文/金瑞蒙、沈青、劉虹、張雷、倪華

隨著國民經(jīng)濟持續(xù)、快速、健康發(fā)展及新型城鎮(zhèn)化戰(zhàn)略實施，我國城市軌道交通跨入蓬勃發(fā)展的黃金機遇期。世界各國廣泛采用以信息化促進城市軌道交通發(fā)展的戰(zhàn)略，信息化已覆蓋城市軌道交通的建設(shè)、運營、管理、安全、服務(wù)等各個方面。我國強力推進“互聯(lián)網(wǎng)+城市軌道交通”戰(zhàn)略，信息化建設(shè)已進入大規(guī)模開發(fā)和應(yīng)用階段，自動化、信息化和智能化已成為城市軌道交通發(fā)展的必然趨勢，同時，也帶來了日趨嚴(yán)重的信息安全問題。

工控系統(tǒng)是軌道交通安全穩(wěn)定運行的核心要素，在當(dāng)今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境下，一旦發(fā)生信息安全事件，對軌道交通的工控系統(tǒng)進行破壞，將嚴(yán)重影響國民的出行安全，提升軌道交通工控系統(tǒng)的安全防護刻不容緩。按照工控系統(tǒng)功能層級劃分（第0層：現(xiàn)場設(shè)備層；第1層：現(xiàn)場控制層；第2層：過程監(jiān)控層；第3層：生產(chǎn)管理層；第4層：企業(yè)資源層），PLC位于軌道交通工控系統(tǒng)的第1層，即現(xiàn)場控制層，直接控制現(xiàn)場設(shè)備，同時與主控中心通信，是整個系統(tǒng)的核心，而作為核心控制裝置，普通PLC自身信息安全防護能力低下，這會使工控系統(tǒng)面臨極大的安全隱患。

因此，對于目前的嚴(yán)峻態(tài)勢，迫切需要PLC具備以可信計算技術(shù)為保障的自身安全防護能力。安全可信PLC基于可信計算3.0技術(shù)構(gòu)建了主動免疫防御體系，對硬件結(jié)構(gòu)、操作系統(tǒng)、應(yīng)用軟件以及網(wǎng)絡(luò)連接等多方面加強安全防范，并采用國產(chǎn)商用密碼，為可信計算3.0相關(guān)組件提供密碼支撐。

安全可信PLC體系結(jié)構(gòu)

基于可信計算3.0技術(shù)的主動免疫防護是指在計算運算的同時進行安全防護，計算全程可測可控，不被干擾，只有這樣才能使計算結(jié)果總是與預(yù)期一樣。這種主動免疫的計算模式改變了傳統(tǒng)的只追求計算效率，而不講求安全防護的片面計算模式。

在圖1所示的安全可信PLC體系結(jié)構(gòu)中，安全可信PLC控制器通過安全管理平臺的統(tǒng)一可信策略管控，構(gòu)成運算和防護并存的主動免疫計算節(jié)點，與可信上位機通過可信連接進行數(shù)據(jù)交互，以密碼為基因?qū)崿F(xiàn)雙向身份鑒別和加密通信，確保接入設(shè)備身份的可信及通信數(shù)據(jù)的完整性和真實性。

圖1 安全可信PLC體系結(jié)構(gòu)

安全可信PLC控制器作為主動免疫計算節(jié)點，由計算部件和防護部件構(gòu)成，計算部件和防護部件邏輯相互獨立，形成具備計算功能和防護功能并行的雙體系結(jié)構(gòu)。將可信計算3.0技術(shù)理念，設(shè)計并實施到安全可信PLC產(chǎn)品中，要克服嵌入式系統(tǒng)實時性要求高、系統(tǒng)資源緊張等問題。

本文將可信計算3.0雙體系架構(gòu)，創(chuàng)新地應(yīng)用到工控系統(tǒng)安全可信PLC控制器中，滿足可信計算3.0技術(shù)要求。

對于安全可信PLC控制雙體系架構(gòu)的描述，可以按照TPCM與其所連接的部件、組件的交互來展開。

TPCM與TSB、TCM、安全管理平臺和計算部件進行交互，交互方式如下：

1）TPCM為TSB提供運行環(huán)境和TSB功能實現(xiàn)的支撐，為TSB提供可信策略，TSB按照策略解析機制，對可信策略進行解析和使用，并形成可信基準(zhǔn)庫，TSB實現(xiàn)控制、度量、判定、支撐等功能。TPCM為TSB提供密碼服務(wù)，支撐TSB實現(xiàn)相關(guān)密碼運算的能力；

2）TPCM通過訪問TCM獲取可信密碼功能，完成對防護對象的可信驗證、加密存儲等功能；

3）TPCM通過與安全管理平臺建立可信連接，實現(xiàn)可信策略的連接、可信報告的處理等功能；

4）計算部件操作系統(tǒng)中內(nèi)置的防護代理將相關(guān)數(shù)據(jù)信息提供給TPCM，TPCM將數(shù)據(jù)信息轉(zhuǎn)發(fā)給TSB，由TSB進行分析處理；

5）TPCM為安全可信PLC控制器提供身份鑒別和密碼服務(wù)的功能，可實現(xiàn)安全可信PLC控制器與可信上位機的可信連接功能，其中計算部件如需與可信上位機建立可信連接，也可通過功能調(diào)用接口來實現(xiàn)。

安全可信PLC防護功能

本文根據(jù)安全可信PLC體系結(jié)構(gòu)對其進行系統(tǒng)設(shè)計和功能實現(xiàn)，使得安全可信PLC具備可信啟動、動態(tài)度量、可信連接，依托上述內(nèi)生安全主動防御功能，并結(jié)合安全管理平臺統(tǒng)一管控，實現(xiàn)安全可信PLC縱深防御的能力。

1.可信啟動

在可信計算3.0理論的指導(dǎo)下，基于可信根(TPCM)建立可信鏈，實現(xiàn)系統(tǒng)可信啟動。

普通PLC控制器啟動過程如下：處理器直接從非易失存儲器加載啟動程序和應(yīng)用程序執(zhí)行，并不驗證這些程序的完整性，如果這部分啟動程序代碼被未授權(quán)的方式篡改，主控制器在不加驗證的情況下加載運行則會出現(xiàn)非預(yù)期行為，嚴(yán)重情況下會使現(xiàn)場的生產(chǎn)設(shè)備置于危險運行狀態(tài)。

安全可信PLC控制器的可信啟動要檢查系統(tǒng)的一致性，系統(tǒng)的啟動從一個可信根（TPCM）開始，依次驗證 bootloader、OS到應(yīng)用程序，形成一個可信鏈，通過可信鏈的傳遞,保證系統(tǒng)平臺處于可信狀態(tài)中。

2.可信度量

運行階段，基于可信計算3.0理論，考慮到嵌入式平臺有限的資源，在安全可信PLC控制器中，實現(xiàn)了輕量化環(huán)境度量功能，并依托對PLC控制器業(yè)務(wù)功能的技術(shù)積累和創(chuàng)新性技術(shù)探索，實現(xiàn)了業(yè)務(wù)行為可信度量和固件可信升級的功能。

（1）輕量化環(huán)境度量

安全可信PLC控制器業(yè)務(wù)運行環(huán)境，包括操作系統(tǒng)代碼環(huán)境、業(yè)務(wù)代碼環(huán)境等，根據(jù)PLC的業(yè)務(wù)特點，定制輕量化的度量策略，保證高實時性，有效節(jié)省嵌入式計算資源。

輕量化運行環(huán)境度量中選取與業(yè)務(wù)行為相關(guān)聯(lián)的代碼區(qū)域，通過可信策略配置，作為TSB組件的度量依據(jù)。也可以選取快慢度量結(jié)合的方式，根據(jù)場景需求定制。

（2）業(yè)務(wù)行為可信度量

基于PLC邏輯控制軟件業(yè)務(wù)行為的動態(tài)度量方法，將度量機制的粒度細化到軟件行為的層面上，以保障系統(tǒng)運行后的動態(tài)可信性，符合可信計算的本質(zhì)。以工控嵌入式PLC邏輯控制執(zhí)行，通過內(nèi)部調(diào)度模塊，完成指定順序的任務(wù)流程執(zhí)行。捕獲安全可信PLC邏輯控制的周期性的行為跡，形成業(yè)務(wù)行為跡表，結(jié)合環(huán)境提取器，構(gòu)成可信度量元素，以行為可信基準(zhǔn)庫為依據(jù)，展開對業(yè)務(wù)行為的時間序、行為完整性的可信度量。

（3）固件可信升級

安全可信PLC通過可信上位機進行固件遠程升級，為防止待升級的固件被惡意篡改，基于數(shù)字證書技術(shù)，設(shè)計一種固件可信升級方案。

固件可信升級流程如下：

1) 在固件出廠前，生成簽名固件；

2) 可信上位機與安全可信PLC控制器，通過雙向身份認證機制，建立會話；

3) 可信上位機發(fā)起固件升級請求，并發(fā)送待升級的固件；

4) 安全可信PLC完成數(shù)字簽名的驗證；

5) 根據(jù)驗證解決判斷固件的可信和合法性。

3.可信連接

安全可信PLC控制器與可信上位機及安全管理平臺采用可信連接的方式，保障通信雙方的身份可信和通信數(shù)據(jù)的可信。

安全可信PLC采用自主研發(fā)的高實時安全通信組件，組件不僅支持Windows、Linux等通用操作系統(tǒng)，還支持安全可信PLC控制器中的自主可控國產(chǎn)操作系統(tǒng)。單包通信加解密延時小于15ms，適應(yīng)工控嵌入式應(yīng)用場景。組件采用高強度國產(chǎn)商用密碼。

安全通信組件實現(xiàn)了基于國產(chǎn)商用密碼的SSL/TLS協(xié)議，能夠?qū)崿F(xiàn)通信雙方的身份鑒別和通信加解密功能。

會話建立過程中，通信雙方通過數(shù)字證書，確認彼此的身份，進行身份鑒別。會話建立結(jié)束后，通信雙方已就使用的加密算法達成一致，并擁有了一套與對應(yīng)算法匹配的密鑰?？梢源_信整個過程攻擊者無法干擾，實現(xiàn)了可信連接。

安全通信組件采用軟硬件結(jié)合的密碼協(xié)同方式實現(xiàn)輕量化高實時性通信加解密，根據(jù)CPU的使用率、數(shù)據(jù)優(yōu)先級等因素，并結(jié)合PLC的使用場景，下發(fā)專屬調(diào)度策略，軟件和硬件密碼模塊協(xié)同分擔(dān)系統(tǒng)繁重的密碼服務(wù)請求，較為高效、靈活地實現(xiàn)密碼模塊服務(wù)請求的歸一化調(diào)度。

采用軟件結(jié)合硬件密碼模塊的實現(xiàn)方式，一方面安全可信PLC設(shè)計中采用硬件密碼模塊，既滿足了行業(yè)規(guī)范符合性，另一方面軟件密碼模塊又能適應(yīng)復(fù)雜多變的應(yīng)用場景，軟件升級成本低，能夠較好地降低產(chǎn)品的改造和維護成本。

安全可信PLC應(yīng)用分析

等保2.0要求的“一個中心、三重防護”，就是指針對安全管理中心和安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)的安全合規(guī)進行方案設(shè)計，建立以計算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障體系。

圖2是一種典型的軌道交通系統(tǒng)安全可信防護方案設(shè)計圖，該方案將可信計算3.0技術(shù)融入安全防護方案中，形成基于安全可信的“一個中心、三重防護”體系，可以更有效地對軌道交通控制系統(tǒng)網(wǎng)絡(luò)進行安全防護。從圖2中可以看到，安全可信PLC作為可信防護系統(tǒng)設(shè)備監(jiān)控層的核心設(shè)備在系統(tǒng)中的安全防護布局位置。

圖2 軌道交通系統(tǒng)安全可信防護方案設(shè)計圖

結(jié)合軌道交通系統(tǒng)的應(yīng)用場景，我們搭建了安全可信PLC的測試環(huán)境，并進行防護功能測試。根據(jù)中國電子技術(shù)標(biāo)準(zhǔn)化研究院的第三方測試報告（表1）顯示，各項防護功能均測試通過。

表1 第三方測試報告結(jié)果匯總

結(jié)論

安全可信PLC基于可信計算3.0技術(shù)，實現(xiàn)了計算部件和防護部件并行運行的雙體系架構(gòu)，具備可信啟動、可信度量和可信連接的功能，保證了工業(yè)控制系統(tǒng)核心代碼、數(shù)據(jù)的內(nèi)生安全，并實現(xiàn)系統(tǒng)由內(nèi)向外的主動防御功能。本文研究的安全可信PLC可有效推動國內(nèi)軌道交通領(lǐng)域控制系統(tǒng)安全防護技術(shù)的發(fā)展，滿足軌道交通工控系統(tǒng)的信息安全需求，這樣不但可以節(jié)省為引進國外技術(shù)和設(shè)備所需要花費的大量外匯，而且打破了信息安全PLC產(chǎn)品完全依賴國外的被動局面。安全可信PLC的研制和應(yīng)用，需要一定的研發(fā)和硬件成本，安全可信PLC的應(yīng)用相比非可信設(shè)備會在一定程度上帶來成本的增加。但同時，安全可信PLC的應(yīng)用可減少對其他安全設(shè)備的投資，考慮到可信計算具備更好的安全防護有效性及合規(guī)價值，因此安全可信PLC的應(yīng)用是具有經(jīng)濟可行性的。