趙悅琪，閔曉霜

(中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京 102209)

0 引言

可編程邏輯控制器(PLC) 在工控領(lǐng)域的應(yīng)用逐漸廣泛，它的核心控制地位也逐漸提升。盡管市場(chǎng)上許多國(guó)外的PLC設(shè)備已經(jīng)可以實(shí)現(xiàn)安全穩(wěn)定的通信，但國(guó)產(chǎn)化是獨(dú)立發(fā)展民族經(jīng)濟(jì)的重要措施，對(duì)國(guó)家有特別重要的意義，因此將軟硬件純國(guó)產(chǎn)的PLC系統(tǒng)投入市場(chǎng)使用有著極為重要和特別的意義，那么基于國(guó)產(chǎn) PLC 進(jìn)行標(biāo)準(zhǔn)化通信協(xié)議的開(kāi)發(fā)就顯得很有價(jià)值。OPC統(tǒng)一架構(gòu)(OPC UA)體系是一個(gè)基于網(wǎng)絡(luò)服務(wù)的不依賴(lài)于平臺(tái)的新標(biāo)準(zhǔn)，借助這樣一個(gè)標(biāo)準(zhǔn)，各種各樣的系統(tǒng)和設(shè)備能在不同網(wǎng)絡(luò)中以“客戶(hù)端/服務(wù)器”模式進(jìn)行通信，它通過(guò)確認(rèn)客戶(hù)端與服務(wù)器的身份和自動(dòng)抵御攻擊來(lái)支持安全可靠的通信，大大提高了數(shù)據(jù)采集和處理的安全性和效率[1]。OPC UA借助其優(yōu)勢(shì)，在國(guó)產(chǎn)PLC系統(tǒng)中的應(yīng)用十分廣泛，但是通信過(guò)程中的安全問(wèn)題還處在比較薄弱的階段，因此提供安全可靠的通信方案顯得尤為重要。OPC UA基金會(huì)提供了一個(gè)基本的安全模型，為客戶(hù)端和服務(wù)器之間的信息交換提供了保障，但是面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境和惡意的外部攻擊時(shí)還會(huì)暴露出基本模型存在的不足[2]。其中身份認(rèn)證是在任何一次通信對(duì)話過(guò)程中都不可避免的環(huán)節(jié)，如果身份認(rèn)證機(jī)制不夠安全，將會(huì)遭受諸如中間人攻擊、消息欺騙、口令竊聽(tīng)等攻擊，使信息泄露甚至影響系統(tǒng)整體運(yùn)行。本文針對(duì)國(guó)產(chǎn)化PLC系統(tǒng)與OPC UA通信過(guò)程的身份認(rèn)證機(jī)制進(jìn)行優(yōu)化，以提高通信系統(tǒng)的安全性。

1 OPC UA 身份認(rèn)證方式及存在的不足

身份認(rèn)證技術(shù)是信息安全的核心技術(shù)之一，它的發(fā)展直接決定了信息技術(shù)產(chǎn)業(yè)的發(fā)展，它是一種證實(shí)被認(rèn)證對(duì)象是否屬實(shí)或有效的過(guò)程和技術(shù)，其基本思想是通過(guò)驗(yàn)證被認(rèn)證對(duì)象的屬性來(lái)達(dá)到證實(shí)其是否真實(shí)有效的目的[3]，對(duì)于保證信息只被合法授權(quán)用戶(hù)獲取和訪問(wèn)起著重要作用。本文在已有的身份認(rèn)證手段基礎(chǔ)之上，基于安全模型的不足提出了一種雙向身份認(rèn)證機(jī)制，對(duì)安全模型進(jìn)行優(yōu)化，使之在身份認(rèn)證環(huán)節(jié)的安全性大大提高。

1.1 OPC UA的身份認(rèn)證和授權(quán)機(jī)制

OPC UA基金會(huì)給用戶(hù)提供了一個(gè)基本的安全模型，這是一個(gè)允許在不同的應(yīng)用環(huán)境中實(shí)現(xiàn)功能的通用的安全模型。OPC UA安全模型被構(gòu)建在傳輸層之上的應(yīng)用層和通信層中，定義描述了一個(gè)分層的方法，每一層都有對(duì)于安全問(wèn)題的具體職責(zé)。文獻(xiàn) [4]描述了基本安全模型的工作機(jī)制，其結(jié)構(gòu)如圖1所示。

圖1 OPC UA 安全模型

OPC UA的身份認(rèn)證和授權(quán)包含幾個(gè)不同的層面，分別是應(yīng)用程序認(rèn)證和授權(quán)、產(chǎn)品認(rèn)證和授權(quán)、用戶(hù)認(rèn)證和授權(quán)。其中，應(yīng)用程序認(rèn)證和授權(quán)使服務(wù)器可以驗(yàn)證一個(gè)應(yīng)用實(shí)例證書(shū)屬于某個(gè)OPC UA 客戶(hù)端，可否允許客戶(hù)端建立安全通道；用戶(hù)認(rèn)證和授權(quán)是指OPC UA服務(wù)器可以驗(yàn)證準(zhǔn)備從服務(wù)器獲取數(shù)據(jù)的用戶(hù)確實(shí)是其所聲稱(chēng)的用戶(hù)；產(chǎn)品認(rèn)證和授權(quán)以及用戶(hù)認(rèn)證和授權(quán)過(guò)程均是在會(huì)話建立期間進(jìn)行的。

由于認(rèn)證級(jí)別不同、傳輸憑據(jù)的類(lèi)型不同，服務(wù)器將執(zhí)行不同任務(wù)以驗(yàn)證用戶(hù)身份。以應(yīng)用程序認(rèn)證和授權(quán)為例，圖2顯示了應(yīng)用程序的認(rèn)證過(guò)程。

具體地，客戶(hù)端用簽名的“打開(kāi)安全通道請(qǐng)求”來(lái)證明其對(duì)證書(shū)關(guān)聯(lián)的私鑰的所有權(quán)，經(jīng)過(guò)服務(wù)器用客戶(hù)端證書(shū)的公鑰來(lái)驗(yàn)證客戶(hù)端身份，驗(yàn)證后服務(wù)器端用私鑰對(duì)“打開(kāi)安全通道請(qǐng)求”進(jìn)行帶有自己的簽名的回應(yīng)，客戶(hù)端也可以驗(yàn)證從服務(wù)器接收的證書(shū)是服務(wù)器的證書(shū)以驗(yàn)證其身份，最終達(dá)到建立安全通道的目的[4]。

圖2 應(yīng)用程序認(rèn)證過(guò)程

1.2 現(xiàn)有身份認(rèn)證機(jī)制存在的問(wèn)題

傳統(tǒng)的安全模型雖然一定程度上可以滿(mǎn)足安全需求，但是在國(guó)產(chǎn)化PLC 系統(tǒng)的應(yīng)用當(dāng)中卻面臨著種種問(wèn)題。首先，無(wú)法防止冒充，一旦對(duì)話被黑客攻擊竊取到過(guò)程信息，就可以進(jìn)行身份冒充，欺騙客戶(hù)端給出錯(cuò)誤的數(shù)據(jù)或者欺騙服務(wù)器非法讀取數(shù)據(jù)；其次，無(wú)法防止重放攻擊，同一用戶(hù)或者服務(wù)器在進(jìn)行認(rèn)證時(shí)都提供相同的簽名和數(shù)字證書(shū)，極易被中間人攔截進(jìn)行重放攻擊，從而獲取私密工業(yè)數(shù)據(jù)；此外，整個(gè)認(rèn)證授權(quán)過(guò)程對(duì)于雙方的身份確認(rèn)和隱私保護(hù)過(guò)程較為簡(jiǎn)單，安全防護(hù)等級(jí)較低，無(wú)法應(yīng)對(duì)工業(yè)控制領(lǐng)域中復(fù)雜的環(huán)境和來(lái)自外部的刻意攻擊，面臨著諸如消息欺騙、竊聽(tīng)、會(huì)話劫持、用戶(hù)憑證泄密等威脅[5]。鑒于這些風(fēng)險(xiǎn)，提供一個(gè)雙向的、安全的身份認(rèn)證模型對(duì)于安全通信十分重要。

2 基于雙向身份認(rèn)證的模型優(yōu)化

2.1 系統(tǒng)概述

基于上文提出的問(wèn)題，本文設(shè)計(jì)了一種增強(qiáng)的雙向身份認(rèn)證機(jī)制以提高安全性能，為了實(shí)現(xiàn)雙向的身份認(rèn)證，本文使用審計(jì)系統(tǒng)作為權(quán)威第三方，以公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure， PKI)技術(shù)作為認(rèn)證過(guò)程中的基礎(chǔ)技術(shù)，通過(guò)證書(shū)和公私密鑰對(duì)來(lái)驗(yàn)證用戶(hù)身份的合法性。增加了USBKey防護(hù)，USBKey是一種芯片級(jí)操作系統(tǒng)，所有讀寫(xiě)和加密運(yùn)算都在芯片內(nèi)部完成，它自身所具備的存儲(chǔ)器可以用來(lái)存儲(chǔ)一些個(gè)人信息或證書(shū)，用來(lái)標(biāo)識(shí)用戶(hù)身份，具有很高的安全性[6]。

優(yōu)化后的系統(tǒng)主要包括如下幾部分。

(1)OPC UA客戶(hù)端和USBKey：OPC UA 客戶(hù)端主要實(shí)現(xiàn)系統(tǒng)和客戶(hù)的管理，為終端用戶(hù)提供一個(gè)簡(jiǎn)潔、可操作的交互界面；系統(tǒng)對(duì)客戶(hù)端的每一個(gè)用戶(hù)都分發(fā)一個(gè)USBKey,當(dāng)中存有用戶(hù)證書(shū)、用戶(hù)密碼口令和服務(wù)器公鑰。在USBKey與服務(wù)器連接成功后，OPC UA 的服務(wù)器可以從這里調(diào)用用戶(hù)的證書(shū)信息并進(jìn)行加解密工作。

(2)控制代理器：它是客戶(hù)端和服務(wù)器進(jìn)行信息交流的中介，主要用于接收用戶(hù)從客戶(hù)端發(fā)出的訪問(wèn)請(qǐng)求和提交的認(rèn)證信息，并將這些信息轉(zhuǎn)發(fā)給服務(wù)器端。在用戶(hù)認(rèn)證成功后，它成為用戶(hù)訪問(wèn)資源數(shù)據(jù)庫(kù)的代理服務(wù)器。

(3)OPC UA服務(wù)器端和用戶(hù)信息數(shù)據(jù)庫(kù)：OPC UA服務(wù)器主要是接收由控制代理轉(zhuǎn)發(fā)來(lái)的用戶(hù)信息，接收后與用戶(hù)信息數(shù)據(jù)庫(kù)中的信息進(jìn)行對(duì)照，完成對(duì)客戶(hù)端的認(rèn)證工作。

(4)審計(jì)系統(tǒng)：包括審計(jì)服務(wù)器和審計(jì)數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)用于存儲(chǔ)用戶(hù)名和OPC UA服務(wù)器生成的隨機(jī)序列碼，審計(jì)服務(wù)器負(fù)責(zé)對(duì)數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行數(shù)字簽名。

設(shè)計(jì)的身份認(rèn)證系統(tǒng)邏輯結(jié)構(gòu)如圖3所示。

圖3 雙向身份認(rèn)證系統(tǒng)

2.2 雙向身份認(rèn)證過(guò)程

上述系統(tǒng)的具體認(rèn)證過(guò)程步驟如圖4所示。

圖4 雙向身份認(rèn)證流程

(1)客戶(hù)端的用戶(hù)將自己的USBKey插入PC的USB接口，輸入用戶(hù)名和口令，如果口令正確，控制代理器與USBKey建立連接，否則失敗。

(2)連接成功后，控制代理器會(huì)從USBKey中調(diào)用用戶(hù)證書(shū)，并轉(zhuǎn)發(fā)給OPC UA服務(wù)器端。

(3)服務(wù)器收到證書(shū)后會(huì)提取其中的用戶(hù)名、用戶(hù)公鑰和證書(shū)序列號(hào)S，并根據(jù)用戶(hù)名在用戶(hù)信息數(shù)據(jù)庫(kù)中查找，如果存在，認(rèn)證過(guò)程繼續(xù)，否則認(rèn)證失敗。

(4)如果在數(shù)據(jù)庫(kù)中找到了用戶(hù)信息，服務(wù)器會(huì)根據(jù)該信息在輕量目錄訪問(wèn)協(xié)議服務(wù)器(Lightweight Directory Access Protocol，LDAP)中找到用戶(hù)證書(shū)序列號(hào)S，并與上一步驟中獲取的證書(shū)序列號(hào)S比對(duì)，如果相等則驗(yàn)證成功，否則失敗，OPC UA服務(wù)器會(huì)將驗(yàn)證結(jié)果進(jìn)行簽名后存到審計(jì)數(shù)據(jù)庫(kù)中；

(5)在步驟(3)中，OPC UA服務(wù)器提取了證書(shū)的用戶(hù)名信息，此時(shí)會(huì)產(chǎn)生一個(gè)隨機(jī)的序列碼M，M和用戶(hù)名綁定形成UserM，服務(wù)器調(diào)用自己的私鑰KS和用戶(hù)的公鑰KU分別對(duì)這組信息加密，得到KS(UserM)和KU(UserM)，KS(UserM)通過(guò)控制代理器存入U(xiǎn)SBKey中，KU(UserM)通過(guò)審計(jì)服務(wù)器存入到設(shè)計(jì)數(shù)據(jù)庫(kù)中。

(6)OPC UA客戶(hù)端收到KS(UserM)后，利用OPC UA 服務(wù)器的公鑰PS進(jìn)行解密PS(KS(UserM))，得到UserM，再利用用戶(hù)的公鑰KU進(jìn)行加密得到KU(UserM)，結(jié)果發(fā)送到審計(jì)服務(wù)器。

(7)審計(jì)服務(wù)器把步驟(6)得到的KU(UserM)和步驟(5)得到KU(UserM)的進(jìn)行比對(duì)，如果結(jié)果一致則認(rèn)證成功，否則失敗。

(8)只有在步驟(4)和步驟(7)中的認(rèn)證都成功時(shí)，控制代理器才會(huì)將OPC UA客戶(hù)端和服務(wù)器接通，用戶(hù)可以訪問(wèn)服務(wù)器中的過(guò)程數(shù)據(jù)，否則連接失敗。

這樣的認(rèn)證過(guò)程就實(shí)現(xiàn)了安全的雙向身份認(rèn)證，步驟(1)～(4) 是OPC UA服務(wù)器對(duì)用戶(hù)身份的驗(yàn)證，步驟(5)～(8)則實(shí)現(xiàn)了用戶(hù)對(duì)服務(wù)器身份的認(rèn)證，當(dāng)雙向認(rèn)證成功后即可以建立資源訪問(wèn)。認(rèn)證的結(jié)果同時(shí)被詳細(xì)地記錄在審計(jì)數(shù)據(jù)庫(kù)中，已備日后在發(fā)生糾紛時(shí)作為第三方對(duì)通信雙方進(jìn)行仲裁[7]。

3 在國(guó)產(chǎn)PLC系統(tǒng)當(dāng)中應(yīng)用的安全分析

本文是基于國(guó)產(chǎn)自主可控 PLC系統(tǒng)與 OPC UA 通信過(guò)程的優(yōu)化設(shè)計(jì)，整個(gè)過(guò)程要通過(guò)建立起帶有 OPC UA 客戶(hù)端和服務(wù)器的PC與PLC之間的連接，進(jìn)行 OPC UA 數(shù)據(jù)交互，實(shí)現(xiàn)控制 PLC 運(yùn)行、讀取現(xiàn)場(chǎng)工業(yè)數(shù)據(jù)、讀取PLC 控制器數(shù)據(jù)等功能，OPC UA 的應(yīng)用環(huán)境十分復(fù)雜，可能發(fā)生在控制網(wǎng)絡(luò)層、操作網(wǎng)絡(luò)層、企業(yè)網(wǎng)絡(luò)層甚至連接到互聯(lián)網(wǎng)，具體使用環(huán)境如圖5所示。

圖5 國(guó)產(chǎn)PLC系統(tǒng)中的OPC UA

由圖5可知OPC UA 客戶(hù)端和服務(wù)器的交互既可能發(fā)生在公司內(nèi)部網(wǎng)絡(luò)的各個(gè)層面，也可能發(fā)生在互聯(lián)網(wǎng)層面之中，安全問(wèn)題會(huì)隨著網(wǎng)絡(luò)層級(jí)的提升而愈發(fā)復(fù)雜，在身份認(rèn)證的環(huán)節(jié)更是有可能遭受到各種攻擊。而優(yōu)化后的安全模型利用PKI技術(shù)，既保障了服務(wù)器不被非法訪問(wèn)，也可以防止黑客干擾客戶(hù)端的信息訪問(wèn)，在面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境的情況下顯現(xiàn)出了以下幾個(gè)方面的優(yōu)勢(shì)。

(1)用戶(hù)信息保密：安全套接層(Secure Sockets Layer，SSL)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密，本文方案用戶(hù)信息選擇通過(guò)SSL協(xié)議進(jìn)行傳輸，可以防止網(wǎng)絡(luò)監(jiān)聽(tīng)。

(2)防止重放攻擊：每次認(rèn)證時(shí)服務(wù)器會(huì)向客戶(hù)端發(fā)送一個(gè)隨機(jī)序列碼，因此即使信息被黑客截獲也無(wú)法重放。

(3)防止冒充：只有用戶(hù)同時(shí)拿到USBKey并知道密碼口令才能進(jìn)行認(rèn)證，而服務(wù)器也具有自己的私鑰防止了中間人偽裝。

(4)提供詳細(xì)的審計(jì)記錄：每次認(rèn)證都會(huì)把雙方的認(rèn)證結(jié)果記錄到審計(jì)數(shù)據(jù)庫(kù)中，以備日后需要時(shí)查看。

在完整的PLC通信系統(tǒng)中并不是每個(gè)身份認(rèn)證的環(huán)節(jié)都需要用到復(fù)雜的認(rèn)證方式，因?yàn)樗惴ê头绞降膹?fù)雜會(huì)增加系統(tǒng)消耗的時(shí)間，在PLC底層數(shù)據(jù)采集的過(guò)程中建立簡(jiǎn)單的安全模型即可，當(dāng)更上一級(jí)的客戶(hù)端(如HMI系統(tǒng)、SCADA系統(tǒng)中的客戶(hù)端)訪問(wèn)數(shù)據(jù)時(shí)，尤其是在互聯(lián)網(wǎng)的環(huán)境下，面臨的風(fēng)險(xiǎn)也增加，所以此處選擇更為完善的身份認(rèn)證機(jī)制更為可靠，也為后續(xù)的數(shù)據(jù)交互提供保障[8]。

4 結(jié)論

本文結(jié)合國(guó)產(chǎn)化PLC系統(tǒng)的安全需求，從OPC UA 的安全模型出發(fā)，以身份認(rèn)證技術(shù)為切入點(diǎn)，分析傳統(tǒng)安全模型安全性能的不足之處，對(duì)身份認(rèn)證環(huán)節(jié)進(jìn)行了雙向驗(yàn)證的優(yōu)化設(shè)計(jì)，完善了安全模型的功能。同時(shí)，在應(yīng)用環(huán)境中對(duì)其安全性進(jìn)行分析，在實(shí)現(xiàn)雙向認(rèn)證功能的基礎(chǔ)上能達(dá)到用戶(hù)信息保密、防止重放攻擊、防止冒充等安全目標(biāo)，同時(shí)還可以提供詳細(xì)的審計(jì)記錄以備使用。

在國(guó)產(chǎn)PLC系統(tǒng)的不同網(wǎng)絡(luò)層級(jí)可以采取不同的安全策略，以在保證整個(gè)系統(tǒng)安全的基礎(chǔ)之上提高運(yùn)行效率，體現(xiàn)出OPC UA系統(tǒng)的靈活性。但除了身份認(rèn)證環(huán)節(jié)外，OPC UA客戶(hù)端和服務(wù)器的交互過(guò)程中還有很多要解決的問(wèn)題，安全模型還應(yīng)該從不同角度進(jìn)行優(yōu)化，使其更加適用于國(guó)產(chǎn)化PLC系統(tǒng)的使用環(huán)境。這也是接下來(lái)要研究的重點(diǎn)內(nèi)容。