工業(yè)控制系統(tǒng)應(yīng)用層數(shù)據(jù)安全防護(hù)方法論文

工業(yè)控制系統(tǒng)應(yīng)用層數(shù)據(jù)平安防護(hù)方法論文工業(yè)控制系統(tǒng)應(yīng)用層數(shù)據(jù)平安防護(hù)方法論文面對日趨嚴(yán)峻的工業(yè)控制系統(tǒng)平安威脅，通常采取主動隔離和被動檢測的平安解決方案，然而這些方案僅能作為解決工業(yè)控制系統(tǒng)邊界平安的一種手段，對于解決系統(tǒng)內(nèi)部網(wǎng)絡(luò)以及有效通信等問題作用不是太大，侵入者照舊可以利用各種手段侵入到內(nèi)部網(wǎng)絡(luò)進(jìn)展鏈路數(shù)據(jù)破壞。該文從應(yīng)用層信息平安需求出發(fā)，提出一種基于加密網(wǎng)關(guān)的工業(yè)控制系統(tǒng)通信數(shù)據(jù)加密防護(hù)方法，采用RC4加密算法有效保護(hù)上位機與PLC的通信數(shù)據(jù)平安。理論說明，該方案可靠、穩(wěn)定、平安，能滿足以太網(wǎng)環(huán)境下數(shù)據(jù)加密傳輸?shù)男枰?。工業(yè)控制系統(tǒng)(IndustrialControlSystem，ICS)它已廣泛用于國防軍工、交通運輸、科學(xué)研究、石油煉化、核能電力、污水處理等領(lǐng)域，用于控制消費設(shè)備的運行，系統(tǒng)在工業(yè)以太網(wǎng)技術(shù)大量應(yīng)用下引發(fā)的病毒和木馬攻擊事件頻發(fā)，直接影響公共根底設(shè)施的平安[1]。xx年，網(wǎng)絡(luò)超級武器“Stux”病毒通過針對性的入侵工業(yè)控制系統(tǒng)，使伊朗布什爾核電站核反響堆幾近癱瘓;xx年，hacker通過侵入美國伊利諾伊州斯普林菲爾德市(Springfield)的公共供水SCADA系統(tǒng)網(wǎng)絡(luò)，通過連續(xù)開關(guān)水泵閥門，導(dǎo)致水泵損壞，影響整個區(qū)域正常供水。隨著ICS平安形勢的日趨嚴(yán)峻，國內(nèi)外平安機構(gòu)和公司對工業(yè)控制系統(tǒng)提出了一系列平安解決方案，廣泛采用包括工業(yè)防火墻、IDS(入侵檢測系統(tǒng))、IPS(入侵保護(hù)系統(tǒng))、(虛擬專用網(wǎng)絡(luò))和網(wǎng)閘等防護(hù)設(shè)備。文獻(xiàn)[2]從工控平臺、網(wǎng)絡(luò)、平安策略、管理流程等方面對ICS的平安性進(jìn)展了分析，并針對ICS的不同層次提出了相應(yīng)的解決方案。文獻(xiàn)[3]提出運用“深度防御”思想，以ICS資產(chǎn)功能及重要性為平安域劃分根據(jù)，從技術(shù)與管理兩個維度設(shè)計適用于ICS的網(wǎng)絡(luò)平安防護(hù)體系。文獻(xiàn)[4]基于數(shù)據(jù)平安和管理平安兩個維度來討論了ICS平安防護(hù)技術(shù)的設(shè)計原那么，從區(qū)域劃分、終端防護(hù)、通信管控、平安設(shè)備選擇方法、平安操作策略和流程，給出了典型工業(yè)控制系統(tǒng)的平安部署圖。這些方案僅能作為解決工業(yè)控制系統(tǒng)邊界平安的一種手段，對于解決系統(tǒng)內(nèi)部網(wǎng)絡(luò)以及有效通信等問題作用不是太大，侵入者照舊可以利用邊界防護(hù)設(shè)備自身配置中的破綻，進(jìn)入內(nèi)部網(wǎng)絡(luò)，對通信數(shù)據(jù)進(jìn)展截獲分析，獲取通信數(shù)據(jù)格式和通信時序，實現(xiàn)偽上位機設(shè)計，偽造時序數(shù)據(jù)對可編程邏輯控制器(PLC)進(jìn)展攻擊，到達(dá)欺騙通信、欺騙控制的攻擊目的，進(jìn)而對整個系統(tǒng)進(jìn)展控制和破壞。本文提出了一種基于加密網(wǎng)關(guān)的工業(yè)控制系統(tǒng)通信數(shù)據(jù)加密防護(hù)方法;該方法采用RC4加密算法，實現(xiàn)了上位機與PLC的通信數(shù)據(jù)保密。1.1工業(yè)控制系統(tǒng)構(gòu)造模型以典型的ICS應(yīng)用為例，其基于工業(yè)以太網(wǎng)絡(luò)，整個控制處理單元主要用于消費過程控制與調(diào)度自動化系統(tǒng)，同時可以對現(xiàn)場的運行設(shè)備進(jìn)展監(jiān)視和控制，以實現(xiàn)實時數(shù)據(jù)采集和處理、設(shè)備控制、參數(shù)調(diào)節(jié)以及各類信號監(jiān)測等各項功能。以西門子工控系統(tǒng)為例，其簡化構(gòu)造模型如圖1所示。該模型包括現(xiàn)場編程計算機(Step7)、可編程邏輯控制器(PLC)、智能電子設(shè)備(IED)和確保各組件通信的接口技術(shù)。其中，作為西門子PLC的專用編程軟件，Step7可以通過多種通信形式完成硬件配置、參數(shù)設(shè)置、通信組態(tài)、編程、診斷等功能，實現(xiàn)工程文件的上裝、下載等各種命令信息。PLC主要執(zhí)行邏輯運算、順序控制、定時、計數(shù)等操作命令，控制各種類型的IED設(shè)備[5]。1.2工業(yè)控制系統(tǒng)通信數(shù)據(jù)構(gòu)造基于上述簡化模型，本文對現(xiàn)場編程計算機與PLC實時通信數(shù)據(jù)進(jìn)展分析，得出以太網(wǎng)通信形式下工業(yè)控制系統(tǒng)的.上位機與PLC的通信協(xié)議層次模型，如圖2所示。其中，在數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層使用國際通行Ether+TCP/IP標(biāo)準(zhǔn)，而在應(yīng)用層那么使用基于工業(yè)以太網(wǎng)的現(xiàn)場總線協(xié)議PROFINET(PROcessFIeldNET)技術(shù)[6]。為進(jìn)一步分析實時通信數(shù)據(jù)，本文利用wireshark抓包軟件抓取鏈路上通信數(shù)據(jù)，對數(shù)據(jù)內(nèi)容進(jìn)展分析，獲取了各層協(xié)議實際內(nèi)容，如圖3所示。1.3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)平安隱患ICS網(wǎng)絡(luò)像其他信息網(wǎng)絡(luò)一樣通常面臨四大威脅：一是利用工業(yè)控制系統(tǒng)軟硬件存在的破綻，截獲物理通道上傳輸?shù)乃行畔?，并進(jìn)展數(shù)據(jù)比對分析，甄別信息內(nèi)容，獲取重要資源;二是中斷系統(tǒng)網(wǎng)絡(luò)或者使效勞器回絕效勞，數(shù)據(jù)無法送達(dá)接收方，無法繼續(xù)執(zhí)行相應(yīng)的命令;三是非法用戶冒充合法用戶，并使用合法用戶的口令以合法的用戶身份參加到通信雙方之間，實時監(jiān)控雙方通信內(nèi)容，施行攻擊時參與數(shù)據(jù)流的篡改交換，破壞應(yīng)用系統(tǒng)的正常運行;四是攻擊者假裝成另一臺合法上位機來哄騙網(wǎng)絡(luò)中的下位機誤將其作為合法機器加以接收，誘使下位機向他發(fā)送據(jù)或接收他偽造的失真甚至完全破壞系統(tǒng)數(shù)據(jù)，促使系統(tǒng)癱瘓等。如圖4所示在ICS底層網(wǎng)絡(luò)中，實時傳送的信息主要于PLC、現(xiàn)場的變送器、過程量轉(zhuǎn)換器、開關(guān)、控制閥、執(zhí)行器等之間交互的數(shù)據(jù)，信息包括諸如設(shè)備型號、監(jiān)測量、系統(tǒng)組態(tài)，報警標(biāo)識等。這些數(shù)據(jù)報文的數(shù)據(jù)量一般不是很大，其所攜帶信息量也就少，經(jīng)過工業(yè)以太網(wǎng)協(xié)議封裝后的報文往往也不超過幾百字節(jié)。另外，系統(tǒng)的消費控制過程一經(jīng)設(shè)定，往往不能隨意變動，所以涉及消費控制信息的總體數(shù)據(jù)量和信息量不大，對于攻擊者來說，只需要截獲一個消費運行周期的數(shù)據(jù)就可以掌握這條消費線的全部信息[7]。攻擊者可以利用高級隱遁技術(shù)(AET)手段，如字符串混淆、加密和隧道技術(shù)、碎片技術(shù)等騙過IPS的檢查，穿透IPS成功進(jìn)入ICS內(nèi)部[8]，識別PLC型號、硬件組態(tài)信息、外設(shè)屬性等信息，假設(shè)上位機與PLC的通信內(nèi)容不加任何保護(hù)措施，那么很容易偵測出包括通信數(shù)據(jù)格式和通信時序，攻擊者可以建立偽上位機通過修改數(shù)據(jù)包頭、凈負(fù)荷等攻擊PLC，致使PLC工作癱瘓，無法正常工作。要確保ICS控制網(wǎng)絡(luò)數(shù)據(jù)平安，就必須確保上位機與下位機之間敏感數(shù)據(jù)的采集、傳輸、存儲、執(zhí)行過程中的信息平安問題?；诖四康?，本文通過采用數(shù)據(jù)加密技術(shù)，將用戶數(shù)據(jù)經(jīng)加密算法加密成密文，然后再將密文發(fā)送到網(wǎng)絡(luò)上進(jìn)展傳輸，這樣，即使發(fā)生數(shù)據(jù)被截獲，也可以確保數(shù)據(jù)內(nèi)容無法識別和執(zhí)行，從而可以進(jìn)步上位機與PLC數(shù)據(jù)傳輸?shù)钠桨残浴⒖捎眯院屯旰眯?，保證ICS的正常工作。2.1工業(yè)控制系統(tǒng)應(yīng)用層數(shù)據(jù)加密模型基于上述平安隱患和實際需求，本文提出一種應(yīng)用層數(shù)據(jù)平安防護(hù)方法，其簡化模型如圖5所示。在該模型中，編程上位機編寫STL/LAD高級程序，由Step7編譯成可執(zhí)行代碼，再將可執(zhí)行二進(jìn)制代碼通過PROFINET協(xié)議對數(shù)據(jù)封包，使用加密網(wǎng)關(guān)對此數(shù)據(jù)包進(jìn)展加密處理，通過以太網(wǎng)發(fā)送數(shù)據(jù)包，經(jīng)由中間交換機對數(shù)據(jù)進(jìn)展分發(fā)，在每一個PLC前由加密網(wǎng)關(guān)完成對交換機分發(fā)數(shù)據(jù)解密處理，然后由PLC解析并執(zhí)行這些代碼，這樣就完成了上位主機對PLC的現(xiàn)場編程。數(shù)據(jù)加密按加密途徑分有鏈路加密與端?端加密兩種。鏈路加密側(cè)重在鏈路上而不考慮信源與信宿，是對保密信息通過各鏈路采用不同的加密密鑰提供平安保護(hù)。端?端加密指信息由發(fā)送端自動加密，并且由通信協(xié)議進(jìn)展數(shù)據(jù)包封裝，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過局域網(wǎng)，當(dāng)這些信息到達(dá)目的地，將被自動重組、解密，而成為可讀的數(shù)據(jù)?？紤]到非對稱密鑰密碼體制相對于對稱密鑰密碼體制運行速度慢，而ICS需要在很短的時間內(nèi)處理大量的數(shù)據(jù)，對數(shù)據(jù)的傳輸要求準(zhǔn)確、平安且快速，假設(shè)采用非對稱密鑰密碼體制會引入較大的消息傳輸延遲，所以該模型把加、解密速度作為首選條件，綜合考慮加密算法的平安性，本文采用RC4算法，其算法簡單、速度快，不管是軟件還是硬件，實現(xiàn)起來都非常容易。2.2RC4加密算法[9]RC4算法包含2個部分：密鑰調(diào)度算法(KeySchedulingAlgorithm，KSA)以及偽隨機數(shù)生成算法(PseudoRandomGenerationAlgorithm，PRGA)。KSA算法用來設(shè)置數(shù)組S的初始排序，PRGA算法用來隨機選取元素作為密鑰K，與新的S序列字節(jié)間進(jìn)展隨機置換，產(chǎn)生最后的隨機序列輸出，即為加密密鑰，用來與明文進(jìn)展異或運算實現(xiàn)加密。RC4算法加密流程見圖6。2.2.1KSA算法從1～256B(8～2048b)的可變長度密鑰初始化一個256B的狀態(tài)矢量S，S的元素記為S[0]，S[1]，S[2]，…，S[255]，從始至終置換后的S包含從0～255的所有8b的數(shù)。對于加密和解密，字節(jié)K由S中256個元素按一定方式選出一個元素而生成，每生成一個K的值，S中的元素就被重新置換一次。2.2.2PRGA算法在KSA將數(shù)組S進(jìn)展初始隨機化排序的根底上，PRGA從數(shù)組S中隨機選取元素作為密鑰流字節(jié)，同時修改數(shù)組S的排序，以便下次密鑰流的選取。選取過程取決于兩個索引i和j，這兩個索引都從0開場，選取時重復(fù)執(zhí)行算法，直到產(chǎn)生與明文的長度相等的密鑰流。矢量S一旦完成初始化，輸入密鑰就不再被使用，密鑰流的生成為S[0]～S[255]，對每個S[i]，根據(jù)當(dāng)前S的值，將S[i]與S中的另一個字節(jié)置換，當(dāng)S[255]完成置換后，操作繼續(xù)重復(fù)，從S[0]開場。其算法流程[10]如圖7所示?；趫D7數(shù)據(jù)加密傳輸模型，本文搭建了一個簡單驗證平臺，平臺以編程計算機、加密網(wǎng)關(guān)、可編程控制器(PLC)、交換機等組成局域網(wǎng)絡(luò)。一個正常的數(shù)據(jù)包由用戶包頭和用戶數(shù)據(jù)構(gòu)成，假設(shè)加密網(wǎng)關(guān)對整個數(shù)據(jù)包不進(jìn)展剝離就直接加密處理，交換機收到的數(shù)據(jù)包都是經(jīng)過加密處理的，它沒有密鑰，不能解密加密包，也就不能正常讀取報頭內(nèi)容，無法完成數(shù)據(jù)的路由，網(wǎng)絡(luò)也就不能正常工作。在此模型中，本文只對包的用戶數(shù)據(jù)進(jìn)展加密，而留下明文的包頭，使得數(shù)據(jù)可以被工業(yè)以太網(wǎng)閱讀，完成數(shù)據(jù)交互功能。通過wireshark，本文對抓取的數(shù)據(jù)進(jìn)一步分析，可以獲取上位機與PLC傳送的實時有效數(shù)據(jù)包全部內(nèi)容，如圖8、圖9所示。通過比對抓取的數(shù)據(jù)包可看出，除了數(shù)據(jù)內(nèi)容Data不同外，其他報頭的信息一樣，這也驗證了對于Ether+TCP/IP協(xié)議包頭本文不需要進(jìn)展加密，只需要對用戶數(shù)據(jù)進(jìn)展加密，然后對明文的包頭和密文的數(shù)據(jù)進(jìn)展封裝傳送?；谏衔奶岢龅臄?shù)據(jù)加密傳輸模型，本文在對數(shù)據(jù)通信協(xié)議構(gòu)造分析的根底上，編程實現(xiàn)用戶數(shù)據(jù)提取，而后利用加密算法對用戶數(shù)據(jù)進(jìn)展加密處理。從圖10可以看出，其中一個數(shù)據(jù)包，其用戶數(shù)據(jù)是22B，經(jīng)過加密處理后變成了一個沒有實際意義的44B的字符串，然后本文對密文進(jìn)展解密操作，又復(fù)原成一樣的22B用戶數(shù)據(jù)。在整個加密處理過程中，本文的報頭始終是明文，這樣工業(yè)以太網(wǎng)就可以進(jìn)展識別。基于上文提出的模型，在節(jié)點A通過抓包軟件，截獲A發(fā)送給B的數(shù)據(jù)包和在C處截獲B發(fā)送給C的數(shù)據(jù)包，發(fā)現(xiàn)其數(shù)據(jù)包內(nèi)容是一樣的，見圖11。而在節(jié)點B通過抓包軟件，截獲由A發(fā)送B的數(shù)據(jù)包，見圖12。通過比對發(fā)現(xiàn)，數(shù)據(jù)包內(nèi)容已經(jīng)完全失去了原來的意義。上述實驗中可以看出Step7編譯之后的數(shù)據(jù)經(jīng)過加密處理后，變成了不識別的亂碼，只有經(jīng)過正確的密鑰解