核電廠安全級DCS系統信息安全設計研究

李 勇，蘭 林，馬 權，侯榮彬，薛 凱，李 昂

（中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

0 引言

核電廠安全級DCS 系統（Nuclear Advanced Safety Platform Instrument Control system，簡稱NASPIC）的信息安全標準屬于IEC SC 45 A 標準體系。該體系自上至下分四層，從功能上對核電廠安全級DCS 系統提出了具體的信息安全防護要求，分別為總體要求、組織和程序要求、系統要求、部件要求。其中，第一層要求參考標準IEC 61513，第二層要求參考標準IEC 62645 和IEC 62859，第三層和第四層要求尚未有明確標準，設計中可以參考國內標準及RG 5.71標準。IEC 62645 標準對核電廠安全級DCS 系統信息安全的程序開發，信息安全分級以及系統整個生命周期的防護給出了總體原則和基本要求，該標準在核電廠安全級DCS系統中常常作為總體依據文件。

圖1 區塊鏈基礎框架Fig.1 Blockchain basic framework

NASPIC 系統是核電站的信息控制中樞，該控制系統在設計中往往采用部分工控領域的通用通信協議以及軟硬件結構設計方法[1,2]。通過前期研究發現，由于該類協議通信端口號固定、缺乏可信身份認證和訪問控制機制，因而在設計中采用這類協議，可能會在信息安全方面存在大量漏洞，導致關鍵數據容易被篡改和泄露。為保證核心數據的完整性和準確性，系統信息安全防護目標是在保證傳輸信息和控制指令在系統通信網絡中數據完整的基礎上，進一步要求通信傳輸實時性、數據不可篡改性，以及系統具有抵御外部多方攻擊，識別錯誤信息的能力。區塊鏈技術融合密碼算法[3]、數字簽名技術[4]、P2P 網絡技術[5]、共識算法[6]、智能合約[7-9]等多種技術組合創新，具有去中心/多中心化、數據防篡改、數據可追溯等特點[10]。作為一種新的可信大規模協作方式，它能夠解決多方共信問題，目前在物聯網系統安全等多個方面均有應用[10]。

本文根據IEC 62645 標準防護要求，基于區塊鏈技術具有的去中心化、數據不可篡改、數據可追溯等固有特性，將其與核領域信息安全防護要求相結合，分別從訪問控制、身份鑒別、關鍵數據加密和防篡改4 個方面對NASPIC 系統進行防護設計。構建具體的系統信息安全防御模型和設計相應的軟件算法，解決NASPIC 系統使用工業通用協議等可能引入的信息安全問題。

1 區塊鏈關鍵技術

區塊（也稱為節點）是區塊鏈式結構的基本數據單元，區塊鏈框架中每個塊被封裝為六層，具體包括數據層、網絡層、共識層、激勵層、合約層、應用層，其基礎框架層次如圖1 所示。

數據層用于實現鏈上數據存儲和加密，數據的不可篡改性和可追溯性由每個區塊頭包含的父區塊哈希值、時間戳、默克爾樹、隨機數來保證，即Block(Num)=(Block(Num-1),PreviousHash,TimesStamp,MerkleTree(N),nounce)。

其中，PreviousHash：父區塊哈希值，包含上一個區塊數據的哈希值；TimesStamp：存儲交易發生的時間戳；MerkleTree(N)：默克爾樹，存儲鏈上已有的交易的MerkleTree 的根；Nounce 則為隨交易過程生成的一個隨機數字。

網絡層確定節點的組網、數據傳播和驗證機制，實現節點間信息交互；共識層包含網絡節點間達成一致性的共識算法；激勵層包含發行、分配機制，有助于更多節點參與共識和交易驗證；合約層則封裝了以數字形式定義，滿足觸發條件自動執行的智能合約，即：

區塊鏈技術通過各層采取不同的機制來封裝一個節點的全部數據，每個節點對等地維護一個賬本并參與整個網絡系統的共識。當傳統系統中的節點行為不可控時，存在拒絕發送消息、發送錯誤消息等異常行為，從而導致系統故障。如果采用區塊鏈技術則能容忍和抵御部分錯誤信息，保證系統的正常運行。

2 工程師站安全設計

NASPIC 系統主要包括安全部分的現場控制站、傳輸站、安全顯示站以及非安部分的網關站、工程師站[2]。系統具體架構如圖2 所示。

2.1 工程師站權限安全設計

NASPIC 系統的配置文件由位于系統非安部分的工程師站下發，該文件編譯下裝成功后整套系統即可啟動運行。針對工程師站使用權限的重要性，以區塊鏈作為數據的載體，將用戶對工程師站的操作權限的策略寫入，策略加密并獲得共識后發布于鏈上，最后通過智能合約來對這些策略進行管理、控制。實際中每個用戶的具體操作權限由管理員調用站點智能管理合約進行定義并發布在控制鏈上。管理員可以對用戶的操作權限進行控制，包括創建、刪除和更新操作權限。具體框架模型如圖3 所示，該框架包括操作權限注冊、控制策略創建、操作請求、控制策略更新4 個階段。

圖2 NASPIC系統框架Fig.2 NASPIC System framework

圖3 工程師站安全訪問框架Fig.3 Security access framework of engineering station

2.1.1 操作權限注冊階段

1）用戶對工程師站進行操作時需要提前申請，管理員收到申請審核后，為用戶此次操作生成一對密鑰對。

2）將公鑰設為用戶在控制區塊鏈上的唯一身份標識，私鑰作為用戶身份證明。同時用私鑰將用戶該次的操作行為數據進行簽名，并將簽名附加在交易中。

3）首先管理員調用鏈上智能合約為用戶完成操作權限注冊，然后其他節點完成數字簽名、交易完整性、用戶身份合法性驗證，最后將此次操作行為數據同步到所有網絡節點。

算法1：權限注冊算法（Right Node Registration Algorithm，簡稱RNGA）。

輸入：用戶申請賬戶Racc

輸出：用戶操作私鑰Rpri_key rnga(Racc)

Rpub_key = Oreg();/*生成公私密鑰*/

Rpri_key = Oreg();

send Rpri_key to Racc;

set (right, Rpri_key);/*私鑰加密操作行為*/

getRegSmartContract(Racc,,Rpub_key);/*操作權限注冊*/

2.1.2 控制策略創建階段

1）當用戶要對工程師站進行操作時，首先將對應工程師站標識ID 和相應的操作發送給管理員，管理員則為用戶創建相應的操作權限，同時生成權限許可證書。

2）管理員使用用戶私鑰對操作權限和權限許可證書數字簽名后，調用智能合約注冊操作權限策略。其他數據網絡節點進行多重驗證后將其加入到控制鏈中，從而完成操作權限的授權。

算法2：控制策略記賬算法（Control Strategy Account Algorithm，簡稱CSAA）。

輸入：控制策略創建時間st_time；用戶申請賬戶Racc；工程師站標識ID MTS_ID；用戶私鑰Rpri_key；操作行為operdata。

輸出：操作通行證書CA；創建成功——True，創建失敗——False

2.1.3 操作請求階段

1）用戶得到對工程師站進行操作的權限許可后，通過私鑰解密工程師站對自己開放的權限許可證書。

圖4 文件發布系統框架Fig.4 File publishing system framework

圖5 系統安全訪問框架Fig.5 System security access framework

2）獲取許可證書后，用戶以該證書及公鑰作為輸入，在控制鏈上調用智能合約進行用戶身份、訪問權限合法性以及權限許可證書驗證，驗證通過則自動授權。鏈上節點自動同步記錄本次操作。

2.1.4 控制策略更新階段

1）管理員可以調用控制鏈上的控制策略創建服務，通過創建新的智能合約來更新權限子集，從而更新用戶操作權限。

2）鏈上所有操作數據均以時間為順序記錄于控制鏈，且同步于所有控制節點。

算法3：控制策略鏈上更新算法（Control Strategy Update Algorithm，簡稱CSUA）。

輸入：控制策略創建時間st_time；用戶申請賬戶Racc；工程師站標識ID MTS_ID；操作行為operdata。

輸出：更新成功——True，更新失敗——False

2.2 配置文件防篡改

一旦最終配置文件確定，將被發布于區塊鏈上，管理員調用區塊鏈上的智能合約給該文件寫入不可更改的權限合約，具體由數據層的數字簽名技術來實現。鏈上節點對數據完整性和數據發送者身份合法性校驗成功后，節點間達成一致共識，從而實現系統配置文件的防篡改和歷史下發配置文件的可追溯。流程框架如圖4 所示。

3 針對NASPIC系統安全設計

3.1 系統站間訪問安全設計

NASPIC 系統中安全部分的現場控制站、傳輸站、安全顯示站以及非安部分的網關站、工程師站具有不同的功能特征，周期運行時彼此間互相訪問，存在大量數據交互和處理的過程。針對可能受到的外部接入的攻擊，采用區塊鏈技術進行站間權限接入認證和訪問權限設定，防止外部非法數據輸入。系統每個站點由管理員寫入訪問其他站點的接入權限。周期運行中，在每次訪問時進行訪問權限認證，當某個站點訪問權限被非法修改或其他未經許可站點接入時，由于其他站點并不認可，單站點修改無效，故能有效抵御單站點被篡改影響系統功能正常運行問題。具體區塊鏈技術實現框架由工程師站安全訪問框架裁剪得到，站點安全訪問框架模型如圖5 所示。

3.2 系統環網通信安全設計

在新一代NASPIC 系統中引入工業環網通信架構，實現不同現場控制站、傳輸站、網關站以及安全顯示站站點間數據組網傳遞，具體框架如圖6 所示。環網能有效提高系統的通信能力，但是環網的收發方均只是讀取數據，且彼此互相隔離，環網上數據存在被篡改的風險。因此，可以將環網通信和區塊鏈技術相融合，進一步確保核心數據的準確性和完整性。

考慮到系統具有較高的實時性要求和環網通信位于較為可信的環境，且非對稱加密算法加解密耗時較長，因此在數據層數據加密算法采用對稱加密算法AES 算法。經驗證該算法單次加解密時間在20us ～35us 左右，同時耗費內存和CPU 使用率均較低，符合NASPIC 系統對CPU 使用率要求。該環網結構中共識節點為現場控制站、傳輸站、安全顯示站、網關站四類站點。根據系統站點數目不多且通信實時性要求高特點，共識層數據共識算法采用實用拜占庭容錯（PBFT）共識算法與RAFT 算法相結合來縮短節點間達成共識所需要的時間，同時還具備容錯能力。

圖6 系統環網通信框架Fig.6 System ring network communication framework

4 結束語

隨著區塊鏈技術與核領域信息安全技術的不斷交叉融合，針對核電廠安全級DCS 系統面臨的外部網絡威脅，基于區塊鏈技術的系統信息安全防護方案能夠解決越來越多的信息安全問題。本文參考IEC 62645 標準，針對NASPIC系統實際設計情況和系統在運行中可能遇到的網絡風險，設計了基于區塊鏈的訪問控制系統、文件發布系統及系統相關算法，實現工程師站使用權限可控制、工程師站下發的系統配置文件不可篡改及系統站間接入安全認證和站點訪問權限安全設定。此外，還將新一代系統通信環網結構與區塊鏈技術相結合，來提高系統通信的可靠性和通信數據的完整性。