一种工业控制系统异常行为可信防护的访问控制管理架构技术方案

本发明专利技术公开了一种工业控制系统异常行为可信防护的访问控制管理架构。本发明专利技术包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块；工业控制系统中其他设置有计算设备的节点均部署有访问控制模块；总访问控制服务器和外设访问控制服务器均部署于工业控制系统的监控网络中，总访问控制服务器用于对监控网络的节点实施访问控制，外设访问控制服务器用于对工业控制系统外部的节点的远程访问实施访问控制；在现场网络的各个域中分别部署对应的子策略服务器，每个子策略服务器用于对域内节点实施访问控制。本发明专利技术能精准地识别工业控制系统中的异常行为，并实施有效的措施，避免部署的访问控制策略影响工控系统的可用性。的可用性。的可用性。

【技术实现步骤摘要】
一种工业控制系统异常行为可信防护的访问控制管理架构


[0001]本专利技术属于工业互联网领域，具体是涉及一种工业控制系统异常行为可信防护的访问控制管理架构。

技术介绍

[0002]工业控制系统广泛应用于电力、石化、水处理、天然气等关键工业场景中，扮演中枢神经作用。由于工控系统开放互联以及通用智能化构件广泛应用的趋势，病毒、木马等威胁正在向工业网络扩散，工业控制系统防护已成为当前关注热点。工业控制系统可用性要求高、业务连续性强、专用协议和嵌入式系统运行等，使得当前防御方法捉襟见肘。工控系统主动防御技术逐渐成为新的研究方向，典型工作包括张镇勇等人提出的移动目标防御方法等，邬江兴提出的基于拟态计算的防御方法，沈昌祥提出的基于可信计算的主动免疫方法(简称可信免疫方法)。可信免疫方法主要在计算环境、区域边界、通信网络上部署可信计算芯片和安全加固协议，在安全管理平台支持下，采用完整性度量方法，审计主、客体访问行为并主动监控主客体运行状态，异常行为无法执行且被检测报警。访问控制策略是实现行为控制的基本方法。
[0003]当前针对普通信息系统国内外已提出一系列访问控制方法，典型的包括基于身份的访问控制、基于角色的访问控制、基于属性的访问控制等。然而现有的可信免疫方法未考虑工控系统的可用性需求，针对设备种类繁多、协议多样的工控系统，建立适合工控特点的访问控制架构是难点。另外，在访问控制策略上，区域边界和通信网络上对象的可信验证并不能解决合法对象实施不合规行为。如流程工控系统的油气分离操作，燃气升温加压、混合、反应、排气等流程是严格顺次，随意操作将带来危险，访问控制需要考虑控制流的时序关系。

技术实现思路

[0004]为了解决
技术介绍
中存在的问题和需求，本专利技术提供了一种工业控制系统异常行为可信防护的访问控制管理架构。该架构包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块的部署；工控系统监控网计算设备、工作站、外设的未授权访问和指令篡改/阻断的识别与控制；工控系统现场网络计算节点的不合规行为识别与控制；基于能量、时延、连通性的可用性约束的访问控制策略动态调整与加载。
[0005]本专利技术的目的是通过以下技术方案实现的：
[0006]本专利技术包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块；
[0007]总访问控制服务器和外设访问控制服务器均部署于工业控制系统的监控网络中，总访问控制服务器和外设访问控制服务器相连，总访问控制服务器用于对监控网络的各节点实施访问控制的管理，外设访问控制服务器用于对工业控制系统外部的节点的远程访问实施访问控制；工业控制系统的现场网络按照工业过程划分为功能单一的域，在各个域中
分别部署对应的子策略服务器，各个子策略服务器均与总访问控制服务器相连，每个子策略服务器用于对域内节点实施访问控制的管理；
[0008]工业控制系统中，除了总访问控制服务器、外设访问控制服务器、子策略服务器，其他设置有计算设备的节点均部署有访问控制模块，
[0009]每个访问控制模块包含功能接口模块、访问控制策略实现模块和数据域，功能接口模块用于与其他节点通信；访问控制策略实现模块用于监测所属节点的访问控制行为；数据域用于访问控制策略所需数据的收集和存储。
[0010]总访问控制服务器和各个子策略服务器汇总、确认、存储来自对应节点的访问控制模块中制定的访问控制策略，并根据对应节点上报的异常、跨节点异常识别和节点可用性约束，与对应访问控制模块的功能接口模块通信，实施对应访问控制模块的访问控制策略的动态调整。
[0011]所述外设访问控制服务器中，首先对工业控制系统外部的节点依次进行身份识别和行为控制；
[0012]当行为控制通过后，建立安全虚拟域，提取工业控制系统外部的节点对工业控制系统的访问需要后，将外部的节点需要访问的数据收集并存储于安全虚拟域中以供外设访问；访问结束后，撤销安全虚拟域；
[0013]当外设访问控制服务器识别出异常行为时，进行访问控制决策，同时向总访问控制服务器报告，总访问控制服务器与检测服务器连接，检测服务器对异常行为进行确认和在线检测，并返回结果到总访问控制服务器。
[0014]所述每个子策略服务器用于对来自OPC服务器和人机接口HMI对与当前策略服务器相连的PLC的访问请求进行识别，具体识别对PLC非授权的访问行为和控制指令的篡改/阻断行为；
[0015]确认与当前子策略服务器相连的PLC中的不合规操作；
[0016]若PLC和传感器节点的访问控制模块识别出异常行为时，则向所属的子策略服务器报告，进而子策略服务器指示相连的PLC处理异常；
[0017]所述每个子策略服务器定期向总访问控制服务器报告异常，总访问控制服务器与检测服务器连接，若当前子策略服务器提交的异常总访问控制服务器无法确认时，检测服务器对总访问控制服务器上报的异常进行确认和在线检测。
[0018]所述工业控制系统中，OPC服务器、人机接口HMI、数据服务器、历史服务器和工作站还部署有TPM可信模块，用于保证节点的计算环境的可信性。
[0019]所述OPC服务器、人机接口HMI、数据服务器、历史服务器和工作站中，每个访问控制模块用于识别对应节点通信过程中的非授权访问和指令篡改/阻断；
[0020]当每个TPM可信模块识别出计算环境的非授权访问时，向对应访问控制模块报告，访问控制模块及时向对应节点预警并修复；
[0021]每个访问控制模块对流经对应节点的数据流进行身份验证、数据的加密传输、异常行为校验；
[0022]当每个访问控制模块识别出异常行为时，进行访问控制决策，同时向总访问控制服务器报告，总访问控制服务器与检测服务器连接，检测服务器对对应异常进行确认和在线检测。
[0023]所述每个子策略服务器还加载域内和域间的顺次性规则，当节点能量或时延不满足要求时，PLC和传感器的访问控制模块只验证顺次性规则破坏的不合规访问。
[0024]所述OPC服务器和人机接口HMI的TPM可信模块的监测频率在常规监测阶段降低，在异常情况下则恢复至正常监测频率；
[0025]数据服务器、历史服务器和工作站的TPM可信模块的监测频率在常规监测阶段降低或者TPM可信模块停止监测，在异常情况下则启动TPM可信模块的监测功能。
[0026]每个访问控制模块中，在检测到异常行为时，如果是在数据流转完成后发现的异常，由当前节点通知下一跳节点进行异常检测；如果是数据流转处理中检测到异常则当前节点直接处理；在处理异常行为过程中，异常的非冗余关键节点不能直接阻断，总访问控制服务器或子策略服务器修改当前或者下一跳节点的访问控制策略，临时提高发生异常的节点的访问控制权限，保持关键数据正常流转的最低权限，同时当前或者下一跳节点即刻向总访问控制服务器上报异常。
[0027]本专利技术的有益效果在于：
[0028]1.提出工控系统总访问控制服务器、外设访问控制服务器、子策略服务器和访问本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工业控制系统异常行为可信防护的访问控制管理架构，其特征在于，包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块；总访问控制服务器和外设访问控制服务器均部署于工业控制系统的监控网络中，总访问控制服务器和外设访问控制服务器相连，总访问控制服务器用于对监控网络的各节点实施访问控制的管理，外设访问控制服务器用于对工业控制系统外部的节点的远程访问实施访问控制；工业控制系统的现场网络按照工业过程划分为功能单一的域，在各个域中分别部署对应的子策略服务器，各个子策略服务器均与总访问控制服务器相连，每个子策略服务器用于对域内节点实施访问控制的管理；工业控制系统中，除了总访问控制服务器、外设访问控制服务器、子策略服务器，其他设置有计算设备的节点均部署有访问控制模块，每个访问控制模块包含功能接口模块、访问控制策略实现模块和数据域，功能接口模块用于与其他节点通信；访问控制策略实现模块用于监测所属节点的访问控制行为；数据域用于访问控制策略所需数据的收集和存储。总访问控制服务器和各个子策略服务器汇总、确认、存储来自对应节点的访问控制模块中制定的访问控制策略，并根据对应节点上报的异常、跨节点异常识别和节点可用性约束，与对应访问控制模块的功能接口模块通信，实施对应访问控制模块的访问控制策略的动态调整。2.根据权利要求1所述的一种工业控制系统异常行为可信防护的访问控制管理架构，其特征在于，所述外设访问控制服务器中，首先对工业控制系统外部的节点依次进行身份识别和行为控制；当行为控制通过后，建立安全虚拟域，提取工业控制系统外部的节点对工业控制系统的访问需要后，将外部的节点需要访问的数据收集并存储于安全虚拟域中以供外设访问；访问结束后，撤销安全虚拟域；当外设访问控制服务器识别出异常行为时，进行访问控制决策，同时向总访问控制服务器报告，总访问控制服务器与检测服务器连接，检测服务器对异常行为进行确认和在线检测，并返回结果到总访问控制服务器。3.根据权利要求1所述的一种工业控制系统异常行为可信防护的访问控制管理架构，其特征在于，所述每个子策略服务器用于对来自OPC服务器和人机接口HMI对与当前策略服务器相连的PLC的访问请求进行识别，具体识别对PLC非授权的访问行为和控制指令的篡改/阻断行为；确认与当前子策略服务器相连的PLC中的不合规操作；若PLC和传感器节点的访问控制模块识别出异常行为时，则向所属的子策略服务器报告，进而子策略服务器指示相连的PLC处理异常；所述每个子策略...

【专利技术属性】
技术研发人员：汪京培，江钰杰，段斌斌，白少杰，程鹏，
申请(专利权)人：浙江大学，
类型：发明
国别省市：