日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

★ 楚兵寧波和利時信息安全研究院有限公司

摘要：本文針對工業嵌入式控制系統網絡安全現狀、安全威脅與防護需求展開了深入研究，分析了面臨的安全挑戰，研究了工業嵌入式控制系統可信計算3.0技術應用現狀，提出了基于可信計算3.0技術解決工業嵌入式系統內生安全主動防御的建設思路，并展望工業嵌入式控制系統內生安全防御技術的發展趨勢。

關鍵詞：工業嵌入式控制系統；可信計算3.0；內生安全；主動防御

1 引言

隨著工業互聯網、5G等新基建的快速發展，工業嵌入式控制系統面臨各種高級別持續性未知威脅，任意單一薄弱環節即可成為入侵突破口，將帶來巨大的風險影響。傳統的安全防護措施多數作用在邊界且以隔離方式為主，對于滲透到嵌入式系統內部的未知威脅防御效果差、資源消耗大，不適用于工業嵌入式控制系統防護。

可信計算技術為解決工業嵌入式控制系統內生安全問題提供了新的思路。目前，可信計算在我國網絡安全等級保護制度體系有了明確的要求，與可信計算相關的多項技術標準也已陸續發布，此舉措對于推動嵌入式可信計算的技術應用和提升嵌入式設備和系統的安全運行能力具有重大意義。本文從可信計算技術應用出發，分析了硬件和系統底層安全本質。該項技術具備免疫惡意代碼攻擊的能力，適合多樣化的軟硬件結構，是從根源解決工業嵌入式控制系統信息安全問題的重要技術手段。

2 工業嵌入式控制系統特點及安全挑戰

2.1 工業嵌入式控制系統特點

典型工業控制系統如圖1所示，包含現場設備層常用工業嵌入式儀表、傳感器等設備，現場控制層設備為工業嵌入式控制器PLC和DCS，在過程監控層通常部署工程師站、操作員站、歷史服務等上位機設備實現工程組態下裝、變量更新、實時監控等功能。

圖1 工業控制系統典型拓撲結構

工業嵌入式控制系統的特點是由“嵌入性”“專用性”與“計算機系統”三個基本要素衍生出來的，不同的嵌入式系統其特點會有所差異。與“嵌入性”的相關特點：由于是嵌入到對象系統中，必須滿足對象系統的環境要求，如物理環境（小型）、電氣/氣氛環境（可靠）、成本（價廉）等要求。與“專用性”的相關特點：軟、硬件的裁剪性；滿足對象要求的最小軟、硬件配置等。與“計算機系統”的相關特點：嵌入式系統必須是能滿足對象系統控制要求的計算機系統。與上兩個特點相呼應，這樣的計算機必須配置有與對象系統相適應的接口電路。

2.2 網絡安全面臨的挑戰

（1）解決低資源高實時安全需求問題

嵌入式系統使用場景，通常要求實時多任務很強的支持能力，從而使內部的代碼和實時內核的執行時間減少到最低限度，完成高實時的運算。如何在低資源、高實時的系統中，不影響既有業務運行，盡量小地占用嵌入式系統資源，構建嵌入式系統啟動和設備運行全生命周期安全防護機制，提供低成本、高可靠、高實時的嵌入式系統內生安全解決方案，是急迫解決的挑戰之一。

（2）解決主動防御安全需求問題

當前針對嵌入式系統的信息安全防護，由于欠缺對內生安全的防護設計，僅僅在邊界外圍進行防護，近年來也多次受到了安全研究者以及黑客的挑戰與攻擊。為了解決邊界防護手段效果不理想問題，在嵌入式系統中構建基于嵌入式系統內生安全的機制，可主動對系統運行主體、客體、操作、環境等關鍵因素進行主動度量，從嵌入式系統內部深層次保障系統安全，成為待解決的一個關鍵問題。

（3）解決系統異構難于統一問題

嵌入式系統硬件結構差異顯著，軟件架構缺乏統一標準，既可能采用無操作系統的循環輪詢系統和前后臺系統，也有可能采用專用的實時操作系統，嵌入式系統很難形成一個統一的安全方案。基于異構系統，形成統一的內生安全解決方案，也成為一個待解決的難題。

3 可信計算技術發展現狀

可信計算概念在不斷更新，其發展大體可分為可信計算1.0→可信計算2.0→可信計算3.0三個層級，如圖2所示。可信計算1.0是20世紀70年代以世界容錯組織為代表，用容錯算法及時發現和處理故障，降低故障的風險，以提高系統的安全性和可靠性。采用故障排除、冗余備份等手段應對軟硬件工程性故障、物理干擾、設計錯誤等影響系統正常運行的各種問題，此階段并未形成國際性組織，因此也就沒有相應的標準誕生。

圖2 可信計算技術發展層級

眾多學術研究者從可信計算體系架構、可信啟動、可信運行環境等多方面做了深入研究，在嵌入式系統的主動防御安全機制、安全體系架構、嵌入式系統可信計算應用要求等方面，并未給出合理性建議。因此針對以上問題，筆者將對關于嵌入式可信計算技術進行分析研究，解決先前研究所遺留的問題，并提出我們的解決方案。

3.1 嵌入式可信計算體系架構

基于硬件可信根構建的成本較高，對于輕量級的嵌入式設備缺乏實用性，Defrawy等人提出了SMART（（Secure and Minimal Architecture for Root of Trust）架構^[1]。這是第一個基于硬件和軟件代碼簽名來構建輕量級信任根的設計方案，該架構可以在遠程嵌入式設備中建立信任根，只需對微控制器單元進行簡單的修改。SMART在執行時，任何可以直接訪問內存的外設都會被禁用，本質上是一種動態的信任根，能夠保證關鍵代碼的執行，對系統性能的影響較小。

TrustLite^[2]是英特爾安全計算研究所開發的低成本嵌入式系統的通用PMA（被保護的內存區域）。Trustlet能夠隔離軟件組件，為其代碼和數據提供機密性和完整性保證，該體系結構提供了與操作系統無關的Trustlet隔離、證明以及可信的進程間通信。當TrustLite設備啟動時，首先執行存儲在SoC（Systemon-a-Chip）中的安全加載程序，安全加載程序負責將所有的Trustlet及其數據區域加載到片上存儲器中。此外，它還配置了一個微控制器單元來強制隔離每個Trustlet的內存區域，包括內存映射IO、外設等。

易平^[3]在國產龍芯芯片中也提出了相應的雙內核架構，該架構嚴格依照TCG提出的靜態信任鏈建立過程，將引導部分的FLASH劃分成兩部分，一部分放精簡操作系統的鏡像，另一部分放配置寄存器，可以存放信任根的完整性度量值。這樣不僅實現了自省機制，而且可以提高系統的可信度。

3.2 嵌入式可信啟動研究

當前的可信計算技術，大多針對PC平臺，無法直接移植到資源匱乏、結構差異大的嵌入式平臺。目前比較典型的適用于嵌入式平臺的可信計算技術是TCG的TPM技術和ARM的TrustZone技術。

武漢大學張煥國等人^[4]通過在TCG可信平臺模塊的基礎上增加對稱密碼引擎、總線仲裁模塊以及備份恢復模塊，設計了一款嵌入式可信平臺模塊（ETPM）作為對TPM的改進。與TCG定義的TPM相比，它主要增加了兩項新功能，一是增加了模塊的主動度量能力，另外增加了模塊對對稱密碼的支持。平臺中增加了獨有的備份恢復模塊，當系統中檢測到不安全性，ETPM將會發現異常并恢復原始數據。由于ETPM有了更強的控制能力與計算能力，它可以用作星型度量的可信根，在系統的不同層級均可以直接調用ETPM進行可信度量。這種設計會帶來一個問題就是系統的拓展性較為不方便，每當系統更新之后就需要同時更新ETPM中的度量數據。另一個問題是ETPM需要有較好的性能以保證系統運行效率。

王鎮道等人^[5]提出了一種嵌入式可信設備雙啟動方案，可以在不同的模式下選擇由板載FLASH存儲器中的Bootloader啟動或者由SD卡中的Bootloader啟動。這種方式提供了一種可信鏈的靈活性設計，但是啟動選擇是由硬件上的撥片手動選擇的，這也帶來了許多不確定因素。

Raj^[6]提出了一種基于ARMTrustZone的虛擬TPM設計，研究了TPM芯片的純軟件實現。應用程序級更改或對OS組件（驅動程序除外）的更改。研究給出了在智能手機和平板電腦中使用的虛擬TPM2.0的實現參考，證明了可以克服基于CPU的安全體系結構（如ARMTrustZone）的局限性，以構建具有類似于專用可信硬件的安全性保證的軟件系統。

3.3 嵌入式可信運行環境研究

Deng等人提出了一種基于雙核leon3的嵌入式可信計算環境構建方案^[7]，該方案在一個軟核處理器上耦合AHB接口，使其中一個處理器作為應用處理器，另一個作為“安全”的協處理器，將安全協處理器與只讀存儲器合成為度量的可信根，“安全”的協處理器運行TPM使應用處理器在啟動和運行不同的軟件時根據權限保護相應的密鑰及數據。該方案雖然提供了有效的嵌入式可信系統構建方案，但僅針對特定的處理器架構，不具備兼容性，且增加可信啟動功能后使得啟動時間開銷增加約25%，對性能影響較大。使用可信計算基，如可信平臺模塊和移動可信模塊，作為嵌入式系統如手機、安全隱私設備及智能傳感器和執行器的信任根，能有效保障嵌入式移動設備的安全性。

張英駿等人^[8]利用ARM架構中的TrustZone硬件隔離技術構建了可信執行環境，重寫修改頁表項、禁用存儲管理單元、篡改TTBR寄存器等語句及加入smc語句，這樣當內核執行關鍵操作前就會轉入到安全模式中運行，保證了監控代碼不會被繞過和篡改。作者同時還設置了可執行代碼執行流、可執行代碼數據流和可執行代碼完整性三種白名單機制。如果內核關鍵操作與白名單不匹配，就可以拒絕執行，實現了內核監控和完整性保護的任務。

通過可信執行環境或可信運行環境（Trusted Execution Environment，TEE）來構建可信嵌入式系統的方法得到了更為廣泛的研究和支持^[9]。賓夕法尼亞州立大學的LeGuan等人基于TrustZone技術提出了可信運行環境框架TrustShadow，通過TrustShadow可以在安全世界中執行未經修改的Linux應用，并且通過頁表完整性校驗以及可執行程序完整性校驗等方式來保證應用的安全性，以應對網絡空間和物理空間的攻擊^[10,11]。

4 技術合規性與可行性分析

4.1 合規性分析

從法律法規層面，《網絡安全法》第十六條“國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務”。

GB/T22239網絡安全等級保護基本要求，從第一級到四級均在“安全通信網絡”“安全區域邊界”和“安全計算環境”中增加了“可信驗證”控制點，包括可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證，并在應用程序的所有執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心，并進行動態關聯感知。《關鍵信息基礎設施安全保護條例》第十九條明確要求應當優先采購全面使用安全可信的產品和服務來構建關鍵基礎設施安全保障體系。

GB/T39204關鍵信息基礎設施安全保護要求中已明確規定，在安全防護技術中要求應對安全通信網絡、安全計算環境等環節，采用主動防御技術確保關鍵信息基礎設備的運行安全。

4.2 可行性分析

（1）高適應性：可信計算技術滿足嵌入式系統特點和應用需求，雙體系架構，實現“運算+防御”無擾并行。基于TPCM硬件可信根結合輕量化TSB軟件基，首先構建一個信任根，隨之建立一條信任鏈，從信任根開始到硬件平臺、操作系統，再到應用，逐級度量、逐級信任。把這種信任擴展到整個計算機系統，從而確保整個計算機系統的可信，實現系統全生命周期可信度量，滿足低資源、高實時性嵌入式系統要求。

（2）高確定性：大多數嵌入式系統為定制化的專用系統，應用運行環境、業務運行周期、設備接入方式等相對明確，其內部功能相對固定，更容易通過可信計算技術制定可信策略并構建安全基線，對嵌入式系統進行動態防護。定制化程度高能夠以更靈活的設計實現可信根，有利于用可信計算構建“白名單”機制，形成“主體、客體、操作、環境”的安全基線，在安全可信策略管控下，確保嵌入式系統運行環境的完整可信。

（3）高可用性：嵌入式可信計算產品化應用已有積累，可信計算技術在嵌入式系統產品化應用已取得一定進展。在產品應用中可信計算技術發揮了較好的安全防護效果，可信計算在國內已具有相對完整的標準體系。

5 工業嵌入式控制系統可信技術應用架構

5.1 可信雙體系架構設計

將可信計算3.0技術理念，設計并實施到工業嵌入式控制系統中，要克服嵌入式系統實時性要求高、系統資源緊張等問題。工業嵌入式控制系統可信計算體系架構如圖3所示。

（1）TPCM：支撐策略管理等為TSB提供運行環境，TPCM應支持對業務功能主動監控的能力；應保證存儲根密鑰存放在可信根內部，外部無法獲取；應保證對關鍵業務數據、密鑰等信息采用TPCM組件提供的密碼服務進行加密處理。

（2）TSB：保護宿主軟件和應用安全，實現主動免疫防御的安全能力，TSB應具備輕量化環境度量策略；TSB可具備業務行為的度量策略；應具備對被保護系統的運行階段的訪問控制功能；應達到主體為用戶級或進程級訪問控制的粒度，客體為進程、文件的粒度。

（3）TCM：提供密碼計算、身份認證等功能，支持國SM2/3/4算法。

圖3 工業嵌入式控制系統可信計算體系架構

設計要求：針對嵌入式系統，可信計算應滿足業務場景使用需求，增加的可信啟動時間，對系統正常工作不造成影響；依托宿主的系統資源情況下，增加可信啟動所占用的資源，應滿足系統整體資源使用率要求。針對實時性要求高的場景，應在啟動階段完成主動度量，可在運行過程中不觸發主動度量功能。應滿足對依托宿主的系統資源情況下，針對度量性能要求較高的場景，可加大動態度量周期以減少對系統資源的占用（例如：動態度量周期可設置為最小周期任務的5~10倍）。

5.2 全生命周期可信設計

（1）可信啟動設計：基于可信計算3.0技術，在雙體系架構設計基礎上，考慮到隔離、并行性的設計特點，將系統分為計算部件和防護部件兩部分，并提出了一種可信鏈實現方法。該實現方法構建了國產化雙核處理器的可信鏈。

（2）可信升級設計：安全可信PLC通過安全可信工程師站進行固件遠程升級，為防止待升級的固件被惡意篡改，基于數字證書技術，設計一種固件可信升級方案。

（3）動態可信度量：基于可信計算3.0的嵌入式動態度量技術，包括輕量化環境度量、系統行為可信度量和業務行為度量，定制輕量化的度量策略，對操作系統代碼環境、業務代碼環境及關鍵業務行為，在可信軟件基的判定機制中給出度量結果。

6 工業嵌入式控制系統內生安全技術展望

工業嵌入式系統所涵蓋的范圍很廣，由于涉及的組件多且結構復雜，不同行業嵌入式系統暴露出的攻擊面迥異。行業場景化安全問題千差萬別，導致可信計算技術不能解決嵌入式系統面臨的所有安全問題。如何解決極低資源、小型嵌入式系統內生安全問題，是嵌入式可信計算需要繼續深入攻關的技術方向。另外在冶金水利、智能制造、石油石化等行業，國外工業嵌入式控制系統存量較大，安全性問題不容忽視。以嵌入式可信計算技術為依托，提供低成本、易于改造的內生安全方案，解決現場存量嵌入式系統的信息安全，是今后值得持續研究和深化的問題。

綜上所述，解決嵌入式系統信息安全問題，是一個復雜的系統工程，并不是依靠單一技術和方案能夠完美解決的。后續研究將嵌入式系統可信計算技術結合協議分析技術、事件關聯分析技術、溯源分析技術，構建全面的嵌入式系統風險監測、預警和處置體系，進一步提升嵌入式系統自身免疫的安全防御能力。

作者簡介：

楚   兵（1982-），男，北京人，中級工程師，碩士，現就職于寧波和利時信息安全研究院有限公司，研究方向為工控信息安全、網絡通信和嵌入式系統。

參考文獻：

[1] Defrawy K E, Perito D, Tsudik G. SMART: secure and minimal architecture for (establishing a dynamic) root of trust[J]. Isoc, 2017.

[2] Koeberl P, Schulz S, Sadeghi A R, et al. TrustLite: a security architecture for tiny embedded devices[C]. European Conference on Computer Systems, 2014 : 10.

[3] 易平. 基于龍芯處理器的嵌入式可信系統的設計與實現[D]. 南京: 南京航空航天大學, 2018.

[4] 張煥國, 李晶, 潘丹鈴, 趙波. 嵌入式系統可信平臺模塊研究[J]. 計算機研究與發展, 2011, 48 (07) : 1269 - 1278.

[5] 王鎮道, 鄭榮浩, 張立軍, 魯輝 . 一種適用于嵌入式終端的可信安全方案[J]. 計算機應用與軟件, 2016, 33 (01) : 230 - 234 、258.

[6] Raj H, Himanshu, et al. fTPM: A software-only implementation of a TPM chip[C]. 25th USENIXSecurity Symposium (USENIX Security 16), 2016.

[7] 張英駿, 馮登國, 秦宇, 等. 基于Trustzone的強安全需求環境下可信代碼執行方案[J]. 計算機研究與發展, 2015, 52 (10) : 2224 - 2238.

[8] Abera T, Asokan N, Davi L, et al. C-FLAT: control-flow attestation for embedded systems software[C]. Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, 2016 : 743 - 754.

[9] L. Guan, C. Cao, P. Liu, et al. Building a trustworthy execution environment to defeat exploits from both Cyber Space and Physical Space for ARM[J]. IEEE Transactions on Dependable and Secure Computing, 2015, 14 (8) : 1 - 16.

[10] L. Guan, P. Liu, X. Xing, et al. Trustshadow: secure execution of unmodified applications with arm trustzone[C]. Proceedings of the 15th Annual International Conference on Mobile Systems, Applications, and Services, Niagara Falls, 2017, 488 - 501.

[11] H. Sun, K. Sun, Y. Wang, et al. Reliable and trustworthy memory acquisition on smartphones[J]. IEEE Transactions on Information Forensics and Security, 2015, 10 (12) : 2547 - 2561.

《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊（第九輯）》