本發(fā)明涉及一種自動化控制信息安全保護(hù)技術(shù)領(lǐng)域，特別是涉及一種工程文件全生命周期安全保護(hù)方法。

背景技術(shù)：

工業(yè)控制系統(tǒng)廣泛應(yīng)用到工業(yè)自動化控制領(lǐng)域，比如電力、石油、國防科技等國家基礎(chǔ)設(shè)施，以及食品、醫(yī)藥、交通等民生領(lǐng)域。但是工業(yè)控制系統(tǒng)在建設(shè)之初更多考慮物理安全、功能安全，系統(tǒng)架構(gòu)設(shè)計只為實(shí)現(xiàn)自動化、信息化的控制功能，方便生產(chǎn)和管理，缺乏信息安全考慮和建設(shè)。隨著工業(yè)和信息化的深度融合、工業(yè)4.0的提出，以及后來的“互聯(lián)網(wǎng)+”，這些在將封閉的工業(yè)控制網(wǎng)絡(luò)連接互聯(lián)網(wǎng)絡(luò)的同時，工業(yè)控制系統(tǒng)信息安全問題也隨之暴露出來，例如，采用通用軟硬件帶來的漏洞后門問題，新技術(shù)帶來的新挑戰(zhàn)，以及面對stuxnet、flame病毒等背后所折射出的“國家隊(duì)”威脅。

傳統(tǒng)的工業(yè)控制系統(tǒng)中為了保證某一固件故障發(fā)生時系統(tǒng)能夠正常運(yùn)行而一直采用同構(gòu)冗余備份，但這種方式可以應(yīng)對機(jī)器故障問題而不能解決人為攻擊帶來的共因失效的信息安全問題。而對于公知的工控系統(tǒng)信息安全解決方案主要集中在下面幾個方面：一、按照不同的安全級別需求劃分隔離區(qū)域解決安全問題--譬如邊界防護(hù)、防火墻、白名單都屬于這類方案；二、管控操作人員、增加監(jiān)控系統(tǒng)；三、基于特征代碼識別的檢測技術(shù)。在這三類方案中，都只能片面的解決整個工控系統(tǒng)中某一種入侵方式帶來的安全問題，而對于未知的漏洞，未知的后門等未知的威脅就顯得無力許多。

技術(shù)實(shí)現(xiàn)要素：

針對現(xiàn)有技術(shù)中存在的不足，本發(fā)明提供一種工程文件全生命周期安全保護(hù)方法，該安全保護(hù)方法以異構(gòu)冗余、多余度表決技術(shù)為核心，分別與工程文件全生命周期的編譯環(huán)節(jié)、傳輸環(huán)節(jié)、存儲環(huán)節(jié)、運(yùn)行環(huán)節(jié)的具體流程、技術(shù)相結(jié)合，最終達(dá)到對流程中工程文件保護(hù)的目的，增加邏輯組態(tài)工程文件的機(jī)密性、完整性、可用性，能夠在有效阻止已知攻擊的基礎(chǔ)上應(yīng)對未知漏洞未知后門的威脅。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用以下的技術(shù)方案：

本發(fā)明提供一種工程文件全生命周期安全保護(hù)方法，從工程文件的開始生成到工程文件最后的運(yùn)行都制定了相應(yīng)的安全保護(hù)方法，涵蓋了工程文件的編譯、傳輸、存儲及運(yùn)行的整個生命周期；采用異構(gòu)冗余和多余度表決機(jī)制來應(yīng)對未知漏洞和后門的威脅，包括以下步驟：

步驟1，在邏輯組態(tài)工程文件的編譯過程中以多個目標(biāo)運(yùn)行平臺分別生成多個高度混淆、功能等價的邏輯組態(tài)工程文件；

步驟2，在工程文件傳輸環(huán)節(jié)采用工控協(xié)議與常規(guī)協(xié)議重構(gòu)的多協(xié)議同步運(yùn)行機(jī)制，基于動態(tài)密鑰構(gòu)建通訊信道，將工程文件數(shù)據(jù)包以多分片方式在隨機(jī)路徑中進(jìn)行數(shù)據(jù)傳輸，完成工控系統(tǒng)端到端加密安全傳輸；

步驟3，在工程文件存儲環(huán)節(jié)利用區(qū)塊鏈技術(shù)搭建區(qū)塊鏈服務(wù)器以共識方式防止工程文件被篡改；

步驟4，在組態(tài)工程文件運(yùn)行環(huán)節(jié)使用異構(gòu)冗余、多余度表決機(jī)制使得工程文件的執(zhí)行結(jié)果由多個異構(gòu)變體共同表決確定。

進(jìn)一步地，所述步驟1的具體實(shí)現(xiàn)過程為：基于異構(gòu)多模下位機(jī)軟硬件運(yùn)行基礎(chǔ)環(huán)境生成跨平臺環(huán)境的中間代碼，根據(jù)編譯過程中全局符號、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)、程序布局的多樣性，自動生成具有隨機(jī)性、多樣性特征的異構(gòu)變體，并且在異構(gòu)變體生成的過程中增加函數(shù)級、模塊級的動態(tài)重構(gòu)技術(shù)，使得多個異構(gòu)變體之間不存在一致性的可利用的攻擊路徑。

進(jìn)一步地，所述步驟3的具體實(shí)現(xiàn)過程為：基于區(qū)塊鏈的工程文件存儲原理是在將工程文件存放到下位機(jī)的同時計算出該工程文件的哈希值并將該值存放到區(qū)塊鏈服務(wù)器，在存儲到下位機(jī)的工程文件被執(zhí)行前計算此時工程文件的哈希值并與服務(wù)器端的哈希值進(jìn)行對比來確認(rèn)工程文件是否被篡改，一旦發(fā)現(xiàn)被篡改將停止工程文件的執(zhí)行。

進(jìn)一步地，所述步驟4中，在組態(tài)工程文件運(yùn)行環(huán)節(jié)使用異構(gòu)冗余、多余度表決隱匿被攻破的工業(yè)控制器的執(zhí)行結(jié)果，保證工業(yè)控制系統(tǒng)以正常工業(yè)控制器的執(zhí)行結(jié)果進(jìn)行輸出，使得異構(gòu)多變體被攻破的概率隨變體的數(shù)量呈指數(shù)上升。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點(diǎn)：

1、本發(fā)明安全保護(hù)方法以異構(gòu)冗余、多余度表決技術(shù)為核心，分別與工程文件全生命周期的編譯環(huán)節(jié)、傳輸環(huán)節(jié)、存儲環(huán)節(jié)、運(yùn)行環(huán)節(jié)的具體流程、技術(shù)相結(jié)合，使得工程文件在編譯環(huán)節(jié)生成的異構(gòu)多變體不存在一致性的可利用攻擊路徑，在傳輸環(huán)節(jié)無法被中間人攻擊，在存儲環(huán)節(jié)無法被篡改，在運(yùn)行環(huán)節(jié)遭受到的攻擊不能生效，能夠在有效阻止已知攻擊的基礎(chǔ)上應(yīng)對未知漏洞未知后門的威脅。

2、在工程文件的整個生命周期都制定了相應(yīng)的安全保護(hù)方法，帶來了工控系統(tǒng)自身安全的全面提升。

3、工程文件編譯及運(yùn)行環(huán)節(jié)采用異構(gòu)冗余、多余度表決技術(shù)，有效解決了人為攻擊帶來的共因失效問題。

4、本發(fā)明采用多協(xié)議同步運(yùn)行機(jī)制、傳輸通訊協(xié)議的重寫和加密動態(tài)隧道技術(shù)，增加數(shù)據(jù)傳輸中的私密性。

5、區(qū)塊鏈技術(shù)應(yīng)用到工業(yè)控制系統(tǒng)中使得工程文件在存儲環(huán)節(jié)無法被更改、替換。

附圖說明

圖1是本發(fā)明工程文件全生命周期安全保護(hù)方法的流程圖；

圖2是工程文件編譯及運(yùn)行環(huán)節(jié)多態(tài)驗(yàn)證及保護(hù)原理圖；

圖3是函數(shù)級動態(tài)重構(gòu)技術(shù)原理圖；

圖4是模塊級動態(tài)重構(gòu)技術(shù)原理圖；

圖5是多協(xié)議同步運(yùn)行及多分片隨機(jī)傳輸原理圖。

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例，對本發(fā)明的具體實(shí)施方式作進(jìn)一步詳細(xì)描述：

實(shí)施例一，如圖1所示，本發(fā)明工程文件全生命周期安全保護(hù)方法中，包含工程文件編譯環(huán)節(jié)、工程文件傳輸環(huán)節(jié)、工程文件存儲環(huán)節(jié)及工程文件運(yùn)行環(huán)節(jié)四個階段，在每個環(huán)節(jié)中基于異構(gòu)冗余、多余度表決機(jī)制，結(jié)合具體流程增加相應(yīng)的安全保護(hù)技術(shù)，形成信息安全保護(hù)方案，具體包括以下步驟：

步驟1，如圖2所示，基于異構(gòu)多模下位機(jī)軟硬件運(yùn)行基礎(chǔ)環(huán)境生成跨平臺環(huán)境的中間代碼；在邏輯組態(tài)工程文件的編譯過程中以多個目標(biāo)運(yùn)行平臺分別生成多個高度混淆、功能等價的邏輯組態(tài)工程文件；

中間代碼生成，從工業(yè)控制器的編程語言入手，對工業(yè)控制器編程語言進(jìn)行詞法分析、語法分析、語義分析，基于異構(gòu)多模下位機(jī)軟硬件運(yùn)行基礎(chǔ)環(huán)境（包括cpu架構(gòu)、操作系統(tǒng)等）生成跨平臺環(huán)境的中間代碼。

靜態(tài)多變體自動生成，在邏輯組態(tài)工程文件的編譯過程中通過采用全局符號、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)、程序布局的多樣性隨機(jī)編譯技術(shù)，生成具有隨機(jī)性、多樣性的異構(gòu)變體，并且在異構(gòu)變體生成的過程中增加函數(shù)級、模塊級的動態(tài)重構(gòu)技術(shù)，使得多個異構(gòu)變體之間不存在一致性的可利用的攻擊路徑，工程文件的合法行為由多個異構(gòu)變體共同表決確定，這樣就將單一空間下的未知安全問題轉(zhuǎn)化為多維空間下極小概率問題。

如圖3所示，多變體疊加函數(shù)級的層次化多變體動態(tài)重構(gòu)技術(shù)，對關(guān)鍵函數(shù)通過各自的擬態(tài)編譯器自動生成多個實(shí)現(xiàn)體，在運(yùn)行時通過智能隨機(jī)選擇器根據(jù)歷史情況隨機(jī)的選擇若干個多變體完成函數(shù)功能，并對選中的多變體的返回值進(jìn)行多模判決。

如圖4所示，多變體疊加模塊級的層次化多變體動態(tài)重構(gòu)技術(shù)，對關(guān)鍵模塊通過擬態(tài)編譯器等技術(shù)自動生成多個實(shí)現(xiàn)體，在系統(tǒng)執(zhí)行階段控制流通過自動分發(fā)器分發(fā)到各個異構(gòu)模塊中，并收集各個異構(gòu)模塊的輸出結(jié)果，最后對多個異構(gòu)模塊的輸出結(jié)果進(jìn)行多模判決確定系統(tǒng)的輸出結(jié)果。

步驟2，在工程文件傳輸環(huán)節(jié)采用工控協(xié)議與常規(guī)協(xié)議重構(gòu)的多協(xié)議同步運(yùn)行機(jī)制，基于動態(tài)加密隧道，將工程文件數(shù)據(jù)包以多分片方式在隨機(jī)路徑中進(jìn)行數(shù)據(jù)傳輸，完成工控系統(tǒng)端到端加密安全傳輸，增加數(shù)據(jù)傳輸中的私密性，有效阻止邏輯組態(tài)工程文件在傳輸環(huán)節(jié)的中間人攻擊；

其中動態(tài)加密隧道技術(shù)，動態(tài)加密隧道通訊技術(shù)基于pki非對稱密鑰加密機(jī)制，該技術(shù)通過信息加密公私鑰，通信隧道公私鑰進(jìn)行加解密操作，可應(yīng)用在工控網(wǎng)絡(luò)監(jiān)控中心和plc節(jié)點(diǎn)之間建立直連動態(tài)隧道進(jìn)行加密通信。如圖5所示，以從監(jiān)控中心向plc發(fā)送數(shù)據(jù)為例，監(jiān)控中心將信息用plc公鑰加密，再通過通信隧道私鑰簽名后發(fā)送給對方，對方采用通信隧道公鑰驗(yàn)證后再用plc私鑰解密消息。通過系統(tǒng)定期更換用于加解密的通信隧道公私鑰對，即可更換channel擴(kuò)展協(xié)議的channelid,可以為api接口提供動態(tài)通信信道（channel）的調(diào)用，使得加密傳輸隧道得以動態(tài)變化。

其中多分片隨機(jī)傳輸技術(shù)，首先監(jiān)控中心將信息加密后分成若干片段，各分片信息從監(jiān)控中心經(jīng)過隨機(jī)路徑發(fā)向終點(diǎn)。隨機(jī)路徑中的中間節(jié)點(diǎn)將自己負(fù)責(zé)的分片信息向目標(biāo)方向下一節(jié)點(diǎn)發(fā)送，發(fā)送到下一個節(jié)點(diǎn)的同時刪除本節(jié)點(diǎn)數(shù)據(jù)，直到所有分片信息發(fā)送到目標(biāo)節(jié)點(diǎn)，目標(biāo)節(jié)點(diǎn)合并所有分片信息后解密得到原始信息。如圖5所示，以監(jiān)控中心向plc2發(fā)送消息a為例，具體步驟如下：

步驟201，在監(jiān)控中心將消息a進(jìn)行加密；

步驟202，將消息a分為3片，分別為分片1、分片2和分片3；

步驟203，分片1通過plc1到達(dá)plc2，分片2直接到達(dá)plc2,分片3通過plc3到達(dá)plc2；

步驟204，plc2收集完整的3片信息后對消息合成得到加密的消息a；

步驟205，最后解密獲得消息a。

每次監(jiān)控中心發(fā)送其他消息，都重復(fù)上述步驟，分片的數(shù)目可能會隨系統(tǒng)設(shè)置變化，消息發(fā)送路徑也會隨機(jī)發(fā)生變化，以此構(gòu)建動態(tài)的消息傳輸方式。

步驟3，在工程文件存儲環(huán)節(jié)利用區(qū)塊鏈技術(shù)搭建區(qū)塊鏈服務(wù)器以共識方式防止工程文件被篡改；

邏輯組態(tài)工程文件區(qū)塊鏈發(fā)布技術(shù)，基于區(qū)塊鏈的去中心化特性搭建區(qū)塊鏈服務(wù)器，保證存儲在區(qū)塊鏈服務(wù)器數(shù)據(jù)的安全性。工控網(wǎng)絡(luò)區(qū)塊鏈文件發(fā)布系統(tǒng)用于存儲邏輯組態(tài)工程文件，該系統(tǒng)包括2層結(jié)構(gòu)，上層是面向用戶的工控網(wǎng)絡(luò)區(qū)塊鏈平臺，底層由區(qū)塊鏈數(shù)據(jù)庫構(gòu)建；平臺的操作步驟如下：

步驟301，用戶向區(qū)塊鏈平臺管理員申請發(fā)布邏輯組態(tài)工程文件；

步驟302，管理員審批通過后可將邏輯組態(tài)工程文件編譯后的文件的相關(guān)信息形成發(fā)布摘要信息存儲到區(qū)塊鏈上，發(fā)布摘要信息可以根據(jù)發(fā)布單號進(jìn)行查詢。發(fā)布摘要信息包括存儲發(fā)布方a（監(jiān)控中心）和接收方b（plc）的地址，發(fā)布文件的哈希值等，并由區(qū)塊鏈各節(jié)點(diǎn)共同蓋上時間戳；

步驟303，plc下載邏輯組態(tài)工程文件后，根據(jù)發(fā)布單號將編譯后的文件哈希值和區(qū)塊鏈上的數(shù)據(jù)進(jìn)行比較，如果不一致，說明文件遭到篡改并向監(jiān)控中心報警。

步驟4，在組態(tài)工程文件運(yùn)行環(huán)節(jié)使用異構(gòu)冗余、多余度表決機(jī)制使得工程文件的執(zhí)行結(jié)果由多個異構(gòu)變體共同表決確定，在組態(tài)工程文件運(yùn)行環(huán)節(jié)使用異構(gòu)冗余、多余度表決隱匿被攻破的工業(yè)控制器的執(zhí)行結(jié)果，保證工業(yè)控制系統(tǒng)以正常工業(yè)控制器的執(zhí)行結(jié)果進(jìn)行輸出，使得異構(gòu)多變體被攻破的概率隨變體的數(shù)量呈指數(shù)上升，即針對異構(gòu)多變體工業(yè)控制系統(tǒng)的攻擊呈現(xiàn)小概率時間。

以上所示僅是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進(jìn)和潤飾，這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。