(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221084234 4.1 (22)申请日 2022.07.18 (71)申请人 浙江大学 地址 310058 浙江省杭州市西湖区余杭塘 路866号 (72)发明人 汪京培　段斌斌　白少杰　江钰杰　 程鹏　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 专利代理师 刘静 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种工业控制系统主动可加载的访问控制 引擎 (57)摘要 本发明公开了一种工业控制系统主动可加 载的访问控制引擎， 包括TPM 可信环境度量模块、 细粒度访问控制功能模块、 异常分析与追溯模 块、 访问控制策略动态调整与接口模块。 访问控 制引擎以嵌入式方式部署在工控系统各节点， 对 节点内和流经节点的控制数据实施访问控制， 主 动监测异常行为， 有效识别控制数据的非授权访 问、 不合规访问、 数据篡改/阻断等行为。 同时， 访 问控制引擎与访问控制服务器联动， 在节点资源 或业务时延或业务连通性不满足工控系统可用 性要求时， 动态调整访问控制策略， 实现可用性 约束下的轻量化的防护效果。 本发 明解决了现有 工控系统访问控制策略未考虑工控系统可用性 优先的功能特征和异构数据的结构特征、 缺乏动 态调整机制等问题。 权利要求书3页 说明书7页 附图2页 CN 115189957 A 2022.10.14 CN 115189957 A 1.一种工业控制系统主动可加载的访 问控制引擎， 其特征在于， 包括如下模块： TPM可 信环境度量模块、 细粒度访问控制功能模块、 异常分析与追溯模块、 访问控制策略动态调整 与接口模块； TPM可信环境度量模块用于动态验证驻留节点的环境可信性， 防止内部操作者对操作 系统和应用软件的不 合规操作， 以及外 部恶意代码对驻留节点操作系统的非授权控制； 细粒度访问控制功能模块实现驻留节点的基于属性的访问控制功能， 包括基于属性的 访问控制功能实现、 访问控制策略制定、 访问控制标识和索引添加， 对访问请求数据提取属 性， 进行属性匹配和策略查询， 对异常行为动态阻断； 异常分析与追溯模块用于识别TPM可信环境度量模块、 细粒度访问控制功能模块和访 问控制策略动态调整与接口模块 发现的违背访问控制策略的异常行为， 分析异常行为的来 源节点身份、 异常行为类别、 被威胁对象身份、 威胁类型、 涉及的邻居节点， 形成异常信息条 目， 协助访问控制策略动态调整与接口模块追溯上 下文异常节点； 访问控制策略动态调整与接口模块功能包括与部署在监控网总线上的访问控制服务 器交互， 实现访问控制策略的定期备份上传， 接受来自访问控制服务器更新的访问控制策 略的下载； 还包括控制业 务可用性约束下的访问控制策略动态调整、 与邻居节点协同工作。 2.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎， 其特征在于， 该引擎以嵌入式方式， 部署在工业控制系统的各节点的冗余空间中， 这些节点包括工作 站、 应用服务器、 数据服务器、 历史服务器、 OPC服务器、 HMI、 控制服务器、 PLC、 RTU、 传感器； 在资 源冗余节点， 启动引擎的全部功能模块， TP M可信环境度量模块以部署TP M芯片实现， 无法部 署硬件时， 以软件代码模块实现； 细粒度访问控制功能模块、 异常分析与追溯模块、 访问控 制策略动态调整与接口模块以软件代码模块 实现； 在资源有限节点， 不部署TP M可信环境度 量模块。 3.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎， 其特征在于， 所述TPM可信环境度量模块将操作系统关键信息和应用软件关键信息保存在不可更改的内 存中； 按照一定频率， 主动验证运行中的操作系统和应用软件的关键信息的完整性， 验证方 法采用Hash值比对； TP M可信环境度量模块设置验证频率和启停标识 位， 用于后续访问控制 策略调整； 驻留节点通过环境可信验证后， TP M可信环境度量模块反馈结果到细粒度访问控 制功能模块， 验证不 通过时， 反馈 到异常分析与追溯模块。 4.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎， 其特征在于， 所述细粒度访问控制功能模块， 对驻留节点的控制程序实施访问控制； 由控制程序驻留节 点的访问控制引擎制 定控制程序的访问控制策略， 采用基于属 性的访问控制方法， 策略字 段组成结构是{启停标识位， 访问者身份， 被访问者身份， 操作， 功能属性， 功能约束}； 访问 控制引擎收到对控制程序的访问请求， 执行制 定的访问控制策略， 如果策略字段的每个属 性项都符合访问控制策略， 则允许访问， 否则阻断访问并预警； 对于控制服务器和控制器中 的控制程序， 与现场业务密切相关， 访问控制策略字段中的功 能属性和功能约束应重点描 述对控制程序的非授权操作和不合规操作； 对于工作站中的控制程序， 其功 能属性和功能 约束主要描述对控制程序的非授权操作和阻断。 5.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎， 其特征在于， 所述细粒度访问控制功能模块， 对传输的关键指令实施访问控制； 指令传输节点的访问控权　利　要　求　书 1/3 页 2 CN 115189957 A 2制引擎制 定传输关键指令的访问控制策略， 采用基于属 性的访问控制方法， 策略字段组成 结构是{启停标识位， 访问者身份， 被访问者身份， 操作， 功能属性， 功能约束}； 关键指令的 访问控制有两种模式： 一种是在发出端 执行访问控制， 对于控制器发送指 令到执行器， 控制 器的访问控制引擎检查待发出指 令的启停标识 位、 身份属性、 操作、 功能属性、 功能约束， 所 有属性项都符合访问控制策略才允许指令发出， 其中功能属性和功能约束规定了指令操作 的合规性， 根据执行器的功能属性可确定执行过程中的任务逻辑， 在功能约束中加入不合 规的操作条款； 另外一种 是在接收端执行访问控制， 接 收端的访问控制引擎检查收到指令 的启停标识 位、 身份属性、 操作、 功能属性、 功能约束， 所有属性项都符合访问控制策略才接 收并处理指令， 根据接 收节点的功能属 性能够确定发送来的指令的不合规的情形， 并加入 到功能约束中。 6.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎， 其特征在于， 所述细粒度访问控制功能模块， 支持控制程序和传输指令的完整性校验； 静态控制程序由 TPM可信环 境度量模块保证其完整性， 通过Hash校验实现； 在控制程序的执行与传输指 令的 交互过程中， 动态创建虚拟隔离环境， 将参与执行和交互的控制程序、 传输指令、 传输指令 的哈希值存入虚拟隔离环境， 避免非授权访问； 指令接 收者或指令传输的中间节点能够验 证指令数据是否被篡改； 所述细粒度访问控制功能模块定期通过访问控制策略动态调整与 接口模块上传驻留节点的访问控制策略到访问控制服务器备份， 发现异常时， 将异常提交 到异常分析与追溯模块。 7.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎， 其特征在于， 所述异常分析与追溯模块， 确认收到的违背访问控制策略的异常行为， 重点归类分析未授 权访问、 不合规访问、 阻断篡改这三类异常行为的来源节点身份、 异常行为类别、 被威胁对 象身份、 威胁类型、 涉及的邻居节 点， 形成异常信息条目， 并与存储的异常数据库核对， 将分 析结果上报到访问控制策略动态调整与接口模块； 协助访问控制策略动态调整与接口模块 追溯上下文异常节 点、 定位故障； 接收来自访问控制服务器推送的异常数据库， 及时更新异 常数据库。 8.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎， 其特征在于， 所述访问控制策略动态调整与接口模块与访问控制服务器交互， 定期上传访问控制引擎制 定的访问控制策略， 并接受访问控制服务器对驻留节点的访问控制策略的加载； 交互过程 采用主流工业协议， 策略数据加密 传输。 9.根据权利要求1所述的一种工业控制系统主动可加载的访问控制引擎， 其特征在于， 所述访问控制策略动态调整与接口模块根据工控业务可用性约束动态调整驻留节点的访 问控制策略， 可用性约束包括 三个方面： 节点资源限制、 业 务时延要求、 业 务连通性要求； 节点资源限制： 访问控制引擎实时计算当前节点执行访问控制策略时的计算和空间资 源损耗， 当资源损耗超过节点剩余资源一定比例时， 降低或关闭TP M可信环境度量模块监测 频率， 减少访问控制策略数量， 避免节点崩溃； 业务时延要求： 访问控制引擎实时计算驻留节点执行访问控制策略时的时延增加情 况； 当时延不满足业务处理 时延要求时， 驻留节 点简化访问控制策略， 简化的方法是将非邻 居访问者以及与当前业务不相关的访问目标、 操作、 功能属 性的对应字段的启停标识位设 置为停止， 检索时跳过； 访问控制服务器 分析业务流经的节 点集合， 定位影响时延的若干节权　利　要　求　书 2/3 页 3 CN 115189957 A 3