工业自动化控制网络综述

2022-01-19张宇

仪器仪表用户 2022年1期

张宇

（中国电子科技集团公司第十研究所，成都 610036）

0 引言

自动化和过程控制在工业中扮演着重要的角色。随着信息化的提升，工业自动化系统不能被看作是“孤岛”，它本身是封闭的，但必须允许各设备之间的互连、通信和监控。工业自动化控制网络（以下简称“工业网络”）涉及现场设备、数字化控制器、各种软件，以及外部系统之间通信协议的实施。

工业网络覆盖了一个国家多个关键基础设施的领域，如制造业和发电行业。它们是高度专业化的，并利用各种定制化的协议，以达到对物理设备实时控制的目的。由于工业现场环境对自动化的依赖程度不断提高，工业网络的应用层面不断拓宽。工业网络与互联网等传统技术也进一步融合，工业网络技术在各个方面取得了巨大的发展，不断地有新的解决方案、新的标准、新的概念被提出，例如工业实时以太网的技术、工业无线传输技术、工业网络信息安全保障技术等。

1 工业网络技术特征与发展现状

1.1 工业网络的特征

工业的发展依赖于自动化控制技术，工业自动化在能源、轨道交通等领域发挥着重要的作用，通过分析生产流程的环节，设定准确的运行参数，可以保证工业系统安全稳定运行，同时还具备部分故障自动诊断、检修、快速应急响应及恢复的功能。传统工业自动化逐渐融入计算机技术，慢慢呈现出智能化的特征，而背后的通信网络技术也在相应的不断发展。

互联网络为大家众所周知，而工业网络则更加行业化。尽管随着工业网络的发展，如与以太网技术的结合，已经开始模糊工业网络和传统互联网络之间的界限，但在其核心，它们面向的对象不同，有着不同的需求。最本质的区别是，工业网络以某种形式连接到物理设备，并用于控制和监控实体设备的行为和执行条件[1]。这导致了对一套不同于互联网网络的服务质量（QoS）的要求，比如对强确定性和实时数据传输的要求。参考相关资料，总结了工业网络与传统以太网的多方面要求及典型差异[2]。具体见表1，下面将详细分析介绍。

表1 工业网络和传统网络之间的典型差异Table 1 Typical differences between industrial networks and traditional networks

在应用方面，工业网络应用于许多工业领域，包括制造、电力、能源等，几乎在每一种需要对实体设备进行监视和控制的情况下，都会以某种形式安装工业网络。每个行业都有自己的一套稍有不同但通常相似的需求，可以大致分为以下几个领域：离散制造、过程控制、运输和嵌入式系统[3]。

在架构方面，工业网络通常比传统互联网络具有更深层次的架构。例如，一个企业的互联网络由局域网组成，局域网络由主干网或广域网对外连接。然而，一个小型工业网络也倾向于有3层或4层乃至更多的层次结构，包括仪器仪表设备现场层、仪器与控制器连接、控制器互连的控制层，人机接口（HMI）和过程监控的监控层，生产管理网络的生产管理层，企业进行管理网络的企业管理层等。不同的协议和物理介质经常在每一层中使用，彼此之间采用网关设备来实现通信。工业网络协议和技术的改进，导致了典型工业层次结构的一些扁平化，重点包括在较高层的组合中。然而，为了保持与被控制设备的功能层次结构的相关独立性，网络架构通常不会尽可能地扁平化。例如，发电设施内的“电力设备孤岛”将保留独立的控制网络，以便在机械和控制水平上保持单元序列之间的逻辑分离。

在故障严重程度方面，由于工业控制网络与物理设备相连，系统故障的影响要比互联网领域严重得多。工业网络故障的各种影响，包括设备损坏、生产损失、环境破坏、声誉损失，甚至生命损失[1]。

在实时性方面，流程和设备运行的速度要求数据传输、处理和响应尽可能接近、及时。一般的规则是响应时间应该小于收集数据的采样时间，特别是在闭环系统的情况下，信息传递的延迟会严重影响控制回路的性能。互联网络往往没有任何响应时间要求，即使有，通常也在几十毫秒或更确切地说是几秒的范围内[4,5]。工业自动化网络的层次越高，对时间的要求就越低，在最高层次上就开始类似于互联网络。

在确定性方面，在工业网络的最底层使用的数据不仅必须实时传输，而且必须以可预测的或确定性的方式进行。为了使网络具有确定性，它必须能够预测何时会收到对传输的应答。这意味着信号的延迟必须是有界的，并且具有低方差信号。响应时间的变化通常称为时间抖动，由于时间上的变化对控制回路有负面影响，因而高实时、高可靠控制网络需要低抖动。

在数据量方面，工业网络中传输的信息定义为控制信息、诊断信息和安全信息[6]。控制信息在仪表和控制器之间发送，是控制器中实现的控制回路的输入或输出，如包括执行器位置、流体流量及驱动速度。诊断信息是由控制系统进行自我收集反馈，这种信息通常用于监测工厂设备的健康状况，例如设备负荷率、温度。安全信息用于实现关键功能，如设备的安全关闭和保护电路的运行。在工业级传输的数据包通常非常小，特别是在低级别的架构，可能只需要传输一个模拟量值或开关量值，以及一些系统开销信息。这样的传输通常只有几个字节大小，例如单个二进制状态或16位值的传输。另一方面，互联网络经常传输千字节或更多的数据，数据包大小至少从64字节开始。这种差异需要在网络协议栈中使用不同的协议，主要集中在较小数据包的传输上。

在周期性方面，工业网络既需要周期性采样数据的传输，也需要非周期性事件的传输，如状态或报警条件的变化。如上所述，这些信号必须在设定的时间段内传输。根据控制要求，不同设备采集和传输数据的采样周期可能不同。针对随时可能出现非周期性数据，为了方便此类传输，在工业网络协议中较低的层次上研制了基于时钟和总线竞争的通信协议，以确保所有数据都能及时传输，而在互联网络中不存在这样的考虑。在传统互联网络中，数据传输是“尽最大努力”实现的，在数据传输之前可能涉及随机延迟。

在一致性方面，在工业网络中，需要确定传输发生的时间和网络中事件的顺序，特别是在非周期性传输的情况下。通常这是通过使用时间戳和同步时钟实现的，而不是采用通用协议实现的。

工业网络由专门的组件和应用程序组成，如可编程逻辑控制器（PLC）、监控和数据采集系统（SCADA）和分布式控制系统（DCS）。工业网络主要关心的是这些组件和系统内部以及它们之间的通信。工业网络的核心由现场总线协议组成，在IEC61158中定义为“用于与工业控制和仪表设备（包括但不限于传感器、执行器和本地控制器）通信的数字、串行、多点、数据总线”。工业控制网络可以分为3代不同的、具有不同兼容性水平的网络[7]。第一种是传统的基于串行的现场总线协议，这类总线协议种类繁多，由诸多研究机构自研，具备特定的应用范围等；第二种是基于以太网的协议；最新一代已经开始包含无线通信技术。以太网技术的结合，使得曾经截然不同的现场总线和互联网技术越来越相似。这就产生了新的术语，如工业控制网络，它不仅包括传统现场总线的功能和要求，而且还包括基于以太网系统提供的附加功能和要求。

1.2 现场总线

现场总线系统的几个前身早在20世纪70年代就开始研制，许多现场总线是并行开发的，分布于科研机构和不同的控制系统供应商，以满足不同行业的不同用户定义的需求。后来私有总线协议逐渐被开放协议所取代，协议的标准化提高了总线协议的可靠性和稳定性。

IEC最终公布了IEC61158中所有现有的标准，由于该标准繁杂冗余，紧接着推出IEC61784做出了说明。其中，唯一由IEC开发的部分是61158-2，它定义了物理层，并被大多数提供安全设计的现场总线所采用。以

太网作为TCP/IP和用户数据报文协议（UDP）栈的一部分，最初在工业领域没有得到太多人的接受。随着以太网技术的发展，使其更适合于工业用途，特别是新的以太网标准（如802.3u快速以太网）增加的数据速率使创建实时以太网协议变得更容易。根本原由在于传输和重传时间大大缩短，实时需求可以通过多种方法来实现[8]。于是诞生了许多现场总线技术，包括CAN、HAPT、PROFIBUS、Ethernet/IP、基金会现场总线FF、MODBUS/TCP、EtherCAT等诸多现场总线。

1.3 通信协议

工业通信协议的发展是由于终端用户的要求，以及适应工业环境的新技术的出现而开始的，由国际标准组织（ISO）创建的开放系统互连（OSI）7层模型，包括物理层、链路层、网络层、传输层、表示层、会话层和应用层。每一层都描述了将信息从一个应用程序发送到另一个应用程序所需的服务，以及层之间的接口，帮助定义和创建了通信协议和服务，实现标准的互连。常用的通信协议如下：

1）CANopen

CANopen是用于自动化的CAN的高水平扩展，被移交给自动化组织，该组织现在管理该协议。CANopen在欧洲EN50325标准和其他基于CAN的协议中被定义，CANopen标准为特定的实现，定义了广泛的应用配置文件，如运动控制等。

2）EtherNet/IP

该协议是在TCP/IP之上，结合通用工业协议（Common Industrial Protocol，简称CIP）作为应用层实现，是面向工业自动化应用的工业应用层协议，在IEC61784-1中被定义。它最初由罗克韦尔自动化开发，由开放式设备网络供应商协会（Open DeviceNet Vendor Association，简称ODVA）和其他CIP现场总线维护。CIP应用层的使用允许3个现场总线之间的紧密集成，并且可以通过网关设备实现它们之间的通信。尽管不是严格的确定性，Ethernet/IP通过使用优先消息和使用IEEE1588协议的时钟同步提供实时性能。这些考虑与全双工交换体系结构相结合，可以防止由于冲突造成的延迟，网络中的操作基于计划的计时而不是实际的计时，以抵消在网络栈中遇到的延迟[8]。

3）PROFIBUS

由于西门子对PROFIBUS的认可，PROFIBUS可以说是最著名和应用最广泛的现场总线之一。PROFIBUS由多个德国公司和机构联合开发而成，是最早创建的现场总线之一。最初由不同的区域组织管理，这些组织联合起来组成了PROFIBUS国际组织，现在负责维护EN 50170、IEC 61158和IEC 61784中定义的标准。在PROFIBUS中，定义了不同的配置文件，每个配置文件适用于不同的应用程序。

4）其他现场总线协议

目前，被IEC采纳并被添加到61158和61784标准中的总线协议越来越多，工业领域较为知名的协议包括：Ethernet Powerlink（EPL）、EtherNet/IP、Profinet、EtherCAT、EPA等工业实时以太网协议[9]。

从工业网络技术特征和发展历程不难看出，重点是针对工业应用场景的需求，实现与保障现场业务系统之间的通信与数据传输，而针对工业网络和业务数据的安全性，在设计之初并未重点考虑。

2 工业网络技术信息安全研究

随着工业4.0、工业互联网和智能制造等概念的提出，现场工业系统也逐渐融合工业控制技术和信息通信技术。针对不同的工业应用场景需求，新的技术理念不断出现，但是出现信息泄露与篡改的风险也越来越大。而国家颁布的等保2.0、关键基础设施保护条例等标准法规逐渐落地，工业领域作为国家关键基础设施领域，其对应的信息安全防护水平也应随之提高。

2.1 工业信息安全保护目标与必要性分析

由于工业网络中使用的技术越来越多的重叠，因而工业网络中的安全与互联网络中的安全非常相似。虽然这两个网络都存在许多相同的威胁，但工业网络的额外需求和考虑因素意味着安全性可能往往更难以实现。网络安全的目标是提供机密性、信息的完整性、可用性、身份验证、授权、可审核性、不可公开性，以及来自第三方保护[11]。这些特性的缺失或丢失，可能会导致网络出现故障。

前文已述，工业网络的故障会产生严重的影响。这种故障可能是偶然的，也可能是由恶意造成的，这些故障的预防分别由可靠性和安全性来提供。如果网络本身不能或没有通过其自身的可靠性考虑来解决这些缺陷，则必须采取额外的措施来防止访问这些缺陷，并提高系统的安全性，确保工业网络安全已成为确保国家关键基础设施安全的先决条件。

2.2 通信与密码技术融合难点与实现方案

随着中国国密算法推出及逐渐得到国际认可，采用国家商用密码算法（如SM系列）是互联网络中保护通信安全的核心部分，因为它们可以提供数据保密性、完整性和身份验证功能。传统网络设备的使用，意味着许多已建立的技术，如IPsec和SSL协议，可以在更高的层次上使用。然而，控制设备的性质使得在较低级别实现安全特性存在实施困难的问题。工业设备的生命周期通常比企业网络长得多，对可靠性的要求也高得多。因此，工业网络设备中使用的技术通常必须是成熟的，经过了多层次验证后的。此外，底层工业协议的局限性设计也给安全的实现带来了困难。许多协议的低数据传输速率，意味着它们将受到安全通信所需的额外开销的不利影响。传统的安全协议，如IP sec、SSL和VPN，在工业自动化网终中并不实用，因为它们缺乏对多播和广播传输的支持[12]。在工业网络中使用密码算法时，密钥分发也存在问题，因为成千上万的设备可能需要密钥。许多密钥分配方法的设想都涉及到设备调试期间的人工干预，而没有考虑密钥的寿命。密钥的长度和使用的算法决定了解密敏感信息所需的时间长度，这两者通常与要保护的数据的预期生存周期相匹配。

分析国家商用密码算法使用标准要求，总结SM2/3/4算法主要应用侧重点如图1所示。在底层使用密码算法与通信协议进行融合，针对数据保密性、数据防篡改、身份鉴别等方面的信息安全要求，采用SM3+SM4实现数据保密性要求，SM2+SM4实现他方身份鉴别功能要求，SM2+SM3实现数据防篡改的功能要求。基于以上，构建针对工业控制系统安全通信网络的主动防御技术框架，保障整个通信网络的可信性。针对实时性问题，一方面可以采用现场可编程逻辑门阵列（Field Programmable Gate Array，简称FPGA）并行技术代替CPU进行对称密码算法运算，实现数据硬件快速加解密。同时，在满足系统功耗、内存余量的前提下，可以考虑将对称密码算法的运算步骤进行提前运算，将每步运算结果提前存储于控制器内存中，综合生成表格，在运算时只需查表即可，从而减少时延。通过以上两方面技术的结合，可大幅度减少密码算法带来的时延，提高密码算法在通信技术的适用性。

图1 国密算法应用Fig.1 National secret algorithm application

密钥管理这块，可以采取关键区域密码分发更新策略，设备彼此根据预定的策略通过交互完成密钥生成、更新。针对非关键设备，密钥可以在设计之初将密钥分散存储于固件内，在运维的周期内考虑不更新或长周期交互更新操作。

2.3 协议和设备的漏洞防护

目前，备受关注的研究领域是现有协议和设备的漏洞识别，以及分析现有网络以检测和减少漏洞的方法[13,14]。这种分析对于制定有效的安全政策是至关重要的，而这往往是成功地确保网络安全的最困难的方面之一，安全策略的创建不仅需要对设备和协议进行仔细的分析，解决已识别的漏洞的方法，也必须与执行的成本和实用性相平衡，同时建立相关设备漏洞库也是必要的。

通用通信协议并未重点考虑信息安全问题，如MODBUS/TCP端口固定、功能码固定、明文传输等，因此在工控系统设计之初，可以采用基于“白名单”思想，为控制系统中的通信收发方设定“白名单”，彼此只需响应名单中的内容，名单内容包含IP地址白名单、功能码白名单、IP/MAC绑定等内容，同时旁路设定网络流量监测设备，防御如拒绝服务类似的信息安全攻击。

针对通信设备的固有漏洞，考虑到优先保障功能安全，信息安全设计不占用太多的系统资源，低层级的控制设备的内生安全技术是未来保障设备和通信网络信息安全的基石，而国内提出的可信计算3.0技术有助于解决此类问题[15-25]。具体如图2所示，基于硬件可信根（TCM），实现从系统引导程序到操作系统内核，最后到应用层的主动完整性度量，保障通信设备的可信性，有效避免系统漏洞威胁。