信息物理系統(tǒng)（Cyber－Physical Systems，CPS）的攻擊實(shí)例使控制系統(tǒng)安全問(wèn)題日益受到重視。本文通過(guò)介紹實(shí)驗(yàn)成功的攻擊模型，分析了現(xiàn)有系統(tǒng)存在的安全隱患，并重點(diǎn)介紹了對(duì)控制系統(tǒng)攻擊的檢測(cè)與辨識(shí)、彈性狀態(tài)估計(jì)器及控制器等方向的研究進(jìn)展。在此基礎(chǔ)之上提出了未來(lái)的研究方向。

　　引言

　　信息物理系統(tǒng)（Cyber－Physical Systems，CPS）是一個(gè)綜合計(jì)算、網(wǎng)絡(luò)和物理環(huán)境的復(fù)雜系統(tǒng)，通過(guò)計(jì)算、通信和控制技術(shù)融合與協(xié)作，實(shí)現(xiàn)大型工程系統(tǒng)的實(shí)時(shí)感知、動(dòng)態(tài)控制和一體化設(shè)計(jì)，使系統(tǒng)更加可靠、高效、實(shí)時(shí)協(xié)同，具有重要而廣泛的應(yīng)用前景。信息物理系統(tǒng)的分布式特點(diǎn)為物理系統(tǒng)帶來(lái)了風(fēng)險(xiǎn)分散、易擴(kuò)展與易維護(hù)等好處；但與此同時(shí)，又使信息、控制系統(tǒng)安全（Security）方面的隱患容易擴(kuò)展，進(jìn)而影響整個(gè)物理系統(tǒng)，特別是保障人們?nèi)粘Ｉ畹幕A(chǔ)設(shè)施系統(tǒng)，如供電、供水、石油運(yùn)輸、交通運(yùn)輸?shù)认到y(tǒng)，以及與人們生命安全有密切聯(lián)系的系統(tǒng)，如自動(dòng)駕駛車(chē)、智能醫(yī)療設(shè)備等。一旦這些系統(tǒng)受到外界的惡意攻擊，其造成的損失將不可估計(jì)。基礎(chǔ)設(shè)施不能正常運(yùn)行會(huì)造成大量的經(jīng)濟(jì)損失也會(huì)給居民的生活帶來(lái)不便，而自動(dòng)駕駛車(chē)、智能醫(yī)療設(shè)備在被攻擊情況下執(zhí)行的錯(cuò)誤運(yùn)行指令甚至?xí){使用者的生命安全。因此，從信息物理系統(tǒng)融合的特點(diǎn)出發(fā)，降低控制系統(tǒng)被攻擊的可能性及考慮潛在的攻擊風(fēng)險(xiǎn)的控制系統(tǒng)設(shè)計(jì)是信息物理系統(tǒng)亟待解決的問(wèn)題。

　　2000年，澳大利亞昆士蘭的Maroochy的無(wú)線電通訊設(shè)備遭到攻擊，導(dǎo)致污水大規(guī)模泄漏［1］；2010年，伊朗布什爾核電站遭到Stuxnet（“震網(wǎng)”）的攻擊［2］。這些事件的發(fā)生使得控制系統(tǒng)的安全問(wèn)題受到了廣泛關(guān)注。作為一個(gè)新興的研究領(lǐng)域，從理論上分析攻擊模型，到模擬針對(duì)特定系統(tǒng)的攻擊實(shí)驗(yàn)；從理論分析系統(tǒng)在不同攻擊模型下的穩(wěn)定性，到根據(jù)特定控制器設(shè)計(jì)進(jìn)行的實(shí)驗(yàn)，硬件系統(tǒng)、控制理論、計(jì)算機(jī)軟件等多領(lǐng)域的科研工作者進(jìn)行了不同層面的研究與合作。本文主要列舉了控制理論與工程方向的幾個(gè)科研團(tuán)隊(duì)在理論與實(shí)驗(yàn)方面的工作，并提出幾個(gè)未來(lái)研究方向的設(shè)想。

　　信息物理系統(tǒng)（CPS）的攻擊模型

　　控制系統(tǒng)安全的研究離不開(kāi)對(duì)攻擊模型及現(xiàn)實(shí)中攻擊方法的探索，根據(jù)不同攻擊方式的特點(diǎn)提出相應(yīng)的系統(tǒng)性預(yù)防及解決方案。對(duì)于信息物理系統(tǒng)的攻擊可以針對(duì)系統(tǒng)的不同層面及組成部分，如從系統(tǒng)的硬件層上進(jìn)行結(jié)構(gòu)修改以達(dá)到修改硬件功能的目的，此外還有物理部件如傳感器、執(zhí)行器的直接破壞，通訊層的竊聽(tīng)及數(shù)據(jù)篡改，控制器代碼的修改等問(wèn)題。

　　其中，直接針對(duì)物理系統(tǒng)的攻擊和針對(duì)通訊層面的攻擊可能產(chǎn)生等效的破壞結(jié)果。例如，分布式控制的傳感器網(wǎng)絡(luò)（如分布式控制的智能電網(wǎng)系統(tǒng)），其網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、節(jié)點(diǎn)數(shù)量大，當(dāng)一些節(jié)點(diǎn)遭到物理性破壞或切斷了與其他部分的通訊后，由于缺少相應(yīng)的測(cè)量信息，對(duì)電力系統(tǒng)的狀態(tài)估計(jì)誤差會(huì)增加。無(wú)論是直接對(duì)傳感器物理層面進(jìn)行的攻擊還是通過(guò)通信過(guò)程對(duì)測(cè)量數(shù)據(jù)的修改，都屬于具有一定系統(tǒng)模型知識(shí)的攻擊，它不同于一般的系統(tǒng)故障或環(huán)境干擾，這類(lèi)攻擊能夠巧妙利用系統(tǒng)的模型知識(shí)，通過(guò)錯(cuò)誤檢測(cè)系統(tǒng)的攻擊，從而在不知不覺(jué)中使?fàn)顟B(tài)估計(jì)器的誤差逐漸偏離正確值，進(jìn)而使物理系統(tǒng)功能癱瘓［14］。這對(duì)于大規(guī)模網(wǎng)絡(luò)控制系統(tǒng)是極其危險(xiǎn)的。

　　大規(guī)模的信息物理系統(tǒng)如智能電網(wǎng)，不便于進(jìn)行攻擊模型的實(shí)驗(yàn)檢測(cè)，但一些單機(jī)系統(tǒng)如車(chē)輛、游輪等，為科研工作者提供了實(shí)際可檢測(cè)的實(shí)驗(yàn)系統(tǒng)。美國(guó)華盛頓大學(xué)的安全控制課題組設(shè)計(jì)了關(guān)于車(chē)輛的傳感器、控制器、執(zhí)行器，作為可攻擊性實(shí)驗(yàn)平臺(tái)，如圖1（a）所示。實(shí)驗(yàn)表明，現(xiàn)有的未考慮控制系統(tǒng)可能受到攻擊的車(chē)輛控制系統(tǒng)設(shè)計(jì)并不能滿(mǎn)足安全性能的要求［3］。2013年，德州大學(xué)奧斯汀分校的GPS技術(shù)研究團(tuán)隊(duì)通過(guò)自主設(shè)計(jì)的價(jià)值2000美元的硬件，向?qū)Ш较到y(tǒng)傳遞虛假的GPS信號(hào)，導(dǎo)致一輛游艇偏離預(yù)定航線［4］，這將十年前關(guān)于攻擊GPS系統(tǒng)的理論［5］變成了現(xiàn)實(shí)，并證明了不加密的民用GPS系統(tǒng)被攻擊的可行性。被攻擊后的游艇的控制臺(tái)如圖1（b）所示。

　　圖1進(jìn)行信息物理系統(tǒng)攻擊模型實(shí)驗(yàn)的平臺(tái)舉例

　　這些對(duì)于現(xiàn)有系統(tǒng)進(jìn)行的可攻擊性實(shí)驗(yàn)表明，控制系統(tǒng)安全問(wèn)題并不僅僅存在于理論層面，在日常生活中也可能會(huì)遇到。隨著自動(dòng)駕駛車(chē)、智能可穿戴設(shè)備、智能醫(yī)療器件等越來(lái)越多的信息物理系統(tǒng)及其互聯(lián)而成的復(fù)雜系統(tǒng)的發(fā)展和使用，在出現(xiàn)攻擊實(shí)例后才考慮控制系統(tǒng)的安全已遠(yuǎn)遠(yuǎn)不能滿(mǎn)足人們的需求。科研工作者已經(jīng)認(rèn)識(shí)到了這一問(wèn)題的重要性，并從控制系統(tǒng)設(shè)計(jì)的初始就開(kāi)始考慮整個(gè)系統(tǒng)今后可能面臨的各種攻擊及安全隱患，以盡早檢測(cè)攻擊及系統(tǒng)的運(yùn)行錯(cuò)誤，及時(shí)響應(yīng)受到攻擊環(huán)境下的彈性控制行為，盡量確保整個(gè)系統(tǒng)的安全性。

　　保證控制系統(tǒng)安全的方法

　　設(shè)計(jì)安全的控制系統(tǒng)主要涉及兩個(gè)層面的挑戰(zhàn)。第一個(gè)層面是設(shè)計(jì)能夠針對(duì)控制系統(tǒng)環(huán)境的攻擊，如對(duì)傳感器、控制器、通信層攻擊的彈性控制系統(tǒng)結(jié)構(gòu)和機(jī)制。第二個(gè)層面是保證生成控制算法的代碼過(guò)程的安全，即保證控制系統(tǒng)的代碼本身不被篡改，使所設(shè)計(jì)的各項(xiàng)功能能夠正確地被執(zhí)行。第二個(gè)層面的工作主要通過(guò)正規(guī)方法、形式驗(yàn)證等理論工具來(lái)實(shí)現(xiàn)。這篇文章主要舉例介紹基于第一個(gè)層面的近期工作。

　　3．1對(duì)控制系統(tǒng)攻擊的檢測(cè)和辨識(shí)

　　為保證通信內(nèi)容不被截?cái)唷⒏`聽(tīng)、篡改所進(jìn)行的加密解密方法的研究一直是信息安全領(lǐng)域的重要課題。然而對(duì)于大規(guī)模的傳感器網(wǎng)絡(luò)系統(tǒng)而言，對(duì)所有的通信都進(jìn)行加密會(huì)增加通訊開(kāi)銷(xiāo)，降低整個(gè)網(wǎng)絡(luò)的通信效率，這并不是一個(gè)高效實(shí)用的方法。因此，僅靠原有的信息安全方法已不能保證當(dāng)今不斷發(fā)展、規(guī)模日益擴(kuò)大的控制系統(tǒng)的安全。針對(duì)信息物理系統(tǒng)的融合性特點(diǎn)，設(shè)計(jì)新的錯(cuò)誤辨識(shí)、彈性狀態(tài)估計(jì)器、兼顧控制器的優(yōu)化性能及對(duì)攻擊的檢測(cè)率等方向的研究就成為了當(dāng)今的熱點(diǎn)課題。

　　在沒(méi)有進(jìn)行全網(wǎng)的通信加密、系統(tǒng)的傳感器和執(zhí)行器網(wǎng)絡(luò)可能被選擇性攻擊的情況下，對(duì)于線性時(shí)不變系統(tǒng)這一控制系統(tǒng)最基本模型的錯(cuò)誤檢測(cè)和被攻擊部分的辨識(shí)是建立在系統(tǒng)的可觀測(cè)性和可控性基礎(chǔ)之上［9］。設(shè)計(jì)彈性的狀態(tài)估計(jì)器，可以保證在符合特定數(shù)量的測(cè)量傳感器信息正確的情況下，狀態(tài)估計(jì)的誤差小于預(yù)期閾值；增加關(guān)鍵節(jié)點(diǎn)的冗余傳感器，使?fàn)顟B(tài)估計(jì)器在部分節(jié)點(diǎn)被破壞或通信被切斷的情況下，仍然有足夠的測(cè)量信息來(lái)進(jìn)行計(jì)算，并將狀態(tài)估計(jì)值提供給控制器以計(jì)算相應(yīng)的控制命令［6］。

　　相對(duì)于對(duì)每條通信數(shù)據(jù)都單獨(dú)進(jìn)行編碼的高開(kāi)銷(xiāo)加密方式而言，將傳感器測(cè)量信息在進(jìn)行通信傳輸前進(jìn)行整體編碼，能夠檢測(cè)出原本可以成功通過(guò)統(tǒng)計(jì)錯(cuò)誤檢測(cè)器的被修改過(guò)的傳感器測(cè)量值，而且具有能夠?qū)崟r(shí)生成編碼矩陣、在智能攻擊變換對(duì)傳感器通信信道插入值的情況下隨時(shí)間而變的編碼矩陣的特點(diǎn)［10］。博弈論方法在系統(tǒng)可能面臨多種不同類(lèi)型的攻擊及采用相應(yīng)的安全控制措施的問(wèn)題上也有著廣泛的應(yīng)用［8，11］，這是由系統(tǒng)對(duì)外界環(huán)境（攻擊模型）的知識(shí)有限、對(duì)環(huán)境的判斷具有不確定性的特點(diǎn)決定的。基于不同的控制系統(tǒng)及可能遇到的攻擊系統(tǒng)模型及系統(tǒng)的先驗(yàn)知識(shí)，系統(tǒng)與外界環(huán)境的競(jìng)爭(zhēng)或合作關(guān)系等，需要應(yīng)用不同的博弈論模型。

　　3．2彈性狀態(tài)估計(jì)器及控制器

　　當(dāng)傳感器被攻擊時(shí)，無(wú)論是對(duì)單個(gè)傳感器測(cè)量值的修改，還是對(duì)傳感器網(wǎng)絡(luò)與狀態(tài)估計(jì)器、控制器之間的通信信道的攻擊，最直接的影響就是狀態(tài)估計(jì)器只能根據(jù)被修改過(guò)的測(cè)量值估計(jì)系統(tǒng)的狀態(tài)，而對(duì)系統(tǒng)狀態(tài)的錯(cuò)誤估計(jì)會(huì)進(jìn)一步導(dǎo)致控制器計(jì)算出錯(cuò)誤的執(zhí)行器指令。因此，設(shè)計(jì)彈性狀態(tài)估計(jì)器是降低傳感器及其通信信道被攻擊對(duì)系統(tǒng)造成的整體影響至關(guān)重要的一步。美國(guó)賓夕法尼亞大學(xué)的PRECISE LAB 課題組設(shè)計(jì)了在一半以上的傳感器測(cè)量值未被修改的情況下的彈性控制器，并證明了其估計(jì)誤差與測(cè)量噪聲造成的誤差相同［7］。關(guān)于魯棒及彈性狀態(tài)估計(jì)器的實(shí)驗(yàn)是用圖2所示的LandShark無(wú)人車(chē)實(shí)驗(yàn)平臺(tái)進(jìn)行檢驗(yàn)的。針對(duì)大規(guī)模傳感器網(wǎng)絡(luò)的高效、可辨識(shí)，而被攻擊的傳感器或通信信道的彈性狀態(tài)估計(jì)器的研究也獲得了進(jìn)展［12］。

圖2賓夕法尼亞大學(xué)PRECISE LAB 進(jìn)行控制系統(tǒng)安全研究的LandShark 無(wú)人車(chē)實(shí)驗(yàn)平臺(tái)

　　3．3未來(lái)的研究方向

　　盡管目前控制系統(tǒng)安全是信息物理系統(tǒng)的熱點(diǎn)研究領(lǐng)域，但仍然有幾個(gè)相關(guān)方向的問(wèn)題亟待解決。第一個(gè)問(wèn)題是基于非線性系統(tǒng)在存在被攻擊的潛在風(fēng)險(xiǎn)情況下的彈性狀態(tài)估計(jì)器和彈性控制器。已有的理論模型主要研究了線性系統(tǒng)的安全控制問(wèn)題，但非線性系統(tǒng)的安全控制基礎(chǔ)理論研究還不夠完善。第二個(gè)方向是基于多機(jī)器人協(xié)作系統(tǒng)在分布式控制的情況下，既保證系統(tǒng)運(yùn)行的優(yōu)化性能，又在協(xié)同策略中考慮到可能來(lái)自于外部甚至于一個(gè)團(tuán)隊(duì)內(nèi)部不可信任的個(gè)體的錯(cuò)誤傳感器信息，是還未被充分研究的課題。第三個(gè)方向是針?智能城市這類(lèi)大規(guī)模非同質(zhì)系統(tǒng)在不同種類(lèi)的傳感器，在不同通信頻率、不同狀態(tài)估計(jì)誤差要求、不同控制功能等系統(tǒng)設(shè)計(jì)要求下，特定系統(tǒng)組成部分受到攻擊時(shí)，系統(tǒng)對(duì)于攻擊的診斷辨識(shí)及彈性響應(yīng)的相應(yīng)措施。

　　總結(jié)展望

　　控制系統(tǒng)的安全問(wèn)題是信息物理系統(tǒng)快速發(fā)展的工業(yè)4.0時(shí)代的重要研究課題之一，積極開(kāi)展這方面的研究對(duì)在新的科技發(fā)展潮流中占據(jù)國(guó)際領(lǐng)先水平有著重要作用。以我國(guó)在控制理論研究方向的優(yōu)勢(shì)，今后主要的研究應(yīng)聚焦在基于非線性、大規(guī)模非同質(zhì)網(wǎng)絡(luò)模型的理論研究，并結(jié)合自動(dòng)駕駛車(chē)、智能城市等新型信息物理系統(tǒng)發(fā)展過(guò)程中存在的應(yīng)用層面的問(wèn)題，研發(fā)從系統(tǒng)設(shè)計(jì)層面就考慮到安全隱患的新型系統(tǒng)，從而在新一輪科技發(fā)展潮流中作出貢獻(xiàn)。