工业互联网安全技术 课件 第7-9章 密码学基础、工业互联网安全系统设计、工业互联网安全测试

工业互联网安全技术第7章密码学基础7.1入侵检测系统概述7.2入侵检测方法和DDoS攻击7.3

数据完整性算法第7章入侵检测学习要求

知识要点能力要求入侵检测概述和入侵检测系统分类（1）了解入侵检测目的（2）熟悉不同入侵检测系统的特点（3）熟悉不同入侵检测系统的原理入侵检测方法和DDoS攻击（1）掌握基于模式匹配的入侵检测算法的原理（2）掌握基于贝叶斯推理的入侵检测算法的原理（3）了解基于深度学习的入侵检测算法的原理（4）熟悉DDoS攻击工业SDN环境下DDoS攻击检测方法（1）了解工业SDN（2）熟悉基于特征熵值和决策树算法的DDoS攻击检测方法7.1.1入侵检测系统概述入侵检测系统概述入侵检测系统是一种有效且功能强大的网络安全系统，用于检测未经授权和异常的网络流量。入侵检测系统通常包含两种类型的组件：数据收集组件和数据分析组件。其中，数据收集组件负责监视和收集整个网络系统的数据，数据分析组件负责分析收集的数据并检测恶意活动。7.1.2入侵检测系统分类入侵检测系统分类

根据入侵检测系统两种类型的组件可以对入侵检测系统进行分类，根据入侵检测系统数据收集的来源，可分为基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）和混合式入侵检测系统；而根据入侵检测系统数据分析方法，又可分为异常入侵检测系统和误用入侵检测系统。采用哪种入侵检测系统需要根据网络结构和特点选择。7.1.2入侵检测系统分类根据数据收集来源的入侵检测系统分类基于主机的入侵检测系统（HIDS）HIDS通常被部署在被保护的主机上，并且检测的数据也来自被保护的主机。HIDS实时地对检测的数据进行分析，当检测到入侵行为时及时报告。以下是HIDS的一些优点：HIDS可以监控所有用户的活动，而在NIDS中这是几乎不可能的。HIDS可以很容易地安装在主机设备上，故不需要额外的硬件资源。在一些场景中如移动自组织网络中，节点会移动进而导致网络拓扑结构变化，但HIDS不会受到这种变化的影响。通常主机的处理能力较强，因此部署在主机上的HIDS对数据的分析效率较高。HIDS检测的数据通常不是加密的数据，故适合加密环境。7.1.2入侵检测系统分类根据数据收集来源的入侵检测系统分类基于主机的入侵检测系统（HIDS）以下是HIDS的一些缺点：HIDS受益于主机较强的处理能力，但HIDS会占用主机的资源，进而会对主机的性能造成一定的影响。不同的操作系统的环境不同，其提供HIDS所需的数据格式也不同，因此对于每一种操作系统，都需要开发相对应的HIDS。HIDS依赖于主机所提供的数据，如果入侵者通过其他漏洞获得主机的管理权限，那么HIDS将失去作用。7.1.2入侵检测系统分类根据数据收集来源的入侵检测系统分类基于网络的入侵检测系统NIDS以网络数据包作为其检测数据源。以下是NIDS的一些优点：NIDS通常不会部署在重要的主机上，那么NIDS运行时就不会影响主机的性能。相比于主机的检测数据源，NIDS通过检测网络数据，能检测到HIDS检测不到的入侵行为。NIDS采集数据不会在网络上留下痕迹，进而隐蔽性好。其缺点有：当网络流量大时，NIDS可能不足以处理所有网络数据，尤其是在如今的网络数据愈发庞大的背景下，这对NIDS是一个考验。对于加密的会话过程，很难从中检测到入侵行为。7.1.2入侵检测系统分类根据数据收集来源的入侵检测系统分类混合式入侵检测系统当同时以主机审计数据和网络数据包作为入侵检测数据源，就可兼具HIDS和NIDS两者的一些优点，同时又可互补两者的缺点，此即为混合式入侵检测系统。DIDS控制器由三个主要组件组成，分别是通信管理器、专家系统和用户界面。7.1.2入侵检测系统分类根据数据分析方法的入侵检测系统分类异常入侵检测系统异常入侵检测系统是基于行为的检测，其基本前提是在审计数据中有内在的特征或者规律，这些特征或规律与正常行为相一致，区别于异常行为。其局限是容易出现漏报和误报。在各种网络环境的适应性不强的条件下，异常检测的判断标准就会不够精确。7.1.2入侵检测系统分类根据数据分析方法的入侵检测系统分类误用入侵检测系统误用入侵检测系统是基于知识的检测，其前提是所有的入侵行为都有可被检测到的特征。通过对已知攻击行为的研究，提取已知攻击的特征集合，对已知的攻击行为定义为入侵模式。再对系统和用户的行为活动进行检测，和预定义的入侵模式进行特征匹配，根据已有的特征知识库判断其是否满足入侵模式，从而发现并识别攻击入侵行为。第7章密码学基础7.1入侵检测系统概述7.2入侵检测方法和DDoS攻击7.3

数据完整性算法7.2.1基于模式匹配的入侵检测算法

7.2.1基于模式匹配的入侵检测算法基于模式匹配的入侵检测算法BF算法BF算法是一种简单粗暴的字符串匹配算法，BF算法的思想是使用模式串P与字符串T从头开始比较，当不匹配时，再使用模式串P与字符串T上一次比较的下一位开始比较，重复这个过程直到匹配成功或对整个字符串T比较结束。

7.2.1基于模式匹配的入侵检测算法基于模式匹配的入侵检测算法KMP算法KMP算法是对BF算法的改进，其目的是尽量减少模式串P与字符串T的比较次数以达到快速匹配的目的。在KMP算法中会跳过那些绝对不可能成功的字符，这要求事先计算出模式串的内部匹配信息，在与字符串的匹配失败时最大限度地向后移动以减少匹配次数。

7.2.2基于贝叶斯推理的入侵检测算法

7.2.2基于贝叶斯推理的入侵检测算法

此时考虑特征之间相互独立，则有进而有7.2.2基于贝叶斯推理的入侵检测算法基于贝叶斯推理的入侵检测算法在取相应特征值的条件下，发生入侵的概率与未发生入侵的概率的比值。通过上式也可观察到需要事先统计过去发生入侵的概率、未发生入侵的概率以及入侵和未入侵时各特征的条件概率。在入侵检测系统运行的同时，此时的数据也可作为统计值，使得系统继续学习。通常各特征间并不独立，特征之间有一定联系，这会使得检测结果不准确，因此，在选择特征时，进行特征间的相关性分析是很有必要的。7.2.3基于深度学习的入侵检测算法基于深度学习的入侵检测算法近些年来，深度学习技术快速发展并在很多领域应用和取得了很好的效果，深度学习很好地适用于分类问题，而入侵检测的任务即是判断当前的网络行为是正常的还是异常的，这使得用深度学习来进行入侵检测是一种可行的方法，并已被证明可以处理入侵检测问题。实际上，基于深度学习的入侵检测是最有潜力的一种入侵检测技术，相比于传统的入侵检测算法，其可以具有更好的泛化能力和更强的鲁棒性。在基于深度学习的入侵检测中，影响检测结果准确性主要有两个因素：深度学习算法和数据集。7.2.3基于深度学习的入侵检测算法基于深度学习的入侵检测算法

深度学习算法循环神经网络（RNN）RNN可以被视为前馈ANN的增强版本，其可以记住在每个时间步处理的数据以计算后续结果。生成式对抗网络（GAN）经过训练后，GAN能够学习数据的分布并生成可用作真实数据的合成数据实例。卷积神经网络（CNN）CNN主要用于图像处理领域，但其也可以应用于入侵检测和其它领域。由于CNN对二维数据进行处理，因此当将CNN应用到入侵检测时，需要将输入数据转换为矩阵。7.2.3基于深度学习的入侵检测算法基于深度学习的入侵检测算法

数据集KDDCUP99KDDCUP99数据集是从一个模拟的美国空军局域网上采集来的9个星期的网络数据，共计约700万条记录，分为具有标识的训练数据和未加标识的测试数据。NSL-KDD由于NSL-KDD是采自模拟的网络数据，其并不能反映真实的网络数据。尽管如此，NSL-KDD仍然是评价入侵检测效果的一种基准数据库。CIC-IDS-2017CIC-IDS-2017数据集包括了各种最新的攻击方法，可分为7种攻击类型：暴力破解攻击、心血漏洞攻击、僵尸网络攻击、DoS攻击、DDoS）、攻击、Web攻击和渗透攻击。7.2.4DDoS攻击DDoS攻击DDoS攻击可以大致分为两大类，即传输层/网络层攻击和应用层攻击，前一种攻击使用SYN、ICMP、ACK、UDP以及DNS数据包来发起DDoS攻击，通过消耗受攻击设备的网络带宽来干扰合法的用户连接请求，攻击者可以使用直接的泛洪攻击或基于反射的泛洪攻击。应用层攻击主要以消耗CPU资源、存储资源的方式影响合法用户的请求，通常攻击者通过泛洪请求或慢速请求发起攻击。7.2.4DDoS攻击DDoS攻击按照不同的分类方式，DDoS攻击可分为以下几类：按攻击机制分类带宽攻击带宽攻击的攻击原理是通过占用网络带宽或向网络路由设备发送大量数据包，将这些虚假的数据包发送到指定的攻击目标设备处。漏洞攻击漏洞攻击利用网络协议或软件漏洞实现攻击，漏洞攻击不需要像带宽攻击一样发送大量的数据包，只需要向被攻击者发送少量畸形数据包就可使其产生异常，甚至崩溃以实现攻击目的。7.2.4DDoS攻击DDoS攻击按攻击目标分类网络链路型攻击网络链路型攻击主要通过占用网络带宽来消耗网络固定资源，造成网络中的正常服务请求被堆积在请求队列中，服务器不能及时响应并处理合法请求，达到拒绝服务的目的。节点型攻击节点型攻击主要通过消耗节点资源来进行攻击，攻击者向目标服务器发送超出其处理能力范围的伪装请求，使正常请求得不到响应，从而影响网络正常服务。7.2.4DDoS攻击DDoS攻击按攻击路径分类直接攻击攻击者直接控制代理端向目标主机发起攻击，从而耗尽其网络带宽、关键资源，攻击数据包的类型包括TCP、ICMP、UDP，或者混合的数据包，实施攻击的方法包括SYN泛洪攻击，RST泛洪攻击和ICMP泛洪攻击。反射攻击攻击者不直接攻击目标服务器，而利用虚假IP向受害主机发送数据包，一般为虚假源IP地址。反射攻击通过间接使用反射器(如路由器)，有目的的发起攻击。7.2.4DDoS攻击DDoS攻击按网络协议所在层级网络/传输层DDoS攻击这类攻击通常利用TCP、UDP、ICMP及DNS数据包，攻击方式有泛洪攻击、协议利用泛洪攻击、基于反射的泛洪攻击、基于放大的泛洪攻击。应用层DDoS攻击这类攻击通过消耗服务器资源来干扰合法用户的服务（如CPU、存储、带宽等)，应用层DDoS攻击相比网络层/传输层DDoS攻击占用较少的带宽，但对应用服务来说也有同样的危害，攻击方式包括会话泛洪攻击、请求泛洪攻击、不对称攻击以及低速请求/响应攻击。第7章密码学基础7.1入侵检测系统概述7.2入侵检测方法和DDoS攻击7.3

数据完整性算法7.3.1工业SDN及DDoS攻击场景工业SDNSDN技术是实现工业互联网发展的必要前提，工业SDN架构如图所示。在工业SDN架构中，接入网络主要分为工业有线接入网络与工业无线接入网络，工业SDN控制器与接入网络的系统管理器之间通过交互可实现不同接入网络之间的信息传输共享。工业SDN架构从上至下分为应用层、控制层、数据层与现场设备。7.3.1工业SDN及DDoS攻击场景工业SDN应用层包括SDN控制软件和防DDoS攻击应用管理软件。控制层包括SDN控制器、工业接入网络系统管理器。数据层包括SDN交换机和工业接入网网络设备。7.3.1工业SDN及DDoS攻击场景工业SDN有线网络环境下DDoS攻击场景在工业SDN架构中，当有线接入网络中的现场设备被攻击者控制，攻击者通过这些设备向转发平面的OpenFlow交换机发送大量的数据流，从而爆发DDoS攻击，此时的攻击场景如图所示。7.3.1工业SDN及DDoS攻击场景工业SDN有线网络环境下DDoS攻击场景此时当SDN控制器下发流表模式不同，受攻击影响的设备也有区别。当SDN控制器决策机制是主动（主动向OpenFlow交换机下发流表)，此时来自底层设备的大量数据流造成SDN交换机处无法匹配的数据流个数激增，从而使得SDN交换机资源被消耗，对工业网络正常数据流量的处理变慢甚至瘫痪。7.3.1工业SDN及DDoS攻击场景工业SDN无线网络环境下DDoS攻击场景其中部分工业网无线协议不支持IPv6协议，如WirelessHART、WIA-PA，因此在实现SDN控制器与不同区域的工业现场控制网络之间的无缝连接时，需要利用SDN控制器获取不支持IPv6的工业无线协议的特征字段。工业SDN无线网络环境下的DDoS攻击场景如图所示。7.3.1工业SDN及DDoS攻击场景工业SDN无线网络环境下DDoS攻击场景该场景主要是针对在工业无线网络中发生的DDoS攻击，图中假设攻击来自工业无线网络2，通过工业SDN控制器与接入网络系统管理器配合使用，保证攻击的准确检测，并及时隔离攻击源头，从而保证网络安全。工业无线网络中的网络设备受到泛洪攻击时，OpenFlow交换机存在大量无法匹配流表项的数据流，致使该OpenFlow交换机负荷过重，此时利用DDoS攻击检测与缓解模块，尽快找出工业无线网络中的攻击源头。同时完成SDN控制器东西向的报文控制，对工业无线网络系统管理器发送命令，系统管理器隔离攻击源重新分配网络资源，从而阻断DDoS攻击，恢复网络正常运行。7.3.2方案整体设计方案整体设计针对工业SDN环境下DDoS攻击检测，提出了一种引入攻击检测模块的工业SDN安全架构，攻击检测模块根据工业SDN控制器状态监测信息，分析工业网络发给OpenFlow交换机的实时数据并提取相应数据特征，判断是否受到DDoS攻击，安全架构图如图所示。7.3.2方案整体设计方案整体设计单独使用信息熵判断是否发生DDoS攻击的检测方法不能排除网络正常流量突增的情况，因此在进行DDoS攻击检测时将在信息熵值作为预判条件下进一步提取流条目信息特征，利用决策树算法进行进一步检测，从而使DDoS攻击检测结果更准确。网络模块之间交互触发的宏观流程图如图所示。7.3.3基于流表特征熵值计算的DDoS攻击检测模型流表项特征选择首先本方法在计算信息熵值时对8元组流表项特征进行离散化处理，对于有序分类变量可以直接利用划分后的数值，将三种不同的特征表现直接赋值为(0，1，2)三个数值，对流表项的8元组特征离散取值情况如表所示。流量特征

特征表现值012源IP地址已知常见变化随即弱变化随机强TCP源端口已知常见变化随即弱变化随机强UDP源端口已知常见变化随即弱变化随机强网络协议类型工业有线协议支持IPv6的工业无线协议不支持IPv6的工业无线协议源设备ID已知常见变化随即弱变化随机强源MAC地址已知常见变化随即弱变化随机强节点发包频率发包频率满发包频率适中发包频率快∆𝑀&∆𝑁都在阈值内其中一个在阈值内都不在阈值内工业SDN下流量特征表现取值表7.3.3基于流表特征熵值计算的DDoS攻击检测模型流表项特征选择所选取的流量特征的连续性及离散程度不一致，因此在取值表中把特征表现分为3个等级(0，1，2)，主要用来区分较为连续的变量。除“网络协议类型”特征是用来定位攻击使用的，其他流表特征等级越高，则表示流量特征越接近DDoS攻击（源地址欺骗且不停变化的攻击）发生时的攻击数据流特征。

7.3.3基于流表特征熵值计算的DDoS攻击检测模型基于流表特征熵值计算的DDoS攻击预判机制设计基于流表特征熵值计算的DDoS攻击预判机制主要分为流表信息收集、流表信息特征分析、流表信息熵值计算和攻击预警四个步骤。

具体步骤如下：步骤一：流表信息收集步骤二：流表信息特征分析步骤三：流表信息熵值计算步骤四：分析8个流表项特征信息熵值，若熵值出现异常超过阈值，则发出DDoS攻击预警，并将信息熵值作为决策树算法检测机制的输入。7.3.4基于决策树算法的DDoS攻击检测模型决策树算法分析决策树算法是机器学习领域的一大算法，决策树采用树形结构，基于数据特征将样本实例进行分类。具有分类速度快、可视性强的优点。工业网络中数据流相比于传统IT网络数据流而言没有那么庞大，利用决策树可在检测时间方面节省大量开销，且准确率也保持较高水平。C4.5是一个使用较多的分类决策树算法，采用信息增益率选择属性节点，可处理连续数据，数据可有缺失，分类规则易于理解，准确率较高。

7.3.4基于决策树算法的DDoS攻击检测模型

7.3.4基于决策树算法的DDoS攻击检测模型决策树算法分析C4.5决策树算法具体步骤如下：计算信息增益

按属性A划分数据集S的信息增益Gain(S，A)为样本集S的熵减去按属性A划分S后的样本子集的熵，即：分裂信息信息增益率7.3.4基于决策树算法的DDoS攻击检测模型基于决策树的DDoS攻击检测模型设计基于决策树的DDoS攻击检测模型主要分为两部分，一部分是训练集，另一部分是测试集，训练集用于学习网络的实时流量信息或公开的用于攻击检测的数据集，从而建立分类检测模型，而测试集主要是利用已建立好的分类检测模型进行现实流量的检测，以此判断是否存在攻击的发生。7.3.4基于决策树算法的DDoS攻击检测模型基于决策树的DDoS攻击检测模型设计针对工业SDN的攻击流量数据集还没有针对性强的公开数据集，因此，本方案通过网络实际运行后所采集的数据集进行研究，包括正常数据流量与模拟攻击后的攻击数据流，将获取的实际运行的网络流量预处理，得到流表的8元组信息，用于训练建立决策树分类模型。在进行C4.5算法建立决策树前，需要先给出训练集，通过对数据流进行采集、提取关键信息，并标记数据流所属分类。通过训练数据集建立好决策树模型后，就可用该模型对测试集预测判断，最后输出攻击流表信息，进而采取缓解措施缓解DDoS攻击。本章小结

本章首先介绍了入侵检测的概念和入侵检测系统的分类，根据数据收集来源的不同，入侵检测系统可分为基于主机的入侵检测系统、基于网络的入侵检测系统和混合式入侵检测系统。根据数据分析方法的不同，入侵检测系统可分为异常入侵检测系统和误用入侵检测系统，前者需要建立一个正常行为轮廓，后者需要建立一个已知入侵攻击模式库，两者特点具有互补性。随后介绍了三种入侵检测方法和常见且难以防范的DDoS攻击，给出了基于模式匹配的入侵检测和基于贝叶斯推理的入侵检测的原理，概要介绍了基于深度学习的入侵检测的算法和数据集。最后介绍了一种工业SDN环境下DDoS攻击检测方法，给出了方案的整体设计和具体检测细节。本章习题1.入侵检测系统与其它网络安全措施的区别？2.异常入侵检测系统和误用入侵检测系统分别需要哪些关键信息？3.误用入侵检测系统为什么误报率较低，漏报率较高？4.基于模式匹配的入侵检测算法有什么特点？5.在基于贝叶斯推理的入侵检测算法中，为什么需要考虑各个异常值之间的独立性？工业互联网安全技术第8章工业互联网安全系统设计8.1工业互联网设备层安全设计8.2工业互联网边缘层安全设计8.3工业互联网传输层安全设计8.4工业互联网平台层安全设计8.5安全防护产品第5章认证机制学习要求

知识要点能力要求工业互联网安全系统设计概述（1）掌握工业互联网安全系统设计的思路工业互联网设备层安全设计（1）了解设备层面临的安全挑战（2）掌握设备层的安全设计原则（3）掌握设备层的安全防护机制（4）了解设计实例—工业物联网芯片的安全功能实现方法工业互联网边缘层安全设计（1）了解边缘层面临的安全挑战（2）掌握边缘层的安全设计原则（3）掌握边缘层的安全防护机制（4）了解设计实例—工业云环境下边缘测数据保护机制（5）了解设计实例—基于信任评估的边缘节点计算结果可信判别方法工业互联网传输层安全设计（1）了解传输层面临的安全挑战（2）掌握传输层的安全设计原则（3）掌握传输层的安全防护机制（4）了解设计实例—基于SDN的物联网访问控制方法工业互联网平台层安全设计（1）了解平台层面临的安全挑战（2）掌握平台层的安全设计原则（3）掌握平台层的安全防护机制（4）了解设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台8.1.1设备层面临的安全挑战设备层面临的安全挑战工业无线网络传输介质固有的开放性和移动设备存储资源及计算资源的局限性，特别是在工业现场恶劣的环境中，不仅要面对有线网络环境下的所有安全威胁，而且还要面对新出现的专门针对工业无线环境的安全威胁。很多国家的工业控制系统和现场设备已经运行了15~30年，这样的系统和现场设备比较难以维护。IT部门和IT安全团队很少参与工业控制系统和现场设备的采购、安装和管理。工业控制系统一般是与其控制的设备一起购买的，因此它们的安装、配置和运行都是由工厂工程师现场完成，不是安全团队部门负责。这意味着，安全团队对控制系统的情况毫不知情，更无法建立系统的详细目录。8.1.2安全设计原则安全设计原则工业设备及现场网络的安全机制应注意以下几个问题：设计的安全防护机制应尽量安全和易于实施。由于节点资源有限的特点，应尽量地使用基于对称密钥的密钥管理机制。设计冗余机制来提高安全防护的鲁棒性。任何安全机制都应将降低网络的通信开销作为首要考虑条件。最大化延长电池寿命，减少包的大小和数目，以及包转发。利用基于硬件的加密技术，延长设备寿命。8.1.3防护机制防护机制工业互联网设备层的防御主要考虑对设备层的工业现场网络的防御。被动防御技术

工业互联网数据采集层采用的是被动防御技术，根据不同的侧重点，这些技术方案总体可以分为机密性保护和完整性保护。主动防御技术

主动防御技术的关键在于“主动”二字，它分析以往的网络攻击方式和攻击途径，找出其中的规律和特点，对于未来可能发生的网络攻击形势做出预判，减少部署时间。入侵容忍技术入侵容忍技术是第三代网络安全技术，隶属于信息生存技术的范畴，是当前信息安全领域的热点之一。8.1.4设计实例—工业物联网芯片的安全功能实现方法背景在工业环境下建立高可靠性，高实时性，高安全性的无线传感网络成为人们迫切的需求。ISA100.11a利用广告帧和确认帧携带时间信息完成时间同步，WIA-PA利用信标帧和时间同步命令帧完成时间同步。工业无线网络对确定性要求很高，对全网的资源进行了调度，设备需在确定的时隙（一般为10ms）发送数据给确定的对象，设备的安全处理能力和速度将极大的影响确定性的实现。本节提出了一种利用芯片的硬件进行安全处理的方法。不仅能够满足IEEE802.15.4下MAC层的安全，而且安全预处理功能和硬件实现数据链路层安全的方法，保证了WIA-PA协议和ISA100.11a协议下数据链路层的安全。该方案能够针对不同的应用环境，为工业无线网络中的数据提供高效、可靠的保密性和完整性服务，在满足时间同步精度要求的前提下实现信息的安全传输。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案用户配置芯片的协议选取寄存器PROTOCAL，选取IEEE802.15.4、WIA-PA、ISA100.11a中的一种模式。IEEE802.15.4的安全处理硬件实现的方法。配置芯片PROTOCAL寄存器，选择IEEE802.15.4模式。WIA-PA模式下的数据安全预处理机制。配置芯片PROTOCAL寄存器，选择WIA-PA模式。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案ISA100.11a模式下的安全处理机制。在ISA100.11a模式下，该方案提出数据安全预处理并在期望的未来时间将数据发送出去的安全处理机制。配置芯片PROTOCAL寄存器，选择ISA100.11a模式。发送方。发送方在数据链路层进行的安全处理需要用到Key、Nonce及明文等安全材料，其中的Nonce的长度为13个字节，包括发送方的8个字节的EUI地址、发送时刻的4个字节TAI时间信息和发送方选择的帧发送信道与帧序列号共同构成的1个字节信息。发送时刻的4个字节TAI时间信息可由两种方式获取：软件计算和硬件计算。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案可利用下述2种方式对将要发送的广告帧进行安全处理：芯片利用硬件实现安全预处理，将帧在未来确定的时间发送。全自动安全处理模式是芯片在广告帧发送时刻到来时，通过安全引擎对其自动进行安全处理，在一个时隙内，由硬件完成自动构造Nonce、安全处理和发送等动作。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案根据超帧调度的要求，芯片在发送缓存TX-FIFO中存储需要进行安全处理的明文，等待发送时隙n的到来。当时隙n到来时，在T0时刻硬件自动构造Nonce，并读取FIFO中的明文和寄存器RF_NORMAL_KEY中的密钥，在T1时刻通过安全引擎对明文进行安全处理，处理完成后在T2将其发送出去。在时间同步完成后，对将要发送的数据帧进行安全处理，其处理过程同广告帧的安全处理过程一样。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案接受方。在ISA100.11a模式下，接收方进入安全中断后，接收方在数据链路层进行安全处理。解密和校验处理需要的安全材料包括密钥Key、Nonce以及接收到的密文。通过密钥Key解密接收到的密文，得出明后后利用明文和Nonce，重新构造出接收方的校验码MIC＇，与发送方的校验码MIC做比较，如果MIC＇＝MIC，则校验通过，否则，校验失败。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案确认帧的发送。接收方接收数据帧后，回复的安全确认帧方式分为半自动和全自动两种模式。半自动确认帧的Buffer由软件控制构造，当接收方进入安全中断后，芯片准备对确认帧进行安全处理的安全材料，包括接收方的Key、Nonce和确认帧载荷。全自动确认帧在构造和安全处理的过程中，直接由芯片硬件完成，不需要软件的参与。8.1.4设计实例—工业物联网芯片的安全功能实现方法技术方案确认帧的接受。发送方收到确认帧，首先进入安全中断，读取发送方寄存器存储的发送帧的4个字节的完整性校验码MIC，作为接收到的确认帧的虚拟载荷部分，安全引擎利用密钥Key和接收到的添加了虚拟载荷的确认帧构造出发送方的DMIC＇，其中Nonce根据前面选择的软件构造或者硬件构造。然后比较发送方计算的DMIC＇和接收方发送的确认帧的DMIC是否一致，如果DMIC＇=DMIC，则校验成功，说明接收方成功接收了前面发送的帧；否则，校验失败，说明接收方没有成功接收前面发送的帧。第8章工业互联网安全系统设计8.1工业互联网设备层安全设计8.2工业互联网边缘层安全设计8.3工业互联网传输层安全设计8.4工业互联网平台层安全设计8.5安全防护产品8.2.1边缘层面临的安全挑战边缘层面临的安全挑战边缘计算环境中潜在的攻击窗口，包括边缘接入（云-边接入，边-端接入），边缘服务器（硬件、软件、数据），边缘管理（账号、管理/服务接口、管理人员）等层面的攻击，如图所示，边缘计算面临的11个最重要的安全挑战，它们的具体描述如下：8.2.1边缘层面临的安全挑战边缘层面临的安全挑战不安全的通信协议边缘节点数据易被损毁隐私数据保护不足不安全的系统与组件身份、凭证和访问管理不足账号信息易被劫持恶意的边缘节点不安全的接口和API易发起DDoS攻击易蔓延APT攻击难监管的恶意管理员8.2.2安全设计原则安全设计原则在进行工业互联网边缘层的安全设计时，应遵循以下的安全设计原则：满足工业边缘应用开发及运行过程中的基本安全需求，同时防止恶意应用对边缘计算平台自身以及其他应用安全产生影响。创建安全边缘计算环境的基础，保障数据的可用性、保密性和完整性。因此要极力保障边缘网络的可靠性、稳定性和低延时性，从而来满足边缘网络所连接的物理对象的多样性和应用场景的多样性。因此需要保证边缘设备在启动、运行、操作等过程中的安全可信，边缘设备安全涵盖从启动到运行整个过程中的设备安全、硬件安全、虚拟化安全和OS安全。在对工业互联网边缘平台进行设计时，采用大数据分析和安全审计等安全措施避免边缘平台遭受攻击或渗透，防止重要数据泄露、生产失控等安全问题。8.2.3防护机制防护机制由于边缘节点向外直接接入了互联网络，进而将工业现场设备直接暴露于互联网络中，存在非常大的安全隐患，特别是数据的隐私安全问题。而边缘节点的信息安全非常重要。本节将将介绍轻量级分组加密和同态加密等被动防御技术。同时，随着边缘计算规模的增加，其安全问题也逐渐得到重视。其中，一个重要部分是内部攻击威胁。内部攻击威胁主要是指恶意攻击者获取了网络的合法身份并且对网络进行破坏或进行数据窃取。被动防御的安全机制（加密、授权等）不能有效地应对这种威胁，因此，需要主动防御技术，主动识别恶意或故障边缘节点。缘平台遭受攻击或渗透，防止重要数据泄露、生产失控等安全问题。8.2.3防护机制防护机制

轻量级分组加密

轻量级分组加密技术具有对运力要求低和算法简单的特点，完美的适用于边缘侧设备的安全防护需求。基本原理分组加密是用于加密或者解密具有固定长度分组数据的对称加密算法。分组加密的具体实现过程如图所示。8.2.3防护机制防护机制现代分组的主流结构有替代-置换网络（SPN）和Feistel网络。SPN结构分组加密最常见的结构是SPN，这种结构的构造不仅在加解密明/密文分组时的循环次数小于其他类型结构的构造，比如Feistel网络，而且易于在软件中设计。8.2.3防护机制防护机制Feistel结构Feistel是另一种常见的由DES使用的分组加密结构。该结构是一种加解密可逆的迭代结构，每次迭代只改变一半的数据，其结构如图所示。Feistel将明文分组分为等长的两部分，分别为左半部分和右半部分。8.2.3防护机制防护机制Feistel结构基于Feistel网络结构的加密算法，解密过程是加密过程的一个逆运算，在整体实现上复杂度低，占用软硬件资源少，并通过复杂的密钥生成算法增加了密钥被分析的困难性。因此，基于SPN结构和Feistel网络的加密算法受到了轻量级分组加密学者的青睐。现有的大多数轻量级分组加密都是采用上述两种结构。KLEIN和ITUbee分别是基于SPN结构和Feistel网络结构的轻量级加密具有代表性的算法，两者安全性也分别充分得以证明。8.2.3防护机制防护机制同态加密同态加密技术是一种可对密文执行数学计算，通过同态加密技术，用户将边缘侧的密文数据上传到云平台，不仅可以使用第三方的云平台资源和服务对数据进行分析、处理，而且能够避免不完全可信第三方对数据的非法盗用与篡改。采用全同态加密保证边缘侧数据的机密性，其基本概念如下：同态是指对明文数据的加密过程中，对加密后的密文数据做特定的数学计算，计算的结果解密后同明文执行同种计算所得到的结果一致。有点同态能够支持有限次数的乘法与加法同态，当密文噪声达到一定阈值时，则不能够再进行同态计算。全同态方案在有点同态方案的基础上，引入了压缩解密电路对密文噪声进行控制，从而实现任意次数乘法与加法同态计算。时间复杂度8.2.3防护机制防护机制边缘容器安全隔离近年来，人们开始针对边缘容器安全隔离技术开展研究，大多采用的是基于底层系统的容器安全增强、容器的权限限制的方法来实现容器隔离，主要目的是防止由于同一主机上的多个容器共享内核，黑客更容易通过容器攻破底层宿主机（边缘服务器）的安全问题。基于底层系统的容器安全增强技术基于程序分析的边缘容器权限限制技术8.2.3防护机制防护机制信任评价防护技术信任评价机制在改善网络和优化服务方面也有一定的优势。通过获得的直接或间接信息来对合作伙伴的信任程度进行评估，用以决定是否继续进行交流或是合作。信任评估成了一种公认能有效地提高网络安全性的方式，在特定环境和特定时期内对被评估节点能力、安全性和可信度等主观相信程度的量化，把抽象模糊的信任值转换成可以度量的量化数值，从而判断目标节点是否可信，然后在网络的整个生存周期内，对不可信的节点采取相应的限制，比如不与之通信等。8.2.4设计实例-工业云环境下边缘侧数据保护机制背景边缘计算的引入给工业互联网带来了许多好处。边缘应用服务显著减少了必须移动的数据量、随之而来的流量和数据必须移动的距离，从而降低了传输成本、减少了延迟，并提高了服务质量。但工业互联网在满足高实时性要求的同时，如何保证现场节点和边缘节点之间的数据机密性是一个挑战。考虑到边缘节点在现场网络与工厂互联网以及云的互联中起着关键作用，工业互联网边缘侧的安全问题变得迫在眉睫，为此，提出了一种工业互联网的安全框架，并设计了一种工业互联网边缘节点的安全机制。该方案有效地提高了边缘工业互联网中的数据保密性。8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案

工业互联网的安全框架和边缘计算如图所示。现场节点和边缘节点间的互连可以使用工业以太网或工业无线网络，框架中的主要实体包括工业云平台、安全管理器、边缘节点、字段节点。8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案工业云平台是海量数据被分析和处理的场所。边缘计算接近执行单元，可以收集云所需的高价值数据，功能支持云应用程序的数据分析。边缘节点提供数据处理能力，边缘节点管理数据，决定数据的生命周期，并从数据中创造价值。边缘节点可以与多个云协同工作。边缘节点可以执行大量的计算，如策略执行、数据加密和解密。根据节点的资源容量，可以将节点分为资源受限节点和资源丰富节点。为了保证边缘南侧和边缘北侧的数据安全，应根据网络资源的不同，采取相应的安全机制。在资源受限的网络中，边缘节点使用轻量级加密算法对数据进行保护。在资源丰富的网络，现场节点使用完全同态加密算法保护数据，使用同态加密的目的是让边缘边实时进行计算，并对加密的数据做出更精确的决策。对于边缘节点与工业云平台之间的安全通道，采用完全同态加密。8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案该框架的优点是可以根据网络的分类设计不同的安全机制。资源约束网络和资源丰富网络分别与边节点连接，使框架更高效。下面详细介绍边缘节点的南北安全机制，包括三部分：密钥管理机制和加密算法、资源受限网络的安全机制、资源丰富网络的安全机制。（1）边缘节点南向安全机制密钥管理机制本方案的密钥管理机制是针对设备从加入网络开始到密钥更新完成整个阶段，安全管理者对设备密钥管理整个过程的设计。其中，设备包括现场设备与边缘节点，本密钥管理机制所涉及如下三种密钥：第一种：加入密钥（KJ）第二种：密钥加密密钥（KEK）第三种：数据加密密钥（KED）8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案

密钥管理机制具体流程如下：安全管理者配置KJ，并分发给设备；设备向安全管理者申请KEK及KED。安全管理者对设备的身份提出鉴别要求，设备使用KJ结合自身ID信息生成认证信息，并采用KJ加密发送到安全管理者，安全管理者使用KJ解密后对其身份合法性进行确认；当设备被确认合法后，安全管理者会使用KJ加密KED及KEK发送到设备。设备对其解密后便成功获取了KED及KEK；安全管理者对密钥进行更新时，会对更新后的密钥使用KEK加密后下发到设备，设备使用KEK进行解密后便能获得更新后的密钥。8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制技术方案

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源受限型设备与边缘节点通信的数据加解密机制针对资源受限型设备，采用轻量级加密算法对其数据进行保护。其数据安全通信流程如图所述。

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源受限型设备与边缘节点通信的数据加解密机制传感器采用轻量级分组加密算法对数据加密并上传到边缘节点，边缘节点对加密数据解密，解密后的数据转交到其数据预处理单元进行预处理，预处理后的数据递交给数据分析单元，数据分析单元按设定的数学模型进行分析，数据分析完成后，策略执行单元对数据按已定的策略处理，执行后的结果轻量级加密后反馈到执行器。①面向资源受限型现场设备的轻量级分组加密算法选择从工业领域现场设备对实效性要求高及是否易于软件实现两个方面考虑适用于资源受限型现场设备的加密算法。KLEIN和ITUbee加密算法都是面向软件实现而提出，分别都易于软件实施。本部分选择ITUbee加密算法作为单边缘节点南向数据安全机制的轻量级分组加密算法。

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源受限型设备与边缘节点通信的数据加解密机制②ITUbee算法ITUbee算法具体加密流程如图：

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源富裕型设备与边缘节点通信的数据加解密机制针对资源富裕型设备，采用全同态加密技术，其数据安全通信流程如图所示传感器采用全同态加密算法对数据加密后上传到边缘节点，边缘节点数据预处理单元直接对数据预处理，预处理后的数据递交给数据分析单元，数据分析单元按设定的数学模型进行分析，策略执行单元对分析过的数据按已定的策略处理执行，执行后的结果直接下发到执行器。

8.2.4设计实例-工业云环境下边缘侧数据保护机制工业云环境下边缘侧数据保护机制面向资源富裕型现场设备的全同态加密算法选择目前，全同态加密算法中最为主要的算法包括：基于理想格的全同态加密算法、基于整数环的全同态加密算法和基于整数的全同态加密算法。由于这三种算法在设计时，已对同态性和安全性做了充分的证明。因此，综合现场设备对实时性要求高的因素，选择一种时间复杂度最低的算法。分析比较这几种算法的时间复杂度，基于理想格的全同态加密算法的计算复杂度为，基于整数环的全同态加密算法的计算复杂度为，基于整数的全同态加密算法的计算复杂度为。因此，选择基于整数的全同态加密算法作为单边缘节点北向数据安全机制的加密算法。

8.2.4设计实例-工业云环境下边缘侧数据保护机制边缘节点北向安全机制针对不同资源类型现场设备采用不同的加密算法加密的数据，边缘节点会有不同的数据处理方式，其数据安全通信流程不同。资源受限型现场设备的数据安全通信流程资源受限型现场设备采用轻量级分组加密算法加密时。边缘节点对轻量级分组加密算法加密数据解密；边缘节点采用全同态加密算法对解密后的数据加密，并将密文上传到工业云平台；工业云平台对密文数据进行同态运算，工业云平台将计算后的密文数据直接下发到边缘节点。8.2.4设计实例-工业云环境下边缘侧数据保护机制边缘节点北向安全机制

资源富裕型现场设备的数据安全通信流程资源富裕型现场设备采用全同态加密算法加密时，其具体数据安全通信流程如图所示。边缘节点对资源富裕型现场设备采用全同态加密算法加密的数据直接上传到工业云平台，工业云平台进行同态计算后将密文结果下发回边缘节点。8.2.4设计实例-工业云环境下边缘侧数据保护机制边缘节点北向安全机制

单边缘节点北向数据安全机制的加密算法选择全同态加密算法的效率是本部分算法选择时的一个主要参考因素。因此，接下来将只对上节所述几种主要的全同态加密算法的效率进行分析对比，选择一种效率最高的算法进行实现。算法的效率包括时间效率和空间效率两方面，但随着计算机技术不断的发展，现有计算机的内存已经足够大，能满足绝大多数应用。基于整数的全同态加密算法的计算复杂度最低为。因此，本部分也选择基于整数的全同态加密算法作为边缘节点与工业云平台间的加密算法，解决边缘节点与工业云平台间机密性与操作性兼顾的需求。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法背景

由于边缘节点向外直接接入了互联网络，进而将工业现场设备直接暴露于互联网络中，存在非常大的安全隐患，特别是数据的安全问题。边缘节点的计算结果可信直接关系到工厂的生产和人员安全，因此亟需在工业边缘计算环境中研究确保边缘节点计算结果可信的安全机制。目前，国内外关于确保工业边缘节点与工业云之间通信信息可信的研究较少，大部分都研究的是信息在传输过程中未被篡改，但无法确保边缘节点计算结果可信，即边缘节点输出的计算结果正确。因此需要通过对边缘节点的计算结果进行可信度量，防止工业边缘节点输出错误数据和抵御恶意边缘节点的虚假数据攻击。针对上述问题，从安全体系结构、通用信息模型的角度设计了具有信任评估功能的工业边缘计算安全架构，结合工业边缘计算的特征。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

本节提出了具有信任评估功能的边缘计算框架，边缘节点的信任评估由网络边缘的边缘代理完成，在网络边缘处理信任计算的响应时间更短，执行效率更高，网络压力更小，如图所示。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

在具有信任评估功能的工业边缘计算框架中，提出确保边缘节点计算结果可信的信任评估方法，该方法由边缘代理根据对边缘节点的计算结果的客观分析，并结合模糊评价法及熵权法完成对边缘节点的信任评估。边缘代理通过比较边缘节点的信任值与信任阈值，决定哪些边缘节点可以接收计算任务和发送消息，由此可以减少边缘侧输出不可信数据。该信任评估方法中的信任阈值由安全管理员设定的边缘节点允许的错误率确定。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

该方案采用椭圆曲线代理签名方案，将可信边缘节点的初步计算结果签名后发送到工业云进一步处理后再返回给现场设备。该方案具体的信任评估流程如图所示。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

方案将信任定义为边缘代理对边缘节点计算结果可信的评估，边缘节点的信任值是边缘节点长期行为表现的一种定量形式。信任评估包括四个单元：证据收集、证据处理、初始信任评估、信任更新。信任评估的总体框架和流程如图所示。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案

其中，证据包括三个维度的信息，一是直接评估边缘节点计算结果的三个有效因素用于计算边缘节点的直接信任值；二是历史信任值，边缘代理将在滑动窗口内的历史信任值加权平均后，修正直接信任值；三是现场设备对边缘节点计算结果的反馈评分，边缘代理根据反馈评分得到惩罚或奖励因子，用于计算边缘节点的最终信任值。8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案信任评估过程中边缘节点有以下五种状态：待加入待运行运行待审核运行/隔离

8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法

8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法

8.2.5设计实例-基于信任评估的边缘节点计算结果可信判别方法技术方案下面详细说明信任评估方案的流程：情况二：边缘节点初步计算后，将计算结果及其哈希值发送给边缘代理，边缘代理收集证据并将边缘节点计算结果、信任标识及其签名后上传工业云，工业云检查边缘节点信任标识和验证签名后进一步处理边缘节点的初步计算结果，然后工业云将计算结果及签名发送给边缘代理，边缘代理验证签名后将计算结果发送给现场设备，如图所示。第8章工业互联网安全系统设计8.1工业互联网设备层安全设计8.2工业互联网边缘层安全设计8.3工业互联网传输层安全设计8.4工业互联网平台层安全设计8.5安全防护产品8.3工业互联网传输层安全设计本节将在IT和OT深度融合的背景下，讨论工业互联网的传输网络的安全问题，这里的传输网络包括现场网络与骨干网络之间的回程网络、工厂内IT网络、工厂与工厂间的互联网络（骨干网络）。为了保障数据不在传输过程中遭到篡改，完整性不遭破坏以及数据在传输过程中加密，提出了多因素认证办法，并就网络传输的其他各环节提出了相应的对策。为了解决这些问题，在工业无线网络传输中应该采用一些轻量级安全及可靠性技术。8.3.1传输网络面临的安全挑战传输网络面临的安全挑战相较于未与外部互联网直接联通的传统工业网络，工业互联网的传输网络面临着来自工厂内网和外部互联网两方面的安全威胁。在IT内网侧，安全问题主要包括：一是传统静态防护策略和安全域划分方法不能满足工业企业网络复杂多变、灵活组网的需求；二是工业互联网涉及不同网络在通信协议、数据格式、传输速率等方面的差异性，OT网络与IT网络的异构融合面临极大挑战；三是工业领域传统协议和网络体系结构设计之初基本没有考虑安全性，安全认证机制和访问控制手段缺失，攻击者一旦通过互联网通信通道进入下层工业控制网，只需掌握通信协议就可以很容易对工业控制网络实现常见的拒绝服务攻击、中间人攻击等。在外网侧，攻击者从研发端、管理端、消费端、生产端都有可能实现对工业互联网的攻击或病毒传播。8.3.1传输网络面临的安全挑战传输网络面临的安全挑战因此在工业设备、软件与外界网络实现通信的情况下，极易出现安全问题，比如以下这几种安全问题：非授权访问信息泄漏或丢失破坏数据完整性拒绝服务攻击8.3.2安全设计原则安全设计原则工业传输网络的安全设计具有以下几条设计原则：设计的安全传输防护机制应尽量安全和易于实施；工业互联网网络传输需要控制各传输节点、链路以及端到端的加密过程，选用合适的对称加密和公钥加密算法。对于加密传输、签名验签、鉴别和验证，必须明确要求，制定能够实现各安全域内部、各安全域之间的网络传输接口规范。任何安全机制都应将降低网络的通信开销作为首要考虑条件。在传输协议方面，应采用HTTPS，SSL/TLS，支持IPSec实现远程通道的安全加密，并对IPv4协议与IPv6协议具有兼容性。采用HTTPS协议，以HTTP作为通信机制，并使用SSL/TLS对传输的工业数据包进行加密，既能够实现网络服务器的身份认证，也能够为传输数据提供完整性与隐私保护。8.3.3防护机制防护机制为了解决所讲到的网络传输中的安全挑战，需要以下的几种方法配合使用：加密技术加密技术可以说是其它网络传输安全的基础。加密技术包括对称加密技术和非对称加密技术，对称密码技术是常用的一种加/解密技术，它是非对称密码技术研制之前使用的唯一的加密类型，又称为常规加密或单密钥加密。它的主要特点是：通信双方在加解密过程中要使用完全相同的密钥。8.3.3防护机制加密技术对称密码技术的优点是它的运算比较简单，易于实现，占用资源少，加解密速度快，其主要原因是对称密码技术是建立在简单的替代和置换操作基础上的。非对称密码技术是在试图解决对称密码技术中面临的两个突出难题的过程中发展起来的。一个是对称密码技术中描述的密钥分发和密钥保存的问题；第二个就是使用对称密码技术无法实现“数字签名”。非对称密码技术的主要优点：一是通信双方事先不需要通过安全信道交换公钥，公钥可以明文发放；二是密钥的持有量与对称密码技术相比大大减少。三是非对称密码技术可以提供前面提到的“数字签名”服务。8.3.3防护机制

PKI技术PKI即公钥基础设施，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。安全套接层协议SSLSSL主要用于WEB安全通信标准，建立在可靠的传输服务基础上。SSL提供的安全机制可以保证应用层数据在互联网络传输中不被监听，伪造和篡改。TSN技术TSN是一种能使以太网具有实时性和确定性的新技术，能够突破网络通信上的总线的复杂性障碍、周期性与非周期性数据的传输障碍、以及实时性障碍，解决了现有网络的一些缺点。8.3.3防护机制

IPv6安全防护机制基于IPv6的工业互联网安全架构如图所示，在互联架构的网络接入层，针对非法接入和连接窃听等安全威胁，设备认证和安全地址分配有效保护工业无线接入和工业有线接入。8.3.3防护机制

基于IPv6的工业互联网安全防护机制如下：设备认证安全地址分配密钥管理IPSec安全关联ESP安全封装应用层安全访问控制边界隔离8.3.4设计实例—基于SDN的物联网访问控制方法背景

目前物联网的访问控制主要采用自主访问控制和强制访问控制等方案。当今网络中的访问控制大多数仅限于应用于网络设备中的防火墙和访问控制列表。防火墙遭受单点故障和静态配置问题，ACL管理复杂且容易出错。当依赖手动配置（例如ACL、VLAN）时，这种方式很容易出错，并且很容易出现配置错误等问题。近些年，SDN被引入物联网，SDN将物联网的控制平面和转发平面分开，以实现底层基础设施的抽象。如何在引入SDN后，处理好物联网的访问控制问题，一直是研究热点。因此，引入SDN网络架构作为降低访问控制执行和策略管理复杂性的关键。8.3.4设计实例—基于SDN的物联网访问控制方法技术方案基于SDN的物联网访问控制技术方案包括以下步骤：（1）首先提出一个基于SDN的物联网访问控制架构基于SDN的物联网访问控制架构主要包括四层架构，如图所示：8.3.4设计实例—基于SDN的物联网访问控制方法技术方案基于SDN的物联网访问控制技术方案包括以下步骤：（2）执行访问控制流程访问控制流程，如图所示，分为以下几个环节。8.3.4设计实例—基于SDN的物联网访问控制方法技术方案访问控制流程令牌构造：当主体需要访问客体时，主体将请求访问报文发送至安全管理者网关，安全管理者网关通过获取访问请求报文中所包含的主客体ID、请求动作信息和令牌上下文信息生成令牌并下发给主体；访问请求：主体向客体发起访问请求，访问客体中所存储的数据或资源；主体生成访问请求，其中附加令牌，其中附加令牌和数字签名，用于客体对主体的认证并建立访问控制关系，且该请求不被任何中间实体读取。细粒度访问控制决策：当PDP网关在接收到主体的访问请求报文时会将主体IP、ID与允许授权的请求动作的关联表中主体IP地址所对应的主体ID以及允许授权的请求动作与访问请求报文一同转发给客体，客体IoT设备接收到访问请求后，便开始执行令牌认证。第8章工业互联网安全系统设计8.1工业互联网设备层安全设计8.2工业互联网边缘层安全设计8.3工业互联网传输层安全设计8.4工业互联网平台层安全设计8.5安全防护产品8.4工业互联网平台层安全设计目前，全球制造业龙头企业、ICT领先企业、互联网主导企业基于各自优势，从不同层面与角度搭建了工业互联网平台。工业互联网平台虽发展时间不长，但均有迅速扩张的趋势，正积极探索技术、管理、商业模式等方面规律，并取得了一些进展。然而，针对工业互联网平台安全的相关工作仍处于摸索阶段，平台安全管理体系不健全、技术保障缺手段、数据风险难防范等问题较为突出，亟需加快提升工业互联网平台安全保障能力以及加强工业互联网平台安全的设计和建设。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业互联网平台层包括边缘计算层、工业云基础设施层、工业云平台服务层、工业应用层和平台数据五大防护对象，工业互联网平台的五个层级面临着不同安全挑战。边缘计算层一是边缘计算层设备普遍缺乏安全设计。二是边缘计算层设备可部署的安全防护措施有限。三是边缘计算层设备缺乏安全更新。四是接入技术多样化增加安全防护难度。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业云基础设施层一是工业互联网平台存在与传统云平台相同的脆弱性。二是虚拟化技术提供的安全隔离能力有限。三是虚拟化软件或虚拟机操作系统存在漏洞。四是第三方云基础设施安全责任边界不清晰。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业互联网平台数据安全风险工业云平台层一是传统安全手段无法满足多样化平台服务的安全要求。二是微服务组件缺乏安全设计或未启用安全措施。三是容器镜像缺乏安全管理以及安全性检测。四是缺乏有效的拒绝服务攻击防御机制。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业应用层一是工业应用层传统安全防护技术应用力度不足。二是第三方远程运维带来安全隐患。三是工业应用安全开发与加固尚不成熟。8.4.1工业互联网平台面临的安全挑战工业互联网平台面临的安全挑战工业数据层一是数据安全防护责任边界模糊。二是敏感数据标识及保护技术待完善。三是数据销毁及备份机制存在缺陷。四是数据安全共享交换机制尚不成熟。8.4.2安全设计原则安全设计原则工业互联网平台安全的最终趋势是要构建端到端信任、动静检测监测的工业级安全平台系，其应遵循的安全设计原则主要包括四方面：通信安全登录工业互联网平台的用户进行身份鉴别，实现用户身份的真实性、合法性和唯一性校验，可支持通过多种标准协议对接客户自有第三方认证体系登录，包含但不限于OpenIDConnect、OAuth2.0等；对接入工业互联网平台的设备进行认证，形成可信接入机制，保证接入设备的合法性和可信性，对非法设备的接入行为进行阻断与告警。8.4.2安全设计原则安全设计原则系统安全对工业互联网平台不同虚拟域、服务和应用都采用严格的隔离措施，防止单个虚拟域、服务或应用发生安全问题时影响其它应用甚至整个平台的安全性；工业互联网平台操作系统、数据库、应用程序在运行过程中，要定期检测漏洞，发现漏洞及补丁未及时更新的情况，并采取补救措施，对开放式Web应用程序安全项目（OWASP）发布的常见风险与漏洞能进行有效防护或缓解。8.4.2安全设计原则安全设计原则应用安全对工业互联网平台系统及应用进行代码审计，发现代码中存在的安全缺陷，预防安全问题的发生；提供API全生命周期管理，包括创建、维护、发布、运行、下线等，对平台微服务组件接口进行安全测试和安全加固，避免由于接口缺陷或漏洞为平台引入安全风险；对工业软件、服务的行为进行安全监控，通过行为规则匹配或者机器学习的方法，识别异常，进行告警或阻止高危行为，从而降低影响。8.4.2安全设计原则安全设计原则数据安全对工业互联网平台敏感数据、用户及设备的鉴别凭证数据（例如密钥等）、资源及应用访问控制策略等的存储和传输利用密码技术实施保护，保证平台关键数据、资源、应用的安全，能支持国家商用密码算法及各种密码应用协议，相关设计遵循《中华人民共和国密码法》等法规及标准；对工业互联网平台关键数据、资源及应用制定访问控制策略，并根据平台用户角色和业务流程的变更及时调整，确保平台对用户访问行为的细粒度控制和授权，可采用零信任技术保障平台身份鉴别和访问控制安全；通过在线备份、离线备份或热备份等方式，对工业互联网平台系统、应用、服务、数据等进行备份，为防止平台出现安全事故导致业务中断的问题。8.4.3防护措施防护措施针对工业互联网平台的需求特征和面临的安全挑战，本书总结了工业互联网平台的常用防护措施，为保障工业互联网平台安全的安全服务提供方、技术研究人员和相关学者等提供参考。访问控制访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。限制用户的访问权限和所能使用的计算资源和网络资源实现对工业互联网平台的重要资源的访问控制和管理，防止非法访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础。8.4.3防护措施防护措施访问控制包括三个要素：主体、客体和控制策略。主体是指提出访问资源具体请求，是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。客体是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。控制策略是主体对客体的相关访问规则集合，即属性集合。访问策略体现了一种授权行为，也是客体对主体某些操作行为的默认。8.4.3防护措施防护措施访问控制利用访问控制限制平台用户对平台的访问，保障平台中的数据资源在合法范围内得以有效使用和管理。为了达到上述目的，访问控制需要完成两个任务：识别和确认访问平台的用户、决定该用户可以对某一平台资源进行何种类型的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作；当用户身份和访问权限验证之后，还需要对越权操作进行监控。8.4.3防护措施防护措施安全审计实现平台的网络流量监测与告警，采用被动方式从平台的网络采集数据包，通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配，实现实时平台的流量监测及异常活动告警，实时掌握工业互联网平台的运行状况，发现潜在的平台安全问题。通过设定状态白名单基线，当有未知设备接入网络或网络故障时，可触发实时告警信息。8.4.3防护措施防护措施安全审计安全审计对平台的记录和行为进行独立的审查和估计，其主要作用和目的包括4个方面：对平台可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。测试平台的控制能力，及时进行调整，保证与安全策略和操作规程协调一致。对平台控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。协助平台管理员及时发现系统入侵或潜在的系统漏洞及隐患。8.4.3防护措施防护措施安全大数据分析利用大数据的思维和手段对平台安全运维的相关数据进行智能挖掘与分析，运用数学统计、机器学习及最新的人工智能算法实现面向历史数据、实时数据、时序数据的聚类、关联和预测分析。安全大数据分析的目的是通过关联分析等手段发现防火墙、WAF、IDS等检测不到的高级持续性安全攻击行为和未知威胁行为，弥补传统安全防护措施不能挖掘平台中潜在威胁的不足。8.4.3防护措施防护措施安全大数据分析安全大数据分析要以平台中海量的且安全的数据作为分析对象。数据采集的对象应包括平台日志数据、全流量审计数据、APP信息数据、资产数据、用户行为数据、威胁情报数据等多元的异构数据，对海量的数据解析处理并进行存储。同时，安全大数据分析要以建立科学合理的分析模型作为前提。一般认为安全大数据的分析模型包括但不仅限于：规则模型、关联模型、统计模型、异常检测模型等。通过各模型不同的特点功能对安全大数据进行全面的分析。8.4.3防护措施防护措施安全大数据分析

通过各模型不同的特点功能对安全大数据进行全面的分析。规则模型：通过定义规则策略，提取分析安全大数据中的有效字段进行比对，基于应用场景从安全日志等数据中筛选识别安全事件。关联模型：对跨平台的多源的安全数据进行关联分析，从多个安全事件中检测行为模式，发现隐藏的高级威胁及安全风险。统计模型：从安全数据中发现重要的统计特征，通过设置阈值进行过滤，找出异常指标，发现可以从指标异常中体现出的恶意行为和安全事件。异常模型：采集历史数据，通过持续的机器学习构建正常的行为基线并持续更新，自适应发现偏离于基线的异常行为。8.4.3防护措施防护措施安全大数据分析安全大数据分析是实现全平台安全态势感知的必要手段，通过收集平台中安全大数据并进行深度分析，可以实现海量大数据存储查询、网络攻击行为追踪溯源、资产被攻击情况追溯等功能，可以对网络拓扑域的安全状况、网页被攻击访问的详细状况进行态势可视化呈现，为工业互联网平台安全态势感知提供数据支撑。8.4.3防护措施防护措施平台统一IoT态势感知该防护措施适用于工业互联网平台的工业云服务层，平台统一IoT态势感知是以边缘测IoT流量、关键网络节点流量、平台各系统日志等安全大数据为基础，对平台各层安全状态的实时统一监测，综合平台整体的安全监控数据，对平台潜在的安全风险及恶意攻击行为进行分析预警，并提供辅助性决策的一种技术。通过接入本地移动网、固网(采样)数据，实现工业互联网资产统一探测、全流量分析、风险识别、态势分析、预警通报、应急处置，同时实现基础数据管理功能、策略指令下发、情报库共享、信息推送等功能。8.4.3防护措施防护措施异常行为智能分析与识别异常行为智能分析与识别作为一种积极主动的安全防护措施，能在工业互联网平台受到危害之前拦截和响应入侵，对工业互联网平台进行纵深、多层次的防御。通过综合对多个操作行为进行时间关联分析，按照主动防御的观点来判断其是否实际存在入侵、攻击等威胁。将可疑行为的不同部分关联起来并不断更新行为特征库，判断其是否属于恶意或异常行为，提高恶意行为的识别率，最终确定恶意代码的新型攻击行为。8.4.3防护措施防护措施“云网边端”协同的安全漏洞识别针对工业互联网平台接入设备海量、系统应用多样、网络协议复杂、服务交互频繁造成安全漏洞识别难度大、影响范围广的特点，需突破基于云、网、边、端协同的大数据分析、威胁信息共享、安全知识图谱等技术，实现对工业互联网平台设备、系统及应用的漏洞识别、分析、评估、检测与修补，从全局视角提升对漏洞的识别发现、理解分析、响应处置能力。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台重庆邮电大学搭建的基于IPv6的手机产品验证装配柔性自动化生产线试验验证子平台，能够满足快速、智能、个人化的产品组装供应；实现生产线柔性化，模块化，可针对工艺自由组合线体；通过制造生产过程执行系统（MES）建立立体库，AGV运输，智能生产线生产管理的连接。以下介绍该系统的安全态势感知系统。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台系统组成与子系统功能平台主要包括基于IPv6工业网络的手机生产线生产装备的实时监视、基于IPv6工业网络的手机生产线物料运输AGV小车远程实时监视、基于IPv6工业网络的手机生产线的数据安全监视、基于IPv6工业网络的手机生产线工位数据有线监控、基于IPv6工业网络的手机生产线装备与环境状态监测，手机产品测试装配柔性自动化生产线网络架构如图所示。8.4.4设计实例—基于IPv6的手机产品验证自动化生产线试验验证子平台系统组成与子系统功能通过IPv6网络实现对手机生产线生产装备的实时监视。手机生产线的所有生产装备的状态信息、物料信息、传感器信息通过ModBus和Profinet等网络进行采集、传输、存储。机器人的位置信息、速度信息、电池电量、作业信息、运动模式数据通过ModBus传输给Profinet节点。采集到的机器人的位置信息、速度信息、电池电量、作业信息、运动模式等状态数据通过路由器/交换机上传到上位机，上传的数据通过OPCUA解析以后在上位机上打印显示。通过在上位机上观察机器人的位置信息、速度信息、电池电量、作业信息、运动模式数据来判断机器人的状态。当出