基于安全传输策略的网络化预测控制系统设计

工程科学学报，第39卷，第9期：1403-1411,2017年9月 Chinese Journal of Engineering,Vol.39,No.9:1403-1411,September 2017 D0l:10.13374/j.issn2095-9389.2017.09.014;htp:/journals.ustb.edu.cn 基于安全传输策略的网络化预测控制系统设计 魏世勇，尉思谜，杨志涛 中南大学信息科学与工程学院，长沙410083 ☒通信作者，E-mail:esywei@csu.cd.cm 摘要为确保网络控制系统中传输数据的完整性、实时性、机密性和可用性，提高系统对抗数据攻击的能力，提出了一种基 于MD5散列码、时间戳和AS加密算法的数据安全传输策略，该策略兼顾了系统中控制器端和被控对象端数据传输的安全 性和实时性.并从控制策略的角度出发，考虑在系统遭受到数据攻击后，采用基于网络回路时延的网络预测控制方法对数据 攻击进行补偿，使系统在受到一定强度的数据攻击后仍然能够进行稳定的控制，从而提高网络控制系统应对攻击的能力.采 用S100-1实训平台管道压力控制系统验证了基于安全传输策略的网络化预测控制系统有较好的安全性和抗数据攻击能力. 关键词网络控制系统：安全传输策略：预测控制：数据攻击 分类号TP273.5 Design of networked predictive control system based on secure transmission strategy WEI Shi-yong,WEI Si-mi,YANG Zhi-tao School of Information Science and Engineering,Central South University,Changsha 410083,China Corresponding author,E-mail:esywei@csu.edu.cn ABSTRACT To ensure the integrity,real-time performance,confidentiality and usability of data transmission in networked control systems and improve the ability of the system against data attacks,a data transmission strategy based on the MD5 hash code,time stamp,and AES encryption algorithm was proposed.This strategy takes into account the security and real-time of data transmission of both the controlled object side and the controller side of the networked control system.And the networked predictive control based on round trip time delay was used to compensate for the effect on the system after it had been attacked by data,so that the system can be stably controlled after being attacked by some intensity of data and also achieves a better control effect,thereby improving the ability of network control systems to deal with attacks.The S100-1 training platform pipeline pressure control system is used to prove that the proposed networked predictive control system based on the secure transmission strategy has better security and anti-attack ability. KEY WORDS networked control system;secure transmission strategy;predictive control;data attack 网络化控制系统(networked control systems,NCSs) 制方法[o]、智能控制方法[)、鲁棒控制方法、模型控制 被广泛应用于军事、，电力、航空航天等各个领域.然 方法[)、预测控制方法[o]等十余种.而对于NCSs中 而，当网络发生故障时，网络传输的控制信息会出现丢 数据安全的研究主要从数据的机密性、完整性、可用性 失、乱序和延时等现象，继而对控制系统产生严重的影 三个性能指标出发.其中，Yuan等[利用FPGA进行 响.而且，由于网络存在开放性和交互性等特点，在考 了DES加密算法的软硬件设计，并通过网络化直流电 虑网络延时、数据丢包等对控制系统影响的同时，网络 机转速控制系统验证了该硬件加密板的功能.Gupta 安全攻击对于NCSs的影响也不可小觑[) 与Chowt]利用DES、3DES、AES三种硬件加密算法确 目前，针对NCSs的控制策略主要有随机最优控 保了NCSs中网络数据流和传感器存储数据的机密 收稿日期：2016-11-09 基金项目：中南大学资助项目(160260002)：中南大学中央高校基本科研业务费专项资金资助项目(2016za349)

工程科学学报,第 39 卷,第 9 期:1403鄄鄄1411,2017 年 9 月 Chinese Journal of Engineering, Vol. 39, No. 9: 1403鄄鄄1411, September 2017 DOI: 10. 13374 / j. issn2095鄄鄄9389. 2017. 09. 014; http: / / journals. ustb. edu. cn 基于安全传输策略的网络化预测控制系统设计 魏世勇苣 , 尉思谜, 杨志涛 中南大学信息科学与工程学院, 长沙 410083 苣通信作者, E鄄mail: esywei@ csu. edu. cn 摘 要 为确保网络控制系统中传输数据的完整性、实时性、机密性和可用性,提高系统对抗数据攻击的能力,提出了一种基 于 MD5 散列码、时间戳和 AES 加密算法的数据安全传输策略,该策略兼顾了系统中控制器端和被控对象端数据传输的安全 性和实时性. 并从控制策略的角度出发,考虑在系统遭受到数据攻击后,采用基于网络回路时延的网络预测控制方法对数据 攻击进行补偿,使系统在受到一定强度的数据攻击后仍然能够进行稳定的控制,从而提高网络控制系统应对攻击的能力. 采 用 S100鄄鄄1 实训平台管道压力控制系统验证了基于安全传输策略的网络化预测控制系统有较好的安全性和抗数据攻击能力. 关键词 网络控制系统; 安全传输策略; 预测控制; 数据攻击 分类号 TP273郾 5 Design of networked predictive control system based on secure transmission strategy WEI Shi鄄yong 苣 , WEI Si鄄mi, YANG Zhi鄄tao School of Information Science and Engineering, Central South University, Changsha 410083, China 苣Corresponding author, E鄄mail: esywei@ csu. edu. cn ABSTRACT To ensure the integrity, real鄄time performance, confidentiality and usability of data transmission in networked control systems and improve the ability of the system against data attacks, a data transmission strategy based on the MD5 hash code, time stamp, and AES encryption algorithm was proposed. This strategy takes into account the security and real鄄time of data transmission of both the controlled object side and the controller side of the networked control system. And the networked predictive control based on round trip time delay was used to compensate for the effect on the system after it had been attacked by data, so that the system can be stably controlled after being attacked by some intensity of data and also achieves a better control effect, thereby improving the ability of network control systems to deal with attacks. The S100鄄鄄1 training platform pipeline pressure control system is used to prove that the proposed networked predictive control system based on the secure transmission strategy has better security and anti鄄attack ability. KEY WORDS networked control system; secure transmission strategy; predictive control; data attack 收稿日期: 2016鄄鄄11鄄鄄09 基金项目: 中南大学资助项目(160260002);中南大学中央高校基本科研业务费专项资金资助项目(2016zzts349) 网络化控制系统(networked control systems,NCSs) 被广泛应用于军事、电力、航空航天等各个领域[4] . 然 而,当网络发生故障时,网络传输的控制信息会出现丢 失、乱序和延时等现象,继而对控制系统产生严重的影 响. 而且,由于网络存在开放性和交互性等特点,在考 虑网络延时、数据丢包等对控制系统影响的同时,网络 安全攻击对于 NCSs 的影响也不可小觑[5] . 目前,针对 NCSs 的控制策略主要有随机最优控 制方法[6] 、智能控制方法[7] 、鲁棒控制方法、模型控制 方法[8] 、预测控制方法[10] 等十余种. 而对于 NCSs 中 数据安全的研究主要从数据的机密性、完整性、可用性 三个性能指标出发. 其中,Yuan 等[11] 利用 FPGA 进行 了 DES 加密算法的软硬件设计,并通过网络化直流电 机转速控制系统验证了该硬件加密板的功能. Gupta 与 Chow [12]利用 DES、3DES、AES 三种硬件加密算法确 保了 NCSs 中网络数据流和传感器存储数据的机密

.1404. 工程科学学报，第39卷，第9期 性，并比较了3种加密算法对系统动态性能的影响，最 制系统来解决开放式互联网的NCSs安全问题 后利用一维增益调度器补偿了加密算法对系统性能的 影响.Cao等[]对于NCSs中的网络数据安全传输策 1数据安全传输策略设计 略进行了探讨，设计了一种数字签名方法，确保控制算 本节设计了一种数据安全传输策略(secure data 法及参数的改变来自可靠的发送方，提出了被动和主 transmission scheme,SDTS),如图1所示，当数据发送 动两种策略监控控制设备的行为. 方发送数据时，首先利用MD5散列码和时间戳给发送 上述对于NCSs安全问题的研究主要集中在对工 数据打上标记，然后采用AES加密算法对标记后的数 业NCSs的整体安全性能分析上，而对于通过因特网 据加密，使用用户数据报协议/因特网互联协议(user (internet)等开放网络形成控制闭环回路的NCSs,大多 datagram protocol/internet protocol,UDP/P)协议发送 数学者致力于分析网络中可能存在的攻击行为，并进 到数据接收方.数据接收方通过UDP/P接收器获取 行建模，提出一些攻击行为的检测方法，但是并没有提 数据后，首先利用AES解密算法将数据解密，然后利 供在检测到网络恶意攻击行为后的响应措施以及如何 用接收方的MD5散列码和时间戳策略判断数据的完 减小攻击对系统动态性能的影响，提高控制系统应对 整性和真实性，从而决定是否丢弃或者接收数据.其 攻击的能力.而对于NCSs中数据的安全传输策略的 中，密钥的更新通过非对称加密算法RSA来实现. 研究大都多侧重于保证数据的机密性，或仅针对数据 SDTS兼顾了NCSs中控制器端和被控对象端进行数据 安全指标的某一方面，没有结合NCSs的特性，综合考 传输的安全性和实时性，可以较好的应对来自网络的 虑传输数据的实时性、机密性、完整性和可用性.因 数据攻击.从而确保基于Internet的NCSs中数据传输 此，本文提出一种基于安全传输策略的网络化预测控 的安全性. 数据发送方 数据接收方 时钟 时间戳 MD5散列码&时间 数据 MD5 散列码 AES UDP/TP UDP/IP AES 截策略判端数据 加密 发送器 接收器 解密 真实性和完整性 数据 RSA算法定时 RSA算法定时 更新密钥 更新密钥 图1SDTS整体结构图 Fig.1 General design structure of SDTS 1.1数据传输协议选择 (2)在基于TCP协议的数据传输过程中，在网络 在NCSs中，控制器与传感器、执行器之间存在着 层无法确保每个P数据包均成功到达目的地，发送者 较为频繁的数据传输，传输的效率直接影响整个控制 如果在一段时间内没有收到确认信号，它将重新发送 系统的稳定性.当数据的传输在Internet进行时必须 相关的数据包，对于NCSs这种实时系统来说，重新发 选择传输控制协议/因特网互联协议(transmission con- 送的数据包的价值并不大，造成资源浪费. trol protocol/internet protocol,TCP/IP)协议栈，如果数 (3)为确保接收者接收到的数据包的顺序和发送 据传输是在协议栈的上层进行的，就会产生额外的开 者的发送顺序一致，TCP协议提供了顺序确保机制，而 销，如果在底层进行数据传输则很难进行控制，所以选 这同样不适用于NCSs.一旦后发送的数据包先到达 择传输层协议进行数据的传输. 目的地，数据接收方会先将该数据包缓存，并不将它发 典型的传输层协议有TCP和UDP两种.其中， 送给相应的应用进程，直到其之前发送的数据包都到 TCP协议是一个基于可靠连接的协议，UDP则是一个 达目的地为止，这种等待消耗的时间将大大降低NCSs 更加轻量级的无连接协议.在基于Internet的NCSs中 的性能. 选择UDP协议进行数据的传输，主要有以下几个 综上所述，在控制端与被控对象端进行数据的传 原因： 输时，宜采用效率和实时性能更高的UDP协议 (1)UDP协议在通信之前不需要进行繁琐的连接 1.2数据传输机密性分析与实现 建立过程，数据传输效率高于TCP协议，比较适用于 在基于Internet的NCSs中，发送方的数据要准确 控制系统中小数据量的通信过程. 传送至接收方，还必须依靠P协议.P协议是一个没

工程科学学报,第 39 卷,第 9 期 性,并比较了 3 种加密算法对系统动态性能的影响,最 后利用一维增益调度器补偿了加密算法对系统性能的 影响. Cao 等[13]对于 NCSs 中的网络数据安全传输策 略进行了探讨,设计了一种数字签名方法,确保控制算 法及参数的改变来自可靠的发送方,提出了被动和主 动两种策略监控控制设备的行为. 上述对于 NCSs 安全问题的研究主要集中在对工 业 NCSs 的整体安全性能分析上,而对于通过因特网 (internet)等开放网络形成控制闭环回路的 NCSs,大多 数学者致力于分析网络中可能存在的攻击行为,并进 行建模,提出一些攻击行为的检测方法,但是并没有提 供在检测到网络恶意攻击行为后的响应措施以及如何 减小攻击对系统动态性能的影响,提高控制系统应对 攻击的能力. 而对于 NCSs 中数据的安全传输策略的 研究大都多侧重于保证数据的机密性,或仅针对数据 安全指标的某一方面,没有结合 NCSs 的特性,综合考 虑传输数据的实时性、机密性、完整性和可用性. 因 此,本文提出一种基于安全传输策略的网络化预测控 制系统来解决开放式互联网的 NCSs 安全问题. 1 数据安全传输策略设计 本节设计了一种数据安全传输策略( secure data transmission scheme,SDTS),如图 1 所示,当数据发送 方发送数据时,首先利用 MD5 散列码和时间戳给发送 数据打上标记,然后采用 AES 加密算法对标记后的数 据加密,使用用户数据报协议/ 因特网互联协议( user datagram protocol / internet protocol,UDP / IP) 协议发送 到数据接收方. 数据接收方通过 UDP / IP 接收器获取 数据后,首先利用 AES 解密算法将数据解密,然后利 用接收方的 MD5 散列码和时间戳策略判断数据的完 整性和真实性,从而决定是否丢弃或者接收数据. 其 中,密钥的更新通过非对称加密算法 RSA 来实现. SDTS 兼顾了 NCSs 中控制器端和被控对象端进行数据 传输的安全性和实时性,可以较好的应对来自网络的 数据攻击. 从而确保基于 Internet 的 NCSs 中数据传输 的安全性. 图 1 SDTS 整体结构图 Fig. 1 General design structure of SDTS 1郾 1 数据传输协议选择 在 NCSs 中,控制器与传感器、执行器之间存在着 较为频繁的数据传输,传输的效率直接影响整个控制 系统的稳定性. 当数据的传输在 Internet 进行时必须 选择传输控制协议/ 因特网互联协议( transmission con鄄 trol protocol / internet protocol,TCP / IP) 协议栈,如果数 据传输是在协议栈的上层进行的,就会产生额外的开 销,如果在底层进行数据传输则很难进行控制,所以选 择传输层协议进行数据的传输. 典型的传输层协议有 TCP 和 UDP 两种. 其中, TCP 协议是一个基于可靠连接的协议,UDP 则是一个 更加轻量级的无连接协议. 在基于 Internet 的 NCSs 中 选择 UDP 协议进行数据的传 输, 主 要 有 以 下 几 个 原因: (1)UDP 协议在通信之前不需要进行繁琐的连接 建立过程,数据传输效率高于 TCP 协议,比较适用于 控制系统中小数据量的通信过程. (2)在基于 TCP 协议的数据传输过程中,在网络 层无法确保每个 IP 数据包均成功到达目的地,发送者 如果在一段时间内没有收到确认信号,它将重新发送 相关的数据包,对于 NCSs 这种实时系统来说,重新发 送的数据包的价值并不大,造成资源浪费. (3)为确保接收者接收到的数据包的顺序和发送 者的发送顺序一致,TCP 协议提供了顺序确保机制,而 这同样不适用于 NCSs. 一旦后发送的数据包先到达 目的地,数据接收方会先将该数据包缓存,并不将它发 送给相应的应用进程,直到其之前发送的数据包都到 达目的地为止,这种等待消耗的时间将大大降低 NCSs 的性能. 综上所述,在控制端与被控对象端进行数据的传 输时,宜采用效率和实时性能更高的 UDP 协议. 1郾 2 数据传输机密性分析与实现 在基于 Internet 的 NCSs 中,发送方的数据要准确 传送至接收方,还必须依靠 IP 协议. IP 协议是一个没 ·1404·

魏世勇等：基于安全传输策略的网络化预测控制系统设计 ·1405· 有任何数据安全措施的网络层传输协议，易受到攻击. 的安全等级时，非对称加密算法的速度比对称加密 因此，为了应对网络中的被动攻击，必须采取相应的策 算法要慢上千倍，因此，本文将两者结合起来，利用 略确保传输数据的机密性，以防止恶意攻击者获取被 对称加密算法来进行数据的加密来保障数据传输 控对象和控制器的真实信息. 的实时性，通过非对称加密算法RSA来定时更新对 般情况下，传输数据的机密性是通过加密算 称加密算法的密钥.表1对比了常见的3种对称加 法来确保的.加密算法分为非对称加密算法和对 密算法DES、3DES和AES.在NCSs中，控制器与传 称加密算法两种.其中，非对称加密算法并不需要 感器、执行器之间传输的数据量较小，数据传输频 像对称加密算法那样在进行数据传输的两个实体 繁.无论从速度还是安全性角度来说，AES加密算 之间交换密钥，安全性能非常好.但是在达到相同 法最为适合的. 表1DES,3DES和AES算法对比 Table 1 Comparison of DES,3DES,and AES algorithms 算法 速度 密钥长度 分组长度 安全性 DES 较快 56 64 密钥短，易受穷举法攻击 3DES 较慢 112/168 64 DES的三重安全性 AES 快 128/192/256 32N(N=4,6.8) 安全级别高 本文采用Matlab中S-Function来实现AES算法， 输出才一样.此处，将128位的散列码分成两个64位 如图2所示为基于MATLAB/SIMULINK的AES加密 的double型数据，并将两个double型数据相加.前者 解密过程仿真实验，其中AES_Encryption为AES加密 所计算的结果为-4.7978840567495×109，后者为 模块，AES_Decryption为AES解密模块，当原始数据向 6.7230518714531×1092.两者毫无关系，相差甚远. 量进行AES加密后将转换成一个没有意义的数据向 同样，当输入为[7654.321168.76543]中的一部分，即 量，通过AES解密模块则转换为初始的数据向量 只输入7654.321时，得到的散列码也不一样.由此， 可见MD5能够检测数据的完整性和真实性. -1.708×10-22 11.11 -1.066x10+四 7654.321 -2.41×10% 7654.32 Constant l 1.569x10可 Constant] 168.76543 22.12 DisplayI 168.76543 -4.7978840567495×10四 Constant MD5 11.11 Constant 33.13 22.12 Displayl AES E AES D Constant2 33.13 7654.321 AES Encryption AES_Decryption 66.28 7654.321 66.28 Constant3 Display 168.76542 Constant3 MD5 168.76542 6.7230518714531×10 图2基于MATLAB/SIMULINK的AES算法仿真 MD5 1 Constant2 Fig.2 Simulation of AES algorithm using MATLAB/SIMULINK Display2 7654.321 1.3数据完整性和真实性检测 7654.321 MD5 -2.217590528185×104 在NCSs中，数据在网络中传输不仅要考虑其机 Constant7 MD5 2 Display4 密性，而且要确保接收方接收到数据的真实性和完整 7654.321 性.本文采用MD5散列码和时间戳策略来确保传输 7654.321 Constant5 数据的完整性与真实性.MD5是一种单向的散列算 168.76543 MD5 168.76543 -4.7978840567495×10则 法，可以用来检测接收方所接受到的数据是否被恶意 MD5_3 Constant4 的篡改、伪造、部分截取.MD5算法接收任何维数的数 Display3 据向量输入，并根据数据向量计算出一个128位的散 图3基于MATLAB/SIMULINK的MD5算法仿真 列码.这个散列码可以表征出数据向量的特征，一旦 Fig.3 Simulation of MD5 algorithm using MATLAB/SIMULINK 数据向量遭到修改，计算得到的散列码会发生很大的 变化.图3所示为基于MATLAB./SIMULINK的MD5 1.4网络化控制数据安全传输策略有效性验证 算法仿真.当二维输入向量由[7654.321168.76543] 在S100-1实训平台上搭建管道压力控制系统验 更改为[7654.321168.76542]时，MD5算法所产生的 证所设计的SDTS的有效性.针对该管道压力系统，设 128位散列码是大相径庭的，而只有输人完全相同时， 计了一个如式(1)所示的离散PI控制器.其中系统的

魏世勇等: 基于安全传输策略的网络化预测控制系统设计 有任何数据安全措施的网络层传输协议,易受到攻击. 因此,为了应对网络中的被动攻击,必须采取相应的策 略确保传输数据的机密性,以防止恶意攻击者获取被 控对象和控制器的真实信息. 一般情况下,传输数据的机密性是通过加密算 法来确保的. 加密算法分为非对称加密算法和对 称加密算法两种. 其中,非对称加密算法并不需要 像对称加密算法那样在进行数据传输的两个实体 之间交换密钥,安全性能非常好. 但是在达到相同 的安全等级时,非对称加密算法的速度比对称加密 算法要慢上千倍,因此,本文将两者结合起来,利用 对称加密算法来进行数据的加密来保障数据传输 的实时性,通过非对称加密算法 RSA 来定时更新对 称加密算法的密钥. 表 1 对比了常见的 3 种对称加 密算法 DES、3DES 和 AES. 在 NCSs 中,控制器与传 感器、执行器之间传输的数据量较小,数据传输频 繁. 无论从速度还是安全性角度来说,AES 加密算 法最为适合的. 表 1 DES、3DES 和 AES 算法对比 Table 1 Comparison of DES, 3DES, and AES algorithms 算法 速度 密钥长度 分组长度 安全性 DES 较快 56 64 密钥短,易受穷举法攻击 3DES 较慢 112 / 168 64 DES 的三重安全性 AES 快 128 / 192 / 256 32N (N = 4,6,8) 安全级别高 本文采用 Matlab 中 S鄄鄄Function 来实现 AES 算法, 如图 2 所示为基于 MATLAB/ SIMULINK 的 AES 加密 解密过程仿真实验,其中 AES_Encryption 为 AES 加密 模块,AES_Decryption 为 AES 解密模块,当原始数据向 量进行 AES 加密后将转换成一个没有意义的数据向 量,通过 AES 解密模块则转换为初始的数据向量. 图 2 基于 MATLAB/ SIMULINK 的 AES 算法仿真 Fig. 2 Simulation of AES algorithm using MATLAB/ SIMULINK 1郾 3 数据完整性和真实性检测 在 NCSs 中,数据在网络中传输不仅要考虑其机 密性,而且要确保接收方接收到数据的真实性和完整 性. 本文采用 MD5 散列码和时间戳策略来确保传输 数据的完整性与真实性. MD5 是一种单向的散列算 法,可以用来检测接收方所接受到的数据是否被恶意 的篡改、伪造、部分截取. MD5 算法接收任何维数的数 据向量输入,并根据数据向量计算出一个 128 位的散 列码. 这个散列码可以表征出数据向量的特征,一旦 数据向量遭到修改,计算得到的散列码会发生很大的 变化. 图 3 所示为基于 MATLAB/ SIMULINK 的 MD5 算法仿真. 当二维输入向量由[7654郾 321 168郾 76543] 更改为[7654郾 321 168郾 76542] 时,MD5 算法所产生的 128 位散列码是大相径庭的,而只有输入完全相同时, 输出才一样. 此处,将 128 位的散列码分成两个 64 位 的 double 型数据,并将两个 double 型数据相加. 前者 所计算的结果为 - 4郾 7978840567495 伊 10 294 ,后者为 6郾 7230518714531 伊 10 29 2 . 两者毫无关系,相差甚远. 同样,当输入为[7654郾 321 168郾 76543]中的一部分,即 只输入 7654郾 321 时,得到的散列码也不一样. 由此, 可见 MD5 能够检测数据的完整性和真实性. 图 3 基于 MATLAB / SIMULINK 的 MD5 算法仿真 Fig. 3 Simulation of MD5 algorithm using MATLAB / SIMULINK 1郾 4 网络化控制数据安全传输策略有效性验证 在 S100鄄鄄1 实训平台上搭建管道压力控制系统验 证所设计的 SDTS 的有效性. 针对该管道压力系统,设 计了一个如式(1)所示的离散 PI 控制器. 其中系统的 ·1405·

·1406· 工程科学学报，第39卷，第9期 采样周期和控制周期均设置为0.125s,管道压力的可 图4所示为数据受攻击环境下S100-1管道压力 控范围为0~1000kPa 控制系统仿真框图，其中Sl00-1 Press Model为管道压 G(z1)= 0.0042-0.039125z-1 力系统的模型，P1限制对象的控制输入在1~5V的安 (1) 1-z1 全范围内，P2用来确保收到管道压力在0~1000kPa 式中，G为控制器的传递函数，z为复变量 之间，Data Receiver为一个网络数据接收模块， Simulated PID Receiver Setvalue Network Attacker Data Receiver PIDI S100-1 Press Model Atttakerl Simulated Receiver Data Receiverl 图4数据受攻击环境下S100-1管道压力控制系统仿真框图 Fig.4 Simulation of $100-1 pipe pressure control system under data attack 图5随时为S100-1管道压力PI控制的响应曲 700 线.其中压力的设定值为500kPa,由图可知，当网络中 600 500 不存在数据攻击行为时，利用PI控制算法能够快速、 400 稳定的控制管道压力，系统响应时间快，超调量小，在 300 …未受攻击 18s左右达到稳定.当控制系统的反向通道和前向通 200 …强度为5%的欺骗攻击 道中存在强度为5%的欺骗攻击时，系统趋于稳定，但 100 强度为10%的欺骗攻击，0-5随机延时DoS攻击 是控制效果变差，最终在500kPa左右小幅波动，而当 10 2030405060708090100 时间s 反向通道和前向通道中存在强度为10%的欺骗攻击 图5S100-1管道压力PI控制响应曲线图 时和0~5步随机延时DS攻击共同作用时，系统不再 Fig.5 PI control response curves of $100-1 pipe pressure 可控，出现较大震荡.如果不在控制器端和执行器端 对压力采样值和控制输出值进行限幅保护，系统的控 欺骗攻击和0~5步的随机延时DoS攻击，系统的控制 制效果将会变得更差，甚至发生危险 效果也并未发生明显变化，仅仅是超调量有所增大 如图6所示为数据受攻击环境下带SDTS的S100-1 当欺骗攻击强度达到40%，DoS攻击产生5~10步的 管道压力控制仿真框图.其中，使用网络控制数据安 随机延时的时候，系统的控制效果明显变差，超调量急 全工具箱实现了SDS和SDR两个安全模块，完成了数 剧变大，过渡过程时间变长.当攻击强度达到50%， 据安全传输策略SDTS的功能，控制框图的其余部分 DoS攻击产生10~15步的随机延时的时候，系统开始 与图4一致. 震荡 图7为带SDTS的管道压力PI控制响应曲线图. 通过上述分析可知，相比于没有采用安全策略的 由图可知，当系统在网络中即使同时遭受强度30%的 PI控制，带SDTS的PI控制能够应对欺骗攻击和DoS 500 Secure Data Secure Dat PID Sender Receiver Receiver Network Add Attacker PID SDS Simulated receiver2 p4 SDR S100-1 Press Model Atttaker Secure Data Simulated Secure Dat Sender Receiver Sender Simulated receiverl SDSI SDRI 图6数据受攻击环境下带SDTS的S1O0-1管道压力控制系统仿真框图 Fig.6 Simulation of S100-1 pipe pressure control system under data attack with SDTS

工程科学学报,第 39 卷,第 9 期 采样周期和控制周期均设置为 0郾 125 s,管道压力的可 控范围为 0 ~ 1000 kPa. Gc(z - 1 ) = 0郾 0042 - 0郾 039125z - 1 1 - z - 1 . (1) 式中,Gc为控制器的传递函数,z 为复变量. 图 4 所示为数据受攻击环境下 S100鄄鄄1 管道压力 控制系统仿真框图,其中 S100鄄鄄1 Press Model 为管道压 力系统的模型,P1 限制对象的控制输入在 1 ~ 5 V 的安 全范围内,P2 用来确保收到管道压力在 0 ~ 1000 kPa 之间,Data Receiver 为一个网络数据接收模块. 图 4 数据受攻击环境下 S100鄄鄄1 管道压力控制系统仿真框图 Fig. 4 Simulation of S100鄄鄄1 pipe pressure control system under data attack 图 5 随时为 S100鄄鄄 1 管道压力 PI 控制的响应曲 线. 其中压力的设定值为500 kPa,由图可知,当网络中 不存在数据攻击行为时,利用 PI 控制算法能够快速、 稳定的控制管道压力,系统响应时间快,超调量小,在 18 s 左右达到稳定. 当控制系统的反向通道和前向通 道中存在强度为 5% 的欺骗攻击时,系统趋于稳定,但 是控制效果变差,最终在 500 kPa 左右小幅波动,而当 反向通道和前向通道中存在强度为 10% 的欺骗攻击 时和 0 ~ 5 步随机延时 DoS 攻击共同作用时,系统不再 可控,出现较大震荡. 如果不在控制器端和执行器端 对压力采样值和控制输出值进行限幅保护,系统的控 制效果将会变得更差,甚至发生危险. 图 6 数据受攻击环境下带 SDTS 的 S100鄄鄄1 管道压力控制系统仿真框图 Fig. 6 Simulation of S100鄄鄄1 pipe pressure control system under data attack with SDTS 如图 6 所示为数据受攻击环境下带 SDTS 的 S100鄄鄄1 管道压力控制仿真框图. 其中,使用网络控制数据安 全工具箱实现了 SDS 和 SDR 两个安全模块,完成了数 据安全传输策略 SDTS 的功能,控制框图的其余部分 与图 4 一致. 图 7 为带 SDTS 的管道压力 PI 控制响应曲线图. 由图可知,当系统在网络中即使同时遭受强度 30% 的 图 5 S100鄄鄄1 管道压力 PI 控制响应曲线图 Fig. 5 PI control response curves of S100鄄鄄1 pipe pressure 欺骗攻击和 0 ~ 5 步的随机延时 DoS 攻击,系统的控制 效果也并未发生明显变化,仅仅是超调量有所增大. 当欺骗攻击强度达到 40% ,DoS 攻击产生 5 ~ 10 步的 随机延时的时候,系统的控制效果明显变差,超调量急 剧变大,过渡过程时间变长. 当攻击强度达到 50% , DoS 攻击产生 10 ~ 15 步的随机延时的时候,系统开始 震荡. 通过上述分析可知,相比于没有采用安全策略的 PI 控制,带 SDTS 的 PI 控制能够应对欺骗攻击和 DoS ·1406·

魏世勇等：基于安全传输策略的网络化预测控制系统设计 ·1407· 1200 -一未受攻击一30%欺骗攻击，0-5步随机延时 式中，A(z)eR[z,n],B(z)∈R[z,m],R[z, 1000 一40%欺骗攻击，5-10步随机廷时 一50%欺骗攻击，10-15步随机延时 门=。+r2小+…+2，。山，…，5均是整数，为多项 式的系数，为正整数，表示多项式的阶数，d则为对象 600 模型延时. 在不考虑网络延时、数据丢包、数据攻击等的影 200 响，设计如下控制器： 0 102030405060708090100 时间/s C(=)u(t)=D(2)e(1+d). (3) 图7带SDTS的S100-1管道压力PI控制响应曲线图 式中，C(zl)∈R[z,n.],D(z)eR[z,na],而 Fig.7 PI control response curves of S100-1 pipe pressure with e(t+d)=r(t+d)-(t+d),r(t+d)为参考输入， SDTS (t+d)为被控对象预测输出值，u(t)为控制量输出. 在：时刻，控制器端接收到被控对象端的数据包， 攻击的强度更大.当攻击强度较弱时，带SDTS的NC- 在这个数据包中包含对象的历史输入输出数据，包括 Ss几乎不受攻击的影响，但是随着攻击强度的逐渐增 对象历史输出序列y(1-te),y(t-te-1),…,y(t- 强，SDTS也无法克服其对控制系统的影响，控制效果 te-n),历史控制序列u(t-te）,u(t-tc-1),…, 逐渐变差. u(t-tc-n.）.时间戳t-t表示数据被打包发送的时 2数据攻击的控制补偿机制设计与实现 刻.为了便于分析，假设网络环境所引起的最大延时 为N步，并做出如式(4)所示定义： 本节从控制策略的角度出发，考虑基于Internet的 x(t-ilt-i)=zx(t-i+Ilt-i+1),i=1,2,..t, NCSs在遭受到数据攻击后，如何将攻击的危害进一步 x(t+ilt)=ax(t+i+1lt),i=0,1,..., 减小，提出一种针对数据攻击的控制补偿机制，使系统 x(t)=z-x(t+1). (4) 在受到一定强度的数据攻击后仍然能够进行稳定的控 式中，i为整数，x(t+it)表示在t时刻基于t时刻之 制，并达到较好的控制效果，从而提高NCSs应对攻击 前的历史数据所预测的x(t)之后第i步的预测值. 的能力. 如果网络中反向通道的延时为1，引入丢番图 2.1网络化预测控制攻击补偿机制设计 方程： 网络化预测控制(networked predictive control, A(z)E,(z1)+zF(z)=1. (5) NPC)方法是基于被控对象的数学模型，在控制器端采 式中，E,(zl)∈R[z,i-1],F,(z1)∈R[z,n- 用预测控制算法计算出一组未来的控制量，并运用网 1]. 络环境中的数据的包传输特性，将预测控制序列打包 发送至执行器端：并在执行器端，设置一个网络延时补 由式(2)、(4)、(5)可以迭代计算出基于t-1.时 刻对象输出预测值，如式(6)所示： 偿器，负责选择最新的预测控制序列，并根据所测网络 延时，从中提取出适当的预测控制量进行执行.理论 Y(t-1+dlt-t)=F(=)y(t-1)+ 上NP℃方法是合理的且可用的，但是该方法需要分别 G(2)u(t-t-1)+M,U(t-t-1).(6) 测得前向通道和反向通道的延时，实际应用中要解决 式中，M∈R,(t-t+d1t-e)= 时钟同步的问题.而现有的时钟同步方法的精度并不 y(t-t+dlt-t) 能满足NCSs的需求，并且仅适用于局域网.基于上述 y(t-te+d+1lt-t) U(t-eIt-t）= 因素的考虑，结合Hu等]提出的基于网络回路时延 (round trip time,RTT)的NPC方法，解决时钟同步的 Ly(t-t+d+N-1lt-1) 难题. u(t-1lt-t) F(2) 2.1.1预测控制序列产生器 u(t-t+1lt-t) ,F(z1)= F41(z1) 预测控制生成器根据被控对象端传来的历史输入 输出数据，并基于被控对象的模型结构，在线辨识出对 Lu(t-le+N-1lt-te)」 象的数学模型.利用该模型和控制算法递推计算出被 控对象的未来若干时刻的控制量，并将该控制序列发 G(2) 送至被控对象端。控制序列的计算均以被控对象端的 G(z)= G() 时刻：为基准，考虑用如下自回归滑动平均模型描述 的被控对象： G4N-1(z4) A(2)y(t+d)=B(2-)u(t). (2) 可得：

魏世勇等: 基于安全传输策略的网络化预测控制系统设计 图 7 带 SDTS 的 S100鄄鄄1 管道压力 PI 控制响应曲线图 Fig. 7 PI control response curves of S100鄄鄄 1 pipe pressure with SDTS 攻击的强度更大. 当攻击强度较弱时,带 SDTS 的 NC鄄 Ss 几乎不受攻击的影响,但是随着攻击强度的逐渐增 强,SDTS 也无法克服其对控制系统的影响,控制效果 逐渐变差. 2 数据攻击的控制补偿机制设计与实现 本节从控制策略的角度出发,考虑基于 Internet 的 NCSs 在遭受到数据攻击后,如何将攻击的危害进一步 减小,提出一种针对数据攻击的控制补偿机制,使系统 在受到一定强度的数据攻击后仍然能够进行稳定的控 制,并达到较好的控制效果,从而提高 NCSs 应对攻击 的能力. 2郾 1 网络化预测控制攻击补偿机制设计 网络 化 预 测 控 制 ( networked predictive control, NPC)方法是基于被控对象的数学模型,在控制器端采 用预测控制算法计算出一组未来的控制量,并运用网 络环境中的数据的包传输特性,将预测控制序列打包 发送至执行器端;并在执行器端,设置一个网络延时补 偿器,负责选择最新的预测控制序列,并根据所测网络 延时,从中提取出适当的预测控制量进行执行. 理论 上 NPC 方法是合理的且可用的,但是该方法需要分别 测得前向通道和反向通道的延时,实际应用中要解决 时钟同步的问题. 而现有的时钟同步方法的精度并不 能满足 NCSs 的需求,并且仅适用于局域网. 基于上述 因素的考虑,结合 Hu 等[13] 提出的基于网络回路时延 (round trip time,RTT) 的 NPC 方法,解决时钟同步的 难题. 2郾 1郾 1 预测控制序列产生器 预测控制生成器根据被控对象端传来的历史输入 输出数据,并基于被控对象的模型结构,在线辨识出对 象的数学模型. 利用该模型和控制算法递推计算出被 控对象的未来若干时刻的控制量,并将该控制序列发 送至被控对象端. 控制序列的计算均以被控对象端的 时刻 t 为基准,考虑用如下自回归滑动平均模型描述 的被控对象: A(z - 1 )y(t + d) = B(z - 1 )u(t). (2) 式中,A(z - 1 )沂R[z - 1 ,n],B(z - 1 )沂R[ z - 1 ,m],R[ z - 1 , j] = r0 + r1 z - 1 + … + rj z - j ,r0 ,r1 ,… ,rj均是整数,为多项 式的系数,j 为正整数,表示多项式的阶数,d 则为对象 模型延时. 在不考虑网络延时、数据丢包、数据攻击等的影 响,设计如下控制器: C(z - 1 )u(t) = D(z - 1 )e(t + d). (3) 式中,C(z - 1 ) 沂R[ z - 1 ,nc ],D( z - 1 ) 沂R[ z - 1 ,nd ],而 e(t + d) = r( t + d) - y^ ( t + d),r( t + d) 为参考输入, y^(t + d)为被控对象预测输出值,u(t)为控制量输出. 在 t 时刻,控制器端接收到被控对象端的数据包, 在这个数据包中包含对象的历史输入输出数据,包括 对象历史输出序列 y( t - t sc),y( t - t sc - 1),…,y( t - t sc - n),历史控制序列 u( t - t sc ),u( t - t sc - 1),…, u(t - t sc - nc). 时间戳 t - t sc表示数据被打包发送的时 刻. 为了便于分析,假设网络环境所引起的最大延时 为 N 步,并做出如式(4)所示定义: x(t - i | t - i) = z - 1 x(t - i + 1 | t - i + 1),i = 1,2,…,t, x(t + i | t) = z - 1 x(t + i + 1 | t),i = 0,1,…, x(t) = z - 1 x(t + 1). (4) 式中,i 为整数,x( t + i | t)表示在 t 时刻基于 t 时刻之 前的历史数据所预测的 x(t)之后第 i 步的预测值. 如果网络中反向通道的延时为 t sc,引入丢番图 方程: A(z - 1 )Ei(z - 1 ) + z - i Fi(z - 1 ) = 1. (5) 式中,Ei(z - 1 ) 沂R[ z - 1 ,i - 1],Fi ( z - 1 ) 沂R[ z - 1 ,n - 1]. 由式(2)、(4)、(5)可以迭代计算出基于 t - t sc时 刻对象输出预测值,如式(6)所示: ^Y(t - t sc + d | t - t sc) = F(z - 1 )y(t - t sc) + G(z - 1 )u(t - t sc - 1) + M1U(t - t sc | t - t sc). (6) 式 中, M1 沂 R N 伊 N , ^Y ( t - t sc + d | t - t sc ) = y^(t - t sc + d | t - t sc) y^(t - t sc + d + 1 | t - t sc) 左 y^(t - t sc + d + N - 1 | t - t sc é ë ê ê ê ê ê ù û ú ú ú ú ú ) , U ( t - t sc | t - t sc ) = u(t - t sc | t - t sc) u(t - t sc + 1 | t - t sc) 左 u(t - t sc + N - 1 | t - t sc é ë ê ê ê ê ê ù û ú ú ú ú ú ) ,F ( z - 1 ) = Fd (z - 1 ) Fd + 1 (z - 1 ) 左 Fd + N - 1 (z - 1 é ë ê ê ê ê ê ù û ú ú ú ú ) ú , G(z - 1 ) = Gd (z - 1 ) Gd + 1 (z - 1 ) 左 Gd + N - 1 (z - 1 é ë ê ê ê ê ê ù û ú ú ú ú ) ú . 可得: ·1407·

·1408· 工程科学学报，第39卷，第9期 C(2)U(t-tlt-1)= Po(z-) D(2)[R(t-t+d)-Y(t-t+dlt-t)].(7) -N+2 P,(z) 其中，C(z1)U(1-1It-1)为可以被分成两部分，一 部分为t-时刻之前的控制序列，另一部分为1-1 式中， =(L+M)1 2-Nlthcstetiea 之后的预测控制序列.由式(7)可得式(8)： P() C(2)U(t-tlt-1)= e- H(2)u(t-t-1)+LU(t-tt-t).(8) Px-() 式中，H(z)=H(z),H(z),…,H(z)]T, Q(z1) H,()ER[=-,max In -i,0]LE RYxN. Q(z1) 由式(6)~(8)可得： H(z)u(t-t-1)+LU(t-tt-t)= D(z1), 0(e） =(L+M)-F(z)D(z1), D(2)R(I-1+d)-D(2)F(2)y(t-t)- D(z-)G(2)u(t-t-1)- Qx-1(z1) D(a)M U(t-telt-t). (9) S(z1) 在式(9)中，令： D(2)(G(2)u(t-t-1)+MU(t-tt-t))= S(z1) r(a)u(t-t-1)+MU(I-tt-t).(10) 式中，「(z)=[(e),「(z),…,「w(e)], S.() =(L+M)[T(z)+H(z)]. (=)ER[:-,max n+d-1,0],MER*xY. 由式(9)和式(10)可得： Sx-1() U(t-1-t)=(L+M)-(D(=)R(t-1+d)- 其中，为网络中前向通道的延时，1.为控制器的计算 D(2)F(z)y(t-t)-(I(2)+ 时间. H(z1))u(t-t-1). (11) 至此，在t-1时刻和t-1+N-1时刻之间的预 展开可得： 测控制序列U(t-tIt-t)可由式(12)求得，而 u(t-tlt-t) U(t-It-t)的求解仅涉及1-t时刻被控对象的 u(t-t+1lt-t) 输出y(t-t)和t-1-1时刻输入给对象的控制量 u(,--1),而与其他时刻的对象输入输出无关.系 数矩阵的计算与被控对象模型参数和控制律参数有 u(t-Le+te+tetlelt-t) 关，的实际值不影响控制序列的计算.控制端在计 算好控制序列后，将控制序列打包发送至被控对象端。 u(t-t+N-11t-1) 2.1.2模型参数在线估计器 P(z1) 由式(12)可知，预测控制序列的计算涉及对象模 P(z1) 型和控制器的参数，而对象模型的精度对于网络化预 测控制算法的控制效果至关重要，本文采用带遗忘因 (t-le+d+N-1)- P(2) 子的递推最小二乘法，根据对象的输入输出数据不断 的调整对象模型的各个参数的估计值. Px-1(2) 图8所示为带遗忘因子的递推最小二乘法参数辨 Q(z1) S。(z1) 识仿真实验.设置其遗忘因子入为0.99，式(13)为设 Q,(z) S,(z1) 置的对象初始模型，式(14)为对象的真实离散模型. Simulated Sender为数据缓存模块，缓存对象的历史输 b(t-t)- 入输出数据，Random Number为符合高斯分布的随机 S.() 数产生器，最为对象的输入激励.虽然对象的初始模 型与其真实模型相差较大，但是通过RLS Estimator模 Qx-(2) Sw-1(z1) 块的不断调整，输出的模型参数值最终能够很好的反 u(t-l-1). 12) 应出对象的真实模型参数

工程科学学报,第 39 卷,第 9 期 C(z - 1 )U(t - t sc | t - t sc) = D(z - 1 )[R(t - t sc + d) - ^Y(t - t sc + d | t - t sc)]. (7) 其中,C(z - 1 )U(t - t sc | t - t sc)为可以被分成两部分,一 部分为 t - t sc时刻之前的控制序列,另一部分为 t - t sc 之后的预测控制序列. 由式(7)可得式(8): C(z - 1 )U(t - t sc | t - t sc) = H(z - 1 )u(t - t sc - 1) + LU(t - t sc | t - t sc). (8) 式中,H( z - 1 ) = [H0 (z - 1 ),H1 (z - 1 ),…,HN - 1 (z - 1 )] T , Hi(z - 1 )沂R[z - 1 ,max {nc - i,0}],L沂R N 伊 N . 由式(6) ~ (8)可得: H(z - 1 )u(t - t sc - 1) + LU(t - t sc | t - t sc) = D(z - 1 )R(t - t sc + d) - D(z - 1 )F(z - 1 )y(t - t sc) - D(z - 1 )G(z - 1 )u(t - t sc - 1) - D(z - 1 )M1U(t - t sc | t - t sc). (9) 在式(9)中,令: D(z - 1 )(G(z - 1 )u(t - t sc - 1) + M1U(t - t sc | t - t sc)) = 祝(z - 1 )u(t - t sc - 1) + MU(t - t sc | t - t sc). (10) 式中,祝( z - 1 ) = [祝0 (z - 1 ),祝1 (z - 1 ),…,祝N - 1 (z - 1 )] T , 祝i(z - 1 )沂R[z - 1 ,max {nd + d - 1,0}],M沂R N 伊 N . 由式(9)和式(10)可得: U(t - t sc | t - t sc) = (L + M) - 1 (D(z - 1 )R(t - t sc + d) - D(z - 1 )F(z - 1 )y(t - t sc) - (祝(z - 1 ) + H(z - 1 ))u(t - t sc - 1). (11) 展开可得: u(t - t sc | t - t sc) u(t - t sc + 1 | t - t sc) 左 u(t - t sc + t sc + t c + t ca | t - t sc) 左 u(t - t sc + N - 1 | t - t sc é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) = P0 (z - 1 ) P1 (z - 1 ) 左 Pt sc + t c + t ca (z - 1 ) 左 PN - 1 (z - 1 é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) r(t - t sc + d + N - 1) - Q0 (z - 1 ) Q1 (z - 1 ) 左 Qtsc + tc + tca (z - 1 ) 左 QN - 1 (z - 1 é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) y(t - t sc) - S0 (z - 1 ) S1 (z - 1 ) 左 Stsc + tc + tca (z - 1 ) 左 SN - 1 (z - 1 é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) · u(t - t sc - 1). (12) 式中, P0 (z - 1 ) P1 (z - 1 ) 左 Ptsc + tc + tca (z - 1 ) 左 PN - 1 (z - 1 é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) = (L + M) - 1 z - N + 1 z - N + 2 左 z - N + 1 + tsc + tc + tca 左 z - 1 é ë ê ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ú 1 · D(z - 1 ), Q0 (z - 1 ) Q1 (z - 1 ) 左 Qtsc + tc + tca (z - 1 ) 左 QN - 1 (z - 1 é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) = (L + M) - 1F(z - 1 )D(z - 1 ), S0 (z - 1 ) S1 (z - 1 ) 左 Stsc + tc + tca (z - 1 ) 左 SN - 1 (z - 1 é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) = (L + M) - 1 [T(z - 1 ) + H(z - 1 )]. 其中,t ca为网络中前向通道的延时,t c为控制器的计算 时间. 至此,在 t - t sc时刻和 t - t sc + N - 1 时刻之间的预 测控制序列 U ( t - t sc | t - t sc ) 可由式 ( 12 ) 求得,而 U(t - t sc | t - t sc )的求解仅涉及 t - t sc时刻被控对象的 输出 y(t - t sc)和 t - t sc - 1 时刻输入给对象的控制量 u(t - t sc - 1),而与其他时刻的对象输入输出无关. 系 数矩阵的计算与被控对象模型参数和控制律参数有 关,t sc的实际值不影响控制序列的计算. 控制端在计 算好控制序列后,将控制序列打包发送至被控对象端. 2郾 1郾 2 模型参数在线估计器 由式(12)可知,预测控制序列的计算涉及对象模 型和控制器的参数,而对象模型的精度对于网络化预 测控制算法的控制效果至关重要,本文采用带遗忘因 子的递推最小二乘法,根据对象的输入输出数据不断 的调整对象模型的各个参数的估计值. 图 8 所示为带遗忘因子的递推最小二乘法参数辨 识仿真实验. 设置其遗忘因子 姿 为 0郾 99,式(13)为设 置的对象初始模型,式(14) 为对象的真实离散模型. Simulated Sender 为数据缓存模块,缓存对象的历史输 入输出数据,Random Number 为符合高斯分布的随机 数产生器,最为对象的输入激励. 虽然对象的初始模 型与其真实模型相差较大,但是通过 RLS Estimator 模 块的不断调整,输出的模型参数值最终能够很好的反 应出对象的真实模型参数. ·1408·

魏世勇等：基于安全传输策略的网络化预测控制系统设计 ·1409· 1+21+z2+23+24 u(41-le-le-l。ll1-le-le-l。） 1-221-22+23, (13) u(l1-le-t。-l。+1lt1-1e-l。-1.) 0.05409z-2+0.115z3+0.0001z4 1-1.12z-0.213z2+0.335z-3. (14) u(h1-le-l。-tos+le+le+lell1-te-te-lo） 0.05409z-2+0.115z-3+0.0001:4 u(6-le-l。-t。+N-1lb1-le-t。-tn) 1-1.120.213z2+0.335z3 Random u(t1-tll1-l,） Number Discrete Fiter u(61-t+1ll1-) -14 Simulated Sender RLS Eestimator Gain Simulated sender2 (15) Simulated Sender u(1-t.+tl1-t) RLS estimeter1 Simulated senderl -1.12 Lu(t-t+N-Ilt-t) -0.213 0.335 在(1时刻，网络补偿器根据网络回路延时L,选择式 2.57x10-▣ (15)控制序列中的t,+1个控制量，如式(16)所示. -2.785×10r1W 0.05409 u(t1)=u(t11l1-t,)=u(t1-t+t,lt1-L,).(16) 0.115 (2)没有接收到新的有效数据包. 0.0001 若被控端没有接收到有效的控制序列数据包，则 仍然使用上一个控制周期所使用的控制序列，只是选 Display 图8带遗忘因子的递推最小二乘模型参数辨识仿真实验 择控制序列中控制量的位置往后挪一个，若上一个控 Fig.8 Simulation of parameter identification with recursive least 制周期为(，+1个控制量，则下一个控制周期为第1，+ squares regression model with forgetting factor 2个控制量，如式(17)所示. u(L1)=u(t1-1n+t,+1ll1-1)=u(61+1lb1-t). 2.1.3网络补偿器 (17) 执行器端的网络补偿器的主要任务是在接收到控 结合式(15)易知，如果被控端在连续N个控制周期内 制端发送过来的控制序列后，根据所测的网络回路延 都没有收到新的控制序列，都可以找到相应的控制量. 时选择适当的控制量作用于被控对象.若网络中存在 但是如果被控端在大于N个连续的控制周期都没有 数据攻击、网络延时、数据丢包等复杂因素，很可能使 收到新的控制序列时，就只能将最后一个预测控制量 得执行器在控制器周期到来时，没有采样到新的有效 u(L1-t,+NIb1-t,)输出.因此，预测步数N应该根据 控制序列数据包.因此，考虑到控制周期到来时接收 网络的实时情况选取，尽量选大点，但是这样也消耗了 到和没有接收到新的有效数据包这两种情况，所设计 更多的网络带宽 的网络补偿器均有不同的响应策略 2.2NPC攻击补偿机制有效性验证仿真实验 (1)接收到新的有效数据包 在MATLAB/SIMULINK中进行NPC攻击补偿机 此时应选择时间藏最大的，即最新的控制序列数 制有效性验证仿真实验，被控对象同样为S100-1管道 据包，并与上一个控制周期作用于被控对象的控制序 压力系统.在进行管道压力控制时，设计了如式(18) 列的时间戳比较，如果最新收到的数据包的时间戳较 所示的离散PI控制算法 大，当又一个控制周期到来时，则用最新数据包中的控 制序列替换上一个控制周期选择的控制序列，否则仍 G.(2)=0.0042-0.0391252 1-z1 (18) 然沿用上一个控制周期的控制序列.在确定好采用的 将管道压力系统的带延时的一阶连续模型进行离 控制序列后，可以根据回路延时选择控制量.令网络 散化.离散化后如式(19)所示. 回路延时为1，被控对象端的当前时刻为，所选择的 1.295+1.295z-1 控制序列的时间戳值为1。，即被控对象端发送历史输 G,(e)=1-1.983zc+l.485e-065lz+0.1476ce 入输出数据的时刻.易知1，=t1-t.=+1。+t。,式 (19) (12)中是以控制器端接收到数据包的时刻t为基准 如图9所示为数据受攻击环境下带NP℃补偿机 的，1-1时刻即为1时刻，而1，=(1-.=t-1-t.一 制的网络控制SIMULINK仿真框图，其中实现了NPC t,因此以(，时刻为基准，式(12)中的控制序列可表 补偿机制的各个功能模块，CPG为预测控制序列产生 示为： 器，RLS Estimator为带遗忘因子的最小二乘法模型参

魏世勇等: 基于安全传输策略的网络化预测控制系统设计 1 + z - 1 + z - 2 + z - 3 + z - 4 1 - 2z - 1 - z - 2 + z - 3 , (13) 0郾 05409z - 2 + 0郾 115z - 3 + 0郾 0001z - 4 1 - 1郾 12z - 1 - 0郾 213z - 2 + 0郾 335z - 3 . (14) 图 8 带遗忘因子的递推最小二乘模型参数辨识仿真实验 Fig. 8 Simulation of parameter identification with recursive least squares regression model with forgetting factor 2郾 1郾 3 网络补偿器 执行器端的网络补偿器的主要任务是在接收到控 制端发送过来的控制序列后,根据所测的网络回路延 时选择适当的控制量作用于被控对象. 若网络中存在 数据攻击、网络延时、数据丢包等复杂因素,很可能使 得执行器在控制器周期到来时,没有采样到新的有效 控制序列数据包. 因此,考虑到控制周期到来时接收 到和没有接收到新的有效数据包这两种情况,所设计 的网络补偿器均有不同的响应策略. (1)接收到新的有效数据包. 此时应选择时间戳最大的,即最新的控制序列数 据包,并与上一个控制周期作用于被控对象的控制序 列的时间戳比较,如果最新收到的数据包的时间戳较 大,当又一个控制周期到来时,则用最新数据包中的控 制序列替换上一个控制周期选择的控制序列,否则仍 然沿用上一个控制周期的控制序列. 在确定好采用的 控制序列后,可以根据回路延时选择控制量. 令网络 回路延时为 t r,被控对象端的当前时刻为 t 1 ,所选择的 控制序列的时间戳值为 t s,即被控对象端发送历史输 入输出数据的时刻. 易知 t r = t 1 - t s = t sc + t c + t cs,式 (12)中是以控制器端接收到数据包的时刻 t 为基准 的,t - t sc时刻即为 t s时刻,而 t s = t 1 - t r = t 1 - t sc - t c - t cs,因此以 t s时刻为基准,式(12) 中的控制序列可表 示为: u(t 1 - t sc - t c - t cs | t 1 - t sc - t c - t cs) u(t 1 - t sc - t c - t cs + 1 | t 1 - t sc - t c - t cs) 左 u(t 1 - t sc - t c - t cs + t sc + t c + t cs | t 1 - t sc - t c - t cs) 左 u(t 1 - t sc - t c - t cs + N - 1 | t 1 - t sc - t c - t cs é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) = u(t 1 - t r | t 1 - t r) u(t 1 - t r + 1 | t 1 - t r) 左 u(t 1 - t r + t r | t 1 - t r) 左 u(t 1 - t r + N - 1 | t - t r é ë ê ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú ú ) . (15) 在 t 1 时刻,网络补偿器根据网络回路延时 t r 选择式 (15)控制序列中的 t r + 1 个控制量,如式(16)所示. u(t 1 ) = u(t 1 | t 1 - t r) = u(t 1 - t r + t r | t 1 - t r). (16) (2) 没有接收到新的有效数据包. 若被控端没有接收到有效的控制序列数据包,则 仍然使用上一个控制周期所使用的控制序列,只是选 择控制序列中控制量的位置往后挪一个,若上一个控 制周期为 t r + 1 个控制量,则下一个控制周期为第 t r + 2 个控制量,如式(17)所示. u(t 1 ) = u(t 1 - t r + t r + 1 | t 1 - t r) = u(t 1 + 1 | t 1 - t r). (17) 结合式(15)易知,如果被控端在连续 N 个控制周期内 都没有收到新的控制序列,都可以找到相应的控制量. 但是如果被控端在大于 N 个连续的控制周期都没有 收到新的控制序列时,就只能将最后一个预测控制量 u(t 1 - t r + N| t 1 - t r)输出. 因此,预测步数 N 应该根据 网络的实时情况选取,尽量选大点,但是这样也消耗了 更多的网络带宽. 2郾 2 NPC 攻击补偿机制有效性验证仿真实验 在 MATLAB/ SIMULINK 中进行 NPC 攻击补偿机 制有效性验证仿真实验,被控对象同样为 S100鄄鄄1 管道 压力系统. 在进行管道压力控制时,设计了如式(18) 所示的离散 PI 控制算法. Gc(z - 1 ) = 0郾 0042 - 0郾 039125z - 1 1 - z - 1 . (18) 将管道压力系统的带延时的一阶连续模型进行离 散化,离散化后如式(19)所示. Go(z -1 ) = 1郾 295 +1郾 295z -1 1 -1郾 983z -1 +1郾 485z -2 -0郾 6351z -3 +0郾 1476z -4 . (19) 如图 9 所示为数据受攻击环境下带 NPC 补偿机 制的网络控制 SIMULINK 仿真框图,其中实现了 NPC 补偿机制的各个功能模块,CPG 为预测控制序列产生 器,RLS Estimator 为带遗忘因子的最小二乘法模型参 ·1409·

·1410· 工程科学学报，第39卷，第9期 SetValue RTT MPC ) con Pres SV CPG Secure Data Data Attack Network Receiver Compensator S100-1 Press CPC Attacker SDS Model SDR AC Atttaker RLS Eestimator u(t) RE Secure Secure Data Data TimeStamp Data Data Sender Buffer Dispatcher Receiver 1@ DD SDS1 SDR1 DB 图9数据受攻击环境下带NPC补偿机制的网络控制SIMULINK仿真框图 Fig.9 Simulation of networked control with NPC compensation mechanism under data attack 数在线估计器，AC为攻击补偿机制，DB为数据缓冲 而PI控制的控制效果明显变差，超调量在50%左右， 器，并且包含了数据安全传输机制SDST.CPG采用式 过渡过程时间扩大到40s.图11(b)为此次实验所测 (19)所示的PI控制算法进行控制序列的迭代运算，控 得的RTT,可知RTT值在10~28步之间，主要集中在 制周期设定为0.125s.参考输人选择周期为200s的 12~22步之间，而NPC的预测时域为25步，所以基本 方波信号，其上限为350，下限为300. 能够补偿数据攻击对控制的影响. 在进行仿真实验时，不考虑网络中固有的随机延 在图11(c)所示的控制对比实验中，欺骗攻击的 时和丢包等对NCSs的影响，仅考虑网络中的恶意数 强度达到50%，DoS攻击产生10~15步的随机延时. 据攻击的影响.如图10所示为网络中不存在攻击时， 图11(d)为此次实验数据攻击所产生的RTT分布图， 带NPC补偿机制和纯PI控制的控制仿真结果对比实 可以看到RTT集中在20~40步之间.此次实验中，带 验，两种控制方式均带有SDTS.由图可知，在不存在 NPC补偿机制的控制效果比不存在数据攻击时的控 数据攻击时，两者的控制响应曲线基本吻合，超调量在 制效果稍微变差，超调量为8%，过渡过程时间增加到 6%左右，过渡过程时间在20s上下. 25s左右.因为，此次实验中设定的控制预测时域仍然 360 为25步，而RTT可能大于25步，超出NPC的预测范 350 一带NPC补偿机制 围，因此控制效果有所变差.此时，PI控制的控制效果 …P控制 340 急剧下降，出现震荡现象，随着攻击强度的进一步增 330 强，管道压力系统势必不再稳定，震荡幅度逐步增大. 320 通过上述实验分析可知，相比于PI控制，在NCSs 310 300 中加入NPC攻击补偿机制后，可以增强NCSs应对网 290 络数据攻击的能力，使得NCSs在面对数据攻击时仍 0 2040. 6080100120140160180200 时间s 然能够保持较好的控制效果 图10无数据攻击情况下控制仿真结果对比实验 3结论 Fig.10 Contrast experiment of control simulation results without data attack (1)提出了一种数据安全传输策略SDTS,该策略 确保了数据在Internet中传输的实时性、机密性、完整 如图11所示为网络中存在数据攻击时，带NP℃ 性和真实性.其中数据的机密性通过AES加密算法和 补偿机制和纯PI控制的控制仿真对比实验.其中设 RSA算法共同实现，完整性和真实性由设计的MD5散 定NP℃的预测时域为25步，即控制器每次计算出25 列码和时间戳策略保证，数据传输的实时性通过UDP 个预测控制量，并发送到执行器端 传输协议来确保.并在S100-1实训平台上搭建管道 在图11(a)所示的控制对比实验中，网络中存在 压力控制系统验证了SDTS的有效性. 强度为40%的欺骗攻击和5~10步随机延时的DoS (2)为补偿nternet中欺骗攻击和DoS攻击对NC- 攻击.此时，带NP℃补偿机制的控制效果和不存在数 Ss的影响，提出在带SDTS的NCSs中，两种攻击行为 据攻击时的控制效果一样，基本不受数据攻击的影响. 只是给NCSs带来附加的延时和数据丢包.因此，利用

工程科学学报,第 39 卷,第 9 期 图 9 数据受攻击环境下带 NPC 补偿机制的网络控制 SIMULINK 仿真框图 Fig. 9 Simulation of networked control with NPC compensation mechanism under data attack 数在线估计器,AC 为攻击补偿机制,DB 为数据缓冲 器,并且包含了数据安全传输机制 SDST. CPG 采用式 (19)所示的 PI 控制算法进行控制序列的迭代运算,控 制周期设定为 0郾 125 s. 参考输入选择周期为 200 s 的 方波信号,其上限为 350,下限为 300. 在进行仿真实验时,不考虑网络中固有的随机延 时和丢包等对 NCSs 的影响,仅考虑网络中的恶意数 据攻击的影响. 如图 10 所示为网络中不存在攻击时, 带 NPC 补偿机制和纯 PI 控制的控制仿真结果对比实 验,两种控制方式均带有 SDTS. 由图可知,在不存在 数据攻击时,两者的控制响应曲线基本吻合,超调量在 6% 左右,过渡过程时间在 20 s 上下. 图 10 无数据攻击情况下控制仿真结果对比实验 Fig. 10 Contrast experiment of control simulation results without data attack 如图 11 所示为网络中存在数据攻击时,带 NPC 补偿机制和纯 PI 控制的控制仿真对比实验. 其中设 定 NPC 的预测时域为 25 步,即控制器每次计算出 25 个预测控制量,并发送到执行器端. 在图 11(a)所示的控制对比实验中,网络中存在 强度为 40% 的欺骗攻击和 5 ~ 10 步随机延时的 DoS 攻击. 此时,带 NPC 补偿机制的控制效果和不存在数 据攻击时的控制效果一样,基本不受数据攻击的影响. 而 PI 控制的控制效果明显变差,超调量在 50% 左右, 过渡过程时间扩大到 40 s. 图 11( b)为此次实验所测 得的 RTT,可知 RTT 值在 10 ~ 28 步之间,主要集中在 12 ~ 22 步之间,而 NPC 的预测时域为 25 步,所以基本 能够补偿数据攻击对控制的影响. 在图 11(c)所示的控制对比实验中,欺骗攻击的 强度达到 50% ,DoS 攻击产生 10 ~ 15 步的随机延时. 图 11(d)为此次实验数据攻击所产生的 RTT 分布图, 可以看到 RTT 集中在 20 ~ 40 步之间. 此次实验中,带 NPC 补偿机制的控制效果比不存在数据攻击时的控 制效果稍微变差,超调量为 8% ,过渡过程时间增加到 25 s 左右. 因为,此次实验中设定的控制预测时域仍然 为 25 步,而 RTT 可能大于 25 步,超出 NPC 的预测范 围,因此控制效果有所变差. 此时,PI 控制的控制效果 急剧下降,出现震荡现象,随着攻击强度的进一步增 强,管道压力系统势必不再稳定,震荡幅度逐步增大. 通过上述实验分析可知,相比于 PI 控制,在 NCSs 中加入 NPC 攻击补偿机制后,可以增强 NCSs 应对网 络数据攻击的能力,使得 NCSs 在面对数据攻击时仍 然能够保持较好的控制效果. 3 结论 (1)提出了一种数据安全传输策略 SDTS,该策略 确保了数据在 Internet 中传输的实时性、机密性、完整 性和真实性. 其中数据的机密性通过 AES 加密算法和 RSA 算法共同实现,完整性和真实性由设计的 MD5 散 列码和时间戳策略保证,数据传输的实时性通过 UDP 传输协议来确保. 并在 S100鄄鄄1 实训平台上搭建管道 压力控制系统验证了 SDTS 的有效性. (2)为补偿 Internet 中欺骗攻击和 DoS 攻击对 NC鄄 Ss 的影响,提出在带 SDTS 的 NCSs 中,两种攻击行为 只是给 NCSs 带来附加的延时和数据丢包. 因此,利用 ·1410·

魏世勇等：基于安全传输策略的网络化预测控制系统设计 ·1411· 380 (a 一带NPC补偿机制 (b) 360 一P控制 340 320 300 28762420864 280 260 20406080100120140160180200 20406080100120140160180200 时间/s 时间 400 c 55 一带NPC补偿机制 d 380 5 360 一PI控制 340 320 40 300 35 280 260 25 2406 20406080100120140160180200 20020406080100120140160180200 时间/s 时间/s 图11有数据攻击情况下控制仿真对比实验.(a)强度为40%的数据欺骗攻击和5~10步随机延时DS攻击：(b)强度为40%数据欺骗 攻击和5~10步随机延时DS攻击时的RTT分布图：(c)强度为50%数据欺骗攻击和10~15步随机延时DS攻击：(d)50%数据欺骗攻 击和10~15步随机延时DS攻击下的RTT分布图 Fig.11 Contrast experiment of control simulation results with data attack:(a)40%intensity of data attacks and 5-10 random-delayed DoS attacks; (b)R'TT distribution diagram of 40%intensity of data attacks and 5-10 random-delayed DoS attacks;(c)50%intensity of data attacks and 10-15 random-delayed DoS attacks;(d)RTT distribution diagram of 50%intensity of data attacks and 10-15 random-delayed DoS attacks 基于RTT延时和对象离散数学模型的NPC方法来补 [7]Yi J Q.Wang Q,Zhao D B,et al.BP neural network prediction- 偿数据攻击对NCSs的影响，分别设计和实现了预测 based variable-period sampling approach for networked control sys- 控制序列产生器、模型参数在线估计器和网络补偿器. tems.Appl Mathematics Comput,2007,185(2):976 [8]Li F,Wang X,Shi P.Robust quantized H control for network 通过S100-1管道压力控制仿真实验验证了该补偿策 control systems with Markovian jumps and time delays.Int /Inno- 略的有效性，提升NCSs对抗网络数据攻击的能力 rative Computing Inf Control,2013,9(12):4889 [9]Feng J,Wang S Q.Reliable fuzzy control for a class of nonlinear 参考文献 networked control systems with time delay.Acta Automatica Sini- [1]You K Y,Xie L H.Survey of recent progress in networked control cm,2012,38(7):1091 systems.Acta Automatica Sinica,2013,39(2):101 [10]Liu G P,Mu JX,Rees D,et al.Design and stability analysis of [2]Bai J J.Su H Y,Gao J F,et al.Modeling and stabilization of a networked control systems with random communication time delay wireless network control system with packet loss and time delay. using the modified MPC.Int J Control,2006,79(4):288 Franklin1nst,2012,349(7):2420 [11]Yuan K Y,Chen J,Liu G P,et al.Design and implementation [3] Luo R C,Su K L,Shen S H,et al.Networked intelligent robots of data encryption for networked control systems//IEEE Interna- through the Intemet:issues and opportunities.Proceedings of the tional Conference on Systems,Man and Cybernetics.IEEE, 1EEE,2003,91(3):371 2009:2105 [4]Tsai Choi K S,Jo J H,Sin C S,et al.Design of the network con- [12]Gupta R A,Chow M Y.Performance assessment and compensa- trol system for OBS satellite communications system /Proceedings tion for secure networked control systems /Proceeding of the of the 8th International Conference Advanced Communication Tech- 34th Annual Conference of IEEE Industrial Electronics.EEE, nology (ICACT).IEEE,2006:875 2008:2929 [5] Su B L.Networked control systems and security issues.Office Au- [13]Cao H Y,Chen K,Zhu P D.Secure process control system of tom,2011(4):45 industrial networks//Proceedings of the 15th IEEE International (孙柏林.网络化控制系统及其安全问题.办公自动化：办公 Conference on Communication Technology (ICCT).IEEE, 设备与耗材，2011(4)：45) 2013:15 [6]Nilsson J.Real-Time Control Systems with Delays Dissertation]. [14]Hu W S,Liu G P,Rees D.Networked predictive control over Sweden:Department of Automatic Control Lund Institute of Tech- the Internet using round-trip delay measurement.IEEE Trans In- nology,1998 strum Meas,2008,57(10):2231

魏世勇等: 基于安全传输策略的网络化预测控制系统设计 图 11 有数据攻击情况下控制仿真对比实验. (a) 强度为 40% 的数据欺骗攻击和 5 ~ 10 步随机延时 DoS 攻击;(b) 强度为 40% 数据欺骗 攻击和 5 ~ 10 步随机延时 DoS 攻击时的 RTT 分布图;(c) 强度为 50% 数据欺骗攻击和 10 ~ 15 步随机延时 DoS 攻击; (d) 50% 数据欺骗攻 击和 10 ~ 15 步随机延时 DoS 攻击下的 RTT 分布图 Fig. 11 Contrast experiment of control simulation results with data attack: (a) 40% intensity of data attacks and 5鄄鄄10 random鄄delayed DoS attacks; (b) RTT distribution diagram of 40% intensity of data attacks and 5鄄鄄10 random鄄delayed DoS attacks; (c) 50% intensity of data attacks and 10鄄鄄15 random鄄delayed DoS attacks; (d) RTT distribution diagram of 50% intensity of data attacks and 10鄄鄄15 random鄄delayed DoS attacks 基于 RTT 延时和对象离散数学模型的 NPC 方法来补 偿数据攻击对 NCSs 的影响,分别设计和实现了预测 控制序列产生器、模型参数在线估计器和网络补偿器. 通过 S100鄄鄄1 管道压力控制仿真实验验证了该补偿策 略的有效性,提升 NCSs 对抗网络数据攻击的能力. 参 考 文 献 [1] You K Y, Xie L H. Survey of recent progress in networked control systems. Acta Automatica Sinica, 2013, 39(2): 101 [2] Bai J J, Su H Y, Gao J F, et al. Modeling and stabilization of a wireless network control system with packet loss and time delay. J Franklin Inst, 2012, 349(7): 2420 [3] Luo R C, Su K L, Shen S H, et al. Networked intelligent robots through the Internet: issues and opportunities. Proceedings of the IEEE, 2003, 91(3): 371 [4] Tsai Choi K S, Jo J H, Sin C S, et al. Design of the network con鄄 trol system for OBS satellite communications system / / Proceedings of the 8th International Conference Advanced Communication Tech鄄 nology (ICACT). IEEE, 2006: 875 [5] Su B L. Networked control systems and security issues. Office Au鄄 tom, 2011(4): 45 (孙柏林. 网络化控制系统及其安全问题. 办公自动化: 办公 设备与耗材, 2011(4): 45) [6] Nilsson J. Real鄄Time Control Systems with Delays [Dissertation]. Sweden: Department of Automatic Control Lund Institute of Tech鄄 nology, 1998 [7] Yi J Q, Wang Q, Zhao D B, et al. BP neural network prediction鄄 based variable鄄period sampling approach for networked control sys鄄 tems. Appl Mathematics Comput, 2007, 185(2): 976 [8] Li F, Wang X, Shi P. Robust quantized H肄 control for network control systems with Markovian jumps and time delays. Int J Inno鄄 vative Computing Inf Control, 2013, 9(12): 4889 [9] Feng J, Wang S Q. Reliable fuzzy control for a class of nonlinear networked control systems with time delay. Acta Automatica Sini鄄 ca, 2012, 38(7): 1091 [10] Liu G P, Mu J X, Rees D, et al. Design and stability analysis of networked control systems with random communication time delay using the modified MPC. Int J Control, 2006, 79(4): 288 [11] Yuan K Y, Chen J, Liu G P, et al. Design and implementation of data encryption for networked control systems / / IEEE Interna鄄 tional Conference on Systems, Man and Cybernetics. IEEE, 2009: 2105 [12] Gupta R A, Chow M Y. Performance assessment and compensa鄄 tion for secure networked control systems / / Proceeding of the 34th Annual Conference of IEEE Industrial Electronics. IEEE, 2008: 2929 [13] Cao H Y, Chen K, Zhu P D. Secure process control system of industrial networks / / Proceedings of the 15th IEEE International Conference on Communication Technology ( ICCT ). IEEE, 2013: 15 [14] Hu W S, Liu G P, Rees D. Networked predictive control over the Internet using round鄄trip delay measurement. IEEE Trans In鄄 strum Meas, 2008, 57(10): 2231 ·1411·