工業自動化控制網絡綜述

張 宇

（中國電子科技集團公司第十研究所，成都 610036）

0 引言

自動化和過程控制在工業中扮演著重要的角色。隨著信息化的提升，工業自動化系統不能被看作是“孤島”，它本身是封閉的，但必須允許各設備之間的互連、通信和監控。工業自動化控制網絡（以下簡稱“工業網絡”）涉及現場設備、數字化控制器、各種軟件，以及外部系統之間通信協議的實施。

工業網絡覆蓋了一個國家多個關鍵基礎設施的領域，如制造業和發電行業。它們是高度專業化的，并利用各種定制化的協議，以達到對物理設備實時控制的目的。由于工業現場環境對自動化的依賴程度不斷提高，工業網絡的應用層面不斷拓寬。工業網絡與互聯網等傳統技術也進一步融合，工業網絡技術在各個方面取得了巨大的發展，不斷地有新的解決方案、新的標準、新的概念被提出，例如工業實時以太網的技術、工業無線傳輸技術、工業網絡信息安全保障技術等。

1 工業網絡技術特征與發展現狀

1.1 工業網絡的特征

工業的發展依賴于自動化控制技術，工業自動化在能源、軌道交通等領域發揮著重要的作用，通過分析生產流程的環節，設定準確的運行參數，可以保證工業系統安全穩定運行，同時還具備部分故障自動診斷、檢修、快速應急響應及恢復的功能。傳統工業自動化逐漸融入計算機技術，慢慢呈現出智能化的特征，而背后的通信網絡技術也在相應的不斷發展。

互聯網絡為大家眾所周知，而工業網絡則更加行業化。盡管隨著工業網絡的發展，如與以太網技術的結合，已經開始模糊工業網絡和傳統互聯網絡之間的界限，但在其核心，它們面向的對象不同，有著不同的需求。最本質的區別是，工業網絡以某種形式連接到物理設備，并用于控制和監控實體設備的行為和執行條件[1]。這導致了對一套不同于互聯網網絡的服務質量（QoS）的要求，比如對強確定性和實時數據傳輸的要求。參考相關資料，總結了工業網絡與傳統以太網的多方面要求及典型差異[2]。具體見表1，下面將詳細分析介紹。

表1 工業網絡和傳統網絡之間的典型差異Table 1 Typical differences between industrial networks and traditional networks

在應用方面，工業網絡應用于許多工業領域，包括制造、電力、能源等，幾乎在每一種需要對實體設備進行監視和控制的情況下，都會以某種形式安裝工業網絡。每個行業都有自己的一套稍有不同但通常相似的需求，可以大致分為以下幾個領域：離散制造、過程控制、運輸和嵌入式系統[3]。

在架構方面，工業網絡通常比傳統互聯網絡具有更深層次的架構。例如，一個企業的互聯網絡由局域網組成，局域網絡由主干網或廣域網對外連接。然而，一個小型工業網絡也傾向于有3層或4層乃至更多的層次結構，包括儀器儀表設備現場層、儀器與控制器連接、控制器互連的控制層，人機接口（HMI）和過程監控的監控層，生產管理網絡的生產管理層，企業進行管理網絡的企業管理層等。不同的協議和物理介質經常在每一層中使用，彼此之間采用網關設備來實現通信。工業網絡協議和技術的改進，導致了典型工業層次結構的一些扁平化，重點包括在較高層的組合中。然而，為了保持與被控制設備的功能層次結構的相關獨立性，網絡架構通常不會盡可能地扁平化。例如，發電設施內的“電力設備孤島”將保留獨立的控制網絡，以便在機械和控制水平上保持單元序列之間的邏輯分離。

在故障嚴重程度方面，由于工業控制網絡與物理設備相連，系統故障的影響要比互聯網領域嚴重得多。工業網絡故障的各種影響，包括設備損壞、生產損失、環境破壞、聲譽損失，甚至生命損失[1]。

在實時性方面，流程和設備運行的速度要求數據傳輸、處理和響應盡可能接近、及時。一般的規則是響應時間應該小于收集數據的采樣時間，特別是在閉環系統的情況下，信息傳遞的延遲會嚴重影響控制回路的性能?；ヂ摼W絡往往沒有任何響應時間要求，即使有，通常也在幾十毫秒或更確切地說是幾秒的范圍內[4,5]。工業自動化網絡的層次越高，對時間的要求就越低，在最高層次上就開始類似于互聯網絡。

在確定性方面，在工業網絡的最底層使用的數據不僅必須實時傳輸，而且必須以可預測的或確定性的方式進行。為了使網絡具有確定性，它必須能夠預測何時會收到對傳輸的應答。這意味著信號的延遲必須是有界的，并且具有低方差信號。響應時間的變化通常稱為時間抖動，由于時間上的變化對控制回路有負面影響，因而高實時、高可靠控制網絡需要低抖動。

在數據量方面，工業網絡中傳輸的信息定義為控制信息、診斷信息和安全信息[6]?？刂菩畔⒃趦x表和控制器之間發送，是控制器中實現的控制回路的輸入或輸出，如包括執行器位置、流體流量及驅動速度。診斷信息是由控制系統進行自我收集反饋，這種信息通常用于監測工廠設備的健康狀況，例如設備負荷率、溫度。安全信息用于實現關鍵功能，如設備的安全關閉和保護電路的運行。在工業級傳輸的數據包通常非常小，特別是在低級別的架構，可能只需要傳輸一個模擬量值或開關量值，以及一些系統開銷信息。這樣的傳輸通常只有幾個字節大小，例如單個二進制狀態或16位值的傳輸。另一方面，互聯網絡經常傳輸千字節或更多的數據，數據包大小至少從64字節開始。這種差異需要在網絡協議棧中使用不同的協議，主要集中在較小數據包的傳輸上。

在周期性方面，工業網絡既需要周期性采樣數據的傳輸，也需要非周期性事件的傳輸，如狀態或報警條件的變化。如上所述，這些信號必須在設定的時間段內傳輸。根據控制要求，不同設備采集和傳輸數據的采樣周期可能不同。針對隨時可能出現非周期性數據，為了方便此類傳輸，在工業網絡協議中較低的層次上研制了基于時鐘和總線競爭的通信協議，以確保所有數據都能及時傳輸，而在互聯網絡中不存在這樣的考慮。在傳統互聯網絡中，數據傳輸是“盡最大努力”實現的，在數據傳輸之前可能涉及隨機延遲。

在一致性方面，在工業網絡中，需要確定傳輸發生的時間和網絡中事件的順序，特別是在非周期性傳輸的情況下。通常這是通過使用時間戳和同步時鐘實現的，而不是采用通用協議實現的。

工業網絡由專門的組件和應用程序組成，如可編程邏輯控制器（PLC）、監控和數據采集系統（SCADA）和分布式控制系統（DCS）。工業網絡主要關心的是這些組件和系統內部以及它們之間的通信。工業網絡的核心由現場總線協議組成，在IEC61158中定義為“用于與工業控制和儀表設備（包括但不限于傳感器、執行器和本地控制器）通信的數字、串行、多點、數據總線”。工業控制網絡可以分為3代不同的、具有不同兼容性水平的網絡[7]。第一種是傳統的基于串行的現場總線協議，這類總線協議種類繁多，由諸多研究機構自研，具備特定的應用范圍等；第二種是基于以太網的協議；最新一代已經開始包含無線通信技術。以太網技術的結合，使得曾經截然不同的現場總線和互聯網技術越來越相似。這就產生了新的術語，如工業控制網絡，它不僅包括傳統現場總線的功能和要求，而且還包括基于以太網系統提供的附加功能和要求。

1.2 現場總線

現場總線系統的幾個前身早在20世紀70年代就開始研制，許多現場總線是并行開發的，分布于科研機構和不同的控制系統供應商，以滿足不同行業的不同用戶定義的需求。后來私有總線協議逐漸被開放協議所取代，協議的標準化提高了總線協議的可靠性和穩定性。

IEC最終公布了IEC61158中所有現有的標準，由于該標準繁雜冗余，緊接著推出IEC61784做出了說明。其中，唯一由IEC開發的部分是61158-2，它定義了物理層，并被大多數提供安全設計的現場總線所采用。以

太網作為TCP/IP和用戶數據報文協議（UDP）棧的一部分，最初在工業領域沒有得到太多人的接受。隨著以太網技術的發展，使其更適合于工業用途，特別是新的以太網標準（如802.3u快速以太網）增加的數據速率使創建實時以太網協議變得更容易。根本原由在于傳輸和重傳時間大大縮短，實時需求可以通過多種方法來實現[8]。于是誕生了許多現場總線技術，包括CAN、HAPT、PROFIBUS、Ethernet/IP、基 金 會 現 場 總 線FF、MODBUS/TCP、EtherCAT等諸多現場總線。

1.3 通信協議

工業通信協議的發展是由于終端用戶的要求，以及適應工業環境的新技術的出現而開始的，由國際標準組織（ISO）創建的開放系統互連（OSI）7層模型，包括物理層、鏈路層、網絡層、傳輸層、表示層、會話層和應用層。每一層都描述了將信息從一個應用程序發送到另一個應用程序所需的服務，以及層之間的接口，幫助定義和創建了通信協議和服務，實現標準的互連。常用的通信協議如下：

1）CANopen

CANopen是用于自動化的CAN的高水平擴展，被移交給自動化組織，該組織現在管理該協議。CANopen在歐洲EN50325標準和其他基于CAN的協議中被定義，CANopen標準為特定的實現，定義了廣泛的應用配置文件，如運動控制等。

2）EtherNet/IP

該協議是在TCP/IP之上，結合通用工業協議（Common Industrial Protocol， 簡 稱CIP） 作 為應用層實現，是面向工業自動化應用的工業應用層協議，在IEC61784-1中被定義。它最初由羅克韋爾自動化開發，由開放式設備網絡供應商協會（Open DeviceNet Vendor Association，簡 稱ODVA）和 其 他CIP現 場總線維護。CIP應用層的使用允許3個現場總線之間的緊密集成，并且可以通過網關設備實現它們之間的通信。盡管不是嚴格的確定性，Ethernet/IP通過使用優先消息和使用IEEE1588協議的時鐘同步提供實時性能。這些考慮與全雙工交換體系結構相結合，可以防止由于沖突造成的延遲，網絡中的操作基于計劃的計時而不是實際的計時，以抵消在網絡棧中遇到的延遲[8]。

3）PROFIBUS

由于西門子對PROFIBUS的認可，PROFIBUS可以說是最著名和應用最廣泛的現場總線之一。PROFIBUS由多個德國公司和機構聯合開發而成，是最早創建的現場總線之一。最初由不同的區域組織管理，這些組織聯合起來組成了PROFIBUS國際組織，現在負責維護EN 50170、IEC 61158和IEC 61784中定義的標準。在PROFIBUS中，定義了不同的配置文件，每個配置文件適用于不同的應用程序。

4）其他現場總線協議

目前，被IEC采納并被添加到61158和61784標準中的總線協議越來越多，工業領域較為知名的協議包括：Ethernet Powerlink（EPL）、EtherNet/IP、Profinet、EtherCAT、EPA等工業實時以太網協議[9]。

從工業網絡技術特征和發展歷程不難看出，重點是針對工業應用場景的需求，實現與保障現場業務系統之間的通信與數據傳輸，而針對工業網絡和業務數據的安全性，在設計之初并未重點考慮。

2 工業網絡技術信息安全研究

隨著工業4.0、工業互聯網和智能制造等概念的提出，現場工業系統也逐漸融合工業控制技術和信息通信技術。針對不同的工業應用場景需求，新的技術理念不斷出現，但是出現信息泄露與篡改的風險也越來越大。而國家頒布的等保2.0、關鍵基礎設施保護條例等標準法規逐漸落地，工業領域作為國家關鍵基礎設施領域，其對應的信息安全防護水平也應隨之提高。

2.1 工業信息安全保護目標與必要性分析

由于工業網絡中使用的技術越來越多的重疊，因而工業網絡中的安全與互聯網絡中的安全非常相似。雖然這兩個網絡都存在許多相同的威脅，但工業網絡的額外需求和考慮因素意味著安全性可能往往更難以實現。網絡安全的目標是提供機密性、信息的完整性、可用性、身份驗證、授權、可審核性、不可公開性，以及來自第三方保護[11]。這些特性的缺失或丟失，可能會導致網絡出現故障。

前文已述，工業網絡的故障會產生嚴重的影響。這種故障可能是偶然的，也可能是由惡意造成的，這些故障的預防分別由可靠性和安全性來提供。如果網絡本身不能或沒有通過其自身的可靠性考慮來解決這些缺陷，則必須采取額外的措施來防止訪問這些缺陷，并提高系統的安全性，確保工業網絡安全已成為確保國家關鍵基礎設施安全的先決條件。

2.2 通信與密碼技術融合難點與實現方案

隨著中國國密算法推出及逐漸得到國際認可，采用國家商用密碼算法（如SM系列）是互聯網絡中保護通信安全的核心部分，因為它們可以提供數據保密性、完整性和身份驗證功能。傳統網絡設備的使用，意味著許多已建立的技術，如IPsec和SSL協議，可以在更高的層次上使用。然而，控制設備的性質使得在較低級別實現安全特性存在實施困難的問題。工業設備的生命周期通常比企業網絡長得多，對可靠性的要求也高得多。因此，工業網絡設備中使用的技術通常必須是成熟的，經過了多層次驗證后的。此外，底層工業協議的局限性設計也給安全的實現帶來了困難。許多協議的低數據傳輸速率，意味著它們將受到安全通信所需的額外開銷的不利影響。傳統的安全協議，如IP sec、SSL和VPN，在工業自動化網終中并不實用，因為它們缺乏對多播和廣播傳輸的支持[12]。在工業網絡中使用密碼算法時，密鑰分發也存在問題，因為成千上萬的設備可能需要密鑰。許多密鑰分配方法的設想都涉及到設備調試期間的人工干預，而沒有考慮密鑰的壽命。密鑰的長度和使用的算法決定了解密敏感信息所需的時間長度，這兩者通常與要保護的數據的預期生存周期相匹配。

分析國家商用密碼算法使用標準要求，總結SM2/3/4算法主要應用側重點如圖1所示。在底層使用密碼算法與通信協議進行融合，針對數據保密性、數據防篡改、身份鑒別等方面的信息安全要求，采用SM3+SM4實現數據保密性要求，SM2+SM4實現他方身份鑒別功能要求，SM2+SM3實現數據防篡改的功能要求?；谝陨?，構建針對工業控制系統安全通信網絡的主動防御技術框架，保障整個通信網絡的可信性。針對實時性問題，一方面可以采用現場可編程邏輯門陣列（Field Programmable Gate Array，簡稱FPGA）并行技術代替CPU進行對稱密碼算法運算，實現數據硬件快速加解密。同時，在滿足系統功耗、內存余量的前提下，可以考慮將對稱密碼算法的運算步驟進行提前運算，將每步運算結果提前存儲于控制器內存中，綜合生成表格，在運算時只需查表即可，從而減少時延。通過以上兩方面技術的結合，可大幅度減少密碼算法帶來的時延，提高密碼算法在通信技術的適用性。

圖1 國密算法應用Fig.1 National secret algorithm application

密鑰管理這塊，可以采取關鍵區域密碼分發更新策略，設備彼此根據預定的策略通過交互完成密鑰生成、更新。針對非關鍵設備，密鑰可以在設計之初將密鑰分散存儲于固件內，在運維的周期內考慮不更新或長周期交互更新操作。

2.3 協議和設備的漏洞防護

目前，備受關注的研究領域是現有協議和設備的漏洞識別，以及分析現有網絡以檢測和減少漏洞的方法[13,14]。這種分析對于制定有效的安全政策是至關重要的，而這往往是成功地確保網絡安全的最困難的方面之一，安全策略的創建不僅需要對設備和協議進行仔細的分析，解決已識別的漏洞的方法，也必須與執行的成本和實用性相平衡，同時建立相關設備漏洞庫也是必要的。

通用通信協議并未重點考慮信息安全問題，如MODBUS/TCP端口固定、功能碼固定、明文傳輸等，因此在工控系統設計之初，可以采用基于“白名單”思想，為控制系統中的通信收發方設定“白名單”，彼此只需響應名單中的內容，名單內容包含IP地址白名單、功能碼白名單、IP/MAC綁定等內容，同時旁路設定網絡流量監測設備，防御如拒絕服務類似的信息安全攻擊。

針對通信設備的固有漏洞，考慮到優先保障功能安全，信息安全設計不占用太多的系統資源，低層級的控制設備的內生安全技術是未來保障設備和通信網絡信息安全的基石，而國內提出的可信計算3.0技術有助于解決此類問題[15-25]。具體如圖2所示，基于硬件可信根（TCM），實現從系統引導程序到操作系統內核，最后到應用層的主動完整性度量，保障通信設備的可信性，有效避免系統漏洞威脅。

圖2 主動可信度量Fig.2 Active credibility measurement

2.4 信息安全與功能安全協調要求

最后，信息安全實現不應該干擾人員或設備的運行操作。在信息安全保障過程中，需要平衡功能安全與信息安全（簡稱“兩安”）在資源占用、措施沖突、實時響應時間這一系列層面的沖突問題，進行“兩安”協同設計，保障工業業務系統的正常運行。

3 結論

工業網絡對控制現場物理設備的工業運作至關重要。自從第一個現場總線協議出現以來，工業網絡已經得到廣泛實施與運用，并在更大程度上被用于滿足各種各樣的控制、安全和工廠監控要求。

這里對工業網絡技術進行了系統性的綜述。首先，對比了傳統互聯網絡的特點，重點分析了工業通信網絡的特征；然后，介紹了主流的現場總線和通信協議相關內容；最后，就工業網絡發展趨勢中的工業網絡信息安全問題進行了探討，指出了對應的痛點，提出了對應的解決技術點。