基于可信计算的工业控制系统安全互联模型

基于嵌入式系统的工业控制CPS架构研究摘要：CPS是信息物理系统，是传统自动化控制系统应用新型科学技术所形成的新的产物，也是工业控制当中运用智能化的一个关键信息技术，在工业生产领域内发挥了越来越重要的作用。

运用此系统能够帮助提高工业生产效率，还能帮助减少生产成本，帮助提高生产质量水平，减少生产过程当中的质量事故。

本文通过对CPS架构进行详细研究，解决工业控制上的难题，促进CPS在工业领域内的全新发展，更进一步深入智能化的推广。

关键词：嵌入式系统；工业控制；CPS架构；研究Abstract: CPS is a cyber-physical system. It is a new product formed by the application of new science and technology in traditional automation control systems. It is also a key information technology using intelligence in industrial control. It has played anincreasingly important role in the field of industrial production. . Using this system can help improve industrial production efficiency, reduce production costs, help improve production quality levels, and reduce quality accidents in the production process. This paper studies the CPS architecture in detail, solves the difficult problems in industrial control, promotes the new development of CPS in the industrial field, and further promotes the promotion of intelligence.Key words: embedded system; industrial control; CPS architecture; research引言：随着信息社会的快速发展，CPS迎来应用的高潮期，受到了大家的广泛欢迎，对于CPS的推广应用成为社会关注的热点话题。

工业信息安全概念工业信息安全是指在工业系统中保护工业控制系统（Industrial Control Systems，简称ICS）和工业物联网（Industrial Internet of Things，简称IIoT）等相关信息系统免受未经授权使用、访问、修改、破坏或泄露的威胁的一系列措施和方法。

以下是一些与工业信息安全相关的概念：1. 工业控制系统（ICS）：指用于监控和控制工业过程的计算机系统，包括SCADA（Supervisory Control And Data Acquisition）系统和DCS（Distributed Control System）系统。

2. 工控安全：指为了保护工业控制系统免受未经授权访问、篡改、破坏等威胁的一系列技术措施和方法。

3. 工业物联网（IIoT）：指将传感器、设备、机器等连接到互联网的一种技术，用于实现智能制造、远程监控等应用。

4. 工业网络安全：指在工业网络中保护工业控制系统和工业物联网等相关信息系统免受网络攻击的措施和方法。

5. 远程访问控制：指用于限制访问工业控制系统远程接入的安全机制，确保只有授权的人员才能访问系统。

6. 身份验证和访问控制：指通过确保用户身份的真实性和控制对系统资源的访问来保护工业信息系统的安全。

7. 安全事件与信息管理（SIEM）：指用于监测、记录、分析和响应工业信息系统中的安全事件和信息的软件工具和流程。

8. 威胁情报（Threat Intelligence）：指收集、分析和应用与威胁相关的信息，以识别可能对工业信息系统构成威胁的活动和行为。

9. 安全运维中心（SOC）：为了对工业信息系统进行实时安全监控和响应而设立的组织或部门。

10. 工业安全标准：指用于规范工业信息安全的技术标准和管理要求，例如ISO 27001、IEC 62443等。

第41卷　第1期2006年2月 西　南　交　通　大　学　学　报JOURNAL OF S OUT HW EST J I A OT ONG UN I V ERSI TY Vol .41　No .1Feb .2006收稿日期:2005204229基金项目:国防科技重点实验室基金资助项目(51436050404QT2202);国家保密局基金资助项目(2002215);信息安全国家重点实验室基金资助项目(No .01201)作者简介:郑宇(1979-),男,博士研究生,研究方向为计算机安全.何大可(1944-),男,教授,博士生导师,电话:028*********,E 2mail:dkh_scce@home .s wjtu .edu .cn 文章编号:025822724(2006)0120063206支持可信计算的软件保护模型郑　宇1,　何大可1,2,　梅其祥1(1.西南交通大学信息安全与国家计算网格实验室,四川成都610031;2.西南交通大学网络通讯安全应用研究中心,四川成都610031)摘　要:借助可信计算的完整性检验、认证及访问控制和密封存储等关键技术,在现有PC 体系结构下提出了支持可信计算的软件保护模型.该模型利用PC 机US B 接口外接TP M ,结合基于动态口令的身份认证、基于角色的访问控制、代码移植和信道加密技术,从不同层次和角度来综合防止软件被非法使用和传播.与现有软件保护方案相比,本模型利用TP M 实现了用户和软件之间的相互认证,并通过身份映射的角色来控制不同用户对软件的使用权限.关键词:可信计算;软件保护;动态口令;基于角色的访问控制中图分类号:TP309 文献标识码:A Trusted Com puti n g 2Ba sed Secur ity M odel for Software Protecti onZHEN G Yu 1,　HE D a 2ke 1,2,　M E I Q i 2xiang 1(b .of I nf or mati on Security and Nati onal Computing Grid,South west J iaot ong University,Chengdu 610031,China;2.Research Center of Net w ork and Communicati on Security,South west J iaot ong University,Chengdu 610031,China )Abstract :W ith the hel p of the key technol ogies in trusted computing (T C )including integrity measure ment,access contr ol and seal st orage,a T C 2based secure model f or s oft w are p r otecti on was p r oposed .A trusted p latfor m module (TP M ),which is an extenti on of current US B port,is e mp l oyed in this model t o p revent s oft w are fr om illegal copying,unauthorized modificati on and i m p le mentati on of s oft w are .The technol ogies,such as dyna m ic pass word 2based authenticati on,r ole 2based access contr ol,code transf or mati on and channel encryp ti on .Compared with traditi onal sche mes,the p r oposed model i m p le ments mutual identificati on bet w een user and s oft w are via TP M ,and authenticati on mechanis m via r ole 2based access contr ol (RBAC ).Key words :trusted computing;s oft w are p r otecti on;dyna m ic pass word;RBAC 当前,计算机软件是计算机中最重要的计算平台和信息资源之一,但由于软件的易拷贝性,使它非常容易受到非法的侵害.如被非法拷贝、传播,以及被病毒或攻击者恶意篡改和访问.如何制定有效的软件保护技术[1,2]成为了计算机安全领域中重要的研究热点.1999年T CP A (trusted computing p latf or m alliance )[3]提出了可信计算的思想用以保护计算终端的安全.随后TCP A 更名为TCG (trusted computing gr oup )[4],并对可信计算标准[5]作出了相应改进.可信计算的问世对软件提出了新的要求:作为计算平台的软件必须鉴别用户身份,个人和平台的身份都清楚明了,西　南　交　通　大　学　学　报第41卷平台内各元素之间存在严密的相互认证,并保证软件的完整性、合法性以及配置的正确性.现有的数字水印技术[6]可解决软件版权的纠纷问题,却无法阻止盗版软件的使用和传播.近年来,基于软件狗和智能卡的软件保护技术[7]取得了一定的成功,但只侧重于防止软件被非法拷贝和传播,不能保证软件的完整性、合法性以及配置的正确性.同时,现有的软件保护理念均忽略了用户因素,软件作为计算平台既不能鉴别软件操作者的身份,又无法控制不同用户对软件的使用权限,因此,不能满足可信计算的要求.攻击者也可直接或利用病毒篡改软件结构,插入恶意代码,从而窃取计算机中存储的资源和用户输入的敏感信息.可信计算可作为数字版权保护的坚实基础[8],即可保证软件的完整性、合法性以及配置的正确性,从而防止软件被病毒或攻击者恶意篡改后加以利用,也可作为数字版权保护手段阻止软件被非法拷贝和传播.只有利用基于可信计算的身份认证、访问控制、信息封存和完整性校验等技术才能真正提供安全性高、全面且较细粒度的软件保护模型.TP M (trusted patfor m module )[9]作为可信计算平台的重要部件,通常要求和计算机主板集成一体,并和CRT M (core r oot of trust f or measure ment )一起组成T CB (trusted computing base )[5].但现有PC 的硬件体系和操作系统均不支持可信计算[8],要想建立基于可信计算的可信PC,意味着必须对现有PC 的软、硬件体系进行较大改动.为此I ntel 正在准备推出支持可信计算的PC 硬件体系,而微软也预计在2006年推出配套的操作系统NGSCB (next generati on secure co mputing base )[10].但出于各种原因即便可信PC 立即面世,用户、公司和运营商也不愿意立刻丢弃现有的PC 软、硬件设备.因此,可信PC 是未来的发展趋势,但必须经历与现有PC 共存并逐渐取代现有PC 的漫长过程.1　模型的工作原理 如图1所示,以US B 接口外接TP M 为硬件支撑,借助可信计算的完整性检验、认证及访问控制和密封图1　基于可信计算的软件保护模型结构Fig .1　A rchitecture of the security model f or s oft w are p r otecti on based on trusted computing存储等关键技术,本模型从多层次和角度来综合保护软件的完整性、合法性以及配置的正确性,防止软件被非法使用和传播.模型利用基于动态口令的认证机制[11,12]实现用户与软件之间的严密相互认证,并结合基于RBAC [13]的访问控制策略和密封存储技术实现对用户访问的较细粒度的控制.通过移植被保护软件的部分代码至TP M 内部,并用信道保护技术保障软件和TP M 的安全通信,可将TP M 与软件紧密绑定,防止攻击者的破译和越权使用.基于外挂式TP M 的软件保护模型原理如图2所示,TP M 通过US B 接口芯片,按照US B2.0协议与PC 机通信.TP M 内置Hash 算法、随机数发生器和对称/非对称加解密等功能模块,并带有RAM 和非易失性存储器(F LASH ),符合TP M1.2规范[9].图2　外挂式TP M 的工作原理Fig .2　Operati on p rinci p le of external TP M in the security model采用基于动态口令的身份认证方式鉴别用户的身份,并利用基于角色的访问控制方法映射出对应的权限.将软件各个模块的部分关键函数分别加密封存,并将加密密钥存储在TP M 内部的非易失性存储器中.待用户通过认证后,利用TP M 向PC 提供的相应密钥,PC 机在内存中解密并加载函数,从而获得使用该软件的相应权限.下面以包含3个模块的软件为实例说明模型的工作原理.将表1～3所示的用户信息、角色权限和软件模块信息以文件的形式存储在TP M 内部的F LASH 中,可防止非法用户对此类数据的读取.表1中的V i 和r i 分别为用户i 在注册过程中产生的随机数和校验因子,且V i =H (r P i )(详细含义参看2.1),其中H (x )表示对x 进行Hash 运算.表2中的Y 表示该角色可访46第1期郑宇等:支持可信计算的软件保护模型表1　用户信息表Tab .1　U ser inf or mati on in the model 用户名口令校验因子随机数角色U 1P 1V 1r 1,H (r 1)AU 2P 2V 2r 2,H (r 2)BU 3P 3V 3r 3,H (r 3)B 表2　角色的权限Tab .2　Authority of different r oles in the model角色模块1模块2模块n A Y Y Y B Y N Y C Y N N问对应模块,N 为不能. 表3中各个模块的密钥互不相同,只有具有合法权限的角色才可获取相应模块的密钥.同时,表3将被保护软件各个模块的部分关键函数的Hash 值以及相应配置信息的Hash 值存储在TP M 模块内部,用于验证被保护软件的完整性和配置的正确性.其中f ij 表示被保护软件中的第i 个模块的第j 个关键函数的部分代码,E i 为第i 个模块的配置信息.表3　模块信息表Tab .3　I nfor mati on of s oft w are module 模块密钥关键函数的Hash 值配置信息的Hash 值1k 1D 1=H (f 11f 12…)H (E 1)2k 2D 2=H (f 21f 22…)H (E 2)3k 3D 3=H (f 31f 32…)H (E 3)图3　软件保护模型中的访问控制策略Fig .3　Access contr ol policy in the model 图3以用户U 1为例描述了软件保护模型中基于动态口令认证和基于RBAC 授权的访问控制原理.TP M 根据以下映射关系控制用户对软件的使用:用户名→角色→权限→密钥→关键函数→软件模块.首先,T P M 和被保护软件相互校验各自程序的完整性.随后,用户U 1利用口令P 1向TP M 证明身份(具体的工作流程参看2.1节).在完成对U 1的授权后,TP M 向被保护软件提供角色A 可获取的3个模块中关键函数的解密密钥(k 1,k 2,k 3).PC利用该密钥集合在内存中解密并加载被封存的相应函数,从而可正确的执行该软件.由于各个模块的密钥各不相同,因此可实现对软件较细粒度的访问控制.具体控制流程为:U 1→角色A →(模块1,2,3)→(k 1,k 2,k 3)→(可执行代码)→软件功能.2　模型中的认证及授权过程图4　保护模型完整性校验、认证及授权过程Fig .4　I ntegrity measure ment,authenticati on andauthorizati on p r ocedure in the model 2.1　完整性互验证和身份互认证 如图4所示,TP M 与被保护软件在顺利检验完自身程序的完整性之后按以下流程进行完整性互验证和身份互认证:(1)被保护软件通过US B 接口向TP M 发送软件编号(S I D )、用户名(U I D )和验证请求(R q ).(2)TP M 根据U I D 从表1中取出相应的随机数r ,并对TP M 自身固件关键函数的代码(D TP M )计算:C 1=H (D TP M ) r .(1) (3)被保护软件利用事先备份的H (D TP M )还原r ,然后按式(2)计算:C 2=H [H (f 11f 12…f1n )H (f 21f 22…f 2n )H (f 31f 32…f 3n )r].(2) (4)TP M 根据S I D 取出预先存储在表3中的D 1,,D 2和D 3,计算H (D 1D 2D 1r 与返还的C 2比较.若相等,则证明双方代码均完整,TP M 要求被保护软件开始互认证过程;否则,TP M 中止本次连接.56西　南　交　通　大　学　学　报第41卷(5)收到检验结果后,被保护软件产生随机数R,并计算V =H (r P ),V ′=H (R P )和K =H (r ) R;然后向TP M 发送V R 和V ′ K .(6)TP M 根据U I D 从表1中取出相应的V 还原R,计算K =H (r ) R,并以此获得V ′.随后校验V ′=H (P R )是否成立.若等式成立则表明认证通过,TP M 按照如下方式更新表1中的认证参数:V ←V ′,r ←R,H (r )←H (R ).随后TP M 根据用户的角色利用表2映射出相应的权限,并从表3中获取对应模块的解密密钥,然后计算:I =E (K,{k i }A U I D R ),(3)式中:K 为认证过程(5)和(6)产生的会话密钥;A U I D 表示用户U I D 的权限信息;E (K,M )表示以K 为密钥加密消息,M (M ={k i }A U I D R ),{k i }为对应角色可获取的模块的密钥集合.被保护软件利用协商的K 解密I,检验其中包含的R 是否与自己发送的随机数一致.如相等则利用{k i }分别在内存中解密并加载对应模图5　被保护软件执行时与TP M 的交互过程Fig .5　Communicati on bet w een TP M and the p r otected s oft w are in the p r oposed model 块包含的被加密函数.若等式不成立则中止程序.2.2　代码移植与信道加密 将被保护软件的部分关键代码植入TP M (对应的运算在TP M 内部执行),并用信道加密和加扰技术保障通信安全,使被保护软件在没有TP M 的情况下不能被正确执行.如图5所示,认证通过后,被保护软件计算X =E (K,x r ),其中K 为认证过程中协商的会话密钥,x 为软件执行的中间参数(也是被移植函数的入口参数).TP M 利用K 解密X,如其中包含的r 与自己在认证过程中发送的r 一致,则在TP M 内部计算y =f (x );否则,TP M 中止与被保护软件的交互.f (x )为移植在TP M 内部的非线性函数,该函数具有一定的被调用频率,并包含算术与、或、异或,以及移位和加减运算,以较小的计算量换取出较高的非线性性.随后,TP M 计算Y =E (y ‖R,K ),并将Y 返还给软件.被保护软件解密Y,如其中包含的R 如与自己在之前认证过程中发送的一致,则将y 作为另一函数的参数继续执行;否则,程序中止执行.3　性能分析 (1)TP M 自身的安全性.完整性检验防止了TP M 的程序被修改;重要信息存储在TP M 模块的F LS AH 中,防止了非法用户读取敏感信息.(2)信道安全性.数据均未以明文方式在US B 信道上传输,各个模块的封存密钥均被协商的会话密钥加密后再传输.同时利用随机数和冗余数据使得传输的信息具有不规则性和不可预计性,难以分析.(3)用户口令的安全性.用户的口令在传输之前均和随机数进行了Hash 运算,基于Hash 函数的单向安全性,即便攻击者获得了V 或V ′,也不能从中推算出P .同时随机数和校验因子V 动态更新,使得认证过程可抵御重放和篡改攻击.(4)被保护软件的安全性.完整性检验防止了软件被篡改.代码移植技术使得被保护软件的部分运算必须在TP M 内部完成.基于动态口令的认证方法可防止用户口令被截获或重放.同时,将用户因素植入了软件保护模型,加大了软件被破译的难度.基于角色的访问控制和对关键函数的密封存储技术可提供较细粒度的软件保护措施,并防止合法用户对软件的越权使用.(5)认证的安全性.TP M 和被保护软件实现了双向认证,可防止攻击者伪装成其中的实体参与通信.同时,会话密钥包含的随机数R 和r 分别由被保护软件和TP M 生成,协商的密钥具有公平性和新鲜性,可防止因任何一方提供弱密钥而带来的安全隐患.(6)对可信计算的支持.模型中各个环节密切关联,且必须顺序实施,跳过其中任何一步都导致后面的过程无法被正确执行.例如,完整性验证过程使用的随机数在身份互认证过程中必须出现,而这2个过程中产生的随机数又参与了被保护软件和TP M 的动态交互过程.同时,用户通过TP M 和软件实现了严密66第1期郑宇等:支持可信计算的软件保护模型的相互认证,用户和软件平台的身份都清楚明了.身份认证、基于RBAC 的访问控制和密封存储技术构成了严格的访问控制机制.完整性校验保证了软件的完整性、合法性以及配置的正确性.因此,可防止软件被非法使用、篡改和传播,并满足可信计算的需求.(7)模型的工作效率.鉴于PC 丰富的计算资源和US B 较高的传输速率,软件保护的主要开销在于TP M 内部的计算时间以及TP M 和US B 接口芯片的通信时间.表4为选用S LE66型号的嵌入式安全模块作为TP M (通信速率为38.4kb /s )实现该软件保护模型的计算量和时间花销(包含通信和计算时间).协议中产生的随机数长度均为160B ,Hash 和加密函数分别选用SHA _1和3DES .表4　软件保护过程中的TP M 的计算代价Tab .4　Computati onal payl oad in TP M during the p r ocedure of p r otecti on保护阶段在线计算量在线计算时间/m s 完整性检验2次Hash 运算486认证及授权1次Hash 运算,1次加密运算227动态交互1次解密运算,1次加密运算105 用户购买软件时,软件生产商通过在TP M 内部的表1中增加1条相应的记录(包含用户名、口令和对应的角色)以完成对TP M 的初始化过程.由于每个软件对应的3个表占用的空间都非常小(通常为几百B ),而TP M 模块内部的F LASH 空间一般在8K B 左右.因此,如图6所示,同一TP M 模块内可存放多套与软件保护相关的信息(如表1～3),使得1个TP M 既可同时对多套软件进行保护,又可为多个用户共同使用.图6　TP M 对多个软件同时进行保护的策略Fig .6　Strategy f or p r otecti on on multi p le s oft w are offered by TP M in the secure model4　结　论 借助可信计算的完整性检验、认证及访问控制和密封存储等关键技术,在现有PC 体系结构下提出并实现了一种支持可信计算的软件保护模型.与现有软件保护方案相比,本模型中用户和软件之间存在严密的相互认证,不同身份的用户可拥有不同的软件使用权限,软件的完整性、合法性以及配置的正确性也得到了保证.该模型占用硬件资源少,计算负载轻,可抵抗现有的信道侦听、猜测口令和反汇编跟踪等攻击,并可适用于移动终端的软件保护.在可信PC 问世直至被人们广泛接受之前的相当长一段时间里,该模型提供了较细粒度的软件保护策略,从不同层次和角度来综合防止软件被非法使用、篡改和传播,为现有软件保护方案向基于可信计算的软件保护体系过渡提供了支持.参考文献:[1]　StytzM R,W hittaker J A.Soft w are p r otecti on:security πs last stand?[J ].I EEE Magazine on Security &Privacy,2003,1(1):95298.[2]　Zambreno J,Choudhary A,Si m ha R,et al .Flexible s oft w are p r otecti on using hard ware /s oft w are codesign techniques[A ].I n:Pr oc of 2004Eur ope Conf and Exhibiti on on Design,Aut omati on and Test[C ].Paris:I EEE Press,2004.6362641.(下转第96页)76西　南　交　通　大　学　学　报第41卷69参考文献:[1]　Rosenhol m D,Toreleg…rd K.Three2di m ensi onal abs olute orientati on of stereo models using digital elevati on models[J].Phot ogra mmetric Engineering and Re mote Sensing,1988,54(10):138521389.[2]　Pilgri m L J.Surface matching and difference detecti on without the aid of contr ol points[J].Survey Revie w,1996,33(259):2912304.[3]　Pilgri m L J.Robust esti m ati on app lied t o surface matching[J].I SPRS Journal of Phot ogrammetry and Re mote Sensing,1996,51:2432257.[4]　L i Z L,Xu Z,Cen M Y,et al.Robust surface matching for aut omated detecti on of l ocal def or mati ons using least2median2of2squares esti m at or[J].Phot ogrammetric Engineering and Remote Sensing,2001,67(11):128321292.[5]　周江文,黄幼才,杨元喜,等.抗差最小二乘法[M].武汉:华中理工大学出版社,1995.1042158.[6]　柴艳菊,欧吉坤.同时检测监测网的异常形变和粗差[J].大地测量与地球动力学,2003,23(1):64268.Cai Y J,Ou J K.Si m ultaneously detecting anomal ous defor mati on and gr oss err ors in a monit oring net[J].Journal of Geodesy and Geodyna m ics,2003,23(1):64268.[7]　於宗俦,李明峰.多维粗差的同时定位与定值[J].武汉测绘科技大学学报,1996,21(4):3232329.Yu Z C,L i M F.Si m ultaneous l ocati on and evaluati on of multidi m ensi onal gr oss err ors[J].Journal of W uhan Technical University of Surveying and M app ing,1996,21(4):3232329.[8]　杨元喜.异常影响诊断与抗差估计[J].测绘通报,1994(5):34236.Yang Y X.Outlier influence diagnostics and r obust esti m at or[J].Bulletin of Surveying and Mapp ing,1994(5):34236.(中、英文编辑:付国彬) (上接第67页)[3]　Trusted Computing Platf or m A lliance(TCP A).M ain s pecificati on versi on1.1b[DB/OL].htt p://www.transtedcomputinggr /s pecs/t m p/tcpa_main_tcg_architecture_vl_lb.gdf,2005204201.[4]　TCG.Trusted computing gr oup[DB/OL].htt p://www.trustedcomputinggr ,2004212201.[5]　TCG.TCG_1_0_architecture_overvie w[DB/OL].htt p://www.trustedcomputinggr /downl oads/TCG_1_0_A rchitecture_Overview.pdf,2005202212.[6]　孙圣和,陆哲明.数字水印处理技术[J].电子学报,2000,28(8):85290.Sun S H,Lu Z M.D igital water marking technol ogy[J].Chinese Journal of Electr onic,2000,28(8),85290.[7]　谢海涛,冯启明.US B软件狗的设计和固件编程[J].武汉理工大学学报,2004,28(2):2982301.Xie H T,Feng Q M.Design of US B s oftdog and fir mware p r ogra mm ing[J].Journal of W uhan University of Technol ogy, 2004,28(2):2982301.[8]　DR M.Trusted computing and operating syste m architecture[DB/OL].htt p://cr p /conf papers/CRP I T V44Reid.pdf,2005203202.[9]　TP M main part2:TP M structures[DB/OL].htt p s://www.trustedcomputinggr /downl oads/t pmwg mainrev62_Part2_TP M_Structures,2004212201.[10]　Evers J.M icr os oft revisits NGS CB security p lan[DB/OL].htt p:///article/04/05/05/HNngsc_1.ht m l,2005203205.[11]　Shi m izu A,Hori oka T,I nagaki H.A pass word authenticati on method f or contents communicati on on the I nternet[J].I E I CE Trans on Comm,1998,E812B(8):166621673.[12]　M anjula S,Akihir o S,Matu2tar ow N.Si m p le and secure pass word authenticati on p r ot ocol[J].I E I CE Trans on Comm,2000,832B(6):136321365.[13]　Sandhu R S,Coyne E J.Role based access contr ol models[J].I EEE Computer,1996,29(2):38247.(中文编辑:唐　晴 英文编辑:刘　斌)。

导读：OCS工业光总线控制系统将工业光总线技术和软件定义I/O技术应用于流程工业控制领域，实现了工业现场信号输入/输出和传输环节的技术创新，可以显著降低用户的项目建设成本（CAPEX）和运营成本（OPEX），简化自动化系统的工程设计，同时大幅缩短项目的建设时间。

1 引言众所周知，自动化系统在流程行业被称为工业大脑，因此系统的设计、施工、调试和投运都是重点关注的部分，自动化系统的整体架构以及现场信号的有效传输都是工程设计的重中之重。

在自动化系统的传统设计中，现场设备（如仪表、控制阀等）是通过铜制的仪表电缆和控制系统进行连接，但是，由于技术的限制，在实际的工程应用中，这个看似简单的连接过程，还需要有额外的工程设计才能实现，现场设备的信号传输到控制系统需要经过现场接线箱、电缆桥架、端子柜（对于本安设计的仪表系统还需要有安全栅柜）、I/O机柜等一系列中间环节才能完成。

由于现场设备的信号类型种类繁多，所以在控制系统的设计中，还需要考虑配置相应种类的I/O模块，才能实现现场信号有效地接入到控制器。

这种传统的方式会大幅增加用户的项目成本，影响项目的快速交付，同时增加控制系统备品备件的成本，项目建设过程中的设计变更以及投运后的项目改造也会变得很麻烦。

另一方面，长期沿用的基于铜制仪表电缆传输弱电模拟信号的方式，存在信号容易受到干扰、传输效率低（一根仪表电缆只能传输一路现场信号）、无法实现冗余等诸多不利因素。

OCS工业光总线控制系统融合了工业光总线技术和软件定义I/O技术，可以从根本上解决上文所说的所有问题。

首先软件定义I/O技术的使用，可以仅用一种I/O模块，通过软件定义的方式来改变每个I/O通道的信号类型，从而适配于不同信号类型的现场设备（仪表或控制阀），这意味着可以从根本上消除传统工程设计中的现场设备和控制器之间的信号编排（Marshalling）环节，与之相对应的端子柜和繁琐的接线工作量也就不复存在了，可以降低项目成本并缩短施工周期。

工业互联网平台的安全性与可信性评估随着信息技术的不断发展，工业互联网平台已经逐渐成为现代工业领域的重要组成部分。

然而，随之而来的是面临的安全威胁和可信性问题。

因此，对于工业互联网平台的安全性与可信性进行评估显得尤为重要。

本文将从技术角度出发，探讨工业互联网平台的安全性与可信性评估的相关内容。

首先，工业互联网平台的安全性评估是确保该平台能够抵御各种网络攻击和威胁的重要手段。

在进行安全性评估时，需要考虑以下几个方面。

首先是身份认证和访问控制。

工业互联网平台应该能够对用户进行身份验证，并根据其权限对其进行访问控制。

采用强身份验证和多因素身份验证方法可以有效防止非法用户访问系统，保障工业互联网平台的安全性。

其次是数据的加密和完整性保护。

工业互联网平台涉及的大量数据需要进行保护，以防止数据泄露和篡改。

应采用先进的加密算法对敏感数据进行加密保护，并采用数字签名等手段保证数据的完整性。

另外，还需要注意平台的漏洞和弱点。

工业互联网平台可能存在各种漏洞和弱点，黑客可以利用这些漏洞进行攻击。

因此，在安全性评估中，需要对平台的漏洞进行全面检测和修复，确保平台没有明显的弱点。

除了安全性评估外，可信性评估也是工业互联网平台不可忽视的一个方面。

可信性评估主要从以下几个方面进行考虑。

首先是平台供应商的信誉和背景。

选择一家有信誉和背景的供应商可以增加平台的可信度。

对供应商进行背景调查，包括了解其公司历史、市场声誉、产品质量等，可以为平台的可信性评估提供重要参考。

其次是平台的稳定性和可靠性。

工业互联网平台应具备良好的稳定性和可靠性，以保证企业的正常运营和生产。

在可信性评估中，需要对平台的可用性、容错性、冗余性等进行评估，并考虑备用措施和容灾方案。

另外，数据的准确性和一致性也是评估工业互联网平台可信性的重要指标。

平台应能够确保数据的准确性和一致性，以保证用户和企业能够基于平台提供的数据做出正确的决策。

在可信性评估中，需要检查平台的数据接口和数据同步机制，以保证数据的准确性和一致性。