工业CPS多层安全防护方法

原创于 2025-10-17 09:26:43 发布 · 545 阅读

30 ·

CC 4.0 BY-SA版权

文章标签：

#信息物理系统 #CPS #入侵容忍 #安全防护 #工业控制

网络化工业过程的信息物理系统安全

摘要

信息物理系统（CPS）是网络、计算和物理过程的集成，其中嵌入式计算设备通过网络持续对物理过程进行感知、监控和控制。将互联网、实时计算机控制系统和工业过程相结合的网络化工业过程是典型的信息物理系统。随着网络攻击日益频繁，安全问题逐渐成为信息物理系统的关键问题。本文提出了一种面向网络化工业过程（即工业信息物理系统）的信息物理系统安全防护方法。该方法从通用信息技术（IT）安全防护、主动保护、入侵容忍到物理安全防护，分层应对攻击。其中，在实时控制系统中实现的入侵容忍是最关键的一层，因为实时控制系统直接影响物理层。该新型入侵容忍方案结合闭环防御框架，充分考虑了工业CPS的特殊需求。为说明该信息物理系统安全防护方法的有效性，本文以网络化水位控制系统为例，基于架构分析与设计语言（AADL）环境进行了案例研究。仿真结果表明，所提出的防护方法能够快速抵御3种注入攻击。

关键词 ：关键基础设施，信息物理系统（CPS），信息安全，系统与架构设计，入侵容忍。

1 引言

信息物理系统（CPS）是网络、计算与物理过程的集成，其中嵌入式计算设备通过网络持续感知、监控和控制物理过程，通常采用闭环方式，使物理过程影响计算，而计算又反过来影响物理过程[1]。现代网络化工业过程和关键基础设施，如水处理[2],交通[3],和化工厂[4],，是典型的信息物理系统工业应用[5]。

在过去几年中，工业控制系统实施了特殊且专用的通信网络，以确保监控功能与外部网络的隔离[6, 7]。设计者通常采用容错技术构建控制系统，并特别关注灾难恢复[8, 9]，但忽略了安全保护。人们曾认为系统是受保护的，因为它无法从外部网络访问[10]。然而，如今工业信息物理系统将网络世界和物理层的组件结合在一起，以实现一个共同目标[11]。物理进程通常通过嵌入式计算机系统经由网络进行控制/监控，其中物理层影响网络系统，反之亦然[12, 13]。虽然网络世界提供了远程监控和控制功能，但也带来了潜在的网络安全问题[14, 15]。网络安全问题对工业信息物理系统至关重要，因为系统内的实体不仅相互交互，还与物理环境交互。工业信息物理系统的网络安全保障必须根据系统的分层结构进行设计，并且必须考虑所有层级的网络安全[16]。然而，许多工业控制系统没有内置安全功能，而且信息技术（IT）领域的网络安全解决方案由于在防护目标和假设方面存在差异，不适用于工业信息物理系统[17, 18]。因此，有必要开发一种灵活且有弹性的网络安全防护方法，以保障工业信息物理系统的网络安全。

本文提出了一种面向工业信息物理系统的具有灵活结构和弹性智能的多层网络安全防护架构，该架构可帮助我们制定工业信息物理系统的网络安全策略。在该架构中，实时控制层安全是最关键的一层，与其他层有显著不同，因为控制器直接连接到物理设备，控制器的决策会立即影响物理层。通过考虑工业控制系统领域特征，构建了基于闭环防御框架的入侵容忍防护机制，以保障控制层的安全。

为评估网络安全防护架构的有效性，本文以网络化水位控制系统作为案例研究。基于Ocarina架构分析与设计语言（AADL）工具套件[19]，为该网络化水位控制系统建立了网络安全验证平台，用于分析网络安全防护方法的实施过程。

本文的组织结构如下。第2节分析了工业信息物理系统的网络安全问题。第3节提出了针对工业信息物理系统的多层网络安全架构。第4节详细介绍了实时控制层基于闭环防御框架的入侵容忍方案。然后，第5节基于ocarina AADL工具套件，以网络化水位控制系统作为案例研究，评估网络安全防护方法。第6节给出结论。

2 工业信息物理系统安全分析

历史上，工业控制系统要么是物理隔离的，要么仅通过专用硬件和通信连接到其他系统。安全问题曾被认为不严重。然而，目前作为工业控制系统主要形式的工业信息物理系统正在快速发展：从专有协议转向标准协议，从孤立运行转向与企业业务网络的互联。因此，工业信息物理系统的安全问题亟需解决。图1展示了一个工业信息物理系统的通用分层架构。

示意图0

根据保密性、完整性、可用性（CIA）三元模型[20],，通用信息技术（IT）系统的安全目标是保密性、完整性和可用性，其中保密性被视为最重要的目标。然而，在工业控制环境中，这些安全目标的优先级可能有所不同。当控制器等系统组件不可用时，可能会引发重大事故，造成人员严重伤害或对环境造成广泛破坏。因此，这些系统的安全首要关注的是保持所有系统组件和被控设备的全天候可用性。图2展示了工业信息物理系统和IT领域的安全目标及其优先级。

示意图1

不同层级的攻击类型各不相同，因为各层′的功能和通信协议通常并不相同。首先，在管理层，通用的通信协议是传输控制协议/互联网协议（TCP/IP）。发生在该层的攻击与IT领域中的攻击相同。其次，在监控层，广泛使用工业以太网，例如PROFINET、POWERLINK。该层的功能包括：配置控制系统参数以及监控控制系统的整体健康状况。主要的攻击类型为欺骗攻击和拒绝服务（DoS）攻击[21, 22]。在欺骗攻击过程中，正确的信息被篡改。为了实施欺骗攻击，攻击者可以向系统操作员发送不准确的信息，对本地处理器中的程序指令进行未授权修改，或更改报警阈值甚至将其禁用[23]。该层的拒绝服务攻击包括耗尽攻击、碰撞攻击、泛洪攻击等。为了发起拒绝服务攻击，攻击者可以干扰通信信道，直接影响系统的可用性。第三，在实时控制层，存在多种通信协议，例如PROFIBUS、控制器局域网（CAN）、RS485以及工业以太网。主要的攻击类型为响应注入攻击和命令注入攻击[24]。这两种攻击对应于向控制器或执行器发送虚假信息的欺骗攻击，虚假信息可能包括：错误的测量值、错误的测量时间，或错误的发送方标识号（ID）。最后但同样重要的是，在物理层，安全问题包括直接攻击和间接攻击。直接攻击通过物理接触发起，而间接攻击则来自实时控制层，因为其他层级无法直接访问物理层[24]。

3 多层网络安全防护架构

随着网络攻击技术的发展，仅使用单一防御技术越来越难以抵御网络威胁[25, 26]。为了在风险与可访问性之间实现平衡策略，本文提出了一种多层网络安全防护架构。如图1所示，工业信息物理系统可分为4层：管理层、监控层、实时控制层和物理层。相应地，网络安全防护架构由四层安全防御组成：IT安全、主动保护、入侵容忍和物理安全，如图3所示。实时控制层是最易受攻击的，由入侵容忍方案进行保护。

示意图2

3.1 IT安全

在管理层，实体通过互联网交换信息，该层的功能包括：历史数据存储、数据管理以及一些其他办公任务。因此，该层的安全需求与信息技术系统类似。然而，具体的安全细节可能会有所不同。在这一层，工业防火墙是安全保护的主要方法。

工业防火墙是一种互连网络设备，用于限制工业环境中两个互联网络之间的数据通信流量[16]。通常，防火墙通过规则定义区域边界，以限制可访问的端口。工业防火墙可配置为阻止所有入站网络通信流量，仅允许日常操作明确需要的通信流量。例如，工业防火墙可配置为识别并仅允许属于特定工业协议（如PROFINET和ETHERCAT）的通信流量。如果本地工业网络仅使用POWERLINK，则可将工业防火墙设置为仅允许POWERLINK通信流量。

3.2 主动保护

在监控层，通信协议通常为工业协议，与TCP/IP协议不同。因此，该层的网络安全防御不应仅仅采用IT领域的安全解决方案，而应根据应用特点来实施。为了保护监控层的网络安全，可以建立一条通过访问控制（AC）实现的主动保护防御线。

访问控制用于规范用户/设备可以执行的操作以及代表用户/设备运行的程序[27]。在此层中，访问控制由身份识别与认证控制、操作与功能块控制组成。身份识别与认证控制（一种简单的访问控制机制）是系统对用户/设备身份进行认证的过程，可防止未授权用户或设备访问站点。此外，访问控制的目标可以包括功能块和操作。

3.3 入侵容忍

在实时控制层，网络安全问题与信息技术系统中的网络安全问题大不相同。物理设备与控制器相连接，换句话说，控制器′的行为直接影响物理层，而关于物理层的反馈信息也会影响控制器的决策。实时控制层的网络安全策略必须确保即使发生网络攻击，工厂仍能继续安全运行。因此，网络安全控制应具备较强的适应性，并采用入侵容忍概念来构建该层的网络安全防御线。本文提出了一种针对实时控制层的闭环入侵容忍方案，更多细节将在第4节中介绍。

3.4 物理安全

在物理层，许多工业过程和关键基础设施直接与RT控制层接触，并通过物料流相互连接，是攻击的最终目标。为了保护工业过程和关键基础设施免受攻击，可通过安全仪表系统（SIS）建立物理安全防护防线。

安全仪表系统（SIS）是一种独立且可靠的系统，用于保护工艺过程，防止有毒、易燃或易爆化学品的灾难性释放[28]。SIS的功能是监测工艺过程中可能存在的危险状况（工艺需求），并在工艺需要保护时采取措施。当违反预设条件时，该系统由传感器、逻辑解算器和最终控制元件组成，旨在将工艺过程带入安全状态或触发正常停机程序。

4 面向RT控制层的闭环入侵容忍方案

工业信息物理系统的实时控制层具有以下领域特征：1）与物理层直接相连；2）实时性要求。实时控制层与物理层之间的紧密耦合意味着攻击者可以通过实时控制层影响物理层中的关键基础设施，可能导致人员死亡或严重伤害。因此，实时控制层的网络安全防御是工业信息物理系统安全保护架构的关键部分，必须在考虑韧性的情况下实施。实时性要求是工业过程控制的基本要求之一，网络安全防御的构建必须充分考虑实时性要求。

考虑到上述因素，提出了一种具有闭环防御框架的入侵容忍方案针对实时控制层的防御网络安全。该方法的核心思想是在软件层面结合入侵容忍概念和基于模型的方法，以构建工业信息物理系统安全的关键防御层。所提出的入侵容忍方案包括四个阶段：入侵检测、网络安全影响评估、安全策略决策和入侵响应，这四个阶段构成如图4所示的闭环防御框架。

示意图3

4.1 入侵检测

入侵检测技术通常可分为两种类型：基于特征的入侵检测和基于异常的入侵检测[29]。工业网络物理系统通常具有相对固定的结构和可预测的行为，且运行在资源受限环境中，并需实现实时/确定性性能。在入侵容忍机制中的入侵检测阶段采用异常检测技术，因为异常入侵检测的目标是检测入侵的发生，而非识别攻击者本身。

异常检测中需要解决两个挑战：1）构建正常模型；2）减少由于正常模型误差导致的误报。本文采用我们前期工作[30]中的多模型方法来建模系统的正常行为。信息物理系统的通用知识可分为三个部分：通信工程知识、软件工程知识和控制工程知识。因此，该多模型方法在多个领域（即通信工程、软件工程和控制工程）构建了多个模型，包括通信模型、任务模型、资源模型、控制数据流模型以及物理系统的关键状态。

4.2 网络安全影响评估

网络安全影响评估的目的是识别威胁以及成功攻击的后果，以便安全管理人员能够优先分配安全防御资源[17]。网络安全影响评估可以通过以下三个步骤实现：资产识别与分类、资产量化和动态评估。前两项可以离线完成，而动态评估必须在线完成。

为了评估工业信息物理系统（industrial CPS）的安全影响等级，可根据系统结构模型将资产分解为较小的部分。资产识别与分类旨在描述可用于指示资产状态的资产属性，并根据这些属性对资产进行分类。由于工业信息物理系统结构相对固定，可采用层次分析法（AHP）方法列出系统资产及其属性。由于存在多种安全属性，对工业信息物理系统的资产进行量化是一项复杂的任务。本文采用层次分析法（AHP）建立安全影响评估的分层量化模型[31]。图5展示了基于层次分析法（AHP）的安全影响评估。在量化阶段，依据专家知识离线定义组件和属性的影响权重 ωij。

随着系统运行，系统的安全状态是动态的。因此，对工业信息物理系统的安全影响评估应在线并定期执行。系统总影响值可计算为各个影响分量的加权和。无法进一步分解的元组件的影响值可计算为所有属性影响值的加权和。元组件属性的影响值可定义为攻击状态。对于一个组件，其影响值可计算为

$$
\text{impact} = \sum_{i=1}^{m} \omega_i \times \text{impact}_i \quad (1)
$$

其中 $ m $ 是组件中子组件的数量，$ \text{impact}_i(i= 1,\cdots, m) $ 是第i个元组件的影响值，而 $ \omega_i(i= 1,\cdots, m) $ 是影响权重。$ \text{impact}_i $ 可通过将组件替换为元组件，并按照公式(1)所示的方式进一步计算得出。元组件的影响可由各个属性影响获得。每个属性的攻击状态可以是1（如果受到攻击）或0（如果没有受到攻击）。

示意图4

4.3 动态博弈用于确定网络安全防护策略

安全涉及权衡，没有任何事物是绝对安全的[32]。安全服务由安全机制提供支持，例如加密服务通过 Rivest‐Shamir‐Adleman（RSA）算法、Rivest密码4（RC4）算法或数据加密标准（DES）算法实现。而安全机制的实施会对工业信息物理系统（CPS）的性能产生不利影响。因此，安全防护策略的决策过程是一个动态博弈，旨在寻求最合适的安全防护策略以实现多目标。

网络安全防护策略是一种安全服务组合，可通过多种安全机制实现。本文提出了一种分层博弈过程，以获得最合适的安全防护策略。安全服务的组合是攻防之间安全博弈的结果。支持安全服务的安全机制则是安全与性能之间（有时包括成本）安全博弈的结果。图6展示了安全防护策略的决策过程，该过程分为两个步骤：首先，构建攻防攻击防御树（ADTrees）模型[33]并生成安全服务组合。其次，构建安全‐性能博弈（SPG）模型[34]并生成安全防护机制。

示意图5

在攻防场景中，攻击者旨在绕过安全防护机制，避免被发现，并实现攻击目标（破坏系统、窃取机密信息或接管物理设备的控制权），而防御者则力求最大限度地保护系统。攻击者和防御者分别就各自的策略（图6中的a和d）做出决策。ADTrees的构建考虑了攻击者与防御者之间的交互。基于ADTrees，通过进行双人非合作有限策略博弈来优化安全服务。该阶段的输入包括安全影响评估的结果以及入侵检测系统（IDS）检测到的攻击。

在SPG模型中，性能指标（图6中的Pi）通过控制机制给出，例如绝对误差积分（IAE），而安全指标（图6中的Sj）则通过若干离散等级（如低、中、高）进行量化。确定安全服务后，可根据安全防护机制集实现这些安全服务的安全防护机制。例如，在博弈过程中，确定采用数据加密（一种安全服务）来抵御攻击，但应选择哪种加密算法（安全防护机制）来实现数据加密？为了决定具体的安全防护机制（图6中的Securitymech），必须全面考虑安全防护机制对工业信息物理系统安全性和性能的影响。在SPG过程中，攻防博弈的结果，即安全服务（图6中的Securityserv），可视为输入，而具体应用的资源和时间需求可视为边界条件。如果无法找到合适的安全防护机制来支持安全服务，则需要通过重新考虑攻击防御树来修改安全服务。例如，如有必要，可将非关键任务的安全服务降级。

4.4 实时入侵响应

工业信息物理系统通常在实时且资源受限的环境下运行。网络安全策略的实施必须考虑这些限制因素。入侵容错中的实时入侵响应本质上是系统动态重构，该过程分为三个步骤：1）系统级的任务部署；2）网络上的消息广播；3）节点级的任务重构。

实时入侵响应从动态博弈模块解读网络安全策略，以确定系统任务的新部署。它根据系统任务的原始部署，确定哪些节点需要重构以及如何进行重构。在消息广播阶段，系统中的任务（包括正在运行的任务和其他任务）被分配任务编号，每个任务的所有操作也被分配操作码（例如，建立、销毁、挂起、激活）。这样，重构消息可以表示为〈节点ID, 任务编号, 操作码〉，从而显著减少实时入侵响应引起的通信流量，并降低对实时消息的影响。在节点级，节点通过解析重构消息来执行任务重构，并根据任务编号和对应的操作码对任务进行重构。

5 案例研究

本节研究了采用所提出的分层安全架构的网络化水位控制系统（NWLCS）。如第3节所述，管理层的安全防御与IT领域的安全防御类似，相关问题已有大量文献研究[35]。因此，本案例研究重点放在管理层以下的其他三层。

NWLCS的仿真在AADL环境中进行，AADL是一种支持对具有关键特性的系统架构进行早期和重复分析的建模语言。

5.1 网络化水位控制系统

如图7所示，NWLCS由三层组成：监控层、实时控制层和物理系统。物理系统包含一个储水罐、一个水位传感器（WLS）和一台水泵，该水泵以每毫秒2%的速度向储水罐内抽水，从而提升水位。储水罐中的水被依次加热，导致水位以每毫秒0.2%的速度下降。实时控制层包括一个控制器、一个传感器、一个执行器和一条CAN总线。控制器通过启停水泵，试图将储水罐的水位维持在 H（高水位设定值）和 L（低水位设定值）之间，在仿真中为 H= 60%、L= 40%。水位的上安全限值和下安全限分别为 SH= 90%和 SL= 10%，不得超过，否则将发生安全事故。

示意图6

监控层由一个配置站、一个网关和一个POWERLINK网络组成。配置站允许操作员手动开启和关闭水泵，并设置 H 和 L水位值。网关也连接到互联网。在仿真中，该不考虑互联网，攻击在网关处发起。

5.2 在AADL环境中的仿真

AADL 允许对软件组件以及执行平台组件进行建模。Ocarina[17]能够从 AADL 模型自动生成框架代码。该代码随后与 AADL 运行时和功能源代码一起编译，生成可执行二进制文件。AADL 运行时为 AADL 生成的代码提供特定的执行服务。借助 ocarina AADL 工具套件，仿真系统的架构如图8所示。如图8(a)所示，仿真系统的硬件组件包含2个通信网络和6个处理器，分别用作网关、配置站、控制器、执行器、传感器和物理系统。在图8(b)中，仿真系统的软件包含6个进程，分别对应这6个处理器。

(a) 硬件组件
示意图7 硬件组件)

(b) 软件组件
示意图8 软件组件)

安全防御是分层构建的。1）在监控层，通过访问控制建立主动保护。访问控制部署在网关上，用于控制来自互联网的访问，这在本仿真中不是重点。数据检测在配置站上运行，检测规则可表示为“〈(H< SH) & (L> SL)〉”。2）在实时控制层，入侵容忍分布在控制器节点、执行器节点和传感器节点上部署。安全影响评估和安全策略决策在控制器节点上实现，而入侵检测和入侵响应在控制器节点、传感器节点和执行器节点上实现。3）在物理装置层，由于本例中物理系统结构简单，仅使用物理保护（也称为安全装置），该保护通过机械设备在物理系统中实现。当安全装置被激活时，对其他节点的指令将被丢弃，水泵由安全装置控制。保护规则表示如下：a）如果水位 > SH，则关闭水泵；b）如果水位 < SL，则开启水泵。

为了说明所提出的安防御架构的有效性，在网关的C源代码上模拟了攻击，各层的模拟攻击如表1所列。所有模拟的攻击均在 t= 300ms内完成。

场景	攻击类型	攻击描述
1	设置故障设定点	H=95%, L=5%
2	设置故障水位	水位 = 15%
3	设置故障指令	水流 = 0.0

5.3 仿真结果

为了便于对安全防御的有效性进行分析，NWLCS的配置如下：危险点为〈SH= 90% SL= 10%〉，设定值为〈H= 60% L= 40%〉。当水泵开启时，水流为2.0%；当水泵关闭时，水流为0。此处采用双位控制方法。当水位低于 L时，水泵开启；当水位高于H时，水泵关闭。

场景1. 监控层设定点攻击的安全防御。 设定点攻击下的仿真结果如图9所示。设定点在 t=300 ms时被修改为〈H=95%，L=5%〉。但由于水位仍在允许范围内，水位和水流并未立即受到影响。在 t= 330ms时，水位低于40%，但设定点 L已被篡改为 L= 5%。因此，水泵未启动，水位继续下降。从 t= 480ms开始，控制器输出异常，超出下安全限（SL）。但在具有安全保护的NWLCS中，通过检测规则〈(H< SH)&(L> SL)〉，此类攻击可被迅速检测到，并借助配置站中的IDR，设定点恢复为〈H= 60%， L= 40%〉，且水位和水流与正常操作下的情况一致。

(a) 水位响应
示意图9 水位响应)

(b) 水流
示意图10 水流)

场景2。针对实时控制层响应注入攻击的安全防御。 在此场景中，响应注入攻击在 t=300 ms时被注入。如图10所示，在 t=303 ms时，由于虚假的传感器响应（水位= 15%，小于 L），水泵启动，而实际水位为45.4%，大于 L。因此，水位持续上升直至水溢出水箱。但在具有安全保护的无线网络控制系统中，通过闭环的入侵容忍机制，响应注入攻击容忍的四个阶段如图11所示。阶段1：在 t=301 ms时，入侵检测模块检测到传感器数据发生变化，属于异常事件。阶段2 和阶段3：安全影响等级为 HH（极高风险），安全策略决策模块决定对传感器数据采用替代加密。阶段4：安全策略被执行，传感器数据得以恢复。

(a) 水位响应
示意图11 水位响应)

(b) 水流
示意图12 水流)

示意图13

场景3。针对物理层命令注入攻击的安全防御。 在 t= 300 ms时，水流的值被篡改为零。图12显示水位并未立即受到命令注入的影响，这是因为水流的正确值实际上是零。在 t=331 ms时，水位值为39.8%，低于L。但由于命令注入攻击，发送给执行器的水流值也为零，而不是来自控制器的正确值。换句话说，执行器被攻击者控制。显然，水位最终会持续下降至零。但在具有安全保护的WNCS中，借助物理安全，系统可保持在安全状态（维持在 SL和50%之间）。步骤1：在 t= 480 ms时，水位（10%）达到SL，安全装置被调用以启动水泵。步骤2：在 t=503 ms时，水位（51.4%）超过50%，安全装置被释放。水位维持在50%和 SL水平之间，如图12 (a) 所示。并且水流如图12 (b)所示。

(a) 水位响应
示意图14 水位响应)

(b) 水流
示意图15 水流)

在仿真中，考虑了三种典型的攻击类型。仿真中的设定点攻击通过篡改配置数据来实施，且数据的改变量较大。实时控制层的响应注入攻击必须通过入侵容忍的所有模块进行检测和恢复。尽管控制系统的响应也必然受到影响，但在采用入侵容忍方案后，系统经过短暂时间即可恢复正常。物理层的命令注入攻击对控制系统的响应产生严重影响，但物理安全的目标是防止事故发生。在这方面，物理安全非常充分。

6 结论

网络安全防护问题是工业信息物理系统广泛应用的瓶颈。本文提出了一种具有灵活结构和弹性智能的多层网络安全防护架构，以根据工业信息物理系统架构促进安全防御的实现。考虑到工业信息物理系统的特点，该网络安全防护架构由四层组成：通用IT安全、主动保护、入侵容忍和物理安全。其中，具有闭环特性的入侵容忍方案是最关键的部分，包含四个阶段：入侵检测、安全影响评估、安全策略决策和入侵响应。入侵容忍用于保护作为工业信息物理系统核心部分的实时控制层。在入侵检测阶段，采用基于模型的方法来检测异常事件；安全影响评估通过分层量化模型实现；安全策略通过两个动态博弈过程进行决策；入侵响应则对实时控制系统执行自我重构，自白名单模型的学习，以及主动保护的自我更新，以实现弹性安全。基于ocarina AADL工具平台的网络化水位控制系统仿真结果表明了所提出的网络安全防御方法的有效性。

所提出的网络安全防护架构源自工业信息物理系统的一般架构，因此有望适用于多种工业信息物理系统，如化工厂、供水系统。此外，大多数关键基础设施（如智能电网）通过各种通信技术连接，并与网络化工业过程具有相似的特征。可以合理预期，如果在实时控制层和物理保护层进行适当修改，所提出的网络安全防护方法也可适用于这些网络化的关键基础设施。

为进一步发展信息物理系统安全防护方法，未来的工作可以包括：1）进一步优化所提出方法的实时性能和资源消耗；2）探索信息物理系统安全防护更广泛的应用领域，例如无线传感网络（WNS）、高级计量基础设施（AMI）；3）基于实际结果进一步完善所提出的信息物理系统安全防护框架。