可信PLC的設(shè)計(jì)與實(shí)現(xiàn)

喬全勝 邢雙云 尚文利 趙劍明 趙雪峰

(沈陽建筑大學(xué)信息與控制工程學(xué)院1，遼寧 沈陽 110168；中國科學(xué)院沈陽自動(dòng)化研究所2，遼寧 沈陽 110016；中科院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)試驗(yàn)室3，遼寧 沈陽 110016)

可信PLC的設(shè)計(jì)與實(shí)現(xiàn)

喬全勝1,2,3邢雙云1尚文利2,3趙劍明2,3趙雪峰2,3

(沈陽建筑大學(xué)信息與控制工程學(xué)院1，遼寧 沈陽 110168；中國科學(xué)院沈陽自動(dòng)化研究所2，遼寧 沈陽 110016；中科院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)試驗(yàn)室3，遼寧 沈陽 110016)

針對(duì)目前工控終端設(shè)備易受遠(yuǎn)程代碼攻擊、系統(tǒng)固件缺乏安全校驗(yàn)的問題，以PLC為例，通過軟硬件結(jié)合的方式構(gòu)建可信的安全防護(hù)體系。采用Xilinx Zynq-7000工業(yè)級(jí)芯片搭建硬件環(huán)境，并通過嵌入式系統(tǒng)移植，在可信計(jì)算技術(shù)基礎(chǔ)上，以協(xié)同處理的方式實(shí)現(xiàn)了快速加解密驗(yàn)證。用哈希(Hash)算法對(duì)PLC系統(tǒng)啟動(dòng)文件進(jìn)行了完整性驗(yàn)證，保證了PLC系統(tǒng)的可信啟動(dòng)。 試驗(yàn)結(jié)果驗(yàn)證了利用該方法保證終端設(shè)備安全的正確性及可行性，其能夠?yàn)楣I(yè)嵌入式設(shè)備構(gòu)建安全可信的運(yùn)行環(huán)境。

智能制造 工業(yè)4.0 工業(yè)控制系統(tǒng) 信息安全 網(wǎng)絡(luò)安全 安全防護(hù)體系 Hash算法 嵌入式 PLC

0 引言

在智能制造與工業(yè)4.0戰(zhàn)略的背景下，對(duì)工業(yè)控制系統(tǒng)信息安全的關(guān)注正達(dá)到前所未有的高度和廣度[1-3]。通過Woo-yun平臺(tái)、ICS-CERT以及國家信息安全漏洞共享平臺(tái)，可以看到包括ABB、Schneider Electric、Siemens、Rockwell Automation等知名廠商產(chǎn)品的各種安全漏洞[4-5]。

工業(yè)控制系統(tǒng)外部網(wǎng)絡(luò)安全威脅主要表現(xiàn)在外部攻擊者通過非授權(quán)方式進(jìn)入控制系統(tǒng)，篡改控制命令、偽造狀態(tài)信息、傳播病毒、關(guān)鍵時(shí)刻阻塞控制信道并導(dǎo)致系統(tǒng)不能正常運(yùn)轉(zhuǎn)等[6-7]。而產(chǎn)生內(nèi)部威脅的原因主要是由于現(xiàn)有平臺(tái)架構(gòu)是開放式的，惡意程序很容易植入軟件系統(tǒng)中[8-9]。其表現(xiàn)形式為隱藏在終端設(shè)備固件芯片中的惡意代碼被攻擊者遠(yuǎn)程控制，對(duì)工業(yè)控制系統(tǒng)進(jìn)行諸如信息竊取、刪除數(shù)據(jù)、破壞系統(tǒng)等攻擊行為[10-12]。

針對(duì)工業(yè)控制系統(tǒng)終端安全的研究方面，國內(nèi)外研究人員已提出了一些解決方案來加強(qiáng)現(xiàn)場(chǎng)嵌入式設(shè)備的主動(dòng)防御能力。如Audun Jsang等人針對(duì)移動(dòng)的現(xiàn)場(chǎng)嵌入式設(shè)備，提出了基于傳統(tǒng)PIN碼的身份認(rèn)證、基于生物特征的身份認(rèn)證[13]；A.K.Das利用智能卡技術(shù)，實(shí)現(xiàn)了基于口令和指紋的雙因素認(rèn)證[14]；李建、何永忠、沈昌祥提出了基于移動(dòng)可信模塊(mobile trusted module,MTM)的可信移動(dòng)平臺(tái)體系結(jié)構(gòu)[15]。

本文在研究了可信計(jì)算技術(shù)的基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)了嵌入式PLC的可信啟動(dòng)。在系統(tǒng)啟動(dòng)階段，采用可信芯片作為信任度量根，并結(jié)合哈希(Hash)算法，通過信任鏈的傳遞實(shí)現(xiàn)了系統(tǒng)的可信啟動(dòng)，最終為工業(yè)嵌入式設(shè)備構(gòu)建了可信、安全的運(yùn)行環(huán)境，保障了工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行。

1 可信PLC總體設(shè)計(jì)

本文以PLC作為工業(yè)控制系統(tǒng)終端設(shè)備為例，選擇工業(yè)級(jí)芯片Zynq-7000作為可信芯片搭建硬件環(huán)境，并通過嵌入式系統(tǒng)移植，采用Hash算法對(duì)系統(tǒng)啟動(dòng)文件進(jìn)行完整性校驗(yàn)，實(shí)現(xiàn)了PLC系統(tǒng)啟動(dòng)的可信。

2 硬件結(jié)構(gòu)

鑒于本研究內(nèi)容基于國家863課題“可編程嵌入式電子設(shè)備的安全技術(shù)”，要求在可信操作系統(tǒng)的基礎(chǔ)上研發(fā)具有啟動(dòng)時(shí)安全檢測(cè)和硬件快速安全計(jì)算功能的安全處理單元(secure processing unit,SPU),并將一些由C語言編寫的復(fù)雜加解密算法轉(zhuǎn)化成硬件語言Verilog運(yùn)行于FPGA上。這就需要FPGA去實(shí)現(xiàn)一些控制，以配合操作系統(tǒng)使用。因此，從軟、硬件協(xié)同設(shè)計(jì)方面考慮，選用第一款將ARM Cortex A9雙核與FPGA緊密集成在一起的Xilinx Zynq-7000全可編程片上系統(tǒng)(All Programmable SoC)，作為可信芯片。

2.1 Zynq-7000 架構(gòu)

Xilinx Zynq具有同構(gòu)多核的處理器，且包含了用于專用硬件加速的FPGA，使得Xilinx Zynq在通用性方面和能量效率方面功能強(qiáng)大。其處理系統(tǒng)(processing system，PS)為ARM Cortex A9雙核，可編程邏輯(programmable logic，PL)為FPGA部分。該部分的資源隨SoC芯片級(jí)別高低不同而變化，最低的是Artix-7(Zynq-7010和Zynq-7020)，最高的是Kintex-7(Zynq-7030和Zynq-7045)。

在Zynq-7000中，集成了FPGA和ARM，使用硬核處理器；在處理器要求較高的工業(yè)環(huán)境中，其處理能力相較軟核有大幅度提升。FPGA與ARM之間通過AXI_ACP、AXI_GP、AXI_HP這3種接口通信，帶寬達(dá)到1 Gbit/s，可實(shí)現(xiàn)高速通信?？偩€共有4種9條：2條32位Master總線接口，2條32位的Slave總線接口，4條32位/64位可配置的高性能Slave接口，1條64位的Slave ACP接口。

2.2 資源分配

研究中選用Zynq-7030芯片作為片上系統(tǒng)SoC，并在其基礎(chǔ)上提供嵌入式操作系統(tǒng)啟動(dòng)時(shí)的安全檢測(cè)和算法加速器等硬件模塊，以及驅(qū)動(dòng)接口等功能，其結(jié)構(gòu)框架如圖1所示。

由圖1可知，系統(tǒng)啟動(dòng)的可信驗(yàn)證主要通過一些加解密算法實(shí)現(xiàn)，為了實(shí)現(xiàn)算法的硬件加速，需要將算法以硬件語言運(yùn)行于RAM IP核和Flash IP核。另一部分身份認(rèn)證、數(shù)字簽名等運(yùn)行于ARM cortex A9，以軟件的形式給PLC提供安全保護(hù)。

圖1 Zynq-7030功能結(jié)構(gòu)圖

Fig.1 Functional structure of Zynq-7030

3 軟件架構(gòu)

3.1 可信PLC認(rèn)證機(jī)制

可信PLC主要體現(xiàn)在PLC控制系統(tǒng)啟動(dòng)所需文件的完整性校驗(yàn)。PLC嵌入式操作系統(tǒng)啟動(dòng)需要的文件有啟動(dòng)引導(dǎo)文件BOOT.BIN、設(shè)備樹devicetree.dtb、內(nèi)核文件uImage和文件系統(tǒng)uramdisk.image。

信任鏈傳遞機(jī)制主要被用來進(jìn)行可信啟動(dòng)的完整性度量。信任鏈默認(rèn)是在以固件代碼BL0為信任基礎(chǔ)的條件下，由該啟動(dòng)環(huán)節(jié)去評(píng)估下一個(gè)啟動(dòng)環(huán)節(jié)的安全性。只有下一個(gè)啟動(dòng)環(huán)節(jié)的可信度達(dá)到標(biāo)準(zhǔn)，上一個(gè)啟動(dòng)環(huán)節(jié)才會(huì)將控制權(quán)轉(zhuǎn)交給下一個(gè)環(huán)節(jié)，然后依次向后推進(jìn)；否則即度量失敗，通過日志警告報(bào)告管理員。為了保證過程中的每一個(gè)環(huán)節(jié)都是安全可信的，就必須在每一步控制權(quán)移交之前完成對(duì)下一個(gè)環(huán)節(jié)進(jìn)行量化的判斷，判斷下一個(gè)環(huán)節(jié)的客體是否受到篡改。由當(dāng)前階段的代碼度量下一階段即將要執(zhí)行的代碼段，然后將度量值擴(kuò)展到PCR中。這樣逐級(jí)傳遞信任，就構(gòu)成了信任鏈。

系統(tǒng)上電后，首先系統(tǒng)啟動(dòng)硬件環(huán)境會(huì)被初始化，系統(tǒng)啟動(dòng)環(huán)境中配置了各文件的加載地址；然后按照預(yù)定的執(zhí)行順序調(diào)用各文件中的Hash代碼段，進(jìn)行完整性校驗(yàn)。待所有文件均被校驗(yàn)成功后，系統(tǒng)才啟動(dòng)；如果校驗(yàn)失敗，則該文件會(huì)被刪除，同時(shí)也就導(dǎo)致了系統(tǒng)因丟失啟動(dòng)所必需的文件而不能正常啟動(dòng)。

3.2 完整性校驗(yàn)

Hash函數(shù)被廣泛應(yīng)用于密碼學(xué)中，如消息完整性檢測(cè)、數(shù)字簽名、消息認(rèn)證等[16]。事實(shí)上，Hash函數(shù)主要用來檢測(cè)篡改和證明消息真實(shí)性。因此，如果受到攻擊時(shí)得到的摘要值與已存儲(chǔ)的摘要值不完全匹配，則說明文件不可信，系統(tǒng)存在被攻擊的可能性。

當(dāng)文件讀取成功后，系統(tǒng)調(diào)用相應(yīng)文件中的Hash函數(shù)，通過計(jì)算摘要值查看與之前存儲(chǔ)的標(biāo)準(zhǔn)值是否相同。如果相同，說明文件是完整的，給予文件授權(quán)可執(zhí)行；如果不相同，說明文件被修改過，可能存在潛在的攻擊。這時(shí)相應(yīng)的處理機(jī)制是直接刪除該文件，然后繼續(xù)驗(yàn)證下一個(gè)文件的完整性。待所有文件完成完整性驗(yàn)證之后，如果有文件被修改，系統(tǒng)會(huì)因?yàn)槿鄙賳?dòng)所必需文件而無法啟動(dòng)，需要等待管理員重新加載文件，進(jìn)行新一輪校驗(yàn)，直至校驗(yàn)成功，方可啟動(dòng)。

4 測(cè)試與應(yīng)用

在PLC掃描用戶程序之前，首先應(yīng)保證自身系統(tǒng)的完好性?；赯ynq的可信PLC的設(shè)計(jì)宗旨是從控制網(wǎng)的源端來保證PLC的安全啟動(dòng)，構(gòu)建從硬件到軟件的、完全可信的系統(tǒng)環(huán)境。

本文以PLC作為工業(yè)控制系統(tǒng)終端設(shè)備，選擇工業(yè)級(jí)芯片Zynq-7030搭建硬件環(huán)境，并進(jìn)行嵌入式系統(tǒng)移植。具體操作方式為設(shè)置Picozed 7030啟動(dòng)方式為SD啟動(dòng)，復(fù)制BOOT.BIN、devicetree.dtb、uImage、uramdisk.image這4個(gè)文件到SD卡中。打開終端Tera Term并設(shè)置端口為COM4(不同機(jī)器端口可能不同)，波特率為115 200 bit/s，data為8位，打開開關(guān)啟動(dòng)。

系統(tǒng)啟動(dòng)過程中，輸出使用Hash驗(yàn)證內(nèi)核文件和設(shè)備樹文件的完整性的內(nèi)容，使用的Hash算法為crc32，驗(yàn)證成功后會(huì)輸出crc32+ OK。試驗(yàn)表明，以基于工業(yè)級(jí)芯片Zynq-7030作為硬件平臺(tái)，結(jié)合Hash算法，能夠準(zhǔn)確地驗(yàn)證系統(tǒng)啟動(dòng)文件的完整性，從而實(shí)現(xiàn)PLC啟動(dòng)的安全、可信。

5 結(jié)束語

本文針對(duì)工業(yè)控制系統(tǒng)信息安全威脅的來源，以可編程邏輯控制器(PLC)為例，重點(diǎn)研究了工業(yè)控制系統(tǒng)的終端安全。采用行業(yè)內(nèi)首款將ARM與FPGA集成在一起的工業(yè)級(jí)芯片Zynq-7000為核心，通過搭建硬件環(huán)境并利用Hash算法驗(yàn)證嵌入式PLC系統(tǒng)啟動(dòng)所必需文件的完整性，確保了PLC可信啟動(dòng)，為動(dòng)態(tài)、復(fù)雜的工業(yè)控制系統(tǒng)終端安全提供了一種新的解決方案，具有較好的應(yīng)用價(jià)值。

[1] 石菲.工業(yè) 4.0 下的安全藍(lán)圖[J].中國信息化,2015 (3):72-75.

[2] 羅文.德國工業(yè) 4.0 戰(zhàn)略對(duì)我國推進(jìn)工業(yè)轉(zhuǎn)型升級(jí)的啟示[J].工業(yè)經(jīng)濟(jì)論壇,2014,1(4):52-59.

[3] 王小山,楊安,石志強(qiáng).工業(yè)控制系統(tǒng)信息安全新趨勢(shì)[J].信息網(wǎng)絡(luò)安全,2015 (1):6-11.

[4] 彭勇,江長青,謝豐.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,52(10):1396-1405.

[5] GOLDENBERG N,WOOL A.Accurate modeling of Modbus/TCP for intrusion detection in SCADA systems[J].International Journal of Critical Infrastructure Protection,2013,6(2):63-75.

[6] MORRIS T,VAUGHN R,DANDASS Y.A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems[C]//2013 46th Hawaii International Conference on System Sciences,2013:2338 -2345.

[7] YASAKETHU S,JIANG J.Intrusion detection via machine learning for SCADA system protection[C]//The 1st International Symposium for ICS& SCADA Cyber Security Research,2013:101-105.

[8] 李彬.基于 MD5 算法的 PLC 固件完整性增強(qiáng)方法研究[D].廣州:華南理工大學(xué),2013.

[9] 邱公偉.可編程控制器網(wǎng)絡(luò)通信及應(yīng)用[M].北京:清華大學(xué)出版社有限公司,2000.

[10]沈昌祥,張煥國,王懷民.可信計(jì)算的研究與發(fā)展[J].中國科學(xué) 信息科學(xué) (中文版),2010,40(2):139-166.

[11]CHEN L,MITCHELL C J,MARTIN A.Trusted compating [J].Trusted Couputing Number in Lee Professional Applications of Computing,2005(6):13-15.

[12]尚文利,萬明,趙劍明,等.面向工業(yè)嵌入式設(shè)備的漏洞分析方法研究[J].自動(dòng)化儀表,2015,36(10):63-67.

[13]JOSANG A,ROSENBERGER C,MIRALABE L,et al.Local user-centric identity management[J].Journal of Trust Management,2015,2(1):1-28.

[14]DAS A K.Analysis and improvement on an efficient biometric-based remote user authentication scheme using smart cards[J].Iet Information Security,2011,5(3):145-151.

[15]李建,何永忠,沈昌祥.基于可信移動(dòng)平臺(tái)的跨身份標(biāo)志域訪問模型倡[J].計(jì)算機(jī)應(yīng)用研究,2009,26(1):321-324.

[16]蘭昆,唐林,張曉.密碼技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用研究[J].自動(dòng)化儀表,2015,36(10):72-76.

Design and Implementation of the Trusted PLC

Aiming at the problems of current industrial control terminal equipment,such as vulnerable to remote code attacks and the system firmware lacks a security check,etc.,taking PLC as an example;the trusted security protection architecture is built through combining the hardware and software. By using Xilinx Zynq-7000 industrial-grade chip,the hardware environment is established; and through transplanting the embedded system,with the co-processing mode,the fast encryption and decryption verification are achieved on the basis of the trusted computing technology.Hash algorithm is used for checking the boot file integrity of PLC system,to ensure credible startup of PLC system.The test results verify the correctness and feasibility of using this method to ensure the safety of terminal equipment and to build a safe and reliable operating environment for industrial embedded devices.

Intelligent manufacturing Industry 4.0 Industrial control system Information security Network security Safety protection system Hash algorithm Embedded PLC

國家高新技術(shù)研究發(fā)展計(jì)劃(“863”計(jì)劃)基金資助項(xiàng)目(編號(hào)：2015AA043901-01)；

國家住房和城鄉(xiāng)建設(shè)部科學(xué)技術(shù)計(jì)劃基金資助項(xiàng)目(編號(hào)：2016-K8-062)。

喬全勝(1989—)，男，現(xiàn)為中國科學(xué)院沈陽自動(dòng)化研究所與沈陽建筑大學(xué)在讀聯(lián)合培養(yǎng)碩士研究生；主要從事嵌入式系統(tǒng)、工業(yè)控制系統(tǒng)信息安全方向的研究。

TH86;TP29

A

10.16086/j.cnki.issn 1000-0380.201612019

修改稿收到日期：2016-07-04。