控制系統(tǒng)安全的理論與應(yīng)用研究進(jìn)展

　　信息物理系統(tǒng)（Cyber－Physical Systems，CPS）的攻擊實例使控制系統(tǒng)安全問題日益受到重視。本文通過介紹實驗成功的攻擊模型，分析了現(xiàn)有系統(tǒng)存在的安全隱患，并重點介紹了對控制系統(tǒng)攻擊的檢測與辨識、彈性狀態(tài)估計器及控制器等方向的研究進(jìn)展。在此基礎(chǔ)之上提出了未來的研究方向。

　　引言

　　信息物理系統(tǒng)（Cyber－Physical Systems，CPS）是一個綜合計算、網(wǎng)絡(luò)和物理環(huán)境的復(fù)雜系統(tǒng)，通過計算、通信和控制技術(shù)融合與協(xié)作，實現(xiàn)大型工程系統(tǒng)的實時感知、動態(tài)控制和一體化設(shè)計，使系統(tǒng)更加可靠、高效、實時協(xié)同，具有重要而廣泛的應(yīng)用前景。信息物理系統(tǒng)的分布式特點為物理系統(tǒng)帶來了風(fēng)險分散、易擴(kuò)展與易維護(hù)等好處；但與此同時，又使信息、控制系統(tǒng)安全（Security）方面的隱患容易擴(kuò)展，進(jìn)而影響整個物理系統(tǒng)，特別是保障人們?nèi)粘Ｉ畹幕A(chǔ)設(shè)施系統(tǒng)，如供電、供水、石油運(yùn)輸、交通運(yùn)輸?shù)认到y(tǒng)，以及與人們生命安全有密切聯(lián)系的系統(tǒng)，如自動駕駛車、智能醫(yī)療設(shè)備等。一旦這些系統(tǒng)受到外界的惡意攻擊，其造成的損失將不可估計。基礎(chǔ)設(shè)施不能正常運(yùn)行會造成大量的經(jīng)濟(jì)損失也會給居民的生活帶來不便，而自動駕駛車、智能醫(yī)療設(shè)備在被攻擊情況下執(zhí)行的錯誤運(yùn)行指令甚至?xí){使用者的生命安全。因此，從信息物理系統(tǒng)融合的特點出發(fā)，降低控制系統(tǒng)被攻擊的可能性及考慮潛在的攻擊風(fēng)險的控制系統(tǒng)設(shè)計是信息物理系統(tǒng)亟待解決的問題。

　　2000年，澳大利亞昆士蘭的Maroochy的無線電通訊設(shè)備遭到攻擊，導(dǎo)致污水大規(guī)模泄漏［1］；2010年，伊朗布什爾核電站遭到Stuxnet（“震網(wǎng)”）的攻擊［2］。這些事件的發(fā)生使得控制系統(tǒng)的安全問題受到了廣泛關(guān)注。作為一個新興的研究領(lǐng)域，從理論上分析攻擊模型，到模擬針對特定系統(tǒng)的攻擊實驗；從理論分析系統(tǒng)在不同攻擊模型下的穩(wěn)定性，到根據(jù)特定控制器設(shè)計進(jìn)行的實驗，硬件系統(tǒng)、控制理論、計算機(jī)軟件等多領(lǐng)域的科研工作者進(jìn)行了不同層面的研究與合作。本文主要列舉了控制理論與工程方向的幾個科研團(tuán)隊在理論與實驗方面的工作，并提出幾個未來研究方向的設(shè)想。

　　信息物理系統(tǒng)（CPS）的攻擊模型

　　控制系統(tǒng)安全的研究離不開對攻擊模型及現(xiàn)實中攻擊方法的探索，根據(jù)不同攻擊方式的特點提出相應(yīng)的系統(tǒng)性預(yù)防及解決方案。對于信息物理系統(tǒng)的攻擊可以針對系統(tǒng)的不同層面及組成部分，如從系統(tǒng)的硬件層上進(jìn)行結(jié)構(gòu)修改以達(dá)到修改硬件功能的目的，此外還有物理部件如傳感器、執(zhí)行器的直接破壞，通訊層的竊聽及數(shù)據(jù)篡改，控制器代碼的修改等問題。

　　其中，直接針對物理系統(tǒng)的攻擊和針對通訊層面的攻擊可能產(chǎn)生等效的破壞結(jié)果。例如，分布式控制的傳感器網(wǎng)絡(luò)（如分布式控制的智能電網(wǎng)系統(tǒng)），其網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、節(jié)點數(shù)量大，當(dāng)一些節(jié)點遭到物理性破壞或切斷了與其他部分的通訊后，由于缺少相應(yīng)的測量信息，對電力系統(tǒng)的狀態(tài)估計誤差會增加。無論是直接對傳感器物理層面進(jìn)行的攻擊還是通過通信過程對測量數(shù)據(jù)的修改，都屬于具有一定系統(tǒng)模型知識的攻擊，它不同于一般的系統(tǒng)故障或環(huán)境干擾，這類攻擊能夠巧妙利用系統(tǒng)的模型知識，通過錯誤檢測系統(tǒng)的攻擊，從而在不知不覺中使?fàn)顟B(tài)估計器的誤差逐漸偏離正確值，進(jìn)而使物理系統(tǒng)功能癱瘓［14］。這對于大規(guī)模網(wǎng)絡(luò)控制系統(tǒng)是極其危險的。

　　大規(guī)模的信息物理系統(tǒng)如智能電網(wǎng)，不便于進(jìn)行攻擊模型的實驗檢測，但一些單機(jī)系統(tǒng)如車輛、游輪等，為科研工作者提供了實際可檢測的實驗系統(tǒng)。美國華盛頓大學(xué)的安全控制課題組設(shè)計了關(guān)于車輛的傳感器、控制器、執(zhí)行器，作為可攻擊性實驗平臺，如圖1（a）所示。實驗表明，現(xiàn)有的未考慮控制系統(tǒng)可能受到攻擊的車輛控制系統(tǒng)設(shè)計并不能滿足安全性能的要求［3］。2013年，德州大學(xué)奧斯汀分校的GPS技術(shù)研究團(tuán)隊通過自主設(shè)計的價值2000美元的硬件，向?qū)Ш较到y(tǒng)傳遞虛假的GPS信號，導(dǎo)致一輛游艇偏離預(yù)定航線［4］，這將十年前關(guān)于攻擊GPS系統(tǒng)的理論［5］變成了現(xiàn)實，并證明了不加密的民用GPS系統(tǒng)被攻擊的可行性。被攻擊后的游艇的控制臺如圖1（b）所示。

　　圖1進(jìn)行信息物理系統(tǒng)攻擊模型實驗的平臺舉例

　　這些對于現(xiàn)有系統(tǒng)進(jìn)行的可攻擊性實驗表明，控制系統(tǒng)安全問題并不僅僅存在于理論層面，在日常生活中也可能會遇到。隨著自動駕駛車、智能可穿戴設(shè)備、智能醫(yī)療器件等越來越多的信息物理系統(tǒng)及其互聯(lián)而成的復(fù)雜系統(tǒng)的發(fā)展和使用，在出現(xiàn)攻擊實例后才考慮控制系統(tǒng)的安全已遠(yuǎn)遠(yuǎn)不能滿足人們的需求?？蒲泄ぷ髡咭呀?jīng)認(rèn)識到了這一問題的重要性，并從控制系統(tǒng)設(shè)計的初始就開始考慮整個系統(tǒng)今后可能面臨的各種攻擊及安全隱患，以盡早檢測攻擊及系統(tǒng)的運(yùn)行錯誤，及時響應(yīng)受到攻擊環(huán)境下的彈性控制行為，盡量確保整個系統(tǒng)的安全性。

　　保證控制系統(tǒng)安全的方法

　　設(shè)計安全的控制系統(tǒng)主要涉及兩個層面的挑戰(zhàn)。第一個層面是設(shè)計能夠針對控制系統(tǒng)環(huán)境的攻擊，如對傳感器、控制器、通信層攻擊的彈性控制系統(tǒng)結(jié)構(gòu)和機(jī)制。第二個層面是保證生成控制算法的代碼過程的安全，即保證控制系統(tǒng)的代碼本身不被篡改，使所設(shè)計的各項功能能夠正確地被執(zhí)行。第二個層面的工作主要通過正規(guī)方法、形式驗證等理論工具來實現(xiàn)。這篇文章主要舉例介紹基于第一個層面的近期工作。

　　3．1對控制系統(tǒng)攻擊的檢測和辨識

　　為保證通信內(nèi)容不被截斷、竊聽、篡改所進(jìn)行的加密解密方法的研究一直是信息安全領(lǐng)域的重要課題。然而對于大規(guī)模的傳感器網(wǎng)絡(luò)系統(tǒng)而言，對所有的通信都進(jìn)行加密會增加通訊開銷，降低整個網(wǎng)絡(luò)的通信效率，這并不是一個高效實用的方法。因此，僅靠原有的信息安全方法已不能保證當(dāng)今不斷發(fā)展、規(guī)模日益擴(kuò)大的控制系統(tǒng)的安全。針對信息物理系統(tǒng)的融合性特點，設(shè)計新的錯誤辨識、彈性狀態(tài)估計器、兼顧控制器的優(yōu)化性能及對攻擊的檢測率等方向的研究就成為了當(dāng)今的熱點課題。

　　在沒有進(jìn)行全網(wǎng)的通信加密、系統(tǒng)的傳感器和執(zhí)行器網(wǎng)絡(luò)可能被選擇性攻擊的情況下，對于線性時不變系統(tǒng)這一控制系統(tǒng)最基本模型的錯誤檢測和被攻擊部分的辨識是建立在系統(tǒng)的可觀測性和可控性基礎(chǔ)之上［9］。設(shè)計彈性的狀態(tài)估計器，可以保證在符合特定數(shù)量的測量傳感器信息正確的情況下，狀態(tài)估計的誤差小于預(yù)期閾值；增加關(guān)鍵節(jié)點的冗余傳感器，使?fàn)顟B(tài)估計器在部分節(jié)點被破壞或通信被切斷的情況下，仍然有足夠的測量信息來進(jìn)行計算，并將狀態(tài)估計值提供給控制器以計算相應(yīng)的控制命令［6］。

　　相對于對每條通信數(shù)據(jù)都單獨(dú)進(jìn)行編碼的高開銷加密方式而言，將傳感器測量信息在進(jìn)行通信傳輸前進(jìn)行整體編碼，能夠檢測出原本可以成功通過統(tǒng)計錯誤檢測器的被修改過的傳感器測量值，而且具有能夠?qū)崟r生成編碼矩陣、在智能攻擊變換對傳感器通信信道插入值的情況下隨時間而變的編碼矩陣的特點［10］。博弈論方法在系統(tǒng)可能面臨多種不同類型的攻擊及采用相應(yīng)的安全控制措施的問題上也有著廣泛的應(yīng)用［8，11］，這是由系統(tǒng)對外界環(huán)境（攻擊模型）的知識有限、對環(huán)境的判斷具有不確定性的特點決定的?；诓煌目刂葡到y(tǒng)及可能遇到的攻擊系統(tǒng)模型及系統(tǒng)的先驗知識，系統(tǒng)與外界環(huán)境的競爭或合作關(guān)系等，需要應(yīng)用不同的博弈論模型。

　　3．2彈性狀態(tài)估計器及控制器

　　當(dāng)傳感器被攻擊時，無論是對單個傳感器測量值的修改，還是對傳感器網(wǎng)絡(luò)與狀態(tài)估計器、控制器之間的通信信道的攻擊，最直接的影響就是狀態(tài)估計器只能根據(jù)被修改過的測量值估計系統(tǒng)的狀態(tài)，而對系統(tǒng)狀態(tài)的錯誤估計會進(jìn)一步導(dǎo)致控制器計算出錯誤的執(zhí)行器指令。因此，設(shè)計彈性狀態(tài)估計器是降低傳感器及其通信信道被攻擊對系統(tǒng)造成的整體影響至關(guān)重要的一步。美國賓夕法尼亞大學(xué)的PRECISE LAB 課題組設(shè)計了在一半以上的傳感器測量值未被修改的情況下的彈性控制器，并證明了其估計誤差與測量噪聲造成的誤差相同［7］。關(guān)于魯棒及彈性狀態(tài)估計器的實驗是用圖2所示的LandShark無人車實驗平臺進(jìn)行檢驗的。針對大規(guī)模傳感器網(wǎng)絡(luò)的高效、可辨識，而被攻擊的傳感器或通信信道的彈性狀態(tài)估計器的研究也獲得了進(jìn)展［12］。

圖2賓夕法尼亞大學(xué)PRECISE LAB 進(jìn)行控制系統(tǒng)安全研究的LandShark 無人車實驗平臺

　　3．3未來的研究方向

　　盡管目前控制系統(tǒng)安全是信息物理系統(tǒng)的熱點研究領(lǐng)域，但仍然有幾個相關(guān)方向的問題亟待解決。第一個問題是基于非線性系統(tǒng)在存在被攻擊的潛在風(fēng)險情況下的彈性狀態(tài)估計器和彈性控制器。已有的理論模型主要研究了線性系統(tǒng)的安全控制問題，但非線性系統(tǒng)的安全控制基礎(chǔ)理論研究還不夠完善。第二個方向是基于多機(jī)器人協(xié)作系統(tǒng)在分布式控制的情況下，既保證系統(tǒng)運(yùn)行的優(yōu)化性能，又在協(xié)同策略中考慮到可能來自于外部甚至于一個團(tuán)隊內(nèi)部不可信任的個體的錯誤傳感器信息，是還未被充分研究的課題。第三個方向是針?智能城市這類大規(guī)模非同質(zhì)系統(tǒng)在不同種類的傳感器，在不同通信頻率、不同狀態(tài)估計誤差要求、不同控制功能等系統(tǒng)設(shè)計要求下，特定系統(tǒng)組成部分受到攻擊時，系統(tǒng)對于攻擊的診斷辨識及彈性響應(yīng)的相應(yīng)措施。

　　總結(jié)展望

　　控制系統(tǒng)的安全問題是信息物理系統(tǒng)快速發(fā)展的工業(yè)4.0時代的重要研究課題之一，積極開展這方面的研究對在新的科技發(fā)展潮流中占據(jù)國際領(lǐng)先水平有著重要作用。以我國在控制理論研究方向的優(yōu)勢，今后主要的研究應(yīng)聚焦在基于非線性、大規(guī)模非同質(zhì)網(wǎng)絡(luò)模型的理論研究，并結(jié)合自動駕駛車、智能城市等新型信息物理系統(tǒng)發(fā)展過程中存在的應(yīng)用層面的問題，研發(fā)從系統(tǒng)設(shè)計層面就考慮到安全隱患的新型系統(tǒng)，從而在新一輪科技發(fā)展潮流中作出貢獻(xiàn)。