CN115981274A

CN115981274A - 一种工业控制系统的安全保护系统

Info

Publication number: CN115981274A
Application number: CN202211621375.0A
Authority: CN
Inventors: 武传坤; 张辉文
Original assignee: Ananbang Beijing Information Technology Co ltd
Current assignee: Ananbang Beijing Information Technology Co ltd
Priority date: 2022-12-16
Filing date: 2022-12-16
Publication date: 2023-04-18

Abstract

本发明公开了一种工业控制系统的安全保护系统，包括工控主机、安全保护盒、下位机，在上位机与下位机之间，插入一个安全保护盒，该安全保护盒的关键参数可以通过上位机或独立于上位机之外的报警监控系统进行更新。该安全保护盒检查来自上位机的控制指令是否合法、是否真实，然后转给下位机。对来自下位机的数据，该安全保护盒直接转发给上位机。这样就无须对下位机做任何修改。通过该安全保护盒的数据处理，可有效防止针对工控系统的操作攻击(即OT攻击)，阻止非法控制指令对终端设备的恶意控制和破坏。

Description

一种工业控制系统的安全保护系统

技术领域

本发明涉及工业控制系统的网络安全防护领域，尤其涉及一种工业控制系统的安全保护系统。

背景技术

工业控制系统是现代社会工业生产的重要系统，它的安全问题一直受到高度重视，因为工业控制系统的安全事故往往造成很大的经济损失和社会影响。

随着网络技术和基于网络化和智能化应用的发展，网络攻击也愈发引起黑客们的兴趣。网络攻击早已从早期的单兵作战型变成今天的团队合作，攻击手段也从早期的系统破坏，到今天的信息窃取、数据伪造，以及近几年非常流行的勒索病毒。勒索病毒不针对某个具体信息系统，而是针对某个系统漏洞或协议漏洞，可以攻击存在同类型漏洞的所有机型，因此传播很快，但也容易被发现。

网络技术的发展也促使工业生成领域向网络化和智能化演变，许多行业逐步将传统的工业控制系统升级为工业物联网系统，以便更好地满足网络化管理、智能化生产和个性化服务。但是，网络化发展也面临更多网络攻击的威胁。

对工业控制系统来说，遭受传统的网络攻击并不可怕。如果工控主机的信息被网络攻击者窃取，那种攻击的影响不大，因为一般工控主机的信息对攻击者的应用价值不高；如果工控主机遭受勒索病毒攻击，只需要将工控主机替换掉即可，因此对工业控制系统的影响也不是很大。但是，有一种病毒是针对工业控制系统定制的，有着很好的潜伏性和隐蔽性，很难被发现，不破坏入侵的工控主机，而是通过工控主机来非法控制下位机(那些下位机通常不直接联网，也没有外接通信端口)，这种类型的攻击称为操作攻击(OT攻击)。为了防止操作攻击，需要在工控主机和下位机之间提供数据安全保护。但是，许多下位机都是国外生成的，不容易进行改造，因此，要增加数据安全保护功能非常困难。一种折中的方法是在工控主机和下位机之间插入一个自制设备，使得工控主机到下位机之间的通信经过这个中间设备来完成，于是就可以在工控主机和这个自制设备之间增加数据安全保护功能，而无须对下位机做任何改动。

目前，市场上已经有类似产品。例如福州富昌维控电子科技有限公司一款产品V-Box就是这样一类产品。V-Box具有多种网络接口，可以直接连接工业控制设备，发送控制指令，并将设备状态信息发送到云数据平台，使用户可以通过手机APP就能监控设备的运行状态和历史数据，还能远程操控设备。从抵抗操作攻击的角度来说，该产品的功能过于强大，不适合作为介于工控主机和下位机的设备使用，因为V-Box的网络功能，使得攻击者可以绕开工控主机直接控制下位机和终端设备。其他类似产品也有相似的问题。

发明内容

为了解决现有技术所存在的问题，本发明提出的一种工业控制系统的安全保护系统，包括工控主机、安全保护盒、下位机，所述安全保护系统的保护方法包括以下步骤：

S1、所述安全保护盒安装在所述工控主机和所述下位机之间；

S2、所述工控主机与所述安全保护盒之间共享一个预置密钥k和一个密码函数F；

S3、所述工控主机与所述安全保护盒进行连接，所述安全保护盒与所述下位机进行连接；

S4、所述工控主机在发送控制指令cmd时，使用一个经过修改的控制软件，将控制指令cmd与密钥k通过函数F计算得到一个数值d，d＝F(k,cmd)，然后将指令数据cmd'＝(cmd,d)发送给所述安全保护盒；

S5、所述安全保护盒收到所述工控主机发送的指令数据cmd'后，根据预置密钥k和cmd'中携带的数据cmd，计算d'＝F(k,cmd)，验证等式d'＝d是否成立，依此来判断所接收到的指令数据cmd'是否合法，若合法，则将正常的控制指令cmd发送给所述下位机；否则，向所述工控主机发送报警信息；

S6、所述下位机发送给所述工控主机的数据，经过所述安全保护盒转发，不做任何修改。

另一方面，本发明还提出一种工业控制系统的安全保护系统，包括工控主机、安全保护盒、下位机，所述安全保护系统的保护方法包括以下步骤：

S4、所述安全保护盒预置一个参数s,所述工控主机在发送控制指令cmd时，先读取参数s，使用一个经过修改的控制软件，将控制指令cmd与密钥k通过函数F计算得到一个数值d，d＝F(k,s,cmd)，然后将指令数据cmd'＝(cmd,d)发送给所述安全保护盒；

S5、所述安全保护盒收到所述工控主机发送的指令数据cmd'后，根据预置密钥k和预置的参数s，以及cmd'中携带的数据cmd，计算d'＝F(k,s,cmd)，验证等式d'＝d是否成立，依此来判断所接收到的指令数据cmd'是否合法，若合法，则将正常的控制指令cmd发送给所述下位机；否则，向所述工控主机发送报警信息；

优选的，在工控主机端，修改的控制软件通过弹窗提醒人工输入预置的参数s，如果人工操作选择放弃输入数据，或等待时间超时，则读取系统中存储的s值；如果人工输入新的数据，则更新系统中存储的s值。

优选的，在工控主机端，修改的控制软件通过弹窗提醒人工输入预置的参数s，如果人工操作选择放弃输入数据，或等待时间超时，则所述控制软件放弃发送指令；如果人工输入新的数据，则更新系统中存储的s值。

优选的，当所述安全保护盒验证发现指令数据cmd'不合法时，所述安全保护盒向报警监控系统发送报警信息。

优选的，所述安全保护盒配置的密钥k和函数F通过报警监控系统进行更新。

优选的，所述安全保护盒以软件形式在所述下位机内执行。

优选的，安全保护盒配置两种类型的通信接口：通信接口A和通信接口B，其中：

所述通信接口A，用于连接工控主机，使用一种灵活配置的通信协议，用于所述安全保护盒和所述工业主机之间的安全数据传输，当所述安全保护盒通过通信接口A接收到所述工控主机发送的指令数据cmd'时，根据预先配置的安全机制，检验cmd'的合法性。若合法，则所述安全保护盒将cmd'转换为正常的控制指令cmd，将cmd通过接口B发送给所述下位机；

所述通信接口B，用于连接下位机，使用工业控制系统常用的通信协议，用于所述安全保护盒和所述下位机之间的数据通信，当所述安全保护盒通过通信接口B接收到所述下位机发送的数据data时，所述安全保护盒将数据data通过通信接口A发送给所述工控主机。

优选的，存在多个所述通信接口B，用于同时连接多个下位机。

优选的，存在多个所述通信接口A，用于同时连接多个工控主机，并且与每个所连接的工控主机配置独立的密钥k和函数F。

与现有技术相比，本发明具备以下有益效果：本发明通过在上位机与下位机之间，插入一个安全保护盒，该安全保护盒的关键参数可以通过上位机或独立于上位机之外的报警监控系统进行更新。该安全保护盒检查来自上位机的控制指令是否合法、是否真实，然后转给下位机。对来自下位机的数据，该安全保护盒直接转发给上位机。这样就无须对下位机做任何修改。通过该安全保护盒的数据处理，可有效防止针对工控系统的操作攻击(即OT攻击)，阻止非法控制指令对终端设备的恶意控制和破坏。

附图说明

图1图1为本发明的工控主机通过安全保护盒控制下位机系统架构示意图；

图2为安全保护盒将报警信息发送给报警监控系统架构示意图；

图3为安全保护盒连接多个工控主机和多个下位机情况的系统架构示意图。

具体实施方式

下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

考虑到针对工业控制系统的操作安全攻击的特点，本发明提供一种工业控制系统的安全保护系统，通过在工控主机和下位机之间插入一个自制设备并进行适当的安全配置和规范的协议流程，使得攻击者即使入侵工控主机，也很难对与之连接的下位机实施非法控制操作。

工业控制系统通常是一个庞大复杂的系统。为了说明本发明的技术原理，如图1所示，这里把工控系统安全保护模型简化为一个工控主机和一个下位机之间的安全保护，并假定工控主机可能被网络攻击者入侵的情况。假设工控主机是一台配置MS Windows的电脑，下位机是一个PLC控制器。工控主机与下位机之间的通信协议为Modbus。在正常情况下，工控主机将控制指令cmd通过Modbus协议发送给下位机。

使用本发明的安全保护系统，需要在工控主机与下位机(即PLC控制器)之间插入一个安全保护盒，该安全保护盒一般安装在靠近下位机的地方。安全保护盒与工控主机之间共享密钥k和国家密码标准SM3作为密码函数F。临时数据s是一个序列号，如果没有启动参数更新过程，则s的值每次递增1。安全保护盒有两个A类接口，接口A1连接工控主机，可使用TCP/IP协议进行通信，也可以使用Modbus进行通信；接口A2连接一个报警监控系统，使用TCP/IP通信协议。安全保护盒的B接口连接下位机，使用Modbus进行通信。安全保护盒的参数配置在安装之前完成，参数更新可以通过报警监控系统来完成，包括对密钥k的更新和对临时数据s的更新。

具体而言，当工控主机发送指令cmd时，执行如下步骤：

(1)读取临时数据s。如果控制过程为实施操作，则s存储在工控主机的某个位置，内存字段或密钥文件中，读取的同时予以更新；如果控制过程为参数调整，实时性要求差，则可以使用人工方式输入s。这个输入的s必须与之前给安全保护盒配置的s相同；

(2)计算d＝SM3(k,s,cmd)，将cmd'＝(cmd,d)发送给安全保护盒。当安全保护盒收到cmd'时，从中提取cmd和d，根据自己的配置参数k和s，计算d'＝SM3(k,s,cmd)，验证等式d'＝d是否成立。若成立，则将cmd发送给下位机；否则，将报警信息通过A2接口发送给报警监控系统。

考虑到许多密码函数的实际执行过程中，除了需要密钥外，还需要一个初始值，因此引入这个临时数据s。该数据具有多种用途，包括如下情况：可以作为初始值，用于需要初始值的密码函数；可以作为通信数据的序列号；按照一定规则变化的s值，可以作为数据新鲜性标签，在必要的情况下，可以扩展为抵抗重放攻击的一个关键参数。如果选取的函数F是一个数据完整性保护函数，则临时数据s只是输入数据的一部分。引入s后，计算d的过程可表示为d＝F(k,s,cmd)。

同密钥一样，临时数据s需要在工控主机和安全保护盒之间共享，可以通过预置的方式实现最初共享，然后使用更新功能进行必要的更新。

如果攻击者入侵并控制了工控主机，则攻击者在掌握不同知识的情况下，对系统有不同的攻击能力，特别是操作攻击能力。下面分几种情况进行分析。

(1)攻击者不知道存在一个安全保护盒。在这种情况下，攻击者通过工控主机下位机发送恶意控制指令。如果指令能直接到达下位机，则下位机无法判断指令是否恶意，因此会执行恶意指令。但是，安装了本发明的安全保护盒后，控制指令首先到达安全保护盒，安全保护盒根据安全机制对指令数据进行合法性验证。未经安全保护的控制指令显然不能通过验证，因此这种控制指令无法达到下位机。

(2)攻击者知道安全保护盒，也知道调用那个控制软件来启用安全保护机制。但是，攻击者可能找不到用于加密的密钥，从而无法发送合法的控制指令。假设加密密钥被控制软件自动读取，则攻击者可以发送控制指令，在这种情况下，攻击者发送的恶意控制指令将能通过安全保护盒的合法性验证，从而成功到达下位机。这是工控系统操作安全模型中最难对付的一种情况，也是对攻击者能力高估的假设。在有内鬼的情况下，攻击者可以达到这种能力。

为了防止上述第(2)种情况的网络攻击，需要有一种不受工控主机控制的额外数据，这个数据就是人工输入的参数。这个参数应该早已通过参数配置过程记录在安全保护盒中。这种使用人工输入参数的方法可以防止更高程度的网络攻击，但只适合那些对指令时延具有耐受力的应用场景，这种保护机制还需要考虑人工输入错误的可能性。

人工输入临时数据的工作模式也分两种情况：

(1)人工选择放弃数据输入或等待超时，这时使用系统存储的数值；

(2)人工选择放弃数据输入或等待超时，这时放弃发送控制指令；

这两种情况分别适合不同的工业生产系统，在技术上都容易实现。

在上述过程中，如果安全保护盒验证指令数据cmd'时发现其不合法，则不向下位机发送任何数据，而是向工控主机发送报警信息。该报警信息有助于发现设备故障或网络故障或可能遭受网络攻击，从而可以采取一定的补救措施。为了减轻工控主机的负担，尽量减少在工控主机中增加额外软件，另一种架构是将这种报警信息发送到一个独立于工控主机之外的报警监控系统，如图2所示。

报警监控系统是一个独立于工控主机之外的系统。如果通过报警监控系统对安全保护盒的配置参数进行更新，则这种功能不受工控主机的控制。这种操作的好处是，即使攻击者入侵了工控主机，即使能完全掌控工控主机，也不能通过工控主机来修改安全保护盒的参数配置，例如不知道临时数据s的值，从而无法伪造恶意指令，因此具有更高的安全性。

既然在工控主机和下位机之间插入一个安全保护盒，有必要对这个安全保护盒的组成做进一步说明。该安全保护盒需要有对上和对下的通信能力。对上的通信接口记为A类接口，即与工控主机之间的通信接口，通过该通信接口的指令数据是经过数据安全保护的。这种接口可以使用任何方便的通信协议进行连接，例如使用传统的TCP/IP，或使用Modbus。对下的通信接口记为B类接口，即与下位机之间的通信接口，通过该通信接口的数据将保持下位机出厂时就拥有的通信协议。安全保护盒通过接口A接收工控主机发送的控制指令，经过安全验证后，通过接口B发送给下位机；并通过接口B接收下位机反馈的数据，然后直接将数据通过接口A转发给工控主机。

当然，本发明的安全保护盒可以以软件形式安装在下位机内部，作为下位机通信端口的安全保护，对输出的数据保持原样，对输入的数据进行合法性验证。这种情况仅适合那些容易更新或修改软件的下位机。

工控系统中存在一个主机控制多个下位机的情况，本发明的安全保护盒也可以很容易扩展为一个工控主机和多个下位机的情况，只需要在安全保护盒中设置多个B类接口即可。这种情况下，不同的B类接口可能需要配置不同的通信协议。但是，安全保护盒的安全配置仍然与一个B类接口的情况相同。

本发明的安全保护盒还很容易扩展到多个A类接口的情况，即允许同时连接多个工控主机，如图3所示。在这种情况下，针对每个工控主机，应该有一套独立的系统参数设置，特别是密钥。函数F的选取可以相同，也可以不同。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims

1.一种工业控制系统的安全保护系统，包括工控主机、安全保护盒、下位机，其特征在于，所述安全保护系统的保护方法包括以下步骤：

2.一种工业控制系统的安全保护系统，包括工控主机、安全保护盒、下位机，其特征在于，所述安全保护系统的保护方法包括以下步骤：

3.根据权利要求2所述的一种工业控制系统的安全保护系统，其特征在于，在工控主机端，修改的控制软件通过弹窗提醒人工输入预置的参数s，如果人工操作选择放弃输入数据，或等待时间超时，则读取系统中存储的s值；如果人工输入新的数据，则更新系统中存储的s值。

4.根据权利要求2所述的一种工业控制系统的安全保护系统，其特征在于，在工控主机端，修改的控制软件通过弹窗提醒人工输入预置的参数s，如果人工操作选择放弃输入数据，或等待时间超时，则所述控制软件放弃发送指令；如果人工输入新的数据，则更新系统中存储的s值。

5.根据权利要求1-4任一所述的一种工业控制系统的安全保护系统，其特征在于，当所述安全保护盒验证发现指令数据cmd'不合法时，所述安全保护盒向报警监控系统发送报警信息。

6.根据权利要求5所述的一种工业控制系统的安全保护系统，其特征在于，所述安全保护盒配置的密钥k和函数F通过报警监控系统进行更新。

7.根据权利要求5所述的一种工业控制系统的安全保护系统，其特征在于，所述安全保护盒以软件形式在所述下位机内执行。

8.根据权利要求1-2任意所述的一种工业控制系统的安全保护系统，其特征在于，安全保护盒配置两种类型的通信接口：通信接口A和通信接口B，其中：

9.根据权利要求8所述的一种工业控制系统的安全保护系统，其特征在于，存在多个所述通信接口B，用于同时连接多个下位机。

10.根据权利要求8所述的一种工业控制系统的安全保护系统，其特征在于，存在多个所述通信接口A，用于同时连接多个工控主机，并且与每个所连接的工控主机配置独立的密钥k和函数F。