賴 軍�����,谷 鵬����,幸享宏,鄒大均,李 立
(1.中國電子科技集團公司第三十研究所�,四川 成都 610041��;2.中國電子科技網絡信息安全有限公司,四川 成都 610041)
0 引言
在信息化和工業化深度集成和工業轉型升級的同時��,工業控制生產環境已從封閉轉向開放���,生產過程從自動化轉向智能化��。然而���,工業控制系統安全漏洞數量在逐年遞增��,各類工控信息安全事件層出不窮,安全威脅加速滲透���,攻擊手段更加復雜多樣[1]。
2019 年9 月�,印度Kudankulam 核電站遭受了攻擊,惡意軟件感染了核電站的管理網絡�����,導致一個反應堆中止運行��。2020 年4 月�,葡萄牙跨國能源公司EDP 遭到勒索軟件攻擊[1]�。2022 年9 月,黑客組織GhosSec 入侵以色列各地55 套可編程邏輯控制器(Programmable Logic Controller����,PLC)��,成功獲取PLC 管理控制權限�。眾多工控信息安全事件表明�����,以PLC 控制系統為代表的工控系統正逐漸成為黑客組織��、敵對勢力開展勒索破壞活動的重點目標,安全形勢異常嚴峻���。
當前工業控制系統自身通常缺乏必要的信息安全防護措施,業務數據通信甚至采用明文傳輸��,攻擊者可以通過信息嗅探�����、通信劫持與數據篡改等方式開展攻擊破壞活動�,造成工控系統停止運行����、業務邏輯運行失序等嚴重后果。為防范相關安全風險�����,提升工控系統自身信息安全防御能力�����,本文通過研究PLC 控制系統特點、主要安全威脅及防護需求�����,將商用密碼�、訪問控制、典型入侵防御等安全防護技術與PLC 控制器深度融合����,提出了一種基于商密的信息安全型PLC 控制系統方案����。
1 PLC 控制系統概述
1.1 PLC 控制系統簡介
典型的PLC 控制系統由監控層�����、控制層���、設備層構成����,典型系統結構如圖1 所示����。其中,監控層主要由工程師站、操作員站等設備組成���,工程師站和操作員站在PLC 控制系統中通常統稱為上位機�����;控制層主要包括PLC 控制器�����、遠程I/O 站等設備,大中型PLC 控制器通常采用模塊化設計理念,根據功能一般可分為CPU 模塊�、電源模塊����、I/O 模塊�����、通信模塊等組件����;設備層則主要由傳感器、執行器、儀表、閥門等現場設備構成。位于控制層的PLC 控制器等設備通常被定義為PLC控制系統的核心設備��。
圖1 典型的PLC 控制系統結構
以PLC 控制系統為代表的工業控制系統長期以來采用孤島方式運行�����,使用專用設備與協議����,并且與外界物理網絡環境相對隔絕�,在很長一段時間內都是相對安全的。然而,近年來隨著信息化與工業化深度融合的發展���,PLC 控制系統面臨的信息安全威脅越來越受到重視��。
1.2 主要安全脆弱性分析
PLC 控制器在設計上主要關注于控制流程的時效性與準確性���,以及系統的易維護性�,極少考慮潛在的網絡安全風險�,缺少應對網絡攻擊的防護措施。綜合歷年發生的各類工控安全事件與工控系統相關漏洞分析�����,PLC 控制系統的安全脆弱性主要表現為:
(1)在PLC 系統中廣泛使用的Modbus 等工業協議缺乏身份認證機制�����,非法攻擊者可以輕易地冒充上位機接入控制網絡��,執行非法操作,嚴重威脅控制系統安全運行�����。
(2)PLC 控制系統敏感數據缺乏密碼保護機制�,與生產業務相關敏感數據未采用加密存儲,且通過明文傳輸����,這為攻擊者嗅探�、竊取��,甚至偽造關鍵數據提供了便利條件��。
(3)上位機與PLC 間的數據通信缺乏合理的權限管理機制,現有的鑒權機制通常僅存在于邏輯組態軟件或監控組態軟件等上位機軟件層面�����,并未在通信流程中采取有效的權限控制�。這將導致任何接入PLC 控制器的攻擊者均可利用工業協議執行任何操作�,破壞控制系統正常業務。
2 國產商用密碼概述
國產商用密碼體系的密碼種類豐富�,基本滿足了我國生產生活中的各類需求���,主要有SM 系列及祖沖之序列算法���,囊括了所有典型的密碼體制����,具體可分為3 類:SM3 密碼雜湊(Hash 散列)算法屬于散列算法范疇��,SM1(SCB2)����、SM4�、SM7、祖沖之序列密碼算法(ZUC)屬于對稱密碼算法體制范疇�,SM2�、SM9 屬于非對稱密碼算法體制范疇[2]�����。
SM3 算法[3]通過M-D 模型處理輸入消息���,生成256 bit 的雜湊值��。SM3 算法于2012 年作為密碼行業標準發布�,于2016 年轉變為國家標準��,并于2018 年正式成為國際標準��。
SM4 算法[4]分組長度為128 bit�����,密鑰長度為128 bit��,加密與密鑰擴展算法都采用32 輪非線性迭代結構。加密和解密使用完全相同的結構���,解密時只需倒置密鑰的順序。SM4 算法于2012 年作為密碼行業標準發布����,并于2016 年轉化為國家標準����。
SM1 與SM7 分組密碼算法尚未公開����,所使用的密鑰長度和分組長度都是128 bit。
祖沖之密碼算法[5]密鑰長度為128 bit,由128 bit 種子密鑰和128 bit 初始向量共同作用生成32 bit寬的密鑰流�����。ZUC 可用于數據保密性和完整性保護���。
SM2 算法[6]基于橢圓曲線離散對數問題��,提供數據加密解密�����、簽名驗簽和密鑰協商功能。SM2 算法推薦使用256 bit 素域上的參數集���。SM2 算法具有安全性高���、密鑰短��、私鑰產生簡單以及簽名速度快等優點���。該算法已于2016 年成為國家標準�,并于2017 年被國際標準化組織(International Organization for Standardization���,ISO)采納成為國際標準���。
SM9 算法[7]是一種標識密碼�,是在傳統公鑰基礎設施PKI 基礎上發展而來的,可以解決安全應用場景中PKI 需要大量交換數字證書的問題�,使應用更易部署和使用����。SM9 算法提供密鑰封裝����、數據加密解密、簽名驗簽和密鑰協商功能。2017 年�����,ISO將SM9 數字簽名算法采納為國際標準的一部分��。
3 總體架構設計
基于國產商用密碼輕量應用的信息安全型PLC控制系統總體架構如圖2 所示�����,上位機(工程師站��、操作員站)通過安全模塊與基于商密的自主可控一體化安全PLC(簡稱安全PLC)連接����。其中,上位機安全模塊采用支持標準商密IPSec 功能的安全網關設備或客戶端軟件����。安全PLC 則主要由安全模塊及常規控制模塊構成��,核心模塊均采用國產龍芯處理器。安全模塊內置商密模塊�,并將基于商用密碼輕量應用的安全防護功能有機融合于PLC 控制器中�,構建形成PLC 控制器自身的安全防護能力�����。
圖2 信息安全型PLC 控制系統總體架構
在信息安全型PLC 控制系統中���,上位機(安全模塊)通過PLC 安全模塊接入PLC 控制器���。上位機安全模塊與PLC 安全模塊之間通過商密IPSec 建立安全通信隧道�����,從而通過商密技術保障上下位機間數據傳輸的保密性與完整性。商密技術還應用于PLC 控制器對上位機用戶的安全接入認證等場景���,并可與訪問控制、工業協議控制等安全防護功能相結合�����,對訪問PLC 的用戶權限進行精細控制��,從而全面提升PLC 控制系統自身的信息安全防護水平���。
4 安全PLC 方案設計
自1969 年第一臺PLC 誕生之日起,PLC 成為工業界的核心控制器產品�。我國自20 世紀70 年代開始PLC 的研究和應用���,近年來隨著國產芯片技術的升級發展���,國產PLC 廠商逐步推出了基于國產龍芯��、飛騰等處理器的自主可控中大型PLC 成熟產品,并在軌道交通、水利水電等行業實現推廣應用。
4.1 安全PLC 總體設計
本文以成熟的國產自主可控中大型PLC 產品方案為基礎,遵循中大型PLC 模塊化設計理念�,結合商密安全防護技術對PLC 開展安全增強設計�����,形成基于商密的自主可控一體化安全PLC 設計方案。
安全PLC 總體框架如圖3 所示,控制器主要由CPU 模塊、IO模塊���、電源模塊、通信模塊�����、PLC 安全模塊等模塊組成�,各模塊間均通過內置于安裝背板中的背板總線交互數據。IO 模塊主要包括數字量輸入模塊(Digital Input Module��,DIM)���、數字量輸出模塊(Digital Output Module���,DOM)�、模擬量輸入模塊(Analog Input Module,AIM)���、模擬量輸出模塊(Analog Output Module,AOM)等�����,通信模塊則包含Modbus RTU��、Profibus-DP 等專用工業協議通信擴展模塊����。PLC 安全模塊為專用信息安全功能模塊����,模塊內置商密模塊,提供基于商用密碼的用戶認證、基于商密技術的通信鏈路加密�����、工業協議深度控制�����、訪問控制���、典型入侵防御等安全功能���,使信息安全防御能力成為PLC 本體的一種固有屬性�����。其中,IO 模塊、電源模塊�����、通信模塊����、安裝背板等部件均采用成熟自主可控解決方案�����,本方案重點對安全模塊軟硬件功能開展深化設計�,并對CPU模塊進行少量適配設計��。
圖3 安全PLC 總體框架
4.2 PLC 安全模塊方案
4.2.1 硬件方案
PLC安全模塊硬件框圖如圖4 所示����,模塊采用國產龍芯處理器��,搭載2GB DDR3 內存及8GB SSD存儲���。商密模塊搭載SM2/SM3/SM4 等商密算法����,通過Mini PCIE 接口與龍芯處理器連接并提供商用密碼運算服務�����。安全模塊配置3 路以太網口���,其中eth0 作為模塊管理端口�����,eth1 與eth2 作為業務端口���。
圖4 安全模塊硬件
安全模塊兩個以太網業務端口工作于透明橋模式����,其中eth2 將通過背板總線與CPU 模塊對應端口連接,eth1 則將作為安全PLC 對外網絡接口。所有流向PLC 的網絡流量都必須由eth1 端口接入PLC�,并通過安全模塊進行安全檢測��。只有通過安全檢測的合法指令才允許通過eth2 端口轉發至CPU模塊進一步處理執行�。
此外����,為確保PLC 網絡通信功能的可靠性,兩個以太網業務端口間設計有硬件BYPASS 電路����。一旦安全模塊發生故障�����,BYPASS 模塊將立即將業務端口物理導通,可快速恢復正常網絡通信��。
4.2.2 軟件方案
基于商密的自主可控一體化安全PLC 相關安全防護功能均內置于PLC 安全模塊中����。PLC 安全模塊依托內置的商用密碼模塊,實現加密與認證相關商密計算功能��。PLC 安全模塊搭載訪問控制�、工業協議深度控制、入侵防御�、商密身份認證���、商密IPSec VPN 等安全功能����。
PLC 安全模塊提供適配CPU 模塊協議功能特征的“組態式”的防護策略配置���。安全模塊軟件總體上由WEBGUI�、配置管理框架�����、防護對象配置�、安全模塊配置�、快捷配置、高級配置(含防火墻��、入侵防御����、用戶認證)、VPN���、日志與監控等子系統構成,總體系統結構如圖5 所示����。
圖5 安全模塊軟件總體結構
(1)防護對象配置
防護對象配置子系統提供對PLC 控制器及其所在控制系統參數等“中心參數”的設置功能�����,主要包括PLC 型號與IP 地址、上位機(工程師站/操作員站)名稱和IP 地址等控制系統核心參數。子系統內置PLC(CPU 模塊)型號下拉菜單��,用戶點選即可便捷完成PLC 型號設置�����。該子系統中設置的PLC 控制器和上位機IP 地址將作為控制參數由訪問控制策略自動引用�����,僅允許已配置的上位機訪問PLC 控制器相關服務�����。
(2)安全模塊配置
安全模塊配置子系統主要配置安全模塊自身的相關參數�,主要包括模塊名稱����、IP地址設置、默認網關���、管理配置�����、時間設置、系統維護等功能。其中,IP 地址設置包括業務端口IP 設置和管理端口IP 設置�。安全模塊包含兩個業務端口和一個管理端口��。兩個業務端口默認配置為透明橋,共用同一個IP 地址。
(3)防護策略快捷配置
快捷配置是指基于被保護PLC 型號協議特征的防護策略快速配置方法。安全模塊默認開啟白名單訪問控制服務�����,快捷配置亦即快捷白名單配置���。
安全模塊預置多種型號CPU 模塊模型��������?旖菖渲媒缑娓鶕雷o對象配置中用戶選擇的PLC 型號參數匹配PLC 模型,并根據模型參數自動生成該型號PLC 對應的防護策略快捷設置菜單,用戶勾選即可完成訪問控制策略的快捷配置�����?旖菖渲迷诤笈_生成的訪問控制規則��,自動匹配防護對象配置項的PLC 系統核心參數�,自動對允許訪問的IP/MAC 地址進行控制�����,僅允許已配置的上位機訪問PLC 相關服務�。
快捷配置如圖6 所示���,用戶勾選相應的允許選項便可激活該項策略�����,不被允許的通信數據將被安全模塊阻斷丟棄�。用戶只需根據系統實際需要勾選相應選項��,可極大地簡化用戶操作流程��,具有極強的便利性與易用性。
圖6 防護策略快捷配置
快捷配置支持勾選一鍵激活地址解析協議(Address Resolution Protocol���,ARP)控制與入侵防御。其中����,“激活ARP 控制”意味著安全模塊將對流向PLC的超過閾值的ARP包采取限流措施���������!凹せ钊肭址烙奔窗踩K按默認參數開啟對UDP/SYN/ICMP Flood、PORT SCAN(端口掃描)等典型攻擊報文的檢測與過濾�����。
在快捷配置中�����,對Modbus/TCP 工業協議進行控制����,并不是簡單地允許該協議的所有報文通過����,而是根據被保護PLC 對象的型號協議特征��,對訪問該PLC 的協議功能碼或寄存器地址范圍等進行深度控制,只有符合被保護對象規范的命令才允許通過���。
(4)防護策略高級配置
防護策略高級配置功能需在快捷配置界面中激活。高級配置功能總體上由訪問控制��、入侵防御��、用戶認證等功能模塊組成����,可為用戶提供更為精細的訪問控制粒度和防御策略��。
①訪問控制(含工業協議深度控制)
訪問控制與工業協議深度控制作為安全模塊的核心功能模塊�����,總體實現安全模塊的包過濾策略 配置��。
訪問控制模塊由TCP/IP 訪問控制(含工業協議深度控制)�����、二層訪問控制功能組成。
通常PLC 對外開放的常規網絡服務僅包括FTP、Telnet����、NTP 等少數幾種����。安全模塊預置FTP�、Telnet、NTP 等PLC 常用網絡服務作為系統預定義服務。工控系統訪問PLC 的主機相對有限�����,在訪問控制規則中PLC 型號�����、主站IP��、從站(PLC)IP 等參數快捷配置時自動從防護對象配置中引用,無須用戶選擇或配置�。在高級配置中�����,用戶僅需對每條規則的日志級別、權限組進行配置。權限組要求對訪問相關資源的用戶進行認證�����,結合用戶認證模塊共同發揮作用��。
針對PLC 控制系統網絡特點,二層訪問控制模塊方面僅針對ARP 訪問控制采取ARP 限流策略���,用戶可在高級模式下對ARP 默認閾值進行修改。
②典型入侵防御
根據PLC 控制系統特點����,入侵防御模塊提供針對UDP Flood����、SYN Flood�、ICMP Flood、PORT SCAN等可能影響PLC 控制器的常規攻擊的防御功能��。
快捷配置按照默認參數開啟了入侵防御�,而在高級配置下,用戶可對各攻擊的防護策略的閾值����、記錄日志等參數進行進一步配置����。
③用戶認證
安全模塊以PLC 資源訪問用戶為核心進行訪問監控��,用戶認證系統實現了用戶的認證�����、授權功能����。用戶認證模塊主要由網絡訪問服務器(Network Access Server��,NAS)和認證控制服務器(Authentication Control Server,ACS)兩部分組成�����,認證控制服務器是一個標準的Radius 認證服務器�����,同時具有授權和記賬的功能�。
在PLC 控制系統中�����,用戶認證主要用于對FTP����、TELNET�����、程序下載/上傳�、升級系統固件等PLC 內部資源的訪問權限進行控制����。安全模塊預置FTP、TELNET�、PROGRAM(編程)�、FIRMWARE(固件升級)等權限組��,并對每個權限組預置一個默認賬戶����,用戶可自行修改用戶密碼����。同時�����,用戶還可根據需求添加權限組�,為不同權限組配置不同數量的用戶���,供訪問控制規則引用�,可確保只有經過模塊認證的用戶才能訪問權限組權限范圍內的PLC 資源。
(5)日志記錄
日志記錄子系統提供包過濾日志�、工業協議深度檢測日志�、VPN 日志等日志記錄功能����。工業協議深度日志不僅包含了網絡信息,還包含了工業協議應用層數據信息���,用戶可以通過日志一目了然地查看PLC 控制系統內的具體操作和數據上報,對發現誤操作����、惡意操作�、異常發現和事后審計等都能起到關鍵性作用����。
4.2.3 商用密碼輕量化應用實現
在信息安全型PLC 控制系統中,商用密碼技術主要用于構建控制系統尤其是其核心控制設備自身安全防護能力�。信息安全型PLC 控制系統基于國產商用密碼的輕量化應用主要包括基于商密技術的通信鏈路加密�����、基于商密技術的PLC 控制器用戶認證,主要實現對上位機與PLC 之間通信數據保密性、完整性保護,并對用戶的安全接入和權限進行訪問 控制�����。
(1)基于商密技術的通信鏈路加密
基于商密技術的工控系統通信鏈路加密功能通過商密IPSec VPN 實現���。首先�,PLC 安全模塊內部嵌入硬件商密模塊,實現對SM2、SM3����、SM4 商密算法的加載��。同時,在PLC 安全模塊系統中擴展IPSec 對于商密算法套件的支持�����,采用SM2����、SM3等商密算法實現簽名認證與密鑰協商,采用SM4 算法實現數據加密,最終實現商密IPSec 功能��。以商密IPSec 技術為載體����,通過SM2 商密證書技術和SM2/SM3 算法實現安全通信隧道創建與密鑰協商,最終通過SM4 算法實現上位機與PLC 之間的通信數據加密傳輸,并通過SM3 算法對數據完整性進行保護�����。
安全PLC 基于商密算法的數據加密傳輸服務主要數據流程如圖7 所示���,圖中安全PLC 的CPU 模塊運行Modbus/TCP 服務�,上位機根據控制系統需求向安全PLC 發起Modbus 數據查詢請求或控制指令��。指令經上位機安全網關加密后經安全隧道以密文方式傳輸到安全PLC����。PLC 由安全模塊接收密文數據����,并對密文進行校驗和解密。解密后的Modbus協議數據在安全PLC 內部經安全模塊傳輸至CPU模塊。CPU 模塊將根據實時運行狀態響應上位機的各種請求�����,安全PLC 響應數據的傳輸過程與上位機查詢過程相似��,在PLC 與上位機(安全模塊)之間的傳輸數據將一直處于商密算法的保護之中���。
圖7 基于商密的通信鏈路加密實現原理
(2)基于商密技術的PLC 控制器用戶認證
安全模塊用戶認證���,實質上是對PLC 用戶的接入認證���,以基于商密技術的PLC 控制器接入身份認證技術為基礎����。安全模塊內部的商密模塊實現模塊對商密算法(SM2/SM3/SM4)的支持����,在PLC 安全模塊中內置身份認證網關,同時擴展認證網關對于商密模塊和商密算法的支持��,PLC 安全模塊便具有了商密身份認證功能���。在用戶側�����,CA 證書系統頒發的SM2 證書存放于USBKey 中�,USBKey 支持SM2 和SM3 算法���,算法由USBKey 中的芯片實現�����;谏堂艿挠脩粽J證功能����,主要通過SM3withSM2算法實現PLC 用戶的接入認證�����,保障對控制器服務的可信接入與可信訪問�����。此外,認證服務器在實現上支持USBkey+用戶名的雙因子認證�,可使用戶身份認證更加安全��������;谏堂芩惴ǖ挠脩粽J證流程結構如圖8 所示。其中�����,上位機用戶需要通過USBkey 來進行用戶認證后��,才能訪問PLC 的內部資源,或進行相應的指令控制���,主要流程如下:
圖8 基于商密算法的用戶認證流程結構
①USBKey 接入終端,用戶使用USBKey 管理工具注冊證書����;②上位機用戶瀏覽器打開PLC 用戶認證界面����,輸入用戶名+密碼+PIN 碼的組合進行認證���;③瀏覽器登錄頁面對用戶輸出的PIN 碼進行驗證�,之后調用USBKey 中SM2 證書的簽名算法將用戶輸入的用戶名和密碼簽名;④將簽名后的信息和USBKey 中SM2 公鑰證書(X509 證書)傳遞給一體化安全PLC;⑤安全PLC 接收到SM2 公鑰證書(X509 證書)后���,首先用設備上的CA 來認證該證書,之后使用該證書對信息(用戶名+密碼)進行驗簽,再進行用戶名+密碼的確認����;⑥認證通過的上位機用戶��,才能訪問PLC 內部的各種資源,如通過FTP、TELNET 訪問PLC 資源、對PLC 進行編程或固件升級����、與PLC 進行協議通信等��。
4.3 CPU 模塊適配說明
在安全PLC 及其控制系統中,PLC 安全模塊將作為整個控制器的外部網絡安全接入點。因此��,CPU 模塊無須再對外提供以太網接口���。CPU 模塊適配設計主要是針對硬件接口的安全優化設計��,主要適配設計包括:將原對外提供的以太網RJ45 接口取消;將CPU 模塊以太網接口連接至背板總線連接器,通過背板總線實現與安全模塊網絡的硬件連接�,以保障CPU 模塊業務安全運行����。
5 結語
本文在研究PLC 控制系統結構特征及脆弱性分析的基礎上�����,結合控制系統實際安全需求����,將商用密碼、訪問控制、典型入侵防御等安全防護技術與PLC 控制器深度融合,設計了基于國產商用密碼的信息安全型PLC 控制系統,重點闡述了基于商密的自主可控一體化安全PLC 軟硬件方案及其中的商用密碼應用技術實現。通過將商用密碼等安全防護技術融合到PLC 控制器及控制系統中�����,構建了PLC控制系統自身安全防護能力��,為保障工業控制系統安全運行���,防范工控網絡安全風險�����,提供了一種有效的解決方案。
