吳波 ，胡璇 ，金先濤

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 511370；2.智能制造裝備通用質(zhì)量技術(shù)及應(yīng)用工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室，廣東 廣州 511370）

0 引言

對于信息系統(tǒng)而言，大多數(shù)安全隱患來自于終端，所以單純依靠網(wǎng)絡(luò)安全防御手段已經(jīng)不足以應(yīng)對各類信息安全問題，特別是對于自動(dòng)控制系統(tǒng)，使用基于硬件的保護(hù)措施成為信息安全防護(hù)的趨勢，只有從芯片、主板等硬件和BIOS、操作系統(tǒng)等底層軟件這兩個(gè)方面綜合地采取措施，才能有效地提高其安全性。

可信計(jì)算技術(shù)作為一種較新的信息系統(tǒng)安全技術(shù)，將解決信息安全問題的思路轉(zhuǎn)移到解決終端安全問題上來，從終端計(jì)算平臺(tái)的體系結(jié)構(gòu)入手，結(jié)合底層硬件和軟件，在整體上采取安全措施以保證信息系統(tǒng)的可信與安全，正是基于這一思想催生了可信計(jì)算的迅速發(fā)展及其在各個(gè)領(lǐng)域的廣泛應(yīng)用[1]。

可信計(jì)算特別適用于提高計(jì)算機(jī)、服務(wù)器和嵌入式設(shè)備等信息系統(tǒng)的基礎(chǔ)設(shè)施和平臺(tái)的可信性。其核心思想是基于“信任根”構(gòu)造“信任鏈”和對“信任鏈”上的轉(zhuǎn)換節(jié)點(diǎn)進(jìn)行“信任度量”[2]。具體的內(nèi)容包括：首先，以硬件芯片的形式在計(jì)算機(jī)系統(tǒng)中建立信任根，稱為可信平臺(tái)模塊（TPM：Trusted Platform Module）（信任根的可信性由物理安全、技術(shù)安全和管理安全共同確保）；其次，建立信任鏈，從信任根開始到硬件平臺(tái)，到操作系統(tǒng)，到應(yīng)用，再到網(wǎng)絡(luò)，一級(jí)測量認(rèn)證一級(jí)，一級(jí)信任一級(jí)，把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)，從而確保整個(gè)計(jì)算機(jī)系統(tǒng)的可信。

可信計(jì)算通過創(chuàng)建硬件安全錨點(diǎn)，即TPM，進(jìn)而構(gòu)建一個(gè)全新的安全架構(gòu)，從根本上解決計(jì)算機(jī)系統(tǒng)存在的基礎(chǔ)性安全問題，能夠顯著地提升信息系統(tǒng)和網(wǎng)絡(luò)的安全性。目前，已經(jīng)實(shí)現(xiàn)可信PC、可信服務(wù)器和可信PLC 等可信計(jì)算平臺(tái)，并廣泛地應(yīng)用于電信、金融、交通、政務(wù)和工業(yè)控制等領(lǐng)域，其在安全認(rèn)證、數(shù)據(jù)安全存儲(chǔ)、完整性度量與驗(yàn)證、軟件可信屬性驗(yàn)證、遠(yuǎn)程證明和可信網(wǎng)絡(luò)連接等方面提供了切實(shí)的安全保障[3-4]。

當(dāng)前，基于可信計(jì)算的安全防護(hù)技術(shù)大多針對終端設(shè)備進(jìn)行安全防護(hù)，對于由各類終端形成的網(wǎng)絡(luò)系統(tǒng)，雖然使用遠(yuǎn)程證明、可信網(wǎng)絡(luò)連接可以實(shí)現(xiàn)完整性度量和驗(yàn)證，但基于可信計(jì)算的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力有待進(jìn)一步加強(qiáng)[5]；另外，可信計(jì)算主要實(shí)現(xiàn)終端設(shè)備啟動(dòng)過程中軟件可信狀態(tài)的靜態(tài)度量，保證了終端設(shè)備的軟硬件運(yùn)行環(huán)境的安全性，但是對系統(tǒng)運(yùn)行過程中的終端設(shè)備、用戶等行為的動(dòng)態(tài)安全性無法保證，所以必需對用戶實(shí)體行為的動(dòng)態(tài)可信性進(jìn)行度量[6]。本文從實(shí)際對象和實(shí)際業(yè)務(wù)應(yīng)用出發(fā)，分析自動(dòng)控制系統(tǒng)的威脅，探討可信計(jì)算與自動(dòng)控制系統(tǒng)結(jié)合的可行性，最后給出一個(gè)整體的防護(hù)方案。

1 自動(dòng)控制系統(tǒng)安全防護(hù)需求

當(dāng)前，我國自動(dòng)控制系統(tǒng)關(guān)鍵組件對外依存度高，系統(tǒng)安全性不可控，而國產(chǎn)自動(dòng)控制系統(tǒng)安全性、可靠性低，在高端領(lǐng)域應(yīng)用受限。特別地，在工業(yè)互聯(lián)網(wǎng)發(fā)展趨勢下，自動(dòng)控制系統(tǒng)網(wǎng)絡(luò)外聯(lián)現(xiàn)象突出，遠(yuǎn)程監(jiān)控、遠(yuǎn)程運(yùn)維等應(yīng)用日益普遍，系統(tǒng)內(nèi)在漏洞和后門等脆弱性大量暴露在互聯(lián)網(wǎng)下，導(dǎo)致受攻擊面擴(kuò)大，攻擊難度降低，自動(dòng)控制系統(tǒng)安全風(fēng)險(xiǎn)陡增。

首先，與傳統(tǒng)信息系統(tǒng)不同，自動(dòng)控制系統(tǒng)中的傳感器、執(zhí)行器等儀器儀表，以及控制器、操作面板、工程師站和操作員站等終端設(shè)備是系統(tǒng)的核心資產(chǎn)，承載系統(tǒng)核心業(yè)務(wù)的運(yùn)行；其次，自動(dòng)控制系統(tǒng)具有設(shè)備分布廣泛、通信協(xié)議封閉和業(yè)務(wù)應(yīng)用固定等特點(diǎn)；另外，自動(dòng)控制系統(tǒng)具有高可靠、低時(shí)延和易使用的要求。因此，以數(shù)據(jù)中心，即服務(wù)器和網(wǎng)絡(luò)設(shè)施為防護(hù)重點(diǎn)，采用防火墻、入侵檢測和惡意代碼檢測等“封、堵、查、殺”手段的傳統(tǒng)信息安全防護(hù)體系無法保障自動(dòng)控制系統(tǒng)信息安全?，F(xiàn)實(shí)中，自動(dòng)控制系統(tǒng)具有的特有信息安全問題依然沒有得到解決，包括：1）用戶與終端設(shè)備身份鑒別；2）狀態(tài)監(jiān)測數(shù)據(jù)、控制數(shù)控、系統(tǒng)配置數(shù)據(jù)等敏感數(shù)據(jù)的安全保密與完整性保護(hù)；3）控制網(wǎng)絡(luò)行為的檢測與識(shí)別；4）協(xié)議安全等。

特別地，近年來IT 技術(shù)不斷發(fā)展，工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)等新技術(shù)和新應(yīng)用不斷涌現(xiàn)，在萬物互聯(lián)和萬物感知的環(huán)境下，終端成為不可知、不可控的關(guān)鍵因素，終端安全成為自動(dòng)化控制系統(tǒng)信息安全防護(hù)體系中的重點(diǎn)。

一方面，自動(dòng)控制系統(tǒng)業(yè)務(wù)應(yīng)用具有高可靠、低時(shí)延和易使用的要求，核心業(yè)務(wù)應(yīng)用基本下沉至PLC 控制器、操作面板和操作員站等終端。

另一方面，自動(dòng)控制系統(tǒng)傳感器、執(zhí)行器和控制器等終端數(shù)量多，分布廣泛，網(wǎng)絡(luò)邊界模糊，網(wǎng)絡(luò)結(jié)構(gòu)形式多樣。

除此之外，在面向加密數(shù)據(jù)和大規(guī)模網(wǎng)絡(luò)流量時(shí)，網(wǎng)絡(luò)流量檢測和響應(yīng)時(shí)間增加，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的瓶頸頻現(xiàn)。

可以說，信息安全戰(zhàn)場已經(jīng)逐步由對核心與主干的防護(hù)，轉(zhuǎn)向網(wǎng)絡(luò)邊緣終端的管理和保護(hù)，終端安全儼然已成為了自動(dòng)控制系統(tǒng)信息安全保障工作的重要環(huán)節(jié)[7-8]。

2 可信安全防護(hù)架構(gòu)設(shè)計(jì)

本文針對自動(dòng)控制系統(tǒng)的信息安全防護(hù)需求，結(jié)合可信計(jì)算技術(shù)在身份認(rèn)證、數(shù)據(jù)安全存儲(chǔ)、完整性度量與驗(yàn)證等方面的信息安全防護(hù)優(yōu)勢，圍繞自動(dòng)控制系統(tǒng)中的PLC、計(jì)算機(jī)和服務(wù)器等關(guān)鍵終端設(shè)備進(jìn)行可信安全加固方案設(shè)計(jì)，同時(shí)基于可信網(wǎng)絡(luò)連接技術(shù)，對各類可信計(jì)算平臺(tái)進(jìn)行集成，形成系統(tǒng)化的可信安全防護(hù)方案，如圖1 所示。

圖1 自動(dòng)控制系統(tǒng)可信安全防護(hù)架構(gòu)

2.1 可信PLC

控制網(wǎng)絡(luò)中的PLC 是一個(gè)由中央處理器、存儲(chǔ)器和輸入輸出模塊等組成的嵌入式系統(tǒng)。PLC 自身幾乎沒有安全防護(hù)措施，其安全防護(hù)主要依賴物理安全實(shí)現(xiàn)。通過將可信安全芯片TPM 作為信任根嵌入到PLC中，形成可信PLC。在可信安全芯片和只讀存儲(chǔ)芯片的支持下，可信PLC 對加載運(yùn)行的系統(tǒng)軟件、用戶程序進(jìn)行完整性度量及信任鏈傳遞，實(shí)現(xiàn)可信PLC 的可信啟動(dòng)；另外，基于可信根中的密鑰生成和密鑰管理功能，實(shí)現(xiàn)對可信PLC 終端設(shè)備的可信安全認(rèn)證，同時(shí)對可信PLC中關(guān)鍵數(shù)據(jù)的加密存儲(chǔ)。在本方案中，通過替換的方式，將普通PLC 替換為國產(chǎn)可信PLC，在控制網(wǎng)絡(luò)構(gòu)建安全可信的基礎(chǔ)控制環(huán)境。

2.2 可信計(jì)算機(jī)

可信計(jì)算機(jī)以可信安全芯片TPM 為核心，從芯片、主板、BIOS 和操作系統(tǒng)等底層軟硬件出發(fā)，保障操作系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)服務(wù)等計(jì)算環(huán)境安全，旨在提供可靠、安全的計(jì)算機(jī)系統(tǒng)。

TPM 是硬件和固件的集合，可以采用獨(dú)立封閉的形式，也可以采用IP 核的方式與其他類型芯片集成在一起。TPM 通常與計(jì)算機(jī)主板上的南橋芯片ICH（I/O Controller Hub）連接來構(gòu)建可信計(jì)算機(jī)的信任根，并在主板BIOS中寫入TPM 控制程序，為平臺(tái)提供基于硬件的密碼機(jī)制（密碼算法、密鑰管理和證書配置），使計(jì)算機(jī)從上電啟動(dòng)開始對軟硬件環(huán)境的完整性進(jìn)行可信度量驗(yàn)證。

可信計(jì)算機(jī)以TPM為起點(diǎn)，以信任鏈的方式度量整個(gè)計(jì)算機(jī)平臺(tái)資源的完整性，將完整性的度量結(jié)果存儲(chǔ)在TPM中的平臺(tái)配置寄存器PCR中，并通過TPM 向詢問平臺(tái)可信狀態(tài)的實(shí)體提供報(bào)告，供訪問者判定該平臺(tái)是否可信。同時(shí)，可信計(jì)算機(jī)利用TPM 內(nèi)置的密碼運(yùn)算部件生成系統(tǒng)中的各種密鑰，為應(yīng)用軟件提供加解密服務(wù)和安全通信接口，以保證上層應(yīng)用軟件的安全。另外，雖然服務(wù)器在處理速度、并發(fā)控制和虛擬化機(jī)制等方面與PC 不同，但其同樣可以采用類似的技術(shù)進(jìn)行可信安全防護(hù)，但其TPM 機(jī)制會(huì)更加復(fù)雜，如采用多TPM 機(jī)制（物理TPM 和虛擬TPM）。

在本方案中，對于已運(yùn)行系統(tǒng)，將可信計(jì)算根TPM 以板卡的形式嵌入普通計(jì)算機(jī)，形成可信計(jì)算的信任根，對于新建系統(tǒng)，直接使用具有TPM芯片可信計(jì)算機(jī)，在監(jiān)控網(wǎng)絡(luò)中構(gòu)建安全可信的計(jì)算環(huán)境。

2.3 可信智能卡

傳統(tǒng)的可信計(jì)算主要是通過在終端設(shè)備中嵌入可信計(jì)算模塊TPM，通過TPM 與終端設(shè)備的綁定，為終端設(shè)備提供安全防護(hù)能力。但是，對于系統(tǒng)管理員、系統(tǒng)運(yùn)維人員和系統(tǒng)操作員等用戶，沒有采用可信計(jì)算技術(shù)保證其操作和行為的可信性。用戶安全和平臺(tái)安全是“可信”的兩個(gè)必要方面，任一方面的缺失都會(huì)使系統(tǒng)的整體可信度缺失。

智能卡是將具有存儲(chǔ)、加密及數(shù)據(jù)處理能力的集成電路芯片封裝于塑料基體中制作而成的。一般智能卡能提供隨機(jī)數(shù)生成、密鑰生成、使用哈希算法計(jì)算和驗(yàn)證認(rèn)證數(shù)據(jù)和用戶證書、密鑰和其他數(shù)據(jù)安全存儲(chǔ)等功能，被廣泛地應(yīng)用于信息系統(tǒng)中，如雙因子認(rèn)證、數(shù)字簽名等。

將可信計(jì)算與智能卡結(jié)合形成可信智能卡，在硬件層級(jí)上實(shí)現(xiàn)密鑰、數(shù)字證書等的安全管理，并將引入到自動(dòng)控制系統(tǒng)可信計(jì)算安全防護(hù)體系架構(gòu)中。可信智能卡通過將可信計(jì)算的可信度量驗(yàn)證和安全存儲(chǔ)等功能移植到安全智能卡中，并通過USB 接口與計(jì)算機(jī)連接，形成一種便攜式TPM[7]。

通常便攜式TPM 通過一個(gè)封閉的、具有獨(dú)立計(jì)算能力的片上系統(tǒng)（SOC）實(shí)現(xiàn)，包含CPU、內(nèi)存、密碼支撐部件和存儲(chǔ)部件，實(shí)現(xiàn)TCG 設(shè)計(jì)規(guī)范中的TPM 基本運(yùn)算和存儲(chǔ)功能。為用戶提供數(shù)據(jù)安全存儲(chǔ)、身份認(rèn)證和完整性驗(yàn)證等功能，同時(shí)存儲(chǔ)和管理用戶身份標(biāo)識(shí)、密鑰和證書。將便攜式TPM 與用戶身份綁定，建立一種基于便攜式TPM的單用戶多平臺(tái)應(yīng)用模式，實(shí)現(xiàn)對系統(tǒng)用戶的身份認(rèn)證和可信性度量驗(yàn)證。同時(shí)，可以在系統(tǒng)用戶和可信計(jì)算平臺(tái)之間實(shí)現(xiàn)雙向身份認(rèn)證和平臺(tái)完整性驗(yàn)證。

2.4 可信服務(wù)平臺(tái)

在可信安全防護(hù)架構(gòu)中，引入可信服務(wù)平臺(tái)，作為可信第三方，對訪問請求者和訪問控制器進(jìn)行集中管理，實(shí)現(xiàn)可信PLC、可信計(jì)算機(jī)和可信智能卡等可信計(jì)算平臺(tái)和可信網(wǎng)絡(luò)之間的雙向身份認(rèn)證和雙向平臺(tái)可信性驗(yàn)證，可信服務(wù)平臺(tái)在用戶身份認(rèn)證和平臺(tái)認(rèn)證過程中充當(dāng)可信第三方[8]。

可信服務(wù)平臺(tái)與訪問請求者和訪問控制器進(jìn)行通信，收集身份認(rèn)證信息和完整性度量驗(yàn)證信息，形成一個(gè)全局的訪問決策集，依據(jù)訪問決策集，對訪問請求者和訪問控制器進(jìn)行集中控制和管理?？尚欧?wù)平臺(tái)作為可信網(wǎng)絡(luò)連接中的策略管理者和決策者，按照用戶身份認(rèn)證、平臺(tái)身份認(rèn)證和平臺(tái)完整性驗(yàn)證的順序?qū)尤刖W(wǎng)絡(luò)的設(shè)備進(jìn)行驗(yàn)證，如果有一個(gè)環(huán)節(jié)認(rèn)證失敗，將禁止設(shè)備接入網(wǎng)絡(luò)。

可信服務(wù)平臺(tái)可為網(wǎng)絡(luò)提供網(wǎng)絡(luò)接入控制服務(wù)、用戶身份管理服務(wù)、平臺(tái)身份管理服務(wù)和平臺(tái)完整性管理服務(wù)等能力。網(wǎng)絡(luò)接入控制服務(wù)根據(jù)網(wǎng)絡(luò)安全防護(hù)策略實(shí)施基于用戶身份、終端平臺(tái)身份和完整性狀態(tài)的細(xì)粒度接入控制，支持針對用戶和終端的差異化網(wǎng)絡(luò)接入管理。同時(shí)，網(wǎng)絡(luò)接入控制服務(wù)還能提供用戶和終端接入審計(jì)，為接入用戶和終端的動(dòng)態(tài)監(jiān)控和追蹤溯源提供服務(wù)支撐。用戶身份管理服務(wù)和平臺(tái)身份管理服務(wù)負(fù)責(zé)用戶和終端完整性基值管理、完整性度量和驗(yàn)證，以及用戶和終端身份憑證的頒發(fā)、驗(yàn)證和撤銷。

可信服務(wù)平臺(tái)基于可信網(wǎng)絡(luò)連接整體架構(gòu)以及平臺(tái)身份認(rèn)證和狀態(tài)完整性驗(yàn)證，對訪問網(wǎng)絡(luò)的終端平臺(tái)進(jìn)行身份鑒別和安全狀態(tài)檢查，對網(wǎng)絡(luò)環(huán)境中終端平臺(tái)的可信性信息和狀態(tài)完整性信息進(jìn)行存儲(chǔ)與管理，并與防火墻、入侵檢測等網(wǎng)絡(luò)安全防護(hù)機(jī)制相結(jié)合，通過相應(yīng)的可信驗(yàn)證和網(wǎng)絡(luò)控制策略，對網(wǎng)絡(luò)連接進(jìn)行策略化的主動(dòng)監(jiān)控，有效地防止不符合網(wǎng)絡(luò)安全策略的終端接入網(wǎng)絡(luò)，將基于TPM 的可信計(jì)算思想從終端平臺(tái)擴(kuò)展至網(wǎng)絡(luò)。

3 可信安全防護(hù)功能設(shè)計(jì)

在上述自動(dòng)控制系統(tǒng)可信安全防護(hù)架構(gòu)設(shè)計(jì)的基礎(chǔ)上，通過可信計(jì)算提供的靜態(tài)度量、實(shí)體安全認(rèn)證、安全傳輸和安全存儲(chǔ)，以及完整性驗(yàn)證和系統(tǒng)行為驗(yàn)證等安全防護(hù)能力，對自動(dòng)控制系統(tǒng)的啟動(dòng)、訪問、組態(tài)和運(yùn)行等全生命周期過程進(jìn)行安全加固，如圖2 所示。

圖2 可信安全防護(hù)功能設(shè)計(jì)

3.1 可信啟動(dòng)

自動(dòng)控制系統(tǒng)的計(jì)算環(huán)境包括可信PLC、可信PC 和可信服務(wù)器等嵌入式系統(tǒng)和計(jì)算機(jī)系統(tǒng)?？尚艈?dòng)保證自動(dòng)控制系統(tǒng)中的計(jì)算環(huán)境在初始啟動(dòng)時(shí)加載的系統(tǒng)文件是未被篡改的、正確的，是保證自動(dòng)控制系統(tǒng)安全運(yùn)行的前提。

可信PLC、可信計(jì)算機(jī)等可信終端以可信平臺(tái)模塊TPM 為根基，所有終端系統(tǒng)從上電啟動(dòng)開始，依次對BIOS、內(nèi)存、引導(dǎo)扇區(qū)、操作系統(tǒng)內(nèi)核、系統(tǒng)配置文件和應(yīng)用程序等軟件、硬件環(huán)境的完整性進(jìn)行可信度量驗(yàn)證，系統(tǒng)啟動(dòng)的每一個(gè)環(huán)節(jié)都以上一步啟動(dòng)完成為基礎(chǔ)，當(dāng)某一環(huán)節(jié)未通過驗(yàn)證，系統(tǒng)將無法啟動(dòng)。即自動(dòng)控制系統(tǒng)的計(jì)算環(huán)境以TPM 為根基，將信任進(jìn)行傳遞，建立系統(tǒng)的信任鏈，確保運(yùn)行的軟件和程序未經(jīng)篡改并通過授權(quán)。

在受可信啟動(dòng)保護(hù)的終端系統(tǒng)上，只能安裝和運(yùn)行通過完整性驗(yàn)證和授權(quán)的軟件和程序。通過對軟件和程序的識(shí)別和保護(hù)，未經(jīng)驗(yàn)證和授權(quán)的軟件和程序一律被攔截和阻斷，防止對系統(tǒng)程序未經(jīng)授權(quán)的修改，實(shí)現(xiàn)對病毒、木馬等惡意代碼的自我免疫，確保作為自動(dòng)控制系統(tǒng)基礎(chǔ)計(jì)算平臺(tái)的終端系統(tǒng)在安全可信的環(huán)境下啟動(dòng)運(yùn)行。

3.2 可信訪問控制

可信訪問控制主要實(shí)現(xiàn)對自動(dòng)控制系統(tǒng)實(shí)體身份的識(shí)別和權(quán)限控制，可信訪問控制包括終端設(shè)備網(wǎng)絡(luò)接入的訪問控制和系統(tǒng)用戶登錄的訪問控制?？尚旁L問控制不僅要求鑒別訪問實(shí)體的自身身份，而且還要求驗(yàn)證訪問實(shí)體的計(jì)算環(huán)境和程序的完整性和可信性。

可信訪問控制基于TPM 物理介質(zhì)中的密碼算法引擎和密鑰管理等部件，使用TPM中的私鑰來表示不同實(shí)體的身份特征，包括可信PLC、可信PC 和可信服務(wù)器等可信計(jì)算平臺(tái)身份，以及使用可信智能卡代表的系統(tǒng)用戶身份；另外，使用TPM中的平臺(tái)配置寄存器PCR 存儲(chǔ)的完整性報(bào)告來表示不同實(shí)體的可信狀態(tài)。當(dāng)終端接入自動(dòng)控制系統(tǒng)網(wǎng)絡(luò)或用戶登錄自動(dòng)控制系統(tǒng)時(shí)，部署于可信網(wǎng)絡(luò)連接服務(wù)器上的可信服務(wù)平臺(tái)對訪問實(shí)體的可信性進(jìn)行詢問，訪問實(shí)體提供使用私鑰簽名的完整性報(bào)告，供可信服務(wù)平臺(tái)判定訪問實(shí)體的可信性，可信服務(wù)平臺(tái)通過對訪問實(shí)體簽名、可信性的驗(yàn)證和相應(yīng)的控制策略，對訪問實(shí)體進(jìn)行訪問控制，以決定是否允許其接入網(wǎng)絡(luò)或登錄系統(tǒng)，并控制其能夠訪問的系統(tǒng)資源。

在可信訪問控制過程中，基于TPM 物理介質(zhì)中的密鑰和完整性校驗(yàn)功能對訪問實(shí)體進(jìn)行身份鑒別和可信性驗(yàn)證，通過身份鑒別和可信性驗(yàn)證的實(shí)體，才允許接入網(wǎng)絡(luò)或登錄系統(tǒng)，不合法的終端設(shè)備和系統(tǒng)用戶無法接入系統(tǒng)網(wǎng)絡(luò)和訪問系統(tǒng)資源，保證自動(dòng)控制系統(tǒng)整個(gè)網(wǎng)絡(luò)環(huán)境的可信。

3.3 可信組態(tài)

對自動(dòng)控制系統(tǒng)的下位機(jī)進(jìn)行控制程序組態(tài)和上位機(jī)進(jìn)行監(jiān)控畫面組態(tài)是自動(dòng)控制系統(tǒng)運(yùn)行的基礎(chǔ)?？尚艈?dòng)和可信訪問控制雖然能確保自動(dòng)控制系統(tǒng)的運(yùn)行環(huán)境安全，但無法杜絕利用組態(tài)軟件偽造或者篡改數(shù)據(jù)帶來的安全隱患，需要基于可信計(jì)算的公私鑰、簽名驗(yàn)簽和完整性校驗(yàn)等功能，對生成的組態(tài)文件進(jìn)行可信保護(hù)，包括對使用組態(tài)軟件的角色進(jìn)行認(rèn)證和鑒權(quán)，對運(yùn)行組態(tài)軟件的計(jì)算機(jī)進(jìn)行認(rèn)證和可信性驗(yàn)證，以及對組態(tài)軟件生成的組態(tài)文件進(jìn)行簽名驗(yàn)簽。

生成組態(tài)文件階段，只允許具有權(quán)限的工程師在具有權(quán)限的工程師站上才能生成和編輯組態(tài)文件。對于進(jìn)行組態(tài)操作的工程師，增加可信智能卡來對工程師進(jìn)行安全認(rèn)證和訪問控制，以驗(yàn)證是否具有相應(yīng)的操作權(quán)限；針對運(yùn)行組態(tài)軟件的組態(tài)計(jì)算機(jī)，首先，對計(jì)算機(jī)進(jìn)行基于TPM 的安全認(rèn)證，具備組態(tài)權(quán)限的工程師站才能夠運(yùn)行組態(tài)軟件；其次，對計(jì)算機(jī)進(jìn)行基于TPM 的完整性校驗(yàn)，在確保組態(tài)計(jì)算機(jī)運(yùn)行環(huán)境未受到破壞情況下，才允許運(yùn)行組態(tài)軟件。

發(fā)布組態(tài)文件階段，發(fā)布階段需要對執(zhí)行發(fā)布操作的工程師權(quán)限和組態(tài)計(jì)算機(jī)權(quán)限進(jìn)行認(rèn)證和鑒權(quán)，驗(yàn)證通過時(shí)，使用工程師可信智能卡和組態(tài)計(jì)算機(jī)的私鑰對組態(tài)文件進(jìn)行簽名發(fā)布，下位機(jī)PLC在收到發(fā)布的組態(tài)文件后，對組態(tài)文件進(jìn)行驗(yàn)簽并驗(yàn)證其完整性，通過驗(yàn)證后，再存儲(chǔ)和執(zhí)行組態(tài)文件。

通過可信組態(tài)，可以防止操作人員對非自己管理的設(shè)備進(jìn)行誤操作；可以防止無權(quán)限人員通過組態(tài)軟件篡改和替換組態(tài)文件，執(zhí)行惡意控制程序；防止惡意程序篡改組態(tài)文件或發(fā)送操作指令。

3.4 可信運(yùn)行

自動(dòng)控制系統(tǒng)在啟動(dòng)、連接與授權(quán)動(dòng)作之后缺乏對設(shè)備終端和用戶行為發(fā)生異常的檢測與防控，這意味著自動(dòng)控制系統(tǒng)運(yùn)行狀態(tài)的可信性無法保證，即缺少基于可信計(jì)算的動(dòng)態(tài)度量與驗(yàn)證。

可信運(yùn)行強(qiáng)調(diào)自動(dòng)控制系統(tǒng)行為結(jié)果的可預(yù)期，通過對自動(dòng)控制系統(tǒng)進(jìn)行動(dòng)態(tài)度量與驗(yàn)證，確保自動(dòng)控制系統(tǒng)運(yùn)行狀態(tài)可信。可信運(yùn)行可通過3種方式實(shí)現(xiàn)：對程序進(jìn)程的動(dòng)態(tài)度量、對內(nèi)存狀態(tài)的動(dòng)態(tài)度量和對運(yùn)行結(jié)果的動(dòng)態(tài)度量。

程序進(jìn)程的動(dòng)態(tài)度量首先分析可執(zhí)行文件或源代碼的函數(shù)調(diào)用關(guān)系得到程序的預(yù)期行為，建立程序預(yù)期行為規(guī)則，然后對實(shí)際程序進(jìn)程的名稱、PID、狀態(tài)、用戶名、內(nèi)存活動(dòng)、作業(yè)對象ID 和調(diào)用關(guān)系等信息進(jìn)行監(jiān)控，判斷程序行為是否與預(yù)期行為規(guī)則一致；內(nèi)存狀態(tài)的動(dòng)態(tài)度量定時(shí)檢查內(nèi)存正文區(qū)、函數(shù)堆棧和中斷向量表等關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的完整性，保證計(jì)算環(huán)境在運(yùn)行中不被改變；運(yùn)行結(jié)果的動(dòng)態(tài)度量使用形式化語言，對系統(tǒng)每個(gè)狀態(tài)執(zhí)行的具體動(dòng)作、狀態(tài)之間的轉(zhuǎn)換進(jìn)行描述，并通過系統(tǒng)審計(jì)功能，對系統(tǒng)關(guān)鍵行為與后果進(jìn)行數(shù)據(jù)分析，然后綜合判斷系統(tǒng)狀態(tài)和行為路徑是否與預(yù)期匹配。

可信運(yùn)行通過程序進(jìn)程、內(nèi)存狀態(tài)和系統(tǒng)行為等角度，對系統(tǒng)運(yùn)行狀態(tài)進(jìn)行檢測和驗(yàn)證，判定系統(tǒng)運(yùn)行狀態(tài)、狀態(tài)之間的轉(zhuǎn)換是否符合預(yù)期，進(jìn)而對系統(tǒng)運(yùn)行狀態(tài)進(jìn)行管理，實(shí)現(xiàn)系統(tǒng)可信性的動(dòng)態(tài)度量與驗(yàn)證，是系統(tǒng)靜態(tài)度量與驗(yàn)證的重要補(bǔ)充。

4 結(jié)束語

本方案在現(xiàn)場控制層，通過引入可信PLC，使得現(xiàn)場控制設(shè)備在安全可信的運(yùn)行環(huán)境下更加安全、可控，并且，由于可信計(jì)算模塊的硬件加解密能力，現(xiàn)場控制設(shè)備的計(jì)算、控制和通信功能也不會(huì)受到影響；在過程監(jiān)控層，通過引入基于可信計(jì)算的計(jì)算機(jī)作為工程師站、操作員站的監(jiān)控終端，使得系統(tǒng)啟動(dòng)過程安全可信，并且支持對工程師站生成的組態(tài)文件、設(shè)置的配置參數(shù)，以及操作員站執(zhí)行的關(guān)鍵操作進(jìn)行數(shù)字簽名；在系統(tǒng)網(wǎng)絡(luò)層，通過引入可信服務(wù)平臺(tái)，對網(wǎng)絡(luò)接入者、網(wǎng)絡(luò)資源訪問者進(jìn)行基于可信計(jì)算的安全認(rèn)證和訪問控制，實(shí)現(xiàn)對系統(tǒng)網(wǎng)絡(luò)可信連接的動(dòng)態(tài)控制，將信任鏈從終端傳遞到整個(gè)系統(tǒng)，使得自動(dòng)控制系統(tǒng)從整體上自在安全可控的可信環(huán)境下。

當(dāng)前，可信計(jì)算主要采用度量數(shù)據(jù)完整性來度量和驗(yàn)證系統(tǒng)可信性，在保障系統(tǒng)資源的完整性，抵抗計(jì)算機(jī)病毒等惡意軟件攻擊方面提供了出色的保護(hù)能力，在很大程度上增強(qiáng)了自動(dòng)控制系統(tǒng)的安全性，對國產(chǎn)自動(dòng)控制系統(tǒng)安全性的提升具有重要作用和意義。雖然可信計(jì)算是一項(xiàng)擁有廣闊應(yīng)用前景的安全技術(shù)，但在現(xiàn)實(shí)中它并不能解決所有信息安全問題，需要與操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用等層面的安全機(jī)制不斷深入融合。后續(xù)，將在可信安全防護(hù)技術(shù)與防火墻、入侵檢測、安全審計(jì)等其它安全防護(hù)技術(shù)的集成和聯(lián)動(dòng)方面開展研究，實(shí)現(xiàn)基于可信計(jì)算的可信性度量、驗(yàn)證與管控。