李躍鵬 康婧婧 張 健 冀朝強

鏈式可信啟動在高壓直流輸電控制保護主機中的應用

李躍鵬 康婧婧 張 健 冀朝強

（許繼電氣股份有限公司，河南 許昌 461000）

針對目前高壓直流輸電中控制保護主機自身安全防護能力弱的問題，提出基于可信平臺模塊（TPM）安全芯片，使用國密算法SM2、SM3、SM4構建可信根并用于身份認證。系統(tǒng)整體設計從硬件啟動和軟件啟動兩方面，通過身份認證和數(shù)字簽名建立完整的信任鏈，實現(xiàn)了控制保護主機從硬件啟動、系統(tǒng)加載到系統(tǒng)運行全過程的鏈式可信啟動。實驗結果表明，所提方案可識別固件篡改、身份偽造等風險，實現(xiàn)了控制保護主機的安全啟動，提高了高壓直流輸電系統(tǒng)的整體防護水平。

高壓直流（HVDC）輸電；可信平臺模塊（TPM）安全芯片；可信根；信任鏈；身份認證

0 引言

高壓直流輸電可實現(xiàn)遠距離、大容量的電能傳輸，適合大區(qū)電網(wǎng)之間的非同步連接，直流輸電已經(jīng)成為解決我國能源資源和負荷中心逆向分布問題的重要手段[1]，同時可再生能源的跨區(qū)接入占比不斷提高，直流輸電系統(tǒng)安全已成為大電網(wǎng)安全的重要一環(huán)[2]。

從2010年伊朗“震網(wǎng)”病毒事件，到2015年烏克蘭電網(wǎng)大規(guī)模停電，再到2019年委內(nèi)瑞拉電力系統(tǒng)遭到網(wǎng)絡攻擊出現(xiàn)3次大范圍停電事件，以及近幾年針對電力系統(tǒng)的網(wǎng)絡攻擊、遠程破壞、勒索病毒等事件表明，電網(wǎng)內(nèi)部系統(tǒng)受到攻擊的風險越來越高，傳統(tǒng)的邊界防護體系面臨嚴重威脅[3-5]。

作為直流輸電“大腦”的控制保護主機通常并不具備安全防護能力[6]，當外部主體的弱安全防護遭受攻擊時，安全風險就會傳導至電力系統(tǒng)的控制核心區(qū)域即控制保護主機，外部攻擊者通過竊取未加密的固件，逆向工程獲取敏感信息，甚至暴力破解存儲芯片，從而偽造、注入或者篡改控制邏輯，引發(fā)重大安全事故[7]。

為了保證設備的安全啟動，文獻[8]提出一種基于安全散列算法1（secure Hash algorithm 1, SHA1）校驗固件的方法，但是隨著計算機技術和密碼技術的快速發(fā)展，單一散列算法體系的防護缺點也愈加明顯。文獻[9]提出使用商用國密算法對固件進行校驗，但是未構建可信根，無法對固件的身份進行驗證。為了防止暴力破解存儲設備中密鑰，文獻[10]使用現(xiàn)場可編程門陣列（field programmable gate array, FPGA）構建安全基石來生成系統(tǒng)密鑰，從而保證設備安全啟動，但此方法不易于大規(guī)模應用。文獻[11]提出一種用于嵌入式設備固件安全更新的廣義模型，使用固件加密和數(shù)字簽名技術來保證嵌入式設備的安全，但是此模型相對簡單，也未考慮多級固件加載的問題。

結合以上文獻，本文提出采用可信平臺模塊（trusted platform module, TPM）安全芯片，使用國密算法從硬件設計和軟件設計兩方面構建信任鏈，實現(xiàn)系統(tǒng)整體的身份認證和可信啟動，并在控制保護主機中進行實驗驗證。

1 硬件可信啟動方案設計

1.1 TPM安全芯片

TPM安全芯片是指符合TPM標準的安全芯片，滿足對數(shù)字簽名/驗證、非對稱/對稱加解密、數(shù)據(jù)完成性校驗、真隨機數(shù)生成、密鑰生成和管理等功能要求，能夠保證敏感數(shù)據(jù)的機密性、真實性和完整性[12]。由于其特殊的硬件設計，通過物理手段對其進行暴力破解的可能性極低，因此作為可信平臺信任根具有極高的可靠性[13]。

TPM安全芯片基本結構示意圖如圖1所示，包括I/O接口、微控制器、密碼引擎、隨機數(shù)生成器、加密存儲單元等模塊[14]。密碼引擎主要用于密鑰生成和管理、數(shù)據(jù)加密和解密，其中安全散列算法（secure Hash algorithm, SHA）引擎支持SHA-1、SHA-256、SHA-512等算法；非對稱加密算法RSA引擎支持RSA1024、RSA2048算法；國密算法SM引擎支持國密SM1、SM2、SM3、SM4算法[15-16]。

1.2 硬件平臺結構

直流輸電控制保護設備的硬件平臺一般由工控機或嵌入式設備構成。圖2為一款嵌入式直流輸電控制保護裝置，它采用緊密耦合的多主處理器結構，使用高速統(tǒng)一的背板總線。裝置由處理器板卡、模擬量輸入輸出、開關量輸入輸出、觸發(fā)脈沖、現(xiàn)場總線通信及以太網(wǎng)通信等十幾種板卡構成。該裝置的特點是可以根據(jù)工程需要靈活組態(tài)，各個處理器板卡可以分別控制不同的外設板卡，實現(xiàn)特定的控制保護功能。

圖1 TPM安全芯片基本結構示意圖

圖2 嵌入式直流輸電控制保護裝置

裝置中的處理器板卡是控制、保護的大腦中樞，運行著最為關鍵的控制邏輯算法。如果處理器板卡遭受攻擊，很容易出現(xiàn)電力系統(tǒng)的擾動，甚至出現(xiàn)電力系統(tǒng)癱瘓，因此只有保證處理器板卡的可信安全啟動，才能做到裝置的安全啟動，并更好地構建防護體系。

1.3 硬件可信啟動目標

目前，在控制保護設備的硬件設計中，往往忽略硬件的安全啟動，側重于軟件的安全加載、執(zhí)行，但是從近幾年的攻擊統(tǒng)計數(shù)據(jù)來看，針對硬件的攻擊呈逐漸增長趨勢[17]。如果從硬件啟動開始保證系統(tǒng)的可信安全加載，就能從根本上隔離外部攻擊、保證系統(tǒng)的安全性。

1.4 硬件可信啟動方案

硬件設計框圖如圖3所示。將硬件電源模組分為安全電源模組和普通電源模組，其中安全電源模組負責給TPM安全芯片、復雜可編程邏輯器件（complex programmable logic device, CPLD）、存儲模塊供電，普通電源模組則負責給處理器和外設供電；系統(tǒng)采用TPM安全芯片作為可信存儲、可信度量的基礎[18]，TPM存儲的國密根證書作為系統(tǒng)惟一身份，是系統(tǒng)可信啟動的基石。處理器通過訪問TPM安全芯片的密碼引擎，使用高速密碼運算服務，為上層安全應用提供底層的算法加速、身份認證、密鑰管理和敏感數(shù)據(jù)保護等服務，同時TPM安全芯片集成了國密算法SM2、SM3、SM4用于身份認證和驗簽[19]。

圖3 硬件設計框圖

系統(tǒng)上電開始運行，為了防止基礎固件被篡改，驗證基礎固件的完整性，會將基礎固件、對應的國密證書、電子簽名打包在一起，由TPM安全芯片對其進行驗簽來保證處理器運行在可信的環(huán)境下。TPM安全芯片同基礎固件中的bootrom、一級國密證書、數(shù)字簽名的關系如圖4所示。

圖4 TPM安全芯片驗證關系

基于TPM安全芯片的硬件可信啟動過程如下：

1）硬件上電啟動時刻，系統(tǒng)的安全電源模組優(yōu)先給TPM安全芯片、CPLD、存儲模塊供電；TPM安全芯片讀取自身存儲的國密根證書；CPLD處于等待TPM安全芯片指令狀態(tài)。

2）TPM安全芯片讀取存儲模塊中的基礎固件，并對基礎固件進行解包，讀取對應的bootrom、一級國密證書和數(shù)字簽名。

3）TPM安全芯片使用國密根證書來驗證一級國密證書的有效性，再根據(jù)一級國密證書中的公鑰和摘要算法，使用密碼加速引擎對bootrom進行驗簽；如果驗證bootrom通過就執(zhí)行下一步，如果不通過就停止執(zhí)行并輸出故障信息。

4）TPM安全芯片發(fā)送啟動命令給CPLD，CPLD接收到啟動命令后，啟動硬件上電時序，使用普通電源模組對處理器和外圍設備上電。

5）處理器上電并開始運行。

該方案的硬件設計保證了板卡的安全可信啟動。通常一級bootrom只有幾千字節(jié)大小，對一級bootrom驗簽既不影響板卡的啟動速度，又能保證系統(tǒng)的安全性。如果一級bootrom驗簽沒有通過，則不允許CPLD啟動處理器和外設的上電時序，從根本上抵御暴力更換固件存儲器的攻擊，從硬件層面抵御硬件級別的攻擊。

2 軟件可信啟動方案設計

2.1 軟件平臺結構

直流控制保護軟件平臺的總體架構如圖5所示。

圖5 直流控制保護軟件平臺總體架構

軟件平臺整體分為三類：系統(tǒng)軟件平臺由實時操作系統(tǒng)管理，負責文件系統(tǒng)、網(wǎng)絡協(xié)議棧及外設I/O的管理；組態(tài)軟件平臺由運行時系統(tǒng)管理，負責多任務調(diào)度、中斷管理、硬件配置、功能塊庫調(diào)用、語言程序的執(zhí)行等；應用軟件平臺是按照直流輸電等特定領域的功能邏輯進行的組態(tài)程序，如閥組控制、極控、站控等。因此，軟件平臺需要分多步完成各自的加載、運行，如果其中任一環(huán)節(jié)無法驗證固件的完整性和合法性，都會出現(xiàn)系統(tǒng)的安全問題。

2.2 軟件可信啟動目標

隨著以新能源為主體的新型電力系統(tǒng)的快速發(fā)展，以風光為代表的新能源發(fā)電占比逐步提高，海量風、光、儲等小型分布式設備接入，直流輸電系統(tǒng)網(wǎng)絡外聯(lián)日益普遍[20]，傳統(tǒng)直流控制保護系統(tǒng)的安全隱患也隨之突顯。因此，迫切需要基于安全芯片為信任源，根據(jù)軟件平臺的結構建立一個完整的信任鏈傳遞關系，將這種信任關系傳遞到整個直流控制保護系統(tǒng)，從而確保整個直流控制保護系統(tǒng)的可信。

2.3 軟件可信啟動方案

直流控制保護軟件平臺采用圖5所示分層架構，其中基礎固件包含bootrom和操作系統(tǒng)OS，對應系統(tǒng)軟件平臺；運行時固件對應組態(tài)軟件平臺，組態(tài)程序對應應用軟件平臺。在系統(tǒng)啟動過程中，為了在固件加載、組態(tài)程序加載階段具備驗證文件身份、防止文件被篡改的能力，在每個階段使用對應的國密證書對固件進行電子簽名，同時將固件、對應的國密證書、電子簽名在一起打包。固件驗證關系如圖6所示。

圖6 固件驗證關系

板卡上電，首先完成硬件的可信啟動，然后根據(jù)以下信任鏈啟動流程完成整個系統(tǒng)的啟動。

1）處理器上電，開始加載并運行bootrom，bootrom會解析基礎固件的打包信息，讀取自己的一級國密證書、操作系統(tǒng)OS固件、二級國密證書和數(shù)字簽名；bootrom使用一級國密證書來驗證二級國密證書的有效性，再根據(jù)二級國密證書中的公鑰和摘要算法，對操作系統(tǒng)OS固件進行驗簽；如果驗證操作系統(tǒng)OS固件通過就執(zhí)行下一步，如果不通過就停止執(zhí)行并輸出故障信息。

2）操作系統(tǒng)OS讀取自己的二級國密證書、運行時系統(tǒng)固件、三級國密證書和數(shù)字簽名；操作系統(tǒng)OS使用二級國密證書來驗證三級證書的有效性，再根據(jù)三級國密證書中的公鑰和摘要算法，對運行時系統(tǒng)固件進行驗簽；如果驗證運行時系統(tǒng)固件通過就執(zhí)行下一步，如果不通過就停止執(zhí)行并輸出故障信息。

3）運行時系統(tǒng)讀取自己的三級國密證書、組態(tài)程序文件、四級國密證書和數(shù)字簽名；運行時系統(tǒng)使用三級國密證書來驗證四級國密證書的有效性，然后根據(jù)四級國密證書中的公鑰和摘要算法，對組態(tài)程序文件進行驗簽；如果驗證組態(tài)程序文件通過就執(zhí)行，如果不通過就停止執(zhí)行并輸出故障信息。

該方案中處理器使用TPM安全芯片中的密碼加速引擎，對每級固件進行硬件加速驗簽，縮短控制保護處理器板卡的啟動時間。同時，該方案的軟件設計保證軟件平臺的安全鏈式可信，保證每一級固件的完整性和身份認證，從根本上抵御遠程攻擊固件對系統(tǒng)的影響。

3 實驗

為了驗證本文所提設計方案的有效性和正確性，進行相關實驗。實驗中的處理器板卡采用飛騰FT2000/4處理器和國民技術可信計算芯片，板卡整體按照硬件可信方案設計，保證硬件級別的安全可信，并在許繼HCM5000G直流控制保護裝置中進行驗證，實驗裝置如圖7所示。

圖7 實驗裝置

按照控制保護主機的啟動過程，實驗全面覆蓋硬件啟動、軟件啟動的4個不同階段，分別對硬件級的存儲器件和軟件級的固件進行篡改，裝置上電運行驗證系統(tǒng)的可靠性和安全性。

實驗1：驗證硬件啟動的安全性。首先更換存儲芯片模擬暴力更換存儲器，更換的存儲芯片已經(jīng)預燒錄普通固件；其次分別篡改基礎固件中bootrom、一級證書、數(shù)字簽名的內(nèi)容，每個實驗重復50次。系統(tǒng)硬件啟動測試結果見表1。

實驗2：驗證軟件啟動的安全性。篡改固件中的操作系統(tǒng)OS及對應的證書和數(shù)字簽名、運行時系統(tǒng)及對應的證書和數(shù)字簽名、組態(tài)程序及對應的證書和數(shù)字簽名，每個實驗重復50次。系統(tǒng)軟件啟動測試結果見表2。

表1 系統(tǒng)硬件啟動測試結果

表2 系統(tǒng)軟件啟動測試結果

從實驗結果可知，該方案能夠有效抵御控制保護主機在啟動階段針對硬件、軟件的攻擊，提高了控制保護主機的安全可信防護水平，為高壓直流輸電設施的安全運行提供了重要保障。

4 結論

本文針對直流輸電控制保護系統(tǒng)結構進行研究，設計了基于TPM安全芯片，使用國密算法SM2、SM3、SM4構建可信根并用于身份認證，從硬件設計、軟件設計兩方面保證了系統(tǒng)的安全可信。實驗證明，使用此方案的控制保護主機整體處于安全可控的可信環(huán)境下。控制保護主機的動態(tài)可信度量、動態(tài)可信管理是后續(xù)研究方向。

[1] 劉振亞. 特高壓交直流電網(wǎng)[M]. 北京: 中國電力出版社, 2013.

[2] 孟沛彧, 向往, 潘爾生, 等. 分址建設直流輸電系統(tǒng)拓撲方案與運行特性研究[J]. 電工技術學報, 2022, 37(19): 4808-4822.

[3] 周劼英, 張曉, 邵立嵩, 等. 新型電力系統(tǒng)網(wǎng)絡安全防護挑戰(zhàn)與展望[J]. 電力系統(tǒng)自動化, 2023, 47(8): 15-24.

[4] 王子駿, 劉楊, 鮑遠義, 等. 電力系統(tǒng)安全仿真技術: 工程安全、網(wǎng)絡安全與信息物理綜合安全[J]. 中國科學(信息科學), 2022, 52(3): 399-429.

[5] 林峰, 梅勇, 朱益華, 等. 網(wǎng)絡攻擊對電力系統(tǒng)典型場景全過程影響綜述[J/OL]. 南方電網(wǎng)技術: 1-15 [2023-09-06]. http://kns.cnki.net/kcms/detail/44.1643. TK.20230621.1743.002.html.

[6] 張浩然, 賈帥鋒, 趙冠華, 等. 直流控制保護系統(tǒng)網(wǎng)絡安全分析與對策[J]. 電氣技術, 2020, 21(1): 110- 112,125.

[7] 唐士杰, 袁方, 李俊, 等. 工業(yè)控制系統(tǒng)關鍵組件安全風險綜述[J]. 網(wǎng)絡與信息安全學報, 2022, 8(3): 1-17.

[8] 黃信兵, 劉桂雄. 基于SHA1的SCADA系統(tǒng)PLC固件完整性驗證方法[J]. 中國測試, 2017, 43(6): 114- 117.

[9] 金先濤, 李丹, 鐘晶, 等. 商用密碼算法在PLC固件完整性校驗中的應用[J]. 電子產(chǎn)品可靠性與環(huán)境試驗, 2021, 39(2): 22-25.

[10] MüLLER K U, ULRICH R, STANITZKI A, et al. Enabling secure boot functionality by using physical unclonable functions[C]//2018 14th Conference on Ph.D. Research in Microelectronics and Electronics (PRIME), Prague, Czech Republic, 2018: 81-84.

[11] KELEMAN L, MATI? D, POPOVI? M, et al. Secure firmware update in embedded systems[C]//2019 IEEE 9th International Conference on Consumer Electronics (ICCE-Berlin), Berlin, Germany, 2019: 16-19.

[12] 董攀, 丁滟, 江哲, 等. 基于TEE的主動可信TPM/ TCM設計與實現(xiàn)[J]. 軟件學報, 2020, 31(5): 1392- 1405.

[13] 石豐略, 朱元, 吳志紅, 等. 基于TPM芯片的車載安全空中下載系統(tǒng)研究[J]. 信息通信, 2018(7): 24-26.

[14] MALIPATLOLLA S, FELLER T, HUSS S A. An adaptive system architecture for mitigating asymmetric cryptography weaknesses on TPMs[C]//2012 NASA/ ESA Conference on Adaptive Hardware and Systems (AHS), Erlangen, Germany, 2012: 221-226.

[15] 李建立, 莫燕南, 粟濤, 等. 基于國密算法SM2、SM3、SM4的高速混合加密系統(tǒng)硬件設計[J]. 計算機應用研究, 2022, 39(9): 2818-2825, 2831.

[16] 胡景秀, 楊陽, 熊璐, 等. 國密算法分析與軟件性能研究[J]. 信息網(wǎng)絡安全, 2021(10): 8-16.

[17] 于穎超, 陳左寧, 甘水滔, 等. 嵌入式設備固件安全分析技術研究[J]. 計算機學報, 2021, 44(5): 859- 881.

[18] 施一明, 高博, 王天林, 等. PLC控制系統(tǒng)可信架構及硬件技術研究[J]. 中國儀器儀表, 2022(4): 27-30, 36.

[19] 劉文彪, 王位杰, 江南, 等. 二次設備配置工具安全加固設計及實現(xiàn)[J]. 電氣技術, 2020, 21(6): 141-145.

[20] 姜云鵬, 任洲洋, 李秋燕, 等. 考慮多靈活性資源協(xié)調(diào)調(diào)度的配電網(wǎng)新能源消納策略[J]. 電工技術學報, 2022, 37(7): 1820-1835.

Application of chain trusted boot in high voltage direct current control protection host

LI Yuepeng KANG Jingjing ZHANG Jian JI Chaoqiang

(XJ Electric Co., Ltd, Xuchang, He’nan 461000)

In response to the current issue of weak security protection capabilities of control and protection hosts in hign voltage direct current (HVDC), this paper proposes a method based on trusted platform module (TPM) security chip, which uses the national secret algorithm SM2, SM3, SM4 to build the trusted root and use it for identity authentication. Through identity authentication and digital signature, the system overall design establishes a complete trusted chain from both hardware startup and software startup, and realizes the chain trusted boot for control and protection host from hardware startup, system load to system running. The experimental results show that the proposed scheme can well identify the risks of firmware tampering and identity forgery, realize the safe startup of the control and protection host, and improve the overall protection level of HVDC.

hign voltage direct current (HVDC); trusted platform module (TPM) security chip; trusted root; trust chain; identity authentication

2023-09-04

2023-10-07

李躍鵬（1988—），男，河南省許昌市人，碩士，工程師，主要從事高壓直流輸電控制保護裝置研發(fā)及工程應用工作。