工程科学学报,第39卷,第9期:1403-1411,2017年9月 Chinese Journal of Engineering,Vol.39,No.9:1403-1411,September 2017 D0l:10.13374/j.issn2095-9389.2017.09.014;htp:/journals.ustb.edu.cn 基于安全传输策略的网络化预测控制系统设计 魏世勇,尉思谜,杨志涛 中南大学信息科学与工程学院,长沙410083 ☒通信作者,E-mail:esywei@csu.cd.cm 摘要为确保网络控制系统中传输数据的完整性、实时性、机密性和可用性,提高系统对抗数据攻击的能力,提出了一种基 于MD5散列码、时间戳和AS加密算法的数据安全传输策略,该策略兼顾了系统中控制器端和被控对象端数据传输的安全 性和实时性.并从控制策略的角度出发,考虑在系统遭受到数据攻击后,采用基于网络回路时延的网络预测控制方法对数据 攻击进行补偿,使系统在受到一定强度的数据攻击后仍然能够进行稳定的控制,从而提高网络控制系统应对攻击的能力.采 用S100-1实训平台管道压力控制系统验证了基于安全传输策略的网络化预测控制系统有较好的安全性和抗数据攻击能力. 关键词网络控制系统:安全传输策略:预测控制:数据攻击 分类号TP273.5 Design of networked predictive control system based on secure transmission strategy WEI Shi-yong,WEI Si-mi,YANG Zhi-tao School of Information Science and Engineering,Central South University,Changsha 410083,China Corresponding author,E-mail:esywei@csu.edu.cn ABSTRACT To ensure the integrity,real-time performance,confidentiality and usability of data transmission in networked control systems and improve the ability of the system against data attacks,a data transmission strategy based on the MD5 hash code,time stamp,and AES encryption algorithm was proposed.This strategy takes into account the security and real-time of data transmission of both the controlled object side and the controller side of the networked control system.And the networked predictive control based on round trip time delay was used to compensate for the effect on the system after it had been attacked by data,so that the system can be stably controlled after being attacked by some intensity of data and also achieves a better control effect,thereby improving the ability of network control systems to deal with attacks.The S100-1 training platform pipeline pressure control system is used to prove that the proposed networked predictive control system based on the secure transmission strategy has better security and anti-attack ability. KEY WORDS networked control system;secure transmission strategy;predictive control;data attack 网络化控制系统(networked control systems,NCSs) 制方法[o]、智能控制方法[)、鲁棒控制方法、模型控制 被广泛应用于军事、,电力、航空航天等各个领域.然 方法[)、预测控制方法[o]等十余种.而对于NCSs中 而,当网络发生故障时,网络传输的控制信息会出现丢 数据安全的研究主要从数据的机密性、完整性、可用性 失、乱序和延时等现象,继而对控制系统产生严重的影 三个性能指标出发.其中,Yuan等[利用FPGA进行 响.而且,由于网络存在开放性和交互性等特点,在考 了DES加密算法的软硬件设计,并通过网络化直流电 虑网络延时、数据丢包等对控制系统影响的同时,网络 机转速控制系统验证了该硬件加密板的功能.Gupta 安全攻击对于NCSs的影响也不可小觑[) 与Chowt]利用DES、3DES、AES三种硬件加密算法确 目前,针对NCSs的控制策略主要有随机最优控 保了NCSs中网络数据流和传感器存储数据的机密 收稿日期:2016-11-09 基金项目:中南大学资助项目(160260002):中南大学中央高校基本科研业务费专项资金资助项目(2016za349)
工程科学学报,第 39 卷,第 9 期:1403鄄鄄1411,2017 年 9 月 Chinese Journal of Engineering, Vol. 39, No. 9: 1403鄄鄄1411, September 2017 DOI: 10. 13374 / j. issn2095鄄鄄9389. 2017. 09. 014; http: / / journals. ustb. edu. cn 基于安全传输策略的网络化预测控制系统设计 魏世勇苣 , 尉思谜, 杨志涛 中南大学信息科学与工程学院, 长沙 410083 苣通信作者, E鄄mail: esywei@ csu. edu. cn 摘 要 为确保网络控制系统中传输数据的完整性、实时性、机密性和可用性,提高系统对抗数据攻击的能力,提出了一种基 于 MD5 散列码、时间戳和 AES 加密算法的数据安全传输策略,该策略兼顾了系统中控制器端和被控对象端数据传输的安全 性和实时性. 并从控制策略的角度出发,考虑在系统遭受到数据攻击后,采用基于网络回路时延的网络预测控制方法对数据 攻击进行补偿,使系统在受到一定强度的数据攻击后仍然能够进行稳定的控制,从而提高网络控制系统应对攻击的能力. 采 用 S100鄄鄄1 实训平台管道压力控制系统验证了基于安全传输策略的网络化预测控制系统有较好的安全性和抗数据攻击能力. 关键词 网络控制系统; 安全传输策略; 预测控制; 数据攻击 分类号 TP273郾 5 Design of networked predictive control system based on secure transmission strategy WEI Shi鄄yong 苣 , WEI Si鄄mi, YANG Zhi鄄tao School of Information Science and Engineering, Central South University, Changsha 410083, China 苣Corresponding author, E鄄mail: esywei@ csu. edu. cn ABSTRACT To ensure the integrity, real鄄time performance, confidentiality and usability of data transmission in networked control systems and improve the ability of the system against data attacks, a data transmission strategy based on the MD5 hash code, time stamp, and AES encryption algorithm was proposed. This strategy takes into account the security and real鄄time of data transmission of both the controlled object side and the controller side of the networked control system. And the networked predictive control based on round trip time delay was used to compensate for the effect on the system after it had been attacked by data, so that the system can be stably controlled after being attacked by some intensity of data and also achieves a better control effect, thereby improving the ability of network control systems to deal with attacks. The S100鄄鄄1 training platform pipeline pressure control system is used to prove that the proposed networked predictive control system based on the secure transmission strategy has better security and anti鄄attack ability. KEY WORDS networked control system; secure transmission strategy; predictive control; data attack 收稿日期: 2016鄄鄄11鄄鄄09 基金项目: 中南大学资助项目(160260002);中南大学中央高校基本科研业务费专项资金资助项目(2016zzts349) 网络化控制系统(networked control systems,NCSs) 被广泛应用于军事、电力、航空航天等各个领域[4] . 然 而,当网络发生故障时,网络传输的控制信息会出现丢 失、乱序和延时等现象,继而对控制系统产生严重的影 响. 而且,由于网络存在开放性和交互性等特点,在考 虑网络延时、数据丢包等对控制系统影响的同时,网络 安全攻击对于 NCSs 的影响也不可小觑[5] . 目前,针对 NCSs 的控制策略主要有随机最优控 制方法[6] 、智能控制方法[7] 、鲁棒控制方法、模型控制 方法[8] 、预测控制方法[10] 等十余种. 而对于 NCSs 中 数据安全的研究主要从数据的机密性、完整性、可用性 三个性能指标出发. 其中,Yuan 等[11] 利用 FPGA 进行 了 DES 加密算法的软硬件设计,并通过网络化直流电 机转速控制系统验证了该硬件加密板的功能. Gupta 与 Chow [12]利用 DES、3DES、AES 三种硬件加密算法确 保了 NCSs 中网络数据流和传感器存储数据的机密
.1404. 工程科学学报,第39卷,第9期 性,并比较了3种加密算法对系统动态性能的影响,最 制系统来解决开放式互联网的NCSs安全问题 后利用一维增益调度器补偿了加密算法对系统性能的 影响.Cao等[]对于NCSs中的网络数据安全传输策 1数据安全传输策略设计 略进行了探讨,设计了一种数字签名方法,确保控制算 本节设计了一种数据安全传输策略(secure data 法及参数的改变来自可靠的发送方,提出了被动和主 transmission scheme,SDTS),如图1所示,当数据发送 动两种策略监控控制设备的行为. 方发送数据时,首先利用MD5散列码和时间戳给发送 上述对于NCSs安全问题的研究主要集中在对工 数据打上标记,然后采用AES加密算法对标记后的数 业NCSs的整体安全性能分析上,而对于通过因特网 据加密,使用用户数据报协议/因特网互联协议(user (internet)等开放网络形成控制闭环回路的NCSs,大多 datagram protocol/internet protocol,UDP/P)协议发送 数学者致力于分析网络中可能存在的攻击行为,并进 到数据接收方.数据接收方通过UDP/P接收器获取 行建模,提出一些攻击行为的检测方法,但是并没有提 数据后,首先利用AES解密算法将数据解密,然后利 供在检测到网络恶意攻击行为后的响应措施以及如何 用接收方的MD5散列码和时间戳策略判断数据的完 减小攻击对系统动态性能的影响,提高控制系统应对 整性和真实性,从而决定是否丢弃或者接收数据.其 攻击的能力.而对于NCSs中数据的安全传输策略的 中,密钥的更新通过非对称加密算法RSA来实现. 研究大都多侧重于保证数据的机密性,或仅针对数据 SDTS兼顾了NCSs中控制器端和被控对象端进行数据 安全指标的某一方面,没有结合NCSs的特性,综合考 传输的安全性和实时性,可以较好的应对来自网络的 虑传输数据的实时性、机密性、完整性和可用性.因 数据攻击.从而确保基于Internet的NCSs中数据传输 此,本文提出一种基于安全传输策略的网络化预测控 的安全性. 数据发送方 数据接收方 时钟 时间戳 MD5散列码&时间 数据 MD5 散列码 AES UDP/TP UDP/IP AES 截策略判端数据 加密 发送器 接收器 解密 真实性和完整性 数据 RSA算法定时 RSA算法定时 更新密钥 更新密钥 图1SDTS整体结构图 Fig.1 General design structure of SDTS 1.1数据传输协议选择 (2)在基于TCP协议的数据传输过程中,在网络 在NCSs中,控制器与传感器、执行器之间存在着 层无法确保每个P数据包均成功到达目的地,发送者 较为频繁的数据传输,传输的效率直接影响整个控制 如果在一段时间内没有收到确认信号,它将重新发送 系统的稳定性.当数据的传输在Internet进行时必须 相关的数据包,对于NCSs这种实时系统来说,重新发 选择传输控制协议/因特网互联协议(transmission con- 送的数据包的价值并不大,造成资源浪费. trol protocol/internet protocol,TCP/IP)协议栈,如果数 (3)为确保接收者接收到的数据包的顺序和发送 据传输是在协议栈的上层进行的,就会产生额外的开 者的发送顺序一致,TCP协议提供了顺序确保机制,而 销,如果在底层进行数据传输则很难进行控制,所以选 这同样不适用于NCSs.一旦后发送的数据包先到达 择传输层协议进行数据的传输. 目的地,数据接收方会先将该数据包缓存,并不将它发 典型的传输层协议有TCP和UDP两种.其中, 送给相应的应用进程,直到其之前发送的数据包都到 TCP协议是一个基于可靠连接的协议,UDP则是一个 达目的地为止,这种等待消耗的时间将大大降低NCSs 更加轻量级的无连接协议.在基于Internet的NCSs中 的性能. 选择UDP协议进行数据的传输,主要有以下几个 综上所述,在控制端与被控对象端进行数据的传 原因: 输时,宜采用效率和实时性能更高的UDP协议 (1)UDP协议在通信之前不需要进行繁琐的连接 1.2数据传输机密性分析与实现 建立过程,数据传输效率高于TCP协议,比较适用于 在基于Internet的NCSs中,发送方的数据要准确 控制系统中小数据量的通信过程. 传送至接收方,还必须依靠P协议.P协议是一个没
工程科学学报,第 39 卷,第 9 期 性,并比较了 3 种加密算法对系统动态性能的影响,最 后利用一维增益调度器补偿了加密算法对系统性能的 影响. Cao 等[13]对于 NCSs 中的网络数据安全传输策 略进行了探讨,设计了一种数字签名方法,确保控制算 法及参数的改变来自可靠的发送方,提出了被动和主 动两种策略监控控制设备的行为. 上述对于 NCSs 安全问题的研究主要集中在对工 业 NCSs 的整体安全性能分析上,而对于通过因特网 (internet)等开放网络形成控制闭环回路的 NCSs,大多 数学者致力于分析网络中可能存在的攻击行为,并进 行建模,提出一些攻击行为的检测方法,但是并没有提 供在检测到网络恶意攻击行为后的响应措施以及如何 减小攻击对系统动态性能的影响,提高控制系统应对 攻击的能力. 而对于 NCSs 中数据的安全传输策略的 研究大都多侧重于保证数据的机密性,或仅针对数据 安全指标的某一方面,没有结合 NCSs 的特性,综合考 虑传输数据的实时性、机密性、完整性和可用性. 因 此,本文提出一种基于安全传输策略的网络化预测控 制系统来解决开放式互联网的 NCSs 安全问题. 1 数据安全传输策略设计 本节设计了一种数据安全传输策略( secure data transmission scheme,SDTS),如图 1 所示,当数据发送 方发送数据时,首先利用 MD5 散列码和时间戳给发送 数据打上标记,然后采用 AES 加密算法对标记后的数 据加密,使用用户数据报协议/ 因特网互联协议( user datagram protocol / internet protocol,UDP / IP) 协议发送 到数据接收方. 数据接收方通过 UDP / IP 接收器获取 数据后,首先利用 AES 解密算法将数据解密,然后利 用接收方的 MD5 散列码和时间戳策略判断数据的完 整性和真实性,从而决定是否丢弃或者接收数据. 其 中,密钥的更新通过非对称加密算法 RSA 来实现. SDTS 兼顾了 NCSs 中控制器端和被控对象端进行数据 传输的安全性和实时性,可以较好的应对来自网络的 数据攻击. 从而确保基于 Internet 的 NCSs 中数据传输 的安全性. 图 1 SDTS 整体结构图 Fig. 1 General design structure of SDTS 1郾 1 数据传输协议选择 在 NCSs 中,控制器与传感器、执行器之间存在着 较为频繁的数据传输,传输的效率直接影响整个控制 系统的稳定性. 当数据的传输在 Internet 进行时必须 选择传输控制协议/ 因特网互联协议( transmission con鄄 trol protocol / internet protocol,TCP / IP) 协议栈,如果数 据传输是在协议栈的上层进行的,就会产生额外的开 销,如果在底层进行数据传输则很难进行控制,所以选 择传输层协议进行数据的传输. 典型的传输层协议有 TCP 和 UDP 两种. 其中, TCP 协议是一个基于可靠连接的协议,UDP 则是一个 更加轻量级的无连接协议. 在基于 Internet 的 NCSs 中 选择 UDP 协议进行数据的传 输, 主 要 有 以 下 几 个 原因: (1)UDP 协议在通信之前不需要进行繁琐的连接 建立过程,数据传输效率高于 TCP 协议,比较适用于 控制系统中小数据量的通信过程. (2)在基于 TCP 协议的数据传输过程中,在网络 层无法确保每个 IP 数据包均成功到达目的地,发送者 如果在一段时间内没有收到确认信号,它将重新发送 相关的数据包,对于 NCSs 这种实时系统来说,重新发 送的数据包的价值并不大,造成资源浪费. (3)为确保接收者接收到的数据包的顺序和发送 者的发送顺序一致,TCP 协议提供了顺序确保机制,而 这同样不适用于 NCSs. 一旦后发送的数据包先到达 目的地,数据接收方会先将该数据包缓存,并不将它发 送给相应的应用进程,直到其之前发送的数据包都到 达目的地为止,这种等待消耗的时间将大大降低 NCSs 的性能. 综上所述,在控制端与被控对象端进行数据的传 输时,宜采用效率和实时性能更高的 UDP 协议. 1郾 2 数据传输机密性分析与实现 在基于 Internet 的 NCSs 中,发送方的数据要准确 传送至接收方,还必须依靠 IP 协议. IP 协议是一个没 ·1404·
魏世勇等:基于安全传输策略的网络化预测控制系统设计 ·1405· 有任何数据安全措施的网络层传输协议,易受到攻击. 的安全等级时,非对称加密算法的速度比对称加密 因此,为了应对网络中的被动攻击,必须采取相应的策 算法要慢上千倍,因此,本文将两者结合起来,利用 略确保传输数据的机密性,以防止恶意攻击者获取被 对称加密算法来进行数据的加密来保障数据传输 控对象和控制器的真实信息. 的实时性,通过非对称加密算法RSA来定时更新对 般情况下,传输数据的机密性是通过加密算 称加密算法的密钥.表1对比了常见的3种对称加 法来确保的.加密算法分为非对称加密算法和对 密算法DES、3DES和AES.在NCSs中,控制器与传 称加密算法两种.其中,非对称加密算法并不需要 感器、执行器之间传输的数据量较小,数据传输频 像对称加密算法那样在进行数据传输的两个实体 繁.无论从速度还是安全性角度来说,AES加密算 之间交换密钥,安全性能非常好.但是在达到相同 法最为适合的. 表1DES,3DES和AES算法对比 Table 1 Comparison of DES,3DES,and AES algorithms 算法 速度 密钥长度 分组长度 安全性 DES 较快 56 64 密钥短,易受穷举法攻击 3DES 较慢 112/168 64 DES的三重安全性 AES 快 128/192/256 32N(N=4,6.8) 安全级别高 本文采用Matlab中S-Function来实现AES算法, 输出才一样.此处,将128位的散列码分成两个64位 如图2所示为基于MATLAB/SIMULINK的AES加密 的double型数据,并将两个double型数据相加.前者 解密过程仿真实验,其中AES_Encryption为AES加密 所计算的结果为-4.7978840567495×109,后者为 模块,AES_Decryption为AES解密模块,当原始数据向 6.7230518714531×1092.两者毫无关系,相差甚远. 量进行AES加密后将转换成一个没有意义的数据向 同样,当输入为[7654.321168.76543]中的一部分,即 量,通过AES解密模块则转换为初始的数据向量 只输入7654.321时,得到的散列码也不一样.由此, 可见MD5能够检测数据的完整性和真实性. -1.708×10-22 11.11 -1.066x10+四 7654.321 -2.41×10% 7654.32 Constant l 1.569x10可 Constant] 168.76543 22.12 DisplayI 168.76543 -4.7978840567495×10四 Constant MD5 11.11 Constant 33.13 22.12 Displayl AES E AES D Constant2 33.13 7654.321 AES Encryption AES_Decryption 66.28 7654.321 66.28 Constant3 Display 168.76542 Constant3 MD5 168.76542 6.7230518714531×10 图2基于MATLAB/SIMULINK的AES算法仿真 MD5 1 Constant2 Fig.2 Simulation of AES algorithm using MATLAB/SIMULINK Display2 7654.321 1.3数据完整性和真实性检测 7654.321 MD5 -2.217590528185×104 在NCSs中,数据在网络中传输不仅要考虑其机 Constant7 MD5 2 Display4 密性,而且要确保接收方接收到数据的真实性和完整 7654.321 性.本文采用MD5散列码和时间戳策略来确保传输 7654.321 Constant5 数据的完整性与真实性.MD5是一种单向的散列算 168.76543 MD5 168.76543 -4.7978840567495×10则 法,可以用来检测接收方所接受到的数据是否被恶意 MD5_3 Constant4 的篡改、伪造、部分截取.MD5算法接收任何维数的数 Display3 据向量输入,并根据数据向量计算出一个128位的散 图3基于MATLAB/SIMULINK的MD5算法仿真 列码.这个散列码可以表征出数据向量的特征,一旦 Fig.3 Simulation of MD5 algorithm using MATLAB/SIMULINK 数据向量遭到修改,计算得到的散列码会发生很大的 变化.图3所示为基于MATLAB./SIMULINK的MD5 1.4网络化控制数据安全传输策略有效性验证 算法仿真.当二维输入向量由[7654.321168.76543] 在S100-1实训平台上搭建管道压力控制系统验 更改为[7654.321168.76542]时,MD5算法所产生的 证所设计的SDTS的有效性.针对该管道压力系统,设 128位散列码是大相径庭的,而只有输人完全相同时, 计了一个如式(1)所示的离散PI控制器.其中系统的
魏世勇等: 基于安全传输策略的网络化预测控制系统设计 有任何数据安全措施的网络层传输协议,易受到攻击. 因此,为了应对网络中的被动攻击,必须采取相应的策 略确保传输数据的机密性,以防止恶意攻击者获取被 控对象和控制器的真实信息. 一般情况下,传输数据的机密性是通过加密算 法来确保的. 加密算法分为非对称加密算法和对 称加密算法两种. 其中,非对称加密算法并不需要 像对称加密算法那样在进行数据传输的两个实体 之间交换密钥,安全性能非常好. 但是在达到相同 的安全等级时,非对称加密算法的速度比对称加密 算法要慢上千倍,因此,本文将两者结合起来,利用 对称加密算法来进行数据的加密来保障数据传输 的实时性,通过非对称加密算法 RSA 来定时更新对 称加密算法的密钥. 表 1 对比了常见的 3 种对称加 密算法 DES、3DES 和 AES. 在 NCSs 中,控制器与传 感器、执行器之间传输的数据量较小,数据传输频 繁. 无论从速度还是安全性角度来说,AES 加密算 法最为适合的. 表 1 DES、3DES 和 AES 算法对比 Table 1 Comparison of DES, 3DES, and AES algorithms 算法 速度 密钥长度 分组长度 安全性 DES 较快 56 64 密钥短,易受穷举法攻击 3DES 较慢 112 / 168 64 DES 的三重安全性 AES 快 128 / 192 / 256 32N (N = 4,6,8) 安全级别高 本文采用 Matlab 中 S鄄鄄Function 来实现 AES 算法, 如图 2 所示为基于 MATLAB/ SIMULINK 的 AES 加密 解密过程仿真实验,其中 AES_Encryption 为 AES 加密 模块,AES_Decryption 为 AES 解密模块,当原始数据向 量进行 AES 加密后将转换成一个没有意义的数据向 量,通过 AES 解密模块则转换为初始的数据向量. 图 2 基于 MATLAB/ SIMULINK 的 AES 算法仿真 Fig. 2 Simulation of AES algorithm using MATLAB/ SIMULINK 1郾 3 数据完整性和真实性检测 在 NCSs 中,数据在网络中传输不仅要考虑其机 密性,而且要确保接收方接收到数据的真实性和完整 性. 本文采用 MD5 散列码和时间戳策略来确保传输 数据的完整性与真实性. MD5 是一种单向的散列算 法,可以用来检测接收方所接受到的数据是否被恶意 的篡改、伪造、部分截取. MD5 算法接收任何维数的数 据向量输入,并根据数据向量计算出一个 128 位的散 列码. 这个散列码可以表征出数据向量的特征,一旦 数据向量遭到修改,计算得到的散列码会发生很大的 变化. 图 3 所示为基于 MATLAB/ SIMULINK 的 MD5 算法仿真. 当二维输入向量由[7654郾 321 168郾 76543] 更改为[7654郾 321 168郾 76542] 时,MD5 算法所产生的 128 位散列码是大相径庭的,而只有输入完全相同时, 输出才一样. 此处,将 128 位的散列码分成两个 64 位 的 double 型数据,并将两个 double 型数据相加. 前者 所计算的结果为 - 4郾 7978840567495 伊 10 294 ,后者为 6郾 7230518714531 伊 10 29 2 . 两者毫无关系,相差甚远. 同样,当输入为[7654郾 321 168郾 76543]中的一部分,即 只输入 7654郾 321 时,得到的散列码也不一样. 由此, 可见 MD5 能够检测数据的完整性和真实性. 图 3 基于 MATLAB / SIMULINK 的 MD5 算法仿真 Fig. 3 Simulation of MD5 algorithm using MATLAB / SIMULINK 1郾 4 网络化控制数据安全传输策略有效性验证 在 S100鄄鄄1 实训平台上搭建管道压力控制系统验 证所设计的 SDTS 的有效性. 针对该管道压力系统,设 计了一个如式(1)所示的离散 PI 控制器. 其中系统的 ·1405·
·1406· 工程科学学报,第39卷,第9期 采样周期和控制周期均设置为0.125s,管道压力的可 图4所示为数据受攻击环境下S100-1管道压力 控范围为0~1000kPa 控制系统仿真框图,其中Sl00-1 Press Model为管道压 G(z1)= 0.0042-0.039125z-1 力系统的模型,P1限制对象的控制输入在1~5V的安 (1) 1-z1 全范围内,P2用来确保收到管道压力在0~1000kPa 式中,G为控制器的传递函数,z为复变量 之间,Data Receiver为一个网络数据接收模块, Simulated PID Receiver Setvalue Network Attacker Data Receiver PIDI S100-1 Press Model Atttakerl Simulated Receiver Data Receiverl 图4数据受攻击环境下S100-1管道压力控制系统仿真框图 Fig.4 Simulation of $100-1 pipe pressure control system under data attack 图5随时为S100-1管道压力PI控制的响应曲 700 线.其中压力的设定值为500kPa,由图可知,当网络中 600 500 不存在数据攻击行为时,利用PI控制算法能够快速、 400 稳定的控制管道压力,系统响应时间快,超调量小,在 300 …未受攻击 18s左右达到稳定.当控制系统的反向通道和前向通 200 …强度为5%的欺骗攻击 道中存在强度为5%的欺骗攻击时,系统趋于稳定,但 100 强度为10%的欺骗攻击,0-5随机延时DoS攻击 是控制效果变差,最终在500kPa左右小幅波动,而当 10 2030405060708090100 时间s 反向通道和前向通道中存在强度为10%的欺骗攻击 图5S100-1管道压力PI控制响应曲线图 时和0~5步随机延时DS攻击共同作用时,系统不再 Fig.5 PI control response curves of $100-1 pipe pressure 可控,出现较大震荡.如果不在控制器端和执行器端 对压力采样值和控制输出值进行限幅保护,系统的控 欺骗攻击和0~5步的随机延时DoS攻击,系统的控制 制效果将会变得更差,甚至发生危险 效果也并未发生明显变化,仅仅是超调量有所增大 如图6所示为数据受攻击环境下带SDTS的S100-1 当欺骗攻击强度达到40%,DoS攻击产生5~10步的 管道压力控制仿真框图.其中,使用网络控制数据安 随机延时的时候,系统的控制效果明显变差,超调量急 全工具箱实现了SDS和SDR两个安全模块,完成了数 剧变大,过渡过程时间变长.当攻击强度达到50%, 据安全传输策略SDTS的功能,控制框图的其余部分 DoS攻击产生10~15步的随机延时的时候,系统开始 与图4一致. 震荡 图7为带SDTS的管道压力PI控制响应曲线图. 通过上述分析可知,相比于没有采用安全策略的 由图可知,当系统在网络中即使同时遭受强度30%的 PI控制,带SDTS的PI控制能够应对欺骗攻击和DoS 500 Secure Data Secure Dat PID Sender Receiver Receiver Network Add Attacker PID SDS Simulated receiver2 p4 SDR S100-1 Press Model Atttaker Secure Data Simulated Secure Dat Sender Receiver Sender Simulated receiverl SDSI SDRI 图6数据受攻击环境下带SDTS的S1O0-1管道压力控制系统仿真框图 Fig.6 Simulation of S100-1 pipe pressure control system under data attack with SDTS
工程科学学报,第 39 卷,第 9 期 采样周期和控制周期均设置为 0郾 125 s,管道压力的可 控范围为 0 ~ 1000 kPa. Gc(z - 1 ) = 0郾 0042 - 0郾 039125z - 1 1 - z - 1 . (1) 式中,Gc为控制器的传递函数,z 为复变量. 图 4 所示为数据受攻击环境下 S100鄄鄄1 管道压力 控制系统仿真框图,其中 S100鄄鄄1 Press Model 为管道压 力系统的模型,P1 限制对象的控制输入在 1 ~ 5 V 的安 全范围内,P2 用来确保收到管道压力在 0 ~ 1000 kPa 之间,Data Receiver 为一个网络数据接收模块. 图 4 数据受攻击环境下 S100鄄鄄1 管道压力控制系统仿真框图 Fig. 4 Simulation of S100鄄鄄1 pipe pressure control system under data attack 图 5 随时为 S100鄄鄄 1 管道压力 PI 控制的响应曲 线. 其中压力的设定值为500 kPa,由图可知,当网络中 不存在数据攻击行为时,利用 PI 控制算法能够快速、 稳定的控制管道压力,系统响应时间快,超调量小,在 18 s 左右达到稳定. 当控制系统的反向通道和前向通 道中存在强度为 5% 的欺骗攻击时,系统趋于稳定,但 是控制效果变差,最终在 500 kPa 左右小幅波动,而当 反向通道和前向通道中存在强度为 10% 的欺骗攻击 时和 0 ~ 5 步随机延时 DoS 攻击共同作用时,系统不再 可控,出现较大震荡. 如果不在控制器端和执行器端 对压力采样值和控制输出值进行限幅保护,系统的控 制效果将会变得更差,甚至发生危险. 图 6 数据受攻击环境下带 SDTS 的 S100鄄鄄1 管道压力控制系统仿真框图 Fig. 6 Simulation of S100鄄鄄1 pipe pressure control system under data attack with SDTS 如图 6 所示为数据受攻击环境下带 SDTS 的 S100鄄鄄1 管道压力控制仿真框图. 其中,使用网络控制数据安 全工具箱实现了 SDS 和 SDR 两个安全模块,完成了数 据安全传输策略 SDTS 的功能,控制框图的其余部分 与图 4 一致. 图 7 为带 SDTS 的管道压力 PI 控制响应曲线图. 由图可知,当系统在网络中即使同时遭受强度 30% 的 图 5 S100鄄鄄1 管道压力 PI 控制响应曲线图 Fig. 5 PI control response curves of S100鄄鄄1 pipe pressure 欺骗攻击和 0 ~ 5 步的随机延时 DoS 攻击,系统的控制 效果也并未发生明显变化,仅仅是超调量有所增大. 当欺骗攻击强度达到 40% ,DoS 攻击产生 5 ~ 10 步的 随机延时的时候,系统的控制效果明显变差,超调量急 剧变大,过渡过程时间变长. 当攻击强度达到 50% , DoS 攻击产生 10 ~ 15 步的随机延时的时候,系统开始 震荡. 通过上述分析可知,相比于没有采用安全策略的 PI 控制,带 SDTS 的 PI 控制能够应对欺骗攻击和 DoS ·1406·
魏世勇等:基于安全传输策略的网络化预测控制系统设计 ·1407· 1200 -一未受攻击一30%欺骗攻击,0-5步随机延时 式中,A(z)eR[z,n],B(z)∈R[z,m],R[z, 1000 一40%欺骗攻击,5-10步随机廷时 一50%欺骗攻击,10-15步随机延时 门=。+r2小+…+2,。山,…,5均是整数,为多项 式的系数,为正整数,表示多项式的阶数,d则为对象 600 模型延时. 在不考虑网络延时、数据丢包、数据攻击等的影 200 响,设计如下控制器: 0 102030405060708090100 时间/s C(=)u(t)=D(2)e(1+d). (3) 图7带SDTS的S100-1管道压力PI控制响应曲线图 式中,C(zl)∈R[z,n.],D(z)eR[z,na],而 Fig.7 PI control response curves of S100-1 pipe pressure with e(t+d)=r(t+d)-(t+d),r(t+d)为参考输入, SDTS (t+d)为被控对象预测输出值,u(t)为控制量输出. 在:时刻,控制器端接收到被控对象端的数据包, 攻击的强度更大.当攻击强度较弱时,带SDTS的NC- 在这个数据包中包含对象的历史输入输出数据,包括 Ss几乎不受攻击的影响,但是随着攻击强度的逐渐增 对象历史输出序列y(1-te),y(t-te-1),…,y(t- 强,SDTS也无法克服其对控制系统的影响,控制效果 te-n),历史控制序列u(t-te),u(t-tc-1),…, 逐渐变差. u(t-tc-n.).时间戳t-t表示数据被打包发送的时 2数据攻击的控制补偿机制设计与实现 刻.为了便于分析,假设网络环境所引起的最大延时 为N步,并做出如式(4)所示定义: 本节从控制策略的角度出发,考虑基于Internet的 x(t-ilt-i)=zx(t-i+Ilt-i+1),i=1,2,..t, NCSs在遭受到数据攻击后,如何将攻击的危害进一步 x(t+ilt)=ax(t+i+1lt),i=0,1,..., 减小,提出一种针对数据攻击的控制补偿机制,使系统 x(t)=z-x(t+1). (4) 在受到一定强度的数据攻击后仍然能够进行稳定的控 式中,i为整数,x(t+it)表示在t时刻基于t时刻之 制,并达到较好的控制效果,从而提高NCSs应对攻击 前的历史数据所预测的x(t)之后第i步的预测值. 的能力. 如果网络中反向通道的延时为1,引入丢番图 2.1网络化预测控制攻击补偿机制设计 方程: 网络化预测控制(networked predictive control, A(z)E,(z1)+zF(z)=1. (5) NPC)方法是基于被控对象的数学模型,在控制器端采 式中,E,(zl)∈R[z,i-1],F,(z1)∈R[z,n- 用预测控制算法计算出一组未来的控制量,并运用网 1]. 络环境中的数据的包传输特性,将预测控制序列打包 发送至执行器端:并在执行器端,设置一个网络延时补 由式(2)、(4)、(5)可以迭代计算出基于t-1.时 刻对象输出预测值,如式(6)所示: 偿器,负责选择最新的预测控制序列,并根据所测网络 延时,从中提取出适当的预测控制量进行执行.理论 Y(t-1+dlt-t)=F(=)y(t-1)+ 上NP℃方法是合理的且可用的,但是该方法需要分别 G(2)u(t-t-1)+M,U(t-t-1).(6) 测得前向通道和反向通道的延时,实际应用中要解决 式中,M∈R,(t-t+d1t-e)= 时钟同步的问题.而现有的时钟同步方法的精度并不 y(t-t+dlt-t) 能满足NCSs的需求,并且仅适用于局域网.基于上述 y(t-te+d+1lt-t) U(t-eIt-t)= 因素的考虑,结合Hu等]提出的基于网络回路时延 (round trip time,RTT)的NPC方法,解决时钟同步的 Ly(t-t+d+N-1lt-1) 难题. u(t-1lt-t) F(2) 2.1.1预测控制序列产生器 u(t-t+1lt-t) ,F(z1)= F41(z1) 预测控制生成器根据被控对象端传来的历史输入 输出数据,并基于被控对象的模型结构,在线辨识出对 Lu(t-le+N-1lt-te)」 象的数学模型.利用该模型和控制算法递推计算出被 控对象的未来若干时刻的控制量,并将该控制序列发 G(2) 送至被控对象端。控制序列的计算均以被控对象端的 G(z)= G() 时刻:为基准,考虑用如下自回归滑动平均模型描述 的被控对象: G4N-1(z4) A(2)y(t+d)=B(2-)u(t). (2) 可得:
魏世勇等: 基于安全传输策略的网络化预测控制系统设计 图 7 带 SDTS 的 S100鄄鄄1 管道压力 PI 控制响应曲线图 Fig. 7 PI control response curves of S100鄄鄄 1 pipe pressure with SDTS 攻击的强度更大. 当攻击强度较弱时,带 SDTS 的 NC鄄 Ss 几乎不受攻击的影响,但是随着攻击强度的逐渐增 强,SDTS 也无法克服其对控制系统的影响,控制效果 逐渐变差. 2 数据攻击的控制补偿机制设计与实现 本节从控制策略的角度出发,考虑基于 Internet 的 NCSs 在遭受到数据攻击后,如何将攻击的危害进一步 减小,提出一种针对数据攻击的控制补偿机制,使系统 在受到一定强度的数据攻击后仍然能够进行稳定的控 制,并达到较好的控制效果,从而提高 NCSs 应对攻击 的能力. 2郾 1 网络化预测控制攻击补偿机制设计 网络 化 预 测 控 制 ( networked predictive control, NPC)方法是基于被控对象的数学模型,在控制器端采 用预测控制算法计算出一组未来的控制量,并运用网 络环境中的数据的包传输特性,将预测控制序列打包 发送至执行器端;并在执行器端,设置一个网络延时补 偿器,负责选择最新的预测控制序列,并根据所测网络 延时,从中提取出适当的预测控制量进行执行. 理论 上 NPC 方法是合理的且可用的,但是该方法需要分别 测得前向通道和反向通道的延时,实际应用中要解决 时钟同步的问题. 而现有的时钟同步方法的精度并不 能满足 NCSs 的需求,并且仅适用于局域网. 基于上述 因素的考虑,结合 Hu 等[13] 提出的基于网络回路时延 (round trip time,RTT) 的 NPC 方法,解决时钟同步的 难题. 2郾 1郾 1 预测控制序列产生器 预测控制生成器根据被控对象端传来的历史输入 输出数据,并基于被控对象的模型结构,在线辨识出对 象的数学模型. 利用该模型和控制算法递推计算出被 控对象的未来若干时刻的控制量,并将该控制序列发 送至被控对象端. 控制序列的计算均以被控对象端的 时刻 t 为基准,考虑用如下自回归滑动平均模型描述 的被控对象: A(z - 1 )y(t + d) = B(z - 1 )u(t). (2) 式中,A(z - 1 )沂R[z - 1 ,n],B(z - 1 )沂R[ z - 1 ,m],R[ z - 1 , j] = r0 + r1 z - 1 + … + rj z - j ,r0 ,r1 ,… ,rj均是整数,为多项 式的系数,j 为正整数,表示多项式的阶数,d 则为对象 模型延时. 在不考虑网络延时、数据丢包、数据攻击等的影 响,设计如下控制器: C(z - 1 )u(t) = D(z - 1 )e(t + d). (3) 式中,C(z - 1 ) 沂R[ z - 1 ,nc ],D( z - 1 ) 沂R[ z - 1 ,nd ],而 e(t + d) = r( t + d) - y^ ( t + d),r( t + d) 为参考输入, y^(t + d)为被控对象预测输出值,u(t)为控制量输出. 在 t 时刻,控制器端接收到被控对象端的数据包, 在这个数据包中包含对象的历史输入输出数据,包括 对象历史输出序列 y( t - t sc),y( t - t sc - 1),…,y( t - t sc - n),历史控制序列 u( t - t sc ),u( t - t sc - 1),…, u(t - t sc - nc). 时间戳 t - t sc表示数据被打包发送的时 刻. 为了便于分析,假设网络环境所引起的最大延时 为 N 步,并做出如式(4)所示定义: x(t - i | t - i) = z - 1 x(t - i + 1 | t - i + 1),i = 1,2,…,t, x(t + i | t) = z - 1 x(t + i + 1 | t),i = 0,1,…, x(t) = z - 1 x(t + 1). (4) 式中,i 为整数,x( t + i | t)表示在 t 时刻基于 t 时刻之 前的历史数据所预测的 x(t)之后第 i 步的预测值. 如果网络中反向通道的延时为 t sc,引入丢番图 方程: A(z - 1 )Ei(z - 1 ) + z - i Fi(z - 1 ) = 1. (5) 式中,Ei(z - 1 ) 沂R[ z - 1 ,i - 1],Fi ( z - 1 ) 沂R[ z - 1 ,n - 1]. 由式(2)、(4)、(5)可以迭代计算出基于 t - t sc时 刻对象输出预测值,如式(6)所示: ^Y(t - t sc + d | t - t sc) = F(z - 1 )y(t - t sc) + G(z - 1 )u(t - t sc - 1) + M1U(t - t sc | t - t sc). (6) 式 中, M1 沂 R N 伊 N , ^Y ( t - t sc + d | t - t sc ) = y^(t - t sc + d | t - t sc) y^(t - t sc + d + 1 | t - t sc) 左 y^(t - t sc + d + N - 1 | t - t sc é ë ê ê ê ê ê ù û ú ú ú ú ú ) , U ( t - t sc | t - t sc ) = u(t - t sc | t - t sc) u(t - t sc + 1 | t - t sc) 左 u(t - t sc + N - 1 | t - t sc é ë ê ê ê ê ê ù û ú ú ú ú ú ) ,F ( z - 1 ) = Fd (z - 1 ) Fd + 1 (z - 1 ) 左 Fd + N - 1 (z - 1 é ë ê ê ê ê ê ù û ú ú ú ú ) ú , G(z - 1 ) = Gd (z - 1 ) Gd + 1 (z - 1 ) 左 Gd + N - 1 (z - 1 é ë ê ê ê ê ê ù û ú ú ú ú ) ú . 可得: ·1407·