的操作處理權(quán)限���。
b)時(shí)間戳控制機(jī)制c)是否采用其它安全措施由用戶選擇�。
3)定義ICN安全功能塊�����,通過對(duì)ICN功能塊組態(tài)來保證工業(yè)控制網(wǎng)絡(luò)的信息安全����。
3.管理層網(wǎng)絡(luò)的安全措施管理層網(wǎng)絡(luò)涉及ICN網(wǎng)絡(luò)與非ICN網(wǎng)絡(luò)的跨網(wǎng)絡(luò)訪問,建議由ICN代理和防火墻共同來實(shí)現(xiàn)��,可根據(jù)ICN系統(tǒng)的性質(zhì)��、按照《中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)——計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)的規(guī)定來選用各種已有的通信安全技術(shù)來保證整個(gè)網(wǎng)絡(luò)的安全��。
訪問密碼的設(shè)置����,設(shè)置訪問密碼主要用于識(shí)別連接對(duì)象���,以增加ICN現(xiàn)場(chǎng)設(shè)備運(yùn)行過程中的通信安全性���。
采用在鏈接對(duì)象中增加一個(gè)4字節(jié)的安全標(biāo)識(shí)字段����,該字段的值由系統(tǒng)組態(tài)時(shí)��,隨機(jī)生成一對(duì)密碼標(biāo)識(shí)�����,分別放在通信發(fā)起方和接收方的鏈接對(duì)象里���。系統(tǒng)運(yùn)行過程中��,如果兩個(gè)功能塊發(fā)生通信關(guān)系��,則要先判斷這個(gè)密碼是否匹配���,如果匹配則證明是合法通信,否則為非法通信�,另做處理。
鏈接對(duì)象定義格式如下
安全密文碼的產(chǎn)生方法推薦以偽隨機(jī)數(shù)產(chǎn)生技術(shù)和內(nèi)部時(shí)鐘值相結(jié)合��,生成安全密文碼。
在本發(fā)明中我們?cè)贗P層考慮ICN的標(biāo)識(shí)問題�,即采用一種標(biāo)準(zhǔn)的、可擴(kuò)展的IP報(bào)文擴(kuò)展機(jī)制����,在IP報(bào)文中添加ICNHeader來進(jìn)行標(biāo)識(shí)。另外�,本定義的ICN安全功能塊對(duì)ICN網(wǎng)絡(luò)提供靈活、可組態(tài)的安全控制策略���。ICN安全功能塊可以根據(jù)不同的安全級(jí)別定義不同的安全策略��,供用戶組態(tài)��,用戶組態(tài)時(shí)ICN安全功能塊作為可選組件供用戶組態(tài)����。
圖3所示為ICN通信模型���,參照ISO/OSI通信參考模型���,取其物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層�����、傳輸層���、應(yīng)用層,并在應(yīng)用層之上增加用戶層(采用IEC61499/61804標(biāo)準(zhǔn))�����,以及在網(wǎng)絡(luò)層和傳輸層增加ICN實(shí)時(shí)通信管理接口����,共構(gòu)成六層結(jié)構(gòu)的通信模型。并通過標(biāo)準(zhǔn)的�����、可擴(kuò)展的IP報(bào)文擴(kuò)展機(jī)制定義ICN幀格式����,即在IP層加入ICNHeader來定義ICN幀格式。如圖4所示為ICNHeader的結(jié)構(gòu)����,將原始IP數(shù)據(jù)報(bào)格式化為加ICN字頭的IP數(shù)據(jù)報(bào)����,增加報(bào)頭ICNHeader��,將IP首部的IP協(xié)議位改為ICN標(biāo)識(shí)位���。對(duì)報(bào)頭ICNHeader作相關(guān)定義�,ICNHeader結(jié)構(gòu)說明版本號(hào)(VER)這個(gè)4比特字段定義了ICN字頭的版本����,提供版本識(shí)別。當(dāng)前版本為1�。
安全標(biāo)志位用于識(shí)別ICN報(bào)文類別,其定義為0000未加處理的ICN報(bào)文���;1000采用時(shí)間戳安全處理的ICN報(bào)文�����,后面擴(kuò)展4個(gè)子節(jié)���,作為時(shí)間戳字段��;1001基于時(shí)間戳的完整性校驗(yàn)��,后面擴(kuò)展4個(gè)子節(jié)�����,作為時(shí)間戳字段;1111完全采用IPSec安全方案���,擴(kuò)展字段擴(kuò)展為IPSec安全字頭����。
IP協(xié)議位這個(gè)8比特字段定義使用ICN字頭封裝的IP首部的8位協(xié)議字段�,與標(biāo)準(zhǔn)IP協(xié)議中的協(xié)議位相對(duì)應(yīng)。
校驗(yàn)和將ICNHeader部分的前面16比特用反碼算術(shù)運(yùn)算相加�����,得到一個(gè)16比特的結(jié)果�,再將此和取反碼,放入此字段��。
擴(kuò)展字段對(duì)報(bào)文加時(shí)間戳控制時(shí)或用IPSec安全方案時(shí)���,在ICNHeader的協(xié)議類型后面擴(kuò)展4個(gè)字節(jié)����。此4個(gè)字節(jié)作為時(shí)間戳字段時(shí),此時(shí)間戳字段在ICN選擇安全功能塊算法時(shí)���,可以識(shí)別其時(shí)效性��,從而保證安全���。當(dāng)然,此時(shí)間戳字段必須經(jīng)過適當(dāng)?shù)募用?�,其加密算法可選安全功能塊中定義的不同級(jí)別的安全算法�。此4個(gè)字節(jié)作為IPSec安全方案字段時(shí)擴(kuò)展字段擴(kuò)展為IPSec安全字頭。
通過ICN附加報(bào)頭��,可以識(shí)別ICN與非ICN報(bào)文����,從而過濾報(bào)文。在ICN報(bào)文的基礎(chǔ)上�,通過安全標(biāo)志位,聯(lián)系安全功能塊�����,經(jīng)過解包和封包過程,達(dá)到增強(qiáng)安全的目的�����。
解包過程ICN在網(wǎng)絡(luò)層對(duì)IP數(shù)據(jù)報(bào)進(jìn)行分析��,根據(jù)IP字頭協(xié)議字段檢測(cè)該數(shù)據(jù)報(bào)是否是ICN報(bào)文���,如果檢測(cè)到不是ICN報(bào)文就按照正常IP數(shù)據(jù)報(bào)文處理�����,即交給IP首部中的8位協(xié)議字段所示的上層協(xié)議進(jìn)行處理。如果是ICN報(bào)文就將該報(bào)文交由ICNHeader處理程序?qū)ζ溥M(jìn)行相應(yīng)的處理�����,其后則可用與正常IP數(shù)據(jù)報(bào)文處理方式進(jìn)行處理��。
封包過程ICN應(yīng)用層數(shù)據(jù)傳到網(wǎng)絡(luò)層�����,ICNHeader處理程序?qū)P頭中的協(xié)議類型信息拷貝下來后,添加ICN版本信息���、校驗(yàn)和���,從而形成ICNHeader,并將IP頭中協(xié)議類型改為一定值(例如70)�����。然后將ICNHeader添加到IP頭的后邊�,形成新的IP報(bào)文。
安全服務(wù)功能塊可以為一個(gè)應(yīng)用程序提供一個(gè)或多個(gè)安全服務(wù)進(jìn)程����,基于安全服務(wù)功能塊的安全服務(wù)映射包括事件輸入(event input)、事件輸出(event output)���、數(shù)據(jù)輸入(data input)和數(shù)據(jù)輸出(data output)�����。通過定義安全功能塊為一個(gè)應(yīng)用程序提供一個(gè)或多個(gè)安全服務(wù)進(jìn)程��,從而可通過組態(tài)實(shí)現(xiàn)兩個(gè)設(shè)備之間的安全通信�����。安全功能塊結(jié)構(gòu)模型如圖5所示�����。ICN的資源是一個(gè)邏輯設(shè)備�����,功能塊本身就屬于資源的組成部分���,安全功能塊是標(biāo)準(zhǔn)的功能塊��,它只對(duì)ICN應(yīng)用層報(bào)文進(jìn)行安全處理�。安全服務(wù)功能塊利用一個(gè)執(zhí)行控制表(ECC)來控制功能塊算法的執(zhí)行�。安全服務(wù)功能塊的外部接口符合IEC 61499標(biāo)準(zhǔn)的基本功能塊類型要求��,而安全服務(wù)功能塊的輸入和輸出有特殊的語(yǔ)義規(guī)則����,接口定義與服務(wù)接口功能塊相同。
利用安全服務(wù)功能塊實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)安全基本思路如圖6所示��。即在需要安全通信的兩個(gè)設(shè)備之間把安全功能塊組態(tài)到兩個(gè)設(shè)備上。而在不需要安全通信時(shí)則無(wú)需對(duì)安全功能塊進(jìn)行組態(tài)�。ICN安全服務(wù)功能塊在ICN系統(tǒng)中只作為一種普通的功能塊處理,符合IEC61499標(biāo)準(zhǔn)����,如圖6所示,只是在其中封裝了安全控制策略算法���。
ICN安全功能塊對(duì)ICN網(wǎng)絡(luò)提供靈活�、可組態(tài)的安全控制策略�����。ICN安全功能塊可以根據(jù)不同的安全級(jí)別定義不同的安全策略�����,供用戶組態(tài)�。用戶組態(tài)時(shí)ICN安全功能塊作為可選組件供用戶組態(tài)時(shí)選用。
安全服務(wù)事件接口聲明分事件輸入(event input)����,事件輸出(event output)。分別見表1和表2表1安全服務(wù)功能塊事件輸入
表2安全服務(wù)功能塊事件輸出
安全服務(wù)數(shù)據(jù)接口聲明分?jǐn)?shù)據(jù)輸入(data input)和數(shù)據(jù)輸出(data output)���。分別見表3和表4���。
表3安全服務(wù)功能塊數(shù)據(jù)輸入
表4安全服務(wù)功能塊數(shù)據(jù)輸出
注意缺省值可以根據(jù)實(shí)際安全級(jí)別需要設(shè)定�����。
安全服務(wù)算法聲明安全服務(wù)算法可以是滿足控制網(wǎng)絡(luò)實(shí)時(shí)性要求的簡(jiǎn)單的身份驗(yàn)證算法����,也可以是滿足公網(wǎng)傳輸?shù)幕诠€��、私鑰結(jié)構(gòu)的加密/解密等算法���?��?刹捎靡韵滤惴?、完整性校驗(yàn)算法完整性校驗(yàn)算法對(duì)ICN報(bào)文未經(jīng)許可的修改和處理必須通過選用的算法可以檢測(cè)出來���。ICN報(bào)文信息即使以正確的方式到達(dá)的,安全數(shù)據(jù)仍然可能被破壞���。因此數(shù)據(jù)完整性是達(dá)到要求的安全集成級(jí)別的一個(gè)基本的組成部分�。采用適當(dāng)?shù)姆椒ǎ热缙媾夹r?yàn)��,幀校驗(yàn)��,循環(huán)冗余校驗(yàn)(CRC)和類似的消息冗余形式可以利用�。所有這些方法提供一套實(shí)現(xiàn)殘余錯(cuò)誤率比假定的比特錯(cuò)誤率低的方法。一種檢測(cè)質(zhì)量保障機(jī)制就是該信息的漢明(HD)距離�。漢明距離給出了一個(gè)消息在毀壞被檢測(cè)出來前該消息必定受到破壞的最小比特?cái)?shù)。
可選擇不同的算法來對(duì)總線系統(tǒng)的數(shù)據(jù)完整性進(jìn)行評(píng)價(jià)�。這些計(jì)算結(jié)果可能導(dǎo)致硬件和軟件設(shè)計(jì)在提供完整性方面的更多努力,或者整個(gè)控制系統(tǒng)的可靠性和證據(jù)方面的更多努力�����。
2���、通信安全算法通過公網(wǎng)(Internet或跨網(wǎng)段的Intranet等)傳輸?shù)腎CN報(bào)文必須經(jīng)過一定的加密算法���,才能保證ICN報(bào)文不被監(jiān)聽,截獲等��。
1)組態(tài)時(shí)簡(jiǎn)單身份識(shí)別ICN網(wǎng)絡(luò)組態(tài)時(shí)��,可選擇運(yùn)行安全功能塊進(jìn)行簡(jiǎn)單的身份識(shí)別。對(duì)于ICN設(shè)備來說�,其物理號(hào)ID之于整個(gè)系統(tǒng)是唯一的。通過安全功能塊獲取設(shè)備ID�,在監(jiān)控設(shè)備中核實(shí)該ID的合法性,拒絕對(duì)不在合法設(shè)備ID數(shù)據(jù)庫(kù)中的設(shè)備進(jìn)行組態(tài)����。從而達(dá)到防護(hù)目的。當(dāng)然����,此處可以考慮對(duì)設(shè)備物理ID進(jìn)行簡(jiǎn)單的加密,比如定期用不同的等長(zhǎng)密碼進(jìn)行異或��,然后在此基礎(chǔ)上識(shí)別��,這樣安全可靠性提高�����。
2)加密算法的選擇在當(dāng)前加密算法的使用中�����,對(duì)稱分組加密算法應(yīng)用廣泛�����。對(duì)于三重DES����,IDEA,Blowfish����,RC5,CAST以及RC2等算法也可考慮�,采用軟加密算法,其運(yùn)算要求比較高���,可以根據(jù)不同的情況考慮安全功能塊�����。
3��、安全策略算法執(zhí)行控制聲明安全服務(wù)功能塊的算法調(diào)用序列可以聲明在功能塊類型規(guī)范里�。如果安全服務(wù)功能塊類型算法符合如上所述通信安全算法�����,安全服務(wù)功能塊的算法調(diào)用序列是執(zhí)行控制表ECC的形式,其中ECC由執(zhí)行控制狀態(tài)(EC state)�,執(zhí)行控制轉(zhuǎn)移(EC transition)和執(zhí)行控制行動(dòng)(EC action)組成。安全服務(wù)的執(zhí)行控制表ECC如圖7所示��。安全服務(wù)功能塊類型在發(fā)生一個(gè)相關(guān)事件時(shí)執(zhí)行一個(gè)初始化算法�,比如INIT算法。
4�����、安全服務(wù)算法的調(diào)度算法和安全服務(wù)功能塊實(shí)例有關(guān)的執(zhí)行被請(qǐng)求所調(diào)用到資源的計(jì)劃功能來計(jì)劃算法操作的執(zhí)行��。安全服務(wù)功能塊類型的實(shí)例的算法調(diào)用被它的執(zhí)行控制表(ECC)操縱的功能性設(shè)備所完成����。執(zhí)行控制表(ECC)操作遵循以下規(guī)則1)資源必須一直為每個(gè)事件輸入(EI變量附加存儲(chǔ)元素)保持。見如圖8所示的事件輸入狀態(tài)機(jī)1和其說明表1���。
2)ECC操作要展示所有如圖8所示操作狀態(tài)機(jī)2和說明表2里所定義的屬性�����。
3)EC下一個(gè)轉(zhuǎn)移條件直到算法完成本身EC狀態(tài)進(jìn)程才可以生效��。
說明表1 說明表2
事件輸入狀態(tài)機(jī)狀態(tài)和轉(zhuǎn)移ECC操作狀態(tài)機(jī)狀態(tài)和轉(zhuǎn)移5���、安全服務(wù)算法執(zhí)行安全控制策略算法可以是滿足控制網(wǎng)絡(luò)實(shí)時(shí)性要求的簡(jiǎn)單的身份驗(yàn)證算法�,也可以是滿足公網(wǎng)傳輸?shù)幕诠€�、私鑰結(jié)構(gòu)的加密/解密等算法��。安全服務(wù)功能塊的算法執(zhí)行由該算法語(yǔ)言的有限操作序列的執(zhí)行組成�����。其中編寫算法為執(zhí)行的資源和申請(qǐng)的域采用實(shí)現(xiàn)一獨(dú)立(Implementation-dependent)原則����。算法的終止為執(zhí)行完序列中最后一個(gè)操作。如果一個(gè)算法執(zhí)行一個(gè)狀態(tài)機(jī)��,算法的重復(fù)執(zhí)行需要識(shí)別到和能執(zhí)行狀態(tài)轉(zhuǎn)換����。
在本發(fā)明中我們?cè)贗P層考慮ICN的標(biāo)識(shí)問題,即采用一種標(biāo)準(zhǔn)的����、可擴(kuò)展的IP報(bào)文擴(kuò)展機(jī)制,在IP報(bào)文中添加ICNHeader來進(jìn)行標(biāo)識(shí)��。另外,本定義的ICN安全功能塊對(duì)ICN網(wǎng)絡(luò)提供靈活�����、可組態(tài)的安全控制策略����。ICN安全功能塊可以根據(jù)不同的安全級(jí)別定義不同的安全策略,供用戶組態(tài)�。用戶組態(tài)時(shí)ICN安全功能塊作為可選組件供用戶組態(tài)。
以上只是本發(fā)明的優(yōu)選實(shí)施例說明�,本發(fā)明的保護(hù)范圍基于本領(lǐng)域技術(shù)人員的理解結(jié)合權(quán)利要求進(jìn)行限定。
權(quán)利要求
1.一種實(shí)現(xiàn)基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)安全的方法�,建立ICN通信模型,根據(jù)組網(wǎng)方案和應(yīng)用層次的不同���,分為現(xiàn)場(chǎng)設(shè)備層�����、監(jiān)控層和管理層����,根據(jù)基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)面臨的安全風(fēng)險(xiǎn)及其出現(xiàn)的層次�,和可能受到的攻擊類別��,分級(jí)實(shí)施不同的安全策略和措施��,其特征在于采用分層安全策略���;在IP層加入報(bào)文頭ICNHeader來定義ICN幀格式;定義安全功能塊的結(jié)構(gòu)���,通過對(duì)安全功能塊組態(tài)為一個(gè)應(yīng)用程序提供一個(gè)或多個(gè)安全服務(wù)進(jìn)程,實(shí)現(xiàn)兩個(gè)設(shè)備之間的通信安全�。
2.如權(quán)利要求1所述的方法,其特征在于所述分層安全策略包括現(xiàn)場(chǎng)設(shè)備層網(wǎng)絡(luò)的安全策略��,過程監(jiān)控層網(wǎng)絡(luò)的安全策略���,以及管理層網(wǎng)絡(luò)的安全策略�。
3.如權(quán)利要求2所述的方法����,其中現(xiàn)場(chǎng)設(shè)備層網(wǎng)絡(luò)的安全策略包括1)在ICN設(shè)備鏈接對(duì)象屬性中增加訪問密碼,該密碼需放在ICN報(bào)文中���,以保護(hù)鏈接對(duì)象所表示的鏈路通信關(guān)系�。該密碼在系統(tǒng)組態(tài)時(shí)由用戶指定,不允許在線修改�。2)增加報(bào)文頭ICNHeader,通過報(bào)文頭實(shí)現(xiàn)a)通過報(bào)文過濾�����,識(shí)別ICN報(bào)文與非ICN報(bào)文訪問�;b)時(shí)間戳控制及其它安全措施由用戶選擇;所述過程監(jiān)控層網(wǎng)絡(luò)的安全策略包括1)在ICN網(wǎng)橋設(shè)備鏈接對(duì)象屬性中增加訪問密碼��,2)增加報(bào)文頭ICNHeader�����,通過報(bào)文頭實(shí)現(xiàn)a)通過報(bào)文過濾�����,識(shí)別ICN報(bào)文與非ICN報(bào)文訪問��,b)選擇時(shí)間戳控制機(jī)制��,c)其它安全措施由用戶選擇�����,3)定義ICN安全功能塊,安全功能塊是標(biāo)準(zhǔn)的功能塊�����,它只對(duì)ICN應(yīng)用層報(bào)文進(jìn)行安全處理����;所述管理層網(wǎng)絡(luò)的安全策略包括根據(jù)ICN系統(tǒng)的性質(zhì)、按照《中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)——計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》的規(guī)定選用各種已有的通信安全技術(shù)來保證整個(gè)網(wǎng)絡(luò)的安全�����。
4.如權(quán)利要求1或2所述的方法��,其特征在于其中所述的報(bào)文頭ICNHeader的結(jié)構(gòu)包括版本號(hào)提供版本識(shí)別���;安全標(biāo)志位提供識(shí)別ICN報(bào)文類別;IP協(xié)議位與標(biāo)準(zhǔn)IP協(xié)議中的協(xié)議位相對(duì)應(yīng)����;校驗(yàn)和用于對(duì)ICNHeader進(jìn)行校驗(yàn),通過ICN附加報(bào)頭��,可以識(shí)別ICN和非ICN報(bào)文��,從而過濾報(bào)文。
5.如權(quán)利要求1或2所述的方法����,其特征在于加入ICNHeader的方法進(jìn)一步包括ICN在網(wǎng)絡(luò)層對(duì)IP數(shù)據(jù)報(bào)進(jìn)行分析,根據(jù)IP字頭協(xié)議字段檢測(cè)該數(shù)據(jù)報(bào)是否是ICN報(bào)文�����,如果是ICN報(bào)文就將該報(bào)文交由ICNHeader處理程序?qū)ζ溥M(jìn)行相應(yīng)的處理���,ICN應(yīng)用層數(shù)據(jù)傳到網(wǎng)絡(luò)層�����,ICNHeader處理程序?qū)P頭中的協(xié)議類型信息拷貝下來后�,添加ICN版本信息����、校驗(yàn)和,從而形成ICNHeader���,并將IP頭中協(xié)議類型改為一定值�,然后將ICNHeader添加到IP頭的后邊,形成新的IP報(bào)文�。
6.如權(quán)利要求1或2所述的方法,其特征在于其中所述安全功能塊定義為安全服務(wù)功能塊可以為一個(gè)應(yīng)用程序提供一個(gè)或多個(gè)安全服務(wù)進(jìn)程���,基于安全服務(wù)功能塊的安全服務(wù)映射包括事件輸入����、事件輸出�����、數(shù)據(jù)輸入和數(shù)據(jù)輸出�����,它只對(duì)ICN應(yīng)用層報(bào)文進(jìn)行安全處理�。
7.如權(quán)利要求6所述的方法,安全服務(wù)功能塊利用一個(gè)執(zhí)行控制圖來控制功能塊算法的執(zhí)行��,安全服務(wù)功能塊的外部接口符合IEC 61499標(biāo)準(zhǔn)的基本功能塊類型要求�����,而安全服務(wù)功能塊的輸入和輸出有特殊的語(yǔ)義規(guī)則����,接口定義與服務(wù)接口功能塊相同。
8.一種實(shí)現(xiàn)基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)安全的系統(tǒng)�����,在系統(tǒng)中建立ICN通信模型��,包括物理層���、數(shù)據(jù)鏈路層���、網(wǎng)絡(luò)層、傳輸層�、應(yīng)用層,其特征在于在應(yīng)用層之上增加用戶層���,在網(wǎng)絡(luò)層和傳輸層增加ICN實(shí)時(shí)通信管理接口�,采用分層安全策略�,在IP層加入報(bào)文頭ICNHeader來定義ICN幀格式,通過對(duì)安全功能塊組態(tài)實(shí)現(xiàn)兩個(gè)設(shè)備之間的安全通信�,為一個(gè)應(yīng)用程序提供一個(gè)或多個(gè)安全服務(wù)進(jìn)程。
9.如權(quán)利要求8所述的系統(tǒng)��,其特征在于所述分層安全策略包括現(xiàn)場(chǎng)設(shè)備層網(wǎng)絡(luò)的安全策略,過程監(jiān)控層網(wǎng)絡(luò)的安全策略�,以及管理層網(wǎng)絡(luò)的安全策略。
10.如權(quán)利要求8或9所述的系統(tǒng)�,其特征在于其中所述的報(bào)文頭ICNHeader的結(jié)構(gòu)包括版本號(hào)提供版本識(shí)別;安全標(biāo)志位提供識(shí)別ICN報(bào)文的類別�����;IP協(xié)議位與標(biāo)準(zhǔn)IP協(xié)議中的協(xié)議位相對(duì)應(yīng)���;校驗(yàn)和用于對(duì)ICNHeader進(jìn)行校驗(yàn)�����,通過ICN附加報(bào)頭�����,可以識(shí)別ICN和非ICN報(bào)文����,從而過濾報(bào)文��。
11.如權(quán)利要求8或9所述的系統(tǒng)����,其特征在于其中所述安全功能塊定義為安全服務(wù)功能塊可以為一個(gè)應(yīng)用程序提供一個(gè)或多個(gè)安全服務(wù)進(jìn)程,基于安全服務(wù)功能塊的安全服務(wù)映射包括事件輸入���、事件輸出�、數(shù)據(jù)輸入和數(shù)據(jù)輸出�����,它只對(duì)ICN應(yīng)用層報(bào)文進(jìn)行安全處理��。
全文摘要
本發(fā)明涉及一種基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)的安全策略實(shí)現(xiàn)方法及其實(shí)現(xiàn)基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)安全的系統(tǒng)����,主要包括在IP層加入報(bào)頭ICNHeader來定義ICN的幀格式,提出了獨(dú)創(chuàng)性的ICNHeader結(jié)構(gòu)����,介紹ICNHeader的處理方法;首次提出了安全功能塊的概念��,定義了安全功能塊的結(jié)構(gòu)與實(shí)現(xiàn)原理���,通過對(duì)安全功能塊組態(tài)為一個(gè)應(yīng)用程序提供一個(gè)或多個(gè)安全服務(wù)進(jìn)程����,實(shí)現(xiàn)兩個(gè)設(shè)備之間的通信安全;采用基于TCP/IP的工業(yè)控制網(wǎng)絡(luò)的分層安全策略�����,包括現(xiàn)場(chǎng)設(shè)備層網(wǎng)絡(luò)的安全策略�、過程監(jiān)控層網(wǎng)絡(luò)的安全措施和管理層網(wǎng)絡(luò)的安全策略。
文檔編號(hào)H04L29/06GK1558608SQ20041002167
公開日2004年12月29日 申請(qǐng)日期2004年1月13日 優(yōu)先權(quán)日2004年1月13日
發(fā)明者王平, 平 王 申請(qǐng)人:重慶郵電學(xué)院