文/金瑞蒙、沈青、劉虹、張雷、倪華

隨著國(guó)民經(jīng)濟(jì)持續(xù)、快速、健康發(fā)展及新型城鎮(zhèn)化戰(zhàn)略實(shí)施，我國(guó)城市軌道交通跨入蓬勃發(fā)展的黃金機(jī)遇期。世界各國(guó)廣泛采用以信息化促進(jìn)城市軌道交通發(fā)展的戰(zhàn)略，信息化已覆蓋城市軌道交通的建設(shè)、運(yùn)營(yíng)、管理、安全、服務(wù)等各個(gè)方面。我國(guó)強(qiáng)力推進(jìn)“互聯(lián)網(wǎng)+城市軌道交通”戰(zhàn)略，信息化建設(shè)已進(jìn)入大規(guī)模開(kāi)發(fā)和應(yīng)用階段，自動(dòng)化、信息化和智能化已成為城市軌道交通發(fā)展的必然趨勢(shì)，同時(shí)，也帶來(lái)了日趨嚴(yán)重的信息安全問(wèn)題。

工控系統(tǒng)是軌道交通安全穩(wěn)定運(yùn)行的核心要素，在當(dāng)今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境下，一旦發(fā)生信息安全事件，對(duì)軌道交通的工控系統(tǒng)進(jìn)行破壞，將嚴(yán)重影響國(guó)民的出行安全，提升軌道交通工控系統(tǒng)的安全防護(hù)刻不容緩。按照工控系統(tǒng)功能層級(jí)劃分（第0層：現(xiàn)場(chǎng)設(shè)備層；第1層：現(xiàn)場(chǎng)控制層；第2層：過(guò)程監(jiān)控層；第3層：生產(chǎn)管理層；第4層：企業(yè)資源層），PLC位于軌道交通工控系統(tǒng)的第1層，即現(xiàn)場(chǎng)控制層，直接控制現(xiàn)場(chǎng)設(shè)備，同時(shí)與主控中心通信，是整個(gè)系統(tǒng)的核心，而作為核心控制裝置，普通PLC自身信息安全防護(hù)能力低下，這會(huì)使工控系統(tǒng)面臨極大的安全隱患。

因此，對(duì)于目前的嚴(yán)峻態(tài)勢(shì)，迫切需要PLC具備以可信計(jì)算技術(shù)為保障的自身安全防護(hù)能力。安全可信PLC基于可信計(jì)算3.0技術(shù)構(gòu)建了主動(dòng)免疫防御體系，對(duì)硬件結(jié)構(gòu)、操作系統(tǒng)、應(yīng)用軟件以及網(wǎng)絡(luò)連接等多方面加強(qiáng)安全防范，并采用國(guó)產(chǎn)商用密碼，為可信計(jì)算3.0相關(guān)組件提供密碼支撐。

安全可信PLC體系結(jié)構(gòu)

基于可信計(jì)算3.0技術(shù)的主動(dòng)免疫防護(hù)是指在計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，計(jì)算全程可測(cè)可控，不被干擾，只有這樣才能使計(jì)算結(jié)果總是與預(yù)期一樣。這種主動(dòng)免疫的計(jì)算模式改變了傳統(tǒng)的只追求計(jì)算效率，而不講求安全防護(hù)的片面計(jì)算模式。

在圖1所示的安全可信PLC體系結(jié)構(gòu)中，安全可信PLC控制器通過(guò)安全管理平臺(tái)的統(tǒng)一可信策略管控，構(gòu)成運(yùn)算和防護(hù)并存的主動(dòng)免疫計(jì)算節(jié)點(diǎn)，與可信上位機(jī)通過(guò)可信連接進(jìn)行數(shù)據(jù)交互，以密碼為基因?qū)崿F(xiàn)雙向身份鑒別和加密通信，確保接入設(shè)備身份的可信及通信數(shù)據(jù)的完整性和真實(shí)性。

圖1 安全可信PLC體系結(jié)構(gòu)

安全可信PLC控制器作為主動(dòng)免疫計(jì)算節(jié)點(diǎn)，由計(jì)算部件和防護(hù)部件構(gòu)成，計(jì)算部件和防護(hù)部件邏輯相互獨(dú)立，形成具備計(jì)算功能和防護(hù)功能并行的雙體系結(jié)構(gòu)。將可信計(jì)算3.0技術(shù)理念，設(shè)計(jì)并實(shí)施到安全可信PLC產(chǎn)品中，要克服嵌入式系統(tǒng)實(shí)時(shí)性要求高、系統(tǒng)資源緊張等問(wèn)題。

本文將可信計(jì)算3.0雙體系架構(gòu)，創(chuàng)新地應(yīng)用到工控系統(tǒng)安全可信PLC控制器中，滿足可信計(jì)算3.0技術(shù)要求。

對(duì)于安全可信PLC控制雙體系架構(gòu)的描述，可以按照TPCM與其所連接的部件、組件的交互來(lái)展開(kāi)。

TPCM與TSB、TCM、安全管理平臺(tái)和計(jì)算部件進(jìn)行交互，交互方式如下：

1）TPCM為T(mén)SB提供運(yùn)行環(huán)境和TSB功能實(shí)現(xiàn)的支撐，為T(mén)SB提供可信策略，TSB按照策略解析機(jī)制，對(duì)可信策略進(jìn)行解析和使用，并形成可信基準(zhǔn)庫(kù)，TSB實(shí)現(xiàn)控制、度量、判定、支撐等功能。TPCM為T(mén)SB提供密碼服務(wù)，支撐TSB實(shí)現(xiàn)相關(guān)密碼運(yùn)算的能力；

2）TPCM通過(guò)訪問(wèn)TCM獲取可信密碼功能，完成對(duì)防護(hù)對(duì)象的可信驗(yàn)證、加密存儲(chǔ)等功能；

3）TPCM通過(guò)與安全管理平臺(tái)建立可信連接，實(shí)現(xiàn)可信策略的連接、可信報(bào)告的處理等功能；

4）計(jì)算部件操作系統(tǒng)中內(nèi)置的防護(hù)代理將相關(guān)數(shù)據(jù)信息提供給TPCM，TPCM將數(shù)據(jù)信息轉(zhuǎn)發(fā)給TSB，由TSB進(jìn)行分析處理；

5）TPCM為安全可信PLC控制器提供身份鑒別和密碼服務(wù)的功能，可實(shí)現(xiàn)安全可信PLC控制器與可信上位機(jī)的可信連接功能，其中計(jì)算部件如需與可信上位機(jī)建立可信連接，也可通過(guò)功能調(diào)用接口來(lái)實(shí)現(xiàn)。

安全可信PLC防護(hù)功能

本文根據(jù)安全可信PLC體系結(jié)構(gòu)對(duì)其進(jìn)行系統(tǒng)設(shè)計(jì)和功能實(shí)現(xiàn)，使得安全可信PLC具備可信啟動(dòng)、動(dòng)態(tài)度量、可信連接，依托上述內(nèi)生安全主動(dòng)防御功能，并結(jié)合安全管理平臺(tái)統(tǒng)一管控，實(shí)現(xiàn)安全可信PLC縱深防御的能力。

1.可信啟動(dòng)

在可信計(jì)算3.0理論的指導(dǎo)下，基于可信根(TPCM)建立可信鏈，實(shí)現(xiàn)系統(tǒng)可信啟動(dòng)。

普通PLC控制器啟動(dòng)過(guò)程如下：處理器直接從非易失存儲(chǔ)器加載啟動(dòng)程序和應(yīng)用程序執(zhí)行，并不驗(yàn)證這些程序的完整性，如果這部分啟動(dòng)程序代碼被未授權(quán)的方式篡改，主控制器在不加驗(yàn)證的情況下加載運(yùn)行則會(huì)出現(xiàn)非預(yù)期行為，嚴(yán)重情況下會(huì)使現(xiàn)場(chǎng)的生產(chǎn)設(shè)備置于危險(xiǎn)運(yùn)行狀態(tài)。

安全可信PLC控制器的可信啟動(dòng)要檢查系統(tǒng)的一致性，系統(tǒng)的啟動(dòng)從一個(gè)可信根（TPCM）開(kāi)始，依次驗(yàn)證 bootloader、OS到應(yīng)用程序，形成一個(gè)可信鏈，通過(guò)可信鏈的傳遞,保證系統(tǒng)平臺(tái)處于可信狀態(tài)中。

2.可信度量

運(yùn)行階段，基于可信計(jì)算3.0理論，考慮到嵌入式平臺(tái)有限的資源，在安全可信PLC控制器中，實(shí)現(xiàn)了輕量化環(huán)境度量功能，并依托對(duì)PLC控制器業(yè)務(wù)功能的技術(shù)積累和創(chuàng)新性技術(shù)探索，實(shí)現(xiàn)了業(yè)務(wù)行為可信度量和固件可信升級(jí)的功能。

（1）輕量化環(huán)境度量

安全可信PLC控制器業(yè)務(wù)運(yùn)行環(huán)境，包括操作系統(tǒng)代碼環(huán)境、業(yè)務(wù)代碼環(huán)境等，根據(jù)PLC的業(yè)務(wù)特點(diǎn)，定制輕量化的度量策略，保證高實(shí)時(shí)性，有效節(jié)省嵌入式計(jì)算資源。

輕量化運(yùn)行環(huán)境度量中選取與業(yè)務(wù)行為相關(guān)聯(lián)的代碼區(qū)域，通過(guò)可信策略配置，作為T(mén)SB組件的度量依據(jù)。也可以選取快慢度量結(jié)合的方式，根據(jù)場(chǎng)景需求定制。

（2）業(yè)務(wù)行為可信度量

基于PLC邏輯控制軟件業(yè)務(wù)行為的動(dòng)態(tài)度量方法，將度量機(jī)制的粒度細(xì)化到軟件行為的層面上，以保障系統(tǒng)運(yùn)行后的動(dòng)態(tài)可信性，符合可信計(jì)算的本質(zhì)。以工控嵌入式PLC邏輯控制執(zhí)行，通過(guò)內(nèi)部調(diào)度模塊，完成指定順序的任務(wù)流程執(zhí)行。捕獲安全可信PLC邏輯控制的周期性的行為跡，形成業(yè)務(wù)行為跡表，結(jié)合環(huán)境提取器，構(gòu)成可信度量元素，以行為可信基準(zhǔn)庫(kù)為依據(jù)，展開(kāi)對(duì)業(yè)務(wù)行為的時(shí)間序、行為完整性的可信度量。

（3）固件可信升級(jí)

安全可信PLC通過(guò)可信上位機(jī)進(jìn)行固件遠(yuǎn)程升級(jí)，為防止待升級(jí)的固件被惡意篡改，基于數(shù)字證書(shū)技術(shù)，設(shè)計(jì)一種固件可信升級(jí)方案。

固件可信升級(jí)流程如下：

1) 在固件出廠前，生成簽名固件；

2) 可信上位機(jī)與安全可信PLC控制器，通過(guò)雙向身份認(rèn)證機(jī)制，建立會(huì)話；

3) 可信上位機(jī)發(fā)起固件升級(jí)請(qǐng)求，并發(fā)送待升級(jí)的固件；

4) 安全可信PLC完成數(shù)字簽名的驗(yàn)證；

5) 根據(jù)驗(yàn)證解決判斷固件的可信和合法性。

3.可信連接

安全可信PLC控制器與可信上位機(jī)及安全管理平臺(tái)采用可信連接的方式，保障通信雙方的身份可信和通信數(shù)據(jù)的可信。

安全可信PLC采用自主研發(fā)的高實(shí)時(shí)安全通信組件，組件不僅支持Windows、Linux等通用操作系統(tǒng)，還支持安全可信PLC控制器中的自主可控國(guó)產(chǎn)操作系統(tǒng)。單包通信加解密延時(shí)小于15ms，適應(yīng)工控嵌入式應(yīng)用場(chǎng)景。組件采用高強(qiáng)度國(guó)產(chǎn)商用密碼。

安全通信組件實(shí)現(xiàn)了基于國(guó)產(chǎn)商用密碼的SSL/TLS協(xié)議，能夠?qū)崿F(xiàn)通信雙方的身份鑒別和通信加解密功能。

會(huì)話建立過(guò)程中，通信雙方通過(guò)數(shù)字證書(shū)，確認(rèn)彼此的身份，進(jìn)行身份鑒別。會(huì)話建立結(jié)束后，通信雙方已就使用的加密算法達(dá)成一致，并擁有了一套與對(duì)應(yīng)算法匹配的密鑰?？梢源_信整個(gè)過(guò)程攻擊者無(wú)法干擾，實(shí)現(xiàn)了可信連接。

安全通信組件采用軟硬件結(jié)合的密碼協(xié)同方式實(shí)現(xiàn)輕量化高實(shí)時(shí)性通信加解密，根據(jù)CPU的使用率、數(shù)據(jù)優(yōu)先級(jí)等因素，并結(jié)合PLC的使用場(chǎng)景，下發(fā)專屬調(diào)度策略，軟件和硬件密碼模塊協(xié)同分擔(dān)系統(tǒng)繁重的密碼服務(wù)請(qǐng)求，較為高效、靈活地實(shí)現(xiàn)密碼模塊服務(wù)請(qǐng)求的歸一化調(diào)度。

采用軟件結(jié)合硬件密碼模塊的實(shí)現(xiàn)方式，一方面安全可信PLC設(shè)計(jì)中采用硬件密碼模塊，既滿足了行業(yè)規(guī)范符合性，另一方面軟件密碼模塊又能適應(yīng)復(fù)雜多變的應(yīng)用場(chǎng)景，軟件升級(jí)成本低，能夠較好地降低產(chǎn)品的改造和維護(hù)成本。

安全可信PLC應(yīng)用分析

等保2.0要求的“一個(gè)中心、三重防護(hù)”，就是指針對(duì)安全管理中心和安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)的安全合規(guī)進(jìn)行方案設(shè)計(jì)，建立以計(jì)算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障體系。

圖2是一種典型的軌道交通系統(tǒng)安全可信防護(hù)方案設(shè)計(jì)圖，該方案將可信計(jì)算3.0技術(shù)融入安全防護(hù)方案中，形成基于安全可信的“一個(gè)中心、三重防護(hù)”體系，可以更有效地對(duì)軌道交通控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。從圖2中可以看到，安全可信PLC作為可信防護(hù)系統(tǒng)設(shè)備監(jiān)控層的核心設(shè)備在系統(tǒng)中的安全防護(hù)布局位置。

圖2 軌道交通系統(tǒng)安全可信防護(hù)方案設(shè)計(jì)圖

結(jié)合軌道交通系統(tǒng)的應(yīng)用場(chǎng)景，我們搭建了安全可信PLC的測(cè)試環(huán)境，并進(jìn)行防護(hù)功能測(cè)試。根據(jù)中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院的第三方測(cè)試報(bào)告（表1）顯示，各項(xiàng)防護(hù)功能均測(cè)試通過(guò)。

表1 第三方測(cè)試報(bào)告結(jié)果匯總

結(jié)論

安全可信PLC基于可信計(jì)算3.0技術(shù)，實(shí)現(xiàn)了計(jì)算部件和防護(hù)部件并行運(yùn)行的雙體系架構(gòu)，具備可信啟動(dòng)、可信度量和可信連接的功能，保證了工業(yè)控制系統(tǒng)核心代碼、數(shù)據(jù)的內(nèi)生安全，并實(shí)現(xiàn)系統(tǒng)由內(nèi)向外的主動(dòng)防御功能。本文研究的安全可信PLC可有效推動(dòng)國(guó)內(nèi)軌道交通領(lǐng)域控制系統(tǒng)安全防護(hù)技術(shù)的發(fā)展，滿足軌道交通工控系統(tǒng)的信息安全需求，這樣不但可以節(jié)省為引進(jìn)國(guó)外技術(shù)和設(shè)備所需要花費(fèi)的大量外匯，而且打破了信息安全PLC產(chǎn)品完全依賴國(guó)外的被動(dòng)局面。安全可信PLC的研制和應(yīng)用，需要一定的研發(fā)和硬件成本，安全可信PLC的應(yīng)用相比非可信設(shè)備會(huì)在一定程度上帶來(lái)成本的增加。但同時(shí)，安全可信PLC的應(yīng)用可減少對(duì)其他安全設(shè)備的投資，考慮到可信計(jì)算具備更好的安全防護(hù)有效性及合規(guī)價(jià)值，因此安全可信PLC的應(yīng)用是具有經(jīng)濟(jì)可行性的。