摘? 要: 現場總線的特點是開放、互聯" title="互聯">互聯,這是它優于其它形式系統的根本原因。但是這種開放互聯的性質也給現場總線系統" title="總線系統">總線系統帶來了不安全因素。討論了現場總線系統的通信安全問題,指出這一問題的重要性,提出了在設備層實現通信安全的方案。根據現場總線技術的特點和發展現狀提出了模塊化的加密方案,并且對這一方案的適用性進行了分析,同時也探討了其對總線通信性能的影響。

　　關鍵詞: 現場總線? 通信安全? 加密? 自動化系統" title="自動化系統">自動化系統? 設備層通信? 層式結構

?

　　我國已經提出了“以信息化推動工業化”的戰略。在生產自動化系統中實現信息交換和共享并以此為基礎實施企業CIMS工程已成為人們的共識,這必將成為自動化系統未來發展的方向。現場總線在這一系統中扮演了重要的角色,它為底層的智能設備提供了開放的通信平臺,使之能夠實時地進行數據交換。而且便于自動化系統與企業局域網互聯,從而實現任意時刻、任意地點的控制,進而推進整個企業的自動化、信息化進程。

1 問題的提出

　　圖1為某中藥生產廠的自動化系統。該系統實現了中藥生產中的配料工作的自動化,能夠提高生產效率,而且增加保密性,同時便于遠程管理。

?

?

　　在生產一線上采用基于現場總線的控制系統。當中藥配料落入秤斗中時,Panther儀表就可以檢測出這個變化,經過A/D轉換變成以數字表示的稱重數值。通過RIO接口,PLC程序可直接讀取Panther的稱重數值。智能儀表與控制器作為總線節點,依托總線進行相互通信,協調工作。

　　可以看到基于現場總線的這一系統結構簡單,成本較低,可以有靈活的控制,可擴展性強。而且能夠方便地與企業局域網進行通信,從而滿足遠程控制的要求。

　　可是我們發現,在現場總線一級的設備之間的通信是不安全的,如圖2中,監聽者可以獲取信道中的數據。現場總線協議標準是公開的,這些數據很容易被解釋為有意義的信息,那么各個節點之間的通信就沒有任何保密性可言。

?

?

　　現場總線數據交換中的這種不安全因素來自于協議本身。現場總線采用類似局域網的廣播報文方式進行通信,那么上面的這種竊聽就可以獲取總線上通信的所有信息。對于一個中藥制藥廠來說,藥品的配方就是企業的生命,如果這些信息被竊取,后果將不堪設想。

　　推而廣之,現代企業的許多關鍵技術都會在生產一線的儀器工作參數中體現出來,那么隨著企業的自動化、信息化程度的提高,信息的不安全性也越來越高。企業的現代化進程是不可避免的,在這一過程中,必須對信息安全提出越來越高的要求,對于采用現場總線構建的生產自動化系統,應該考慮總線網段的通信安全。

2 解決方案

　　我們提出的是一種進行設備間通信加密的方案,來解決上面提出的問題。

現場總線網段上設備的通信加密不同于目前通常的網絡通信加密,需要考慮實現加密的層次、實現方法以及對性能影響等諸多因素。

2.1 實現安全的層次

　　加密層次的選擇是相當關鍵的。這不僅涉及到對系統性能的影響,也決定著方案是否具有可行性。加密與解密應在同一層次進行。如圖3所示,通常有幾種可能的選擇:

?

?

　　(1)在應用層" title="應用層">應用層實現。這需要由用戶選擇加密算法進行編程,然后利用智能儀表和控制器的運算能力將數據轉化為密文,交給下層處理。同時,應用層也要負責解密。

　　在應用層實現的最大問題是對性能的影響。設備的運算能力是有限的,在設計運算能力的時候只是針對普通數據的處理而沒有考慮到實現較為復雜的算法(加密、解密)。所以,利用現有的協議和軟硬件去實現加密是不適宜的。而且,應用層的基本功能是控制與管理,把加密解密放到這個層次,會使其功能復雜化,不利于其管理控制任務的進行。

　　(2)集成于邏輯鏈路控制子層(LLC子層)或介質訪問控制子層(MAC子層)。這兩種選擇都需要對現有的LLC或MAC層的協議進行改動,是相當復雜的工作。因為現場總線的協議還沒有完全標準化,各種協議在底層的實現不同,進行集成的工作會影響各類總線,而且這種改動既涉及到協議制定者,又影響到設備生產者,不會是一件容易的事情。這種方案也會使原有的LLC和MAC層的協議更加復雜。

　　(3)在LLC與MAC之間插入一層獨立的加密棧,它對上(LLC子層)提供加密解密服務,對下(MAC子層)調用數據傳送服務。這一加密棧功能單一,只涉及加密解密起始位置的判定和加密解密的具體實現。它避免了在其它層次集成加密解密功能時對原有協議功能的干擾與破壞,所以這是一種簡單有效的方案。因此我們選擇本方案。

　　下面我們分析一下嵌入加密棧后的數據流程,如圖4所示。

?

?

　　加密棧只對數據進行加密,而不改變標識符和控制碼。對MAC層而言,它不會察覺數據已被加密,只將密文作為通常的數據而與標識符、控制符一同分幀、校驗,交給物理層傳輸。在接收方的數據流動與之相反,加密棧此時行使解密功能,對上下層仍然是透明的。可見,加密模塊的加入,并不影響其它層次的工作,它的這種透明對于保持現有的協議完整性相當重要。

目前現場總線的層次結構不是標準的OSI七層結構^[1],有很多層并沒有被實現,所以選擇LLC以上的層次不具有通用性。對于各類總線,MAC層是一定存在的,加密棧一定可以調用MAC層的數據傳輸服務。雖然不同的總線協議有所不同,但是加密棧的概念對所有類型的總線都是適用的,因此這種方案具有通用性。

　　對于我們剛才提出的系統,要求每一節點實現加密通信。這樣,即使是從總線上竊取了數據,也無法得到有用的信息,于是通信安全得到了保障。

2.2 方案的實現

　　我們選擇在LLC與MAC之間進行加密,具體的實現是利用硬件進行加密。硬件加密的優點在于速度快,同時硬件的保密性更強,算法不容易被破解,當然硬件應當能支持多種加密算法以便于用戶選擇。

　　關于硬件加密的實現,可以參閱文獻[2]。文獻[3]對[2]文的不足之處進行了補充,文獻[4]提出了構造偽隨機數進行加密的方法。

3 更深入的問題

3.1 密鑰的分配

　　加密通信中,密鑰的分配與管理是相當重要的環節。現場總線系統是為單一用戶所擁有管理的,密鑰的分配管理較為容易。系統管理員可以采用多種策略,不過由于設備的運算能力有限,而且硬件具有良好的保密性,選取對稱的密鑰體系應該是足夠了,即一段總線上采用同一密鑰,既用于加密也用于解密,所有的節點都用這把密鑰進行加密解密。對稱密鑰系統有結構簡單、實現方便的優點。但是系統應當定期更換密鑰,根據運行情況調整密鑰長度和算法,這樣可以保證密鑰的安全。

3.2 性能分析

　　對于現場總線系統性能的要求主要是實時性。毫無疑問,增加了數據加密解密環節會增加設備響應時間,但是這種延遲是不是一定會影響工業所需的實時性呢?答案是未必,因為我們提出的方案是基于硬件加密的。硬件的運算速度可以滿足工業實時控制的需要,只要選擇適合系統需求的算法,方案的強健性與實時性都可以得到保障。

加密過程中,不增加報文的長度,沒有額外的數據流量,就不會增加總線的負擔。

3.3 混合系統與系統互聯

　　混合系統指的是一個系統中既有需加密的節點又存在不加密的節點。例如一條總線上,關鍵設備通信時數據需要加密,而非關鍵設備數據不進行加密,于是信道上既有明文又有密文,這時就需要有一個預先的約定,使關鍵設備能識別所接收的數據是明文還是密文,并進行相應處理。對于明文則將解密棧屏蔽而把明文直接向上層傳送(這里體現出棧式加密結構的優點——功能獨立、可以選擇實現)。注意此時非關鍵設備不能接收關鍵設備數據(密文)。這實際上是一種分級的安全策略,需要在通信協議中規定標識位指明這種優先級別。

　　混合系統的另一種情形是對不具有加密能力的設備也有通信加密需求,此時可通過提供硬件接口方式提供加密功能,這樣就能夠提供對原有系統的兼容,只要增加少量投資就可大大提高敏感區域的安全性。基于接口的安全通信方案如圖5所示。

?

?

　　添加接口之后,總線網段上的數據便成為了密文。這樣,沒有加密功能的設備能利用接口進行密文通信,在混合系統中也能實現統一的加密通信。采用添加接口的方法,成本會提高,時延也會有所增加,但對于需要保護原有投資而又有較強安全需求的用戶,卻是一種有效的解決方案。

　　不同的現場總線網段之間,可以通過網橋相聯,系統的結構與圖5相似。網橋中需要有兩條總線的加密接口,之上才是協議的確認與轉換過程。由于加密是在LLC以下實現的,所以它不會影響到協議轉換。

　　現場總線可以通過通信控制器" title="通信控制器">通信控制器與工廠內部網相聯,通信控制器作為一個以太網的節點接入以太網,數據通過通信控制器時不做解密工作,直接按原密文傳送,上位機作為另一個節點與通信控制器進行密文通信,這就大大提高了以太網段上總線數據的安全性。與之相逆的過程中,上位機信息必須加密后才能進入以太網段,經過通信控制器進入總線。這樣就能實現安全的遠程控制。

　　現場總線系統的通信安全問題有其自身的特點,一個完整的解決方案不是短時間內能夠提出并實現的。雖然目前總線的信息安全問題還沒有得到廣泛的關注,但是,現場總線系統的開放互聯是未來發展的趨勢。所以,通信安全是企業現代化進程中不能不考慮的重要環節,而只有從協議與實現兩個方面共同努力,才能得到盡可能好的解決方案。

?

參考文獻

1 陽憲惠.現場總線技術及其應用.北京:清華大學出版社,1999

2 王 茂,秦嘉川.單片機系統的加密技術.計算工程與應用,1997(11)

3 劉雪峰,李智誠.關于《單片機系統的加密技術》一文的討論. 計算機工程與應用,1999(2)

4 張登福.偽隨機序列及PLD實現在程序和系統加密中的應用.計算機應用,2000(6)

5 Paul A.Lambert.Architectural Considerations for LAN?Security Protocols.Local Area Network Security，Springer-Verlag 1989

6 L.Kirk Barker,George A.Evans.The Impact of Security?Service Selection for LANs. Local Area Network Security，Springer-Verlag 1989