文摘

针对工业控制系统的实时要求,我们提出了一个相应的信任链方法对工业控制系统应用软件和组件基于安全权重灵敏度分析方法。一个动态信任链长度结构也提出了。在此基础上,工业控制系统软件完整性测量方法。针对模型的有效性,进行模拟攻击实验,重复的性能模型从多个角度来验证方法的性能。实验表明,该方法可以有效地满足完整性测量条件下的高实时性能,保护文件的完整性,提高工业控制系统的软件可信性。

1。介绍

工业控制系统安全,作为一个工业控制系统的重要组成部分,深刻地影响着工业控制网络相关产业的发展和拥有强大的产业关联程度和产业渗透。工业控制系统信息安全已经成为一个重要的部分集成的两个行业。带来的安全风险不再仅仅是“小”问题,如信息泄漏和不可用的信息系统。工业控制系统的攻击技术和手段越来越先进,复杂的,和成熟,工业控制系统的安全威胁越来越严重。因此,迫切需要安全措施应对安全威胁的工业控制系统。可信计算技术是工业控制行业广泛关注的,因为它可以提供安全的免疫力。作为一种主动防御的方法,可信计算可以从内部改善安全的工业控制系统(1]。

相当大的成就已经在工业控制系统的可信度,但大多数这些成就是基于传统的计算机系统(2,3]。因为工业控制系统的可靠性和实时需求并不认为,这些方法不能直接应用于工业控制系统。

工业控制系统安全的顶层设计,程et al。4)提出了一个信任computing-based工业控制安全解决方案。这个解决方案通过合作提高了工业控制系统的安全防火墙技术,入侵检测技术和可信计算技术。一个et al。5)实现可信计算技术在电力系统中的应用,实现电力系统的更高级别的安全保护,设置一个先例,为施工提供了值得参考的情况下安全免疫工程在其他行业。

在可信计算领域,传统的建设模式的信任链只适用于一个单一的系统。双冗余系统,它会导致破坏传递的信任。王等人。6)提出了一个基于信任链结构双冗余系统自动转换过程中实现可信度的决心当一个工业控制计算机失败。商等。7- - - - - -9]讨论了传统PLC(可编程逻辑控制器)的信誉在工业控制和实现具体分析从不同角度的工业控制系统中常见的设备。

TCG信任链建设有很大潜力的可信操作系统(10测量过程),但从操作系统到应用程序,TCG信任链的结构太简单,满足多样化需求的应用程序层,有较少的应用程序在应用程序层。

IMA(完整性度量架构),作为第一个完整测量体系结构基于公布的标准,具有重要意义[11]。IMA决定通过执行完整性度量软件的可信度在程序运行之前,但这并不意味着在运行时程序的可信度。施等。12]提出绑定(绑定指令和数据),为确保分布式系统细粒度的认证服务,实现了小粒度动态验证通过测量关键代码段的完整性。然而,它需要识别关键代码段输入和输出数据,建立绑定关系运行之前,这是一个复杂的过程。Shankar et al。13)提供了一个主要自动化系统验证Clark-Wilson进程间信息流的完整性。他们定义Clark-Wilson完整性的一个较弱的版本,称为CW-Lite,同一进程间信息流担保,但需要更少的过滤,只有小修改现有的应用程序。但正式验证模型的能力是不够的正式验证系统。

李等人。14)提出了一种动态可信应用程序模型特权隔离,保持应用程序加载的灵活性和提高应用程序层的可信度。加芬克尔et al。15]使测量的应用程序通过使用DRM(数字版权管理)方法提供信任。Zhang et al。16)提出了一个可信赖性分析方法为应用程序层,它使用不造成行为的方法实现实时应用指标。

工业控制系统是一个典型的系统,不需要经常重新启动,这使得工业控制系统中应用TCG的信任链非常困难,无法满足实际应用的需求17- - - - - -19]。建立一个可信操作系统的目的是确保应用程序的可信执行环境和信任关系可以继续。对于工业控制系统,基于满足工业控制系统的可靠性和实时性要求,提高应用程序的可信度是一个非常关键的问题(20.,21]。在本文中,我们从静态测量方法,开始关注实时,构建一个可信的方法在应用程序层。与现有文献相比,本文有以下主要贡献:(1)软件组件的分析方法的提出,考虑了安全敏感性。这种方法使不同文件的分级保护计划软件组件通过考虑除以安全敏感的文件。解决方案可以有效地提高实时性能的应用程序在执行完整性检查。(2)一个新的动态长度的信任链传递模型。该模型可以适应不同的实时需求,完成完整性验证的基础上,满足工业控制系统的实时要求。这个新的动态信任的长链结构的特点容易更新、动态结构和可调实时要求。(3)软件可信性验证模型提出了基于动态信任链长度。采用差异化的概念设计应用软件的组件和系统的常见的组件来实现分类和管理不同的组件和优化完整性验证的效率。有效地提高系统的完整性验证的效率,减少负担的可信计算系统,可信计算技术意味着可以继续没有系统资源的使用,可以有效兼容老工业控制系统,和增强系统的可信赖性尽可能以较低的升级成本。还讨论了模型的更新过程,它的特点是简单的软件更新。

本文的其余部分组织如下。ICS软件分析讨论部分2。一个软件信任度量模型基于动态信任链长度(DLTC)提出了部分3。由仿真结果证实了算法的有效性实验部分4。最后,给出了结论部分5。

2。ICS软件分析

2.1。实时

工业控制系统正面临着大量的新的安全挑战,和工业控制计算机,也承担着越来越多的信息安全责任。信息安全保护方法一般采用主动防御和被动防御的结合。作为一个重要的主动防御技术,可信计算变得越来越重要。一般来说,采用动态和静态相结合的方法,以确保系统的可信度。完整性度量是一种常见的静态测量方法。然而,它也有一个固有的劣势:正直可信计算的测量通常是在程序运行之前执行。服务的实时要求,必须谨慎地考虑是否使用静态测量方法的完整性测量(22]。

实时意味着输入、计算和输出的信号是在很短的时间内完成,及时处理根据生成过程的变化。实时是能够在有限的时间内完成指定功能和应对外部异步事件。重点是在指定的时间,只要在指定时间内完成是实时23]。

具体地说,任何刺激反应系统,有一个时间的刺激输入响应输出,即刺激反应T代表系统的时间响应能力。

如果响应时间T系统能满足要求的响应时间t指定的系统,也就是说,t≤T,该系统是一个实时系统。

在工业控制系统中,两个主要因素是影响系统的实时性能:一方面,实时系统中的单元组件的性质。控制器,传感器和致动器必须满足实时要求。另一方面,它指工业通信网络的实时特性,和现场设备之间的信息交互都必须在一定的时间内完成。

根据不同的系统实时需求的要求,字段信息可分为实时信息和nonreal-time信息。实时信息必须及时处理,具有高实时性能要求。必须优先考虑,以防止系统故障。同时,这个操作的可信度较高。这部分的执行程序的相关系统的故障处理行为的可信度。

完整性测量方法通常增加了延迟,影响了系统的实时性能。因此,对于具有高实时要求的系统,诚信是衡量完整性在满足实时要求的前提下。

完整性测量和实时相互通常是有限的。硬实时系统完整性测量的延迟波动可能产生重大影响,导致系统不能正常运行。软实时系统的完整性测量的影响小于硬实时系统。与此同时,工业控制系统的可用性是非常重要的。实时和可用性之间有很强的正相关关系。一般来说,可用性和实时首先应该考虑在考虑工业控制系统的安全。

2.2。文件类型

文档有不同的安全敏感性和不同级别的安全保护。对安全敏感文件,更多的安全措施需要被添加到确保他们是安全的。等安全敏感文件,动态链接库,静态链接库,和Perl脚本,分析了文件Linux平台的特点和重点的完整测量。

本文主要分析和研究了Linux系统中常用的文件类型。例如,二进制文件是传统的可执行文件,脚本语言程序通常被描述为一个文本文件。

本文认为安全敏感文件下的Linux平台可分为以下三类:第一类是可执行文件,包括文件和可执行权限,可以执行的文件,可以在得到执行可执行权限但没有执行权限。这些文件包括的主要文件,可以直接运行,包括动态链接库,静态链接库,二进制文件和脚本。第二类是包含敏感数据的文件。这些文件存储信息,可以使用在程序操作,如文件,记录文件的哈希值。他们需要验证的完整性,防止黑客修改它在获得管理员权限的这些文件。第三类是用户定义的安全敏感文件。用户可以定义文件安全敏感文件根据实际需求。

2.3。基于安全的成分分析方法灵敏度

前面分析了工业控制系统的软件需求和特点从三个视角。为了更好地描述这些文件的内部连接和特征,构造一个二维的属性来描述文件的特点。通过聚类分析文件的特点,获得的内部连接文件,这些文件被分解来满足的需要建立一个实时的信任链结构。

软件属性是由两个维度:第一是安全敏感性的重量。不同级别的安全敏感文件需要不同的权重,需要人为地确定和保护,不同的保护级别。这是一个“等级保护”的方法(24],它能有效地处理复杂的实际情况。

第二个是和函数调用和被调用之间的关系。在程序中调用关系通常是由函数。的粒度分析软件行为基于函数太小,导致太多的细节参与测量。通常,文件数量参与一个执行特定功能的程序是固定的,并不是所有的文件。通过分析一个特定的函数的调用关系,时需要验证的文件数量使用函数可以有效地减少,以提高实时性能的完整性测量。

由于软件结构的差异,很难分析自动方法的调用和被调用函数,它更依赖于经验。以OpenPLC为例,主要基于包含头文件,并调用关系的程序文件是由头文件的操作。OpenPLC文件结构清晰,容易识别。通常,每个文件夹是一个文件,执行独立的功能。

通过以上两个属性,可以将不同的文件和处理。该软件是用不同的软件结构,分析略有不同。一个设计良好的软件应该满足的要求“高内聚和低耦合。”这样的软件,很容易处理的文件和文件夹的水平。

根据这两个原则,将具有相似功能的文件放在同一”包。”包由几个文件和类似的功能和安全敏感性[25]。这些文件应该显示调用和被调用的关系。包的概念定义了组件的延迟,但组件的粒度是不同的传统定义(26,27]。这种方法更强调安全敏感的文件,这是一个改进的组件定义。

2.4。动态信任链长度

在工业控制系统中,软件更新是缓慢的,它需要很多的时间来实现动态测量方法在工业控制系统(28]。目前,静态方法被广泛使用,因为它简单和容易的部署(29日]。

一般来说,这些方法很容易实现和高度定制的,和传统的模型使用TPM作为信任的来源。可信根,TPM已被证明是一种可行的解决方案,得到了广泛的应用。许多学者提出了虚拟可信根的施工技术在云环境30.- - - - - -32]。对于一些没有TPM的工业控制系统,可以使用基于USB的可信根,也可以带来预期效果(33,34]。

TCG组织的信任链的长度是固定的,和测量时间相对固定,这并不能满足工业控制系统的实时要求。如果我们放弃直接测量一些文件,很难保证他们的可信度。因此,我们需要一个动态信任链的长度,并削减信任链的长度满足要求的信任程度。同时,信任链转移模型不能有效描述调用和应用程序之间传送控制。即使对于具有测量功能的实体,实体的数量增加的计算平台,信任链传递模型将变得难以管理。

针对这些缺点,本文提出了一个动态信任链长度为实时工业控制系统(DLTC)结构。这种结构有效地解决了固定长度的信任链的问题,固定的测量时间,可怜的实时性能。同时,这种结构还可以有效地描述软件之间的调用关系。软件依赖关系的描述能够适应当前的软件环境。

文件包使用获得的序列分析方法基于安全敏感性和组件 ,记录为 ,所示(1)。主要功能;n文件包的数量;有n+ 1文件包 :

计划,方案的描述所示(1),然后相应的信任链可以被描述为一个有序序列中描述(2);φ我= 1意味着在TL文件包;φ我= 0意味着TL文件包不;特别是,φ0 = 1意味着信任链总是包含的主要功能。

长度的计算方法所示的信任链的定义

方程(1)和(2)描述的元素包含在信任链。从本质上说,信任链仍然是一个信任链链结构,而是因为信任链中每个节点的后续节点是动态确定,它形成一个树状结构的信任链。

3所示。基于DLTC软件信任度量模型

3.1。实时的数学描述

对于一个实体,系统响应时间要求T,这意味着响应时间(35)满足以下方程:

为一个实体,响应时间没有添加完整性测量方法 ,并为其完整性测量所需的时间 ,然后总响应时间满足以下方程:

然后,预期的最大响应时间的定义信任链,如方程所示(6)。在方程(6),α是动态系数,0≤α≤1。它的存在是留下一个边缘的估计误差测量系统所需的时间,以确保系统不会失败由于超过硬实时条件下的响应时间的要求。

对于任何包 ,文件被标记为 。任何人都有两种属性,一个是文件大小,标记为 ;另一种是预期的测量时间的文件,标记为 ,描述的比较完整的散列值计算文件的完整性检查结果。

预期的测量时间对于任何文件满足以下方程:

的计算方程(7)通过最小二乘法拟合得到,它描述了一个关系。一个文件所需的时间来执行完整性测量由两部分组成。一个是文件I / O的时间,另一个是哈希计算所需的时间。在方程(7),一个描述了固定的文件I / O开销时间,和描述了测量时间,增加文件大小增加。这部分的时间主要是生成的散列操作。

参数的实际值一个和需要根据系统的实际配置计算。该参数的计算过程在本文详细的实验环境部分4.2。

然后,每个文件包的完整性测量时间 ,这被定义为测量时间之和的文件包中包含的所有文件。

最耗费时间的一步完整的信任链的动态生成的散列操作,但其他平滑处理也消耗了大量的时间。信任链生成的主要步骤包括以下部分:(1)由于串行原始TPM,积压的未完成的操作会影响后续的操作,这将导致延误,这是记录 ,如图1。(2)处理哈希度量列表(HML)操作需要时间。xml是定义在3.2节。这部分的时间可分为HML阅读时间,记录 ,和时间写HML,记录 。(3)生成随机数的时间消耗处理随机数,并生成的信任链 。(4)时间计算的完整性信任链中的所有文件。

T_h马克斯也可以在以下方程描述:

3.2。散列矩阵列表中

项目,其相关信息记录在一个文本文件,称为散列指标表记录,缩写为散列指标列表( )。它是存储在一个信任存储空间控制的 ,它是由中包含加密算法加密 ,和存储在的关键以确保安全 。文件的结构如图2。

主要的信息存储在包括以下内容:软件的文件结构和所有文件,每个文件传输测量的数量,总数测量,文件大小,每个文件的完整性测量结果。

为了防止文件被破坏,完整性测量和报告应在使用前进行每次文件确定的可信度文件。

维护更加方便和有效,我们分裂文件分为两类,第一种是散列指标记录系统表,指示为SHML(系统散列指标列表),第二个是一个应用程序表散列指标记录,表示作为AHML(应用哈希度量列表)。SHML的散列值测量结果用于存储系统中的公共资源,和AHML用于记录应用程序的散列值测量结果的文件。

采用这种设计方法的主要原因如下:(1)将所有的记录存储在一个统一的将导致太大文件和搜索效率低,不能满足设计目标。使用大文件将有一个伟大的对系统的实时性能的影响。(2)基于组件的设计方法会产生大量的公共资源。很多都是公共资源在系统动态链接库(DLL)。大量的服务调用DLL。如果每个存储相关信息,它会造成极大的资源浪费。(3)完整性测量结果的可信度可以视为短期而非长期,或无效后测量。是否需要两个完整的措施在两个调用公共资源在短时间内是值得讨论的。考虑到完整性度量的有效期,我们可以有效地减少完整性测量的时间,提高系统的实时性能。(4)考虑“最小特权”和“安全原则。“这些DLL模块仅为特定的项目。如果他们都是存储在一个统一的文件时,它可能会带来信息安全风险。

总的说来,被分为系统维护SHML控制常见的组件和应用程序特定的AHML。

节中描述2。3通过分析软件组件,这些文件在一个完整的软件进行分类,松散的文件结构是改变到一个紧凑的文件包结构。包的粒度可以根据测量要求调整。AHML动态形成的信任链构造。为确保信息安全,两个文件是用于管理AHML, AHML-H, AHML-F。

AHML-H用于存储软件包,绝对路径名和完整性度量。它存储敏感信息。为了防止篡改,它将需要修改的信息与信息,期间不需要修改操作。AHML-H存储完整性测量结果和加密的加密函数提供的TPM。

AHML-F用于存储包。它存储的主要信息文件包,包的大小,测量时间、测量时间间隔,安全敏感性重量,和总测量时间。生成的文件是动态的,当信任链。为了不存储敏感值信息和确保安全检查,随机选择算法用于实现测量次数,从而达到更好的鲁棒性,并确保正确的操作程序当测量时间的问题。

实现AHML两个文件有以下优势:首先,实现敏感信息和非敏感信息的分离。AHML-H和AHML-F存储在信任存储区域。在AHML-F没有敏感信息,它将在运行期间动态地修改程序,以确保其安全。一旦发生内存泄漏,影响将是非常小的。AHML-H文件存储敏感的完整性测量结果,可以确保其安全不只有阅读和修改。

其次,可以隐藏不必要的信息。AHML-H文件本身并不能反映这些文件需要测量,可以减少时间的文件路径和完整性测量结果出现在内存和防止信息安全问题,软件不能加载到内存时使用静态测量方法。

最后,可以减少相关文件的大小,可以减少AHML-H文件检索的复杂性。它可以节省时间来衡量,同时检索。通过将阅读AHML-H文件从写作AHML-H文件,AHML文件的写操作是独立的测量,可以节省测量时间。

3.3。信任链生成方法基于轮盘赌规则

对于软件,一系列的包是通过使用“基于安全分析方法灵敏度和组件,“保持一个AHML-F文件和一个AHML-H文件。操作系统维护一个SHML文件。对于AHML-F,数据项“措施”构成一个数组米长度1×n,米_我是次数的第i个文件包测量。数组的组合米和随机数决定信任链的生成。生成的随机数是TPM。几个函数的随机数生成器是一个提供的TPM。其数据项“安全敏感性重量”构成一个数组长度1×n,W_我是第i个文件包的重量。

每次TPM生成一个随机数R之间的映射,生成的随机数和文件包是轮盘赌选择法。产生信任链文件的步骤通过轮盘赌选择方法如下。

3.3.1。处理数组米和数组W

数组W字符的形式存在,需要转换成数字值。数组W反映了信任链结构的调整根据包的安全敏感,影响信任链的结构比例。根据敏感性,值是4、3、1,0.5。

为了提高算法的鲁棒性,限制补充道。为满足的条件方程所示(包9),在选择的信任链,被选中的概率是1,马克斯——()意味着计算数组的最大值。k数量有限的时候,可以根据实际情况调整。在这篇文章中,k = 5。

方程(9)是确保任何的次数两个包之间的差异测量不大于5,以确保在极端情况下,nonsecurity敏感数据也可以有限数量的完整性的措施。提高算法的鲁棒性。

3.3.2。选择的概率

轮盘赌选择法,也称为比例选择法,是基于个人的比例在整个。首先,数组米更新由以下方程:

然后,选择计算的概率由以下方程:

3.3.3。累积概率

每个包的选择概率计算由以下方程:

3.3.4。随机数的选择

的随机数RTPM用于确定生成的文件包中选择。如果R<问[1),选择方案1;如果问[h] <R<问[h],选择hth个体。

3.3.5。重复上述过程,直到足够的数据生成

通过这种方式,可以生成动态信任链结构。由于算法的鲁棒性,算法的测量时间并不会大大不同。

3.4。信任链的更新机制

信任链TCG的链结构采用哈希的扩展操作,这使得它难以更新。一旦更新节点的哈希值,信任链需要重新计算的散列值并进行扩展操作,导致大量的计算工作。为了解决这个问题,明星信任连锁店的散列值不同的节点,可以有效地解决这一问题的更新。信任链结构提出了恒星结构信任链的特点,很容易更新。

文件修改的更新过程如下:(1)更新AMHL-H文件。更新的文件需要更新和修改AMHL-H文件中相应的记录。(2)更新AHML-F文件。更新相应的包的文件大小。

文件添加的更新过程如下:(1)计算之间的距离特性描述的新文件和集群中心;最近的文件包分类的新文件。(2)更新AMHL-H文件。添加新记录AMHL-H文件。(3)更新AHML-F文件。更新相应的包的文件大小。

更新的文件删除过程如下:(1)更新AMHL-H文件。位于AMHL-H删除相关记录文件。(2)更新AHML-F文件。更新相应的包的文件大小。

4所示。实验

4.1。仿真平台建设

实验平台的配置如表所示1。由于实验条件的限制,采用TPM v1.2。从理论上讲,所有功能上实现TPM v1.2 TPM 2可以实现。x (36]。

这个实验只验证有效性,性能试验只代表了当前实验环境中运行效果。基准测量的数据部分4.2只代表当前的实验平台。

4.2。基准数据测量

为了客观地度量的影响设备配置的时间消耗TPM散列操作,用于测试实验方案如下:(1)随机生成1024个文件,文件大小从1 KB到1024 KB,和间隔是1 KB。(2)这些文件哈希和扩展他们通过延伸PCR操作,并记录每个操作所需的时间,计量单位女士,反复测量100倍。(3)处理数据:删除数据小于较小的四分位数,删除数据大于大的四分位数,并计算剩余数据的算术平均值来代替整个数据。(4)在步骤3中数据计算由最小二乘法拟合,拟合计算是由 在哪里散列文件所需的时间,计量单位女士;文件的大小是衡量;计量单位是KB。

拟合方程的决定系数r²= 0.9989,这表明拟合结果是好的。

4.3。基于OpenPLC案例分析

OpenPLC是一个易于使用的可编程逻辑控制器基于开源协议(37,38]。OpenPLC,文件属性的第一个维度分析了两个步骤:步骤1:过滤器安装文件名称和权威。

通过LS命令在Linux中,输出相关的所有文件名和当局,过滤掉的文件可以被视为security-sensitivity重量D通过反向过滤。文件这样的特征通常是如下:(1)C / c++语言源代码,Java源代码,Makefile和源代码和其他文件:不包括脚本文件。OpenPLC,这些文件只是用于安装和不工作在随后的软件操作。(2)软件安装期间使用的配置文件:这些文件为Linux软件安装服务。软件运行过程中使用的配置文件不包括。(3)中间文件的编译过程:有很多OpenPLC C / c++程序,这将产生一些中间文件在编译的过程中。(4)辅助函数文件,这些文件是用来帮助用户和无关的可信操作软件。这些文件主要包括帮助文档、readme安装日志,和版权许可文件。(5)文件安装平台无关的:在OpenPLC,有相关文件为Windows平台和码头工人容器。这些文件是否有安全敏感性取决于不同的实验平台。在这个实验中使用的平台,这些文件是无用的。(6)当软件具有较强的鲁棒性,一些图像文件可以被视为不安全敏感。软件的重要前提是有足够的鲁棒性和不会失败由于缺乏这些图像文件。步骤2:通过手工测量,安全的敏感性文件可以更准确地确定。

对于OpenPLC,一些文件夹用于存储输出文件的软件。这些都是软件输出和无关的操作软件。这些输出可以保证数据的安全加密,这超出了本文的范围。

根据上述方法,OpenPLC包数量和文件大小如表所示2。如表所示2文件的总大小,包是1092.5 KB。根据(13),预期的测量时间是24.0961毫秒,最大文件包大小是861.4 KB,和预期的测量时间是18.5721毫秒,占总数的77%预期测量时间。这个问题的主要原因是,文件包包含文件和内存消耗大。

4.4。有效性分析

成功安装后的实验环境,比较实验是为了验证该算法的有效性。算法的验证主要考虑是否该算法可以有效地防止非法创业行为。

表3显示了算法的有效性。上述分析表明,该算法是有效的。

4.5。性能分析

动态信任链长度主要解决了严格的工业控制系统的实时要求,所以其性能的波动是非常重要的工业控制系统软件的可信度和性能分析的模型。实时分析可以从两个方面:低延迟和高要求延迟的要求。

首先,测试执行时实时的要求很低,所有的指标都可以执行,预期的最大响应时间是有限的。这个时间限制可以完全满足包分配表所示2。在实时条件下,100年重复测试的实验数据图所示3。

在图中所示的数据3,最大的消费时间是25.6791毫秒,最低消费时间是23.0454毫秒,平均消费时间是24.2340毫秒,方差是0.3627。从数据波动和方差数据如图3,我们可以看到算法的稳定性很好,和数据波动很小。完整性度量,过程中预期的最大响应时间T_h马克斯不会超过,可满足实时的要求低。

其次,测试执行情况实时要求高和大量的测量无法进行。在这种情况下,算法的调度能力决定了文件是测量的次数。动态系数的极限α= 0.9,最大的预期响应时间T_h马克斯= 24女士,和所需的时间OpenPLC执行散列操作T0 = 24.0961毫秒,这里T0 > T_h马克斯。同时,考虑到计算时间的波动在测量过程中,所有文件的完整性测量过程中无法计算。为了满足工业控制系统的实时和强劲的需求,算法的性能分析应该从两个方面进行:(1)考虑算法的波动。算法的波动将导致超时并摧毁工业控制系统的可用性;(2)考虑包测量过程的波动。测量每个软件包的次数应该尽可能的稳定,确保每个文件有机会被测量,以提高整个软件系统的可信度。

在图4,最大值为25.3655,其中54%大于T_h马克斯。所有样品都小于T_h马克斯α。α= 0.9用于描述边缘留下的算法。可以看出,该算法不超过极限。结果表明,算法的波动是合理的,不会导致程序执行失败超过了时间限制。

当动态系数α= 0.9,预期的最大响应时间的最大分布25 T≥女士_h马克斯≥19女士,分布的最大运行时间图所示5。

5。结论

根据工业控制系统的实时要求,以及操作系统和应用软件很少参与TCG相关研究,相应的信任链提出了施工方法。根据工业控制系统软件的特点,基于安全的成分分析方法灵敏度的体重从三个方面提出的实时要求,组件的特点,和文件的特征。基于传统的信任链结构的分析,提出了一种动态长度信任链结构。这种信任链结构的生成过程详细描述,并举例进行了分析。

从两个方面评估模型的有效性。模型的有效性验证了模拟攻击实验,分析和动态信任链长度的有效性通过模拟不同的攻击行为的影响在文件更改。实验表明,该方法可以有效地处理各种各样的攻击,保护文件的完整性,提高计划的可信度。模型的性能分析了重复实验。性能分析实验表明,该方法可以满足不同的实时要求。

本文研究了测量方法的操作系统和应用程序在信任链和提出了一个新的信任链结构。但是,这种方法仍然需要进一步改善。目前,分析过程的自动化程度很低,这需要人类经验的介入,过程比较复杂。实时条件是有限的,因为信息安全技术将不可避免地导致延迟,和严酷的实时需求无法满足。这些是我们进一步研究的方向。

数据可用性

没有数据被用来支持本研究。

的利益冲突

作者宣称没有利益冲突有关的出版。

确认

这部分工作是支持“中国国家重点研发项目”(2018 yfb2004200),浙江实验室开放项目的“施工技术的当地高安全可信执行环境优势智能控制器”(2021 kf0ab06)和中国国家自然科学基金“异常检测和安全意识的研究方法对工业通信行为”(61773368)。作者还想承认的有用的评论和建议工业控制系统安全软件组。他们的努力非常感激。