工业互联网安全技术 课件 第8章 工业互联网安全系统设计

工业互联网安全技术第8章工业互联网安全系统设计8.1工业互联网设备层安全设计8.2工业互联网边缘层安全设计8.3工业互联网传输层安全设计8.4工业互联网平台层安全设计8.5安全防护产品第5章认证机制学习要求

知识要点能力要求工业互联网安全系统设计概述（1）掌握工业互联网安全系统设计的思路工业互联网设备层安全设计（1）了解设备层面临的安全挑战（2）掌握设备层的安全设计原则（3）掌握设备层的安全防护机制（4）了解设计实例—工业物联网芯片的安全功能实现方法工业互联网边缘层安全设计（1）了解边缘层面临的安全挑战（2）掌握边缘层的安全设计原则（3）掌握边缘层的安全防护机制（4）了解设计实例—工业云环境下边缘测数据保护机制（5）了解设计实例—基于信任评估的边缘节点计算结果可信判别方法工业互联网传输层安全设计（1）了解传输层面临的安全挑战（2）掌握传输层的安全设计原则（3）掌握传输层的安全防护机制（4）了解设计实例—基于SDN的物联网访问控制方法工业互联网平台层安全设计（1）了解平台层面临的安全挑战（2）掌握平台层的安全设计原则（3）掌握平台层的安全防护机制（4）了解设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台8.1.1设备层面临的安全挑战设备层面临的安全挑战工业无线网络传输介质固有的开放性和移动设备存储资源及计算资源的局限性，特别是在工业现场恶劣的环境中，不仅要面对有线网络环境下的所有安全威胁，而且还要面对新出现的专门针对工业无线环境的安全威胁。很多国家的工业控制系统和现场设备已经运行了15~30年，这样的系统和现场设备比较难以维护。IT部门和IT安全团队很少参与工业控制系统和现场设备的采购、安装和管理。工业控制系统一般是与其控制的设备一起购买的，因此它们的安装、配置和运行都是由工厂工程师现场完成，不是安全团队部门负责。这意味着，安全团队对控制系统的情况毫不知情，更无法建立系统的详细目录。8.1.2安全设计原则安全设计原则工业设备及现场网络的安全机制应注意以下几个问题：设计的安全防护机制应尽量安全和易于实施。由于节点资源有限的特点，应尽量地使用基于对称密钥的密钥管理机制。设计冗余机制来提高安全防护的鲁棒性。任何安全机制都应将降低网络的通信开销作为首要考虑条件。最大化延长电池寿命，减少包的大小和数目，以及包转发。利用基于硬件的加密技术，延长设备寿命。8.1.3防护机制防护机制工业互联网设备层的防御主要考虑对设备层的工业现场网络的防御。被动防御技术

工业互联网数据采集层采用的是被动防御技术，根据不同的侧重点，这些技术方案总体可以分为机密性保护和完整性保护。主动防御技术

主动防御技术的关键在于“主动”二字，它分析以往的网络攻击方式和攻击途径，找出其中的规律和特点，对于未来可能发生的网络攻击形势做出预判，减少部署时间。入侵容忍技术入侵容忍技术是第三代网络安全技术，隶属于信息生存技术的范畴，是当前信息安全领域的热点之一。8.1.4设计实例—工业物联网芯片的安全功能实现方法背景在工业环境下建立高可靠性，高实时性，高安全性的无线传感网络成为人们迫切的需求。ISA100.11a利用广告帧和确认帧携带时间信息完成时间同步，WIA-PA利用信标帧和时间同步命令帧完成时间同步。工业无线网络对确定性要求很高，对全网的资源进行了调度，设备需在确定的时隙（一般为10ms）发送数据给确定的对象，设备的安全处理能力和速度将极大的影响确定性的实现。本节提出了一种利用芯片的硬件进行安全处理的方法。不仅能够满足IEEE802.15.4下MAC层的安全，而且安全预处理功能和硬件实现数据链路层安全的方法，保证了WIA-PA协议和ISA100.11a协议下数据链路层的安全。该方案能够针对不同的应用环境，为工业无线网络中的数据提供高效、可靠的保密性和完整性服务，在满足时间同步精度要求的前提下实现信息的安全传输。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案用户配置芯片的协议选取寄存器PROTOCAL，选取IEEE802.15.4、WIA-PA、ISA100.11a中的一种模式。IEEE802.15.4的安全处理硬件实现的方法。配置芯片PROTOCAL寄存器，选择IEEE802.15.4模式。WIA-PA模式下的数据安全预处理机制。配置芯片PROTOCAL寄存器，选择WIA-PA模式。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案ISA100.11a模式下的安全处理机制。在ISA100.11a模式下，该方案提出数据安全预处理并在期望的未来时间将数据发送出去的安全处理机制。配置芯片PROTOCAL寄存器，选择ISA100.11a模式。发送方。发送方在数据链路层进行的安全处理需要用到Key、Nonce及明文等安全材料，其中的Nonce的长度为13个字节，包括发送方的8个字节的EUI地址、发送时刻的4个字节TAI时间信息和发送方选择的帧发送信道与帧序列号共同构成的1个字节信息。发送时刻的4个字节TAI时间信息可由两种方式获取：软件计算和硬件计算。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案可利用下述2种方式对将要发送的广告帧进行安全处理：芯片利用硬件实现安全预处理，将帧在未来确定的时间发送。全自动安全处理模式是芯片在广告帧发送时刻到来时，通过安全引擎对其自动进行安全处理，在一个时隙内，由硬件完成自动构造Nonce、安全处理和发送等动作。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案根据超帧调度的要求，芯片在发送缓存TX-FIFO中存储需要进行安全处理的明文，等待发送时隙n的到来。当时隙n到来时，在T0时刻硬件自动构造Nonce，并读取FIFO中的明文和寄存器RF_NORMAL_KEY中的密钥，在T1时刻通过安全引擎对明文进行安全处理，处理完成后在T2将其发送出去。在时间同步完成后，对将要发送的数据帧进行安全处理，其处理过程同广告帧的安全处理过程一样。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案接受方。在ISA100.11a模式下，接收方进入安全中断后，接收方在数据链路层进行安全处理。解密和校验处理需要的安全材料包括密钥Key、Nonce以及接收到的密文。通过密钥Key解密接收到的密文，得出明后后利用明文和Nonce，重新构造出接收方的校验码MIC＇，与发送方的校验码MIC做比较，如果MIC＇＝MIC，则校验通过，否则，校验失败。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案确认帧的发送。接收方接收数据帧后，回复的安全确认帧方式分为半自动和全自动两种模式。半自动确认帧的Buffer由软件控制构造，当接收方进入安全中断后，芯片准备对确认帧进行安全处理的安全材料，包括接收方的Key、Nonce和确认帧载荷。全自动确认帧在构造和安全处理的过程中，直接由芯片硬件完成，不需要软件的参与。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案确认帧的接受。发送方收到确认帧，首先进入安全中断，读取发送方寄存器存储的发送帧的4个字节的完整性校验码MIC，作为接收到的确认帧的虚拟载荷部分，安全引擎利用密钥Key和接收到的添加了虚拟载荷的确认帧构造出发送方的DMIC＇，其中Nonce根据前面选择的软件构造或者硬件构造。然后比较发送方计算的DMIC＇和接收方发送的确认帧的DMIC是否一致，如果DMIC＇=DMIC，则校验成功，说明接收方成功接收了前面发送的帧；否则，校验失败，说明接收方没有成功接收前面发送的帧。第8章工业互联网安全系统设计8.1工业互联网设备层安全设计8.2工业互联网边缘层安全设计8.3工业互联网传输层安全设计8.4工业互联网平台层安全设计8.5安全防护产品8.2.1边缘层面临的安全挑战边缘层面临的安全挑战边缘计算环境中潜在的攻击窗口，包括边缘接入（云-边接入，边-端接入），边缘服务器（硬件、软件、数据），边缘管理（账号、管理/服务接口、管理人员）等层面的攻击，如图所示，边缘计算面临的11个最重要的安全挑战，它们的具体描述如下：8.2.1边缘层面临的安全挑战边缘层面临的安全挑战不安全的通信协议边缘节点数据易被损毁隐私数据保护不足不安全的系统与组件身份、凭证和访问管理不足账号信息易被劫持恶意的边缘节点不安全的接口和API易发起DDoS攻击易蔓延APT攻击难监管的恶意管理员8.2.2安全设计原则安全设计原则在进行工业互联网边缘层的安全设计时，应遵循以下的安全设计原则：满足工业边缘应用开发及运行过程中的基本安全需求，同时防止恶意应用对边缘计算平台自身以及其他应用安全产生影响。创建安全边缘计算环境的基础，保障数据的可用性、保密性和完整性。因此要极力保障边缘网络的可靠性、稳定性和低延时性，从而来满足边缘网络所连接的物理对象的多样性和应用场景的多样性。因此需要保证边缘设备在启动、运行、操作等过程中的安全可信，边缘设备安全涵盖从启动到运行整个过程中的设备安全、硬件安全、虚拟化安全和OS安全。在对工业互联网边缘平台进行设计时，采用大数据分析和安全审计等安全措施避免边缘平台遭受攻击或渗透，防止重要数据泄露、生产失控等安全问题。8.2.3防护机制防护机制由于边缘节点向外直接接入了互联网络，进而将工业现场设备直接暴露于互联网络中，存在非常大的安全隐患，特别是数据的隐私安全问题。而边缘节点的信息安全非常重要。本节将将介绍轻量级分组加密和同态加密等被动防御技术。同时，随着边缘计算规模的增加，其安全问题也逐渐得到重视。其中，一个重要部分是内部攻击威胁。内部攻击威胁主要是指恶意攻击者获取了网络的合法身份并且对网络进行破坏或进行数据窃取。被动防御的安全机制（加密、授权等）不能有效地应对这种威胁，因此，需要主动防御技术，主动识别恶意或故障边缘节点。缘平台遭受攻击或渗透，防止重要数据泄露、生产失控等安全问题。8.2.3防护机制防护机制

轻量级分组加密

轻量级分组加密技术具有对运力要求低和算法简单的特点，完美的适用于边缘侧设备的安全防护需求。基本原理分组加密是用于加密或者解密具有固定长度分组数据的对称加密算法。分组加密的具体实现过程如图所示。8.2.3防护机制防护机制现代分组的主流结构有替代-置换网络（SPN）和Feistel网络。SPN结构分组加密最常见的结构是SPN，这种结构的构造不仅在加解密明/密文分组时的循环次数小于其他类型结构的构造，比如Feistel网络，而且易于在软件中设计。8.2.3防护机制防护机制Feistel结构Feistel是另一种常见的由DES使用的分组加密结构。该结构是一种加解密可逆的迭代结构，每次迭代只改变一半的数据，其结构如图所示。Feistel将明文分组分为等长的两部分，分别为左半部分和右半部分。8.2.3防护机制防护机制Feistel结构基于Feistel网络结构的加密算法，解密过程是加密过程的一个逆运算，在整体实现上复杂度低，占用软硬件资源少，并通过复杂的密钥生成算法增加了密钥被分析的困难性。因此，基于SPN结构和Feistel网络的加密算法受到了轻量级分组加密学者的青睐。现有的大多数轻量级分组加密都是采用上述两种结构。KLEIN和ITUbee分别是基于SPN结构和Feistel网络结构的轻量级加密具有代表性的算法，两者安全性也分别充分得以证明。8.2.3防护机制防护机制同态加密同态加密技术是一种可对密文执行数学计算，通过同态加密技术，用户将边缘侧的密文数据上传到云平台，不仅可以使用第三方的云平台资源和服务对数据进行分析、处理，而且能够避免不完全可信第三方对数据的非法盗用与篡改。采用全同态加密保证边缘侧数据的机密性，其基本概念如下：同态是指对明文数据的加密过程中，对加密后的密文数据做特定的数学计算，计算的结果解密后同明文执行同种计算所得到的结果一致。有点同态能够支持有限次数的乘法与加法同态，当密文噪声达到一定阈值时，则不能够再进行同态计算。全同态方案在有点同态方案的基础上，引入了压缩解密电路对密文噪声进行控制，从而实现任意次数乘法与加法同态计算。时间复杂度8.2.3防护机制防护机制边缘容器安全隔离近年来，人们开始针对边缘容器安全隔离技术开展研究，大多采用的是基于底层系统的容器安全增强、容器的权限限制的方法来实现容器隔离，主要目的是防止由于同一主机上的多个容器共享内核，黑客更容易通过容器攻破底层宿主机（边缘服务器）的安全问题。基于底层系统的容器安全增强技术基于程序分析的边缘容器权限限制技术8.2.3防护机制防护机制信任评价防护技术信任评价机制在改善网络和优化服务方面也有一定的优势。通过获得的直接或间接信息来对合作伙伴的信任程度进行评估，用以决定是否继续进行交流或是合作。信任评估成了一种公认能有效地提高网络安全性的方式，在特定环境和特定时期内对被评估节点能力、安全性和可信度等主观相信程度的量化，把抽象模糊的信任值转换成可以度量的量化数值，从而判断目标节点是否可信，然后在网络的整个生存周期内，对不可信的节点采取相应的限制，比如不与之通信等。8.2.4设计实例-工业云环境下边缘侧数据保护机制背景边缘计算的引入给工业互联网带来了许多好处。边缘应用服务显著减少了必须移动的数据量、随之而来的流量和数据必须移动的距离，从而降低了传输成本、减少了延迟，并提高了服务质量。但工业互联网在满足高实时性要求的同时，如何保证现场节点和边缘节点之间的数据机密性是一个挑战。考虑到边缘节点在现场网络与工厂互联网以及云的互联中起着关键作用，工业互联网边缘侧的安全问题变得迫在眉睫，为此，提出了一种工业互联网的安全框架，并设计了一种工业互联网边缘节点的安全机制。该方案有效地提高了边缘工业互联网中的数据保密性。8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案

工业互联网的安全框架和边缘计算如图所示。现场节点和边缘节点间的互连可以使用工业以太网或工业无线网络，框架中的主要实体包括工业云平台、安全管理器、边缘节点、字段节点。8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案工业云平台是海量数据被分析和处理的场所。边缘计算接近执行单元，可以收集云所需的高价值数据，功能支持云应用程序的数据分析。边缘节点提供数据处理能力，边缘节点管理数据，决定数据的生命周期，并从数据中创造价值。边缘节点可以与多个云协同工作。边缘节点可以执行大量的计算，如策略执行、数据加密和解密。根据节点的资源容量，可以将节点分为资源受限节点和资源丰富节点。为了保证边缘南侧和边缘北侧的数据安全，应根据网络资源的不同，采取相应的安全机制。在资源受限的网络中，边缘节点使用轻量级加密算法对数据进行保护。在资源丰富的网络，现场节点使用完全同态加密算法保护数据，使用同态加密的目的是让边缘边实时进行计算，并对加密的数据做出更精确的决策。对于边缘节点与工业云平台之间的安全通道，采用完全同态加密。8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案该框架的优点是可以根据网络的分类设计不同的安全机制。资源约束网络和资源丰富网络分别与边节点连接，使框架更高效。下面详细介绍边缘节点的南北安全机制，包括三部分：密钥管理机制和加密算法、资源受限网络的安全机制、资源丰富网络的安全机制。（1）边缘节点南向安全机制密钥管理机制本方案的密钥管理机制是针对设备从加入网络开始到密钥更新完成整个阶段，安全管理者对设备密钥管理整个过程的设计。其中，设备包括现场设备与边缘节点，本密钥管理机制所涉及如下三种密钥：第一种：加入密钥（KJ）第二种：密钥加密密钥（KEK）第三种：数据加密密钥（KED）8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案

密钥管理机制具体流程如下：安全管理者配置KJ，并分发给设备；设备向安全管理者申请KEK及KED。安全管理者对设备的身份提出鉴别要求，设备使用KJ结合自身ID信息生成认证信息，并采用KJ加密发送到安全管理者，安全管理者使用KJ解密后对其身份合法性进行确认；当设备被确认合法后，安全管理者会使用KJ加密KED及KEK发送到设备。设备对其解密后便成功获取了KED及KEK；安全管理者对密钥进行更新时，会对更新后的密钥使用KEK加密后下发到设备，设备使用KEK进行解密后便能获得更新后的密钥。8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源受限型设备与边缘节点通信的数据加解密机制针对资源受限型设备，采用轻量级加密算法对其数据进行保护。其数据安全通信流程如图所述。

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源受限型设备与边缘节点通信的数据加解密机制传感器采用轻量级分组加密算法对数据加密并上传到边缘节点，边缘节点对加密数据解密，解密后的数据转交到其数据预处理单元进行预处理，预处理后的数据递交给数据分析单元，数据分析单元按设定的数学模型进行分析，数据分析完成后，策略执行单元对数据按已定的策略处理，执行后的结果轻量级加密后反馈到执行器。①面向资源受限型现场设备的轻量级分组加密算法选择从工业领域现场设备对实效性要求高及是否易于软件实现两个方面考虑适用于资源受限型现场设备的加密算法。KLEIN和ITUbee加密算法都是面向软件实现而提出，分别都易于软件实施。本部分选择ITUbee加密算法作为单边缘节点南向数据安全机制的轻量级分组加密算法。

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源受限型设备与边缘节点通信的数据加解密机制②ITUbee算法ITUbee算法具体加密流程如图：

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源富裕型设备与边缘节点通信的数据加解密机制针对资源富裕型设备，采用全同态加密技术，其数据安全通信流程如图所示传感器采用全同态加密算法对数据加密后上传到边缘节点，边缘节点数据预处理单元直接对数据预处理，预处理后的数据递交给数据分析单元，数据分析单元按设定的数学模型进行分析，策略执行单元对分析过的数据按已定的策略处理执行，执行后的结果直接下发到执行器。

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源富裕型现场设备的全同态加密算法选择目前，全同态加密算法中最为主要的算法包括：基于理想格的全同态加密算法、基于整数环的全同态加密算法和基于整数的全同态加密算法。由于这三种算法在设计时，已对同态性和安全性做了充分的证明。因此，综合现场设备对实时性要求高的因素，选择一种时间复杂度最低的算法。分析比较这几种算法的时间复杂度，基于理想格的全同态加密算法的计算复杂度为，基于整数环的全同态加密算法的计算复杂度为，基于整数的全同态加密算法的计算复杂度为。因此，选择基于整数的全同态加密算法作为单边缘节点北向数据安全机制的加密算法。

8.2.4设计实例-工业云环境下边缘侧数据保护机制边缘节点北向安全机制针对不同资源类型现场设备采用不同的加密算法加密的数据，边缘节点会有不同的数据处理方式，其数据安全通信流程不同。资源受限型现场设备的数据安全通信流程资源受限型现场设备采用轻量级分组加密算法加密时。边缘节点对轻量级分组加密算法加密数据解密；边缘节点采用全同态加密算法对解密后的数据加密，并将密文上传到工业云平台；工业云平台对密文数据进行同态运算，工业云平台将计算后的密文数据直接下发到边缘节点。8.2.4设计实例-工业云环境下边缘侧数据保护机制边缘节点北向安全机制

资源富裕型现场设备的数据安全通信流程资源富裕型现场设备采用全同态加密算法加密时，其具体数据安全通信流程如图所示。边缘节点对资源富裕型现场设备采用全同态加密算法加密的数据直接上传到工业云平台，工业云平台进行同态计算后将密文结果下发回边缘节点。8.2.4设计实例-工业云环境下边缘侧数据保护机制边缘节点北向安全机制

单边缘节点北向数据安全机制的加密算法选择全同态加密算法的效率是本部分算法选择时的一个主要参考因素。因此，接下来将只对上节所述几种主要的全同态加密算法的效率进行分析对比，选择一种效率最高的算法进行实现。算法的效率包括时间效率和空间效率两方面，但随着计算机技术不断的发展，现有计算机的内存已经足够大，能满足绝大多数应用。基于整数的全同态加密算法的计算复杂度最低为。因此，本部分也选择基于整数的全同态加密算法作为边缘节点与工业云平台间的加密算法，解决边缘节点与工业云平台间机密性与操作性兼顾的需求。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法背景

由于边缘节点向外直接接入了互联网络，进而将工业现场设备直接暴露于互联网络中，存在非常大的安全隐患，特别是数据的安全问题。边缘节点的计算结果可信直接关系到工厂的生产和人员安全，因此亟需在工业边缘计算环境中研究确保边缘节点计算结果可信的安全机制。目前，国内外关于确保工业边缘节点与工业云之间通信信息可信的研究较少，大部分都研究的是信息在传输过程中未被篡改，但无法确保边缘节点计算结果可信，即边缘节点输出的计算结果正确。因此需要通过对边缘节点的计算结果进行可信度量，防止工业边缘节点输出错误数据和抵御恶意边缘节点的虚假数据攻击。针对上述问题，从安全体系结构、通用信息模型的角度设计了具有信任评估功能的工业边缘计算安全架构，结合工业边缘计算的特征。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

本节提出了具有信任评估功能的边缘计算框架，边缘节点的信任评估由网络边缘的边缘代理完成，在网络边缘处理信任计算的响应时间更短，执行效率更高，网络压力更小，如图所示。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

在具有信任评估功能的工业边缘计算框架中，提出确保边缘节点计算结果可信的信任评估方法，该方法由边缘代理根据对边缘节点的计算结果的客观分析，并结合模糊评价法及熵权法完成对边缘节点的信任评估。边缘代理通过比较边缘节点的信任值与信任阈值，决定哪些边缘节点可以接收计算任务和发送消息，由此可以减少边缘侧输出不可信数据。该信任评估方法中的信任阈值由安全管理员设定的边缘节点允许的错误率确定。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

该方案采用椭圆曲线代理签名方案，将可信边缘节点的初步计算结果签名后发送到工业云进一步处理后再返回给现场设备。该方案具体的信任评估流程如图所示。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

方案将信任定义为边缘代理对边缘节点计算结果可信的评估，边缘节点的信任值是边缘节点长期行为表现的一种定量形式。信任评估包括四个单元：证据收集、证据处理、初始信任评估、信任更新。信任评估的总体框架和流程如图所示。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

其中，证据包括三个维度的信息，一是直接评估边缘节点计算结果的三个有效因素用于计算边缘节点的直接信任值；二是历史信任值，边缘代理将在滑动窗口内的历史信任值加权平均后，修正直接信任值；三是现场设备对边缘节点计算结果的反馈评分，边缘代理根据反馈评分得到惩罚或奖励因子，用于计算边缘节点的最终信任值。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案信任评估过程中边缘节点有以下五种状态：待加入待运行运行待审核运行/隔离

8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法

8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法

8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案下面详细说明信任评估方案的流程：情况二：边缘节点初步计算后，将计算结果及其哈希值发送给边缘代理，边缘代理收集证据并将边缘节点计算结果、信任标识及其签名后上传工业云，工业云检查边缘节点信任标识和验证签名后进一步处理边缘节点的初步计算结果，然后工业云将计算结果及签名发送给边缘代理，边缘代理验证签名后将计算结果发送给现场设备，如图所示。第8章工业互联网安全系统设计8.1工业互联网设备层安全设计8.2工业互联网边缘层安全设计8.3工业互联网传输层安全设计8.4工业互联网平台层安全设计8.5安全防护产品8.3工业互联网传输层安全设计本节将在IT和OT深度融合的背景下，讨论工业互联网的传输网络的安全问题，这里的传输网络包括现场网络与骨干网络之间的回程网络、工厂内IT网络、工厂与工厂间的互联网络（骨干网络）。为了保障数据不在传输过程中遭到篡改，完整性不遭破坏以及数据在传输过程中加密，提出了多因素认证办法，并就网络传输的其他各环节提出了相应的对策。为了解决这些问题，在工业无线网络传输中应该采用一些轻量级安全及可靠性技术。8.3.1传输网络面临的安全挑战传输网络面临的安全挑战相较于未与外部互联网直接联通的传统工业网络，工业互联网的传输网络面临着来自工厂内网和外部互联网两方面的安全威胁。在IT内网侧，安全问题主要包括：一是传统静态防护策略和安全域划分方法不能满足工业企业网络复杂多变、灵活组网的需求；二是工业互联网涉及不同网络在通信协议、数据格式、传输速率等方面的差异性，OT网络与IT网络的异构融合面临极大挑战；三是工业领域传统协议和网络体系结构设计之初基本没有考虑安全性，安全认证机制和访问控制手段缺失，攻击者一旦通过互联网通信通道进入下层工业控制网，只需掌握通信协议就可以很容易对工业控制网络实现常见的拒绝服务攻击、中间人攻击等。在外网侧，攻击者从研发端、管理端、消费端、生产端都有可能实现对工业互联网的攻击或病毒传播。8.3.1传输网络面临的安全挑战传输网络面临的安全挑战因此在工业设备、软件与外界网络实现通信的情况下，极易出现安全问题，比如以下这几种安全问题：非授权访问信息泄漏或丢失破坏数据完整性拒绝服务攻击8.3.2安全设计原则安全设计原则工业传输网络的安全设计具有以下几条设计原则：设计的安全传输防护机制应尽量安全和易于实施；工业互联网网络传输需要控制各传输节点、链路以及端到端的加密过程，选用合适的对称加密和公钥加密算法。对于加密传输、签名验签、鉴别和验证，必须明确要求，制定能够实现各安全域内部、各安全域之间的网络传输接口规范。任何安全机制都应将降低网络的通信开销作为首要考虑条件。在传输协议方面，应采用HTTPS，SSL/TLS，支持IPSec实现远程通道的安全加密，并对IPv4协议与IPv6协议具有兼容性。采用HTTPS协议，以HTTP作为通信机制，并使用SSL/TLS对传输的工业数据包进行加密，既能够实现网络服务器的身份认证，也能够为传输数据提供完整性与隐私保护。8.3.3防护机制防护机制为了解决所讲到的网络传输中的安全挑战，需要以下的几种方法配合使用：加密技术加密技术可以说是其它网络传输安全的基础。加密技术包括对称加密技术和非对称加密技术，对称密码技术是常用的一种加/解密技术，它是非对称密码技术研制之前使用的唯一的加密类型，又称为常规加密或单密钥加密。它的主要特点是：通信双方在加解密过程中要使用完全相同的密钥。8.3.3防护机制加密技术对称密码技术的优点是它的运算比较简单，易于实现，占用资源少，加解密速度快，其主要原因是对称密码技术是建立在简单的替代和置换操作基础上的。非对称密码技术是在试图解决对称密码技术中面临的两个突出难题的过程中发展起来的。一个是对称密码技术中描述的密钥分发和密钥保存的问题；第二个就是使用对称密码技术无法实现“数字签名”。非对称密码技术的主要优点：一是通信双方事先不需要通过安全信道交换公钥，公钥可以明文发放；二是密钥的持有量与对称密码技术相比大大减少。三是非对称密码技术可以提供前面提到的“数字签名”服务。8.3.3防护机制

PKI技术PKI即公钥基础设施，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。安全套接层协议SSLSSL主要用于WEB安全通信标准，建立在可靠的传输服务基础上。SSL提供的安全机制可以保证应用层数据在互联网络传输中不被监听，伪造和篡改。TSN技术TSN是一种能使以太网具有实时性和确定性的新技术，能够突破网络通信上的总线的复杂性障碍、周期性与非周期性数据的传输障碍、以及实时性障碍，解决了现有网络的一些缺点。8.3.3防护机制

IPv6安全防护机制基于IPv6的工业互联网安全架构如图所示，在互联架构的网络接入层，针对非法接入和连接窃听等安全威胁，设备认证和安全地址分配有效保护工业无线接入和工业有线接入。8.3.3防护机制

基于IPv6的工业互联网安全防护机制如下：设备认证安全地址分配密钥管理IPSec安全关联ESP安全封装应用层安全访问控制边界隔离8.3.4设计实例—基于SDN的物联网访问控制方法背景

目前物联网的访问控制主要采用自主访问控制和强制访问控制等方案。当今网络中的访问控制大多数仅限于应用于网络设备中的防火墙和访问控制列表。防火墙遭受单点故障和静态配置问题，ACL管理复杂且容易出错。当依赖手动配置（例如ACL、VLAN）时，这种方式很容易出错，并且很容易出现配置错误等问题。近些年，SDN被引入物联网，SDN将物联网的控制平面和转发平面分开，以实现底层基础设施的抽象。如何在引入SDN后，处理好物联网的访问控制问题，一直是研究热点。因此，引入SDN网络架构作为降低访问控制执行和策略管理复杂性的关键。8.3.4设计实例—基于SDN的物联网访问控制方法技术方案基于SDN的物联网访问控制技术方案包括以下步骤：（1）首先提出一个基于SDN的物联网访问控制架构基于SDN的物联网访问控制架构主要包括四层架构，如图所示：8.3.4设计实例—基于SDN的物联网访问控制方法技术方案基于SDN的物联网访问控制技术方案包括以下步骤：（2）执行访问控制流程访问控制流程，如图所示，分为以下几个环节。8.3.4设计实例—基于SDN的物联网访问控制方法技术方案访问控制流程令牌构造：当主体需要访问客体时，主体将请求访问报文发送至安全管理者网关，安全管理者网关通过获取访问请求报文中所包含的主客体ID、请求动作信息和令牌上下文信息生成令牌并下发给主体；访问请求：主体向客体发起访问请求，访问客体中所存储的数据或资源；主体生成访问请求，其中附加令牌，其中附加令牌和数字签名，用于客体对主体的认证并建立访问控制关系，且该请求不被任何中间实体读取。细粒度访问控制决策：当PDP网关在接收到主体的访问请求报文时会将主体IP、ID与允许授权的请求动作的关联表中主体IP地址所对应的主体ID以及允许授权的请求动作与访问请求报文一同转发给客体，客体IoT设备接收到访问请求后，便开始执行令牌认证。第8章工业互联网安全系统设计8.1工业互联网设备层安全设计8.2工业互联网边缘层安全设计8.3工业互联网传输层安全设计8.4工业互联网平台层安全设计8.5安全防护产品8.4工业互联网平台层安全设计目前，全球制造业龙头企业、ICT领先企业、互联网主导企业基于各自优势，从不同层面与角度搭建了工业互联网平台。工业互联网平台虽发展时间不长，但均有迅速扩张的趋势，正积极探索技术、管理、商业模式等方面规律，并取得了一些进展。然而，针对工业互联网平台安全的相关工作仍处于摸索阶段，平台安全管理体系不健全、技术保障缺手段、数据风险难防范等问题较为突出，亟需加快提升工业互联网平台安全保障能力以及加强工业互联网平台安全的设计和建设。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业互联网平台层包括边缘计算层、工业云基础设施层、工业云平台服务层、工业应用层和平台数据五大防护对象，工业互联网平台的五个层级面临着不同安全挑战。边缘计算层一是边缘计算层设备普遍缺乏安全设计。二是边缘计算层设备可部署的安全防护措施有限。三是边缘计算层设备缺乏安全更新。四是接入技术多样化增加安全防护难度。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业云基础设施层一是工业互联网平台存在与传统云平台相同的脆弱性。二是虚拟化技术提供的安全隔离能力有限。三是虚拟化软件或虚拟机操作系统存在漏洞。四是第三方云基础设施安全责任边界不清晰。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业互联网平台数据安全风险工业云平台层一是传统安全手段无法满足多样化平台服务的安全要求。二是微服务组件缺乏安全设计或未启用安全措施。三是容器镜像缺乏安全管理以及安全性检测。四是缺乏有效的拒绝服务攻击防御机制。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业应用层一是工业应用层传统安全防护技术应用力度不足。二是第三方远程运维带来安全隐患。三是工业应用安全开发与加固尚不成熟。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业数据层一是数据安全防护责任边界模糊。二是敏感数据标识及保护技术待完善。三是数据销毁及备份机制存在缺陷。四是数据安全共享交换机制尚不成熟。8.4.2安全设计原则安全设计原则工业互联网平台安全的最终趋势是要构建端到端信任、动静检测监测的工业级安全平台系，其应遵循的安全设计原则主要包括四方面：通信安全登录工业互联网平台的用户进行身份鉴别，实现用户身份的真实性、合法性和唯一性校验，可支持通过多种标准协议对接客户自有第三方认证体系登录，包含但不限于OpenIDConnect、OAuth2.0等；对接入工业互联网平台的设备进行认证，形成可信接入机制，保证接入设备的合法性和可信性，对非法设备的接入行为进行阻断与告警。8.4.2安全设计原则安全设计原则系统安全对工业互联网平台不同虚拟域、服务和应用都采用严格的隔离措施，防止单个虚拟域、服务或应用发生安全问题时影响其它应用甚至整个平台的安全性；工业互联网平台操作系统、数据库、应用程序在运行过程中，要定期检测漏洞，发现漏洞及补丁未及时更新的情况，并采取补救措施，对开放式Web应用程序安全项目（OWASP）发布的常见风险与漏洞能进行有效防护或缓解。8.4.2安全设计原则安全设计原则应用安全对工业互联网平台系统及应用进行代码审计，发现代码中存在的安全缺陷，预防安全问题的发生；提供API全生命周期管理，包括创建、维护、发布、运行、下线等，对平台微服务组件接口进行安全测试和安全加固，避免由于接口缺陷或漏洞为平台引入安全风险；对工业软件、服务的行为进行安全监控，通过行为规则匹配或者机器学习的方法，识别异常，进行告警或阻止高危行为，从而降低影响。8.4.2安全设计原则安全设计原则数据安全对工业互联网平台敏感数据、用户及设备的鉴别凭证数据（例如密钥等）、资源及应用访问控制策略等的存储和传输利用密码技术实施保护，保证平台关键数据、资源、应用的安全，能支持国家商用密码算法及各种密码应用协议，相关设计遵循《中华人民共和国密码法》等法规及标准；对工业互联网平台关键数据、资源及应用制定访问控制策略，并根据平台用户角色和业务流程的变更及时调整，确保平台对用户访问行为的细粒度控制和授权，可采用零信任技术保障平台身份鉴别和访问控制安全；通过在线备份、离线备份或热备份等方式，对工业互联网平台系统、应用、服务、数据等进行备份，为防止平台出现安全事故导致业务中断的问题。8.4.3防护措施防护措施针对工业互联网平台的需求特征和面临的安全挑战，本书总结了工业互联网平台的常用防护措施，为保障工业互联网平台安全的安全服务提供方、技术研究人员和相关学者等提供参考。访问控制访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。限制用户的访问权限和所能使用的计算资源和网络资源实现对工业互联网平台的重要资源的访问控制和管理，防止非法访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础。8.4.3防护措施防护措施访问控制包括三个要素：主体、客体和控制策略。主体是指提出访问资源具体请求，是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。客体是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。控制策略是主体对客体的相关访问规则集合，即属性集合。访问策略体现了一种授权行为，也是客体对主体某些操作行为的默认。8.4.3防护措施防护措施访问控制利用访问控制限制平台用户对平台的访问，保障平台中的数据资源在合法范围内得以有效使用和管理。为了达到上述目的，访问控制需要完成两个任务：识别和确认访问平台的用户、决定该用户可以对某一平台资源进行何种类型的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作；当用户身份和访问权限验证之后，还需要对越权操作进行监控。8.4.3防护措施防护措施安全审计实现平台的网络流量监测与告警，采用被动方式从平台的网络采集数据包，通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配，实现实时平台的流量监测及异常活动告警，实时掌握工业互联网平台的运行状况，发现潜在的平台安全问题。通过设定状态白名单基线，当有未知设备接入网络或网络故障时，可触发实时告警信息。8.4.3防护措施防护措施安全审计安全审计对平台的记录和行为进行独立的审查和估计，其主要作用和目的包括4个方面：对平台可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。测试平台的控制能力，及时进行调整，保证与安全策略和操作规程协调一致。对平台控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。协助平台管理员及时发现系统入侵或潜在的系统漏洞及隐患。8.4.3防护措施防护措施安全大数据分析利用大数据的思维和手段对平台安全运维的相关数据进行智能挖掘与分析，运用数学统计、机器学习及最新的人工智能算法实现面向历史数据、实时数据、时序数据的聚类、关联和预测分析。安全大数据分析的目的是通过关联分析等手段发现防火墙、WAF、IDS等检测不到的高级持续性安全攻击行为和未知威胁行为，弥补传统安全防护措施不能挖掘平台中潜在威胁的不足。8.4.3防护措施防护措施安全大数据分析安全大数据分析要以平台中海量的且安全的数据作为分析对象。数据采集的对象应包括平台日志数据、全流量审计数据、APP信息数据、资产数据、用户行为数据、威胁情报数据等多元的异构数据，对海量的数据解析处理并进行存储。同时，安全大数据分析要以建立科学合理的分析模型作为前提。一般认为安全大数据的分析模型包括但不仅限于：规则模型、关联模型、统计模型、异常检测模型等。通过各模型不同的特点功能对安全大数据进行全面的分析。8.4.3防护措施防护措施安全大数据分析

通过各模型不同的特点功能对安全大数据进行全面的分析。规则模型：通过定义规则策略，提取分析安全大数据中的有效字段进行比对，基于应用场景从安全日志等数据中筛选识别安全事件。关联模型：对跨平台的多源的安全数据进行关联分析，从多个安全事件中检测行为模式，发现隐藏的高级威胁及安全风险。统计模型：从安全数据中发现重要的统计特征，通过设置阈值进行过滤，找出异常指标，发现可以从指标异常中体现出的恶意行为和安全事件。异常模型：采集历史数据，通过持续的机器学习构建正常的行为基线并持续更新，自适应发现偏离于基线的异常行为。8.4.3防护措施防护措施安全大数据分析安全大数据分析是实现全平台安全态势感知的必要手段，通过收集平台中安全大数据并进行深度分析，可以实现海量大数据存储查询、网络攻击行为追踪溯源、资产被攻击情况追溯等功能，可以对网络拓扑域的安全状况、网页被攻击访问的详细状况进行态势可视化呈现，为工业互联网平台安全态势感知提供数据支撑。8.4.3防护措施防护措施平台统一IoT态势感知该防护措施适用于工业互联网平台的工业云服务层，平台统一IoT态势感知是以边缘测IoT流量、关键网络节点流量、平台各系统日志等安全大数据为基础，对平台各层安全状态的实时统一监测，综合平台整体的安全监控数据，对平台潜在的安全风险及恶意攻击行为进行分析预警，并提供辅助性决策的一种技术。通过接入本地移动网、固网(采样)数据，实现工业互联网资产统一探测、全流量分析、风险识别、态势分析、预警通报、应急处置，同时实现基础数据管理功能、策略指令下发、情报库共享、信息推送等功能。8.4.3防护措施防护措施异常行为智能分析与识别异常行为智能分析与识别作为一种积极主动的安全防护措施，能在工业互联网平台受到危害之前拦截和响应入侵，对工业互联网平台进行纵深、多层次的防御。通过综合对多个操作行为进行时间关联分析，按照主动防御的观点来判断其是否实际存在入侵、攻击等威胁。将可疑行为的不同部分关联起来并不断更新行为特征库，判断其是否属于恶意或异常行为，提高恶意行为的识别率，最终确定恶意代码的新型攻击行为。8.4.3防护措施防护措施“云网边端”协同的安全漏洞识别针对工业互联网平台接入设备海量、系统应用多样、网络协议复杂、服务交互频繁造成安全漏洞识别难度大、影响范围广的特点，需突破基于云、网、边、端协同的大数据分析、威胁信息共享、安全知识图谱等技术，实现对工业互联网平台设备、系统及应用的漏洞识别、分析、评估、检测与修补，从全局视角提升对漏洞的识别发现、理解分析、响应处置能力。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台重庆邮电大学搭建的基于IPv6的手机产品验证装配柔性自动化生产线试验验证子平台，能够满足快速、智能、个人化的产品组装供应；实现生产线柔性化，模块化，可针对工艺自由组合线体；通过制造生产过程执行系统（MES）建立立体库，AGV运输，智能生产线生产管理的连接。以下介绍该系统的安全态势感知系统。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台系统组成与子系统功能平台主要包括基于IPv6工业网络的手机生产线生产装备的实时监视、基于IPv6工业网络的手机生产线物料运输AGV小车远程实时监视、基于IPv6工业网络的手机生产线的数据安全监视、基于IPv6工业网络的手机生产线工位数据有线监控、基于IPv6工业网络的手机生产线装备与环境状态监测，手机产品测试装配柔性自动化生产线网络架构如图所示。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台系统组成与子系统功能通过IPv6网络实现对手机生产线生产装备的实时监视。手机生产线的所有生产装备的状态信息、物料信息、传感器信息通过ModBus和Profinet等网络进行采集、传输、存储。机器人的位置信息、速度信息、电池电量、作业信息、运动模式数据通过ModBus传输给Profinet节点。采集到的机器人的位置信息、速度信息、电池电量、作业信息、运动模式等状态数据通过路由器/交换机上传到上位机，上传的数据通过OPCUA解析以后在上位机上打印显示。通过在上位机上观察机器人的位置信息、速度信息、电池电量、作业信息、运动模式数据来判断机器人的状态。当出现使用异常时，可以按下设备设有的急停按钮。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台系统组成与子系统功能手机生产线物料运输AGV小车的远程实时监视同样是通过IPv6网络实现。手机生产线物料运输AGV小车与无线节点(WIA-PA)之间通过ModBus通信，手机生产线物料运输AGV小车的数据通过路由器转发给IPv6边界网关，数据通过OPCUA解析以后在上位机上打印显示，观察上位机上显示的手机生产线物料运输AGV小车的数据来判断小车的状态。当AGV小车出现异常时，AGV小车会紧急停止。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台系统组成与子系统功能该系统可实时监测对象系统的总体拓扑与连接方式，各组成设备的软硬件信息、配置参数、工作状态等。工控系统网络安全态势在线监测分析与预警系统的特色功能在于，具有基于生产装置模型和操作工艺与流程的安全态势实时监视与分析能力。工控系统网络安全态势在线监测分析与预警系统不仅可监测工控系统网络的数据流量、通信行为，而且可深度解析通信报文，识别出其中传输的服务类型、数据内容，提取通信中的工艺与生产特征，解析出工艺参数、控制指令，与生产装置模型和操作工艺、流程相结合，打破信息流与能量流、物质流之间的界限8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台系统组成与子系统功能网络安全态势在线监测分析与预警系统由四个子系统构成，如图所示，分别是数据采集子系统、数据处理子系统、数据库服务子系统以及客户端应用系统。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台网络安全态势在线监测分析与预警系统数据采集子系统数据采集子系统用于实时采集对象系统中的所有通信报文，并提交其他子系统进行数据处理与分析，主要包括数据采集器和数采汇聚器。数据采集器可串接或并接在被监视的对象系统中，采集对象系统中产生的所有通信报文，并为每条通信报文记录精确时间戳，采集到的报文经由数采汇聚器汇聚后，送到数据处理子系统进行处理。数采汇聚器用于将多个数据采集器的采集数据进行汇聚，需具备多入一出的报文汇聚能力，可采用市售镜像交换机实现，建议采用专用数采汇聚器。

8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台网络安全态势在线监测分析与预警系统数据处理子系统数据处理子系统接收来自数据采集子系统的数据，并逐条进行协议解析，提取报文的字段、行为等特征，监测每一个设备、每一条报文的状态和行为，分析其安全属性，并将解析结果和原始数据一并存入服务器，同时将实时状态送达前端用户界面进行显示。该子系统通常采用工控机实现，对于复杂系统数据运算量较大的，也可使用服务器实现。

8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台数据处理子系统如图所示，该子系统通过以太网卡与数据采集子系统连接，使用网卡驱动进行报文采集，并将报文送入报文字段解析引擎。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台数据处理子系统报文字段解析引擎对报文逐条进行解析，并将报文解析结果通过分发器同时传输到报文统计与推送模块、设备识别与定位模块、工艺参数解析模块、工艺操作解析模块、基于网络通信的攻击检测模块、基于工艺流程和操作的攻击监测模块、操作指令异常检测模块、DoS/DDoS攻击检测模块等，进行相应的统计和检测。数据存储与检索，实现数据检索和排队功能，作为客户端应用系统与数据库服务器之间的接口通道。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台数据库服务子系统该子系统主要为安全态势监测与预警系统提供数据库的存储与查询等服务，使用数据服务器（对小型系统可使用工控机，对大型系统可使用服务器集群）实现。数据库服务器系统中的软件包括数据库软件自身以及数据库服务接口，与数据处理子系统通信，可记录系统采集到的所有报文以及各条报文对应的解析结果，同时接受数据处理子系统及客户端应用系统随时的查询和提取操作。

客户端应用系统客户端应用系统，用于实现与用户的实时交互，为用户展现工控网络中的所有蛛丝马迹，基于B/S架构，使用浏览器进行操作，运行在工控机上。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台支持的系统与协议网络安全态势在线监测分析与预警系统适用于如图所示的典型工控系统，基本覆盖了所有主流品牌，所支持的系统主要包括：PLC系列：西门子S7-200/300/400/1200/1500等系列、西门子PXC系列、施耐德Quantum系列、罗克韦尔ControlLogix系列、ABBAC450/AC800系列等；DCS系列：艾默生OvationORC1100系列、艾默生DeltaV系列/BB系列、霍尼韦尔PKSC300系列、横河CENTUMVP系列、ABBSymphonyPlus系列、英维思Foxboro系列等；RTU（电力系统远动终端）：西门子AK/AM系列、ABBRTU560系列、