馬先明

（1. 深圳研祥智能科技股份有限公司，廣東 深圳 518057；2.國家特種計算機工程技術(shù)研究中心，廣東 深圳，518057）

國產(chǎn)龍芯處理器在安全互聯(lián)設(shè)備中的應(yīng)用

馬先明1，2

（1. 深圳研祥智能科技股份有限公司，廣東 深圳 518057；2.國家特種計算機工程技術(shù)研究中心，廣東 深圳，518057）

本文提出基于龍芯2H處理器的安全互聯(lián)設(shè)備，針對傳統(tǒng)工業(yè)控制系統(tǒng)中存在信息安全而采取惡意代碼檢測、可信行為檢測和可信數(shù)據(jù)檢測等技術(shù)，提高工業(yè)控制系統(tǒng)的安全性，滿足工業(yè)生產(chǎn)場合的應(yīng)用。

國產(chǎn)處理器龍芯；安全互聯(lián)設(shè)備；信息安全

0 引言

工業(yè)控制系統(tǒng)（Industry Control System，ICS）［1］應(yīng)用中基于IP協(xié)議設(shè)備的廣泛使用，一方面降低了系統(tǒng)開發(fā)、運維、升級和聯(lián)網(wǎng)成本，極大地推動了工業(yè)生產(chǎn)；但另一方面也因過多采用通用計算機和網(wǎng)絡(luò)技術(shù)，所面臨的信息安全問題日益增多，遭受網(wǎng)絡(luò)攻擊破壞的門檻逐步降低。

圖1所示為傳統(tǒng)工業(yè)控制系統(tǒng)架構(gòu)。工業(yè)控制層（Distributed Numerical Control（DNC）數(shù)控網(wǎng)絡(luò)系統(tǒng)）負責(zé)通過組態(tài)設(shè)計，完成數(shù)據(jù)采集、數(shù)模轉(zhuǎn)換、設(shè)備控制和生產(chǎn)制造。

制造執(zhí)行層和工業(yè)控制層（DNC數(shù)控網(wǎng)絡(luò)系統(tǒng)）之間經(jīng)常僅通過防火墻進行簡單的邊界隔離和訪問控制，工業(yè)控制層管理終端的安全防護技術(shù)措施十分薄弱，制造執(zhí)行層和工業(yè)控制層之間可以通過各種端口、協(xié)議進行訪問和通信，病毒、木馬、惡意代碼、黑客等攻擊行為很容易利用這些安全弱點，在終端上發(fā)生、發(fā)起，并通過網(wǎng)絡(luò)感染或破壞工業(yè)控制層系統(tǒng)。

由于工業(yè)控制層系統(tǒng)中存在多種類型的數(shù)控機床、多種通信接口、多種通用或?qū)Ｓ貌僮飨到y(tǒng)，工業(yè)控制層與制造執(zhí)行層之間存在不同類型的信息交互。信息交互的安全性難以檢測，無論是工業(yè)級防火墻和網(wǎng)絡(luò)隔離網(wǎng)關(guān)，對DNC數(shù)控網(wǎng)絡(luò)系統(tǒng)中面臨的木馬、病毒、網(wǎng)絡(luò)攻擊等可能造成信息泄露和控制指令被篡改等安全風(fēng)險和威脅均無能為力。

工業(yè)控制層中的數(shù)控設(shè)備操作系統(tǒng)大都采用專用操作系統(tǒng)，包括FANUC系統(tǒng)（法蘭克）、SIEMENS（西門子）、Fidia（菲迪亞）等，僅少數(shù)數(shù)控設(shè)備采用Windows NT、Windows XP等通用操作系統(tǒng)，絕大部分數(shù)控加工設(shè)備后臺均無windows操作系統(tǒng)。同時由于這些專用操作系統(tǒng)的底層代碼不開放，對其功能了解不全。工業(yè)控制層中生產(chǎn)設(shè)備的行為是專有的特定行為，且不同的生產(chǎn)設(shè)備的行為不同，要想科學(xué)的分析和評價工業(yè)控制層系統(tǒng)生產(chǎn)設(shè)備的行為，且實現(xiàn)對生產(chǎn)設(shè)備安全審計的難度很大。和Windows、Linux等通用的操作系統(tǒng)的惡意代碼檢測與剝離技術(shù)相比，針對FANUC、SIEMENS、Fidia等數(shù)控設(shè)備專用操作系統(tǒng)的安全輪廓分析、漏洞分析技術(shù)、惡意代碼檢測還處于初步階段，傳統(tǒng)的病毒查殺系統(tǒng)和惡意代碼查殺工具無法檢測針對數(shù)控設(shè)備專用操作系統(tǒng)的惡意行為。

傳統(tǒng)的防火墻并不能有效檢測針對數(shù)控設(shè)備的惡意行為，因為工業(yè)防火墻是通用的計算機設(shè)備，而工業(yè)控制層中的數(shù)控設(shè)備是專用設(shè)備，并非通用的計算機設(shè)備，針對數(shù)控設(shè)備的惡意代碼只對數(shù)控設(shè)備有效，產(chǎn)生惡意行為，而對通用計算機設(shè)備不會有任何影響。因此工業(yè)防火墻無法檢測到針對數(shù)控設(shè)備的惡意代碼。

因此有必要在工業(yè)控制層中設(shè)計一種安全互聯(lián)設(shè)備來提高工業(yè)生產(chǎn)的安全性。

圖1 傳統(tǒng)工業(yè)控制系統(tǒng)架構(gòu)Fig.1 Traditional industrial control system block diagram

圖2 加入安全互聯(lián)設(shè)備后工業(yè)控制系統(tǒng)架構(gòu)Fig.2 Industrial control system block diagram after the introduction of security equipment

1 總體設(shè)計

龍芯2H是國產(chǎn)處理器［2］龍芯2系列的后繼產(chǎn)品，其目標(biāo)是為安全適用計算機提供單片解決方案。龍芯2H 采用65nm 工藝實現(xiàn)，主頻達1GHz 以上，功耗小于 6 瓦，高性能功耗比。片內(nèi)集成定點處理器、浮點處理器、流媒體處理和圖形圖像處理功能，以及南橋、北橋等配套芯片組功能。

國產(chǎn)龍芯2H處理器作為我國自主可控的處理器，保證了處理器的安全性，避免了關(guān)鍵芯片級的各種漏洞和后門。采用國產(chǎn)龍芯2H處理器作為安全互聯(lián)設(shè)備的硬件平臺，能夠確保硬件設(shè)計上的安全性，防止因核心部件（處理器）的不可控產(chǎn)生的安全性影響。

圖2所示為加入安全互聯(lián)設(shè)備后的工業(yè)控制系統(tǒng)架構(gòu)。基于國產(chǎn)龍芯2H處理器設(shè)計的安全互聯(lián)設(shè)備將接收經(jīng)過工業(yè)防火墻傳遞過來的生產(chǎn)數(shù)據(jù)并檢測專門針對數(shù)控設(shè)備的惡意代碼，安全互聯(lián)設(shè)備所檢測的惡意代碼會對數(shù)控設(shè)備的生產(chǎn)進行非法操作，這些惡意代碼不會對通用計算機產(chǎn)生任何異常影響，因此傳統(tǒng)的工業(yè)防火墻無法檢測到這些專門針對數(shù)控設(shè)備的惡意代碼，需要引入基于國產(chǎn)龍芯2H處理器設(shè)計的安全互聯(lián)設(shè)備進行惡意代碼的檢測與處理。

2 硬件設(shè)計

國產(chǎn)龍芯2H處理器具有如下關(guān)鍵特性：

（1）集成一個GS464 四發(fā)射龍芯處理器核

（2）集成1 個64位DDR2/3控制器

（3）集成PCIE gen2 控制器，支持1x4 和4x1

（4）集成2 個10M/100M/1000M 自適應(yīng)GMAC

（5）集成2 個SATA2

基于國產(chǎn)龍芯2H處理器設(shè)計的安全互聯(lián)設(shè)備對產(chǎn)品設(shè)計提出了高速、可靠、智能等要求。安全互聯(lián)設(shè)備的核心處理器除了具有較高的性能外，還需要實時性、穩(wěn)定性高的操作系統(tǒng)［3］，此外還需要具有64位高性能處理器在算法實現(xiàn)上的保證。在高性能通用處理器中，國產(chǎn)龍芯2H處理器已達到比較高的處理性能和滿足多任務(wù)處理要求。

龍芯2H處理器集成度高，提供豐富的功能接口、性能高、功耗低、且完全自主可控［4］，滿足安全互聯(lián)設(shè)備的配置需求，其優(yōu)越的單芯片解決方案代替?zhèn)鹘y(tǒng)的處理器加南北橋設(shè)計方案，將大大簡化硬件電路的設(shè)計，避免邏輯電路設(shè)計的復(fù)雜性與技術(shù)難點，減輕了電磁抗干擾設(shè)計的難度，開發(fā)周期將大大縮短，加速我司安全互聯(lián)設(shè)備產(chǎn)品上市的時間?；邶埿?H處理器的安全互聯(lián)設(shè)備如圖3所示。

3 軟件設(shè)計

圖4所示為安全互聯(lián)設(shè)備的軟件處理流程。基于龍芯2H處理器的安全互聯(lián)設(shè)備接收到需要數(shù)控設(shè)備進行生產(chǎn)的生產(chǎn)數(shù)據(jù)后進行惡意代碼檢測、可信行為檢測和可信數(shù)據(jù)檢測，只有所有檢測正常后才能將生產(chǎn)數(shù)據(jù)發(fā)送給工業(yè)控制層中的數(shù)控設(shè)備進行生產(chǎn)，否則將對所檢測的生產(chǎn)數(shù)據(jù)進行丟棄、報警等處理，拒絕向數(shù)控設(shè)備傳送含惡意代碼的生產(chǎn)數(shù)據(jù)［5］。

基于龍芯2H處理器的安全互聯(lián)設(shè)備接收來自工業(yè)防火墻的生產(chǎn)數(shù)據(jù)后需要進行惡意代碼檢測。惡意代碼檢測功能主要是防止制造執(zhí)行層網(wǎng)絡(luò)中的惡意代碼侵入到工業(yè)控制層網(wǎng)絡(luò)。

圖3 基于龍芯2H處理器的安全互聯(lián)設(shè)備Fig.3 Security equipment based on Loongson-2H

圖4 安全互聯(lián)設(shè)備軟件處理流程Fig.4 Diagram of the software process about security equipment

惡意代碼檢測可以采用特征碼檢測、校驗和計算以及惡意行為檢測技術(shù)來實現(xiàn)。

特征碼檢測是當(dāng)今應(yīng)用得最多也最廣的檢測方式，通過大量分析曾經(jīng)對數(shù)控設(shè)備產(chǎn)生惡意行為的受感染文件，總結(jié)出針對數(shù)控設(shè)備的惡意代碼特征，獲取所得惡意代碼的特征碼?；邶埿?H處理器的安全互聯(lián)設(shè)備對生產(chǎn)數(shù)據(jù)以字節(jié)為單位進行掃描，比較生產(chǎn)數(shù)據(jù)是否和惡意代碼的特征碼相符。如果檢測結(jié)果與惡意代碼特征碼相符則惡意代碼檢測異常，說明所檢測的生產(chǎn)數(shù)據(jù)含有對數(shù)控設(shè)備危險的惡意代碼；如果檢測結(jié)果與惡意代碼特征碼不相符則惡意代碼檢測結(jié)果正常，說明所檢測的生產(chǎn)數(shù)據(jù)不含對數(shù)控設(shè)備有危險的惡意代碼。

校驗和計算是生產(chǎn)數(shù)據(jù)在制造執(zhí)行層產(chǎn)生前根據(jù)生產(chǎn)數(shù)據(jù)的信息，包括文件名稱、大小、時間、日期及內(nèi)容進行校驗和計算，將校驗和值寫入文件中或?qū)懭肫渌募斜４?。保存校驗和值的文件隨同生產(chǎn)數(shù)據(jù)一起發(fā)送到安全互聯(lián)設(shè)備，安全互聯(lián)設(shè)備重新根據(jù)文件現(xiàn)有信息計算出校驗和值與原來保存在文件中的校驗和值進行比較，看結(jié)果是否一致。如果校驗和值經(jīng)比較是不一致的，那么說明生產(chǎn)數(shù)據(jù)已含惡意代碼，是不能將該生產(chǎn)數(shù)據(jù)發(fā)送給數(shù)控設(shè)備進行生產(chǎn)的，說明惡意代碼檢測結(jié)果異常；如果校驗和值經(jīng)比較是一致的，那么說明生產(chǎn)數(shù)據(jù)正常，不含惡意代碼，是可以將該生產(chǎn)數(shù)據(jù)用于數(shù)控設(shè)備進行生產(chǎn)的，說明惡意代碼檢測結(jié)果正常。

惡意行為檢測是一種利用惡意代碼的特有行為特征來檢測惡意代碼的方法，一般而言，惡意代碼的一些行為是惡意代碼的共同行為，而且比較特殊。在正常的生產(chǎn)數(shù)據(jù)中，這些行為比較罕見，也是不可能出現(xiàn)在正常的生產(chǎn)數(shù)據(jù)中。通過大量分析曾經(jīng)對數(shù)控設(shè)備產(chǎn)生惡意行為的受感染文件，總結(jié)惡意代碼的惡意行為特征，形成惡意行為特征碼。生產(chǎn)數(shù)據(jù)的惡意行為包括盜用截流系統(tǒng)中斷、修改內(nèi)存總量和內(nèi)存控制塊、對可執(zhí)行文件做寫入操作等。安全互聯(lián)設(shè)備檢測生產(chǎn)數(shù)據(jù)的行為，如果發(fā)現(xiàn)了惡意行為特征碼，那么說明惡意代碼檢測結(jié)果異常；如果沒有發(fā)現(xiàn)惡意行為特征碼，那么說明惡意代碼檢測結(jié)果正常。

惡意代碼檢測異常時，說明所檢測的生產(chǎn)數(shù)據(jù)含有惡意代碼，是不能用于數(shù)控設(shè)備進行生產(chǎn)的，所檢測的生產(chǎn)數(shù)據(jù)需要丟棄、報警并寫入日志信息等。如果惡意代碼檢測正常時，說明所檢測的生產(chǎn)數(shù)據(jù)不含惡意代碼，需要進行可信行為檢測。

可信行為檢測是通過大量分析對數(shù)控設(shè)備而言是有效且正確的生產(chǎn)數(shù)據(jù)的文件，分析了解工業(yè)控制系統(tǒng)的業(yè)務(wù)邏輯和操作規(guī)程，總結(jié)出針對數(shù)控設(shè)備的可信行為代碼特征，獲取所得可信行為檢測的特征碼，并建立可信行為數(shù)據(jù)庫，數(shù)控設(shè)備的可信行為包括旋轉(zhuǎn)、向上移動、向下移動、向左移動、向右移動等行為?？尚判袨閿?shù)據(jù)庫里存放的都是數(shù)控設(shè)備正確行為操作的特征碼，只有可信行為數(shù)據(jù)庫里存放的行為操作特征碼才是正確的行為，否則將視為不正確的行為，這樣可以提高發(fā)現(xiàn)工業(yè)控制系統(tǒng)未知攻擊威脅的可能性。安全互聯(lián)設(shè)備對生產(chǎn)數(shù)據(jù)以字節(jié)為單位進行掃描，比較生產(chǎn)數(shù)據(jù)是否和可信行為數(shù)據(jù)庫里存放的可信行為特征碼相符。如果檢測結(jié)果與可信行為特征碼不相符，則表示可信行為檢測異常，說明所檢測的生產(chǎn)數(shù)據(jù)含有對數(shù)控設(shè)備危險的惡意代碼，所檢測的生產(chǎn)數(shù)據(jù)需要丟棄、報警并寫入日志信息等；如果檢測結(jié)果與可信行為特征碼相符，則表示可信行為檢測結(jié)果正常，說明所檢測的生產(chǎn)數(shù)據(jù)不含對數(shù)控設(shè)備有危險的惡意代碼，所檢測的生產(chǎn)數(shù)據(jù)是符合數(shù)控設(shè)備可信行為操作的正確數(shù)據(jù)。

接著需要進行可信數(shù)據(jù)檢測，可信數(shù)據(jù)檢測是對大量生產(chǎn)數(shù)據(jù)里可信行為的合法操作范圍進行分析總結(jié)，并建立數(shù)據(jù)合法性數(shù)據(jù)庫，數(shù)控設(shè)備的可信數(shù)據(jù)包括旋轉(zhuǎn)的最小角度和最大角度、向上移動的最小距離和最大距離、向下移動的最小距離和最大距離、向左移動的最小距離和最大距離、向右移動的最小距離和最大距離等數(shù)據(jù)。安全互聯(lián)設(shè)備對生產(chǎn)數(shù)據(jù)的可信行為數(shù)據(jù)進行掃描檢測，比較生產(chǎn)數(shù)據(jù)的可信行為數(shù)據(jù)是否具有合法性，即是否處于數(shù)據(jù)合法性數(shù)據(jù)庫里所規(guī)定可信行為的最小值和最大值之間。如果可信數(shù)據(jù)檢測正常，說明所檢測的生產(chǎn)數(shù)據(jù)不含對數(shù)控設(shè)備有危險的惡意代碼，所檢測的生產(chǎn)數(shù)據(jù)符合數(shù)控設(shè)備生產(chǎn)要求。如果可信數(shù)據(jù)檢測異常，說明所檢測生產(chǎn)數(shù)據(jù)里包含超出可信行為的正常操作的不合法數(shù)據(jù)，所檢測的生產(chǎn)數(shù)據(jù)需要丟棄、報警并寫入日志信息等。

如果所檢測的生產(chǎn)數(shù)據(jù)能正常通過安全互聯(lián)設(shè)備檢測，那么說明該生產(chǎn)數(shù)據(jù)不含對數(shù)控設(shè)備有影響的惡意代碼，該數(shù)據(jù)可以經(jīng)安全互聯(lián)設(shè)備發(fā)送給工業(yè)控制層進行安全生產(chǎn)。

4 結(jié)束語

本文提出基于龍芯2H處理器的安全互聯(lián)設(shè)備，針對可能存在對數(shù)控設(shè)備的惡意代碼和惡意行為而采取惡意代碼檢測、可信行為檢測和可信數(shù)據(jù)檢測等技術(shù)，進而提高工業(yè)控制系統(tǒng)的安全性。

［1］ 張帥. 工業(yè)控制系統(tǒng)安全管理體系研究［C］. 全國計算機安全學(xué)術(shù)交流會. 2012.01：20-22.

S Zhang，Industrial Control System Security Management Research. Chinese Computer Academic Communication. 2012.01：20-22.

［2］ 龍芯2H處理器數(shù)據(jù)手冊［OL］. 2011-10. Loongson 2H Data Sheet［OL］. 2011-10.

［3］ Frank van Gilluwe. PC技術(shù)內(nèi)幕［M］. 北京：北京電力出版社，2001：123-139. Frank van Gilluwe. PC Technology［M］. Beijing：Beijing Electric Power Press，2001：123-139.

［4］ 孫瓊. 嵌入式Linux應(yīng)用程序開發(fā)詳解［M］. 北京：人民郵電出版社，2007：133-156.

Q Sun. Embedded Linux Application Development ［M］. Beijing：People’s Posts and Telecommunications Press，2007：133-156.

［5］ 邵麗萍. 計算機安全技術(shù)［M］. 北京：清華大學(xué)出版社，2012.

P L Shao. Computer Security Technology ［M］. Beijing：Tsinghua University Press，2012.

［6］ 宋強，宋建國，孫夢娟. 基于 MCU 和 FPGA 雙處理器的超音頻感應(yīng)加熱電源設(shè)計［J］. 新型工業(yè)化，2015 （4）：48-54.

Q Song，Jiangguo S. the design of Audio-frequency Induction Heating Power Supply System of Dual Microprocessor Based on MCU and FPGA.［J］ New Industrialization Straregy，2015 （4）：48-54.

Homebred Loongson Processor Application in Security Equipment

MA Xian-ming1，2
（1. EVOC Intelligent Technology Co.， Ltd， Guangdong Shenzhen 518057， China； （2.National Special Computer Engineering Technology Research Center， Shenzhen， Guangdong 518057， China）

This paper presents a security equipment based on homebred Loongson-2H processor. In this paper， it describes a method to solve the traditional information security problems in the industrial control system by malicious code detection，trusted behavior detection and reliable data detection. This method improves the safety of industrial control system and is suitable for industrial production.

Homebred loongson processor； Security equipment； Information security

10.19335/j.cnki.2095-6649.2016.09.014

MA Xian-ming. Homebred Loongson Processor Application in Security Equipment［J］. The Journal of New Industrialization， 2016， 6（9）： 82-86.

馬先明.國產(chǎn)龍芯處理器在安全互聯(lián)設(shè)備中的應(yīng)用［J］. 新型工業(yè)化，2016，6（9）：82-86.

馬先明（1981-），男，碩士研究生，工程師，研究方向：自動化控制