EPA网络安全方案的设计与实现

自动化与仪表

文章编号：１００１—９９４４（２０１１）０３一００２４—０７

ＥＰＡ网络安全方案的设计与实现

王

浩，秘明睿，刘杰，王

平

（重庆邮电大学网络化控制与智能仪器仪表教育部重点实验室．重庆４０００６５）

摘要：ＥＰＡ标准是我国第一个拥有自主知识产权并被认可的工业自动化领域的国际标准。在分析ＥＰＡ网络安全威胁的基础上．结合ＥＰＡ／网络的安全需求。利用已有的信息安全技术，提出

适用于ＥＰＡ网络的安全机制．包括ＥＰＡ设备鉴别、ＥＰＡ访问控制、ＥＰＡ完整性校验和ＥＰＡ报文加密４种安全机制．从而构建ＥＰＡ网络安全方案。通过搭建ＥＰＡ安全系统，测试并验－商ｒ－ＥＰＡ安

全协议栈的安全性、计算开销、存储开销和时间开销。实验结果表明。以较小的代价极大地提高了ＥＰＡ网络的安全性．有效保障ＥＰＡ网络的可用性、完整性和保密性。关键词：工业以太网；安全；通信质量；安全协议栈中图分类号：ＴＰ３９３

文献标志码：Ａ

ＤｅｓｉｇｎａｎｄｌｍｐｌｅｍｅｎｔａｔｉｏｎｏｆＳｅｃｕｒｉｔｙＳｏｌｕｔｉｏｎｉｎＥＰＡＮｅｔｗｏｒｋ

ＷＡＮＧＨａｏ，ＭＩＭｉｎｇ ｒｕｉ，ＬＩＵＪｉｅ，ＷＡＮＧＰｉｎｇ

（ＫｅｙＬａｂｏｒａｔｏｒｙｏｆＮｅｔｗｏｒｋＣｏｎｔｒｏｌａｎｄＩｎｔｅｌｌｉｇｅｎｔＩｎｓｔｒｕｍｅｎｔ，Ｍｉｎｉｓｔｒｙ

ａｎｄＴｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｓ，ＣｈｏｎｇｑｉｎｇＡｂｓｔｒａｃｔ：ＥＰＡｅｔａｒｙ

ｏｆＥｄｕｃａｔｉｏｎ，Ｃｈｏｎｇｑｉｎｇ

Ｕｎｉｖｅｒｓｉｔｙ

ｏｆＰｏｓｔｓ

４０００６５，Ｃｈｉｎａ）

ｓｔａｎｄａｒｄ，ｔｈｅｉｎｔｅｒｎａｔｉｏｎａｌｓｔａｎｄａｒｄｉｎｔｈｅｆｉｅｌｄｏｆｉｎｄｕｓｔｒｉａｌａｕｔｏｍａｔｉｏｎ，Ｉｔｉｓｔｈｅｆｉｒｓｔｉｎｄｅｐｅｎｄｅｎｔｐｒｏｐｒｉ－

ｐｒｏｐｅｒｔｙ

ｒｉｇｈｔｓａｎｄ

ｒｅｃｏｇｎｉｚｅｄ

ａ

ｉｎｔｅｌｌｅｃｔｕａｌ

ｗｉｄｅｌｙｉｎ

ｏｕｒ

ｃｏｕｎｔｒｙ．Ｔｈｒｏｕｇｈ

ａｎａｌｙｓｉｎｇｔｈｅ

ｓｅｃｕｒｉｔｙ

ｄｅｍａｎｄｓ

ａｎｄ

ａｎｄ

ｅｎ—

ｔｈｒｅａｔｅｎｓｉｎｃｒｙｐｔｉｏｎ

ａ

ＥＰＡｎｅｔｗｏｒｋ。ｗｅｐｒｏｐｏｓｅｄ

ｓｏｌｕｔｉｏｎｉｎｃｌｕｄｉｎｇａｕｔｈｅｎｔｉｃａｔｉｏｎ，ａｃｃｅｓｓ

ｃｏｎｔｒｏｌ，ｉｎｔｅｇｒａｌｉｔｙｎｅｔｗｏｒｋｆｒａｍｅａｎｄｔｉｍｅ

ｃｏｓｔ

ｖ面矗ｃａｉｉｏｎ

ｗｈｉｃｈｉｍｐｒｏｖｅｓｔｈｅＥＰＡｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｇｒｅａｔｌｙａｎｄ

ｔｅｓｔ

ｆｏ珊ｅｓ

ａｓｅｃｕｒｅ

ｏｆＥＰＡ．Ｔｈｒｏｕｇｈｂｕｉｌｄｉｎｇ

ｆｏｒｔｈｅＥＰＡ

ｓｅｃｕｒｅ

ＥＰＡｓｅｃｕｒｉｔｙｓｙｓｔｅｍ，ｗｅ

ａｎｄｖｅｒｉｆｙ

ｗｅ

ｓｅｃｕｒｉｔｙ，ｃａｌｃｕｌａｔｉｏｎｃｏｓｔ，ｓｔｏｒａｇｅ

ｃｏｓｔ

ｐｒｏ

ｔｏｅｏｌｓｔａｃｋ．Ｔｈｅｒｅｓｕｌｔｓｓｈｏｗａｂｉｌｉｔｙ，ｉｎｔｅｇｒｉｔｙａｎｄｐｒｉｖａｃｙ．

ｔｈａｔ

ｉｍｐｒｏｖｅｔｈｅｓｅｃｕｒｉｔｙｏｆＥＰＡｎｅｔｗｏｒｋｇｒｅａｔｌｙａｎｄｇｕａｒａｎｔｅｅｔｈｅＥＰＡｎｅｔｗｏｒｋａｖａｉｌ—

Ｋｅｙｗｏｒｄｓ：Ｅｔｈｅｍｅｔｆｏｒｐｌａｎｔａｕｔｏｍａｔｉｏｎ（ＥＰＡ）；ｓｅｃｕｒｉｔｙ；ｑｕａｌｉｔｙｏｆｃｏｍｍｕｎｉｃａｔｉｏｎ；ｓｅｃｕｒｅｐｒｏｔｏｃｏｌｓｔａｃｋ

ＥＰＡ标准是由浙江大学、重庆邮电大学、清华大学、浙江中控技术有限公司、中国科学院沈阳自动化研究所、上海工业自动化仪表研究所等提出的基于工业以太网的实时通信控制系统解决方案．是我国第一个拥有自主知识产权并被认可的工业自动化领域的国际标准．该标准的制定和推广对于我国在工业自动化领域的话语权、安全性都有极大的

收稿日期：２０１０—０９—０６：修订日期：２０１０—１１—１９

帮助’１］。基于ＥＰＡ的工业控制网络是一个高度开放的控制网络．信息网络与工业控制网络的紧密融合是ＥＰＡ网络的一个重要特征。

ＥＰＡ网络拓扑结构如图１所示。包含３个层级网段．即现场设备层网段、过程控制层网段和企业管理层网段，、现场设备层网段用于工业生产现场的各种现场设备（如变送器、执行机构、分析仪器等）之间

基金项目：国家８６３计划项目（２００６ＡＡ０４０３０１，２００７ＡＡ０４１２０１）；博士启动基金（Ａ２００８－０９）；国家标准项目（２００３１０４耻＿Ｔ－６０４）作者简介：王浩（１９７８一），男，博士，副教授，研究方向为工业以太网、网络控制以及安全技术、无线控制网络及其应用、智能

仪器仪表；秘明睿（１９８３一），男，硕士，研究方向为工业以太网、网络控制以及安全技术；刘杰（１９８５一），男，硕士，研究方向为工业以太网、网络控制以及安全技术；王平（１９６３一），男，博导，教授，研究方向为工业以太网及网络控制技术、无线控制网络及其应用、智能仪器仪表。

田

自动化与仪表

本文所设计的安全方案正处于试验阶段。

各种鳝各照旺器各里煦器最一层

函

芒芒熙站Ｑ

操作站ｌ

过程控制层

各种有线设备

１

安全威胁

在复杂的工业自动化环境中．威

胁是多种多样的。ＥＰＡ网络中的设备可能遭到入侵、毁坏、重放攻击等安全威胁，威胁大致可以分为三类：外部攻击、内部攻击、物理攻击：¨ｊ。

ＥＰＡ网络的安全威胁和可能遭受的攻击如下：访问授权的非法获取、控制信息的非法获取、控制信息的篡改和破坏、未授权的网络连接、重放攻击、拒绝提供服务、病毒感染引起的系统崩溃和数据损坏、抵赖、信息的篡改和破坏、数据重传、插入、乱序、伪装延时、寻址出错等＇７－９３。

陟式队她銎…占Ｘ

巨｝

≤江网桥

≤≥Ｅ篇能

玉沁

、山／

各种有线设备

莓接Ｕ

图１

。ⅣＵ

确

确

口

各种有线设备

Ａ

各种有线设备

国无煮备无数备

ＥＰＡ网络拓扑结构

Ｉ刍熹ｌ

友６：ｈ。】拿女蚌；凸奠．

２安全需求

一个控制网络的基本功能是对现场设备进行实时的控制和（或）信

息的实时采集．目前各种现场总线标准繁多且互不兼容，因此。ＥＰＡ网络的安全需求除了现有信息网络的可用性、完整性、保密性、身份认证、不可否认性、授权、可审计性、第三方安全等安全需求外．还有特殊、更加严格的安全需求［１０－１１：，，

◆可用性。由于ＥＰＡ网络应用场景的特殊性．必须确保网络在各种极端情况下能够保持生产的连续性．如受到攻击时。

◆实时性。ＥＰＡ网络应用于工业自动化领域，对于控制信息实时性要求极高。如时延或者响应不及时．将导致经济损失和人员伤亡。ＥＰＡ网络的安全机制不能影响到系统的实时性．因此一般要求低于５０ｍｓ的响应．在一些应用场景甚至要求在 …… 此处隐藏：9862字，全部文档内容请下载后查看。喜欢就下载吧 ……