安全可信PLC在軌道交通工控系統中的應用研究

文/金瑞蒙、沈青、劉虹、張雷、倪華

隨著國民經濟持續、快速、健康發展及新型城鎮化戰略實施，我國城市軌道交通跨入蓬勃發展的黃金機遇期。世界各國廣泛采用以信息化促進城市軌道交通發展的戰略，信息化已覆蓋城市軌道交通的建設、運營、管理、安全、服務等各個方面。我國強力推進“互聯網+城市軌道交通”戰略，信息化建設已進入大規模開發和應用階段，自動化、信息化和智能化已成為城市軌道交通發展的必然趨勢，同時，也帶來了日趨嚴重的信息安全問題。

工控系統是軌道交通安全穩定運行的核心要素，在當今復雜的網絡安全環境下，一旦發生信息安全事件，對軌道交通的工控系統進行破壞，將嚴重影響國民的出行安全，提升軌道交通工控系統的安全防護刻不容緩。按照工控系統功能層級劃分（第0層：現場設備層；第1層：現場控制層；第2層：過程監控層；第3層：生產管理層；第4層：企業資源層），PLC位于軌道交通工控系統的第1層，即現場控制層，直接控制現場設備，同時與主控中心通信，是整個系統的核心，而作為核心控制裝置，普通PLC自身信息安全防護能力低下，這會使工控系統面臨極大的安全隱患。

因此，對于目前的嚴峻態勢，迫切需要PLC具備以可信計算技術為保障的自身安全防護能力。安全可信PLC基于可信計算3.0技術構建了主動免疫防御體系，對硬件結構、操作系統、應用軟件以及網絡連接等多方面加強安全防范，并采用國產商用密碼，為可信計算3.0相關組件提供密碼支撐。

安全可信PLC體系結構

基于可信計算3.0技術的主動免疫防護是指在計算運算的同時進行安全防護，計算全程可測可控，不被干擾，只有這樣才能使計算結果總是與預期一樣。這種主動免疫的計算模式改變了傳統的只追求計算效率，而不講求安全防護的片面計算模式。

在圖1所示的安全可信PLC體系結構中，安全可信PLC控制器通過安全管理平臺的統一可信策略管控，構成運算和防護并存的主動免疫計算節點，與可信上位機通過可信連接進行數據交互，以密碼為基因實現雙向身份鑒別和加密通信，確保接入設備身份的可信及通信數據的完整性和真實性。

圖1 安全可信PLC體系結構

安全可信PLC控制器作為主動免疫計算節點，由計算部件和防護部件構成，計算部件和防護部件邏輯相互獨立，形成具備計算功能和防護功能并行的雙體系結構。將可信計算3.0技術理念，設計并實施到安全可信PLC產品中，要克服嵌入式系統實時性要求高、系統資源緊張等問題。

本文將可信計算3.0雙體系架構，創新地應用到工控系統安全可信PLC控制器中，滿足可信計算3.0技術要求。

對于安全可信PLC控制雙體系架構的描述，可以按照TPCM與其所連接的部件、組件的交互來展開。

TPCM與TSB、TCM、安全管理平臺和計算部件進行交互，交互方式如下：

1）TPCM為TSB提供運行環境和TSB功能實現的支撐，為TSB提供可信策略，TSB按照策略解析機制，對可信策略進行解析和使用，并形成可信基準庫，TSB實現控制、度量、判定、支撐等功能。TPCM為TSB提供密碼服務，支撐TSB實現相關密碼運算的能力；

2）TPCM通過訪問TCM獲取可信密碼功能，完成對防護對象的可信驗證、加密存儲等功能；

3）TPCM通過與安全管理平臺建立可信連接，實現可信策略的連接、可信報告的處理等功能；

4）計算部件操作系統中內置的防護代理將相關數據信息提供給TPCM，TPCM將數據信息轉發給TSB，由TSB進行分析處理；

5）TPCM為安全可信PLC控制器提供身份鑒別和密碼服務的功能，可實現安全可信PLC控制器與可信上位機的可信連接功能，其中計算部件如需與可信上位機建立可信連接，也可通過功能調用接口來實現。

安全可信PLC防護功能

本文根據安全可信PLC體系結構對其進行系統設計和功能實現，使得安全可信PLC具備可信啟動、動態度量、可信連接，依托上述內生安全主動防御功能，并結合安全管理平臺統一管控，實現安全可信PLC縱深防御的能力。

1.可信啟動

在可信計算3.0理論的指導下，基于可信根(TPCM)建立可信鏈，實現系統可信啟動。

普通PLC控制器啟動過程如下：處理器直接從非易失存儲器加載啟動程序和應用程序執行，并不驗證這些程序的完整性，如果這部分啟動程序代碼被未授權的方式篡改，主控制器在不加驗證的情況下加載運行則會出現非預期行為，嚴重情況下會使現場的生產設備置于危險運行狀態。

安全可信PLC控制器的可信啟動要檢查系統的一致性，系統的啟動從一個可信根（TPCM）開始，依次驗證 bootloader、OS到應用程序，形成一個可信鏈，通過可信鏈的傳遞,保證系統平臺處于可信狀態中。

2.可信度量

運行階段，基于可信計算3.0理論，考慮到嵌入式平臺有限的資源，在安全可信PLC控制器中，實現了輕量化環境度量功能，并依托對PLC控制器業務功能的技術積累和創新性技術探索，實現了業務行為可信度量和固件可信升級的功能。

（1）輕量化環境度量

安全可信PLC控制器業務運行環境，包括操作系統代碼環境、業務代碼環境等，根據PLC的業務特點，定制輕量化的度量策略，保證高實時性，有效節省嵌入式計算資源。

輕量化運行環境度量中選取與業務行為相關聯的代碼區域，通過可信策略配置，作為TSB組件的度量依據。也可以選取快慢度量結合的方式，根據場景需求定制。

（2）業務行為可信度量

基于PLC邏輯控制軟件業務行為的動態度量方法，將度量機制的粒度細化到軟件行為的層面上，以保障系統運行后的動態可信性，符合可信計算的本質。以工控嵌入式PLC邏輯控制執行，通過內部調度模塊，完成指定順序的任務流程執行。捕獲安全可信PLC邏輯控制的周期性的行為跡，形成業務行為跡表，結合環境提取器，構成可信度量元素，以行為可信基準庫為依據，展開對業務行為的時間序、行為完整性的可信度量。

（3）固件可信升級

安全可信PLC通過可信上位機進行固件遠程升級，為防止待升級的固件被惡意篡改，基于數字證書技術，設計一種固件可信升級方案。

固件可信升級流程如下：

1) 在固件出廠前，生成簽名固件；

2) 可信上位機與安全可信PLC控制器，通過雙向身份認證機制，建立會話；

3) 可信上位機發起固件升級請求，并發送待升級的固件；

4) 安全可信PLC完成數字簽名的驗證；

5) 根據驗證解決判斷固件的可信和合法性。

3.可信連接

安全可信PLC控制器與可信上位機及安全管理平臺采用可信連接的方式，保障通信雙方的身份可信和通信數據的可信。

安全可信PLC采用自主研發的高實時安全通信組件，組件不僅支持Windows、Linux等通用操作系統，還支持安全可信PLC控制器中的自主可控國產操作系統。單包通信加解密延時小于15ms，適應工控嵌入式應用場景。組件采用高強度國產商用密碼。

安全通信組件實現了基于國產商用密碼的SSL/TLS協議，能夠實現通信雙方的身份鑒別和通信加解密功能。

會話建立過程中，通信雙方通過數字證書，確認彼此的身份，進行身份鑒別。會話建立結束后，通信雙方已就使用的加密算法達成一致，并擁有了一套與對應算法匹配的密鑰。可以確信整個過程攻擊者無法干擾，實現了可信連接。

安全通信組件采用軟硬件結合的密碼協同方式實現輕量化高實時性通信加解密，根據CPU的使用率、數據優先級等因素，并結合PLC的使用場景，下發專屬調度策略，軟件和硬件密碼模塊協同分擔系統繁重的密碼服務請求，較為高效、靈活地實現密碼模塊服務請求的歸一化調度。

采用軟件結合硬件密碼模塊的實現方式，一方面安全可信PLC設計中采用硬件密碼模塊，既滿足了行業規范符合性，另一方面軟件密碼模塊又能適應復雜多變的應用場景，軟件升級成本低，能夠較好地降低產品的改造和維護成本。

安全可信PLC應用分析

等保2.0要求的“一個中心、三重防護”，就是指針對安全管理中心和安全計算環境、安全區域邊界、安全通信網絡的安全合規進行方案設計，建立以計算環境安全為基礎，以區域邊界安全、通信網絡安全為保障，以安全管理中心為核心的信息安全整體保障體系。

圖2是一種典型的軌道交通系統安全可信防護方案設計圖，該方案將可信計算3.0技術融入安全防護方案中，形成基于安全可信的“一個中心、三重防護”體系，可以更有效地對軌道交通控制系統網絡進行安全防護。從圖2中可以看到，安全可信PLC作為可信防護系統設備監控層的核心設備在系統中的安全防護布局位置。

圖2 軌道交通系統安全可信防護方案設計圖

結合軌道交通系統的應用場景，我們搭建了安全可信PLC的測試環境，并進行防護功能測試。根據中國電子技術標準化研究院的第三方測試報告（表1）顯示，各項防護功能均測試通過。

表1 第三方測試報告結果匯總

結論

安全可信PLC基于可信計算3.0技術，實現了計算部件和防護部件并行運行的雙體系架構，具備可信啟動、可信度量和可信連接的功能，保證了工業控制系統核心代碼、數據的內生安全，并實現系統由內向外的主動防御功能。本文研究的安全可信PLC可有效推動國內軌道交通領域控制系統安全防護技術的發展，滿足軌道交通工控系統的信息安全需求，這樣不但可以節省為引進國外技術和設備所需要花費的大量外匯，而且打破了信息安全PLC產品完全依賴國外的被動局面。安全可信PLC的研制和應用，需要一定的研發和硬件成本，安全可信PLC的應用相比非可信設備會在一定程度上帶來成本的增加。但同時，安全可信PLC的應用可減少對其他安全設備的投資，考慮到可信計算具備更好的安全防護有效性及合規價值，因此安全可信PLC的應用是具有經濟可行性的。