現(xiàn)場總線通信安全的設計與實現(xiàn)

（3）在LLC與MAC之間插入一層獨立的加密棧，它對上（LLC）子層）提供加密解密服務，對下（MAC子層）調(diào)用數(shù)據(jù)傳送服務。這一加密棧功能單一，只涉及加密解密起始位置的判定和加密解密的具體實現(xiàn)。它避免了在其它層次集成加密解密功能時對原有協(xié)議功能的干擾與破壞，所以這是一種簡單有效的方案。因此我們選擇本方案。

下面我們分析一下嵌入加密棧后的數(shù)據(jù)流程，如圖4所示。

圖4 嵌入加密棧后的數(shù)據(jù)流程

加密棧只對數(shù)據(jù)進行加密，而不改變標識符和控制碼。對MAC層而言，它不會察覺數(shù)據(jù)已被加密，只將密文作為通常數(shù)據(jù)而與標識符、控制符一同分幀、校驗，交給物理層傳輸。在接收方的數(shù)據(jù)流動與之相反，加密棧此時行使解密功能，對上下層仍然是透明的。可見，加密模塊的加入，并不影響其它層次的工作，它的這種透明對于保持現(xiàn)有的協(xié)議完整性相當重要。

目前現(xiàn)場總線的層次結(jié)構(gòu)不是標準的OSI七層結(jié)構(gòu)[1]，有很多層并沒有被實現(xiàn)，所以選擇LLC以上的層次不具有通用性。對于各類總線，MAC層是一定存在的，加密棧一定可以調(diào)用MAC層的數(shù)據(jù)傳輸服務。雖然不同的總線協(xié)議有所不同，但是加密棧的概念對所有類型的總線都是適用的，因此這種方案具有通用性。

對于我們剛才提出的系統(tǒng)，要求每一節(jié)點實現(xiàn)加密通信。這樣，即使是從總線上竊取了數(shù)據(jù)，也無法得到有用的信息，于是通信安全得到保障。

2、方案的實現(xiàn)

我們選擇在LLC與MAC之間進行加密，具體的實現(xiàn)是利用硬件進行加密。硬件加密的優(yōu)點在于速度快，同時硬件的保密性更強，算法不容易被破解，當然硬件應當能支持多種加密算法以便于用戶選擇。

關(guān)于硬件加密的實現(xiàn)，可以參閱文獻[2]。文獻[3]對[2]文的不足之處進行了補充，文獻[4]提出了構(gòu)造偽隨機數(shù)進行加密的方法。（這一段不要）

三、更深入的問題

1、密鑰的分配

加密通信中，密鑰的分配與管理是相當重要的環(huán)節(jié)?，F(xiàn)場總線系統(tǒng)是為單一用戶所擁有管理的，密鑰的分配管理較為容易。系統(tǒng)管理員可以采用多種策略，不過由于設備的運算能力有限，而且硬件具有良好保密性，選取對稱的密鑰體系應該是足夠了，即一段總線上采用同一密鑰，既用于加密也用于解密，所有的節(jié)點都用這把密鑰進行加密解密。對稱密鑰系統(tǒng)有結(jié)構(gòu)簡單、實現(xiàn)方便的優(yōu)點。但是系統(tǒng)應當定期更換密鑰，根據(jù)運行情況高速密鑰長度和算法，這樣可以保證密鑰的安全。

2、性能分析

對于現(xiàn)場總線系統(tǒng)性能的要求主要是實時性。毫無疑問，增加了數(shù)據(jù)加密解密環(huán)節(jié)會增加設備響應時間，但是這種延遲是不是一定會影響工業(yè)所需的實時性呢？答案是未必，因為我們提出的方案是基于硬件加密的。硬件的運算速度可以滿足工業(yè)實時控制的需要，只要選擇適合系統(tǒng)要求的算法，方案的強健性與實時性都可以得到保障。

3、混合系統(tǒng)與系統(tǒng)互聯(lián)

混合系統(tǒng)指的是一個系統(tǒng)中既有需加密的節(jié)點又存在不加密的節(jié)點。例如一條總線上，關(guān)鍵設備通信時數(shù)據(jù)需要加密，而非關(guān)鍵設備數(shù)據(jù)不進行加密，于是信道上既有明文又有密文，這時就需要有一個預先的約定，使關(guān)鍵設備能識別所接收的數(shù)據(jù)是明文還是密文，并進行相應處理。對于明文則將解密棧屏蔽而把明文直接向上層傳送（這里體現(xiàn)出棧式加密結(jié)構(gòu)的優(yōu)點——功能獨立、可以選擇實現(xiàn)）。注意此時非關(guān)鍵設備不能接收關(guān)鍵設備數(shù)據(jù)（密文）。這實現(xiàn)上是一種分級的安全策略，需要在通信協(xié)議中規(guī)定標識位指明這種優(yōu)先級別。

混合系統(tǒng)的另一種情形是對不具有加密能力的設備也有通信加密要求，此時可通過提供硬件接口方式提供加密功能，這樣就能夠提供對原有系統(tǒng)的兼容，只要增加少投資就可大大提高敏感區(qū)域的安全性?；诮涌诘陌踩ㄐ欧桨溉鐖D5所示。

圖5 基于接口的通信加密策略

添加接口之后，總線網(wǎng)段上的數(shù)據(jù)便成為密文。這樣，沒有加密功能的設備能利用接口進行密文通信，在混合系統(tǒng)中也能實現(xiàn)統(tǒng)一的加密通信。采用添加接口的方法，成本會提高，時延也會有所增加，但對于需要保護原有投資而又有較強安全需求的用戶，卻是一種效的解決方案。

不同的現(xiàn)場總線網(wǎng)段之間，可以通過網(wǎng)橋相聯(lián)，系統(tǒng)的結(jié)構(gòu)與圖5相似。網(wǎng)橋中需要有兩條總線的加密接口，之上才是協(xié)議的確認與轉(zhuǎn)換過程。由于加密是在LLC以下實現(xiàn)的，所以它不會影響到協(xié)議轉(zhuǎn)換。

現(xiàn)場總線可以通過通信控制器與工廠內(nèi)部網(wǎng)相聯(lián)，通信控制器作為一個以太網(wǎng)節(jié)點接入以太網(wǎng)，數(shù)據(jù)通信通信控制器時不做解密工作，直接按原密文傳送，上位機作另一個節(jié)點與通信控制器進行密文通信，這就大大提高了以太網(wǎng)段上總線數(shù)據(jù)的安全性。與之相逆的過程中，上位機信息必須加密后才能進入以太網(wǎng)段，經(jīng)過通信控制器進入總線。這樣就能實現(xiàn)安全的遠程控制。

現(xiàn)場總線系統(tǒng)的通信安全問題有其自身的特點，一個完整的解決方案不是短時間能夠提出并實現(xiàn)的。雖然目前總線的信息安全問題還沒有得到廣泛的關(guān)注，但是，現(xiàn)場總線系統(tǒng)的開放互聯(lián)是未來發(fā)展的趨勢。所以，通信安全是企業(yè)現(xiàn)場代化進程中不能不考慮的重要環(huán)節(jié)，而只有從協(xié)議與實現(xiàn)兩個方面共同努力，才能得到盡可能好的解決方案。