一种工业控制系统主动可加载的访问控制引擎

1.本发明属于工业控制系统领域，具体是涉及一种工业控制系统主动可加载的访问控制引擎。

背景技术：

2.工业控制系统广泛应用于电力、石化、水处理、天然气等关键工业场景中，扮演中枢神经作用。由于工控系统开放互联以及通用智能化构件广泛应用的趋势，病毒、木马等威胁正在向工业网络扩散，工业控制系统防护已成为当前关注热点。工业控制系统可用性要求高、业务连续性强、专用协议和嵌入式系统运行等，使得当前防御方法捉襟见肘。工控系统主动防御技术逐渐成为新的研究方向，典型工作包括张镇勇等人提出的移动目标防御方法等，邬江兴提出的基于拟态计算的防御方法，沈昌祥提出的基于可信计算的主动免疫方法。其中主动免疫方法主要在计算环境、区域边界、通信网络上部署可信计算芯片，在安全管理平台支持下，采用完整性度量方法，主动监控主客体运行状态，异常行为无法执行且被检测报警。访问控制策略是实现主动免疫的基本方法之一。

3.当前针对普通信息系统，国内外已提出一系列访问控制方法，典型的包括基于身份的访问控制、基于角色的访问控制、基于属性的访问控制等。当前的访问控制方法用于工业控制系统时会存在两个问题：1)工控系统可用性优先的功能特征和异构网络和数据的结构特征使得当前广泛用于普通信息系统中的访问控制方法不适用；2)当前基于可信计算的访问控制主要关注静态环境的防护，缺乏动态度量机制，工控系统存在由于可用性优先而调整安全策略的情况。

技术实现要素：

4.本发明的目的在于针对现有技术的不足，提出一种工业控制系统主动可加载的访问控制引擎。访问控制引擎嵌入到设备节点中，加载适配的访问控制策略，实施异常行为监测。并与访问控制服务器联动，根据业务实时性需求，动态调整访问控制策略，实现轻量化防护效果。

5.本发明的目的是通过以下技术方案实现的：一种工业控制系统主动可加载的访问控制引擎，包括如下模块：tpm可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块；

6.tpm可信环境度量模块用于动态验证驻留节点的环境可信性，防止内部操作者对操作系统和应用软件的不合规操作主动防御软件，以及外部恶意代码对驻留节点操作系统的非授权控制；

7.细粒度访问控制功能模块实现驻留节点的基于属性的访问控制功能，包括基于属性的访问控制功能实现、访问控制策略制定、访问控制标识和索引添加，对访问请求数据提取属性，进行属性匹配和策略查询，对异常行为动态阻断；

8.异常分析与追溯模块用于识别tpm可信环境度量模块、细粒度访问控制功能模块

和访问控制策略动态调整与接口模块发现的违背访问控制策略的异常行为，分析异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点，形成异常信息条目，协助访问控制策略动态调整与接口模块追溯上下文异常节点；

9.访问控制策略动态调整与接口模块功能包括与部署在监控网总线上的访问控制服务器交互，实现访问控制策略的定期备份上传，接受来自访问控制服务器更新的访问控制策略的下载；还包括控制业务可用性约束下的访问控制策略动态调整、与邻居节点协同工作。

10.进一步地，该引擎以嵌入式方式，部署在工业控制系统的各节点的冗余空间中，这些节点包括工作站、应用服务器、数据服务器、历史服务器、opc服务器、hmi、控制服务器、plc、rtu、传感器；在资源冗余节点，启动引擎的全部功能模块，tpm可信环境度量模块以部署tpm芯片实现，无法部署硬件时，以软件代码模块实现；细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块以软件代码模块实现；在资源有限节点，不部署tpm可信环境度量模块。

11.进一步地，所述tpm可信环境度量模块将操作系统关键信息和应用软件关键信息保存在不可更改的内存中；按照一定频率，主动验证运行中的操作系统和应用软件的关键信息的完整性，验证方法采用hash值比对；tpm可信环境度量模块设置验证频率和启停标识位，用于后续访问控制策略调整；驻留节点通过环境可信验证后，tpm可信环境度量模块反馈结果到细粒度访问控制功能模块，验证不通过时，反馈到异常分析与追溯模块。

12.进一步地，所述细粒度访问控制功能模块，对驻留节点的控制程序实施访问控制；由控制程序驻留节点的访问控制引擎制定控制程序的访问控制策略，采用基于属性的访问控制方法，策略字段组成结构是{启停标识位，访问者身份，被访问者身份，操作，功能属性，功能约束}；访问控制引擎收到对控制程序的访问请求，执行制定的访问控制策略，如果策略字段的每个属性项都符合访问控制策略，则允许访问，否则阻断访问并预警；对于控制服务器和控制器中的控制程序，与现场业务密切相关，访问控制策略字段中的功能属性和功能约束应重点描述对控制程序的非授权操作和不合规操作；对于工作站中的控制程序，其功能属性和功能约束主要描述对控制程序的非授权操作和阻断。

13.进一步地，所述细粒度访问控制功能模块，对传输的关键指令实施访问控制；指令传输节点的访问控制引擎制定传输关键指令的访问控制策略，采用基于属性的访问控制方法，策略字段组成结构是{启停标识位，访问者身份，被访问者身份，操作，功能属性，功能约束}；关键指令的访问控制有两种模式：一种是在发出端执行访问控制，对于控制器发送指令到执行器，控制器的访问控制引擎检查待发出指令的启停标识位、身份属性、操作、功能属性、功能约束，所有属性项都符合访问控制策略才允许指令发出，其中功能属性和功能约束规定了指令操作的合规性，根据执行器的功能属性可确定执行过程中的任务逻辑，在功能约束中加入不合规的操作条款；另外一种是在接收端执行访问控制，接收端的访问控制引擎检查收到指令的启停标识位、身份属性、操作、功能属性、功能约束，所有属性项都符合访问控制策略才接收并处理指令，根据接收节点的功能属性能够确定发送来的指令的不合规的情形，并加入到功能约束中。

14.进一步地，所述细粒度访问控制功能模块，支持控制程序和传输指令的完整性校验；静态控制程序由tpm可信环境度量模块保证其完整性，通过hash校验实现；在控制程序

的执行与传输指令的交互过程中，动态创建虚拟隔离环境，将参与执行和交互的控制程序、传输指令、传输指令的哈希值存入虚拟隔离环境，避免非授权访问；指令接收者或指令传输的中间节点能够验证指令数据是否被篡改；所述细粒度访问控制功能模块定期通过访问控制策略动态调整与接口模块上传驻留节点的访问控制策略到访问控制服务器备份，发现异常时，将异常提交到异常分析与追溯模块。

15.进一步地，所述异常分析与追溯模块，确认收到的违背访问控制策略的异常行为，重点归类分析未授权访问、不合规访问、阻断篡改这三类异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点，形成异常信息条目，并与存储的异常数据库核对，将分析结果上报到访问控制策略动态调整与接口模块；协助访问控制策略动态调整与接口模块追溯上下文异常节点、定位故障；接收来自访问控制服务器推送的异常数据库，及时更新异常数据库。

16.进一步地，所述访问控制策略动态调整与接口模块与访问控制服务器交互，定期上传访问控制引擎制定的访问控制策略，并接受访问控制服务器对驻留节点的访问控制策略的加载；交互过程采用主流工业协议，策略数据加密传输。

17.进一步地，所述访问控制策略动态调整与接口模块根据工控业务可用性约束动态调整驻留节点的访问控制策略，可用性约束包括三个方面：节点资源限制、业务时延要求、业务连通性要求；

18.节点资源限制：访问控制引擎实时计算当前节点执行访问控制策略时的计算和空间资源损耗，当资源损耗超过节点剩余资源一定比例时，降低或关闭tpm可信环境度量模块监测频率，减少访问控制策略数量，避免节点崩溃；

19.业务时延要求：访问控制引擎实时计算驻留节点执行访问控制策略时的时延增加情况；当时延不满足业务处理时延要求时，驻留节点简化访问控制策略，简化的方法是将非邻居访问者以及与当前业务不相关的访问目标、操作、功能属性的对应字段的启停标识位设置为停止，检索时跳过；访问控制服务器分析业务流经的节点集合，定位影响时延的若干节点；将时延超过设定阈值的节点任务分配到具有冗余资源的邻居节点，从而加快处理时间；处理现场大量实时业务数据时，通知业务流经节点只查验身份和进行简单属性校验；

20.业务连通性要求：访问控制引擎发现业务连通异常时，修改访问控制策略，如果是时延不满足要求造成的不连通，则按照业务时延要求简化访问控制策略；如果是非冗余关键节点不符合访问控制策略被阻断或被恶意攻击导致消息阻断，临时调整当前节点对关键指令的访问权限，赋予关键指令正常流转的最低访问权限，确保关键指令流通，然后对异常节点做如下处理：若存在备用节点，对比备用节点访问权限，如果备用节点能够正常传输数据，则切换到备用节点，且切换时延尽可能小；即刻上报异常，通知访问控制服务器启动预警机制，在线或离线进一步检测异常行为；对于非冗余关键节点被恶意攻击导致消息阻断的情况，在临时调整访问权限后，还需要将写操作涉及的关键指令加壳或转换成不可操作，阻止附带攻击信息的传播。

21.进一步地，所述访问控制策略动态调整与接口模块根据异常分析与追溯模块的异常行为分析结果，对不合规和未授权操作行为通知相关节点补充访问控制策略的功能约束，对阻断篡改行为通知相关节点加固安全措施；定期与域内其他节点的访问控制引擎交换访问控制策略；访问控制服务器分析跨节点业务数据流在各节点访问要求，调整节点访

问控制策略，实现协同工作；访问控制服务器在薄弱节点的上下游资源充足节点加载充分的细粒度访问控制，及时阻断风险，或选择资源充足的邻居节点从发出端实施对薄弱节点的访问控制，不满足薄弱节点的访问控制策略的指令不允许发出。

22.本发明的有益效果在于：

23.1.设计访问控制引擎，是基于可信计算的主动免疫方案的访问控制技术的具体实现。

24.2.有效防止非授权节点访问工业控制系统的设备、网络、数据。通过tpm确保系统资源的环境可信性。针对工控系统关键指令、控制程序这两类异构数据，部署细粒度的访问控制策略，防止非授权访问和不合规访问；

25.3.访问控制引擎与访问控制服务器联动，根据业务实时性需求，动态调整访问控制策略，使得动态加载的访问控制策略满足节点的资源限制、业务时延要求、业务连通性要求等可用性约束，更具有实用性。

附图说明

26.图1为本发明具体实施例中一种工业控制系统主动可加载的访问控制引擎的架构图；

27.图2为本发明具体实施例的一种工业控制系统主动可加载的访问控制引擎的部署示意图。

具体实施方式

28.下面结合附图和具体实施例对本发明进一步说明。

29.本发明实施例提供一种工业控制系统主动可加载的访问控制引擎，如图1所示，包括如下模块：tpm(trusted platform module)可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。

30.tpm可信环境度量模块用于动态验证驻留节点的环境可信性，防止内部操作者对操作系统和应用软件的不合规操作，以及外部恶意代码对驻留节点操作系统的非授权控制；由于tpm的寄存器pcr安全性高，可用于暂存访问控制关键信息，如控制指令的哈希值。

31.细粒度访问控制功能模块实现驻留节点的基于属性的访问控制功能，包括基于属性的访问控制功能实现、根据关键指令和控制程序这两类异构数据访问控制需求设计匹配的访问控制策略、访问控制标识和索引添加，对访问请求数据提取属性，进行属性匹配和策略查询，对异常行为动态阻断。

32.异常分析与追溯模块用于识别tpm可信环境度量模块、细粒度访问控制功能模块和访问控制策略动态调整与接口模块发现的违背访问控制策略的异常行为，分析异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点，形成异常信息条目，协助访问控制策略动态调整与接口模块追溯上下文异常节点。

33.访问控制策略动态调整与接口模块功能包括与部署在监控网总线上的访问控制服务器交互，实现访问控制策略的定期备份上传，接受来自访问控制服务器更新的访问控制策略的下载；还包括控制业务可用性约束下的访问控制策略动态调整、与邻居节点协同工作。

34.本发明实施例访问控制引擎的部署示意图如图2所示。访问控制引擎以嵌入式方式部署在工业控制系统的各个节点的冗余空间中，这些节点包括企业网的工作站和应用服务器，监控网的数据服务器、历史服务器、opc服务器、hmi、控制服务器，现场网的控制器(plc、rtu)、传感器。访问控制服务器部署在监控网总线上，与监控网和企业网中每个节点的访问控制引擎相连，实现访问控制策略定期收集、更新和加载以及调整。各个访问控制引擎也能够相互通信。传感器的访问控制引擎需要通过plc、rtu才能与访问控制服务器相连。

35.在资源冗余节点，启动引擎的全部功能模块，tpm可信环境度量模块以部署tpm芯片实现，无法部署硬件时，以软件代码模块实现；细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块以软件代码模块实现；在资源有限节点，如部分传感器，不部署tpm可信环境度量模块。

36.在一个实施例中，所述tpm可信环境度量模块将操作系统关键信息(操作系统版本号、序列号、操作系统日志)和应用软件关键信息(软件版本号、软件代码校验值)保存在不可更改的内存中；按照一定频率(tpm具有可调节的工作频率，根据访问控制策略的要求进行频率调节，本实施例中取50ms/次)，主动验证运行中的操作系统和应用软件的关键信息的完整性，验证方法采用hash值比对；tpm可信环境度量模块设置验证频率和启停标识位，用于后续访问控制策略调整；驻留节点通过环境可信验证后，tpm可信环境度量模块反馈结果到细粒度访问控制功能模块，验证不通过时，反馈到异常分析与追溯模块。

37.在一个实施例中，所述细粒度访问控制功能模块，对驻留节点的控制程序实施访问控制；由控制程序驻留节点的访问控制引擎制定控制程序的访问控制策略，采用基于属性的访问控制方法(abac)，策略字段组成结构是{启停标识位，访问者身份，被访问者身份，操作，功能属性，功能约束}；访问控制引擎收到对控制程序的访问请求，执行制定的访问控制策略，如果策略字段的每个属性项都符合访问控制策略，则允许访问，否则阻断访问并预警。对于控制服务器和控制器中的控制程序，与现场业务密切相关，访问控制策略字段中的功能属性和功能约束应重点描述对控制程序的非授权操作和不合规操作(比如流程工控系统中，控制器中的用于调节温度的控制程序只允许控制服务器在设置温度时执行写操作，在升温或降温操作时只允许读操作，其他关联流程时不允许对调节温度的控制程序进行操作，违背这些不合规的操作会带来危险)；对于工作站中的控制程序，其功能属性和功能约束主要描述对控制程序的非授权操作和阻断。

38.所述细粒度访问控制功能模块，对传输的关键指令实施访问控制；指令传输节点的访问控制引擎制定传输关键指令的访问控制策略，采用基于属性的访问控制方法(abac)，策略字段组成结构是{启停标识位，访问者身份，被访问者身份，操作，功能属性，功能约束}；关键指令的访问控制有两种模式：一种是在发出端执行访问控制，对于控制器发送指令到执行器，控制器的访问控制引擎检查待发出指令的启停标识位、身份属性、操作、功能属性、功能约束，所有属性项都符合访问控制策略才允许指令发出，其中功能属性和功能约束规定了指令操作的合规性，根据执行器的功能属性可确定执行过程中的任务逻辑，在功能约束中加入不合规的操作条款(比如驱动电机正向转动时，突然发送让其立刻改变转向的操作(可能是恶意数据指令)是不符合常规的；阀门开启时，没关闭之前的再次开启操作也是不合规操作；在化工排气过程中，要求执行加压操作也是不合规的)；另外一种是在接收端执行访问控制，例如控制器发送指令到传感器，传感器的访问控制引擎检查收到

指令的启停标识位、身份属性、操作、功能属性、功能约束，所有属性项都符合访问控制策略才接收并处理指令。根据接收节点的功能属性可以确定发送来的指令的不合规的情形，并加入到功能约束中，例如要求从温度传感器获取湿度数据的指令是不合规的。

39.所述细粒度访问控制功能模块，支持控制程序和传输指令的完整性校验；静态控制程序由tpm可信环境度量模块保证其完整性，通过hash校验实现；在控制程序的执行与传输指令的交互过程中，动态创建虚拟隔离环境，将参与执行和交互的控制程序、传输指令、传输指令的哈希值存入虚拟隔离环境，避免非授权访问；指令接收者或指令传输的中间节点能够验证指令数据是否被篡改。

40.在一个实施例中，所述异常分析与追溯模块，确认收到的违背访问控制策略的异常行为，重点归类分析未授权访问、不合规访问、阻断篡改3类异常行为的来源节点身份、异常行为类别、被威胁对象身份、威胁类型、涉及的邻居节点，形成异常信息条目，并与存储的异常数据库核对，将分析结果上报到访问控制策略动态调整与接口模块；协助访问控制策略动态调整与接口模块追溯上下文(同一个场景下的多条链路上相连通的多个节点)异常节点、定位故障；接收来自访问控制服务器推送的异常数据库，及时更新异常数据库。

41.在一个实施例中，所述访问控制策略动态调整与接口模块与访问控制服务器交互，定期上传访问控制引擎制定的访问控制策略，并接受访问控制服务器对驻留节点的访问控制策略的加载；交互过程采用主流工业协议，策略数据加密传输。

42.在一个实施例中，所述访问控制策略动态调整与接口模块根据工控业务可用性约束动态调整驻留节点的访问控制策略，可用性约束包括三个方面：节点资源限制、业务时延要求、业务连通性要求；

43.节点资源限制：访问控制引擎实时计算当前节点执行访问控制策略时的计算和空间资源损耗，当资源损耗超过节点剩余资源一定比例时，本实施例中设置为80％，降低或关闭tpm可信环境度量模块监测频率，减少访问控制策略数量，避免节点崩溃；

44.业务时延要求：访问控制引擎实时计算驻留节点执行访问控制策略时的时延增加情况；当时延不满足业务处理时延要求时，驻留节点简化访问控制策略，具体方法包括只启动部分访问控制策略，将非邻居访问者以及与当前业务不相关的访问目标、操作、功能属性的对应字段的启停标识位设置为停止，检索时跳过；访问控制服务器分析业务流经的节点集合，定位影响时延的若干节点；将时延超过设定阈值的节点任务分配到具有冗余资源的邻居节点，从而加快处理时间；处理现场大量实时业务数据时，通知业务流经节点只查验身份和进行简单属性校验，简单属性校验可采用如下方式：只检查访问者身份、被访问者身份、操作、功能属性中的关键参数的符合性；

45.业务连通性要求：业务不连通的情况通常包括接收端超过设定时延未收到业务数据，非冗余关键节点出现异常被访问控制策略阻断，非冗余关键节点被恶意攻击导致消息阻断；访问控制引擎发现业务连通异常时，修改访问控制策略，如果是时延不满足要求造成的不连通，则按照上述业务时延要求简化访问控制策略；如果是非冗余关键节点不符合访问控制策略被阻断或被恶意攻击导致消息阻断，临时调整当前节点对关键指令的访问权限，赋予关键指令正常流转的最低访问权限(如允许流转、读操作)，确保关键指令流通，然后对异常节点做如下处理：若存在备用节点，对比备用节点访问权限，如果备用节点可以正常传输数据，则切换到备用节点，且切换时延尽可能小；即刻上报异常，通知访问控制服务

器启动预警机制，在线或离线进一步检测异常行为；另外，对于非冗余关键节点被恶意攻击导致消息阻断的情况，在上述临时调整访问权限后，还需要将写操作涉及的关键指令加壳(如用随机数对数据异或操作)或转换成不可操作(禁用写操作)，阻止附带攻击信息的传播。

46.在一个实施例中，所述访问控制策略动态调整与接口模块根据异常分析与追溯模块的异常行为分析结果，对不合规和未授权操作行为通知相关节点补充访问控制策略的功能约束，对阻断篡改行为通知相关节点加固安全措施；定期与域内其他节点的访问控制引擎交换访问控制策略；访问控制服务器分析跨节点业务数据流在各节点访问要求，调整节点访问控制策略，实现协同工作。因为可用性约束下，各节点加载差异化的访问控制策略，不可避免存在薄弱节点，其由于tpm频率降低或访问控制策略简化，识别能力下降。此时访问控制服务器可在该薄弱节点的上下游资源充足节点加载充分的细粒度访问控制，及时阻断风险；或选择资源充足的邻居节点从发出端实施对该薄弱节点的访问控制，不满足该薄弱节点的访问控制策略的指令不允许发出。

47.上述实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和改变，都落入本发明的保护范围。

（编辑：南平站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!