一种使能边缘控制器安全可信的装置和方法制造方法及图纸

本发明专利技术公开了一种使能边缘控制器安全可信的装置，涉及工业控制系统技术领域，该发明专利技术包括外部接口模块、用户配置模块、虚拟控制器、可信度量模块和报警模块；本发明专利技术还公开了一种使能边缘控制器安全可信的方法，包括：S100、连接边缘控制器；S200、录入所述虚拟控制器；S300、组态度量；S400、期望度量；S500、行为度量；S600、计算综合信任值；S700、激活报警模块。本发明专利技术能够通过外接安全装置建立防御机制，在不改变已使用的边缘设备及装置的基础上，提高了现有边缘设备安全防护能力。

【技术实现步骤摘要】
一种使能边缘控制器安全可信的装置和方法
本专利技术涉及工业控制系统
，尤其涉及一种使能边缘控制器安全可信的装置和方法。
技术介绍
工业控制系统(IndustrialControlSystem，ICS)是国家关键基础设施的核心，也是关乎国计民生的咽喉所在。工控系统应用极为广泛，小到交通信号灯的控制、交通工具的运作等便民生活的行业，大到水电力、能源、石油化工、航空航天等国家重大基础设施，都离不开工控系统。起初，ICS作为一个独立封闭的系统，使用专有的硬件设备和操作软件，具有专属的现场通信协议，在物理上和逻辑上与企业管理系统隔离。但是随着信息技术与互联网水平的提高，大量流程工业、制造业企业都使用了ERP(EnterpriseResourcePlanning)、MES(ManufacturingExecutionSystem)、CRM(CustomerRelationshipManagement)等系统，使得这些企业都直接或间接地与外部互联网连接，在提高了工控系统的智能化和信息化程度的同时，也大大增加了工控系统的脆弱性。自2010年“震网”病毒以来，世界各国发生的被攻击事件也越来越多，可见工业控制系统已经成为了攻击者的重点攻击目标之一。而边缘控制器远离主机，常处于物理暴露的环境中，且自身安全防护能力不足，成为了攻击者的重点攻击对象。以工控领域中应用最广的边缘控制器PLC(可编程控制器)为例，不同厂商生产的PLC设备往往采用不同的软硬件和通讯协议，其安全防护手段只能由生产厂商去实施，无法积聚信息安全领域的专家知识。另外，PLC等工控设备存储资源与运算资源受限，强加密技术并不可行。因此即使是这些国际知名厂商生产的PLC设备，依旧存在较大的安全隐患。根据《中国工业互联网安全态势报告(2019)》，2019年间Siemens工控设备新增漏洞129个，Schneider工控设备新增漏洞55个。通过PLC可以了解当前边缘控制器的薄弱性。PLC采用循环扫描的工作方式，PLC对现场进行控制的步骤为：输入刷新——运行用户程序——输出刷新——再输入刷新——再运行用户程序——再输出刷新……如此循环运行。输入刷新通过输入电路监控现场控制信息(如开关变量)，并将控制信息存入PLC的输入映射区；根据输入映射区的数据运行用户程序，并将结果送入PLC输出映射区；输出刷新通过输出电路将程序运行结果输出。PLC自身计算资源和存储资源受限，而这种“指令——执行”的程序运行规则又缺乏有效的反馈机制，存在极大的安全隐患。例如2010年的Stuxnet攻击，病毒利用Siemens的软件漏洞篡改了指令并破坏了保护离心机的Safe系统，使得PLC异常运行(“指令——被篡改的指令——执行”)，而上位机却一切显示正常。目前针对PLC的攻击方式多样，有干扰性攻击、组态攻击和固件攻击。干扰性攻击通过占用PLC的资源影响其正常工作，例如DDoS攻击，这种攻击方式难度和危害性都比较低，使得PLC控制指令出现短时异常。组态攻击对PLC上位机进行入侵，篡改PLC的组态控制逻辑，从而对控制系统实施精准攻击，这种攻击方式需要对控制组态进行深入分析，难度更高但是具有很高的危害性，例如Stuxnet病毒。固件攻击不同于上述两种攻击方式，这种方式直接修改PLC底层的现场设备代码，具有极高的隐蔽性，很难被发现，危害极大，难度也最高。大量的历史遗留设备使得目前大多数工控系统的防御手段依旧停留在入侵检测、防火墙和杀毒软件“老三样”之上。这种防护措施可以有效应对干扰性攻击，但是并不能阻拦组态攻击和固件攻击。针边缘设备防御薄弱的问题，业界也有了一定的研究。例如，和利时企业基于TPM芯片和可信计算技术，研制了可信PLC控制器。该安全可信PLC基于可信计算3.0架构，在PLC内部建立可信子系统，实现了系统由内向外的主动防御。可信计算是一种主动防御技术。其核心思想，就是构造“信任链”和对“信任链”上的转换节点进行“信任度量”。如图2所示，它利用硬件属性作为信任根，系统启动时逐层度量，建立一种隔离执行的运行环境，保障计算平台敏感操作的安全性，从而实现对可信代码的保护。可信计算可以实现对于攻击的主动免疫，基于芯片中的硬件安全机制，可以主动检测和抵御可能的攻击。可信计算虽然可以为终端设备构建一道安全保障，但是在具体的实现上需要投入大量的研发成本。而且，这些终端控制设备的安全只能由设备厂商实施，无法积聚信息安全领域的专家。目前工控场景中遗留大量普通PLC设备，构建安全可信工控系统需将这些普通PLC设备更换为可信PLC，也需要耗费极大的资金。专利CN110941236A提出了一种PLC安全监测和动态度量方法与系统。该专利技术技术方案在PLC正常运行的状态下，选择关键节点并在运行时对节点各项输入、输出、以及PLC内部各个软元件状态的值进行记录和编码，形成标准码表库；在PLC动态运行阶段，采集这些关键节点的状态数据并编码，得到相应的状态码字，与标准码表库进行对照。如果找不到则启动PLC应急响应机制，保护系统安全。该专利的技术方案通过对关键点的状态编码判断PLC的运行状态。PLC的输入、输出有数字量和模拟量，而模拟量的数值在每一次运行时都存在偏差，此时编码存在较大问题。该专利是从PLC的内部硬件上着手，需要重构PLC系统，增加CPU运算能力，扩大了成本。因此，本领域的技术人员致力于开发一种使能边缘控制器安全可信的装置和方法。
技术实现思路
有鉴于现有技术的上述缺陷，本专利技术所要解决的技术问题是在不改变已使用的边缘设备及装置的基础上，提高现有边缘设备安全防护能力。专利技术人在不改变已使用的边缘设备及装置的基础上，通过外接基于虚拟控制器的安全装置，在控制器的动态运行中从组态、行为和期望三方面进行可信度量，建立边缘设备的防护机制，使不可信的控制器变得安全可信。本专利技术的一个实施例中，提供了一种使能边缘控制器安全可信的装置，包括：外部接口模块：连接边缘控制器，包含时钟信号子模块与I/O接口，时钟信号子模块与边缘控制器的时钟信号模块直接连接，保持与边缘控制器的时钟同步，I/O接口与边缘控制器的I/O接口相连接，获取边缘控制器的反馈信息和控制结果；数据处理模块：包括AD转换器和周期同步子模块，AD转换器将现场输入和实际控制输出的模拟信号转换为数字信号，周期同步子模块与边缘控制器的工作周期同步；虚拟控制器：虚拟控制器是边缘控制器的软件实现，响应于外部接口模块中I/O接口读入的边缘控制器的输入，执行用户程序，得到期望的控制结果；用户配置模块：配置相关参数信息；可信度量模块：对所述边缘控制器进行动态信任度量；报警模块：连接操作员站PC机，当检测到边缘控制器运行异常时，报警模块启动，发送报警信息；外部接口模块与边缘控制器连接，在用户配置模块设置相关参数信息，并在虚拟控制器中输入用户程序；边缘控制器开始运行后，现场数据通过I/O接口送入数据处理模块，经AD转换器转换后送入虚拟控制器，经虚拟控制器执行后将期望输出送至可信度量模块，综合多方面数据进行本文档来自技高网...

【技术保护点】
1.一种使能边缘控制器安全可信的装置，其特征在于，包括：/n外部接口模块：包含时钟信号子模块与I/O接口，所述时钟信号子模块与边缘控制器的时钟信号模块直接连接，保持与所述边缘控制器的时钟同步，所述I/O接口与所述边缘控制器的I/O接口相连接，获取所述边缘控制器的反馈信息和控制结果；/n数据处理模块：包括AD转换器和周期同步子模块，所述AD转换器将现场输入和实际控制输出的模拟信号转换为数字信号，所述周期同步子模块与所述边缘控制器的工作周期同步；/n虚拟控制器：虚拟控制器是所述边缘控制器的软件实现，响应于所述外部接口模块中所述I/O接口读入的所述边缘控制器的输入，执行用户程序，得到期望的控制结果；/n用户配置模块：配置相关参数信息；/n可信度量模块：对所述边缘控制器进行动态信任度量；/n报警模块：连接操作员站PC机，当检测到所述边缘控制器运行异常时，所述报警模块启动，发送报警信息；/n所述外部接口模块与所述边缘控制器连接，在所述用户配置模块设置相关参数信息，并在所述虚拟控制器中输入所述用户程序；所述边缘控制器开始运行后，现场数据通过所述I/O接口送入所述数据处理模块，经所述AD转换器转换后送入所述虚拟控制器，经所述虚拟控制器执行后将期望输出送至所述可信度量模块，综合多方面数据进行决策。/n...

【技术特征摘要】
1.一种使能边缘控制器安全可信的装置，其特征在于，包括：
外部接口模块：包含时钟信号子模块与I/O接口，所述时钟信号子模块与边缘控制器的时钟信号模块直接连接，保持与所述边缘控制器的时钟同步，所述I/O接口与所述边缘控制器的I/O接口相连接，获取所述边缘控制器的反馈信息和控制结果；
数据处理模块：包括AD转换器和周期同步子模块，所述AD转换器将现场输入和实际控制输出的模拟信号转换为数字信号，所述周期同步子模块与所述边缘控制器的工作周期同步；
虚拟控制器：虚拟控制器是所述边缘控制器的软件实现，响应于所述外部接口模块中所述I/O接口读入的所述边缘控制器的输入，执行用户程序，得到期望的控制结果；
用户配置模块：配置相关参数信息；
可信度量模块：对所述边缘控制器进行动态信任度量；
报警模块：连接操作员站PC机，当检测到所述边缘控制器运行异常时，所述报警模块启动，发送报警信息；
所述外部接口模块与所述边缘控制器连接，在所述用户配置模块设置相关参数信息，并在所述虚拟控制器中输入所述用户程序；所述边缘控制器开始运行后，现场数据通过所述I/O接口送入所述数据处理模块，经所述AD转换器转换后送入所述虚拟控制器，经所述虚拟控制器执行后将期望输出送至所述可信度量模块，综合多方面数据进行决策。


2.如权利要求1所述的使能边缘控制器安全可信的装置，其特征在于，所述虚拟控制器中可以集成已有的软件，也可以基于仿真软件进行扩展，或是使用FPGA进行所述边缘控制器的软件重构。


3.如权利要求1所述的使能边缘控制器安全可信的装置，其特征在于，所述可信度量模块包括组态度量子模块、行为度量子模块和期望度量子模块，分别从逻辑组态、行为信息和实际控制结果三个角度判别所述边缘控制器动态运行时的可信度。


4.如权利要求1或3所述的使能边缘控制器安全可信的装置，其特征在于，所述动态信任度量包括组态度量、行为度量和期望度量，所述组态度量对用户程序、逻辑组态进行信任分析，规避恶意指令；所述度量对边缘控制器的行为建模，根据实际执行状态计算行为信任度；所述期望度量通过所述分析边缘控制器输出的关键控制节点的输出情...

【专利技术属性】
技术研发人员：于亚，伏玉笋，杨根科，原牧云，
申请(专利权)人：上海交通大学宁波人工智能研究院，
类型：发明
国别省市：浙江;33