国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★ 楚兵寧波和利時(shí)信息安全研究院有限公司

摘要：本文針對(duì)工業(yè)嵌入式控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀、安全威脅與防護(hù)需求展開了深入研究，分析了面臨的安全挑戰(zhàn)，研究了工業(yè)嵌入式控制系統(tǒng)可信計(jì)算3.0技術(shù)應(yīng)用現(xiàn)狀，提出了基于可信計(jì)算3.0技術(shù)解決工業(yè)嵌入式系統(tǒng)內(nèi)生安全主動(dòng)防御的建設(shè)思路，并展望工業(yè)嵌入式控制系統(tǒng)內(nèi)生安全防御技術(shù)的發(fā)展趨勢(shì)。

關(guān)鍵詞：工業(yè)嵌入式控制系統(tǒng)；可信計(jì)算3.0；內(nèi)生安全；主動(dòng)防御

1 引言

隨著工業(yè)互聯(lián)網(wǎng)、5G等新基建的快速發(fā)展，工業(yè)嵌入式控制系統(tǒng)面臨各種高級(jí)別持續(xù)性未知威脅，任意單一薄弱環(huán)節(jié)即可成為入侵突破口，將帶來巨大的風(fēng)險(xiǎn)影響。傳統(tǒng)的安全防護(hù)措施多數(shù)作用在邊界且以隔離方式為主，對(duì)于滲透到嵌入式系統(tǒng)內(nèi)部的未知威脅防御效果差、資源消耗大，不適用于工業(yè)嵌入式控制系統(tǒng)防護(hù)。

可信計(jì)算技術(shù)為解決工業(yè)嵌入式控制系統(tǒng)內(nèi)生安全問題提供了新的思路。目前，可信計(jì)算在我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度體系有了明確的要求，與可信計(jì)算相關(guān)的多項(xiàng)技術(shù)標(biāo)準(zhǔn)也已陸續(xù)發(fā)布，此舉措對(duì)于推動(dòng)嵌入式可信計(jì)算的技術(shù)應(yīng)用和提升嵌入式設(shè)備和系統(tǒng)的安全運(yùn)行能力具有重大意義。本文從可信計(jì)算技術(shù)應(yīng)用出發(fā)，分析了硬件和系統(tǒng)底層安全本質(zhì)。該項(xiàng)技術(shù)具備免疫惡意代碼攻擊的能力，適合多樣化的軟硬件結(jié)構(gòu)，是從根源解決工業(yè)嵌入式控制系統(tǒng)信息安全問題的重要技術(shù)手段。

2 工業(yè)嵌入式控制系統(tǒng)特點(diǎn)及安全挑戰(zhàn)

2.1 工業(yè)嵌入式控制系統(tǒng)特點(diǎn)

典型工業(yè)控制系統(tǒng)如圖1所示，包含現(xiàn)場(chǎng)設(shè)備層常用工業(yè)嵌入式儀表、傳感器等設(shè)備，現(xiàn)場(chǎng)控制層設(shè)備為工業(yè)嵌入式控制器PLC和DCS，在過程監(jiān)控層通常部署工程師站、操作員站、歷史服務(wù)等上位機(jī)設(shè)備實(shí)現(xiàn)工程組態(tài)下裝、變量更新、實(shí)時(shí)監(jiān)控等功能。

圖1 工業(yè)控制系統(tǒng)典型拓?fù)浣Y(jié)構(gòu)

工業(yè)嵌入式控制系統(tǒng)的特點(diǎn)是由“嵌入性”“專用性”與“計(jì)算機(jī)系統(tǒng)”三個(gè)基本要素衍生出來的，不同的嵌入式系統(tǒng)其特點(diǎn)會(huì)有所差異。與“嵌入性”的相關(guān)特點(diǎn)：由于是嵌入到對(duì)象系統(tǒng)中，必須滿足對(duì)象系統(tǒng)的環(huán)境要求，如物理環(huán)境（小型）、電氣/氣氛環(huán)境（可靠）、成本（價(jià)廉）等要求。與“專用性”的相關(guān)特點(diǎn)：軟、硬件的裁剪性；滿足對(duì)象要求的最小軟、硬件配置等。與“計(jì)算機(jī)系統(tǒng)”的相關(guān)特點(diǎn)：嵌入式系統(tǒng)必須是能滿足對(duì)象系統(tǒng)控制要求的計(jì)算機(jī)系統(tǒng)。與上兩個(gè)特點(diǎn)相呼應(yīng)，這樣的計(jì)算機(jī)必須配置有與對(duì)象系統(tǒng)相適應(yīng)的接口電路。

2.2 網(wǎng)絡(luò)安全面臨的挑戰(zhàn)

（1）解決低資源高實(shí)時(shí)安全需求問題

嵌入式系統(tǒng)使用場(chǎng)景，通常要求實(shí)時(shí)多任務(wù)很強(qiáng)的支持能力，從而使內(nèi)部的代碼和實(shí)時(shí)內(nèi)核的執(zhí)行時(shí)間減少到最低限度，完成高實(shí)時(shí)的運(yùn)算。如何在低資源、高實(shí)時(shí)的系統(tǒng)中，不影響既有業(yè)務(wù)運(yùn)行，盡量小地占用嵌入式系統(tǒng)資源，構(gòu)建嵌入式系統(tǒng)啟動(dòng)和設(shè)備運(yùn)行全生命周期安全防護(hù)機(jī)制，提供低成本、高可靠、高實(shí)時(shí)的嵌入式系統(tǒng)內(nèi)生安全解決方案，是急迫解決的挑戰(zhàn)之一。

（2）解決主動(dòng)防御安全需求問題

當(dāng)前針對(duì)嵌入式系統(tǒng)的信息安全防護(hù)，由于欠缺對(duì)內(nèi)生安全的防護(hù)設(shè)計(jì)，僅僅在邊界外圍進(jìn)行防護(hù)，近年來也多次受到了安全研究者以及黑客的挑戰(zhàn)與攻擊。為了解決邊界防護(hù)手段效果不理想問題，在嵌入式系統(tǒng)中構(gòu)建基于嵌入式系統(tǒng)內(nèi)生安全的機(jī)制，可主動(dòng)對(duì)系統(tǒng)運(yùn)行主體、客體、操作、環(huán)境等關(guān)鍵因素進(jìn)行主動(dòng)度量，從嵌入式系統(tǒng)內(nèi)部深層次保障系統(tǒng)安全，成為待解決的一個(gè)關(guān)鍵問題。

（3）解決系統(tǒng)異構(gòu)難于統(tǒng)一問題

嵌入式系統(tǒng)硬件結(jié)構(gòu)差異顯著，軟件架構(gòu)缺乏統(tǒng)一標(biāo)準(zhǔn)，既可能采用無操作系統(tǒng)的循環(huán)輪詢系統(tǒng)和前后臺(tái)系統(tǒng)，也有可能采用專用的實(shí)時(shí)操作系統(tǒng)，嵌入式系統(tǒng)很難形成一個(gè)統(tǒng)一的安全方案。基于異構(gòu)系統(tǒng)，形成統(tǒng)一的內(nèi)生安全解決方案，也成為一個(gè)待解決的難題。

3 可信計(jì)算技術(shù)發(fā)展現(xiàn)狀

可信計(jì)算概念在不斷更新，其發(fā)展大體可分為可信計(jì)算1.0→可信計(jì)算2.0→可信計(jì)算3.0三個(gè)層級(jí)，如圖2所示。可信計(jì)算1.0是20世紀(jì)70年代以世界容錯(cuò)組織為代表，用容錯(cuò)算法及時(shí)發(fā)現(xiàn)和處理故障，降低故障的風(fēng)險(xiǎn)，以提高系統(tǒng)的安全性和可靠性。采用故障排除、冗余備份等手段應(yīng)對(duì)軟硬件工程性故障、物理干擾、設(shè)計(jì)錯(cuò)誤等影響系統(tǒng)正常運(yùn)行的各種問題，此階段并未形成國(guó)際性組織，因此也就沒有相應(yīng)的標(biāo)準(zhǔn)誕生。

圖2 可信計(jì)算技術(shù)發(fā)展層級(jí)

眾多學(xué)術(shù)研究者從可信計(jì)算體系架構(gòu)、可信啟動(dòng)、可信運(yùn)行環(huán)境等多方面做了深入研究，在嵌入式系統(tǒng)的主動(dòng)防御安全機(jī)制、安全體系架構(gòu)、嵌入式系統(tǒng)可信計(jì)算應(yīng)用要求等方面，并未給出合理性建議。因此針對(duì)以上問題，筆者將對(duì)關(guān)于嵌入式可信計(jì)算技術(shù)進(jìn)行分析研究，解決先前研究所遺留的問題，并提出我們的解決方案。

3.1 嵌入式可信計(jì)算體系架構(gòu)

基于硬件可信根構(gòu)建的成本較高，對(duì)于輕量級(jí)的嵌入式設(shè)備缺乏實(shí)用性，Defrawy等人提出了SMART（（Secure and Minimal Architecture for Root of Trust）架構(gòu)^[1]。這是第一個(gè)基于硬件和軟件代碼簽名來構(gòu)建輕量級(jí)信任根的設(shè)計(jì)方案，該架構(gòu)可以在遠(yuǎn)程嵌入式設(shè)備中建立信任根，只需對(duì)微控制器單元進(jìn)行簡(jiǎn)單的修改。SMART在執(zhí)行時(shí)，任何可以直接訪問內(nèi)存的外設(shè)都會(huì)被禁用，本質(zhì)上是一種動(dòng)態(tài)的信任根，能夠保證關(guān)鍵代碼的執(zhí)行，對(duì)系統(tǒng)性能的影響較小。

TrustLite^[2]是英特爾安全計(jì)算研究所開發(fā)的低成本嵌入式系統(tǒng)的通用PMA（被保護(hù)的內(nèi)存區(qū)域）。Trustlet能夠隔離軟件組件，為其代碼和數(shù)據(jù)提供機(jī)密性和完整性保證，該體系結(jié)構(gòu)提供了與操作系統(tǒng)無關(guān)的Trustlet隔離、證明以及可信的進(jìn)程間通信。當(dāng)TrustLite設(shè)備啟動(dòng)時(shí)，首先執(zhí)行存儲(chǔ)在SoC（Systemon-a-Chip）中的安全加載程序，安全加載程序負(fù)責(zé)將所有的Trustlet及其數(shù)據(jù)區(qū)域加載到片上存儲(chǔ)器中。此外，它還配置了一個(gè)微控制器單元來強(qiáng)制隔離每個(gè)Trustlet的內(nèi)存區(qū)域，包括內(nèi)存映射IO、外設(shè)等。

易平^[3]在國(guó)產(chǎn)龍芯芯片中也提出了相應(yīng)的雙內(nèi)核架構(gòu)，該架構(gòu)嚴(yán)格依照TCG提出的靜態(tài)信任鏈建立過程，將引導(dǎo)部分的FLASH劃分成兩部分，一部分放精簡(jiǎn)操作系統(tǒng)的鏡像，另一部分放配置寄存器，可以存放信任根的完整性度量值。這樣不僅實(shí)現(xiàn)了自省機(jī)制，而且可以提高系統(tǒng)的可信度。

3.2 嵌入式可信啟動(dòng)研究

當(dāng)前的可信計(jì)算技術(shù)，大多針對(duì)PC平臺(tái)，無法直接移植到資源匱乏、結(jié)構(gòu)差異大的嵌入式平臺(tái)。目前比較典型的適用于嵌入式平臺(tái)的可信計(jì)算技術(shù)是TCG的TPM技術(shù)和ARM的TrustZone技術(shù)。

武漢大學(xué)張煥國(guó)等人^[4]通過在TCG可信平臺(tái)模塊的基礎(chǔ)上增加對(duì)稱密碼引擎、總線仲裁模塊以及備份恢復(fù)模塊，設(shè)計(jì)了一款嵌入式可信平臺(tái)模塊（ETPM）作為對(duì)TPM的改進(jìn)。與TCG定義的TPM相比，它主要增加了兩項(xiàng)新功能，一是增加了模塊的主動(dòng)度量能力，另外增加了模塊對(duì)對(duì)稱密碼的支持。平臺(tái)中增加了獨(dú)有的備份恢復(fù)模塊，當(dāng)系統(tǒng)中檢測(cè)到不安全性，ETPM將會(huì)發(fā)現(xiàn)異常并恢復(fù)原始數(shù)據(jù)。由于ETPM有了更強(qiáng)的控制能力與計(jì)算能力，它可以用作星型度量的可信根，在系統(tǒng)的不同層級(jí)均可以直接調(diào)用ETPM進(jìn)行可信度量。這種設(shè)計(jì)會(huì)帶來一個(gè)問題就是系統(tǒng)的拓展性較為不方便，每當(dāng)系統(tǒng)更新之后就需要同時(shí)更新ETPM中的度量數(shù)據(jù)。另一個(gè)問題是ETPM需要有較好的性能以保證系統(tǒng)運(yùn)行效率。

王鎮(zhèn)道等人^[5]提出了一種嵌入式可信設(shè)備雙啟動(dòng)方案，可以在不同的模式下選擇由板載FLASH存儲(chǔ)器中的Bootloader啟動(dòng)或者由SD卡中的Bootloader啟動(dòng)。這種方式提供了一種可信鏈的靈活性設(shè)計(jì)，但是啟動(dòng)選擇是由硬件上的撥片手動(dòng)選擇的，這也帶來了許多不確定因素。

Raj^[6]提出了一種基于ARMTrustZone的虛擬TPM設(shè)計(jì)，研究了TPM芯片的純軟件實(shí)現(xiàn)。應(yīng)用程序級(jí)更改或?qū)S組件（驅(qū)動(dòng)程序除外）的更改。研究給出了在智能手機(jī)和平板電腦中使用的虛擬TPM2.0的實(shí)現(xiàn)參考，證明了可以克服基于CPU的安全體系結(jié)構(gòu)（如ARMTrustZone）的局限性，以構(gòu)建具有類似于專用可信硬件的安全性保證的軟件系統(tǒng)。

3.3 嵌入式可信運(yùn)行環(huán)境研究

Deng等人提出了一種基于雙核leon3的嵌入式可信計(jì)算環(huán)境構(gòu)建方案^[7]，該方案在一個(gè)軟核處理器上耦合AHB接口，使其中一個(gè)處理器作為應(yīng)用處理器，另一個(gè)作為“安全”的協(xié)處理器，將安全協(xié)處理器與只讀存儲(chǔ)器合成為度量的可信根，“安全”的協(xié)處理器運(yùn)行TPM使應(yīng)用處理器在啟動(dòng)和運(yùn)行不同的軟件時(shí)根據(jù)權(quán)限保護(hù)相應(yīng)的密鑰及數(shù)據(jù)。該方案雖然提供了有效的嵌入式可信系統(tǒng)構(gòu)建方案，但僅針對(duì)特定的處理器架構(gòu)，不具備兼容性，且增加可信啟動(dòng)功能后使得啟動(dòng)時(shí)間開銷增加約25%，對(duì)性能影響較大。使用可信計(jì)算基，如可信平臺(tái)模塊和移動(dòng)可信模塊，作為嵌入式系統(tǒng)如手機(jī)、安全隱私設(shè)備及智能傳感器和執(zhí)行器的信任根，能有效保障嵌入式移動(dòng)設(shè)備的安全性。

張英駿等人^[8]利用ARM架構(gòu)中的TrustZone硬件隔離技術(shù)構(gòu)建了可信執(zhí)行環(huán)境，重寫修改頁(yè)表項(xiàng)、禁用存儲(chǔ)管理單元、篡改TTBR寄存器等語句及加入smc語句，這樣當(dāng)內(nèi)核執(zhí)行關(guān)鍵操作前就會(huì)轉(zhuǎn)入到安全模式中運(yùn)行，保證了監(jiān)控代碼不會(huì)被繞過和篡改。作者同時(shí)還設(shè)置了可執(zhí)行代碼執(zhí)行流、可執(zhí)行代碼數(shù)據(jù)流和可執(zhí)行代碼完整性三種白名單機(jī)制。如果內(nèi)核關(guān)鍵操作與白名單不匹配，就可以拒絕執(zhí)行，實(shí)現(xiàn)了內(nèi)核監(jiān)控和完整性保護(hù)的任務(wù)。

通過可信執(zhí)行環(huán)境或可信運(yùn)行環(huán)境（Trusted Execution Environment，TEE）來構(gòu)建可信嵌入式系統(tǒng)的方法得到了更為廣泛的研究和支持^[9]。賓夕法尼亞州立大學(xué)的LeGuan等人基于TrustZone技術(shù)提出了可信運(yùn)行環(huán)境框架TrustShadow，通過TrustShadow可以在安全世界中執(zhí)行未經(jīng)修改的Linux應(yīng)用，并且通過頁(yè)表完整性校驗(yàn)以及可執(zhí)行程序完整性校驗(yàn)等方式來保證應(yīng)用的安全性，以應(yīng)對(duì)網(wǎng)絡(luò)空間和物理空間的攻擊^[10,11]。

4 技術(shù)合規(guī)性與可行性分析

4.1 合規(guī)性分析

從法律法規(guī)層面，《網(wǎng)絡(luò)安全法》第十六條“國(guó)務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃，加大投入，扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。

GB/T22239網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，從第一級(jí)到四級(jí)均在“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”和“安全計(jì)算環(huán)境”中增加了“可信驗(yàn)證”控制點(diǎn)，包括可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心，并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十九條明確要求應(yīng)當(dāng)優(yōu)先采購(gòu)全面使用安全可信的產(chǎn)品和服務(wù)來構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施安全保障體系。

GB/T39204關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求中已明確規(guī)定，在安全防護(hù)技術(shù)中要求應(yīng)對(duì)安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境等環(huán)節(jié)，采用主動(dòng)防御技術(shù)確保關(guān)鍵信息基礎(chǔ)設(shè)備的運(yùn)行安全。

4.2 可行性分析

（1）高適應(yīng)性：可信計(jì)算技術(shù)滿足嵌入式系統(tǒng)特點(diǎn)和應(yīng)用需求，雙體系架構(gòu)，實(shí)現(xiàn)“運(yùn)算+防御”無擾并行。基于TPCM硬件可信根結(jié)合輕量化TSB軟件基，首先構(gòu)建一個(gè)信任根，隨之建立一條信任鏈，從信任根開始到硬件平臺(tái)、操作系統(tǒng)，再到應(yīng)用，逐級(jí)度量、逐級(jí)信任。把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)，從而確保整個(gè)計(jì)算機(jī)系統(tǒng)的可信，實(shí)現(xiàn)系統(tǒng)全生命周期可信度量，滿足低資源、高實(shí)時(shí)性嵌入式系統(tǒng)要求。

（2）高確定性：大多數(shù)嵌入式系統(tǒng)為定制化的專用系統(tǒng)，應(yīng)用運(yùn)行環(huán)境、業(yè)務(wù)運(yùn)行周期、設(shè)備接入方式等相對(duì)明確，其內(nèi)部功能相對(duì)固定，更容易通過可信計(jì)算技術(shù)制定可信策略并構(gòu)建安全基線，對(duì)嵌入式系統(tǒng)進(jìn)行動(dòng)態(tài)防護(hù)。定制化程度高能夠以更靈活的設(shè)計(jì)實(shí)現(xiàn)可信根，有利于用可信計(jì)算構(gòu)建“白名單”機(jī)制，形成“主體、客體、操作、環(huán)境”的安全基線，在安全可信策略管控下，確保嵌入式系統(tǒng)運(yùn)行環(huán)境的完整可信。

（3）高可用性：嵌入式可信計(jì)算產(chǎn)品化應(yīng)用已有積累，可信計(jì)算技術(shù)在嵌入式系統(tǒng)產(chǎn)品化應(yīng)用已取得一定進(jìn)展。在產(chǎn)品應(yīng)用中可信計(jì)算技術(shù)發(fā)揮了較好的安全防護(hù)效果，可信計(jì)算在國(guó)內(nèi)已具有相對(duì)完整的標(biāo)準(zhǔn)體系。

5 工業(yè)嵌入式控制系統(tǒng)可信技術(shù)應(yīng)用架構(gòu)

5.1 可信雙體系架構(gòu)設(shè)計(jì)

將可信計(jì)算3.0技術(shù)理念，設(shè)計(jì)并實(shí)施到工業(yè)嵌入式控制系統(tǒng)中，要克服嵌入式系統(tǒng)實(shí)時(shí)性要求高、系統(tǒng)資源緊張等問題。工業(yè)嵌入式控制系統(tǒng)可信計(jì)算體系架構(gòu)如圖3所示。

（1）TPCM：支撐策略管理等為TSB提供運(yùn)行環(huán)境，TPCM應(yīng)支持對(duì)業(yè)務(wù)功能主動(dòng)監(jiān)控的能力；應(yīng)保證存儲(chǔ)根密鑰存放在可信根內(nèi)部，外部無法獲取；應(yīng)保證對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)、密鑰等信息采用TPCM組件提供的密碼服務(wù)進(jìn)行加密處理。

（2）TSB：保護(hù)宿主軟件和應(yīng)用安全，實(shí)現(xiàn)主動(dòng)免疫防御的安全能力，TSB應(yīng)具備輕量化環(huán)境度量策略；TSB可具備業(yè)務(wù)行為的度量策略；應(yīng)具備對(duì)被保護(hù)系統(tǒng)的運(yùn)行階段的訪問控制功能；應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)訪問控制的粒度，客體為進(jìn)程、文件的粒度。

（3）TCM：提供密碼計(jì)算、身份認(rèn)證等功能，支持國(guó)SM2/3/4算法。

圖3 工業(yè)嵌入式控制系統(tǒng)可信計(jì)算體系架構(gòu)

設(shè)計(jì)要求：針對(duì)嵌入式系統(tǒng)，可信計(jì)算應(yīng)滿足業(yè)務(wù)場(chǎng)景使用需求，增加的可信啟動(dòng)時(shí)間，對(duì)系統(tǒng)正常工作不造成影響；依托宿主的系統(tǒng)資源情況下，增加可信啟動(dòng)所占用的資源，應(yīng)滿足系統(tǒng)整體資源使用率要求。針對(duì)實(shí)時(shí)性要求高的場(chǎng)景，應(yīng)在啟動(dòng)階段完成主動(dòng)度量，可在運(yùn)行過程中不觸發(fā)主動(dòng)度量功能。應(yīng)滿足對(duì)依托宿主的系統(tǒng)資源情況下，針對(duì)度量性能要求較高的場(chǎng)景，可加大動(dòng)態(tài)度量周期以減少對(duì)系統(tǒng)資源的占用（例如：動(dòng)態(tài)度量周期可設(shè)置為最小周期任務(wù)的5~10倍）。

5.2 全生命周期可信設(shè)計(jì)

（1）可信啟動(dòng)設(shè)計(jì)：基于可信計(jì)算3.0技術(shù)，在雙體系架構(gòu)設(shè)計(jì)基礎(chǔ)上，考慮到隔離、并行性的設(shè)計(jì)特點(diǎn)，將系統(tǒng)分為計(jì)算部件和防護(hù)部件兩部分，并提出了一種可信鏈實(shí)現(xiàn)方法。該實(shí)現(xiàn)方法構(gòu)建了國(guó)產(chǎn)化雙核處理器的可信鏈。

（2）可信升級(jí)設(shè)計(jì)：安全可信PLC通過安全可信工程師站進(jìn)行固件遠(yuǎn)程升級(jí)，為防止待升級(jí)的固件被惡意篡改，基于數(shù)字證書技術(shù)，設(shè)計(jì)一種固件可信升級(jí)方案。

（3）動(dòng)態(tài)可信度量：基于可信計(jì)算3.0的嵌入式動(dòng)態(tài)度量技術(shù)，包括輕量化環(huán)境度量、系統(tǒng)行為可信度量和業(yè)務(wù)行為度量，定制輕量化的度量策略，對(duì)操作系統(tǒng)代碼環(huán)境、業(yè)務(wù)代碼環(huán)境及關(guān)鍵業(yè)務(wù)行為，在可信軟件基的判定機(jī)制中給出度量結(jié)果。

6 工業(yè)嵌入式控制系統(tǒng)內(nèi)生安全技術(shù)展望

工業(yè)嵌入式系統(tǒng)所涵蓋的范圍很廣，由于涉及的組件多且結(jié)構(gòu)復(fù)雜，不同行業(yè)嵌入式系統(tǒng)暴露出的攻擊面迥異。行業(yè)場(chǎng)景化安全問題千差萬別，導(dǎo)致可信計(jì)算技術(shù)不能解決嵌入式系統(tǒng)面臨的所有安全問題。如何解決極低資源、小型嵌入式系統(tǒng)內(nèi)生安全問題，是嵌入式可信計(jì)算需要繼續(xù)深入攻關(guān)的技術(shù)方向。另外在冶金水利、智能制造、石油石化等行業(yè)，國(guó)外工業(yè)嵌入式控制系統(tǒng)存量較大，安全性問題不容忽視。以嵌入式可信計(jì)算技術(shù)為依托，提供低成本、易于改造的內(nèi)生安全方案，解決現(xiàn)場(chǎng)存量嵌入式系統(tǒng)的信息安全，是今后值得持續(xù)研究和深化的問題。

綜上所述，解決嵌入式系統(tǒng)信息安全問題，是一個(gè)復(fù)雜的系統(tǒng)工程，并不是依靠單一技術(shù)和方案能夠完美解決的。后續(xù)研究將嵌入式系統(tǒng)可信計(jì)算技術(shù)結(jié)合協(xié)議分析技術(shù)、事件關(guān)聯(lián)分析技術(shù)、溯源分析技術(shù)，構(gòu)建全面的嵌入式系統(tǒng)風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警和處置體系，進(jìn)一步提升嵌入式系統(tǒng)自身免疫的安全防御能力。

作者簡(jiǎn)介：

楚   兵（1982-），男，北京人，中級(jí)工程師，碩士，現(xiàn)就職于寧波和利時(shí)信息安全研究院有限公司，研究方向?yàn)楣た匦畔踩⒕W(wǎng)絡(luò)通信和嵌入式系統(tǒng)。

參考文獻(xiàn)：

[1] Defrawy K E, Perito D, Tsudik G. SMART: secure and minimal architecture for (establishing a dynamic) root of trust[J]. Isoc, 2017.

[2] Koeberl P, Schulz S, Sadeghi A R, et al. TrustLite: a security architecture for tiny embedded devices[C]. European Conference on Computer Systems, 2014 : 10.

[3] 易平. 基于龍芯處理器的嵌入式可信系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 南京: 南京航空航天大學(xué), 2018.

[4] 張煥國(guó), 李晶, 潘丹鈴, 趙波. 嵌入式系統(tǒng)可信平臺(tái)模塊研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48 (07) : 1269 - 1278.

[5] 王鎮(zhèn)道, 鄭榮浩, 張立軍, 魯輝 . 一種適用于嵌入式終端的可信安全方案[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2016, 33 (01) : 230 - 234 、258.

[6] Raj H, Himanshu, et al. fTPM: A software-only implementation of a TPM chip[C]. 25th USENIXSecurity Symposium (USENIX Security 16), 2016.

[7] 張英駿, 馮登國(guó), 秦宇, 等. 基于Trustzone的強(qiáng)安全需求環(huán)境下可信代碼執(zhí)行方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52 (10) : 2224 - 2238.

[8] Abera T, Asokan N, Davi L, et al. C-FLAT: control-flow attestation for embedded systems software[C]. Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, 2016 : 743 - 754.

[9] L. Guan, C. Cao, P. Liu, et al. Building a trustworthy execution environment to defeat exploits from both Cyber Space and Physical Space for ARM[J]. IEEE Transactions on Dependable and Secure Computing, 2015, 14 (8) : 1 - 16.

[10] L. Guan, P. Liu, X. Xing, et al. Trustshadow: secure execution of unmodified applications with arm trustzone[C]. Proceedings of the 15th Annual International Conference on Mobile Systems, Applications, and Services, Niagara Falls, 2017, 488 - 501.

[11] H. Sun, K. Sun, Y. Wang, et al. Reliable and trustworthy memory acquisition on smartphones[J]. IEEE Transactions on Information Forensics and Security, 2015, 10 (12) : 2547 - 2561.

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》