一种工业控制系统异常行为可信防护的访问控制管理架构

1.本发明属于工业互联网领域，具体是涉及一种工业控制系统异常行为可信防护的访问控制管理架构。


背景技术：

2.工业控制系统广泛应用于电力、石化、水处理、天然气等关键工业场景中，扮演中枢神经作用。由于工控系统开放互联以及通用智能化构件广泛应用的趋势，病毒、木马等威胁正在向工业网络扩散，工业控制系统防护已成为当前关注热点。工业控制系统可用性要求高、业务连续性强、专用协议和嵌入式系统运行等，使得当前防御方法捉襟见肘。工控系统主动防御技术逐渐成为新的研究方向，典型工作包括张镇勇等人提出的移动目标防御方法等，邬江兴提出的基于拟态计算的防御方法，沈昌祥提出的基于可信计算的主动免疫方法(简称可信免疫方法)。可信免疫方法主要在计算环境、区域边界、通信网络上部署可信计算芯片和安全加固协议，在安全管理平台支持下，采用完整性度量方法，审计主、客体访问行为并主动监控主客体运行状态，异常行为无法执行且被检测报警。访问控制策略是实现行为控制的基本方法。
3.当前针对普通信息系统国内外已提出一系列访问控制方法，典型的包括基于身份的访问控制、基于角色的访问控制、基于属性的访问控制等。然而现有的可信免疫方法未考虑工控系统的可用性需求，针对设备种类繁多、协议多样的工控系统，建立适合工控特点的访问控制架构是难点。另外，在访问控制策略上，区域边界和通信网络上对象的可信验证并不能解决合法对象实施不合规行为。如流程工控系统的油气分离操作，燃气升温加压、混合、反应、排气等流程是严格顺次，随意操作将带来危险，访问控制需要考虑控制流的时序关系。


技术实现要素：

4.为了解决背景技术中存在的问题和需求，本发明提供了一种工业控制系统异常行为可信防护的访问控制管理架构。该架构包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块的部署；工控系统监控网计算设备、工作站、外设的未授权访问和指令篡改/阻断的识别与控制；工控系统现场网络计算节点的不合规行为识别与控制；基于能量、时延、连通性的可用性约束的访问控制策略动态调整与加载。
5.本发明的目的是通过以下技术方案实现的：
6.本发明包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块；
7.总访问控制服务器和外设访问控制服务器均部署于工业控制系统的监控网络中，总访问控制服务器和外设访问控制服务器相连，总访问控制服务器用于对监控网络的各节点实施访问控制的管理，外设访问控制服务器用于对工业控制系统外部的节点的远程访问实施访问控制；工业控制系统的现场网络按照工业过程划分为功能单一的域，在各个域中
分别部署对应的子策略服务器，各个子策略服务器均与总访问控制服务器相连，每个子策略服务器用于对域内节点实施访问控制的管理；
8.工业控制系统中，除了总访问控制服务器、外设访问控制服务器、子策略服务器，其他设置有计算设备的节点均部署有访问控制模块，
9.每个访问控制模块包含功能接口模块、访问控制策略实现模块和数据域，功能接口模块用于与其他节点通信；访问控制策略实现模块用于监测所属节点的访问控制行为；数据域用于访问控制策略所需数据的收集和存储。
10.总访问控制服务器和各个子策略服务器汇总、确认、存储来自对应节点的访问控制模块中制定的访问控制策略，并根据对应节点上报的异常、跨节点异常识别和节点可用性约束，与对应访问控制模块的功能接口模块通信，实施对应访问控制模块的访问控制策略的动态调整。
11.所述外设访问控制服务器中，首先对工业控制系统外部的节点依次进行身份识别和行为控制；
12.当行为控制通过后，建立安全虚拟域，提取工业控制系统外部的节点对工业控制系统的访问需要后，将外部的节点需要访问的数据收集并存储于安全虚拟域中以供外设访问；访问结束后，撤销安全虚拟域；
13.当外设访问控制服务器识别出异常行为时，进行访问控制决策，同时向总访问控制服务器报告，总访问控制服务器与检测服务器连接，检测服务器对异常行为进行确认和在线检测，并返回结果到总访问控制服务器。
14.所述每个子策略服务器用于对来自opc服务器和人机接口hmi对与当前策略服务器相连的plc的访问请求进行识别，具体识别对plc非授权的访问行为和控制指令的篡改/阻断行为；
15.确认与当前子策略服务器相连的plc中的不合规操作；
16.若plc和传感器节点的访问控制模块识别出异常行为时，则向所属的子策略服务器报告，进而子策略服务器指示相连的plc处理异常；
17.所述每个子策略服务器定期向总访问控制服务器报告异常，总访问控制服务器与检测服务器连接，若当前子策略服务器提交的异常总访问控制服务器无法确认时，检测服务器对总访问控制服务器上报的异常进行确认和在线检测。
18.所述工业控制系统中，opc服务器、人机接口hmi、数据服务器、历史服务器和工作站还部署有tpm可信模块，用于保证节点的计算环境的可信性。
19.所述opc服务器、人机接口hmi、数据服务器、历史服务器和工作站中，每个访问控制模块用于识别对应节点通信过程中的非授权访问和指令篡改/阻断；
20.当每个tpm可信模块识别出计算环境的非授权访问时，向对应访问控制模块报告，访问控制模块及时向对应节点预警并修复；
21.每个访问控制模块对流经对应节点的数据流进行身份验证、数据的加密传输、异常行为校验；
22.当每个访问控制模块识别出异常行为时，进行访问控制决策，同时向总访问控制服务器报告，总访问控制服务器与检测服务器连接，检测服务器对对应异常进行确认和在线检测。
23.所述每个子策略服务器还加载域内和域间的顺次性规则，当节点能量或时延不满足要求时，plc和传感器的访问控制模块只验证顺次性规则破坏的不合规访问。
24.所述opc服务器和人机接口hmi的tpm可信模块的监测频率在常规监测阶段降低，在异常情况下则恢复至正常监测频率；
25.数据服务器、历史服务器和工作站的tpm可信模块的监测频率在常规监测阶段降低或者tpm可信模块停止监测，在异常情况下则启动tpm可信模块的监测功能。
26.每个访问控制模块中，在检测到异常行为时，如果是在数据流转完成后发现的异常，由当前节点通知下一跳节点进行异常检测；如果是数据流转处理中检测到异常则当前节点直接处理；在处理异常行为过程中，异常的非冗余关键节点不能直接阻断，总访问控制服务器或子策略服务器修改当前或者下一跳节点的访问控制策略，临时提高发生异常的节点的访问控制权限，保持关键数据正常流转的最低权限，同时当前或者下一跳节点即刻向总访问控制服务器上报异常。
27.本发明的有益效果在于：
28.1.提出工控系统总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块的部署方法；
29.2.在监控网络和工作站中，能有效防止非授权节点访问工业控制系统的资源和数据。通过tpm可信模块确保节点环境可信性，通过身份认证和异常行为识别阻止网络节点非授权访问，通过关键数据加密实现数据的机密性；
30.3.有效防止工业现场网络节点的不合规行为。在基于属性访问验证策略中标记顺次性规则，识别不合规操作；
31.4.有效防止外设对工控系统的直接访问。采用外设访问控制服务器对外设进行身份认证和行为识别。外设需要访问工控系统数据时，将外设请求的数据重定位到外设访问控制服务器的安全虚拟域中；
32.5.根据节点可用性约束(节点能量、业务处理时延、业务连通性)因素，优化策略部署强度。避免部署的访问控制策略影响工控系统的可用性。
附图说明
33.图1为本发明具体实施例的一种工业控制系统异常行为可信防护的访问控制管理架构的部署方案图。
具体实施方式
34.下面结合附图和具体实施例对本发明进一步说明。
35.图1为本发明具体实施例的一种工业控制系统异常行为可信防护的访问控制管理架构的部署方案图。工控网络分为企业管理网，监控网络和现场网络，中间用虚线隔开。现场网络按流程逻辑分成多个区。访问控制服务器部署在监控网总线上，实现全局访问控制策略的收集、加载，以及监控网直连节点和工作站的访问策略管理，并连接检测服务器实现异常行为的上报和审计。外设访问控制服务器部署在外设接入端，对外部接入节点实施访问控制，将外设节点请求的数据重定位到外设访问控制服务器的安全虚拟域中，避免对工控设备的威胁。工业现场网络边界端的子策略服务器a1，a2，a3分别负责域内的工业现场网
络访问控制规则收集、加载、调整，并与邻域子策略服务器交换信息。访问控制模块加载到工控网络各个计算节点上，tpm可信模块部署在计算能力较强的监控网节点和工作站上。节点内访问控制模块与tpm可信模块一起执行设备和数据的可信识别与访问决策，异常时上报预警信息到总访问控制服务器。
36.如图1所示，本发明包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块；
37.工业控制网络从上到下包括企业网络、监控网络和现场网络，利用工控系统层次化网络架构及各层网络不同可用性需求，部署总访问控制服务器到监控网总线中，集中式管理工控网络访问策略全集。
38.总访问控制服务器和外设访问控制服务器均部署于工业控制系统的监控网络中，总访问控制服务器和外设访问控制服务器相连，总访问控制服务器用于对监控网络的各节点实施细粒度访问控制的管理，外设访问控制服务器用于对工业控制系统外部的节点的远程访问实施细粒度访问控制；
39.工业控制系统的现场网络按照工业过程划分为功能单一的域，在各个域中分别部署对应的子策略服务器，各个子策略服务器均与总访问控制服务器相连，每个子策略服务器用于对域内节点实施细粒度访问控制的管理，包括策略收集、异常的确认、跨节点访问控制的调整(控制数据在多个节点间流动，如果某个节点能量不足，子策略服务器可以调整该节点的上一跳节点或下一跳节点的访问控制复杂度，实现节点间的协调)；按照工业过程划分独立工业网络，一个控制器控制一个流程，如燃气升温加压、混合、反应、排气等，工业过程1对应燃气升温加压，工业过程2对应混合，依此类推。用户、任务周期、对象、操作等4个维度需严格对应。现场操作者的基本操作包括{read，write，configure}。如对于plc1操作者，其访问策略可设置为(plc1,(t1,start),(t2,stop),write,actuator1)，表示主体plc1在t
1-t2时间内可对actuator1执行写操作。
40.访问控制服务器是访问控制策略的管理服务器，用于汇总和确认节点发来的访问控制策略，与节点的接口通信调整访问控制策略，包括协调跨多个节点的恶意行为识别，能量和时延不足时调整访问控制强度，异常时收集异常并进行判断并上报检测服务器检测。
41.工业控制系统中，除了总访问控制服务器、外设访问控制服务器、子策略服务器，其他设置有计算设备的节点均部署有访问控制模块，其他设置有计算设备的节点具体为企业网络中的工作站，监控网络中的opc服务器、人机接口hmi、数据服务器和历史服务器，现场网络中的plc和传感器。在现场网络的各个域中，节点还包括plc、传感器和执行器，其中执行器没有冗余计算能力，不部署访问控制模块。
42.每个访问控制模块包含功能接口模块、访问控制策略实现模块和数据域，功能接口模块用于与其他节点通信；访问控制策略实现模块中部署基于属性的访问控制策略，各个节点根据自身的访问控制需求，制定访问控制策略。用于监测所属节点的访问控制行为；数据域用于访问控制策略所需数据的收集和存储。
43.总访问控制服务器和各个子策略服务器汇总、确认、存储来自对应节点的访问控制模块中制定的访问控制策略，并根据对应节点上报的异常、跨节点异常识别和节点可用性约束，可用性约束具体为工业控制系统动态运行中各个节点的能量变化、涉及多节点的业务时延、业务流的连通性要求，与对应访问控制模块的功能接口模块通信，实施对应访问
控制模块的访问控制策略的动态调整。
44.总访问控制服务器收集上传的访问控制策略并存档，访问策略来源为工业控制系统中与总访问控制服务器直连的节点所属的访问控制模块以及子策略服务器。根据节点可用性调整访问策略复杂度。当节点能量、时延、连通性不满足要求时，总访问控制服务器指示节点内的访问控制模块降低访问控制策略数量，方法为关闭若干个访问控制策略开闭指示器，访问控制每条策略都有一个字段指示该条策略是否启用或关闭，同类型的访问控制策略支持属性搜索，比如不需要进行环境属性校验时，可搜索环境属性相关的策略条目，直接关闭该条策略的执行。从而减少整个策略的执行时间。
45.工作站、监控网络节点、plc之间处理的数据流是控制指令(密文)，执行身份认证和数据完整性校验的较细访问策略；现场网络plc、传感器、执行器之间处理的是大量实时流数据，查验身份、数据哈希校验、行为顺次性规则识别。
46.一般不确定异常才发送到总访问控制服务器，不确定异常包括2种情况：一是节点内的访问控制模块无法识别的异常，异常识别后结果逐级返回到访问控制模块中。二是节点之间异常，需要总访问控制服务器调整异常涉及的多个节点的访问控制策略，这种情况下，结果不需要返回到访问控制模块。监控网中返回到总访问控制服务器，现场网络返回到子策略服务器即可。
47.外设访问控制服务器中，首先对工业控制系统外部的节点(即外设)依次进行身份识别和行为控制；具体地，身份识别是指外设访问控制服务器提取外设的ca身份证书内容，确定外设是否可信。行为控制是指访问控制的细粒度识别和控制，外设的访问需求中提取的任务周期、操作对象、环境属性(包括时间、位置、操作类型等)维度需严格与外设访问控制服务器中存储的访问控制策略对应。任何一项不符合则禁止操作行为。
48.当行为控制通过后，建立安全虚拟域，用于工业控制系统外部的节点访问使用，提取工业控制系统外部的节点对工业控制系统的访问需要后，将外部的节点需要访问的数据收集并存储于安全虚拟域中以供外设访问，起到阻止工业控制系统外部的节点对工业控制系统的内部节点直接访问的作用；访问结束后，撤销安全虚拟域；
49.当外设访问控制服务器识别出异常行为时，进行访问控制决策，具体执行阻断、预警或调整策略。同时向总访问控制服务器报告，总访问控制服务器与检测服务器连接，检测服务器对异常行为进行确认和在线检测，并返回结果到总访问控制服务器。
50.每个子策略服务器用于对来自opc服务器和人机接口hmi对与当前策略服务器相连的plc的访问请求进行识别，具体识别对plc非授权的访问行为和控制指令的篡改/阻断行为；
51.确认与当前子策略服务器相连的plc中的不合规操作，即不合规访问；
52.考虑到工业现场业务具有严格的顺次性，例如对于流程型控制系统，燃气升温加压、混合、反应、排气等流程是严格顺次。标记为加压的任务流，在任务周期内，不允许对混合执行器写操作，以免影响产品质量；标记为混合的任务流，在任务周期内，不允许加压操作，以免爆炸。不满足顺次规则的操作为不合规操作。
53.若plc和传感器节点的访问控制模块识别出异常行为时，即存在对plc非授权的访问行为、控制指令的篡改/阻断行为、不合规访问，则向所属的子策略服务器报告，进而子策略服务器指示相连的plc处理异常；具体执行阻断、预警或调整策略。
54.每个子策略服务器定期向总访问控制服务器报告异常，总访问控制服务器与检测服务器连接，若当前子策略服务器提交的异常总访问控制服务器无法确认时，检测服务器对总访问控制服务器上报的异常进行确认和在线检测。
55.每个子策略服务器还加载域内和域间的顺次性规则，现场设备能量受限、实时性要求高，现场网络plc、传感器、执行器之间一般处理的是大量实时流数据。当节点能量或时延不满足要求时，plc和传感器的访问控制模块只验证顺次性规则破坏的不合规访问，以及简单的身份和传输数据的哈希校验。域内顺次性规则描述每个域内的任务流程下，传感器、plc、执行器之间的逻辑顺次关系，误操作和违规操作将识别与阻止。
56.域间顺次性规则描述工业控制系统中不同任务流程的切换由相邻域的子策略服务器之间进行通讯和交接。
57.例如，相邻域的子策略服务器进行沟通，工业过程1流程完成时，由区域1中的子策略服务器a1发送请求给区域2中的子策略服务器a2，并禁用工业过程1流程，完成交接。
58.在一个工控网络中，每个访问控制模块的访问控制策略执行中，在检测到异常行为时，如果是在数据流转完成后发现的异常，由当前节点通知下一跳节点进行异常检测；如果是数据流转处理中检测到异常则当前节点直接处理；在处理异常行为过程中，异常的非冗余关键节点不能直接阻断，总访问控制服务器或子策略服务器修改当前或者下一跳节点的访问控制策略，临时提高发生异常的节点(即由于不满足访问控制策略，被访问控制阻断)的访问控制权限，保持关键数据正常流转的最低权限，确保控制正常操作连续性，同时当前或者下一跳节点即刻向总访问控制服务器上报异常。
59.工业控制系统中，opc服务器、人机接口hmi、数据服务器、历史服务器和工作站还部署有tpm可信模块，用于保证节点的计算环境的可信性。
60.opc服务器、人机接口hmi、数据服务器、历史服务器和工作站中，每个访问控制模块用于识别对应节点通信过程中的非授权访问和指令篡改/阻断；
61.当每个tpm可信模块识别出计算环境的非授权访问时，向对应访问控制模块报告，访问控制模块及时向对应节点预警并修复；
62.每个访问控制模块对流经对应节点的数据流进行身份验证、数据的加密传输、异常行为校验；具体地，访问控制模块首先判断数据流上一跳节点是否在当前节点访问控制列表中，访问控制模块提取证书内容，确定发起者是否可信；进一步地，将关键数据(如控制命令)在监控网中采用密文传输。当前节点如果是数据流目标节点，当前节点根据私钥解密数据，得到秘密数据。否则，签名数据并传输到下一跳节点。进一步地，监控当前节点的行为，考察是否有违背访问控制策略的行为，包括非授权操作、异常访问，传输数据的阻断/截获/篡改等。
63.当每个访问控制模块识别出异常行为时，进行访问控制决策，具体执行阻断、预警或调整策略。同时向总访问控制服务器报告，总访问控制服务器与检测服务器连接，检测服务器对对应异常进行确认和在线检测。
64.tpm可信模块按照预设频率验证计算环境的完整性，会造成较大的时延和能量需求，因此在可用性要求高的节点和业务优化tpm可信模块。opc服务器和人机接口hmii属于重要节点，opc服务器和人机接口hmi的tpm可信模块的监测频率在常规监测阶段降低，例如降低到50％，在异常情况下则恢复至正常监测频率；
65.数据服务器、历史服务器和工作站属于普通节点，数据服务器、历史服务器和工作站的tpm可信模块的监测频率在常规监测阶段降低或者tpm可信模块停止监测，在异常情况下则启动tpm可信模块(包括操作系统、主机、应用接口)的监测功能。
66.常规监测阶段是指异常情况之外的阶段，异常情况包括tpm可信模块检测出计算环境的非授权访问和访问控制模块检测出异常。
67.上述实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和改变，都落入本发明的保护范围。