現(xiàn)場總線通信安全的設(shè)計與實(shí)現(xiàn)

1、現(xiàn)場總線通信安全的設(shè)計與實(shí)現(xiàn)摘要：現(xiàn)場總線的特點(diǎn)是開放、互聯(lián)，這是它優(yōu)于其它形式系統(tǒng)的根本原因。但是這種開放互聯(lián)的性質(zhì)也給現(xiàn)場總線系統(tǒng)帶來了不安全因素。討論了現(xiàn)場總線系統(tǒng)的通信安全問題，指出這一問題的重要性，提出了在設(shè)備層實(shí)現(xiàn)通信安全的方案。根據(jù)現(xiàn)場總線技術(shù)的特點(diǎn)和發(fā)展現(xiàn)狀提出了模塊化的加密方案，并且對這一方案的適用性進(jìn)行了分析，同時也探討了其對總線通信性能的影響。 我國已經(jīng)提出了“以信息化推動工業(yè)化”的戰(zhàn)略。在生產(chǎn)自動化系統(tǒng)中實(shí)現(xiàn)信息交換和共享并以此為基礎(chǔ)實(shí)施企業(yè)CIMS工程已成為人們的共識，這必將成為自動化系統(tǒng)未來發(fā)展的方向?，F(xiàn)場總線在這一系統(tǒng)中扮演了重要的角色，它為底層的智能設(shè)備提供了開

2、放的通信平臺，使之能夠?qū)崟r地進(jìn)行數(shù)據(jù)交換。而且便于自動化系統(tǒng)與企業(yè)局域網(wǎng)互聯(lián)，從而實(shí)現(xiàn)任意時刻、任意地點(diǎn)的控制，進(jìn)而推進(jìn)整個企業(yè)的自動化、信息化進(jìn)程。1 問題的提出在生產(chǎn)一線上采用基于現(xiàn)場總線的控制系統(tǒng)。當(dāng)中藥配料落入秤斗中時，Panther儀表就可以檢測出這個變化，經(jīng)過A/D轉(zhuǎn)換變成以數(shù)字表示的稱重數(shù)值。通過RIO接口，PLC程序可直接讀取Panther的稱重數(shù)值。智能儀表與控制器作為總線節(jié)點(diǎn)，依托總線進(jìn)行相互通信，協(xié)調(diào)工作?？梢钥吹交诂F(xiàn)場總線的這一系統(tǒng)結(jié)構(gòu)簡單，成本較低，可以有靈活的控制，可擴(kuò)展性強(qiáng)。而且能夠方便地與企業(yè)局域網(wǎng)進(jìn)行通信，從而滿足遠(yuǎn)程控制的要求?？墒俏覀儼l(fā)現(xiàn)，在現(xiàn)場總線一級

3、的設(shè)備之間的通信是不安全的，如圖2中，監(jiān)聽者可以獲取信道中的數(shù)據(jù)?，F(xiàn)場總線協(xié)議標(biāo)準(zhǔn)是公開的，這些數(shù)據(jù)很容易被解釋為有意義的信息，那么各個節(jié)點(diǎn)之間的通信就沒有任何保密性可言?，F(xiàn)場總線數(shù)據(jù)交換中的這種不安全因素來自于協(xié)議本身?，F(xiàn)場總線采用類似局域網(wǎng)的廣播報文方式進(jìn)行通信，那么上面的這種竊聽就可以獲取總線上通信的所有信息。對于一個中藥廠來說，藥品的配方就是企業(yè)的生命，如果這些信息被竊取，后果將不堪設(shè)想。推而廣泛，現(xiàn)代企業(yè)的許多關(guān)鍵技術(shù)都會在生產(chǎn)一線的儀器工作參數(shù)中體現(xiàn)出來，那么隨著企業(yè)的自動化、信息化程度的提高，信息的不安全性也越來越高。企業(yè)的現(xiàn)代化進(jìn)程是不可避免的，在這一過程中，必須對信息安全提出

4、越來越高的要求，對于采用現(xiàn)場部構(gòu)建的生產(chǎn)自動化系統(tǒng)，應(yīng)該考慮總線網(wǎng)段的通信安全。2 解決方案我們提出的是一種進(jìn)行設(shè)備間通信加密的方案，來解決上面提出的問題?，F(xiàn)場總線網(wǎng)段上設(shè)備的通信加密不同于目前通常的網(wǎng)絡(luò)通信加密，需要考慮實(shí)現(xiàn)加密的層次、實(shí)現(xiàn)方法以及對性能影響等諸多因素。2.1 實(shí)現(xiàn)安全的層次加密層次的選擇是相當(dāng)關(guān)鍵的。這不僅涉及到對系統(tǒng)性能的影響，也決定著方案是否具有可行性。加密與解密應(yīng)在同一層次進(jìn)行。如圖3所示，通常有幾種可能的選擇：（1）在應(yīng)用層實(shí)現(xiàn)。這需要由用戶選擇加密算法進(jìn)行編程，然后利用智能儀表和控制器的運(yùn)算能力將數(shù)據(jù)轉(zhuǎn)化為密文，交給下層處理。同時，應(yīng)用層也要負(fù)責(zé)解密。（2）集成于

5、邏輯鏈路控制子層（LLC子層）或介質(zhì)訪問控制子層（MAC子層）。這兩種選擇都需要對現(xiàn)有的LLC或MAC層的協(xié)議進(jìn)行改動，是相當(dāng)復(fù)雜的工作。因?yàn)楝F(xiàn)場總線的協(xié)議還沒有完全標(biāo)準(zhǔn)化，各種協(xié)議在底層的實(shí)現(xiàn)不同，進(jìn)行集成的工作會影響各類總線，而且這種改動既涉及到協(xié)議制定者，又影響到設(shè)備生產(chǎn)者，不會是一件容易的事性。這種方案也會使原有的LLC和MAC層的協(xié)議更加復(fù)雜。（3）在LLC與MAC之間插入一層獨(dú)立的加密棧，它對上（LLC）子層）提供加密解密服務(wù)，對下（MAC子層）調(diào)用數(shù)據(jù)傳送服務(wù)。這一加密棧功能單一，只涉及加密解密起始位置的判定和加密解密的具體實(shí)現(xiàn)。它避免了在其它層次集成加密解密功能時對原有協(xié)議功能

6、的干擾與破壞，所以這是一種簡單有效的方案。因此我們選擇本方案。下面我們分析一下嵌入加密棧后的數(shù)據(jù)流程，如圖4所示。加密棧只對數(shù)據(jù)進(jìn)行加密，而不改變標(biāo)識符和控制碼。對MAC層而言，它不會察覺數(shù)據(jù)已被加密，只將密文作為通常數(shù)據(jù)而與標(biāo)識符、控制符一同分幀、校驗(yàn)，交給物理層傳輸。在接收方的數(shù)據(jù)流動與之相反，加密棧此時行使解密功能，對上下層仍然是透明的。可見，加密模塊的加入，并不影響其它層次的工作，它的這種透明對于保持現(xiàn)有的協(xié)議完整性相當(dāng)重要。目前現(xiàn)場總線的層次結(jié)構(gòu)不是標(biāo)準(zhǔn)的OSI七層結(jié)構(gòu)1，有很多層并沒有被實(shí)現(xiàn)，所以選擇LLC以上的層次不具有通用性。對于各類總線，MAC層是一定存在的，加密棧一定可以調(diào)

7、用MAC層的數(shù)據(jù)傳輸服務(wù)。雖然不同的總線協(xié)議有所不同，但是加密棧的概念對所有類型的總線都是適用的，因此這種方案具有通用性。對于我們剛才提出的系統(tǒng)，要求每一節(jié)點(diǎn)實(shí)現(xiàn)加密通信。這樣，即使是從總線上竊取了數(shù)據(jù)，也無法得到有用的信息，于是通信安全得到保障。2.2 方案的實(shí)現(xiàn)我們選擇在LLC與MAC之間進(jìn)行加密，具體的實(shí)現(xiàn)是利用硬件進(jìn)行加密。硬件加密的優(yōu)點(diǎn)在于速度快，同時硬件的保密性更強(qiáng)，算法不容易被破解，當(dāng)然硬件應(yīng)當(dāng)能支持多種加密算法以便于用戶選擇。關(guān)于硬件加密的實(shí)現(xiàn)，可以參閱文獻(xiàn)2。文獻(xiàn)3對2文的不足之處進(jìn)行了補(bǔ)充，文獻(xiàn)4提出了構(gòu)造偽隨機(jī)數(shù)進(jìn)行加密的方法。3 更深入的問題3.1 密鑰的分配3.2 性

8、能分析對于現(xiàn)場總線系統(tǒng)性能的要求主要是實(shí)時性。毫無疑問，增加了數(shù)據(jù)加密解密環(huán)節(jié)會增加設(shè)備響應(yīng)時間，但是這種延遲是不是一定會影響工業(yè)所需的實(shí)時性呢？答案是未必，因?yàn)槲覀兲岢龅姆桨甘腔谟布用艿?。硬件的運(yùn)算速度可以滿足工業(yè)實(shí)時控制的需要，只要選擇適合系統(tǒng)要求的算法，方案的強(qiáng)健性與實(shí)時性都可以得到保障。3.3 混合系統(tǒng)與系統(tǒng)互聯(lián) 混合系統(tǒng)指的是一個系統(tǒng)中既有需加密的節(jié)點(diǎn)又存在不加密的節(jié)點(diǎn)。例如一條總線上，關(guān)鍵設(shè)備通信時數(shù)據(jù)需要加密，而非關(guān)鍵設(shè)備數(shù)據(jù)不進(jìn)行加密，于是信道上既有明文又有密文，這時就需要有一個預(yù)先的約定，使關(guān)鍵設(shè)備能識別所接收的數(shù)據(jù)是明文還是密文，并進(jìn)行相應(yīng)處理。對于明文則將解密棧屏蔽而

9、把明文直接向上層傳送（這里體現(xiàn)出棧式加密結(jié)構(gòu)的優(yōu)點(diǎn)功能獨(dú)立、可以選擇實(shí)現(xiàn)）。注意此時非關(guān)鍵設(shè)備不能接收關(guān)鍵設(shè)備數(shù)據(jù)（密文）。這實(shí)現(xiàn)上是一種分級的安全策略，需要在通信協(xié)議中規(guī)定標(biāo)識位指明這種優(yōu)先級別?；旌舷到y(tǒng)的另一種情形是對不具有加密能力的設(shè)備也有通信加密要求，此時可通過提供硬件接口方式提供加密功能，這樣就能夠提供對原有系統(tǒng)的兼容，只要增加少投資就可大大提高敏感區(qū)域的安全性?；诮涌诘陌踩ㄐ欧桨溉鐖D5所示。添加接口之后，總線網(wǎng)段上的數(shù)據(jù)便成為密文。這樣，沒有加密功能的設(shè)備能利用接口進(jìn)行密文通信，在混合系統(tǒng)中也能實(shí)現(xiàn)統(tǒng)一的加密通信。采用添加接口的方法，成本會提高，時延也會有所增加，但對于需要保護(hù)原有投資而又有較強(qiáng)安全需求的用戶，卻是一種效的解決方案。不同的現(xiàn)場總線網(wǎng)段之間，可以通過網(wǎng)橋相聯(lián)，系統(tǒng)的結(jié)構(gòu)與圖5相似。網(wǎng)橋中需要有兩條總線的加密接口，之上才是協(xié)議的確認(rèn)與轉(zhuǎn)換過程。由于加密是在LLC以下實(shí)現(xiàn)的，所以它不會影響到協(xié)議轉(zhuǎn)換。現(xiàn)場總線可以通過通信控制器與工廠內(nèi)部網(wǎng)相聯(lián)，通信控制器作為一個以太網(wǎng)節(jié)點(diǎn)接入以太網(wǎng)，數(shù)據(jù)通信通信控制器時不做解密工作，直接按原密文傳送，上位機(jī)作另一個節(jié)點(diǎn)與通信控制器進(jìn)行密文通信，這就大大提高了以太網(wǎng)段上總線數(shù)據(jù)的安全性。與之相逆的過程中，上位機(jī)信息必須加密后才能進(jìn)入以太網(wǎng)段，經(jīng)過通信控制器進(jìn)入總線。這樣就能實(shí)現(xiàn)安全的