李躍鵬 康婧婧 張 健 冀朝強(qiáng)

鏈?zhǔn)娇尚艈?dòng)在高壓直流輸電控制保護(hù)主機(jī)中的應(yīng)用

李躍鵬 康婧婧 張 健 冀朝強(qiáng)

（許繼電氣股份有限公司，河南 許昌 461000）

針對(duì)目前高壓直流輸電中控制保護(hù)主機(jī)自身安全防護(hù)能力弱的問題，提出基于可信平臺(tái)模塊（TPM）安全芯片，使用國(guó)密算法SM2、SM3、SM4構(gòu)建可信根并用于身份認(rèn)證。系統(tǒng)整體設(shè)計(jì)從硬件啟動(dòng)和軟件啟動(dòng)兩方面，通過身份認(rèn)證和數(shù)字簽名建立完整的信任鏈，實(shí)現(xiàn)了控制保護(hù)主機(jī)從硬件啟動(dòng)、系統(tǒng)加載到系統(tǒng)運(yùn)行全過程的鏈?zhǔn)娇尚艈?dòng)。實(shí)驗(yàn)結(jié)果表明，所提方案可識(shí)別固件篡改、身份偽造等風(fēng)險(xiǎn)，實(shí)現(xiàn)了控制保護(hù)主機(jī)的安全啟動(dòng)，提高了高壓直流輸電系統(tǒng)的整體防護(hù)水平。

高壓直流（HVDC）輸電；可信平臺(tái)模塊（TPM）安全芯片；可信根；信任鏈；身份認(rèn)證

0 引言

高壓直流輸電可實(shí)現(xiàn)遠(yuǎn)距離、大容量的電能傳輸，適合大區(qū)電網(wǎng)之間的非同步連接，直流輸電已經(jīng)成為解決我國(guó)能源資源和負(fù)荷中心逆向分布問題的重要手段[1]，同時(shí)可再生能源的跨區(qū)接入占比不斷提高，直流輸電系統(tǒng)安全已成為大電網(wǎng)安全的重要一環(huán)[2]。

從2010年伊朗“震網(wǎng)”病毒事件，到2015年烏克蘭電網(wǎng)大規(guī)模停電，再到2019年委內(nèi)瑞拉電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊出現(xiàn)3次大范圍停電事件，以及近幾年針對(duì)電力系統(tǒng)的網(wǎng)絡(luò)攻擊、遠(yuǎn)程破壞、勒索病毒等事件表明，電網(wǎng)內(nèi)部系統(tǒng)受到攻擊的風(fēng)險(xiǎn)越來(lái)越高，傳統(tǒng)的邊界防護(hù)體系面臨嚴(yán)重威脅[3-5]。

作為直流輸電“大腦”的控制保護(hù)主機(jī)通常并不具備安全防護(hù)能力[6]，當(dāng)外部主體的弱安全防護(hù)遭受攻擊時(shí)，安全風(fēng)險(xiǎn)就會(huì)傳導(dǎo)至電力系統(tǒng)的控制核心區(qū)域即控制保護(hù)主機(jī)，外部攻擊者通過竊取未加密的固件，逆向工程獲取敏感信息，甚至暴力破解存儲(chǔ)芯片，從而偽造、注入或者篡改控制邏輯，引發(fā)重大安全事故[7]。

為了保證設(shè)備的安全啟動(dòng)，文獻(xiàn)[8]提出一種基于安全散列算法1（secure Hash algorithm 1, SHA1）校驗(yàn)固件的方法，但是隨著計(jì)算機(jī)技術(shù)和密碼技術(shù)的快速發(fā)展，單一散列算法體系的防護(hù)缺點(diǎn)也愈加明顯。文獻(xiàn)[9]提出使用商用國(guó)密算法對(duì)固件進(jìn)行校驗(yàn)，但是未構(gòu)建可信根，無(wú)法對(duì)固件的身份進(jìn)行驗(yàn)證。為了防止暴力破解存儲(chǔ)設(shè)備中密鑰，文獻(xiàn)[10]使用現(xiàn)場(chǎng)可編程門陣列（field programmable gate array, FPGA）構(gòu)建安全基石來(lái)生成系統(tǒng)密鑰，從而保證設(shè)備安全啟動(dòng)，但此方法不易于大規(guī)模應(yīng)用。文獻(xiàn)[11]提出一種用于嵌入式設(shè)備固件安全更新的廣義模型，使用固件加密和數(shù)字簽名技術(shù)來(lái)保證嵌入式設(shè)備的安全，但是此模型相對(duì)簡(jiǎn)單，也未考慮多級(jí)固件加載的問題。

結(jié)合以上文獻(xiàn)，本文提出采用可信平臺(tái)模塊（trusted platform module, TPM）安全芯片，使用國(guó)密算法從硬件設(shè)計(jì)和軟件設(shè)計(jì)兩方面構(gòu)建信任鏈，實(shí)現(xiàn)系統(tǒng)整體的身份認(rèn)證和可信啟動(dòng)，并在控制保護(hù)主機(jī)中進(jìn)行實(shí)驗(yàn)驗(yàn)證。

1 硬件可信啟動(dòng)方案設(shè)計(jì)

1.1 TPM安全芯片

TPM安全芯片是指符合TPM標(biāo)準(zhǔn)的安全芯片，滿足對(duì)數(shù)字簽名/驗(yàn)證、非對(duì)稱/對(duì)稱加解密、數(shù)據(jù)完成性校驗(yàn)、真隨機(jī)數(shù)生成、密鑰生成和管理等功能要求，能夠保證敏感數(shù)據(jù)的機(jī)密性、真實(shí)性和完整性[12]。由于其特殊的硬件設(shè)計(jì)，通過物理手段對(duì)其進(jìn)行暴力破解的可能性極低，因此作為可信平臺(tái)信任根具有極高的可靠性[13]。

TPM安全芯片基本結(jié)構(gòu)示意圖如圖1所示，包括I/O接口、微控制器、密碼引擎、隨機(jī)數(shù)生成器、加密存儲(chǔ)單元等模塊[14]。密碼引擎主要用于密鑰生成和管理、數(shù)據(jù)加密和解密，其中安全散列算法（secure Hash algorithm, SHA）引擎支持SHA-1、SHA-256、SHA-512等算法；非對(duì)稱加密算法RSA引擎支持RSA1024、RSA2048算法；國(guó)密算法SM引擎支持國(guó)密SM1、SM2、SM3、SM4算法[15-16]。

1.2 硬件平臺(tái)結(jié)構(gòu)

直流輸電控制保護(hù)設(shè)備的硬件平臺(tái)一般由工控機(jī)或嵌入式設(shè)備構(gòu)成。圖2為一款嵌入式直流輸電控制保護(hù)裝置，它采用緊密耦合的多主處理器結(jié)構(gòu)，使用高速統(tǒng)一的背板總線。裝置由處理器板卡、模擬量輸入輸出、開關(guān)量輸入輸出、觸發(fā)脈沖、現(xiàn)場(chǎng)總線通信及以太網(wǎng)通信等十幾種板卡構(gòu)成。該裝置的特點(diǎn)是可以根據(jù)工程需要靈活組態(tài)，各個(gè)處理器板卡可以分別控制不同的外設(shè)板卡，實(shí)現(xiàn)特定的控制保護(hù)功能。

圖1 TPM安全芯片基本結(jié)構(gòu)示意圖

圖2 嵌入式直流輸電控制保護(hù)裝置

裝置中的處理器板卡是控制、保護(hù)的大腦中樞，運(yùn)行著最為關(guān)鍵的控制邏輯算法。如果處理器板卡遭受攻擊，很容易出現(xiàn)電力系統(tǒng)的擾動(dòng)，甚至出現(xiàn)電力系統(tǒng)癱瘓，因此只有保證處理器板卡的可信安全啟動(dòng)，才能做到裝置的安全啟動(dòng)，并更好地構(gòu)建防護(hù)體系。

1.3 硬件可信啟動(dòng)目標(biāo)

目前，在控制保護(hù)設(shè)備的硬件設(shè)計(jì)中，往往忽略硬件的安全啟動(dòng)，側(cè)重于軟件的安全加載、執(zhí)行，但是從近幾年的攻擊統(tǒng)計(jì)數(shù)據(jù)來(lái)看，針對(duì)硬件的攻擊呈逐漸增長(zhǎng)趨勢(shì)[17]。如果從硬件啟動(dòng)開始保證系統(tǒng)的可信安全加載，就能從根本上隔離外部攻擊、保證系統(tǒng)的安全性。

1.4 硬件可信啟動(dòng)方案

硬件設(shè)計(jì)框圖如圖3所示。將硬件電源模組分為安全電源模組和普通電源模組，其中安全電源模組負(fù)責(zé)給TPM安全芯片、復(fù)雜可編程邏輯器件（complex programmable logic device, CPLD）、存儲(chǔ)模塊供電，普通電源模組則負(fù)責(zé)給處理器和外設(shè)供電；系統(tǒng)采用TPM安全芯片作為可信存儲(chǔ)、可信度量的基礎(chǔ)[18]，TPM存儲(chǔ)的國(guó)密根證書作為系統(tǒng)惟一身份，是系統(tǒng)可信啟動(dòng)的基石。處理器通過訪問TPM安全芯片的密碼引擎，使用高速密碼運(yùn)算服務(wù)，為上層安全應(yīng)用提供底層的算法加速、身份認(rèn)證、密鑰管理和敏感數(shù)據(jù)保護(hù)等服務(wù)，同時(shí)TPM安全芯片集成了國(guó)密算法SM2、SM3、SM4用于身份認(rèn)證和驗(yàn)簽[19]。

圖3 硬件設(shè)計(jì)框圖

系統(tǒng)上電開始運(yùn)行，為了防止基礎(chǔ)固件被篡改，驗(yàn)證基礎(chǔ)固件的完整性，會(huì)將基礎(chǔ)固件、對(duì)應(yīng)的國(guó)密證書、電子簽名打包在一起，由TPM安全芯片對(duì)其進(jìn)行驗(yàn)簽來(lái)保證處理器運(yùn)行在可信的環(huán)境下。TPM安全芯片同基礎(chǔ)固件中的bootrom、一級(jí)國(guó)密證書、數(shù)字簽名的關(guān)系如圖4所示。

圖4 TPM安全芯片驗(yàn)證關(guān)系

基于TPM安全芯片的硬件可信啟動(dòng)過程如下：

1）硬件上電啟動(dòng)時(shí)刻，系統(tǒng)的安全電源模組優(yōu)先給TPM安全芯片、CPLD、存儲(chǔ)模塊供電；TPM安全芯片讀取自身存儲(chǔ)的國(guó)密根證書；CPLD處于等待TPM安全芯片指令狀態(tài)。

2）TPM安全芯片讀取存儲(chǔ)模塊中的基礎(chǔ)固件，并對(duì)基礎(chǔ)固件進(jìn)行解包，讀取對(duì)應(yīng)的bootrom、一級(jí)國(guó)密證書和數(shù)字簽名。

3）TPM安全芯片使用國(guó)密根證書來(lái)驗(yàn)證一級(jí)國(guó)密證書的有效性，再根據(jù)一級(jí)國(guó)密證書中的公鑰和摘要算法，使用密碼加速引擎對(duì)bootrom進(jìn)行驗(yàn)簽；如果驗(yàn)證bootrom通過就執(zhí)行下一步，如果不通過就停止執(zhí)行并輸出故障信息。

4）TPM安全芯片發(fā)送啟動(dòng)命令給CPLD，CPLD接收到啟動(dòng)命令后，啟動(dòng)硬件上電時(shí)序，使用普通電源模組對(duì)處理器和外圍設(shè)備上電。

5）處理器上電并開始運(yùn)行。

該方案的硬件設(shè)計(jì)保證了板卡的安全可信啟動(dòng)。通常一級(jí)bootrom只有幾千字節(jié)大小，對(duì)一級(jí)bootrom驗(yàn)簽既不影響板卡的啟動(dòng)速度，又能保證系統(tǒng)的安全性。如果一級(jí)bootrom驗(yàn)簽沒有通過，則不允許CPLD啟動(dòng)處理器和外設(shè)的上電時(shí)序，從根本上抵御暴力更換固件存儲(chǔ)器的攻擊，從硬件層面抵御硬件級(jí)別的攻擊。

2 軟件可信啟動(dòng)方案設(shè)計(jì)

2.1 軟件平臺(tái)結(jié)構(gòu)

直流控制保護(hù)軟件平臺(tái)的總體架構(gòu)如圖5所示。

圖5 直流控制保護(hù)軟件平臺(tái)總體架構(gòu)

軟件平臺(tái)整體分為三類：系統(tǒng)軟件平臺(tái)由實(shí)時(shí)操作系統(tǒng)管理，負(fù)責(zé)文件系統(tǒng)、網(wǎng)絡(luò)協(xié)議棧及外設(shè)I/O的管理；組態(tài)軟件平臺(tái)由運(yùn)行時(shí)系統(tǒng)管理，負(fù)責(zé)多任務(wù)調(diào)度、中斷管理、硬件配置、功能塊庫(kù)調(diào)用、語(yǔ)言程序的執(zhí)行等；應(yīng)用軟件平臺(tái)是按照直流輸電等特定領(lǐng)域的功能邏輯進(jìn)行的組態(tài)程序，如閥組控制、極控、站控等。因此，軟件平臺(tái)需要分多步完成各自的加載、運(yùn)行，如果其中任一環(huán)節(jié)無(wú)法驗(yàn)證固件的完整性和合法性，都會(huì)出現(xiàn)系統(tǒng)的安全問題。

2.2 軟件可信啟動(dòng)目標(biāo)

隨著以新能源為主體的新型電力系統(tǒng)的快速發(fā)展，以風(fēng)光為代表的新能源發(fā)電占比逐步提高，海量風(fēng)、光、儲(chǔ)等小型分布式設(shè)備接入，直流輸電系統(tǒng)網(wǎng)絡(luò)外聯(lián)日益普遍[20]，傳統(tǒng)直流控制保護(hù)系統(tǒng)的安全隱患也隨之突顯。因此，迫切需要基于安全芯片為信任源，根據(jù)軟件平臺(tái)的結(jié)構(gòu)建立一個(gè)完整的信任鏈傳遞關(guān)系，將這種信任關(guān)系傳遞到整個(gè)直流控制保護(hù)系統(tǒng)，從而確保整個(gè)直流控制保護(hù)系統(tǒng)的可信。

2.3 軟件可信啟動(dòng)方案

直流控制保護(hù)軟件平臺(tái)采用圖5所示分層架構(gòu)，其中基礎(chǔ)固件包含bootrom和操作系統(tǒng)OS，對(duì)應(yīng)系統(tǒng)軟件平臺(tái)；運(yùn)行時(shí)固件對(duì)應(yīng)組態(tài)軟件平臺(tái)，組態(tài)程序?qū)?yīng)應(yīng)用軟件平臺(tái)。在系統(tǒng)啟動(dòng)過程中，為了在固件加載、組態(tài)程序加載階段具備驗(yàn)證文件身份、防止文件被篡改的能力，在每個(gè)階段使用對(duì)應(yīng)的國(guó)密證書對(duì)固件進(jìn)行電子簽名，同時(shí)將固件、對(duì)應(yīng)的國(guó)密證書、電子簽名在一起打包。固件驗(yàn)證關(guān)系如圖6所示。

圖6 固件驗(yàn)證關(guān)系

板卡上電，首先完成硬件的可信啟動(dòng)，然后根據(jù)以下信任鏈啟動(dòng)流程完成整個(gè)系統(tǒng)的啟動(dòng)。

1）處理器上電，開始加載并運(yùn)行bootrom，bootrom會(huì)解析基礎(chǔ)固件的打包信息，讀取自己的一級(jí)國(guó)密證書、操作系統(tǒng)OS固件、二級(jí)國(guó)密證書和數(shù)字簽名；bootrom使用一級(jí)國(guó)密證書來(lái)驗(yàn)證二級(jí)國(guó)密證書的有效性，再根據(jù)二級(jí)國(guó)密證書中的公鑰和摘要算法，對(duì)操作系統(tǒng)OS固件進(jìn)行驗(yàn)簽；如果驗(yàn)證操作系統(tǒng)OS固件通過就執(zhí)行下一步，如果不通過就停止執(zhí)行并輸出故障信息。

2）操作系統(tǒng)OS讀取自己的二級(jí)國(guó)密證書、運(yùn)行時(shí)系統(tǒng)固件、三級(jí)國(guó)密證書和數(shù)字簽名；操作系統(tǒng)OS使用二級(jí)國(guó)密證書來(lái)驗(yàn)證三級(jí)證書的有效性，再根據(jù)三級(jí)國(guó)密證書中的公鑰和摘要算法，對(duì)運(yùn)行時(shí)系統(tǒng)固件進(jìn)行驗(yàn)簽；如果驗(yàn)證運(yùn)行時(shí)系統(tǒng)固件通過就執(zhí)行下一步，如果不通過就停止執(zhí)行并輸出故障信息。

3）運(yùn)行時(shí)系統(tǒng)讀取自己的三級(jí)國(guó)密證書、組態(tài)程序文件、四級(jí)國(guó)密證書和數(shù)字簽名；運(yùn)行時(shí)系統(tǒng)使用三級(jí)國(guó)密證書來(lái)驗(yàn)證四級(jí)國(guó)密證書的有效性，然后根據(jù)四級(jí)國(guó)密證書中的公鑰和摘要算法，對(duì)組態(tài)程序文件進(jìn)行驗(yàn)簽；如果驗(yàn)證組態(tài)程序文件通過就執(zhí)行，如果不通過就停止執(zhí)行并輸出故障信息。

該方案中處理器使用TPM安全芯片中的密碼加速引擎，對(duì)每級(jí)固件進(jìn)行硬件加速驗(yàn)簽，縮短控制保護(hù)處理器板卡的啟動(dòng)時(shí)間。同時(shí)，該方案的軟件設(shè)計(jì)保證軟件平臺(tái)的安全鏈?zhǔn)娇尚?，保證每一級(jí)固件的完整性和身份認(rèn)證，從根本上抵御遠(yuǎn)程攻擊固件對(duì)系統(tǒng)的影響。

3 實(shí)驗(yàn)

為了驗(yàn)證本文所提設(shè)計(jì)方案的有效性和正確性，進(jìn)行相關(guān)實(shí)驗(yàn)。實(shí)驗(yàn)中的處理器板卡采用飛騰FT2000/4處理器和國(guó)民技術(shù)可信計(jì)算芯片，板卡整體按照硬件可信方案設(shè)計(jì)，保證硬件級(jí)別的安全可信，并在許繼HCM5000G直流控制保護(hù)裝置中進(jìn)行驗(yàn)證，實(shí)驗(yàn)裝置如圖7所示。

圖7 實(shí)驗(yàn)裝置

按照控制保護(hù)主機(jī)的啟動(dòng)過程，實(shí)驗(yàn)全面覆蓋硬件啟動(dòng)、軟件啟動(dòng)的4個(gè)不同階段，分別對(duì)硬件級(jí)的存儲(chǔ)器件和軟件級(jí)的固件進(jìn)行篡改，裝置上電運(yùn)行驗(yàn)證系統(tǒng)的可靠性和安全性。

實(shí)驗(yàn)1：驗(yàn)證硬件啟動(dòng)的安全性。首先更換存儲(chǔ)芯片模擬暴力更換存儲(chǔ)器，更換的存儲(chǔ)芯片已經(jīng)預(yù)燒錄普通固件；其次分別篡改基礎(chǔ)固件中bootrom、一級(jí)證書、數(shù)字簽名的內(nèi)容，每個(gè)實(shí)驗(yàn)重復(fù)50次。系統(tǒng)硬件啟動(dòng)測(cè)試結(jié)果見表1。

實(shí)驗(yàn)2：驗(yàn)證軟件啟動(dòng)的安全性。篡改固件中的操作系統(tǒng)OS及對(duì)應(yīng)的證書和數(shù)字簽名、運(yùn)行時(shí)系統(tǒng)及對(duì)應(yīng)的證書和數(shù)字簽名、組態(tài)程序及對(duì)應(yīng)的證書和數(shù)字簽名，每個(gè)實(shí)驗(yàn)重復(fù)50次。系統(tǒng)軟件啟動(dòng)測(cè)試結(jié)果見表2。

表1 系統(tǒng)硬件啟動(dòng)測(cè)試結(jié)果

表2 系統(tǒng)軟件啟動(dòng)測(cè)試結(jié)果

從實(shí)驗(yàn)結(jié)果可知，該方案能夠有效抵御控制保護(hù)主機(jī)在啟動(dòng)階段針對(duì)硬件、軟件的攻擊，提高了控制保護(hù)主機(jī)的安全可信防護(hù)水平，為高壓直流輸電設(shè)施的安全運(yùn)行提供了重要保障。

4 結(jié)論

本文針對(duì)直流輸電控制保護(hù)系統(tǒng)結(jié)構(gòu)進(jìn)行研究，設(shè)計(jì)了基于TPM安全芯片，使用國(guó)密算法SM2、SM3、SM4構(gòu)建可信根并用于身份認(rèn)證，從硬件設(shè)計(jì)、軟件設(shè)計(jì)兩方面保證了系統(tǒng)的安全可信。實(shí)驗(yàn)證明，使用此方案的控制保護(hù)主機(jī)整體處于安全可控的可信環(huán)境下?？刂票Ｗo(hù)主機(jī)的動(dòng)態(tài)可信度量、動(dòng)態(tài)可信管理是后續(xù)研究方向。

[1] 劉振亞. 特高壓交直流電網(wǎng)[M]. 北京: 中國(guó)電力出版社, 2013.

[2] 孟沛彧, 向往, 潘爾生, 等. 分址建設(shè)直流輸電系統(tǒng)拓?fù)浞桨概c運(yùn)行特性研究[J]. 電工技術(shù)學(xué)報(bào), 2022, 37(19): 4808-4822.

[3] 周劼英, 張曉, 邵立嵩, 等. 新型電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)挑戰(zhàn)與展望[J]. 電力系統(tǒng)自動(dòng)化, 2023, 47(8): 15-24.

[4] 王子駿, 劉楊, 鮑遠(yuǎn)義, 等. 電力系統(tǒng)安全仿真技術(shù): 工程安全、網(wǎng)絡(luò)安全與信息物理綜合安全[J]. 中國(guó)科學(xué)(信息科學(xué)), 2022, 52(3): 399-429.

[5] 林峰, 梅勇, 朱益華, 等. 網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)典型場(chǎng)景全過程影響綜述[J/OL]. 南方電網(wǎng)技術(shù): 1-15 [2023-09-06]. http://kns.cnki.net/kcms/detail/44.1643. TK.20230621.1743.002.html.

[6] 張浩然, 賈帥鋒, 趙冠華, 等. 直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)安全分析與對(duì)策[J]. 電氣技術(shù), 2020, 21(1): 110- 112,125.

[7] 唐士杰, 袁方, 李俊, 等. 工業(yè)控制系統(tǒng)關(guān)鍵組件安全風(fēng)險(xiǎn)綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2022, 8(3): 1-17.

[8] 黃信兵, 劉桂雄. 基于SHA1的SCADA系統(tǒng)PLC固件完整性驗(yàn)證方法[J]. 中國(guó)測(cè)試, 2017, 43(6): 114- 117.

[9] 金先濤, 李丹, 鐘晶, 等. 商用密碼算法在PLC固件完整性校驗(yàn)中的應(yīng)用[J]. 電子產(chǎn)品可靠性與環(huán)境試驗(yàn), 2021, 39(2): 22-25.

[10] MüLLER K U, ULRICH R, STANITZKI A, et al. Enabling secure boot functionality by using physical unclonable functions[C]//2018 14th Conference on Ph.D. Research in Microelectronics and Electronics (PRIME), Prague, Czech Republic, 2018: 81-84.

[11] KELEMAN L, MATI? D, POPOVI? M, et al. Secure firmware update in embedded systems[C]//2019 IEEE 9th International Conference on Consumer Electronics (ICCE-Berlin), Berlin, Germany, 2019: 16-19.

[12] 董攀, 丁滟, 江哲, 等. 基于TEE的主動(dòng)可信TPM/ TCM設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件學(xué)報(bào), 2020, 31(5): 1392- 1405.

[13] 石豐略, 朱元, 吳志紅, 等. 基于TPM芯片的車載安全空中下載系統(tǒng)研究[J]. 信息通信, 2018(7): 24-26.

[14] MALIPATLOLLA S, FELLER T, HUSS S A. An adaptive system architecture for mitigating asymmetric cryptography weaknesses on TPMs[C]//2012 NASA/ ESA Conference on Adaptive Hardware and Systems (AHS), Erlangen, Germany, 2012: 221-226.

[15] 李建立, 莫燕南, 粟濤, 等. 基于國(guó)密算法SM2、SM3、SM4的高速混合加密系統(tǒng)硬件設(shè)計(jì)[J]. 計(jì)算機(jī)應(yīng)用研究, 2022, 39(9): 2818-2825, 2831.

[16] 胡景秀, 楊陽(yáng), 熊璐, 等. 國(guó)密算法分析與軟件性能研究[J]. 信息網(wǎng)絡(luò)安全, 2021(10): 8-16.

[17] 于穎超, 陳左寧, 甘水滔, 等. 嵌入式設(shè)備固件安全分析技術(shù)研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2021, 44(5): 859- 881.

[18] 施一明, 高博, 王天林, 等. PLC控制系統(tǒng)可信架構(gòu)及硬件技術(shù)研究[J]. 中國(guó)儀器儀表, 2022(4): 27-30, 36.

[19] 劉文彪, 王位杰, 江南, 等. 二次設(shè)備配置工具安全加固設(shè)計(jì)及實(shí)現(xiàn)[J]. 電氣技術(shù), 2020, 21(6): 141-145.

[20] 姜云鵬, 任洲洋, 李秋燕, 等. 考慮多靈活性資源協(xié)調(diào)調(diào)度的配電網(wǎng)新能源消納策略[J]. 電工技術(shù)學(xué)報(bào), 2022, 37(7): 1820-1835.

Application of chain trusted boot in high voltage direct current control protection host

LI Yuepeng KANG Jingjing ZHANG Jian JI Chaoqiang

(XJ Electric Co., Ltd, Xuchang, He’nan 461000)

In response to the current issue of weak security protection capabilities of control and protection hosts in hign voltage direct current (HVDC), this paper proposes a method based on trusted platform module (TPM) security chip, which uses the national secret algorithm SM2, SM3, SM4 to build the trusted root and use it for identity authentication. Through identity authentication and digital signature, the system overall design establishes a complete trusted chain from both hardware startup and software startup, and realizes the chain trusted boot for control and protection host from hardware startup, system load to system running. The experimental results show that the proposed scheme can well identify the risks of firmware tampering and identity forgery, realize the safe startup of the control and protection host, and improve the overall protection level of HVDC.

hign voltage direct current (HVDC); trusted platform module (TPM) security chip; trusted root; trust chain; identity authentication

2023-09-04

2023-10-07

李躍鵬（1988—），男，河南省許昌市人，碩士，工程師，主要從事高壓直流輸電控制保護(hù)裝置研發(fā)及工程應(yīng)用工作。