0 引 言

现代工业控制系统已经广泛的应用于医药、车辆、水电力、石油化工、食品、航空航天等工业领域中，成为国家关键基础设施的核心[1]。在信息化的推动下工业化进程大大加速，产能得到巨大提高的同时大量安全问题随之而来，如木马、病毒、网络攻击和一些专门针对工业控制系统出现的攻击手段层出不穷，2010年“震网”病毒[2]在伊朗爆发造成大量工业系统受到严重破坏，经济遭受重大损失。由于工业控制系统尤其自身特殊的性质，所以对它的安全性需求要一直增加。

1 相关工作

目前来看，安全产品中商业化的ICS[3]比较稀少，这其中核心因素是在“两化融合”的基础背景之下，太过庞大和丰富的工业控制系统规模，促使进行安全防护的困难程度大大增加。一些工控安全产品设计标准 ISA-99/NERC-CI等是国外的研究性质的机构和相关公司首先提出来，并且以此为根基，不断地开发出一些新产品，比如Tofino，C4等等，生产出的新产品的标准以及产品本身体现了工业控制系统安全技术的一种新发展的走向。在国内有一些研究机构和相关公司，最开始从“软防护”这一特别的角度着手，想到了一批批不同的解决措施和方案，不过新方案仅仅只能被当作是完善工业控制系统边界安全[4]的一种措施手段，但是针对ICS来说，解决它的终端安全以及通信管控等问题的作用并非明显的突出效果。因此对于工业控制系统安全所要面临的问题，一种以可信理论为基础的安全策略便应运而生， 使可信工业控制系统能够从底层向上层全方位的保障控制信息以及保证工业设备的安全可信。

2 可信计算[5]工业控制系统设计

可信工业控制系统设计目标在于系统应保证受到可信模块的保护、符合可信理论思想；系统应满足更高层级的安全需求；可信链接结构、三元对等模型是系统设计理念的基础[6]。

3/胡萝卜素不仅能抗氧化，还可以免疫调节。人体衰老的进程与抗氧化和免疫调节能力息息相关，而胡萝卜素恰好这两项都在行，所以在抗衰老这条路上，它是必不可少的。

本系统设计还包括工程师站身份认证、访问控制、安全度量。整个设计基于可信理论，排除攻击方进入程师站后对整个系统造成的危害，确保整个系统的安全性。对于系统的安全目标来说，我们可以借鉴可信理论中的3点理论：

(1)访问控制

可信控制站：完成工业设备信号的输入/输出，实现过程控制中的数据采集、回路控制、顺序控制、优化控制等控制算法，负责整个工业过程的实时监控。可信控制站执行整个可信工业控制系统的安全策略，当工程师站未被授权管理时，可信控制站拒绝工程师站的一切控制指令。当可信安全管理中心对工程师站授权成功后，可信控制站接受工程师站的管理控制。可信控制站比一般控制站需增加可信的相关板块。

在可信工业控制系统内部网络中加入可信安全管理中心，可信安全管理中心对工程师站的可信判断通过工程师站内置的可信模块实现，可信模块可监管工程师站的启动执行等过程，安全管理中心对其监管过程进行度量，识别结果表现为工程师站是否可信。系统将可信工业控制系统架构中的可信控制站作为可信安全管理中心的策略执行点，对工程师站进行访问控制。

(2)数据加密

工业控制系统对于存储的数据是以密文形式存储的，可信模块存储密钥是被加解密管理器产生的加解密密钥所保护起来，ISCSI这个命令的作用是工程师站发出一个加密申请，接着可信安全管理中心进行审核，是否给工程师站提供加密服务，对于没有授权的用户来说，数据的存储、加密、ISCSI都是不可视的，都是不可进行干扰的。

(3)日志管理

目前在地质岩心钻探、油气田开发钻探中，金刚石钻探是主要的工作手段。随着钻探工程向深部复杂地层发展，对钻孔的质量和钻进效率有更高的要求，因此对各种高性能金刚石钻头有着迫切需求[1]。现阶段二次镶嵌的孕镶金刚石钻头，由于其烧结温度低、对金刚石的热损伤小及钻头胎体性能较好，在硬岩地层钻进中应用很广泛；复合片钻头也成功用于软至中硬地层[2]。这些金刚石钻头在复杂地层钻进中经常有掉齿、掉块等现象发生，造成钻头寿命降低甚至钻头失效[3,4]。因此本文对金刚石钻头的焊接强度展开研究，通过使用不同材料的焊料，测试应用于不同材料时相应的焊接强度，优选适用于各胎体配方及复合片金刚石钻头的焊接材料。

当面对有可能泄露事件之时，必须有一个类似日志的管理方式来进行对信息的追踪，以方便人员管理，所以有周期的加密的日志系统必不可少。工程师站上的用户对日志的操作具有一定的限制，不可随意进行一般性的修改操作，日志的散列值是由可信配置寄存器来进行保存，一旦日志被强行修改，那么工程师站将被判断为安全不可信，从而被放入到一片单独的隔离区域。

2.1 可信计算工业控制系统的组成构造

本文中工业控制系统安全方案基于典型工业控制系统网络结构，在其基础上增加可信安全管理中心，并在工程师站与控制站中增加可信模块。可信工业控制系统结构如下：

工业以太网：过程控制工业以太网络采用IEEE 802.3标准，符合TCP/IP传输协议。实现系统中可信工程师站、可信控制站以及可信安全管理中心等的连接，它能够被看作是在传送的过程中进行实时信息控制的一种通道。

可信安全管理中心：提供整个可信工业控制系统的安全策略，授权可信工程师站，采用安全策略库调用的方式生成安全策略。工程师站向中心提出申请后，中心对信息进行评估判定工程师站的安全性，检测可信控制站。

(1)需要进行内核编译，使得linux对可信模块提供支持；

  

图1 可信工业控制系统网络结构

BIM技术在施工阶段的应用主要体现在造价控制上。首先，在施工阶段承包方往往会依据施工进度来计算工程量，但是这一过程存在着延迟，使得工程量的核算结果与实际工程量之间出现差异，不仅难以保障造价核算的精确度，还会造成资源浪费。而在施工过程中使用BIM技术，优秀的建模能力和可视性能够简化施工流程，更好地帮助施工团队编制核算工程量；其次，BIM技术应用可以在施工过程中跟踪市场行情变化，及时将材料价格、运输价格变动及机械使用费用数据编辑在模型中，有利于施工方进行动态维护。最后，BIM技术能够通过自带的绩效和费用核算功能对工程造价进行及时分析，帮助施工团队规避费用偏差。

鉴于PE闪烁液已经推广应用且效果良好，选择PE闪烁液所用的试剂进行自主配制，并进行一系列试验，以期求得能够代替PE闪烁液的最佳配方。

可信工程师站：主要用于控制应用软件的组成状态、系统监控、系统维护和对整个可信网络监控。其作为访问申请者，只有当得到可信管理中心授权后才能够访问管理可信控制站，防止工程师站被攻陷或假冒的工程师站对工业设备进行非授权修改和破坏。

可信工业控制系统授权概述，如图2所示。

工业设备：承载工业生产任务，可信工业控制系统中最终受保护目标。

  

图2 可信工业控制系统授权概述

可信工程师站向可信安全管理中心申请访问管理可信控制站，可信安全管理中心开始对可信工程师站进行身份鉴别认证过程，认证结束通过后可信工程师站得到访问可信控制站的授权，从而能够通过对可信控制站的控制来控制工业设备，让工业设备进行所需求的相关操作。

可信计算工业控制系统的设计基础建立在可信链接架构的三元对等模型思想之上，系统和模型之间的对应关系如下所述：

3个实体层：第一个是访问控制器，它表示可信控制站；第二个是访问的请求者，它表示可信工程师站；第三个是策略管理器即安全管理中心。

就老干部工作而言，我反复研读中组部老干部局局长许宏彬的讲话，其核心要义在于“精准服务”。正如习近平总书记反复强调的那样，做工作“贵在精准，重在精准，成败之举在于精准”。这是认真做好老干部工作的“魂”。

轨道基础控制网与线路控制网点和地下平面起算点联测时，轨道基础控制网平面测量每隔300 m左右联测一个既有的高等级线路控制网点。外业测量网型和起算点联测示意图，如图4。

2.2 工业计算控制系统度量机制

可信计算工业控制系统机制主要包括以下3点，第一点是可信工业控制系统度量过程；第二点是可信工程师站身份鉴别认证过程；第三安全管理中心功能设计。

对于可信工业控制系统来说，可信根[8]是一个出发的基础点。可信工业控制系统的可信根能够通过可信链传递机制来构成不同种类的设备的可信性，来检测系统的可信状态，很多的信任机制都离不开可信根。可信根有很多指标来表示静态可信性度量。本文中介绍了3个实体层的静态可信过程，这表现为从底层的硬件检测到任务的加载整个流程，称之为启动过程的可信性。

可信安全管理中心是可信根的来源，它的可信性是由本地度量机制来进行保证。而可信安全管理中心的作用是保证系统的安全。可信模块在实体层中存在，本地的可信根的作用是保证系统的安全，这是可信网络多级信任根机制的基础，通过本地的可信根能够记录启动过程中的特征值，从而对实体层进行度量和评估。

在组建系统的过程中，如果各个流程的结果能够被预期，比如启动的过程、加载的过程等，那么由此组建的系统就能够被认为属于静态安全范围。可信安全管理中心中存储的是硬件配置信息、操作系统特征信息、引导程序特征信息等，多级信任机制依据上述信息评估系统中的每个实体。

首先，影响产品价格浮动的因素有很多，如产品成本、市场需求等，而影响产品成本的因素又包含了原材料、技术研发、人力、物流等等，随着技术升级，生产率提高，产品成本自然呈现下降趋势；另一方面，考虑到省空间、美观需求、集多功能于一体、多件套价格等因素，越来越多的消费者认为购买嵌入式一体机更实用、更合适，市场需求加大，更多企业开始研发生产嵌入式一体机产品。因此，成本降低、供应增加，产品均价下降；消费升级，需求提升，零售量大幅增长。

可信工业控制系统可信链传递机制，如图3所示。

基于轨道AFC系统刷卡数据，可直接实现对轨道换乘站点进、出站客流的提取. 由于轨道内部换乘不需要进、出站，因此无法直接根据刷卡数据获取换乘客流信息. 本文提出了一种基于轨迹判断的换乘客流识别方法，可较为准确地提取轨道换乘客流信息，为拥塞风险评价奠定基础.

  

图3 可信工业控制系统可信链传递机制

(1)一级信任根：代表的是主体中的可信平台的控制模块，它放在可信管理中心，是整个系统的基础可信根。

4.执法人员的综合素养有待提高。作为落实“谁执法谁普法”责任制的直接责任人，执法人员的专业素质和法治素养直接决定了“谁执法谁普法”的工作实效。落实“谁执法谁普法”责任制，对一线的执法人员提出了更高的要求，不仅专业要过硬，更要有良好的法治素养。调研中发现，部分执法人员专业业务过硬，但法治素养较弱，运用法治思维与法治方式解决问题的能力还不够强，在面对群众释法说理上存在一定的短板。

(2)二级信任根：硬件可信度量，倘若可信工程师站、可信控制站的硬件特征足够符合网络可信根中的规定的定义，那么将会经由度量进入到二级可信根度量。

(3)三级信任根：引导程序度量，需要在度量结果通过后才会被授权来进行可信工程师站加载操作系统的操作。

(4)四级信任根：对可信工程师站上的操作系统进行评估，确保操作系统度量值与可信根中相关特征相符合。

3个抽象层：①完整性度量层：工程师站内部安置TPCM模块，系统启动随后运行服务，TPCM开始获取度量值，并将该值发送到策略管理器，并产生可信度量日志和对应的Hash散列值。策略管理器可根据模块提供的度量日志以及保存在可行配置寄存器内的散列值，完成度量值的完整性校验，确保其未被篡改；②可信平台评估层：主要是策略管理器对工程师站的可信评估。策略管理器接收访问控制器传递的可信工程师站的度量信息，作为申请者的可信工程师站通过度量信息完整性的判断来进行启动过程的可信评估[7]；③网络访问控制层：当访问请求发出后，策略管理器对可信工程师站提交的信息进行完整性度量和可信评估，通过后授予其可信控制站的访问控制权限，从而能够通过对可信控制站的控制来对工业设备下达指令。

(5)五级信任根：度量是否正确加载配置文件。

整个过程模拟一个完整的实际流程，实现安全逻辑分析后的性能消耗分析。

3 可信工程师站身份鉴别认证协议设计及安全分析

EAPOL数据包格式，如图4所示。

主要实现步骤如下：

(1)可信工程师站向可信安全管理中心申请开始认证，发送用户ID和用自己私钥签名的平台ID、会话标识和申请访问控制站名。可信安全管理中心检查工程师站的用户ID 是否为已注册信息，如果已经注册，则根据用户ID查找到用户公钥信息，解签名得到平台ID、会话标识和申请访问控制站名，根据申请访问控制站名称查找控制站公钥数据库找到控制站公钥。

(2)可信安全管理中心向可信工程师站发送控制站公钥并请求可信工程师站发送度量信息进行认证，向可信工程师站发送用可信工程师站公钥加密的可信控制站公钥信息并签名。

(3)可信工程师站从可信模块获得平台发起的散列信息PCR和可度量日志SML，这两个信息作为平台的似真性度量信息。随后从受信任的工程师站点获取用户可信度量信息(用户名和口令)。上述两种度量信息经加密后被发送给可信安全管理中心[7]。

(4)可信安全管理中心解密度量信息，将该信息进行哈希与平台发起的散列PCR进行比较。假若比较结果一致，则说明可测量的日志信息没有被修改更改，与规则库进行对比，并对可度量日志进行安全评估。在用户注册信息库中比较受信任的工程师站用户的用户名和密码以观察它们是否一致。如果一致，可信安全管理中心将会发送会话密钥协商请求，对可信工程师站平台ID，会话标识和可信工程师站公钥进行加密并将签名发送到可信的控制站。

(5)可信控制台生成一个会话密钥随机数，下一步进行随机数和会话标识的哈希运算，目的是为了保证可信工程师站接收时信息的完整性，计算的结果为散列值—CMAC-C[7]。散列值、会话标识、可信工程师站平台ID和随机数经加密签名后被控制台发送给可信工程师站。

(6)可信工程师站接收到上面消息后解密，通过把随机数和会话标识进行哈希运算得到的值与CMAC-C进行比较，假若结果一致，则表示信息完整。可信工程师站利用PRGF函数计算得到会话密钥，产生会话密钥的另一个随机数。此随机数和会话标识一同进行散列运算，获得另一散列值—CMAC-U。随后把该散列值、会话标识和可信工程师站平台ID、随机数一起用会话密钥加密连同加密的随机数一起签名后发送给可信控制站。

(7)可信控制站接收到可信工程师站发来的消息后解密，得到会话密钥另一个随机数，利用函数PRGF计算出会话密钥，用该会话密钥解密后半部分信息得到散列值、会话标识、可信工程师站平台ID和可信控制站名称，通过把随机数和会话标识进行哈希运算得到的值与CMAC-U进行比较，结果一致则表示信息完整。自此可信工程师站和可信控制站完成会话密钥协商。可信控制站发送认证成功信息给可信工程师站，可信工程师站身份鉴别认证结束。

4 协议设计及实现

本章简单介绍可信工程师站身份鉴别认证协议交互的实现，使用C语言作为编程语言，利用libnet[9]函数库进行网络数据的构造与发送；libpcap函数库进行数据捕获和过程分析；TSS可信软件栈提供访问接口及主要算法引擎。

上述五级可信传递构成了整个可信链。

4.1 设计环境及搭建

(1)操作系统：linux ubuntu10.10；

住宅绿化率对房价也产生明显的提升效应，平均绿化率每上涨1%，房价上涨3275元/m2。从图3（h）可以看出：甘井子区的旅顺北路到滨海公路区域房价影响较大。

(2)环境：C/C++；

(3)函数库：libpcap、libnet、libssl [10]；

(4)爬取数据软件：Wireshark；

(5)虚拟可信模块：TPM[11]_emulator；

(6)应用层工具：tpm_tools；

(7)虚拟机：VMware Workstation 7.1.4。

利用TPM模拟器取代真实的TPM，能在无可信模块的环境下搭建可信编程环境，步骤如下：

可信工业控制系统网络结构如图1所示。

(2)安装一个GMP数学运算库；

(3)安装TPM_emulator；

进行诊疗操作时，通过言语沟通、肢体接触和分散注意力等方法，安抚患儿情绪。诊疗操作后，继续给予患儿社会心理支持，鼓励家属最大程度地参与全程治疗，以减少患儿的住院心理创伤，提高治疗的依从性。

(4)安装openssl、libssl；

(5)假如测试成功，则表明TSS可信软件栈搭建成功。

4.2 数据包构造设计

二层数据链路层协议是工程师站身份鉴别认证协议的基础，本实验的设计基于EAP协议。对EAPOL协议中的类型值进行修改，并且重新定义协议类型值的意义。

1.1.4 结局指标 ①中央角膜厚度（CCT）；②顶端角膜厚度（ACT）；③最薄角膜厚度（TCT）；④眼压。

可信工程师站身份鉴别认证协议过程主要分为两部分：①可信计算工程师站注册[7]；②可信工程师站身份鉴别认证的过程。以下将重点介绍这个协议的过程设计。

  

图4 EAPOL数据包格式

Type表示的是数据帧类型，工程师站身份认证协议和远程用户身份鉴别协议包括了16种认证报文，这也意味着有16种类型格式。本协议利用0x05-0x0c这8种报文来对应上述的7个过程以及成功握手信息。

4.3 协议的流程图设计方案

工程师站身份鉴别认证平台可信认证部分流程，如图5所示。

4.4 工程师站身份鉴别协议性能分析

主要进行硬件计算及存储消耗的分析。

4.4.1 存储消耗

协议中每个请求工者需要将可信安全管理中心NAMS协商得到的会话密钥SK和用于解签名用的NAMS的公开密钥永久保存。对于每个请求，工程师站要将用来防止重放攻击的随机数和用来作为协商会话密钥的随机数保存。假若在完全随机的基础上，一个请求工程师站去连接到可信安全管理中心时平均频率是1/Taccess，那么在认证交换过程中的第二步，将会是一个平均频率是1/Taccess的泊松分布。只要请求者收到了消息，那么就必须将随机数进行存储，一直到请求者收到消息或者是计时器到达指定的时间，存储空间才能够得到释放。如果等待计时器的时间设定为Tlifetime2的话，Treq则表示的是接收到反馈包的时间，假若丢包率为Ploss，存储平均值计算如式(1)所示

漫画是一种巧妙构思的简笔的、直观的、通俗的绘画形式，富含人生哲理。这一独特的绘画形式，以其赏心悦目、形象直观、容易理解等优点一直被教育工作者所青睐。这种形式既能借助文字阐述主题，又能勾画出要表达的主题思想。将漫画引入课堂，能增强哲学课的趣味性，调动学生学习的积极性，提高学习效率。

 

(1)

当等待时间是二倍响应时间的时候，方程可以进行简化式(2)

 

(2)

在整个过程中，假定Treq小于Taccess。在demo中，首先设置初值，Treq为10 s，故Tlifetime2为二倍Treq共计20 s，Taccess为5 min。存储消耗大，这时丢包率升高，按照方程(2)高丢包概率的情况下，工程师站所存储值很小，从而可以说明不需要庞大的缓冲区来保持当前值。

4.4.2 计算消耗

我们评估这个协议的计算开销，如加密和解密、哈希和其它操作。计算成本具有与每个消息签名的加密和解密相对应的固定成本。主要成本是来自消息，工程师站接收到消息后，采用伪随机数算法计算会话密钥SK，因此计算开销的最大值取决于是否收到消息以及何时收到发送或发送时，以下是两种情况的计算消耗参见文献[7]。

4.4.3 性能分析

表1是在对工程师身份鉴别协议消耗进行了详细分析，并将其与相似协议进行比较后的结果。在本文中所设计的具有认证和授权功能的协议相较于其它协议来说，消耗相近，这些消耗不会影响工业控制系统中的工程师站的正常工作。此外，本协议能对可信模块进行支持，这意味着本协议能够以可信的思想从内到外自底向上的方式保护工业控制系统，因此安全性优于其它相关的安全协议。

  

图5 工程师站身份鉴别认证平台可信认证部分流程

 

表1 协议对比

  

LEAP协议Kerberos协议SPINS-based协议工程师站鉴别协议认证能力无有有有授权能力有无无有存储消耗1个SKey+计算相邻节点会话标示1个SKey1个SKey1个ASKey+1个SKey运算消耗1次哈希+1次伪随机数运算1次加密+2次解密1解密+2次哈希2次加密+1次解密+1哈希支持可信模块否否否是

5 结束语

本文通过对国内外工业控制系统安全性的现状进行研究，提出了一种基于工业控制系统的针对可信网络系统的解决方案，并详细阐述了基于工业控制系统可信网络系统的设计与研究意义。本文简单介绍了工业控制系统体系结构和工业控制系统网络结构示意图，并对可信理论的核心思想及相关技术进行了阐述。接着分析了通过可信思想来解决工业控制系统安全问题的原理，并基于此详细设计了工业控制系统可信网络系统，不仅如此，本文还对该协议进行了性能分析，对协议的存储和计算消耗进行了着重研究分析。我们发现该协议在硬件消耗方面不会有明显影响，证明该方案在工业控制系统中是可行的。在安全性方面，该方案由于基于可信的思想可以从内到外自底向上的方式保护工业控制系统，因此安全性优于其它相关的安全协议具有更加明显的优势。

参考文献：

[1]XIA Chunming,LIU Tao,WANG Huazhong,et al.Industrial control system security analysis[J].Information Security and Technology,2013,4(2):13-18(in Chinese).[夏春明,刘涛,王华忠,等.工业控制系统信息安全现状及发展趋势[J].信息安全与技术,2013,4(2):13-18.]

[2]XU Dongyang.Progress of security standardization of industrial control system in China[J].Information Security and Communications Privacy,2014(6):41(in Chinese).[许东阳.我国工控系统安全标准化工作进展[J].信息安全与通信保密,2014(6):41.]

[3]WANG Yubin,CHEN Si,CHENG Nan.Research on industrial control system security[J].Netinfo Security,2016(9):35-39(in Chinese).[王昱镔,陈思,程楠.工业控制系统信息安全防护研究[J].信息网络安全,2016(9):35-39.]

[4]WANG Xiaoshan,YANG An,SHI Zhiqiang,et al.New trend of information security in industrial control systems[J].Netinfo Security,2015(6):6-11(in Chinese).[王小山,杨安,石志强,等.工业控制系统信息安全新趋势[J].信息网络安全,2015(1):6-11.]

[5]JIN Qiu,PEI Fei.Analysis of high trusted computing platform based on security[J].Computer Knowledge and Technology,2015,11(12):27-29(in Chinese).[金秋,裴斐.基于安全性考虑的高可信计算平台的分析[J].电脑知识与技术,2015,11(12):27-29.]

[6]XIAO Yuelei.Research on key technologies of trusted network connect and their application[D].Xi’an:Xidian University,2013(in Chinese).[肖跃雷.可信网络连接关键技术研究及其应用[D].西安:西安电子科技大学,2013.]

[7]ZOU Qichen.Research trusted storage network systems based on SAN environment[D].Beijing:Beijing University of Technology,2014(in Chinese).[邹起辰.基于SAN环境的可信网络存储系统研究[D].北京:北京工业大学,2014.]

[8]ZHANG Tong.Research on theory and key technologies of trusted network in electric power industry control system[D].Beijing:North China Electric Power University,2013(in Chinese).[张彤.电力可信网络体系及关键技术的研究[D].北京:华北电力大学,2013.]

[9]XING Baoyu,LYU Xueming,SUN Chaoyu.Design and implementation of network protocol data unit generator based on Libnet[J].China New Telecommunications,2014(11):104(in Chinese).[邢宝玉,吕雪鸣,孙朝宇.基于Libnet的网络协议数据单元发生器的设计与实现[J].中国新通信,2014(11):104.]

[10]ZHOU Yongfu,ZENG Zhi.Implementation of network data packet monitoring using Libpcap for IDS under Linux[J].Modern Computer,2015(6):67-76(in Chinese).[周永福,曾志.Linux下采用Libpcap实现IDS的网络数据包监测[J].现代计算机,2015(6):67-76.]

[11]FENG Wei,FENG Dengguo.Analyzing trusted computing protocol based on the strand space model[J].Chinese Journal of Computers,2015,38(4):702-716(in Chinese).[冯伟,冯登国.基于串空间的可信计算协议分析[J].计算机学报,2015,38(4):702-716.]