|
引用本文
梁耀, 冯冬芹, 徐珊珊, 陈思媛, 高梦州. 加密传输在工控系统安全中的可行性研究. 自动化学报, 2018, 44(3): 434-442. doi: 10.16383/j.aas.2018.c160399
LIANG Yao, FENG Dong-Qin, XU Shan-Shan, CHEN Si-Yuan, GAO Meng-Zhou. Feasibility Analysis of Encrypted Transmission on Security of Industrial Control Systems. ACTA AUTOMATICA SINICA, 2018, 44(3): 434-442. doi: 10.16383/j.aas.2018.c160399
http://www.aas.net.cn/cn/article/doi/10.16383/j.aas.2018.c160399
关键词
工业控制系统,加密传输,稳定性,数据加密长度可行域,实时性能,TIAE-based指标
摘要
针对需要对现场数据加密的工业控制系统(Industrial control system,ICS),基于稳定性判据设计一种加密传输机制的可行性评估模型,结合超越方程D-subdivision求解法,提出一种数据加密长度可行域求解算法.改进IAE(Integral absolute error)并提出Truncated IAE(TIAE)-based指标,用于评估可行域内不同数据长度对系统实时性能的影响.利用嵌入式平台测定的加密算法执行时间与数据长度的关系,评估了两种对称加密算法应用在他励直流电机控制系统中的可行性,验证了可行域求解算法的准确性,并获得了实时性能随数据长度的变化规律.
文章导读
随着技术发展和管理决策的需要, 通用的通信网络和多样化的IT组件与工控系统(Industrial control system, ICS)不断融合, 原本封闭的工控系统开始更多地与外部企业网络互联, 使得ICS更容易受到来自网络的安全威胁[1].仅2015年, ICS-CERT公布的发生在美国的工控系统安全问题多达295起[2], 工控系统遭受到网络攻击的威胁日趋严峻.
工业通信网络中存在着严重的数据安全隐患, 容易遭受到破坏数据完整性的攻击, 如错误数据注入攻击[3]、重放攻击[4]等, 而数据加密作为一种保护数据完整性和机密性的手段, 可以有效地阻止上述攻击. Zijlstra[5]基于异步事件驱动方法, 设计了一种单比特加密传输方案, 用于控制系统的防窃听和数据篡改攻击. Zhang等[6]基于DES (Data encryption standard)加密和改进灰色预测模型设计了一种抗DoS (Denial of service)和欺骗攻击机制.尽管如此, 目前国内外针对密码学在工控系统中的应用研究仍处于起步阶段, 实际上, 对于工控系统中的一些工控设备而言, 其资源总量和处理速度有限, 引入加密传输后会影响通信网络中控制数据交互的实时性, 甚至严重干扰系统的稳定性. Wei等[7]在小规模电网平台上测试发现, 加密传输带来的延时会造成断路器动作不及时, 会导致电压波动幅度超过20%.正是由于工控系统的特殊性, 使得目前缺少一种有效的加密传输应用的可行性评估方法.
加密传输应用在工控系统中的前提是不破坏原系统的稳定性, 在该前提下才能进一步研究如何评估加密传输对实时性能的影响.控制系统稳定性分析的研究成果相对成熟[8], 但直接用于加密传输稳定性分析的成果仍然较少. Sipahi等[9]基于特征根聚类分析的方法, 提出了二维延时空间内稳定域的数值解法. Olgac等[10]利用D-subvision超越方程求解法, 给出了稳定延时的精确数值解, 对于加密传输的稳定性分析具有参考意义.而Lyapunov不等式、谱分析等稳定性判定方法, 由于不能给出精确的参数稳定域, 不具有定量分析价值.
实时性评估方法主要分成两类:随机性评估方法和确定性评估方法.随机性评估方法主要基于Harris[11]提出的最小方差控制(Minimum variance controller, MVC)指标, 该指标利用最小方差控制下的系统性能作为评价基准, 以此衡量当前系统的性能.但是Eriksson等[12]指出, MVC并不能保证满意的动态性能, 而且该指标没有以加密传输之前系统的性能作为评价基准.确定性评估方法主要利用上升时间、超调量、稳定时间等指标. Gupta等[13]通过简单的归一化加权, 综合超调量σ%和稳定时间ts两个因素作为DES加密后系统实时性能评估值, 该评估值的优点在于可以灵活调整权重, 但同时各指标之间的相对权重难以确定, 评估结果存在主观性差异. Zeng等[14]设计了一种基于确定性指标的评估框架, 权衡考虑了AES加密后系统的性能指标与安全指标, 并基于协同演化算法求解了加密长度的最优解.但该框架直接以跟踪误差的均方值作为性能指标, 没有给出采样个数K的选取规则, 也没有对该指标合理性论证, 最后没有对最优解的存在性进行验证. Yu等[15]通过计算跟踪误差的无穷积分, 提出了绝对误差积分(Integrated absolute error, IAE)指标, 用于分析闭环系统的跟踪性能, 但是IAE指标中不仅包含了动态跟踪信息, 也包含了稳态跟踪信息, 而且IAE需要对时间进行无穷积分, 计算复杂度高.
针对上述文献中性能评估方法的不足, 本文提出了一种加密传输应用在工控系统中的可行性研究方法.首先, 分析通用的工控系统加密传输框架, 以及数据加密造成的直接影响.其次, 基于稳定性判据提出多输入多输出控制系统中加密传输机制的评估模型, 利用加密算法执行时间与数据加密长度的映射关系(后文统一称为"时间长度关系"), 设计一种求解长度可行域的算法.然后, 借鉴IAE的思想, 提出了一种用于评估系统实时性能的指标, 即Truncated IAE (TIAE)-based, 并在指标合理性论证中给出了一个合理的充分条件.最后, 在嵌入式平台上测试了两种对称加密算法的时间长度关系, 并应用在他励直流电机控制系统仿真平台上, 计算并验证了系统稳定下的长度可行域, 获得了长度对实时性能的影响规律.结果表明, 相比Zeng的结论, 利用长度可行域来判断长度的存在性将更加严谨.相比Harris的随机性评估方法, TIAE能提供更加合理、确定的分析指标.相比Gupta的确定性评估方法, TIAE则避免了主观赋值造成的差异.因此, 本文提出的可行性研究方法可以为加密传输在工控系统的应用提供科学的依据.
图 1 基于加密传输机制的工控系统框架图
图 2 基于加密传输机制的MIMO控制系统结构图
图 3 加密算法执行时间与数据加密长度关系曲线
针对加密传输机制如何影响工控系统性能的问题, 本文从影响加密算法执行时间的主要因素:数据加密长度出发, 依次提出了分析系统稳定性和实时性能的指标和方法.
关于加密传输机制的可行性研究中存在的一些问题, 还需要深入研究.首先, 研究密钥长度、加密模式等因素对加解密的影响, 即与式(1)中参数ai、bi的关系.其次, 有没有可能求出指标关于长度l的解析式, 或者将定理3完善成一个充要条件.另外, 针对MIMO控制系统中存在的多个输出, 如何将实时性指标向量η中的各个分量综合考虑.最后, 还要考虑将本文的可行性分析方法应用在真实的物理平台上进行论证.
作者简介
梁耀
浙江大学控制科学与工程学院硕士研究生.2014年获得山东大学控制科学与工程学院学士学位.主要研究方向为工控系统安全脆弱性分析与建模.E-mail:liangyaoxp@zju.edu.cn
徐珊珊
浙江大学控制科学与工程学院硕士研究生.2013年获得华东理工大学学士学位.主要研究方向为工业控制轻量级数据加密传输.E-mail:lqxssxss@163.com
陈思媛
多伦多大学计算机与电子工程学院硕士研究生.2015年获得浙江大学学士学位.主要研究方向为工控系统加密传输机制性能分析与补偿.E-mail:siyuansiyuan.chen@mail.utoronto.ca
高梦州
浙江大学控制科学与工程学院博士研究生.2012年获得哈尔滨工业大学学士学位.主要研究方向为工业控制系统网络安全.E-mail:mzgao@zju.edu.cn
冯冬芹
浙江大学工业控制技术国家重点实验室、浙江大学智能系统与控制研究所教授.主要研究方向为现场总线, 实时以太网, 工业无线通信技术, 工业控制系统安全, 网络控制系统的研发与标准化工作.本文通信作者.E-mail:fengdongqin@zju.edu.cn
Archiver|手机版|科学网 ( 京ICP备07017567号-12 )
GMT+8, 2024-4-29 00:37
Powered by ScienceNet.cn
Copyright © 2007- 中国科学报社