劉偉++梁光明++鮑金鵬

摘 要： 深入研究了當(dāng)前工業(yè)控制系統(tǒng)PLC現(xiàn)場可編程的原理，從數(shù)據(jù)的保密性、完整性和身份可認(rèn)證性三個方面分別建立安全性模型，分析出現(xiàn)場可編程的安全機(jī)制在以上三個方面缺乏必要的安全防護(hù)。搭建實驗平臺，通過模擬實驗驗證了存在的安全隱患。

關(guān)鍵詞： 工業(yè)控制系統(tǒng)； 現(xiàn)場可編程； 安全隱患； 工業(yè)以太網(wǎng)

中圖分類號： TN710?34 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2015）17?0153?05

Analysis of hidden trouble existing in field programmable mechanism

in industrial control system

LIU Wei， LIANG Guangming， BAO Jinpeng

（School of Electronic Science and Engineering， National University of Defense Technology， Changsha 410073， China）

Abstract： The principle of current PLC field programmability in industrial control system is studied deeply. The security models are set up respectively from the aspects of data confidentiality， integrity and identity authentication. The security mechanism of field programmability has been analyzed， and the three aspects are lack of necessary safety protection. The experiment platform was established， and the existed hidden trouble were verified by simulation experiment.

Keywords： industrial control system； field programmability； hidden safety threat； industrial Ethernet

0 引 言

隨著工業(yè)化和信息化的融合不斷深入，信息技術(shù)開始更加廣泛地運用到工業(yè)控制領(lǐng)域。當(dāng)前，信息化工業(yè)控制系統(tǒng)已經(jīng)廣泛應(yīng)用于能源、電力、化工等工業(yè)領(lǐng)域，工業(yè)控制系統(tǒng)已然成為國家安全戰(zhàn)略的重要組成部分。為了方便工業(yè)控制系統(tǒng)中各個部件的協(xié)同和信息共享，工業(yè)控制系統(tǒng)正逐漸打破原有的封閉性，向開放化的方向發(fā)展，采用標(biāo)準(zhǔn)、通用的通信協(xié)議和軟硬件系統(tǒng)，將導(dǎo)致工控系統(tǒng)面臨病毒、黑客入侵等安全威脅。

2010年，伊朗布什爾核電站遭到“震網(wǎng)”（Stuxnet）蠕蟲病毒攻擊[1]，“震網(wǎng)”病毒以伊朗核電站使用的數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)作為攻擊目標(biāo)，利用Windows和工業(yè)控制系統(tǒng)PLC的動態(tài)鏈接庫（DLL）缺陷進(jìn)行傳播和攻擊，致使伊朗核電計劃被延緩。在這次事件后，工控系統(tǒng)安全成為工控領(lǐng)域的熱點問題。如何有效的保護(hù)工業(yè)控制系統(tǒng)PLC的安全，防止不法分子和黑客對工業(yè)控制系統(tǒng)PLC實施入侵和破壞，具有重大的經(jīng)濟(jì)和戰(zhàn)略意義。

相較以往工業(yè)控制系統(tǒng)的安全報告和相關(guān)文獻(xiàn)的重點突出在數(shù)據(jù)的實時采集與監(jiān)控安全[2]、外網(wǎng)到內(nèi)網(wǎng)的保護(hù)[3]上，本文從工控系統(tǒng)的現(xiàn)場可編程機(jī)制出發(fā)，對工控系統(tǒng)潛在的安全隱患和面臨的威脅進(jìn)行分析，提出了安全隱患分析方法和模型，并對存在的安全威脅進(jìn)行了總結(jié)。

1 工業(yè)控制系統(tǒng)現(xiàn)場可編程原理

工業(yè)控制系統(tǒng)的現(xiàn)場可編程，就是在工業(yè)控制系統(tǒng)的運行現(xiàn)場，編程上位機(jī)通過現(xiàn)場總線或以太網(wǎng)對工業(yè)控制器進(jìn)行編程控制（包括用戶程序下載、工程信息修改等），可以即時改變現(xiàn)場設(shè)備的運行狀態(tài)?，F(xiàn)場可編程技術(shù)在工控系統(tǒng)的廣泛應(yīng)用使得工業(yè)生產(chǎn)中工控系統(tǒng)對現(xiàn)場設(shè)備的實時控制達(dá)到了一個全新的階段。

1.1 工業(yè)控制系統(tǒng)的基本構(gòu)成

工業(yè)控制系統(tǒng)主要由以下幾個部分組成：SCADA（Supervisory Control And Data Acquisition）系統(tǒng)，即數(shù)據(jù)采集與監(jiān)控系統(tǒng)，分布式過程控制系統(tǒng)DCS（Distributed Control System），可編程邏輯控制器PLC（Programmable Logic Controller），人機(jī)界面HMI（Human Machine Interface）等。其中的工業(yè)控制器即PLC是整個工業(yè)控制系統(tǒng)的核心部件，直接控制外部設(shè)備和工業(yè)生產(chǎn)。PLC直接受到編程上位機(jī)和監(jiān)控站的控制，圖1為工業(yè)控制系統(tǒng)簡化結(jié)構(gòu)圖。

1.2 現(xiàn)場可編程機(jī)制

現(xiàn)場可編程技術(shù)以其編程簡單、控制靈活、用戶程序?qū)崟r可控等優(yōu)點，在工業(yè)控制領(lǐng)域得到了廣泛的發(fā)展和應(yīng)用，現(xiàn)階段的現(xiàn)場總線逐步向以太網(wǎng)等常用通信手段擴(kuò)展。以廣泛使用的工業(yè)以太網(wǎng)實現(xiàn)的現(xiàn)場編程為例，現(xiàn)場編程的實現(xiàn)流程如圖2所示。

PLC的現(xiàn)場編程包括以下幾個步驟：

首先在編程上位機(jī)編寫STL/LAD高級程序，由編程軟件編譯成可執(zhí)行代碼；再將可執(zhí)行二進(jìn)制代碼組合到網(wǎng)絡(luò)數(shù)據(jù)包中，通過以太網(wǎng)接口下載到控制器PLC中，PLC的以太網(wǎng)接口接收到數(shù)據(jù)包后，解析并執(zhí)行這些代碼，這樣就實現(xiàn)了遠(yuǎn)程上位主機(jī)對PLC的現(xiàn)場編程。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，PLC的現(xiàn)場編程不僅包括傳統(tǒng)的用戶程序代碼編程，更是延伸到了更底層的固件代碼，例如可以通過以太網(wǎng)接口實現(xiàn)固件版本更新等高級操作。

工業(yè)控制系統(tǒng)現(xiàn)場編程的數(shù)據(jù)采用現(xiàn)場總線傳輸，其中使用最廣泛的是工業(yè)以太網(wǎng)連接，圖3是工業(yè)以太網(wǎng)的層次模型[4]。

如圖3所示，工業(yè)以太網(wǎng)協(xié)議基本上是直接在TCP/IP層以上附加應(yīng)用層協(xié)議實現(xiàn)的，通過直接把應(yīng)用層報文嵌入到TCP報文中，組成工業(yè)以太網(wǎng)數(shù)據(jù)幀。所以工業(yè)以太網(wǎng)協(xié)議的低層次數(shù)據(jù)鏈路層、傳輸層、網(wǎng)絡(luò)層采用的是標(biāo)準(zhǔn)協(xié)議，應(yīng)用層則一般采用內(nèi)部非公開協(xié)議。工控系統(tǒng)的安全策略大多都在應(yīng)用層中實現(xiàn)，具有一定的研究意義。

工控系統(tǒng)應(yīng)用層協(xié)議主要具有以下幾個特點：

保密性：傳統(tǒng)IT網(wǎng)絡(luò)的應(yīng)用層協(xié)議都已經(jīng)對外公開，具有統(tǒng)一的標(biāo)準(zhǔn)，所以按照協(xié)議格式，可以輕松分析得到包頭和各數(shù)據(jù)段表示的信息。而工業(yè)控制系統(tǒng)的應(yīng)用層協(xié)議則沒有統(tǒng)一的標(biāo)準(zhǔn)，工業(yè)控制領(lǐng)域的系統(tǒng)開發(fā)公司針對自己的產(chǎn)品都指定了具有各自特點的應(yīng)用層協(xié)議，且不對外公開。

實時性：工業(yè)控制系統(tǒng)設(shè)計過程中最重要的指標(biāo)就是實時性，從而要求工業(yè)控制系統(tǒng)的應(yīng)用層協(xié)議也必須滿足實時性的要求。然而正是由于必須滿足實時性的要求，應(yīng)用層協(xié)議在設(shè)計過程中主要的系統(tǒng)資源消耗在實時控制方面，導(dǎo)致無法消耗更多資源在系統(tǒng)安全的保護(hù)上。

可偵測性：工業(yè)控制系統(tǒng)采用的網(wǎng)絡(luò)結(jié)構(gòu)與傳統(tǒng)IT網(wǎng)絡(luò)類似，具有分層結(jié)構(gòu)。如果能侵入工業(yè)控制內(nèi)網(wǎng)，則可以利用傳統(tǒng)IT網(wǎng)絡(luò)的嗅探、偵測技術(shù)對工業(yè)以太網(wǎng)的數(shù)據(jù)進(jìn)行截獲、竊取等操作，甚至對關(guān)鍵數(shù)據(jù)進(jìn)行篡改。

2 現(xiàn)場可編程安全隱患分析模型設(shè)計

工業(yè)控制系統(tǒng)在設(shè)計過程中注重系統(tǒng)的可用性和實時性，而對系統(tǒng)信息的安全沒有做出應(yīng)有的防護(hù)。尤其在現(xiàn)場可編程機(jī)制中，編程上位機(jī)通過工業(yè)以太網(wǎng)與PLC連接實現(xiàn)數(shù)據(jù)傳輸，上位機(jī)將PLC應(yīng)用程序下載到PLC，實際上是將PLC直接連接到了上位機(jī)和監(jiān)控站所在的內(nèi)部網(wǎng)里。僅僅通過在工業(yè)以太網(wǎng)上設(shè)置工業(yè)防火墻，防止內(nèi)部網(wǎng)絡(luò)的非法訪問，不能保證內(nèi)部數(shù)據(jù)的安全。因此，現(xiàn)場可編程機(jī)制存在嚴(yán)重的安全隱患。下面從保密性、完整性、可認(rèn)證性三個方面對工控系統(tǒng)現(xiàn)場可編程機(jī)制的安全性進(jìn)行分析建模[5?6]。

2.1 現(xiàn)場編程數(shù)據(jù)的保密性模型

保密性是指網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶或?qū)嶓w，信息只為授權(quán)用戶使用的特性。

數(shù)據(jù)信息的保密性主要分為兩個方面：信息的防偵收和信息加密。

根據(jù)信息數(shù)據(jù)的傳輸和處理，建立基于信息流的現(xiàn)場編程數(shù)據(jù)保密性安全模型，如圖4所示。

在工控系統(tǒng)的現(xiàn)場可編程機(jī)制中，數(shù)據(jù)的保密性主要表現(xiàn)在對PLC用戶程序指令的可執(zhí)行代碼的加密和解密、PLC的數(shù)據(jù)經(jīng)過工業(yè)以太網(wǎng)時的防護(hù)（主要通過工業(yè)防火墻）等安全措施。如圖4所示，上排橫向過程表示用戶程序數(shù)據(jù)[A]經(jīng)過加密變換[E]后，組包進(jìn)入工業(yè)以太網(wǎng)傳輸；接收端經(jīng)過解包，得到加密通信數(shù)據(jù)，再經(jīng)過解密變換[D]還原出原始數(shù)據(jù)[A。]其中工業(yè)以太網(wǎng)設(shè)有工業(yè)防火墻，防止非授權(quán)訪問。若是黑客突破了工業(yè)防火墻，竊取了工業(yè)以太網(wǎng)中的通信數(shù)據(jù)，即使破譯了應(yīng)用層的不公開協(xié)議，由于不能獲取數(shù)據(jù)的加密方式和密鑰，只能分析得到加密數(shù)據(jù)，而不能恢復(fù)出原始數(shù)據(jù)[A。]

然而，課題組對工控系統(tǒng)的現(xiàn)場編程過程的研究結(jié)果卻令人大吃一驚，工業(yè)以太網(wǎng)的二進(jìn)制通信數(shù)據(jù)竟然毫無加密處理，而是以明文的形式傳輸。這就給黑客和不法分子侵入工控系統(tǒng)、竊取核心機(jī)密可乘之機(jī)。由于工控系統(tǒng)缺乏對數(shù)據(jù)的加密處理，黑客通過網(wǎng)絡(luò)手段獲取通信數(shù)據(jù)，就能直接得到現(xiàn)場編程的重要指令，造成極大的安全威脅。

2.2 現(xiàn)場編程數(shù)據(jù)的完整性

完整性是指在傳輸、存儲信息或數(shù)據(jù)的過程中，確保信息或數(shù)據(jù)不被未授權(quán)的篡改或在篡改后能夠被及時發(fā)現(xiàn)。圖5為工控系統(tǒng)現(xiàn)場編程數(shù)據(jù)完整性驗證模型圖。

圖5 現(xiàn)場編程數(shù)據(jù)完整性模型圖

如圖5所示，通信數(shù)據(jù)[A]在發(fā)送之前，使用雜湊函數(shù)[f（ ）]計算出信息摘要[f（A）]附在數(shù)據(jù)[A]后，通過工業(yè)以太網(wǎng)傳輸?shù)絇LC，PLC使用函數(shù)[f（ ）]對接收到的數(shù)據(jù)部分[B]再次計算，比較[f（A）， f（B），]以此驗證數(shù)據(jù)[A]的完整性。假設(shè)通信數(shù)據(jù)被黑客截獲且關(guān)鍵數(shù)據(jù)被篡改，如圖中虛線表示，信息數(shù)據(jù)部分被篡改為[B，]而摘要部分[f（A）]保持不變，通信數(shù)據(jù)到達(dá)接收端后，對信息數(shù)據(jù)部分[B]再次計算[f（B），]并與原摘要[f（A）]作比較，以此檢驗數(shù)據(jù)完整性是否被破壞。

工控系統(tǒng)的現(xiàn)場可編程機(jī)制，為了更簡單、快捷、實效地傳輸程序指令，需要盡量減少通信數(shù)據(jù)的冗余，提高傳輸效率。因此，目前主流工控系統(tǒng)的現(xiàn)場可編程機(jī)制沒有設(shè)置對數(shù)據(jù)的完整性驗證，忽略了系統(tǒng)的安全性，也就可能導(dǎo)致通信數(shù)據(jù)程序指令存在被惡意篡改的危險。

2.3 上位機(jī)身份的可認(rèn)證性

可認(rèn)證性是指對操作客體對操作主體的認(rèn)證。在工控系統(tǒng)的現(xiàn)場可編程機(jī)制中，編程上位機(jī)擁有對下位PLC的直接操作權(quán)限。為了保證系統(tǒng)的安全，PLC需要對編程上位機(jī)的身份信息進(jìn)行認(rèn)證[7]，上位機(jī)身份認(rèn)證模型如圖6所示。

工控系統(tǒng)的現(xiàn)場編程過程，首先需要編程上位機(jī)與PLC建立以太網(wǎng)通信連接（一般采用TCP 3次握手），然后通過工業(yè)以太網(wǎng)發(fā)送消息相互驗證身份信息。

如圖6所示，倘若黑客使用工業(yè)以太網(wǎng)上另一臺非上位主機(jī)與PLC建立偽上位機(jī)連接，PLC接收端會對上位機(jī)的身份進(jìn)行驗證，確認(rèn)該上位主機(jī)是否有對PLC操作的權(quán)限，確認(rèn)身份后，才接收目標(biāo)主機(jī)傳來的信息數(shù)據(jù)，這樣就能保證現(xiàn)場可編程數(shù)據(jù)的安全。通過對現(xiàn)有工控系統(tǒng)上位機(jī)與PLC通信機(jī)制的研究發(fā)現(xiàn)，為了節(jié)省系統(tǒng)資源，降低通信數(shù)據(jù)冗余，現(xiàn)階段普遍使用的PLC尚未設(shè)置對上位機(jī)的身份驗證環(huán)節(jié)，故不能對系統(tǒng)安全實施有效保護(hù)。因此，在上位機(jī)的身份認(rèn)證方面，PLC依舊保持較弱的安全性，存在安全隱患。

綜上所述，可以總結(jié)出工控系統(tǒng)現(xiàn)場可編程安全機(jī)制主要分為三個方面：現(xiàn)場編程保密性、現(xiàn)場編程完整性和可認(rèn)證性，每個方面都存在一定的安全隱患，主要有以下幾點：

（1） 工業(yè)以太網(wǎng)中引入了交換機(jī)，似乎提高了安全性，但交換機(jī)本身就存在大量安全漏洞，例如，更改交換機(jī)配置，ARP欺騙攻擊，監(jiān)視端口被利用都可能導(dǎo)致交換機(jī)被黑客攻破，從而獲得直接侵入PLC的機(jī)會[8]。

（2） 以太網(wǎng)的通用標(biāo)準(zhǔn)早已被人們所熟知，工業(yè)以太網(wǎng)應(yīng)用層以下的協(xié)議都是通用協(xié)議，可以直接解析，所以，不法攻擊者只需掌握或破譯應(yīng)用層協(xié)議格式，就能輕易構(gòu)造合法的數(shù)據(jù)包，模仿編程上位機(jī)對PLC進(jìn)行實時操作。

（3） 工業(yè)以太網(wǎng)的數(shù)據(jù)傳輸大多采用明文，未使用任何加密手段，這又給黑客實施攻擊提供了方便，黑客一旦破譯了應(yīng)用層協(xié)議格式，就可能得到PLC中運行的應(yīng)用程序，這是相當(dāng)危險的。

（4） PLC對編程上位機(jī)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包不驗證來源的可靠性，這些數(shù)據(jù)包中包含重要的程序指令，偽造的數(shù)據(jù)包能輕易對PLC運行狀態(tài)進(jìn)行更改。黑客甚至可能利用內(nèi)網(wǎng)肉機(jī)與PLC建立偽上位機(jī)可編程連接，對PLC實施惡意操縱[9]。

3 隱患驗證實驗

根據(jù)工控系統(tǒng)現(xiàn)場可編程機(jī)制安全性的三個方面，進(jìn)行以下3個小實驗來驗證現(xiàn)場可編程機(jī)制存在的安全隱患。

搭建一個簡單的實驗平臺，包括實驗編程上位機(jī)、監(jiān)視監(jiān)控主機(jī)、可編程控制器（PLC）、模擬攻擊主機(jī)等，通過交換機(jī)相連構(gòu)成工業(yè)控制局域網(wǎng)系統(tǒng)。假設(shè)通過某種手段，黑客侵入了內(nèi)部局域網(wǎng)的一臺主機(jī)，利用該主機(jī)對系統(tǒng)實施攻擊。

3.1 現(xiàn)場可編程信息破譯實驗

正常運行實驗平臺，使用編程上位機(jī)對PLC進(jìn)行現(xiàn)場編程（例如發(fā)送刪除DB1數(shù)據(jù)塊的指令），同時抓取工控系統(tǒng)現(xiàn)場編程過程的網(wǎng)絡(luò)通信數(shù)據(jù)，圖7為利用抓包軟件wireshark獲取的實時通信二進(jìn)制數(shù)據(jù)包。

如圖7所示，數(shù)據(jù)包的末尾可以清楚地看到0A00001B._DELE的ASCII碼。顯然，實驗平臺使用工控系統(tǒng)的網(wǎng)絡(luò)傳輸過程采用的是未加密的明文傳輸，一旦被網(wǎng)絡(luò)黑客獲取網(wǎng)絡(luò)數(shù)據(jù)，就能輕易破譯現(xiàn)場編程的重要指令，存在嚴(yán)重的安全隱患。

3.2 通信數(shù)據(jù)篡改實驗

工控系統(tǒng)正常運行，現(xiàn)場編程傳送給PLC一個包含2 s時間周期的DB塊。利用網(wǎng)卡混雜模式獲取網(wǎng)絡(luò)數(shù)據(jù)包，找到表示2 s時間數(shù)據(jù)的二進(jìn)制代碼，修改為1 s，然后按照原DB模塊下載的通信時序重新下載，觀測實際通信周期。

從二進(jìn)制通信數(shù)據(jù)中提取核心信息，對其進(jìn)行篡改并按照相同的時序重新發(fā)送至PLC，觀測工控系統(tǒng)的相關(guān)指標(biāo)。將表示時間的二進(jìn)制數(shù)據(jù)0x02改為0x01，并按照相同的時序重新發(fā)送至PLC，觀測工控系統(tǒng)的實時壓力數(shù)值，如圖8所示，顯然對通信數(shù)據(jù)的篡改已經(jīng)生效，數(shù)據(jù)周期由2 s變?yōu)? s。

3.3 偽上位機(jī)惡意控制實驗

截獲上位機(jī)和PLC通信的網(wǎng)絡(luò)數(shù)據(jù)包之后，使用另一臺內(nèi)網(wǎng)實驗主機(jī)，利用socket向PLC發(fā)送相同的數(shù)據(jù)內(nèi)容，如圖9所示。

完成相同的通信時序之后，在PLC上實現(xiàn)了相同的編程效果。實驗證明，PLC對上位機(jī)身份沒有驗證，倘若黑客利用內(nèi)網(wǎng)肉機(jī)建立了偽裝的上位機(jī)，就能實現(xiàn)對PLC的惡意控制。

實驗分析如下：工控系統(tǒng)的現(xiàn)場可編程機(jī)制存在嚴(yán)重的安全隱患，如采用普通網(wǎng)線傳輸數(shù)據(jù)，通信數(shù)據(jù)可能被監(jiān)聽和截獲；不驗證上位機(jī)信息就能與PLC建立現(xiàn)場編程連接，可能存在惡意偽上位機(jī)連接；通信數(shù)據(jù)被篡改后仍然能正常下載到PLC并生效，缺乏對數(shù)據(jù)完整性的驗證。

4 結(jié) 語

本文從工控系統(tǒng)的現(xiàn)場可編程機(jī)制入手，研究了工控系統(tǒng)通過工業(yè)以太網(wǎng)實現(xiàn)現(xiàn)場編程所存在的安全隱患，主要就保密性、完整性、認(rèn)證性等方面對現(xiàn)場可編程過程進(jìn)行了安全性分析，總結(jié)了系統(tǒng)存在的部分安全威脅。

當(dāng)前工控系統(tǒng)逐漸向開放化、智能化的方向發(fā)展，方便用戶的同時也會存在一些安全隱患，如工業(yè)以太網(wǎng)的安全漏洞、PLC對外來數(shù)據(jù)無驗證等。如何在豐富系統(tǒng)功能、簡化操作過程的同時確保工控系統(tǒng)的安全，是一個需要深入探索研究的課題[10]。

參考文獻(xiàn)

[1] 華镕.“震網(wǎng)”給工業(yè)控制敲響了警鐘[J].儀器儀表標(biāo)準(zhǔn)化與計量，2011（2）：30?34.

[2] 朱世順，黃益彬，朱應(yīng)飛，等.工業(yè)控制系統(tǒng)信息安全防護(hù)關(guān)鍵技術(shù)研究[J].電力信息與通信技術(shù)，2013，11（11）：106?109.

[3] 李奀林，穆靈.電力工控系統(tǒng)安全面臨的威脅與對策[J].信息安全與通信保密，2014（6）：62?63.

[4] 李鴻培.下一代安全技術(shù)方向的思考[R].綠盟科技，2012.

[5] 綠盟科技.工業(yè)控制系統(tǒng)及其安全性研究報告[EB/OL].[2013?07?02].http：//www.2cto.com/ebook/201307/40253.html.

[6] NSTB. Assessment summary report：Common industrial control system cyber security weaknesses [R]. [S.l.]： NSTB， 2010.

[7] KASAI N， MATSUHASHI S， SEKINE K. Accident occurrence model for the risk analysis of industrial facilities [J]. Reliability Engineering & System Safety， 2013， 114（2）： 71?74.

[8] FITZPATRICK C. GLOBAL： research warns of hacker threat to SCADA systems [M]. London： IWA Publishing， 2011.

[9] BRADBURY D. SCADA： a critical vulnerability [J]. Computer Fraud & Security， 2012， 2012（4）： 11?14.

[10] PAUL A， SCHUSTER F， KONIG H. Towards the protection of industrial control systems conclusions of a vulnerability assessment [C]// Proceedings of 2013 10th International Confe?rence on Detection of Intrusions and Malware， and Vulnerability Assessment. [S.l.]： Springer Berlin Heidelberg， 2013： 160?176.