CN113219895A - 一种使能边缘控制器安全可信的装置和方法 - Google Patents

Abstract

本发明公开了一种使能边缘控制器安全可信的装置，涉及工业控制系统技术领域，该发明包括外部接口模块、用户配置模块、虚拟控制器、可信度量模块和报警模块；本发明还公开了一种使能边缘控制器安全可信的方法，包括：S100、连接边缘控制器；S200、录入所述虚拟控制器；S300、组态度量；S400、期望度量；S500、行为度量；S600、计算综合信任值；S700、激活报警模块。本发明能够通过外接安全装置建立防御机制，在不改变已使用的边缘设备及装置的基础上，提高了现有边缘设备安全防护能力。

Description

一种使能边缘控制器安全可信的装置和方法

技术领域

本发明涉及工业控制系统技术领域，尤其涉及一种使能边缘控制器安全可信的装置和方法。

背景技术

工业控制系统(Industrial Control System，ICS)是国家关键基础设施的核心，也是关乎国计民生的咽喉所在。工控系统应用极为广泛，小到交通信号灯的控制、交通工具的运作等便民生活的行业，大到水电力、能源、石油化工、航空航天等国家重大基础设施，都离不开工控系统。

起初，ICS作为一个独立封闭的系统，使用专有的硬件设备和操作软件，具有专属的现场通信协议，在物理上和逻辑上与企业管理系统隔离。但是随着信息技术与互联网水平的提高，大量流程工业、制造业企业都使用了ERP(Enterprise Resource Planning)、MES(Manufacturing Execution System)、CRM(Customer Relationship Management)等系统，使得这些企业都直接或间接地与外部互联网连接，在提高了工控系统的智能化和信息化程度的同时，也大大增加了工控系统的脆弱性。自2010年“震网”病毒以来，世界各国发生的被攻击事件也越来越多，可见工业控制系统已经成为了攻击者的重点攻击目标之一。而边缘控制器远离主机，常处于物理暴露的环境中，且自身安全防护能力不足，成为了攻击者的重点攻击对象。

以工控领域中应用最广的边缘控制器PLC(可编程控制器)为例，不同厂商生产的PLC设备往往采用不同的软硬件和通讯协议，其安全防护手段只能由生产厂商去实施，无法积聚信息安全领域的专家知识。另外，PLC等工控设备存储资源与运算资源受限，强加密技术并不可行。因此即使是这些国际知名厂商生产的PLC设备，依旧存在较大的安全隐患。根据《中国工业互联网安全态势报告(2019)》，2019年间Siemens工控设备新增漏洞129个，Schneider工控设备新增漏洞55个。

通过PLC可以了解当前边缘控制器的薄弱性。PLC采用循环扫描的工作方式，PLC对现场进行控制的步骤为：输入刷新——运行用户程序——输出刷新——再输入刷新——再运行用户程序——再输出刷新……如此循环运行。输入刷新通过输入电路监控现场控制信息(如开关变量)，并将控制信息存入PLC的输入映射区；根据输入映射区的数据运行用户程序，并将结果送入PLC输出映射区；输出刷新通过输出电路将程序运行结果输出。PLC自身计算资源和存储资源受限，而这种“指令——执行”的程序运行规则又缺乏有效的反馈机制，存在极大的安全隐患。例如2010年的Stuxnet攻击，病毒利用Siemens的软件漏洞篡改了指令并破坏了保护离心机的Safe系统，使得PLC异常运行(“指令——被篡改的指令——执行”)，而上位机却一切显示正常。

目前针对PLC的攻击方式多样，有干扰性攻击、组态攻击和固件攻击。干扰性攻击通过占用PLC的资源影响其正常工作，例如DDoS攻击，这种攻击方式难度和危害性都比较低，使得PLC控制指令出现短时异常。组态攻击对PLC上位机进行入侵，篡改PLC的组态控制逻辑，从而对控制系统实施精准攻击，这种攻击方式需要对控制组态进行深入分析，难度更高但是具有很高的危害性，例如Stuxnet病毒。固件攻击不同于上述两种攻击方式，这种方式直接修改PLC底层的现场设备代码，具有极高的隐蔽性，很难被发现，危害极大，难度也最高。

大量的历史遗留设备使得目前大多数工控系统的防御手段依旧停留在入侵检测、防火墙和杀毒软件“老三样”之上。这种防护措施可以有效应对干扰性攻击，但是并不能阻拦组态攻击和固件攻击。

针边缘设备防御薄弱的问题，业界也有了一定的研究。例如，和利时企业基于TPM芯片和可信计算技术，研制了可信PLC控制器。该安全可信PLC基于可信计算3.0架构，在PLC内部建立可信子系统，实现了系统由内向外的主动防御。可信计算是一种主动防御技术。其核心思想，就是构造“信任链”和对“信任链”上的转换节点进行“信任度量”。如图2所示，它利用硬件属性作为信任根，系统启动时逐层度量，建立一种隔离执行的运行环境，保障计算平台敏感操作的安全性，从而实现对可信代码的保护。可信计算可以实现对于攻击的主动免疫，基于芯片中的硬件安全机制，可以主动检测和抵御可能的攻击。可信计算虽然可以为终端设备构建一道安全保障，但是在具体的实现上需要投入大量的研发成本。而且，这些终端控制设备的安全只能由设备厂商实施，无法积聚信息安全领域的专家。目前工控场景中遗留大量普通PLC设备，构建安全可信工控系统需将这些普通PLC设备更换为可信PLC，也需要耗费极大的资金。

专利CN110941236A提出了一种PLC安全监测和动态度量方法与系统。该发明技术方案在PLC正常运行的状态下，选择关键节点并在运行时对节点各项输入、输出、以及PLC内部各个软元件状态的值进行记录和编码，形成标准码表库；在PLC动态运行阶段，采集这些关键节点的状态数据并编码，得到相应的状态码字，与标准码表库进行对照。如果找不到则启动PLC应急响应机制，保护系统安全。该专利的技术方案通过对关键点的状态编码判断PLC的运行状态。PLC的输入、输出有数字量和模拟量，而模拟量的数值在每一次运行时都存在偏差，此时编码存在较大问题。该专利是从PLC的内部硬件上着手，需要重构PLC系统，增加CPU运算能力，扩大了成本。

因此，本领域的技术人员致力于开发一种使能边缘控制器安全可信的装置和方法。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是在不改变已使用的边缘设备及装置的基础上，提高现有边缘设备安全防护能力。

发明人在不改变已使用的边缘设备及装置的基础上，通过外接基于虚拟控制器的安全装置，在控制器的动态运行中从组态、行为和期望三方面进行可信度量，建立边缘设备的防护机制，使不可信的控制器变得安全可信。本发明的一个实施例中，提供了一种使能边缘控制器安全可信的装置，包括：

外部接口模块：连接边缘控制器，包含时钟信号子模块与I/O接口，时钟信号子模块与边缘控制器的时钟信号模块直接连接，保持与边缘控制器的时钟同步，I/O接口与边缘控制器的I/O接口相连接，获取边缘控制器的反馈信息和控制结果；

数据处理模块：包括AD转换器和周期同步子模块，AD转换器将现场输入和实际控制输出的模拟信号转换为数字信号，周期同步子模块与边缘控制器的工作周期同步；

虚拟控制器：虚拟控制器是边缘控制器的软件实现，响应于外部接口模块中I/O接口读入的边缘控制器的输入，执行用户程序，得到期望的控制结果；

用户配置模块：配置相关参数信息；

可信度量模块：对所述边缘控制器进行动态信任度量；

报警模块：连接操作员站PC机，当检测到边缘控制器运行异常时，报警模块启动，发送报警信息；

外部接口模块与边缘控制器连接，在用户配置模块设置相关参数信息，并在虚拟控制器中输入用户程序；边缘控制器开始运行后，现场数据通过I/O接口送入数据处理模块，经AD转换器转换后送入虚拟控制器，经虚拟控制器执行后将期望输出送至可信度量模块，综合多方面数据进行决策。

可选地，在上述实施例中的使能边缘控制器安全可信的装置中，虚拟控制器中可以集成已有的软件，也可以基于仿真软件进行扩展，或是使用FPGA进行边缘控制器的软件重构。

可选地，在上述实施例中的使能边缘控制器安全可信的装置中，相关参数信息包括边缘控制器的硬件信息、软件信息和I/O接口接线情况。

进一步地，在上述实施例中的使能边缘控制器安全可信的装置中，硬件信息包括品牌和型号，软件信息包括通信协议。

可选地，在上述任一实施例中的使能边缘控制器安全可信的装置中，可信度量模块包含组态度量子模块、行为度量子模块和期望度量子模块，分别从逻辑组态、行为信息和实际控制结果三个角度判别边缘控制器动态运行时的可信度；

可选地，在上述任一实施例中的使能边缘控制器安全可信的装置中，动态信任度量包括组态度量、行为度量和期望度量，其中组态度量对用户程序、逻辑组态进行信任分析，规避恶意指令；行为度量对边缘控制器的行为建模，根据实际执行状态计算行为信任度；期望度量通过分析边缘控制器输出的关键控制节点的输出情况和对应虚拟控制器的期望输出结果计算期望信任度。

可选地，在上述任一实施例中的使能边缘控制器安全可信的装置中，虚拟控制器的运行速度比边缘控制器的速度快，不影响边缘控制器工作状态的情况。

可选地，在上述任一实施例中的使能边缘控制器安全可信的装置中，虚拟控制器通过I/O接口连接一台或多台不同厂家的边缘控制器进行监控。

可选地，在上述任一实施例中的使能边缘控制器安全可信的装置中，边缘控制器为PLC。

进一步地，在上述实施例中的使能边缘控制器安全可信的装置中，虚拟控制器模块内部具有多个运行区，在逻辑上隔离，可与多台不同厂家、型号的边缘控制器设备连接。

进一步地，在上述实施例中的使能边缘控制器安全可信的装置中，虚拟控制器为vPLC(virtual PLC)。

可选地，在上述任一实施例中的使能边缘控制器安全可信的装置，可以部署在云服务器中，也可以部署在边缘网关中。

发明人分析了一般边缘控制器的工作流程，一般边缘控制器采用循环扫描的工作方式，依次经过“上电初始化——系统自检——与编程器通信——输入采样——执行用户程序——输出控制信息”的步骤，其中“执行用户程序”缺乏有效的反馈机制。为了保障边缘控制器的可信执行，发明人设计了使能边缘控制器安全可信的装置的工作流程，工作前通过外部接口模块与边缘控制器正确连线，并在用户配置模块中配置相关参数，完成配置；工作时虚拟控制器与边缘控制器同扫描周期执行用户程序，具体地，在输入采样后，现场反馈数据送至数据处理模块，转换为数字信号后在虚拟控制器中运行得到期望控制结果；可信度量模块对逻辑组态、期望控制结果和设备行为综合度量后，进行安全决策；如果边缘控制器工作正常，则返回数据处理模块，若工作异常，则启动报警模块。

发明人设计了使能边缘控制器安全可信的装置的部署，边缘控制器工作时通过I/O接口获取工业现场的输入反馈信号，运行用户程序后得到对应的输出控制信号，并通过I/O接口送至工业现场设备。通过外部接口模块与多厂家的边缘控制器连接，外部接口模块中的I/O接口与边缘控制器的输入输出口直接连接，获取工业现场的输入反馈信号和边缘控制器的输出控制信号；在用户配置模块中设置相关参数信息，并在虚拟控制器的运行区中选择对应的边缘控制器型号，输入用户程序；边缘控制器开始运行后，现场数据通过I/O接口送入数据处理模块，经AD转换器转换后送入虚拟控制器对应的运行区，经虚拟控制器执行后将期望输出送至可信度量模块中的期望度量子模块，结合组态度量子模块和行为度量子模块的度量数据得到综合信任度，若不符合安全要求，启动报警模块并发送报警信息至操作员站。

基于上述实施例中的使能边缘控制器安全可信的装置，本发明的另一个实施例中，提供了一种使能边缘控制器安全可信的方法，包括如下步骤：

S100、连接边缘控制器，更新用户配置模块，根据边缘控制器的信息和I/O接口接线图，选择对应的虚拟控制器；

S200、录入虚拟控制器，把不同边缘控制器的用户程序录入虚拟控制器对应的逻辑上隔离的运行区；

S300、组态度量，可信度量模块中的组态度量子模块对用户程序进行组态度量，得到组态信任值；

S400、期望度量，当组态信任值满足安全阈值时，边缘控制器开始运行，同时虚拟控制器同步运行，监督边缘控制器的输出结果，期望度量子模块对虚拟控制器和边缘控制器的运行结果进行期望度量，得到期望信任值；

S500、行为度量，可信度量模块中的行为度量子模块根据边缘控制器运行状态和历史行为信息，计算得到行为信任值；

S600、计算综合信任值，当综合信任值满足安全要求时，执行S400；若不满足，执行S700；

S700、激活报警模块，报告边缘控制器状态异常。

可选地，在上述任一实施例中的使能边缘控制器安全可信的方法中，步骤S300中组态度量还包括代码审计。

可选地，在上述任一实施例中的使能边缘控制器安全可信的方法中，步骤S400中期望度量还包括相似度分析。

可选地，在上述任一实施例中的使能边缘控制器安全可信的方法中，步骤S500中运行状态包括内存行为、发包时间、CPU占用率、通信速率、发包率以及执行动作等信息。

可选地，在上述任一实施例中的使能边缘控制器安全可信的方法中，步骤S600具体包括：

S610、可信度量模块聚合组态度量值、行为度量值和期望度量值；

S620、通过信任聚合方法计算得到综合信任值。

本发明基于现有的边缘控制器，通过外接安全装置建立安全可信机制，从行为度量、期望度量和组态度量三个维度计算其综合信任度，能够有效保护代码的完整性进而保护系统安全。基于虚拟控制器的安全装置具有可行性，研发难度又相对较低，更为重要的是，工业企业无需更换已经投入使用的边缘控制器设备，在不改变已使用的边缘设备及装置的基础上，提高了现有边缘设备安全防护能力。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

附图说明

图1是图示根据示例性实施例的使能边缘控制器安全可信的装置结构图；

图2是图示根据示例性实施例的使能边缘控制器安全可信的方法流程图；

图3是图示根据示例性实施例的使能边缘控制器安全可信的装置的工作模式；

图4是图示根据示例性实施例的使能边缘控制器安全可信的装置部署图。

具体实施方式

以下参考说明书附图介绍本发明的多个优选实施例，使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现，本发明的保护范围并非仅限于文中提到的实施例。

在附图中，结构相同的部件以相同数字标号表示，各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的，本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰，附图中有些地方示意性地适当夸大了部件的厚度。

发明人设计了一种使能边缘控制器安全可信的装置，边缘控制器以PLC为例，如图1所示，包括：

外部接口模块：连接PLC，包含时钟信号子模块与I/O接口，时钟信号子模块与PLC的时钟信号模块直接连接，保持与PLC的时钟同步，I/O接口与PLC的I/O接口相连接，获取PLC的反馈信息和控制结果；

数据处理模块：包括AD转换器和周期同步子模块，AD转换器将现场输入和实际控制输出的模拟信号转换为数字信号，周期同步子模块与PLC的工作周期同步；

虚拟控制器：PLC作为边缘控制器，虚拟控制器即vPLC(虚拟PLC)，是PLC的软件实现，响应于外部接口模块中I/O接口读入的PLC的输入，执行用户程序，得到期望的控制结果；在本实施例中，vPLC集成了已有的SIMATIC S7-PLCSIM和WinMOD工业虚拟调试软件，可仿真西门子、施耐德、三菱等多个厂商的PLC产品；vPLC的运行速度比PLC的速度快，不影响PLC工作状态的情况；发明人对于vPLC进行设计，vPLC内部具有多个运行区，在逻辑上隔离，通过I/O接口与多台不同厂家、型号的PLC连接；

用户配置模块：配置相关参数信息，包括PLC的硬件信息、软件信息和I/O接口接线情况，其中硬件信息包括品牌和型号，软件信息包括通信协议；

可信度量模块：判别PLC动态运行的可信度，即动态信任度量，包括组态度量、行为度量和期望度量，其中组态度量对用户程序、逻辑组态进行信任分析，规避恶意指令；行为度量对PLC的行为建模，根据实际执行状态计算行为信任度；期望度量通过分析PLC输出的关键控制节点的输出情况和对应vPLC的期望输出结果计算期望信任度；

报警模块：连接操作员站PC机，当PLC运行异常时，报警模块启动，发送报警信息。

发明人分析了PLC的工作流程，PLC采用循环扫描的工作方式，PLC启动时依次经过“上电初始化——系统自检——与编程器通信——输入采样——执行用户程序——输出控制信息”的步骤，PLC“执行用户程序”缺乏有效的反馈机制。为了保障PLC的可信执行，发明人设计了使能PLC安全可信的装置的工作流程，如图3所示，使能PLC安全可信的装置工作前通过外部接口模块与PLC设备正确连线，并在用户配置模块中配置相关参数；工作时vPLC与PLC同扫描周期执行用户程序，具体地，在输入采样后，现场反馈数据送至数据处理模块，转换为数字信号后在vPLC中运行得到期望控制结果；可信度量模块综合度量后，进行安全决策，如果PLC工作正常，则返回数据处理模块，若发现PLC工作异常，则启动报警模块。

本发明装置的部署如图4所示。PLC工作时通过I/O接口获取工业现场的输入反馈信号，运行用户程序后得到对应的输出控制信号，并通过I/O接口送至工业现场设备。本实施例通过外部接口模块与A厂家、B厂家和C厂家的PLC设备连接，外部接口模块中的I/O接口与PLC的输入输出口直接连接，获取工业现场的输入反馈信号和PLC的输出控制信号；在用户配置模块中设置相关参数信息，并在vPLC的运行区中选择对应的PLC型号，输入用户程序；PLC开始运行后，现场数据通过I/O接口送入数据处理模块，经AD转换器转换后送入vPLC对应的运行区，经vPLC执行后将期望输出送至可信度量模块中的期望度量子模块，结合组态度量子模块和行为度量子模块的度量数据得到综合信任度，若不符合安全要求，启动报警模块并发送报警信息至操作员站。为了降低数据的传输时延，本实施例部署在距离PLC更近的边缘网关中。

基于上述实施例，发明人提供了一种使能边缘控制器PLC安全可信的方法，如图2所示，包括如下步骤：

S100、连接PLC，根据I/O接口及PLC相关参数信息更新用户配置模块，选择对应的vPLC；

S200、录入用户程序，把不同PLC的用户程序录入vPLC对应的逻辑上隔离的运行区；

S300、组态度量，可信度量模块中的组态度量子模块对用户程序进行组态度量，包括代码审计，得到组态信任值；

S400、期望度量，当组态信任值满足安全阈值时，PLC开始运行，同时vPLC同步运行，监督PLC的输出结果，期望度量子模块对vPLC和PLC的运行结果进行可信度量，包括相似度分析，得到期望信任值；

S500、行为度量，可信度量模块中的行为度量子模块根据当前PLC运行状态和历史行为，计算得到行为信任值，其中运行状态包括内存行为、发包时间、CPU占用率、通信速率、发包率以及执行动作等信息。

S600、计算综合信任值，当综合信任值满足安全要求时，执行S400；若不满足，执行S700，具体包括：

S610、可信度量模块聚合组态度量值、行为度量值和期望度量值；

S620、通过信任聚合方法计算得到综合信任值；

S700、激活报警模块，报告PLC状态异常。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种使能边缘控制器安全可信的装置，其特征在于，包括：

外部接口模块：包含时钟信号子模块与I/O接口，所述时钟信号子模块与边缘控制器的时钟信号模块直接连接，保持与所述边缘控制器的时钟同步，所述I/O接口与所述边缘控制器的I/O接口相连接，获取所述边缘控制器的反馈信息和控制结果；

数据处理模块：包括AD转换器和周期同步子模块，所述AD转换器将现场输入和实际控制输出的模拟信号转换为数字信号，所述周期同步子模块与所述边缘控制器的工作周期同步；

虚拟控制器：虚拟控制器是所述边缘控制器的软件实现，响应于所述外部接口模块中所述I/O接口读入的所述边缘控制器的输入，执行用户程序，得到期望的控制结果；

用户配置模块：配置相关参数信息；

可信度量模块：对所述边缘控制器进行动态信任度量；

报警模块：连接操作员站PC机，当检测到所述边缘控制器运行异常时，所述报警模块启动，发送报警信息；

所述外部接口模块与所述边缘控制器连接，在所述用户配置模块设置相关参数信息，并在所述虚拟控制器中输入所述用户程序；所述边缘控制器开始运行后，现场数据通过所述I/O接口送入所述数据处理模块，经所述AD转换器转换后送入所述虚拟控制器，经所述虚拟控制器执行后将期望输出送至所述可信度量模块，综合多方面数据进行决策。

2.如权利要求1所述的使能边缘控制器安全可信的装置，其特征在于，所述虚拟控制器中可以集成已有的软件，也可以基于仿真软件进行扩展，或是使用FPGA进行所述边缘控制器的软件重构。

3.如权利要求1所述的使能边缘控制器安全可信的装置，其特征在于，所述可信度量模块包括组态度量子模块、行为度量子模块和期望度量子模块，分别从逻辑组态、行为信息和实际控制结果三个角度判别所述边缘控制器动态运行时的可信度。

4.如权利要求1或3所述的使能边缘控制器安全可信的装置，其特征在于，所述动态信任度量包括组态度量、行为度量和期望度量，所述组态度量对用户程序、逻辑组态进行信任分析，规避恶意指令；所述度量对边缘控制器的行为建模，根据实际执行状态计算行为信任度；所述期望度量通过所述分析边缘控制器输出的关键控制节点的输出情况和所述虚拟控制器的期望输出结果计算期望信任度。

5.如权利要求1所述的使能边缘控制器安全可信的装置，其特征在于，所述虚拟控制器的运行速度比所述边缘控制器的速度快。

6.如权利要求1所述的使能边缘控制器安全可信的装置，其特征在于，所述虚拟控制器模块内部具有多个运行区，在逻辑上隔离，可与多台不同厂家、型号的边缘控制器设备连接。

7.如权利要求1所述的使能边缘控制器安全可信的装置，其特征在于，所述装置可以部署在云服务器中，也可以部署在边缘网关中。

8.一种使用如权利要求1-7任一所述装置进行的使能边缘控制器安全可信的方法，其特征在于，包括如下步骤：

S100、连接边缘控制器，更新所述用户配置模块，根据边缘控制器的信息和所述I/O接口接线图，选择对应的虚拟控制器；

S200、录入所述虚拟控制器，把不同边缘控制器的用户程序录入所述虚拟控制器对应的逻辑上隔离的运行区；

S300、组态度量，所述可信度量模块中的所述组态度量子模块对所述用户程序进行组态度量，得到组态信任值；

S400、期望度量，当所述组态信任值满足安全阈值时，所述边缘控制器开始运行，同时所述虚拟控制器同步运行，监督所述边缘控制器的输出结果，所述期望度量子模块对所述虚拟控制器和所述边缘控制器的运行结果进行期望度量，得到期望信任值；

S500、行为度量，所述可信度量模块中的所述行为度量子模块根据所述边缘控制器运行状态和历史行为信息，计算得到行为信任值；

S600、计算综合信任值，当综合信任值满足安全要求时，执行S400；若不满足，执行S700；

S700、激活报警模块，报告所述边缘控制器状态异常。

9.如权利要求8所述的使能边缘控制器安全可信的方法，其特征在于，所述步骤S300中所述组态度量还包括代码审计。

10.如权利要求8所述的使能边缘控制器安全可信的方法，其特征在于，所述步骤S600还包括：

S610、所述可信度量模块聚合所述组态度量值、所述行为度量值和所述期望度量值；

S620、通过信任聚合方法计算得到所述综合信任值。

Images