工业控制系统PLC互联身份认证机制研究

自动化技术与应用　２０１８年第３７卷第２期　工业控制与应用　Ｉｎｄｕｓｔｒｙ　Ｃｏｎｔｒｏｌ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ　工业控制系统ＰＬＣ互联身份认证机制研究　薛常庆，丛键，张晓　（西南通信研究所，四川成都６１００４１）　摘　要：工业控制系统（ＩＣＳ）是国家关键基础设施的“中枢神经”。而可编程逻辑控制器（ＰＬＣ）作为ＩＣＳ的核心，它的安全性直　接关乎ＩＣＳ的正常运转。针对众多接入互联网的ＰＬＣ，首先对目前应用于ＩＣＳ中的ＰＬＣ互联身份认证机制的分类进行了　研究；随后利用基于嗅探（Ｓｎｉｆｆｅｒ）技术的数据流分析方法和软件逆向方法，对两款典型ＰＬＣ和其编程与组态软件交互所　采用的身份认证机制展开了安全性研究；最后针对其安全性较弱的现状提出了改进思路，可为ＩＣＳ和ＰＬＣ的信息安全防　护提供参考。　关键词：工业控制系统；可编程逻辑控制器，身份认证机制；组态软件　中图分类号：ＴＰ３０９．１　文献标识码：Ａ　文章编号：１００３—７２４１（２０１８）０２－００３０—０５　Ｒｅｓｅａｒｃｈ　ｏｎ　ＩｎｔｅｒＣＯｎｎｅＣｔｅｄ　Ｉｄｅｎｔｉｔｙ　ＡＵｔｈｅｎｔｉＣａｔｉＯｎ　Ｍｅｃｈａｎｉｓｍ　ｏｆ　ＰＬＣ　ｉｎ　Ｉｎｄｕｓｔｒｉａｌ　Ｃｏｎｔｒｏｌ　Ｓｙｓｔｅｍ　ＸＵＥ　Ｃｈａｎｇ－ｑｉｎｇ，ＣＯＮＧ　Ｊｉａｎ，ＺＨＡＮＧ　Ｘｉａｏ　（Ｓｏｕｔｈｗｅｓｔ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｉｎｓｔｉｔｕｔｅ，Ｃｈｅｎｇｄｕ　６　１　００４　１　Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｉｎｄｕｓｔｒｉａｌ　ｃｏｎｔｒｏｌ　ｓｙｓｔｅｍ（ＩＣＳ）ｃａｎ　ｂｅ　ｃａｌｌｅｄ　ｔｈｅ”ｃｅｎｔｒａｌ　ｎｅｒｖｏｕｓ　ｓｙｓｔｅｍ”ｏｆ　ｎａｔｉｏｎａｌ　ｃｒｉｔｉｃａｌ　ｉｎｆｒａｓｔｒｕｃｔｕｒｅ．Ｔｈｅ　ｏｐｅｒａｔｉｏｎ　ｏｆ　ｈｅｔ　ＩＣＳ　ｉｓ　ｉｎｆｌｕｅｎｃｅｄ　ｄｉｒｅｃｔｌｙ　ｂｙ　ｔｈｅ　ｓａｆｅｔｙ　ｏｆ　ｈｅ　ｐｒｔｏｇｒａｍｍａｂｌｅ　ｌｏｇｉｃ　ｃｏｎｔｒｏｌｌｅｒ（ＰＬＣ），ｉｔ　ｉｓ　ｔｈｅ　ｃｏｒｅ　ｏｆ　ｈｅ　ＩｔＣＳ．Ａｓ　ｆｏｒ　ｐｌｅｎｔｙ　ｏｆ　ＰＬＣｓ　ｗｈｉｃｈ　ａｃｃｅｓｓ　ｔｏ　ｔｈｅ　Ｉｎｔｅｒｎｅｔ．Ｆｉｒｓｔ　ｏｆ　ａｌ１．ｔｈｉｓ　ｐａｐｅｒ　ｓｔｕｄｉｅｓ　ｔｈｅ　ｃｌａｓｓｉｆｉｃａｔｉｏｎ　ｏｆ　ＰＬＣ　ｉｎｔｅｒｃｏｎｎｅｃｔｅｄ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｍｅｃｈａｎｉｓｍ　ａｐｐｌｉｅｄ　ｉｎ　ＩＣＳ．Ｔｈｅｎ，ｔｈｉｓ　ｐａｐｅｒ　ａｎａｌｙｚｅｓ　ｔｈｅ　ｓａｆｅｔｙ　ｏｆ　ｉｄｅｎｔｉｔｙ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｍｅｃｈａｎｉｓｍ　ａｄｏｐｔｅｄ　ｉｎ　ｔｈｅ　ｉｎｔｅｒａｃｔｉｏｎ　ｂｅｔｗｅｅｎ　ｐｒｏｇｒａｍｍｉｎｇ　ａｎｄ　ｃｏｎｆｉｇｕｒａｔｉｏｎ　ｓｏｆｔｗａｒｅ　ａｎｄ　ｔｗｏ　ｔｙｐｉｃａｌ　ＰＬＣｓ　ｂｙ　ｍｅａｎｓ　ｏｆ　ｄａｔａ　ｌｏｗ　ａｎａｌｙｓｉｓ　ｂａｓｅｄ　ｏｎ　ｓｎｉｆｆｆｅｒ　ａｎｄ　ｓｏｆｔｗａｒｅ　ｒｅｖｅｒｓｅ．Ａｔ　ｌａｓｔ，ｔｈｉｓ　ｐａｐｅｒ　ｏｆｆｅｒｓ　ｓｏｍｅ　ｓｕｇｇｅｓｔｉｏｎｓ　ｏｎ　ｔｈｅ　ｗｅａｋｎｅｓｓ　ｏｆ　ＰＬＣ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｍｅｃｈａｎｉｓｍ，ｉｔ　ｃａｎ　ｏｆｆｅｒ　ａ　ｒｅｆｅｒｅｎｃｅ　ｏｒ　ｆｔｈｅ　ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｙ　ｔｏｆ　ＰＬＣ　ａｎｄ　ＩＣＳ．　Ｋｅｙ　ｗｏｒｄｓ：ｉｎｄｕｓｔｒｉａｌ　ｃｏｎｔｒｏｌ　ｓｙｓｔｅｍ；ＰＬＣ；ｉｄｅｎｔｉｙ　ｔａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｍｅｃｈａｎｉｓｍ；ｃｏｎｆｉｇｕｒａｔｉｏｎ　ｓｏｆｔｗａｒｅ　１　引言　控制系统是指由一系列用于实时监控的计算机和工业　过程控制组件构成的自动控制系统，简称工控系统。它主　要可分为数据采集与监视控制系统（ＳＣＡＤＡ）、分布式控　特性而忽略了互联安全方面的考虑，因此导致其缺乏有　效的信息安全防御措施，从而面临着巨大的网络安全风　险　Ｊ。而近年来，针对工控系统及其核心设备的恶意事　件也是层出不穷。如２０１０年伊朗核设施遭受“震网”　病毒破坏以及２０１５年乌克兰部分地区电力系统遭受　“ＢｌａｃｋＥｎｅｒｇｙ”病毒袭击等事件均表明网络安全威胁　制系统（ＤＣＳ）等多种类型的控制系统，并广泛的运用于我　国电力、核能、交通等众多涉及国计民生的关键领域，为　社会、经济的稳定运行与高速发展提供了重要保障［１－２１￣　然而随着工控系统朝着信息化、智能化的方向发　展，大量的工控设备开始接人互联网。同时由于ＰＬＣ　等核心设备在设计之初多注重于系统的效率、实时等　的触角已真正地开始向工业领域蔓延　。　而随着“互联网＋”、智能制造等新兴业态的快速发　展，互联网技术快速渗透到我国工业各领域。但目前我国　工控系统的核心设备多依赖于进口，因而在其安全ｆ生未知　的情况下势必存在众多潜在的网络安全风险。因此文章基　收稿日期：２０１７—０６－１９　于ＰＬ　Ｃ互联身份认证机制的分类，重点分析了简易挑战　

］［业｝空韦ＩＪ与应用　Ｉｎｄｕｓｔｒｙ　Ｃｏｎｔｒｏｌ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ　“自动化技术与应用　２０１８年第３７卷第　０期　～　……　～　／应答和基于密码学的两类认证机制的安全性，并简述了　其被破解后可能的恶意行为，给出了相应的防御措施，可　为工控系统与ＰＬＣ信息安全防护提供一定的参考。　Ｉｇｏｒ　Ｎａｉ　ＦｏｖｉＦＩＯ等人提出一种防抵赖防重放的　ＭＯｄｂｕＳ安全认证协议，并通过将其应用于电厂，验证　了该协议的安全性　Ｊ。　Ｇａｒｒｅｔｔ　ｉｌａｙｅｓ等人提出一种基于哈希运算消息认　２　ＰＬＣ互联身份认证机制　ＰＬＣ互联身份认证机制主要指当用户访问ＰＬＣ　时，ＰＬＣ对其身份进行合法性检验的－一种安全防护手段，　它能有效地保护ｆ　Ｉ　Ｃ的敏感数据和高权限指令不被窃　取和利用。　证码（ＨＭＡＣ）和流控制传输协ｃ义（ＳＣＴＰ）技术的后向兼　容Ｍｏｄｂｕｓ改进安全协议ＭｏｄｂｕｓＳｅｃ，其可为系统提供　可靠的消息传递服务，并实现设备问的双向认证　。　２．２　ＰＬＣ互联身份认证机制分类　世界范围内的ＰＩ　Ｃ厂商、ＰＬＣ协议以及协议变种　众多，因此文章根据已有的研究成果，将目前应用于工　控系统中的ＰＬＣ互联身份认证机制分为三类：　（１）无认证机制　然而与ＰＬＣ进行数据交换的设备众多，如图１所永，　电机、阀门和传感器这类生产现场设备通常与ＰＬＣ可完　成如流量、液位、阀门状态等工艺参数的实时采集与就　地控制；路由没备可用于各工业子网问的数据传递；而　ＯＰＣ服务器则可实现工业现场设备间的开放式信息交换。　但上述设备与ＰＬＣ之间的交互多以状态和参数信息为主。　（２）简易挑战／应答认证机制　（３）基于密码学的认证机制　其中，无认证机制是指双方实体在通信过程中，无　操作员站工程师站ＯＰＣ￣－器路由器　任何检验各自身份的手段。如在实际环境采用Ｄ　ＮＰ３协　议的ＳＣＡＤＡ系统和采用Ｍｏｄｂｕｓ协议施耐德ＰＬＣ均　无任何的认证方案，因此其防护能力也相对薄弱　。　而目前虽有学者为其提出了一些解决办法，但基本部未　能用于实际工控系统中，其主要原冈在于：①许多设备　供应商不支持这些改进协议；②对已实际部署的工控软　硬件设施进行改造升级困难较大“”　；　简易挑战／应答认证机制是指用户在访问系统时，　系统随机产生～一个消息作为挑战值发送给用户，用户在　图１　ＰＬＣ局域拓扑结构图　而操作员站和　程师站则可通过运行于其平台．【二的　组态与编程软件实现对生产现场设备与Ｐ　Ｌ　Ｃ的远程监　对挑战值进行简单的运算处理后将计算结果作为登录口　令返回给系统，如果系统收到正确的应答，则验证通过。　相较于传统挑战／应答认证机制，该机制的简易性主要　体现在于认汪策略中并未引入单向哈希算法而是仅仅进　行了简单的逻辑运算，因此其安全性也大打折扣；　而基：ｒ密码学的认证机制９１ｌＪ主要指在认证策略巾引　控、编程、测试等功能，具备较高的控制权限　。　因此如果入侵者以操作员站或工程师站的身份接入　ＰＬＣ，则可能会对ＰＩ　Ｃ造成恶意代码植入、恶意操控和侦　察式破环等高危持续陛威胁（ＡＴＥ）。所以文章将重点针对　ＰＬＣ和编程与组态软件之间的身份认证机制展开研究。　入了如对称加密等成熟密码学算法的一种身份认证方　案，该机制能较大的提升ＰＬＣ的信息安全防护能力。　２．１研究现状　随着工控系统逐渐开始与企业网、因特网互联，ＰＩ　Ｃ　面临的网络安全风险也随之增大。　此将身份认证技术　３　ＰＬＣ互联身份认证机制安全性分析　根据【　述分类，重点选取两款目前应用较为广泛的　ＰＩ　Ｃ：　应用于工控系统逐渐成为国内外学者研究的热点。如施　耐德公司旗下ＰＬＣ产品与其他设备交互采用的Ｍｏｄｂｕｓ　协议即无任何认证方案设计，因此有学者针对此问题提　出了改进办法：　（１）西¨ｆ￥７－ｌ２００　（２）罗克韦尔ＣｏｎｔｒｏｌＬｏｇｉｘ系列　和其编程与组态软件ＴｌＡ　ＰＯＲＴＡＬ和ＲＳＬｏｇｉｘ　５０００作为实验环境，对其身份认证机制展开研究，详　细阐述了简易挑战／应答和聚于密码学的认证机制的原　Ｔｅｃｈｎｉｑｕｅｓ　ｏｆＡｕｔｏｍａｔｉｏｎ＆Ａｐｐｌｉｃａｔｉｏｎｓ　ｌ　３１　Ｌｉａｏ等人为Ｍｏｄｂｕｓ协议提出一种基于哈希链概念　的加密认证方案，可有效地抵御外部的非法接入　。　

自动化技术与应用》　２０１８年第３７卷第２期　理，并进一步分析了其脆弱性。　工业控制与应用　ＩｎｄｕｓｔｗＣｏｎｔｍｌ　ａｎｄＡｐｐｌｉｃａｔｉｏｎｓ　～。————————一　——一…一　接（３）Ｓ７连接。如图３所示，其中ＴＩＡ　ＰＯＲＴＡＬ与ＰＬＣ　在建立ｓ７连接时采用了一种简易挑战／应答认证机制。　（１）ＴＩＡ　ＰＯＲＴＡＬ软件首先向ＰＬＣ发送一个功能　类型为ＯｘＯ１的Ｓ７连接请求包；　３．１　西门子Ｓ７—１２００型ＰＬＣ互联身份认证　机制　西门子Ｓ７系列ＰＬ　ｃ最早问世于１９９５年，因其良　好的系统性能被广泛地应用于ＳＣＡＤＡ系统。ＴＩＡ　ＰＯＲ　ＴＡＬ软件则是一款支持梯形图（ＬＤ）、功能块图（ＦＢＤ）　等多种编程语言并兼备调试、诊断等功能的编程与组态　软件。其中西门子￥７－１２００型ＰＬＣ与ＴＩＡ　ＰＯＲＴＡＬ　软件交互所采用的身份认证机制是基于ｓ７协议实现的。　虽然该协议未公开，但文章采用了一种基于嗅探技术的　数据流分析方法对其展开研究，因此无需对私有的Ｓ７　协议进行完整的协议逆向分析。　（２）ＰＬＣ随后返回一个连接确认包，并在返回的ｓ７　协议中的第１８个字节Ｏｂｊｅｃｔ　ＩＤ字段处嵌入一个随机挑　战值。如图４所示，其中０ｘ７２是ｓ７协议的起始标志位，　而０ｘ３４即为该随机挑战值；　圈　ｌ　认　文定位Ｉ　一Ｉ＿＿＿＿＿＿＿＿＿＿＿＿＿－＿．－＿＿＿＿＿－＿．＿＿＿＿一图４　Ｓ７—１２００连接确认包　（３）ＴＩＡ　ＰＯＲＴＡＬ软件在收到随机挑战值后，将该　值和Ｏｘ８０进行“与”运算，具体公式如下：　Ａｕｔｈｒｅｓｕｌｔ＝ｃｈａｎｌｌｅｎｇｅ＋０ｘ８０　　Ｉ　定位　Ｉ域ｌ　●－＿．＿＿．＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿－－＿＿－＿一　同时将该认证结果作为会话和对象ＩＤ嵌入随后　的所有Ｓ７通信中的数据和功能请求包的第ｌ７和第２２　个字节的Ｓｅｓｓｉｏｎ　ＩＤ与Ｏｂｊｅｃｔ　ＩＤ字段处。如图５所　示，０ｘＢ４即为经过运算后的认证值；　图２基于嗅探技术的数据流分析方法流程　如图２所示，该方法主要分为三个步骤：首先，在　捕获某软件功能完整实现过程数据报文的前提下，结合　重放结果与协议的先验知识，首先分析出身份认证的大　致流程，并初步定位关键的认证数据报文；其次基于身　份认证技术安全性的重要体现在于采用动态变化的认证　消息才能有效防止基于重放的身份伪造的思想，以多组　实际捕获的认证数据报文为对象，通过将静态字段排除　为非认证部分的比对分析方法，定位了认证数据报文中　认证字段域的位置；最后以多组认证数据报文与其前后　图５　Ｓ７通信数据请求包　（４）ＰＬＣ在接收到ｓ７通信数据或功能请求包后，首　先检验其会话与对象Ｉ　Ｄ值的合法性。如果符合认证策　略，则响应；如果不符合，则拒绝服务。　由于￥７－１２００与ＴＩＡ　ＰＯＲＴＡＬ软件交互采用明文　的数据报文中的认证字段域值为对象，进行关系比对分　析，最终推断出身份认证机制。　ＰＵＤ　ＴＹＰＥ＝０×０１　ｓ７连接　传输，同时因其身份认证机制本身的脆弱性，所以可轻　易利用嗅探工具破解该机制。针对上述问题，西门子公司　特意在其ＴＩＡ　ＰＯＲＴＡＬ软件中增设了密码保护机制以防　止非法用户上传和下载ＰＬＣ逻辑。但也有学者指出，对　于Ｓ７系列中的￥７－２００型ＰＬＣ，仍可通过读取系统块数　图３　Ｓ７．１２００认证流程图　基于上述方法，结合已有Ｓ７协议研究成果…　，重　据、编程软件逆向分析或针对密码长度最多只有８位的　弱点采用穷举的方式暴力破解密码　。同时，针对Ｓ７系　列ＰＬＣ，还可通过伪造ＴＩＡ　ＰＯＲＴＡＬ软件中的内存保护　移除功能报文，达到认证绕过的目的，但同时又由于ＴＩＡ　点针对ＴＩＡ　ＰＯＲＴＡＬ软件中的在线连接、ＲＵＮ／ｓＴＯＰ　模式切换与逻辑上传／下载功能进行了数据流分析。实　验发现，完成上述功能的共同前提是实现一个三步骤的　基本连接：（１）目标端口为１０２的ＴＣＰ连接（２）ＣＯＴＰ连　ＰＯＲＴＡＬ软件不会实时更新该修改配置，因此导致工程　师无法及时发现密码保护功能已被移除［１４１０可见，西门子　

］［业丰空韦Ｕ与应用　Ｉｎｄｕｓｔｒｙ　Ｃｏｎｔｒｏｌ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ——————　’’。——　——　自动化技术与应用　２０１８年第３７卷第２期　。’。’　’　’　’。——　’。。。——。——。。。。　。。　’’。——’。。。。　’。’’。——’——　Ｓ７系列ＰＬＣ整体的认证保护机制依然存在较多问题。　解密处理后，再根据认证策略返回一个包含２０字节处　理结果的认证响应包，如图７所示，其中０ｘｌ４、０ｘ００　为该响应数据的起始标志。　３．２　罗克韦尔ＣｏｎｔｒｏｌＬｏｇｉｘ系列ＰＬＣ互联　身份认证机制　ＣｏｎｔｒｏｌＬｏｇｉｘ系列ＰＬＣ是罗克韦尔公司旗下的一　类大型控制系统，并被广泛应用于食品、冶金等领域。　而ＲｓＬｏｇｉｘ５０００则是一款可为Ｌｏｇｉｘ５０００家族系列　ＰＬＣ进行配置、编程的应用软件。　同样的，结合Ｃ　Ｉ　Ｐ协议的公开资料与基于嗅探技术　的数据流分析方法　，重点针对ＲＳＬｏｇｉｘ５０００软件中的　联机／脱机、ＰＲＯＧＲＡＭ／ＲＵＮ／测试模式切换与逻辑　上载／下载功能进行了数据流分析，定位了用于身份认　证的４Ｂ、４Ｃ服务包。但由于无法直接解析４Ｃ认证服　图７　ＰＬＣ认证响应包　（４）最后，ＰＬ　Ｃ检验响应认证包中认证消息的合法　性。如果其符合验证策略，则返回认证通过包；如果不　符合，则拒绝服务。　设备厂商虽为ＣｏｎｔｒｏｌＬｏｇｉｘ系列ＰＬＣ中设计了基　于加密算法的认证方案，并能在保证认证消息完整性与　机密性的前提下，有效阻止基于重放等手段的入侵，较　务包携带的一组未知数据，因此文章从通信实体需要对　认证消息进行校验的角度出发，对ＲＳＬｏｇｉｘ５０００软件进　行了逆向分析。　大提升了身份认证机制本身的安全性，但却忽略了仍可　通过软件逆向或固件逆向等方式实现对身份认证机制的　破解，因此其仍然存在一定的信息安全风险。　首先利用一种结合Ｗｉｒｅｓｈａｒｋ与动态调试工具的关　键动态链接库（ＤＬＬ）与关键函数快速定位方法精确定位　了用于认证过程的动态链接库与其调用关系：Ｒ￥５０００．　ＥＸＥ一功能服务．ＤＬＬ一认证连接．ＤＬＬ一加解密．ＤＬＬ。　随后在利用静态反汇编工具ＩＤＡ　Ｐｒｏ对上述ＤＬＬ　４　ＰＬＣ信息安全防护建议　ＩＣＳ是一个以生产过程为中心的信息物理融合系统。　中的关键函数进行了逆向分析后发现，Ｃ０ｎｔｒｏｌＬｏｇｉｘ系　列ＰＬ　Ｃ采用了一种结合哈希算法与非对称加密算法的　认证机制。该认证机制流程如下：　（１）ＲＳＬｏｇｉｘ５０００软件首先向ＰＬＣ发送一个４Ｂ服　而因其高实时性，资源有限，和更新困难等特点，有着　与传统ＩＴ系统不同的安全理念。工业生产多为连续过　程，无法承受系统非预期的中断，故而Ｉ　ＣＳ安全防护首　要考虑的是系统的可用性，并遵循ＡＩＣ（可用性、完整性、　机密性）原则。因此针对核心工控平台的信息安全问题　务请求包，申请进行身份验证；　（２）ＰＬ　Ｃ随后返回一个１２８字节的经哈希与加密处　理的认证消息包，如图６所示，其中０ｘ８０、ＯｘＯ０为该　加密数据的起始标志。　既不可简单地移植传统ＩＴ领域的防御手段，也不能只　依靠单一的安全技术或方案，以下分别从安全机制与安　全架构两方面提出了建议：　（１）ＰＬＣ互联身份认证机制作为ＰＬＣ信息安全防护　的一道重要关卡，可有效地阻挡非法用户对ＰＬ　Ｃ的未　授权访问，保护系统的敏感资源。而一旦其遭到破解，　则可能造成控制ＰＬＣ启停、读写系统与Ｉ／Ｏ数据、植　入恶意ＰＬ　Ｃ逻辑与自定义固件等高危持续性威胁，后　果不堪设想［１６１０但往往由于生产条件对系统响应速度等　技术指标的要求，ＰＬ　Ｃ平台无法承担较大的额外时间和　计算资源的开销，因而在设计认证方案时需仔细衡量系　统安全性与性能之间的关系。因此针对认证机制安全性　较弱的施耐德、西门子Ｓ７系列ＰＬＣ，设备厂商在为其　新型号ＰＬＣ设计认证方案时，可首先进行恰当的信息　图６　ＰＬＣ认证消息包　（３）ＲＳＬｏｇｉｘ５０００软件在对１２８字节的认证消息做　安全风险评估与性能测试，以达到实时性与安全性的最　佳平衡。同时还可考虑采用加壳、代码｝昆淆等技术提升　

自动化技术与应用》　２０１８年第３７卷第２期　软件与ＰＬＣ固件的安全性。　工业控制与应用　Ｉｎｄｕｓｔｒｙ　Ｃｏｎｔｒｏｌ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ　［６】ＬＩＡＯ　ＧＥＮ－ＹＩＨ，ＣＨＥＮ　ＹＵ—ＪＥＮ，ＬＵ　ＷＥＮ－　Ｃ　Ｈ　Ｕ　ＮＧ，Ｔｏｗａｒｄ　ａｕｔｈｅｎｔｉｃａｔｉｎｇ　ｔｈｅ　ｍａｓｔｅｒ　ｉｎ　ｔｈｅ　（２）根据ＤＨＳ提出的ＩＣＳ“纵深防御”的策略，为　构建完整的安全架构，可将Ｉ　ＣＳ划分为不同的安全域，　并可通过在安全域周边设立隔离区（ＤＭＺ）、工业防火墙　和入侵检测系统（ＩＤＳ）等边界防护设备，形成整体的防护　Ｍｏｄｂｕｓ　ｐｒｏｔｏｃｏｌ［Ｊ】．ＩＥＥＥ　Ｔｒａｎｓａｃｔｉｏｎｓ　ｏｎ　Ｐｏｗｅｒ　Ｄｅｌｉｖｅｒｙ，　２００８，２３（４）：２６２８－２６２９．　【７】ＦＯＶＩＮＯ　Ｉ　Ｎ，ＣＡＲＣＡＮＯ　Ａ，ＭＡＳＥＲＡ　Ｍ，ｅｔ　ａ１．Ｄｅｓｉｇｎ　ａｎｄ　Ｉｍｐｌｅｍｅｎｔａｔｉｏｎ　ｏｆ　ａ　Ｓｅｃｕｒｅ　Ｍｏｄｂｕｓ　能力。而边界保护技术也因其良好的跨平台性，边界部　署方式，以及对系统资源和生产过程的轻量级影响等特　性成为Ｉ　Ｃｓ信息安全防护的重要手段。其中，工业防火　墙除可提供多种工业协议的深度解析与异常流量识别外，　还可根据系统的实时状态检测，动态地配置防火墙的过　Ｐｒｏｔｏｃｏｌ［Ｊ１．Ｃｒｉｔｉｃａｌ　Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ　Ｐｒｏｔｅｃｔｉｏｎ　ＩＩＩ．　２００９，（３１１）：８３－９６．　［８　ＨＡＹＥＳ　Ｇ，８］ＥＬ—ＫＨＡＴＩＢ　Ｋ．Ｓｅｃｕｒｉｎｇ　ｍｏｄｂｕｓ　ｔｒａｎｓａｃｔｉｏｎｓ　ｕｓｉｎｇ　ｈａｓｈ－ｂａｓｅｄ　ｍｅｓｓａｇｅ　ａｕｔｈｅｎｔｉｃａｔｉＯｎ　ｃｏｄｅｓ　ａｎｄ　ｓｔｒｅａｍ　ｔｒａｎｓｍｉｓｓｉｏｎ　ｃｏｎｔｒｏｌ　ｐｒｏｔｏｃｏｌ，２０１３［Ｃ】．　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ＆ｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ．ＩＥＥＥ，２０１３：１７９－１８４．　Ｉｎｆｏｒｍａ　滤原则，使其在满足生产需求的同时保证工控网络间的　安全互联。而往往作为防火墙之后的第二道安全闸门，ＩＤＳ　则可通过对网络或主机运行状态的监视与分析，实时感　知与报警违反安全策略或企图破坏系统的异常活动。　［９】ＶＡＩＤＹＡ　Ｂ，ＭＡＫＲＡＫＩＳ　Ｄ，Ｍ０ＵＦＴＡＨ　Ｈ　Ｔ．ＡｕｔｈｅｎｔｉｃａｔｉＯｎ　ａｎｄ　ａｕｔｈ０ｒｉｚａｔｉＯｎ　ｍｅｃｈａｎｉｓｍｓ　ｆｏｒ　ｓｕｂｓｔａｔｉｏｎ　ａｕｔｏｍａｔｉｏｎ　ｉｎ　ｓｍａｒｔ　ｇｒｉｄ　ｎｅｔｗｏｒｋ［Ｊ】．Ｎｅｔｗｏｒｋ　ＩＥＥＥ，２０１３，２７（１）：５一ｌ１．　［１０】ＴＡＹＬ０Ｒ　Ｃ　Ｒ，ＳＨＵＥ　Ｃ　Ａ，ＰＡＵＬ　Ｎ　Ｒ．Ａ　５结束语　文章概括地介绍了目前应用于工控系统中的ＰＬＣ　ｄｅｐｌｏｙａｂｌｅ　ＳＣＡＤＡ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｔｅｃｈｎｉｑｕｅ　ｆｏｒ　ｍｏｄｅｒｎ　ｐｏｗｅｒ　ｇｒｉｄｓ，２０１４［Ｃ］．Ｅｎｅｒｇｙ　Ｃｏｎｆｅｒｅｎｃｅ．ＩＥＥＥ，２０１４：６９６－７０２．　［１１】ＫＬＥＩＮＭＡＮＮ　Ａ，ＷＯＯＬ　Ａ．Ａｃｃｕｒａｔｅ　Ｍｏｄｅｌｉｎｇ　ｏｆ　ｔｈｅ　Ｓｉｅｍｅｎｓ　Ｓ７　ＳＣＡＤＡ　Ｐｒｏｔｏｃｏｌ　ｆｏｒ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　互联身份认证机制的状况，并对其进行了归纳总结；其　次利用基于嗅探技术的数据流分析和软件逆向方法研究　了两类ＰＬＣ互联身份认证机制的安全性，并简要分析　了机制破解后可能对工控系统造成的危害，同时给出了　相应的安全防护建议，对提升工控系统和ＰＬ　Ｃ的信息　安全防护能力具有重要意义。　ａｎｄ　Ｄｉｇｉｔａｌ　Ｆｏｒｅｎｓｉｃｓ［Ｊ】．Ｊｏｕｒｎａｌ　ｏｆ　Ｄｉｇｉｔａｌ　Ｆｏｒｅｎｓｉｃｓ　Ｓｅｃｕｒｉｔｙ＆Ｌａｗ，２０１４，９（２）：３７－－５０．　［１２】ＧＹＭ．Ｔｈｅ　Ｓｉｅｍｅｎｓ　Ｓ７　Ｃｏｍｍｕｎｉｃａｔｉｏｎ－Ｐａｒｔ　１　Ｇｅｎｅｒａｌ　ｓｔｒｕｃｔｕｒｅ［ＥＢ／ＯＬ】（２０１７—０３－１４）［２０１７－０４－０１】．　ｈｔｔｐ：／／ｇｍｉｒｕ．ｃｏｍ／ａｒｔｉｃｌｅ／ｓ７ｃｏｍｍ／，２０１６．　［１３】谢耀滨，舒辉，常瑞等．可编程逻辑控制器脆弱性分　析关键技术研究［Ｊ】．计算机工程与应用，２０１６，５２（１２）：１０１—１０７．　［１４】ＢＥＲＥＳＦ０ＲＤ　Ｄ．Ｅｘｐｌｏｉｔｉｎｇ　Ｓｉｅｍｅｎｓ　ｓｉｍａｔｉｃ　Ｓ７　ＰＬＣｓ，２０１　ｌ［Ｃ】．Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　Ｂｌａｃｋ　Ｈａｔ　ＵＳＡ，Ｌａｓ　Ｖｅｇａｓ，ＵＳＡ，２０１　１．　参考文献：　【１】彭勇，江常青，谢丰等．工业控制系统信息安全研究　进展［Ｊ】．清华大学学报（自然科学版），２０１２，５２（１Ｏ）：１３９６—１４０８．　［２】ＳＴ０ＵＦＦＥＲ　Ｋ，ＰＩＬＬＩＴＴＥＲＩ　Ｖ，ＬＩＧＨＴＭＡＮ　Ｓ，ｅｔ　【１５】ＡＮＯＮ．Ｔｈｅ　ＣＩＰ　Ｎｅｔｗｏｒｋｓ　Ｌｉｂｒａｒｙ　Ｖｏｌｕｍｅ　２：ＥｔｈｅｒＮｅｔ／ＩＰ　Ａｄａｐｔａｔｉｏｎ　ｏｆ　ＣＩＰ［Ｒ】．［Ｓ．１．】：Ｏｐｅｎ　ａ１．Ｇｕｉｄｅ　ｔｏ　Ｉｎｄｕｓｔｒｉａｌ　Ｃｏｎｔｒｏｌ　Ｓｙｓｔｅｍｓ（ＩＣＳ）ｓｅｃｕｒｉｔｙ［Ｒ】．　［Ｓ．１．】：ＮＩＳＴ　Ｓｐｅｃｉａｌ　Ｐｕｂｌｉｃａｔｉｏｎ，２０１５．　［３】Ｂ０ＤＥＮＨＥＩＭ　Ｒ，ＢＵＴＴＳ　Ｊ，ＤＵＮＬＡＰ　Ｓ，ｅｔ　ａ１．Ｅｖａｌｕａｔｉｏｎ　ｏｆ　ｔｈｅ　ａｂｉｌｉｔｙ　ｏｆ　ｔｈｅ　Ｓｈｏｄａｎ　ｓｅａｒｃｈ　ｅｎｇｉｎｅ　ｔｏ　ｉｄｅｎｔｉｆｙ　Ｉｎｔｅｒｎｅｔ—ｆａｃｉｎｇ　ｉｎｄｕｓｔｒｉａｌ　ｃｏｎｔｒｏｌ　ＤｅｖｉｃｅＮｅｔ　Ｖｅｎｄｏｒ　Ａｓｓｏｃｉａｔｉｏｎ（ＯＤＶＡ），２０１０．　［１６】ＧＪＥＮＤＥＭＳＪＯ　Ｍ．Ｃｒｅａｔｉｎｇ　ａ　ｗｅａｐｏｎ　ｏｆ　ｍａｓｓ　ｄｉｓｒｕｐｔｉｏｎ：ａｔｔａｃｋｉｎｇ　ｐｒｏｇｒａｍｍａｂｌｅ　ｌｏｇｉｃ　ｃｏｎｔｒｏｌｌｅｒｓ［Ｄ】．　Ｎｏｒｗａｙ：Ｎｏｒｗｅｇｉａｎ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｔｅｃｈｎｏ　ｌｏｇｙ，２０１３．　ｄｅｖｉｃｅｓ［Ｊ】．Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｊｏｕｒｎａｌ　ｏｆ　Ｃｒｉｔｉｃａｌ　Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ　Ｐｒｏｔｅｃｔｉｏｎ，２０１４，７（２）：１１４－１２３．　［４】ＫＨＡＮ　Ｒ，ＭＡＹＮＡＲＤ　Ｐ，ＭＣＬＡＵＧＨＬＩＮ　Ｋ．ｅｔ　ａ１．Ｔｈｒｅａｔ　Ａｎａｌｙｓｉｓ　ｏｆ　ＢｌａｃｋＥｎｅｒｇｙ　Ｍａｌｗａｒｅ　ｆｏｒ　Ｓｙｎｃｈｒｏｐｈａｓｏｒ　ｂａｓｅｄ　Ｒｅａｌ－ｔｉｍｅ　Ｃｏｎｔｒｏｌ　ａｎｄ　Ｍｏｎｉｔｏｒｉｎｇ　ｉｎ　Ｓｍａｒｔ　Ｇｒｉｄ，２０１６［Ｃ】．４ｔｈ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｓｙｍｐｏｓｉｕｍ　ｆｏｒ　ＩＣＳ　＆ＳＣＡＤＡ　Ｃｙｂｅｒ　Ｓｅｃｕｒｉｔｙ　Ｒｅｓｅａｒｃｈ，２０１６：５３－６３．　［５】ＹＡＮＧ　ｗ，ＺＨＡ０　Ｑ．Ｃｙｂｅｒ　ｓｅｃｕｒｉｔｙ　ｉｓｓｕｅｓ　ｏｆ　ｃｒｉｔｉｃａｌ　ｃｏｍｐｏｎｅｎｔｓ　ｆｏｒ　ｉｎｄｕｓｔｒｉａｌ　ｃｏｎｔｒｏｌ　ｓｙｓｔｅｍ，２０１４［Ｃ】．　Ｇｕｉｄａｎｃｅ，ＮａｖｉｇａｔｉＯｎ　ａｎｄ　ＣＯｎｔｒｏｌ　ＣＯｎｆｅｒｅｎｃｅ　（ＣＧＮＣＣ），２０１４　ＩＥＥＥ　Ｃｈｉｎｅｓｅ．ＩＥＥＥ，２０１４：２６９８－２７０３．　作者简介：薛常庆（１９９２－），男，硕士研究生，研究方向：工控　系统信息安全。