基于ICN的智能工業(yè)控制通信安全服務(wù)機(jī)制*

陳 征，章行健，施 勇，薛 質(zhì)

0 引 言

隨著國(guó)家對(duì)科技創(chuàng)新的重視，互聯(lián)網(wǎng)得以在中國(guó)蓬勃發(fā)展，也成為第三產(chǎn)業(yè)的重要一環(huán)。2016年，李克強(qiáng)總理提出制定“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃，即利用互聯(lián)網(wǎng)平臺(tái)和信息通信技術(shù)，把互聯(lián)網(wǎng)和包括傳統(tǒng)行業(yè)在內(nèi)的各行各業(yè)結(jié)合起來(lái)，在新的領(lǐng)域創(chuàng)造一種新的生態(tài)。由此可以看出，傳統(tǒng)產(chǎn)業(yè)在互聯(lián)網(wǎng)的影響下正面對(duì)著前所未有的機(jī)遇。而電力行業(yè)作為人們生活和工作必不可少的一環(huán)，更需要銳意進(jìn)取。由于現(xiàn)代電網(wǎng)正面臨著能源浪費(fèi)、可靠性低、可再生能源支持少等一系列重大挑戰(zhàn)，智能工業(yè)控制應(yīng)運(yùn)而生。當(dāng)前，智能工業(yè)控制正推動(dòng)著我國(guó)電網(wǎng)向著自動(dòng)化、信息化、數(shù)字化、交互化發(fā)展。

智能工業(yè)控制的理念最早可以追溯到2006年，當(dāng)時(shí)美國(guó)的IBM公司首先提出這一概念。智能工業(yè)控制并不是一個(gè)單獨(dú)的設(shè)備、應(yīng)用、系統(tǒng)或網(wǎng)絡(luò)，也并沒(méi)有一個(gè)統(tǒng)一的官方定義，但其核心思想是明確的，即利用通信技術(shù)和信息技術(shù)來(lái)優(yōu)化從供應(yīng)者到消費(fèi)者的電力傳輸和配電。

以電網(wǎng)為例，隨著電網(wǎng)中現(xiàn)代通信技術(shù)的應(yīng)用和對(duì)智能化、互動(dòng)化要求的不斷提高，在智能工業(yè)控制發(fā)展中，信息安全防護(hù)逐漸成為一大難點(diǎn)。信息安全問(wèn)題主要表現(xiàn)在外來(lái)用戶(hù)入侵、內(nèi)部用戶(hù)誤操作以及網(wǎng)絡(luò)、存儲(chǔ)設(shè)備故障三個(gè)方面，對(duì)消費(fèi)者、公用事業(yè)的威脅巨大。例如，在高級(jí)量測(cè)體系（AMI）實(shí)現(xiàn)中，智能電表會(huì)自動(dòng)收集大量信息，并將信息傳送到電力公司、消費(fèi)者和第三方服務(wù)提供商，而這些數(shù)據(jù)可能包含侵害個(gè)人隱私的個(gè)人識(shí)別信息。不僅如此，攻擊者還可以把對(duì)網(wǎng)絡(luò)的攻擊方式也輕易應(yīng)用到電網(wǎng)中，如侵入公用事業(yè)公司的Web程序進(jìn)程，無(wú)線客戶(hù)端、WiFi、藍(lán)牙等無(wú)線設(shè)備也都會(huì)成為被攻擊對(duì)象，而這一切在傳統(tǒng)電網(wǎng)里很難發(fā)生。所以，智能工業(yè)控制在提高智能化的同時(shí)，削弱了安全性。

此外，國(guó)際電工委員會(huì)提出了IEC 61850標(biāo)準(zhǔn)，是電力系統(tǒng)自動(dòng)化領(lǐng)域唯一的全球通用標(biāo)準(zhǔn)[1]。IEC 61850標(biāo)準(zhǔn)的開(kāi)放性，雖然相對(duì)于傳統(tǒng)的變電站通信協(xié)議來(lái)說(shuō)不可替代，但也帶來(lái)了許多安全問(wèn)題。隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，基于IEC 61850的變電站系統(tǒng)面臨著越來(lái)越多來(lái)自互聯(lián)網(wǎng)的威脅。主要的原因是，這個(gè)協(xié)議的一般目的是解決不同制造商之間設(shè)備的互操作性，而不是安全問(wèn)題，會(huì)引起潛在的安全隱患。基于智能工業(yè)控制與IEC 61850標(biāo)準(zhǔn)兩個(gè)方面存在的安全隱患，本文提出使用信息中心網(wǎng)絡(luò)來(lái)解決電力數(shù)據(jù)傳輸中的安全性問(wèn)題，并提出一種輕便、可靠、易于實(shí)行的數(shù)據(jù)加密算法，從而提高智能工業(yè)控制在信息傳輸中的安全性。

互聯(lián)網(wǎng)時(shí)代，智能工業(yè)控制正扮演著越來(lái)越重要的角色。這不但給人們的工作帶來(lái)了全新變革，而且為人們的生活方式提供了全面的升級(jí)改造。但由于智能工業(yè)控制的開(kāi)放性、多元化和IEC 61580標(biāo)準(zhǔn)的安全隱患，使得信息安全問(wèn)題日益嚴(yán)重，也使得我們不得不對(duì)智能工業(yè)控制的安全隱患提高重視。一旦電網(wǎng)遭受外部攻擊，出現(xiàn)信息泄露等安全事故，將會(huì)對(duì)用戶(hù)和社會(huì)帶來(lái)不可估量的風(fēng)險(xiǎn)。信息化在智能工業(yè)控制中具有非常重要的作用，但目前大部分研究著重于拓展新功能和數(shù)據(jù)挖掘，對(duì)安全性的關(guān)注尚不充足。

1 智能工業(yè)控制通信系統(tǒng)現(xiàn)狀與安全需求

1.1 智能工業(yè)控制通信與數(shù)據(jù)采集方式

以電網(wǎng)為例，近年來(lái)，由于IEC 61850安全方面的薄弱性，國(guó)際電工委員會(huì)后來(lái)補(bǔ)充了IEC 62351協(xié)議，，增加了一些條目用于保證IEC 61850通信的安全。IEC 62351標(biāo)準(zhǔn)指出，電力系統(tǒng)即使在網(wǎng)絡(luò)環(huán)境極其復(fù)雜的情況下，也必須能夠提供數(shù)據(jù)機(jī)密性和數(shù)據(jù)保密性的功能，且還需要實(shí)現(xiàn)身份認(rèn)證的功能[2]。該標(biāo)準(zhǔn)通過(guò)握手協(xié)議和記錄協(xié)議，提高了通信的機(jī)密性和完整性。

為了提高IEC 61850安全性，在國(guó)內(nèi)研究中，盛兆勇提出了在應(yīng)用層和傳輸層之間引入改進(jìn)的握手協(xié)議和記錄協(xié)議，以減少傳輸數(shù)據(jù)和實(shí)現(xiàn)快速連接功能。使用該解決方案既可滿(mǎn)足電力系統(tǒng)對(duì)實(shí)時(shí)性和可靠性的要求，又能滿(mǎn)足安全要求，改進(jìn)了IEC 61580 標(biāo)準(zhǔn)[3]。

而在ICN與IEC 61850下的智能工業(yè)控制相結(jié)合提高安全性方面，國(guó)外做出了可貴探索，提出了可行的解決辦法。對(duì)于通信安全機(jī)制的漏洞，Ye Yan等總結(jié)網(wǎng)絡(luò)安全的要求和智能工業(yè)控制通信中的潛在漏洞，探究智能工業(yè)控制通信中網(wǎng)絡(luò)安全的當(dāng)前解決方案[4]。Konstantinos V. Katsaros等基于實(shí)際電網(wǎng)的拓?fù)浣Y(jié)構(gòu)[5]，在荷蘭的配電網(wǎng)絡(luò)中通過(guò)模擬量化ICN對(duì)智能工業(yè)控制的性能優(yōu)勢(shì)，從而迅速克服電網(wǎng)的潛在故障。Keping Yu指出了一種AMI中的密鑰管理方案，提高了數(shù)據(jù)通信的安全性[6]。

IEC 61850標(biāo)準(zhǔn)是電力系統(tǒng)自動(dòng)化領(lǐng)域唯一的全球通用標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)實(shí)現(xiàn)了智能變電站工程運(yùn)作的標(biāo)準(zhǔn)化。它在智能變電站設(shè)立了SCD（Substation Configuration Description，全站系統(tǒng)配置文件），可以描述整個(gè)變電站的結(jié)構(gòu)和布局，對(duì)智能工業(yè)控制的發(fā)展具有深遠(yuǎn)的意義。

如圖1所示，IEC 61850分為變電站層、間隔層或單元層、過(guò)程層。接口主要用于三層之間以及同一層之間的相互通信[7]。過(guò)程層的主要功能是通過(guò)邏輯接口4和接口5與間隔層進(jìn)行通信，從而實(shí)現(xiàn)全功能。隔離層可以使用間隔的數(shù)據(jù)來(lái)操作主設(shè)備，通過(guò)邏輯接口3實(shí)現(xiàn)間隔層內(nèi)的通信。接口4和接口5與流程層進(jìn)行通信，接口1和接口6與變電站層進(jìn)行通信。變電站層主要有兩部分功能，進(jìn)程相關(guān)變電站的功能和接口相關(guān)的變電站功能。IEC 61850主要是為了實(shí)現(xiàn)以下幾個(gè)主要目標(biāo)：互操作性、自由配置和長(zhǎng)期穩(wěn)定性。互操作性的目的是使不同制造廠家的設(shè)備協(xié)同工作并相互交換信息。自由配置的目的是可以滿(mǎn)足SAS功能和性能要求，且可以靈活進(jìn)行配置，將功能自由分配到裝置中，支持用戶(hù)集中式（如RTU）和分散式系統(tǒng)的各種要求。長(zhǎng)期穩(wěn)定性的目的是具有可擴(kuò)展性，能夠隨著技術(shù)的發(fā)展而發(fā)展，伴隨著系統(tǒng)的需求而變化。

圖1 IEC 61850標(biāo)準(zhǔn)接口模型

1.2 智能工業(yè)控制安全需求

智能工業(yè)控制信息安全需求，主要分為以下五個(gè)方面：物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、環(huán)境安全和數(shù)據(jù)安全。保護(hù)智能工業(yè)控制的信息安全，最終的目的是保障信息的機(jī)密性、完整性、可用性、不可抵賴(lài)性以及對(duì)信息資源的控制性。

物理安全。物理安全的防護(hù)目標(biāo)是防止有人通過(guò)破壞業(yè)務(wù)系統(tǒng)的外部物理特征，使系統(tǒng)達(dá)到停止服務(wù)的目的，或防止有人通過(guò)物理接觸的方式對(duì)系統(tǒng)進(jìn)行入侵。物理設(shè)備是智能工業(yè)控制運(yùn)行的基礎(chǔ)。對(duì)企業(yè)而言，物理設(shè)備是存放數(shù)據(jù)的載體，且造價(jià)十分高昂，一旦遭受破壞，后果不堪設(shè)想。如果物理設(shè)備失去了安全性，數(shù)據(jù)的安全性將無(wú)從談起。因此，必須建立相應(yīng)的數(shù)據(jù)備份系統(tǒng)，尤其應(yīng)對(duì)重要數(shù)據(jù)予以備份。備份方式可采用完全備份和差異備份相結(jié)合的方式，可根據(jù)具體情況采取相應(yīng)的措施。

網(wǎng)絡(luò)安全。電力信息網(wǎng)是一個(gè)相當(dāng)復(fù)雜的網(wǎng)絡(luò)，包含調(diào)度、辦公、外聯(lián)等多類(lèi)網(wǎng)絡(luò)體系。在這些網(wǎng)絡(luò)中，要根據(jù)不同的網(wǎng)絡(luò)安全設(shè)備，設(shè)置對(duì)應(yīng)的安全權(quán)限級(jí)別。另外，需要保護(hù)網(wǎng)絡(luò)邊界，防止非法的網(wǎng)絡(luò)接入和外聯(lián)，以免攻擊者盜用內(nèi)部資源。網(wǎng)絡(luò)安全對(duì)電力系統(tǒng)十分重要，因?yàn)樗鼉?nèi)含了巨量的電力信息資源。所以，需要對(duì)其配置符合高安全性的防火墻和病毒防護(hù)系統(tǒng)。當(dāng)然，在設(shè)計(jì)安全級(jí)別和配置安全系統(tǒng)的過(guò)程中，還需適當(dāng)平衡網(wǎng)絡(luò)的效率性和安全性的關(guān)系，不能為了安全失去了效率。

應(yīng)用安全。隨著互聯(lián)網(wǎng)的發(fā)展，應(yīng)用對(duì)于智能工業(yè)控制的沖擊十分明顯?？梢灶A(yù)見(jiàn)，以后在電力企業(yè)中，應(yīng)用的推廣發(fā)展將會(huì)是一個(gè)趨勢(shì)。但是，應(yīng)用的安全問(wèn)題也會(huì)暴露出來(lái)。一方面，企業(yè)要優(yōu)化內(nèi)控機(jī)制，防止企業(yè)員工錯(cuò)誤或者惡意的操作導(dǎo)致應(yīng)用系統(tǒng)出現(xiàn)安全問(wèn)題；另一方面，要提升應(yīng)用系統(tǒng)自身的安全性，防止外部的黑客攻擊、木馬和病毒的滲透等。

環(huán)境安全。電力資源對(duì)環(huán)境方面有著舉足輕重的影響?；鹆Πl(fā)電是我國(guó)最主要的發(fā)電方式，占到7成以上的發(fā)電量。而火力發(fā)電主要使用的原材料是煤炭，會(huì)加大碳排放量、加劇溫室效應(yīng)等環(huán)境污染。此外，由于煤炭是不可再生資源，短時(shí)間難以補(bǔ)充。所以，智能工業(yè)控制的發(fā)展方向是要尋求可再生的清潔能源，并建立與之相匹配的電網(wǎng)系統(tǒng)，從而保障環(huán)境安全。

數(shù)據(jù)安全。數(shù)據(jù)安全是本課題對(duì)智能工業(yè)控制安全機(jī)制重點(diǎn)探討的內(nèi)容。數(shù)據(jù)的機(jī)密性、完整性和可用性，是信息安全的核心原則，必須應(yīng)用到智能工業(yè)控制中，保證各個(gè)目標(biāo)的順利實(shí)現(xiàn)。對(duì)于機(jī)密性，可以通過(guò)加解密算法、身份認(rèn)證等方式對(duì)數(shù)據(jù)自身進(jìn)行保護(hù)。對(duì)于完整性，需要通過(guò)適當(dāng)?shù)陌踩刂剖侄未_保收集的數(shù)據(jù)不受干擾。另外，對(duì)于收集到的數(shù)據(jù)，要采取數(shù)據(jù)防護(hù)方式，如數(shù)據(jù)備份、磁盤(pán)陣列等信息存儲(chǔ)技術(shù)，對(duì)數(shù)據(jù)進(jìn)行完整性防護(hù)。對(duì)于可用性，即通過(guò)適當(dāng)?shù)陌踩刂?，阻止或者最小化如DDoS等攻擊手段的影響，進(jìn)而提升電網(wǎng)的可用性。

2 基于ICN和NDN的智能工業(yè)控制新型通信與安全技術(shù)

2.1 信息中心網(wǎng)絡(luò)ICN技術(shù)

由于基于IEC61850的智能工業(yè)控制在安全性方面有較大的缺陷和安全需求，本文準(zhǔn)備采用新型的智能工業(yè)控制安全技術(shù)——信息中心網(wǎng)絡(luò)（Information-Centric Networks，ICN）與之結(jié)合，從而提高IEC61850的安全性。

ICN即信息中心網(wǎng)絡(luò)，顧名思義是把網(wǎng)絡(luò)中所有的東西都看成信息。它摒棄了傳統(tǒng)主機(jī)互聯(lián)的模式，把信息作為核心對(duì)象，即以數(shù)據(jù)內(nèi)容作為互聯(lián)，通過(guò)數(shù)據(jù)的名稱(chēng)標(biāo)識(shí)所有的信息單元。網(wǎng)絡(luò)中傳遞和儲(chǔ)存的數(shù)據(jù)包都是包括數(shù)據(jù)名稱(chēng)和數(shù)據(jù)內(nèi)容的，網(wǎng)絡(luò)可以識(shí)別信息單元但無(wú)法分析內(nèi)部的數(shù)據(jù)意義。但是，上層應(yīng)用的產(chǎn)生方和需求方卻可以分析。

在ICN中，各個(gè)節(jié)點(diǎn)和程序的運(yùn)行，是以各種信息請(qǐng)求和應(yīng)答行為作為驅(qū)動(dòng)的，而它的網(wǎng)絡(luò)功能是負(fù)責(zé)協(xié)調(diào)命名數(shù)據(jù)的傳輸和緩存，同時(shí)運(yùn)用優(yōu)化查詢(xún)正確的數(shù)據(jù)，從而快速響應(yīng)用戶(hù)需求。因此，程序和用戶(hù)只需關(guān)注命名數(shù)據(jù)本身，而不需關(guān)注信息塊的其他屬性。ICN的通信模型以信息為中心，取代了TCP/IP網(wǎng)絡(luò)中以地址為中心的方式，因此通信模式從主機(jī)到主機(jī)進(jìn)化為主機(jī)到網(wǎng)絡(luò)，安全機(jī)制建立在信息本身。

圖2為T(mén)CP/IP網(wǎng)絡(luò)結(jié)構(gòu)和ICN協(xié)議棧結(jié)構(gòu)。

圖2 TCP/IP網(wǎng)絡(luò)結(jié)構(gòu)和ICN協(xié)議棧結(jié)構(gòu)

2.2 命名數(shù)據(jù)網(wǎng)絡(luò)NDN技術(shù)

在這些ICN架構(gòu)中，本文選擇的是命名數(shù)據(jù)網(wǎng)絡(luò)（Named Data Networking，NDN）。NDN是在2010年獲得美國(guó)國(guó)家自然基金800萬(wàn)美元投資，專(zhuān)門(mén)為未來(lái)互聯(lián)網(wǎng)體系架構(gòu)研究的一個(gè)基礎(chǔ)信息中心網(wǎng)絡(luò)項(xiàng)目。近幾年，它成為了熱點(diǎn)，取得了引人矚目的發(fā)展。NDN由于項(xiàng)目理念具有先進(jìn)性、可行性以及已經(jīng)取得了實(shí)質(zhì)性進(jìn)展，正成為ICN將來(lái)體系架構(gòu)的主流。

安全機(jī)制大概分為以下三個(gè)步驟。第一，所有數(shù)據(jù)都需要簽名，包括數(shù)據(jù)內(nèi)容、路由信息等；第二，通過(guò)多路徑路由的方式減輕前綴劫持的影響；第三，NDN的消息只可以跟相關(guān)應(yīng)答數(shù)據(jù)交互。這種機(jī)制的優(yōu)點(diǎn)是成功實(shí)現(xiàn)了網(wǎng)絡(luò)傳輸和數(shù)據(jù)安全的分離，更具靈活性和方便性，真正符合數(shù)據(jù)請(qǐng)求的自然處理方式。

由圖3可知，NDN路由機(jī)制中維護(hù)著3張表，分別是轉(zhuǎn)發(fā)路由表（Forwarding Interest Base，F(xiàn)IB）、待處理請(qǐng)求表（Pending Interest Table，PIT）和數(shù)據(jù)包緩存（Content Store，CS）數(shù)據(jù)結(jié)構(gòu)。圖3中顯示了NDN節(jié)點(diǎn)的工作模塊，其中FIB用來(lái)尋找合適的轉(zhuǎn)發(fā)接口，CS則采用LRU緩存算法來(lái)緩存內(nèi)容數(shù)據(jù)包。對(duì)于PIT保存收取的interest包，當(dāng)其數(shù)據(jù)名稱(chēng)和收到的Data包名稱(chēng)匹配時(shí)，將會(huì)根據(jù)相應(yīng)的face接口傳遞回去。信息的轉(zhuǎn)發(fā)方式為最長(zhǎng)前綴匹配。

圖3 NDN/CCN節(jié)點(diǎn)工作模型

在數(shù)據(jù)傳輸過(guò)程中，Interest包和Data包在傳輸順序上是前者在前、后者在后，而在傳播路徑上，兩者恰好相反。Interest包在經(jīng)過(guò)每一個(gè)路由節(jié)點(diǎn)時(shí)，都有得到需要的Data包的可能，因此實(shí)現(xiàn)了逐跳式流平衡。NDN路由可支持多種路由協(xié)議，包括多播組播、內(nèi)容分發(fā)、移動(dòng)性和延遲容錯(cuò)網(wǎng)絡(luò)，而傳統(tǒng)的IP路由只采用最佳路徑防止循環(huán)。

原理上，NDN防止了網(wǎng)絡(luò)沖突和擁塞，實(shí)現(xiàn)了多鏈路路由，同時(shí)基于網(wǎng)絡(luò)內(nèi)緩存實(shí)現(xiàn)了就近獲取、負(fù)載均衡和容斷能力，提升了內(nèi)容分發(fā)的性能、效率和可靠性。安全性上，NDN的加密保護(hù)是基于數(shù)據(jù)包本身的，而TCP/IP是依靠傳輸端點(diǎn)和通道的保護(hù)，故NDN在路由安全性上更勝一籌。首先，所有數(shù)據(jù)和路由信息都需要簽名，如使用SHA-1或MD5產(chǎn)生哈希摘要，以保障數(shù)據(jù)的完整性，防止攻擊者偽造篡改；其次，通過(guò)多路徑路由減輕前綴劫持，因?yàn)槁酚善骺梢詸z測(cè)由前綴造成的異常劫持，并嘗試其他路徑檢索數(shù)據(jù)；最后，NDN消息未必發(fā)送到主機(jī)，這令?lèi)阂鈹?shù)據(jù)包很難定位到特定主機(jī)。這種機(jī)制實(shí)現(xiàn)了數(shù)據(jù)安全與網(wǎng)絡(luò)傳輸?shù)姆蛛x，降低了實(shí)現(xiàn)的難度。

2.3 基于ICN的通信安全機(jī)制

基于ICN/NDN的通信安全算法建立在網(wǎng)絡(luò)模型的傳輸過(guò)程中，算法描述如下：

下面具體解釋各步驟的含義，并分析這樣處理的意義。

在一次完成的數(shù)據(jù)傳輸過(guò)程中，首先假設(shè)需要發(fā)送數(shù)據(jù)的節(jié)點(diǎn)為A，接收數(shù)據(jù)的節(jié)點(diǎn)為B。

步驟1：各路由節(jié)點(diǎn)初始化。

步驟2：x代表各節(jié)點(diǎn)自己的私鑰，IDi代表第i個(gè)節(jié)點(diǎn)的ID號(hào)。該步驟表示各節(jié)點(diǎn)通過(guò)直接連接自己的ID號(hào)和私鑰生成hash值。通過(guò)秘密方式共享給拓?fù)渲惺苄湃蔚乃泄?jié)點(diǎn)。各路由節(jié)點(diǎn)中的簽名方式由第三方簽名、群體簽名[8]、環(huán)簽名[9]或者臨時(shí)身份進(jìn)行。

步驟4：A節(jié)點(diǎn)生成需要發(fā)送的information的hash值Hmac。值得注意的是，這里的information其實(shí)不應(yīng)單指數(shù)據(jù)內(nèi)容本身，還應(yīng)該包括路由信息、節(jié)點(diǎn)信息等內(nèi)容。

步驟5：A節(jié)點(diǎn)對(duì)information和h做一次異或，記作C。

步驟6：A節(jié)點(diǎn)向相鄰的所有路由節(jié)點(diǎn)廣播C、Hmac和A的ID號(hào)，三者放在一同一個(gè)數(shù)據(jù)塊中同時(shí)傳輸。

步驟7：B節(jié)點(diǎn)接收數(shù)據(jù)塊。

步驟8：B節(jié)點(diǎn)根據(jù)數(shù)據(jù)塊中的ID號(hào)從路由表中找出該ID號(hào)對(duì)應(yīng)的私鑰KiN。若無(wú)，則丟棄數(shù)據(jù)塊；若有，則根據(jù)B節(jié)點(diǎn)直接連接數(shù)據(jù)中的ID號(hào)與KiN生成hash值，記作h。

步驟9：B節(jié)點(diǎn)對(duì)C和h做一次異或，記作information′。

步驟10：B節(jié)點(diǎn)計(jì)算information′的hash值Hmac′。

步驟11～步驟13：B節(jié)點(diǎn)比較Hmac′與數(shù)據(jù)塊中的Hmac。若完全相等，則接收信息；否則，丟棄。

3 安全性分析

首先從理論上討論分析NDN在防范傳統(tǒng)網(wǎng)絡(luò)攻擊表現(xiàn)的安全性和可靠性。

在NDN網(wǎng)絡(luò)下進(jìn)行以下常見(jiàn)攻擊方式。

（1）DDoS攻擊

在TCP/IP網(wǎng)絡(luò)中，無(wú)法避免DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）攻擊，只能減小攻擊危害，故防御能力非常有限。但是，在NDN中，對(duì)DDoS的防御將大大加強(qiáng)。

DDoS的帶寬消耗型攻擊。在NDN中仿照IP網(wǎng)絡(luò)的攻擊方式，即向目標(biāo)主機(jī)發(fā)送海量Interest包，假裝試圖得到目標(biāo)主機(jī)上某一資源，實(shí)則想消耗主機(jī)的帶寬。但是，由于一旦目標(biāo)主機(jī)響應(yīng)了該請(qǐng)求并回復(fù)Data，Data經(jīng)過(guò)中間路由節(jié)點(diǎn)時(shí)將會(huì)被緩存，轉(zhuǎn)而由這些路由節(jié)點(diǎn)響應(yīng)攻擊者的請(qǐng)求，使得目標(biāo)主機(jī)減輕影響。

反射攻擊。攻擊者操縱肉雞，生成了海量IP數(shù)據(jù)包，并將數(shù)據(jù)包源地址設(shè)成目標(biāo)主機(jī)的IP地址，然后將其發(fā)往DNS服務(wù)器，試圖消耗主機(jī)的帶寬。由于NDN路由的特性，Data包是沿著Interest包走相反路徑的，因此不會(huì)被路由到目標(biāo)主機(jī)處。反射攻擊發(fā)揮作用的一個(gè)必要條件是攻擊者和目標(biāo)主機(jī)處于同一物理網(wǎng)絡(luò)。這個(gè)要求太過(guò)嚴(yán)苛，攻擊效果有限。

前綴劫持攻擊。NDN網(wǎng)絡(luò)對(duì)前綴劫持攻擊有著內(nèi)在的抵抗力。首先，所有路由信息需要發(fā)布者進(jìn)行簽名，這減少了被操縱路由器實(shí)施前綴劫持的可能。其次，相比TCP/IP網(wǎng)絡(luò)，NDN下的路由節(jié)點(diǎn)記錄了更多信息，能及時(shí)監(jiān)控信息轉(zhuǎn)發(fā)過(guò)程中的異常，因此通過(guò)檢查未被滿(mǎn)足或超時(shí)的Interest來(lái)判斷前綴是否被劫持簡(jiǎn)便易行。

（2）泛洪攻擊

興趣泛洪。攻擊者操縱肉雞向目標(biāo)路由器發(fā)送大量Interest，從而使目標(biāo)路由器PIT溢出，則該路由器便無(wú)法處理正常的Interest，同時(shí)使得某一內(nèi)容的consumer陷入困境。NDN下Interest無(wú)需簽名認(rèn)證，也沒(méi)攜帶源地址，故受到攻擊時(shí)很難在短時(shí)間內(nèi)確定攻擊源頭并采取措施。

緩存污染。只需驗(yàn)證內(nèi)容簽名，偽造的惡意內(nèi)容不難被發(fā)現(xiàn)并丟棄掉，所以理論上這種攻擊很容易檢測(cè)。然而，實(shí)踐中存在兩大問(wèn)題：由認(rèn)證簽名所造成的路由器過(guò)載問(wèn)題和信任管理問(wèn)題。因?yàn)闊o(wú)法由路由器驗(yàn)證所有的內(nèi)容簽名，將會(huì)給緩存污染帶來(lái)可乘之機(jī)。

綜上所述，NDN相比IP網(wǎng)絡(luò)，對(duì)DDoS攻擊具有很強(qiáng)的防范性，而在其他攻擊面前也有一些對(duì)抗的方法?？梢钥闯?，安全方面，NDN具有無(wú)可比擬的優(yōu)越性和先進(jìn)性，而這是本文采取NDN架構(gòu)的最重要原因。

4 仿真評(píng)估

本次實(shí)驗(yàn)運(yùn)行環(huán)境為Vmware 10下的Ubuntu14.04系統(tǒng)。需要安裝的軟件為NS-3、ndnSIM 2.1、Netanim、RGUI。這里，將使用ratio描述無(wú)算法鏈路時(shí)延與添加算法后的鏈路時(shí)延的比值。

當(dāng)其他條件一定時(shí)，改變數(shù)據(jù)的長(zhǎng)度進(jìn)行傳輸。hash算法使用SHA-1算法，鏈路速率一定，為1 000 Mb/s，鏈路跳數(shù)n為5，傳輸時(shí)延設(shè)成0，仿真擬合后得到仿真結(jié)果，如圖4所示。由圖4可知，在鏈路速率和鏈路跳數(shù)相同的情況下，隨著數(shù)據(jù)長(zhǎng)度的增加，添加算法后的通信機(jī)制效率更優(yōu)。

圖4 數(shù)據(jù)長(zhǎng)度L與ratio的關(guān)系

當(dāng)鏈路速率一定，為1 000 Mb/s時(shí)，使用長(zhǎng)度為1 MB的數(shù)據(jù)進(jìn)行傳輸，傳輸時(shí)延設(shè)為0，改變鏈路跳數(shù)n值進(jìn)行仿真，使用SHA-1算法，結(jié)果如圖5所示。由圖5可知，當(dāng)鏈路速率和數(shù)據(jù)長(zhǎng)度一定，且跳數(shù)較低時(shí)，添加算法后的通信機(jī)制效率更優(yōu)。此外，隨著跳數(shù)的增加，兩種機(jī)制的傳輸效率趨于一致。

圖5 鏈路跳數(shù)與ratio的關(guān)系

5 結(jié) 語(yǔ)

基于IEC61850的智能工業(yè)控制在安全性方面有較大的缺陷和安全需求，所以采用新型的智能工業(yè)控制安全技術(shù)與ICN結(jié)合，提高了IEC61850的安全性。ICN的通信模型以信息為中心，取代了TCP/IP網(wǎng)絡(luò)中以地址為中心的方式，因此通信模式從主機(jī)到主機(jī)進(jìn)化為主機(jī)到網(wǎng)絡(luò)，安全機(jī)制建立在信息本身，且轉(zhuǎn)發(fā)機(jī)制由存儲(chǔ)轉(zhuǎn)發(fā)進(jìn)化為緩存轉(zhuǎn)發(fā)，傳輸模式由“推”變?yōu)椤袄保黾恿酥鳈C(jī)移動(dòng)性支持，解決了海量數(shù)據(jù)傳輸難題。實(shí)現(xiàn)ICN的架構(gòu)很多，本文選擇的是NDN。針對(duì)TCP/IP設(shè)計(jì)上的缺陷和不足，提出從框架設(shè)計(jì)上根本解決的思路。該架構(gòu)會(huì)保留細(xì)腰沙漏模型，特點(diǎn)是靈活且多樣的路由策略配置以及基于數(shù)據(jù)內(nèi)容的安全機(jī)制。理論分析和仿真結(jié)果表明，將NDN與智能工業(yè)控制結(jié)合，具有良好的效率、安全性和可行性，理論價(jià)值與應(yīng)用前景良好。

[1] 任雁銘,秦立軍,楊奇遜.IEC 61850通信協(xié)議體系介紹和分析[J].電力系統(tǒng)自動(dòng)化,2000,24(08):62-64.REN Yan-ming,QIN Li-jun,YANG Qi-xu.Study On IEC 61850 Communication Protocol Architecture[J].Automation of Electric Power Systems,2000,24(08):62-64.

[2] 龍林德,李晶,劉莉莉.基于IEC 62351的變電站自動(dòng)化系統(tǒng)通信安全的研究[J].長(zhǎng)沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào),2010,9(03):1-6.LONG Lin-de,LI Jing,LIU Li-li.Research on Communication Security of Substation Automation System Based on IEC 62351[J].Journal of Changsha Telecommunications and Technology Vocational College,2010,9(03):1-6.

[3] 盛兆勇.IEC 61850安全性分析及解決方案研究[D].青島:中國(guó)海洋大學(xué),2013.SHENG Zhao-yong.Research on Security and Solutions of IEC 61850[D].Qingdao:Ocean University of China,2013.

[4] YE Yan,YI Qian,Hamid S,et al.A Survey on Cyber Security for Smart Grid Communications[J].IEEE Communications Surveys & Tutorials,2013,14(04):998-1010.

[5] Konstantinos V K,Wei K C,WANG Ning,et al.Information-Centric Networking for Machine-to-Machine Data Delivery:A Case Study in Smart Grid Applications[J].IEEE Network,2014,28(03):58-64.

[6] Keping Y,Mohammad A,Zheng W,et al.A Key Management Scheme for Secure Communications of Information Centric Advanced Metering Infrastructure in Smart Grid[J].IEEE Transactions on Instrumentation and Measurement,2015,64(08):2072-2085.

[7] 林達(dá).基于IEC 61850標(biāo)準(zhǔn)的變電站通信體系的研究[D].北京:華北電力大學(xué),2005.LIN Da.The Research of Communication Architecture in Substation Based on IEC 61850 Standard[D].Beijing:North China Electric Power University,2005.

[8] Chaum,David,Eugene Van Heyst.Group Signatures[C].Advances in Cryptology_EUROCRYPT’91,1991.

[9] Ronald L.Rivest,Adi Shamir,et al.How to Leak a Secret[C].ASIACRYPT,2001:552-565.