CN115189957B - 一种工业控制系统主动可加载的访问控制引擎 - Google Patents

一种工业控制系统主动可加载的访问控制引擎 Download PDF

Info

Publication number
CN115189957B
CN115189957B CN202210842344.1A CN202210842344A CN115189957B CN 115189957 B CN115189957 B CN 115189957B CN 202210842344 A CN202210842344 A CN 202210842344A CN 115189957 B CN115189957 B CN 115189957B
Authority
CN
China
Prior art keywords
access control
node
access
module
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210842344.1A
Other languages
English (en)
Other versions
CN115189957A (zh
Inventor
汪京培
段斌斌
白少杰
江钰杰
程鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202210842344.1A priority Critical patent/CN115189957B/zh
Publication of CN115189957A publication Critical patent/CN115189957A/zh
Application granted granted Critical
Publication of CN115189957B publication Critical patent/CN115189957B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种工业控制系统主动可加载的访问控制引擎,包括TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。访问控制引擎以嵌入式方式部署在工控系统各节点,对节点内和流经节点的控制数据实施访问控制,主动监测异常行为,有效识别控制数据的非授权访问、不合规访问、数据篡改/阻断等行为。同时,访问控制引擎与访问控制服务器联动,在节点资源或业务时延或业务连通性不满足工控系统可用性要求时,动态调整访问控制策略,实现可用性约束下的轻量化的防护效果。本发明解决了现有工控系统访问控制策略未考虑工控系统可用性优先的功能特征和异构数据的结构特征、缺乏动态调整机制等问题。

Description

一种工业控制系统主动可加载的访问控制引擎
技术领域
本发明属于工业控制系统领域,具体是涉及一种工业控制系统主动可加载的访问控制引擎。
背景技术
工业控制系统广泛应用于电力、石化、水处理、天然气等关键工业场景中,扮演中枢神经作用。由于工控系统开放互联以及通用智能化构件广泛应用的趋势,病毒、木马等威胁正在向工业网络扩散,工业控制系统防护已成为当前关注热点。工业控制系统可用性要求高、业务连续性强、专用协议和嵌入式系统运行等,使得当前防御方法捉襟见肘。工控系统主动防御技术逐渐成为新的研究方向,典型工作包括张镇勇等人提出的移动目标防御方法等,邬江兴提出的基于拟态计算的防御方法,沈昌祥提出的基于可信计算的主动免疫方法。其中主动免疫方法主要在计算环境、区域边界、通信网络上部署可信计算芯片,在安全管理平台支持下,采用完整性度量方法,主动监控主客体运行状态,异常行为无法执行且被检测报警。访问控制策略是实现主动免疫的基本方法之一。
当前针对普通信息系统,国内外已提出一系列访问控制方法,典型的包括基于身份的访问控制、基于角色的访问控制、基于属性的访问控制等。当前的访问控制方法用于工业控制系统时会存在两个问题:1)工控系统可用性优先的功能特征和异构网络和数据的结构特征使得当前广泛用于普通信息系统中的访问控制方法不适用;2)当前基于可信计算的访问控制主要关注静态环境的防护,缺乏动态度量机制,工控系统存在由于可用性优先而调整安全策略的情况。
发明内容
本发明的目的在于针对现有技术的不足,提出一种工业控制系统主动可加载的访问控制引擎。访问控制引擎嵌入到设备节点中,加载适配的访问控制策略,实施异常行为监测。并与访问控制服务器联动,根据业务实时性需求,动态调整访问控制策略,实现轻量化防护效果。
本发明的目的是通过以下技术方案实现的:一种工业控制系统主动可加载的访问控制引擎,包括如下模块:TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块;
TPM可信环境度量模块用于动态验证驻留节点的环境可信性,防止内部操作者对操作系统和应用软件的不合规操作,以及外部恶意代码对驻留节点操作系统的非授权控制;
细粒度访问控制功能模块实现驻留节点的基于属性的访问控制功能,包括基于属性的访问控制功能实现、访问控制策略制定、访问控制标识和索引添加,对访问请求数据提取属性,进行属性匹配和策略查询,对异常行为动态阻断;
异常分析与追溯模块用于识别TPM可信环境度量模块、细粒度访问控制功能模块和访问控制策略动态调整与接口模块发现的违背访问控制策略的异常行为,分析异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点,形成异常信息条目,协助访问控制策略动态调整与接口模块追溯上下文异常节点;
访问控制策略动态调整与接口模块功能包括与部署在监控网总线上的访问控制服务器交互,实现访问控制策略的定期备份上传,接受来自访问控制服务器更新的访问控制策略的下载;还包括控制业务可用性约束下的访问控制策略动态调整、与邻居节点协同工作。
进一步地,该引擎以嵌入式方式,部署在工业控制系统的各节点的冗余空间中,这些节点包括工作站、应用服务器、数据服务器、历史服务器、OPC服务器、HMI、控制服务器、PLC、RTU、传感器;在资源冗余节点,启动引擎的全部功能模块,TPM可信环境度量模块以部署TPM芯片实现,无法部署硬件时,以软件代码模块实现;细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块以软件代码模块实现;在资源有限节点,不部署TPM可信环境度量模块。
进一步地,所述TPM可信环境度量模块将操作系统关键信息和应用软件关键信息保存在不可更改的内存中;按照一定频率,主动验证运行中的操作系统和应用软件的关键信息的完整性,验证方法采用Hash值比对;TPM可信环境度量模块设置验证频率和启停标识位,用于后续访问控制策略调整;驻留节点通过环境可信验证后,TPM可信环境度量模块反馈结果到细粒度访问控制功能模块,验证不通过时,反馈到异常分析与追溯模块。
进一步地,所述细粒度访问控制功能模块,对驻留节点的控制程序实施访问控制;由控制程序驻留节点的访问控制引擎制定控制程序的访问控制策略,采用基于属性的访问控制方法,策略字段组成结构是{启停标识位,访问者身份,被访问者身份,操作,功能属性,功能约束};访问控制引擎收到对控制程序的访问请求,执行制定的访问控制策略,如果策略字段的每个属性项都符合访问控制策略,则允许访问,否则阻断访问并预警;对于控制服务器和控制器中的控制程序,与现场业务密切相关,访问控制策略字段中的功能属性和功能约束应重点描述对控制程序的非授权操作和不合规操作;对于工作站中的控制程序,其功能属性和功能约束主要描述对控制程序的非授权操作和阻断。
进一步地,所述细粒度访问控制功能模块,对传输的关键指令实施访问控制;指令传输节点的访问控制引擎制定传输关键指令的访问控制策略,采用基于属性的访问控制方法,策略字段组成结构是{启停标识位,访问者身份,被访问者身份,操作,功能属性,功能约束};关键指令的访问控制有两种模式:一种是在发出端执行访问控制,对于控制器发送指令到执行器,控制器的访问控制引擎检查待发出指令的启停标识位、身份属性、操作、功能属性、功能约束,所有属性项都符合访问控制策略才允许指令发出,其中功能属性和功能约束规定了指令操作的合规性,根据执行器的功能属性可确定执行过程中的任务逻辑,在功能约束中加入不合规的操作条款;另外一种是在接收端执行访问控制,接收端的访问控制引擎检查收到指令的启停标识位、身份属性、操作、功能属性、功能约束,所有属性项都符合访问控制策略才接收并处理指令,根据接收节点的功能属性能够确定发送来的指令的不合规的情形,并加入到功能约束中。
进一步地,所述细粒度访问控制功能模块,支持控制程序和传输指令的完整性校验;静态控制程序由TPM可信环境度量模块保证其完整性,通过Hash校验实现;在控制程序的执行与传输指令的交互过程中,动态创建虚拟隔离环境,将参与执行和交互的控制程序、传输指令、传输指令的哈希值存入虚拟隔离环境,避免非授权访问;指令接收者或指令传输的中间节点能够验证指令数据是否被篡改;所述细粒度访问控制功能模块定期通过访问控制策略动态调整与接口模块上传驻留节点的访问控制策略到访问控制服务器备份,发现异常时,将异常提交到异常分析与追溯模块。
进一步地,所述异常分析与追溯模块,确认收到的违背访问控制策略的异常行为,重点归类分析未授权访问、不合规访问、阻断篡改这三类异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点,形成异常信息条目,并与存储的异常数据库核对,将分析结果上报到访问控制策略动态调整与接口模块;协助访问控制策略动态调整与接口模块追溯上下文异常节点、定位故障;接收来自访问控制服务器推送的异常数据库,及时更新异常数据库。
进一步地,所述访问控制策略动态调整与接口模块与访问控制服务器交互,定期上传访问控制引擎制定的访问控制策略,并接受访问控制服务器对驻留节点的访问控制策略的加载;交互过程采用主流工业协议,策略数据加密传输。
进一步地,所述访问控制策略动态调整与接口模块根据工控业务可用性约束动态调整驻留节点的访问控制策略,可用性约束包括三个方面:节点资源限制、业务时延要求、业务连通性要求;
节点资源限制:访问控制引擎实时计算当前节点执行访问控制策略时的计算和空间资源损耗,当资源损耗超过节点剩余资源一定比例时,降低或关闭TPM可信环境度量模块监测频率,减少访问控制策略数量,避免节点崩溃;
业务时延要求:访问控制引擎实时计算驻留节点执行访问控制策略时的时延增加情况;当时延不满足业务处理时延要求时,驻留节点简化访问控制策略,简化的方法是将非邻居访问者以及与当前业务不相关的访问目标、操作、功能属性的对应字段的启停标识位设置为停止,检索时跳过;访问控制服务器分析业务流经的节点集合,定位影响时延的若干节点;将时延超过设定阈值的节点任务分配到具有冗余资源的邻居节点,从而加快处理时间;处理现场大量实时业务数据时,通知业务流经节点只查验身份和进行简单属性校验;
业务连通性要求:访问控制引擎发现业务连通异常时,修改访问控制策略,如果是时延不满足要求造成的不连通,则按照业务时延要求简化访问控制策略;如果是非冗余关键节点不符合访问控制策略被阻断或被恶意攻击导致消息阻断,临时调整当前节点对关键指令的访问权限,赋予关键指令正常流转的最低访问权限,确保关键指令流通,然后对异常节点做如下处理:若存在备用节点,对比备用节点访问权限,如果备用节点能够正常传输数据,则切换到备用节点,且切换时延尽可能小;即刻上报异常,通知访问控制服务器启动预警机制,在线或离线进一步检测异常行为;对于非冗余关键节点被恶意攻击导致消息阻断的情况,在临时调整访问权限后,还需要将写操作涉及的关键指令加壳或转换成不可操作,阻止附带攻击信息的传播。
进一步地,所述访问控制策略动态调整与接口模块根据异常分析与追溯模块的异常行为分析结果,对不合规和未授权操作行为通知相关节点补充访问控制策略的功能约束,对阻断篡改行为通知相关节点加固安全措施;定期与域内其他节点的访问控制引擎交换访问控制策略;访问控制服务器分析跨节点业务数据流在各节点访问要求,调整节点访问控制策略,实现协同工作;访问控制服务器在薄弱节点的上下游资源充足节点加载充分的细粒度访问控制,及时阻断风险,或选择资源充足的邻居节点从发出端实施对薄弱节点的访问控制,不满足薄弱节点的访问控制策略的指令不允许发出。
本发明的有益效果在于:
1.设计访问控制引擎,是基于可信计算的主动免疫方案的访问控制技术的具体实现。
2.有效防止非授权节点访问工业控制系统的设备、网络、数据。通过TPM确保系统资源的环境可信性。针对工控系统关键指令、控制程序这两类异构数据,部署细粒度的访问控制策略,防止非授权访问和不合规访问;
3.访问控制引擎与访问控制服务器联动,根据业务实时性需求,动态调整访问控制策略,使得动态加载的访问控制策略满足节点的资源限制、业务时延要求、业务连通性要求等可用性约束,更具有实用性。
附图说明
图1为本发明具体实施例中一种工业控制系统主动可加载的访问控制引擎的架构图;
图2为本发明具体实施例的一种工业控制系统主动可加载的访问控制引擎的部署示意图。
具体实施方式
下面结合附图和具体实施例对本发明进一步说明。
本发明实施例提供一种工业控制系统主动可加载的访问控制引擎,如图1所示,包括如下模块:TPM(Trusted Platform Module)可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。
TPM可信环境度量模块用于动态验证驻留节点的环境可信性,防止内部操作者对操作系统和应用软件的不合规操作,以及外部恶意代码对驻留节点操作系统的非授权控制;由于TPM的寄存器PCR安全性高,可用于暂存访问控制关键信息,如控制指令的哈希值。
细粒度访问控制功能模块实现驻留节点的基于属性的访问控制功能,包括基于属性的访问控制功能实现、根据关键指令和控制程序这两类异构数据访问控制需求设计匹配的访问控制策略、访问控制标识和索引添加,对访问请求数据提取属性,进行属性匹配和策略查询,对异常行为动态阻断。
异常分析与追溯模块用于识别TPM可信环境度量模块、细粒度访问控制功能模块和访问控制策略动态调整与接口模块发现的违背访问控制策略的异常行为,分析异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点,形成异常信息条目,协助访问控制策略动态调整与接口模块追溯上下文异常节点。
访问控制策略动态调整与接口模块功能包括与部署在监控网总线上的访问控制服务器交互,实现访问控制策略的定期备份上传,接受来自访问控制服务器更新的访问控制策略的下载;还包括控制业务可用性约束下的访问控制策略动态调整、与邻居节点协同工作。
本发明实施例访问控制引擎的部署示意图如图2所示。访问控制引擎以嵌入式方式部署在工业控制系统的各个节点的冗余空间中,这些节点包括企业网的工作站和应用服务器,监控网的数据服务器、历史服务器、OPC服务器、HMI、控制服务器,现场网的控制器(PLC、RTU)、传感器。访问控制服务器部署在监控网总线上,与监控网和企业网中每个节点的访问控制引擎相连,实现访问控制策略定期收集、更新和加载以及调整。各个访问控制引擎也能够相互通信。传感器的访问控制引擎需要通过PLC、RTU才能与访问控制服务器相连。
在资源冗余节点,启动引擎的全部功能模块,TPM可信环境度量模块以部署TPM芯片实现,无法部署硬件时,以软件代码模块实现;细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块以软件代码模块实现;在资源有限节点,如部分传感器,不部署TPM可信环境度量模块。
在一个实施例中,所述TPM可信环境度量模块将操作系统关键信息(操作系统版本号、序列号、操作系统日志)和应用软件关键信息(软件版本号、软件代码校验值)保存在不可更改的内存中;按照一定频率(TPM具有可调节的工作频率,根据访问控制策略的要求进行频率调节,本实施例中取50ms/次),主动验证运行中的操作系统和应用软件的关键信息的完整性,验证方法采用Hash值比对;TPM可信环境度量模块设置验证频率和启停标识位,用于后续访问控制策略调整;驻留节点通过环境可信验证后,TPM可信环境度量模块反馈结果到细粒度访问控制功能模块,验证不通过时,反馈到异常分析与追溯模块。
在一个实施例中,所述细粒度访问控制功能模块,对驻留节点的控制程序实施访问控制;由控制程序驻留节点的访问控制引擎制定控制程序的访问控制策略,采用基于属性的访问控制方法(ABAC),策略字段组成结构是{启停标识位,访问者身份,被访问者身份,操作,功能属性,功能约束};访问控制引擎收到对控制程序的访问请求,执行制定的访问控制策略,如果策略字段的每个属性项都符合访问控制策略,则允许访问,否则阻断访问并预警。对于控制服务器和控制器中的控制程序,与现场业务密切相关,访问控制策略字段中的功能属性和功能约束应重点描述对控制程序的非授权操作和不合规操作(比如流程工控系统中,控制器中的用于调节温度的控制程序只允许控制服务器在设置温度时执行写操作,在升温或降温操作时只允许读操作,其他关联流程时不允许对调节温度的控制程序进行操作,违背这些不合规的操作会带来危险);对于工作站中的控制程序,其功能属性和功能约束主要描述对控制程序的非授权操作和阻断。
所述细粒度访问控制功能模块,对传输的关键指令实施访问控制;指令传输节点的访问控制引擎制定传输关键指令的访问控制策略,采用基于属性的访问控制方法(ABAC),策略字段组成结构是{启停标识位,访问者身份,被访问者身份,操作,功能属性,功能约束};关键指令的访问控制有两种模式:一种是在发出端执行访问控制,对于控制器发送指令到执行器,控制器的访问控制引擎检查待发出指令的启停标识位、身份属性、操作、功能属性、功能约束,所有属性项都符合访问控制策略才允许指令发出,其中功能属性和功能约束规定了指令操作的合规性,根据执行器的功能属性可确定执行过程中的任务逻辑,在功能约束中加入不合规的操作条款(比如驱动电机正向转动时,突然发送让其立刻改变转向的操作(可能是恶意数据指令)是不符合常规的;阀门开启时,没关闭之前的再次开启操作也是不合规操作;在化工排气过程中,要求执行加压操作也是不合规的);另外一种是在接收端执行访问控制,例如控制器发送指令到传感器,传感器的访问控制引擎检查收到指令的启停标识位、身份属性、操作、功能属性、功能约束,所有属性项都符合访问控制策略才接收并处理指令。根据接收节点的功能属性可以确定发送来的指令的不合规的情形,并加入到功能约束中,例如要求从温度传感器获取湿度数据的指令是不合规的。
所述细粒度访问控制功能模块,支持控制程序和传输指令的完整性校验;静态控制程序由TPM可信环境度量模块保证其完整性,通过Hash校验实现;在控制程序的执行与传输指令的交互过程中,动态创建虚拟隔离环境,将参与执行和交互的控制程序、传输指令、传输指令的哈希值存入虚拟隔离环境,避免非授权访问;指令接收者或指令传输的中间节点能够验证指令数据是否被篡改。
在一个实施例中,所述异常分析与追溯模块,确认收到的违背访问控制策略的异常行为,重点归类分析未授权访问、不合规访问、阻断篡改3类异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点,形成异常信息条目,并与存储的异常数据库核对,将分析结果上报到访问控制策略动态调整与接口模块;协助访问控制策略动态调整与接口模块追溯上下文(同一个场景下的多条链路上相连通的多个节点)异常节点、定位故障;接收来自访问控制服务器推送的异常数据库,及时更新异常数据库。
在一个实施例中,所述访问控制策略动态调整与接口模块与访问控制服务器交互,定期上传访问控制引擎制定的访问控制策略,并接受访问控制服务器对驻留节点的访问控制策略的加载;交互过程采用主流工业协议,策略数据加密传输。
在一个实施例中,所述访问控制策略动态调整与接口模块根据工控业务可用性约束动态调整驻留节点的访问控制策略,可用性约束包括三个方面:节点资源限制、业务时延要求、业务连通性要求;
节点资源限制:访问控制引擎实时计算当前节点执行访问控制策略时的计算和空间资源损耗,当资源损耗超过节点剩余资源一定比例时,本实施例中设置为80%,降低或关闭TPM可信环境度量模块监测频率,减少访问控制策略数量,避免节点崩溃;
业务时延要求:访问控制引擎实时计算驻留节点执行访问控制策略时的时延增加情况;当时延不满足业务处理时延要求时,驻留节点简化访问控制策略,具体方法包括只启动部分访问控制策略,将非邻居访问者以及与当前业务不相关的访问目标、操作、功能属性的对应字段的启停标识位设置为停止,检索时跳过;访问控制服务器分析业务流经的节点集合,定位影响时延的若干节点;将时延超过设定阈值的节点任务分配到具有冗余资源的邻居节点,从而加快处理时间;处理现场大量实时业务数据时,通知业务流经节点只查验身份和进行简单属性校验,简单属性校验可采用如下方式:只检查访问者身份、被访问者身份、操作、功能属性中的关键参数的符合性;
业务连通性要求:业务不连通的情况通常包括接收端超过设定时延未收到业务数据,非冗余关键节点出现异常被访问控制策略阻断,非冗余关键节点被恶意攻击导致消息阻断;访问控制引擎发现业务连通异常时,修改访问控制策略,如果是时延不满足要求造成的不连通,则按照上述业务时延要求简化访问控制策略;如果是非冗余关键节点不符合访问控制策略被阻断或被恶意攻击导致消息阻断,临时调整当前节点对关键指令的访问权限,赋予关键指令正常流转的最低访问权限(如允许流转、读操作),确保关键指令流通,然后对异常节点做如下处理:若存在备用节点,对比备用节点访问权限,如果备用节点可以正常传输数据,则切换到备用节点,且切换时延尽可能小;即刻上报异常,通知访问控制服务器启动预警机制,在线或离线进一步检测异常行为;另外,对于非冗余关键节点被恶意攻击导致消息阻断的情况,在上述临时调整访问权限后,还需要将写操作涉及的关键指令加壳(如用随机数对数据异或操作)或转换成不可操作(禁用写操作),阻止附带攻击信息的传播。
在一个实施例中,所述访问控制策略动态调整与接口模块根据异常分析与追溯模块的异常行为分析结果,对不合规和未授权操作行为通知相关节点补充访问控制策略的功能约束,对阻断篡改行为通知相关节点加固安全措施;定期与域内其他节点的访问控制引擎交换访问控制策略;访问控制服务器分析跨节点业务数据流在各节点访问要求,调整节点访问控制策略,实现协同工作。因为可用性约束下,各节点加载差异化的访问控制策略,不可避免存在薄弱节点,其由于TPM频率降低或访问控制策略简化,识别能力下降。此时访问控制服务器可在该薄弱节点的上下游资源充足节点加载充分的细粒度访问控制,及时阻断风险;或选择资源充足的邻居节点从发出端实施对该薄弱节点的访问控制,不满足该薄弱节点的访问控制策略的指令不允许发出。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。

Claims (9)

1.一种工业控制系统主动可加载的访问控制引擎,其特征在于,包括如下模块:TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块;
TPM可信环境度量模块用于动态验证驻留节点的环境可信性,防止内部操作者对操作系统和应用软件的不合规操作,以及外部恶意代码对驻留节点操作系统的非授权控制;
细粒度访问控制功能模块实现驻留节点的基于属性的访问控制功能,包括基于属性的访问控制功能实现、访问控制策略制定、访问控制标识和索引添加,对访问请求数据提取属性,进行属性匹配和策略查询,对异常行为动态阻断;
异常分析与追溯模块用于识别TPM可信环境度量模块、细粒度访问控制功能模块和访问控制策略动态调整与接口模块发现的违背访问控制策略的异常行为,分析异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点,形成异常信息条目,协助访问控制策略动态调整与接口模块追溯上下文异常节点;
访问控制策略动态调整与接口模块功能包括与部署在监控网总线上的访问控制服务器交互,实现访问控制策略的定期备份上传,接受来自访问控制服务器更新的访问控制策略的下载;还包括控制业务可用性约束下的访问控制策略动态调整、与邻居节点协同工作;
所述访问控制策略动态调整与接口模块根据工控业务可用性约束动态调整驻留节点的访问控制策略,可用性约束包括三个方面:节点资源限制、业务时延要求、业务连通性要求;
节点资源限制:访问控制引擎实时计算当前节点执行访问控制策略时的计算和空间资源损耗,当资源损耗超过节点剩余资源一定比例时,降低或关闭TPM可信环境度量模块监测频率,减少访问控制策略数量,避免节点崩溃;
业务时延要求:访问控制引擎实时计算驻留节点执行访问控制策略时的时延增加情况;当时延不满足业务处理时延要求时,驻留节点简化访问控制策略,简化的方法是将非邻居访问者以及与当前业务不相关的访问目标、操作、功能属性的对应字段的启停标识位设置为停止,检索时跳过;访问控制服务器分析业务流经的节点集合,定位影响时延的若干节点;将时延超过设定阈值的节点任务分配到具有冗余资源的邻居节点,从而加快处理时间;处理现场大量实时业务数据时,通知业务流经节点只查验身份和进行简单属性校验;
业务连通性要求:访问控制引擎发现业务连通异常时,修改访问控制策略,如果是时延不满足要求造成的不连通,则按照业务时延要求简化访问控制策略;如果是非冗余关键节点不符合访问控制策略被阻断或被恶意攻击导致消息阻断,临时调整当前节点对关键指令的访问权限,赋予关键指令正常流转的最低访问权限,确保关键指令流通,然后对异常节点做如下处理:若存在备用节点,对比备用节点访问权限,如果备用节点能够正常传输数据,则切换到备用节点,且切换时延尽可能小;即刻上报异常,通知访问控制服务器启动预警机制,在线或离线进一步检测异常行为;对于非冗余关键节点被恶意攻击导致消息阻断的情况,在临时调整访问权限后,还需要将写操作涉及的关键指令加壳或转换成不可操作,阻止附带攻击信息的传播。
2.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎,其特征在于,该引擎以嵌入式方式,部署在工业控制系统的各节点的冗余空间中,这些节点包括工作站、应用服务器、数据服务器、历史服务器、OPC服务器、HMI、控制服务器、PLC、RTU、传感器;在资源冗余节点,启动引擎的全部功能模块,TPM可信环境度量模块以部署TPM芯片实现,无法部署硬件时,以软件代码模块实现;细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块以软件代码模块实现;在资源有限节点,不部署TPM可信环境度量模块。
3.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎,其特征在于,所述TPM可信环境度量模块将操作系统关键信息和应用软件关键信息保存在不可更改的内存中;按照一定频率,主动验证运行中的操作系统和应用软件的关键信息的完整性,验证方法采用Hash值比对;TPM可信环境度量模块设置验证频率和启停标识位,用于后续访问控制策略调整;驻留节点通过环境可信验证后,TPM可信环境度量模块反馈结果到细粒度访问控制功能模块,验证不通过时,反馈到异常分析与追溯模块。
4.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎,其特征在于,所述细粒度访问控制功能模块,对驻留节点的控制程序实施访问控制;由控制程序驻留节点的访问控制引擎制定控制程序的访问控制策略,采用基于属性的访问控制方法,策略字段组成结构是{启停标识位,访问者身份,被访问者身份,操作,功能属性,功能约束};访问控制引擎收到对控制程序的访问请求,执行制定的访问控制策略,如果策略字段的每个属性项都符合访问控制策略,则允许访问,否则阻断访问并预警;对于控制服务器和控制器中的控制程序,与现场业务密切相关,访问控制策略字段中的功能属性和功能约束应重点描述对控制程序的非授权操作和不合规操作;对于工作站中的控制程序,其功能属性和功能约束主要描述对控制程序的非授权操作和阻断。
5.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎,其特征在于,所述细粒度访问控制功能模块,对传输的关键指令实施访问控制;指令传输节点的访问控制引擎制定传输关键指令的访问控制策略,采用基于属性的访问控制方法,策略字段组成结构是{启停标识位,访问者身份,被访问者身份,操作,功能属性,功能约束};关键指令的访问控制有两种模式:一种是在发出端执行访问控制,对于控制器发送指令到执行器,控制器的访问控制引擎检查待发出指令的启停标识位、身份属性、操作、功能属性、功能约束,所有属性项都符合访问控制策略才允许指令发出,其中功能属性和功能约束规定了指令操作的合规性,根据执行器的功能属性可确定执行过程中的任务逻辑,在功能约束中加入不合规的操作条款;另外一种是在接收端执行访问控制,接收端的访问控制引擎检查收到指令的启停标识位、身份属性、操作、功能属性、功能约束,所有属性项都符合访问控制策略才接收并处理指令,根据接收节点的功能属性能够确定发送来的指令的不合规的情形,并加入到功能约束中。
6.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎,其特征在于,所述细粒度访问控制功能模块,支持控制程序和传输指令的完整性校验;静态控制程序由TPM可信环境度量模块保证其完整性,通过Hash校验实现;在控制程序的执行与传输指令的交互过程中,动态创建虚拟隔离环境,将参与执行和交互的控制程序、传输指令、传输指令的哈希值存入虚拟隔离环境,避免非授权访问;指令接收者或指令传输的中间节点能够验证指令数据是否被篡改;所述细粒度访问控制功能模块定期通过访问控制策略动态调整与接口模块上传驻留节点的访问控制策略到访问控制服务器备份,发现异常时,将异常提交到异常分析与追溯模块。
7.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎,其特征在于,所述异常分析与追溯模块,确认收到的违背访问控制策略的异常行为,重点归类分析未授权访问、不合规访问、阻断篡改这三类异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点,形成异常信息条目,并与存储的异常数据库核对,将分析结果上报到访问控制策略动态调整与接口模块;协助访问控制策略动态调整与接口模块追溯上下文异常节点、定位故障;接收来自访问控制服务器推送的异常数据库,及时更新异常数据库。
8.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎,其特征在于,所述访问控制策略动态调整与接口模块与访问控制服务器交互,定期上传访问控制引擎制定的访问控制策略,并接受访问控制服务器对驻留节点的访问控制策略的加载;交互过程采用主流工业协议,策略数据加密传输。
9.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎,其特征在于,所述访问控制策略动态调整与接口模块根据异常分析与追溯模块的异常行为分析结果,对不合规和未授权操作行为通知相关节点补充访问控制策略的功能约束,对阻断篡改行为通知相关节点加固安全措施;定期与域内其他节点的访问控制引擎交换访问控制策略;访问控制服务器分析跨节点业务数据流在各节点访问要求,调整节点访问控制策略,实现协同工作;访问控制服务器在薄弱节点的上下游资源充足节点加载充分的细粒度访问控制,及时阻断风险,或选择资源充足的邻居节点从发出端实施对薄弱节点的访问控制,不满足薄弱节点的访问控制策略的指令不允许发出。
CN202210842344.1A 2022-07-18 2022-07-18 一种工业控制系统主动可加载的访问控制引擎 Active CN115189957B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210842344.1A CN115189957B (zh) 2022-07-18 2022-07-18 一种工业控制系统主动可加载的访问控制引擎

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210842344.1A CN115189957B (zh) 2022-07-18 2022-07-18 一种工业控制系统主动可加载的访问控制引擎

Publications (2)

Publication Number Publication Date
CN115189957A CN115189957A (zh) 2022-10-14
CN115189957B true CN115189957B (zh) 2023-09-29

Family

ID=83519876

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210842344.1A Active CN115189957B (zh) 2022-07-18 2022-07-18 一种工业控制系统主动可加载的访问控制引擎

Country Status (1)

Country Link
CN (1) CN115189957B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116700197B (zh) * 2023-08-03 2023-10-10 中国电子信息产业集团有限公司第六研究所 一种工控监测分析预警系统及分析预警处理方法
CN117240611B (zh) * 2023-11-13 2024-01-30 傲拓科技股份有限公司 一种基于人工智能的plc信息安全保护系统和方法
CN117828672B (zh) * 2024-03-05 2024-05-28 中国科学院信息工程研究所 细粒度动态授权的访问控制与高并发处理方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201414255A (zh) * 2012-04-27 2014-04-01 內數位專利控股公司 個人化及/或裁剪服務介面系統及方法
CN107851047A (zh) * 2015-05-22 2018-03-27 动力指纹股份有限公司 使用诸如侧信道信息的功率特点进行入侵检测和分析的系统、方法和装置
CN109861844A (zh) * 2018-12-07 2019-06-07 中国人民大学 一种基于日志的云服务问题细粒度智能溯源方法
CN110569197A (zh) * 2019-09-12 2019-12-13 中国工程物理研究院计算机应用研究所 一种用于软件可信性评估的可信证据分析与度量方法
CN112417494A (zh) * 2020-10-26 2021-02-26 国网浙江省电力有限公司电力科学研究院 基于可信计算的电力区块链系统
CN113051602A (zh) * 2021-01-22 2021-06-29 东南大学 一种基于零信任架构的数据库细粒度访问控制方法
CN114598540A (zh) * 2022-03-18 2022-06-07 北京启明星辰信息安全技术有限公司 访问控制系统、方法、装置及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201414255A (zh) * 2012-04-27 2014-04-01 內數位專利控股公司 個人化及/或裁剪服務介面系統及方法
CN107851047A (zh) * 2015-05-22 2018-03-27 动力指纹股份有限公司 使用诸如侧信道信息的功率特点进行入侵检测和分析的系统、方法和装置
CN109861844A (zh) * 2018-12-07 2019-06-07 中国人民大学 一种基于日志的云服务问题细粒度智能溯源方法
CN110569197A (zh) * 2019-09-12 2019-12-13 中国工程物理研究院计算机应用研究所 一种用于软件可信性评估的可信证据分析与度量方法
CN112417494A (zh) * 2020-10-26 2021-02-26 国网浙江省电力有限公司电力科学研究院 基于可信计算的电力区块链系统
CN113051602A (zh) * 2021-01-22 2021-06-29 东南大学 一种基于零信任架构的数据库细粒度访问控制方法
CN114598540A (zh) * 2022-03-18 2022-06-07 北京启明星辰信息安全技术有限公司 访问控制系统、方法、装置及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
主动防御体系下工业控制网络异常行为的信任管理方法;Jingpei Wang等;《IEEE TRANSACTIONS ON NETWORK AND SERVICE MANAGEMENT》;第第19卷卷(第第3期期);第1-24页 *

Also Published As

Publication number Publication date
CN115189957A (zh) 2022-10-14

Similar Documents

Publication Publication Date Title
CN115189957B (zh) 一种工业控制系统主动可加载的访问控制引擎
EP3101586B1 (en) Active response security system for industrial control infrastructure
US9197652B2 (en) Method for detecting anomalies in a control network
US11870788B2 (en) Utilizing a machine learning model to determine real-time security intelligence based on operational technology data and information technology data
US20180307841A1 (en) Computer control system security
Rieger et al. Resilient control system execution agent (ReCoSEA)
Uemura et al. Availability analysis of an intrusion tolerant distributed server system with preventive maintenance
CN114666088A (zh) 工业网络数据行为信息的侦测方法、装置、设备和介质
Yadav et al. Assessment of SCADA system vulnerabilities
Castiglione et al. Hazard driven threat modelling for cyber physical systems
CN101369141A (zh) 用于可编程数据处理设备的保护单元
Settanni et al. Countering targeted cyber-physical attacks using anomaly detection in self-adaptive Industry 4.0 Systems.
Franck et al. From ICS attacks' analysis to the SAFE approach: implementation of filters based on behavioral models and critical state distance for ICS cybersecurity
CN114625074A (zh) 一种用于火电机组dcs系统的安全防护系统及方法
Wang et al. Formal analysis of security properties of cyber-physical system based on timed automata
Rieger et al. A cyber resilient design for control systems
WO2023059938A1 (en) Universal intrusion detection and prevention for vehicle networks
CN111338297B (zh) 一种基于工业云的工控安全框架系统
Chung et al. Machine learning in the hands of a malicious adversary: a near future if not reality
McKay Best practices in automation security
Rieke et al. Security Compliance Tracking of Processes in Networked Cooperating Systems.
CN114924537A (zh) 一种工业控制系统异常行为可信防护的访问控制管理架构
US11036194B2 (en) Validation of control command in substantially real time for industrial asset control system threat detection
US20230412619A1 (en) Systems and methods for the instrumentation, real-time compromise detection, and management of internet connected devices
CN115102725B (zh) 一种工业机器人的安全审计方法、装置及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant