工業(yè)控制系統(tǒng)應(yīng)用與安全防護(hù)技術(shù)（微課版）課件 第5章 部件制造安全技術(shù)

工業(yè)控制系統(tǒng)應(yīng)用與安全防護(hù)技術(shù)第5章

部件制造安全技術(shù)5.1可信計(jì)算可信計(jì)算，即TrustedComputing，簡(jiǎn)稱TC，是由可信計(jì)算組（TrustComputingGroup,TCG）推動(dòng)和開發(fā)的技術(shù)。其本質(zhì)是在計(jì)算和通信系統(tǒng)中使用基于硬件安全模塊支持下的可信計(jì)算平臺(tái)，進(jìn)而提升整個(gè)系統(tǒng)的安全性。從技術(shù)角度來講，“可信”意味著使用者可以充分相信引入了可信計(jì)算的計(jì)算機(jī)行為會(huì)更全面地遵循設(shè)計(jì)要求，執(zhí)行設(shè)計(jì)者和軟件編寫者所禁止的行為的概率很低。5.1.1可信計(jì)算概述可信計(jì)算是為了解決計(jì)算機(jī)和網(wǎng)絡(luò)結(jié)構(gòu)上的不安全，從根本上提高安全性的技術(shù)方法，可信計(jì)算是從邏輯正確驗(yàn)證、計(jì)算體系結(jié)構(gòu)和計(jì)算模式等方面的技術(shù)創(chuàng)新，以解決邏輯缺陷不被攻擊者所利用的問題，形成攻防矛盾的統(tǒng)一體，確保完成計(jì)算任務(wù)的邏輯組合不被篡改和破壞，實(shí)現(xiàn)正確計(jì)算。關(guān)于可信，目前尚未有一個(gè)統(tǒng)一的定義，不同的組織給出了自己的定義，主要有以下幾種說法。1999年，國際標(biāo)準(zhǔn)化組織與國際電子技術(shù)委員會(huì)在ISO/IEC15408標(biāo)準(zhǔn)中定義可信為：參與計(jì)算的組件、操作或過程在任意的條件下是可預(yù)測(cè)的，并能夠抵御病毒和一定程度的物理干擾。2002年，國際可信計(jì)算工作組TCG用實(shí)體行為的預(yù)期性來定義可信：如果一個(gè)實(shí)體的行為總是以預(yù)期的方式，朝著預(yù)期的目標(biāo)前進(jìn)，那么這個(gè)實(shí)體是可信的。這一定義的優(yōu)點(diǎn)是抓住了實(shí)體的行為特征，符合哲學(xué)上實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)的基本原則。電氣電子工程師學(xué)會(huì)IEEE可信計(jì)算技術(shù)委員會(huì)認(rèn)為：可信是指計(jì)算機(jī)系統(tǒng)所提供的服務(wù)是可信賴的，而且這種可信賴是可以論證的。我國沈昌祥院士認(rèn)為：可信計(jì)算系統(tǒng)是能夠提供系統(tǒng)的可靠性、可用性、信息和行為安全性的計(jì)算機(jī)系統(tǒng)。系統(tǒng)的可靠性和安全性是現(xiàn)階段可信計(jì)算最重要的兩個(gè)屬性。5.1.2可信計(jì)算平臺(tái)可信計(jì)算平臺(tái)通用架構(gòu)可分為3個(gè)層次，包括基礎(chǔ)硬件層、可信服務(wù)層和安全應(yīng)用層，如圖5-1所示。5.1.3可信平臺(tái)模塊TPMTPM是具有密鑰存儲(chǔ)、管理和簽名認(rèn)證的小型系統(tǒng)芯片，作為可信平臺(tái)的核心部件，通過TPM芯片的可信度量機(jī)制實(shí)現(xiàn)從硬件到操作系統(tǒng)到應(yīng)用的過渡，生成平臺(tái)配置信息并保存到平臺(tái)配置寄存器中，通過平臺(tái)配置寄存器的擴(kuò)展機(jī)制實(shí)現(xiàn)平臺(tái)配置信息的動(dòng)態(tài)存儲(chǔ)，同時(shí)通過TPM對(duì)平臺(tái)配置信息進(jìn)行承諾計(jì)算以及簽名，并提供密鑰存儲(chǔ)、可信報(bào)告和可信認(rèn)證等諸多功能特性。5.1.4可信計(jì)算涉及的關(guān)鍵技術(shù)可信計(jì)算技術(shù)包括多個(gè)方面，其研究對(duì)象也覆蓋了涉及計(jì)算機(jī)技術(shù)中的絕大多數(shù)領(lǐng)域。計(jì)算機(jī)軟硬件、網(wǎng)絡(luò)通信、虛擬網(wǎng)絡(luò)中的用戶行為等都在可信計(jì)算技術(shù)的研究層次中。其中涉及到的主要可信計(jì)算技術(shù)包括以下幾個(gè)方面：（1）信任鏈傳遞。（2）可信BIOS。（3）可信安全芯片。（4）可信計(jì)算軟件棧。為了加強(qiáng)系統(tǒng)的可信性以及可靠性，設(shè)計(jì)了可信計(jì)算軟件棧，其是一種可信計(jì)算平臺(tái)的支持軟件。通過可信計(jì)算軟件棧，軟件應(yīng)用能夠與安全芯片進(jìn)行對(duì)接，從而利用物理信任根來保證軟件應(yīng)用的可信，加強(qiáng)系統(tǒng)和軟件的可靠性。其通過建立多個(gè)層級(jí)的可信協(xié)議棧實(shí)現(xiàn)信任機(jī)制，并且可以為一些基本數(shù)據(jù)提供必要的認(rèn)證和保護(hù)。（5）可信網(wǎng)絡(luò)連接?？尚啪W(wǎng)絡(luò)連接的意義在于實(shí)現(xiàn)在網(wǎng)絡(luò)通信中計(jì)算機(jī)聯(lián)網(wǎng)的可信接入。在計(jì)算機(jī)接入網(wǎng)絡(luò)時(shí)，要確保接入網(wǎng)絡(luò)的流程符合網(wǎng)絡(luò)的預(yù)期接入策略，例如符合白名單的ip、主機(jī)安裝某些特定軟件等，對(duì)不符合接入策略的主機(jī)將被限制聯(lián)網(wǎng)，只有滿足接入流程中所有網(wǎng)絡(luò)的接入條件后才可以接入網(wǎng)絡(luò)。5.2加解密技術(shù)密碼技術(shù)是網(wǎng)絡(luò)信息保密與安全的核心和關(guān)鍵。它提供了許多有效的核心技術(shù)來確保信息的安全問題，在保證信息的機(jī)密性、認(rèn)證性方面發(fā)揮著重要的作用。加解密技術(shù)的主要任務(wù)是解決信息的保密性和可認(rèn)證性問題，也就是保證在生成、傳遞、處理、保存信息的過程中不被非法授權(quán)者更改或者偽造等。

5.2.1數(shù)據(jù)加解密算法概述密碼學(xué)的基本思想是兩種不同形式的消息之間的變換。密碼學(xué)中用到的各種變換稱為密碼算法。如果一個(gè)變換能夠?qū)⒁粋€(gè)有意義的消息（明文）變換成表面上無意義的消息（密文），從而使得非授權(quán)者無法讀懂明文的內(nèi)容，這個(gè)變換稱之為加密算法，這個(gè)轉(zhuǎn)換的過程稱為加密。同樣，如果合法授權(quán)用戶用一個(gè)變換能夠?qū)⒁粋€(gè)非授權(quán)用戶難以讀懂的信息變換成有意義的信息，那么這個(gè)變換被稱之為解密算法。合法授權(quán)用戶把已經(jīng)加密的信息（密文）恢復(fù)成明文的過程稱為解密。密碼學(xué)有兩個(gè)重要分支，一個(gè)是密碼編碼學(xué)（Crotography），另外一個(gè)是密碼分析學(xué)（Cryptanalysis）。密碼編碼學(xué)研究如何保密，是對(duì)信息進(jìn)行編碼實(shí)現(xiàn)隱蔽信息的一門學(xué)科。人們通過信息的變換，將敏感的消息變成在保存和傳輸過程中人們無法直接理解的內(nèi)容，以達(dá)到保密信息的目的。

密碼分析學(xué)研究如何破譯密碼，是運(yùn)用各種分析手段在未知密鑰的情況下從密文中找出有用的信息破譯密文或者偽造消息。

根據(jù)功能的不同，密碼系統(tǒng)可以分為保密系統(tǒng)（PrivacySystem）和認(rèn)證系統(tǒng)（AuthenticationSystem）兩種。保密系統(tǒng)用來確保消息的保密性，認(rèn)證系統(tǒng)用來確保消息的認(rèn)證性。5.2.2數(shù)據(jù)加解密技術(shù)的常用術(shù)語數(shù)據(jù)加密技術(shù)是當(dāng)今信息安全的主流技術(shù)同時(shí)也是信息安全的核心技術(shù)。它主要用來保護(hù)關(guān)鍵信息的安全傳輸與存儲(chǔ)。信息發(fā)送者將關(guān)鍵數(shù)據(jù)使用加密密鑰進(jìn)行加密，將所得到的密文傳送給接收方，信息接收者則使用解密密鑰將傳輸?shù)拿芪臄?shù)據(jù)解密后恢復(fù)出數(shù)據(jù)原文。下面是數(shù)據(jù)加解密技術(shù)中常用的基本術(shù)語。消息（明文）：表示未被加密的數(shù)據(jù)信息，它是加密輸入的原始信息，一般用m或p表示。所有明文的集合稱為明文空間，一般用M或P來表示。密文：是指明文經(jīng)過加密變換后的數(shù)據(jù)，即經(jīng)過加密運(yùn)算處理后的消息數(shù)據(jù)，通常用c表示。所有密文的集合稱為密文空間，一般用C來表示。密鑰：是指控制密碼變換操作的關(guān)鍵數(shù)據(jù)或參數(shù)，一般用k表示，它由加密密鑰和解密密鑰kd組成。所有密鑰的集合稱為密鑰空間，一般用K來表示。加密算法：是將明文變換成密文的函數(shù)，相應(yīng)的變換過程稱為加密過程，這是一個(gè)編碼的過程，通常用E表示，即c=Ek(m)。信息加密的基本原理如圖5-3所示。解密算法：是將密文恢復(fù)為明文的函數(shù)，相應(yīng)的變換過程稱為解密過程，即解碼的過程，通常用D表示，即m=Dk(c)，它與加密過程是互逆的關(guān)系。信息解密的基本原理如圖5-4所示。5.2.3對(duì)稱與非對(duì)稱加密算法的區(qū)別不論是在日常生活、金融活動(dòng)、軍事應(yīng)用或者工業(yè)控制系統(tǒng)應(yīng)用當(dāng)中，針對(duì)加解密技術(shù)的算法分為兩個(gè)大類，分別是對(duì)稱密碼算法和非對(duì)稱密碼算法，非對(duì)稱密碼很多時(shí)候也叫做公開密鑰算法。1.對(duì)稱加密算法

非對(duì)稱加密算法5.2.4加解密算法在工業(yè)控制系統(tǒng)中的應(yīng)用對(duì)于工業(yè)控制系統(tǒng)，可以從技術(shù)層面構(gòu)建工控領(lǐng)域行業(yè)密碼保障體系，實(shí)現(xiàn)工控行業(yè)信息系統(tǒng)的安全防護(hù)，綜合保障工控行業(yè)業(yè)務(wù)應(yīng)用的安全。大力發(fā)展密碼基礎(chǔ)設(shè)備支撐，其中包括服務(wù)器密碼機(jī)、PLC密碼模塊、工業(yè)主機(jī)密碼卡、安全網(wǎng)關(guān)，對(duì)工控行業(yè)密碼應(yīng)用提供基礎(chǔ)的設(shè)備支撐環(huán)境。密碼基礎(chǔ)服務(wù)支撐是指在密碼基礎(chǔ)設(shè)備支撐的基礎(chǔ)上，提供統(tǒng)一認(rèn)證、授權(quán)管理、單點(diǎn)登錄、訪問控制等信任服務(wù)，包括身份認(rèn)證系統(tǒng)、數(shù)據(jù)加解密服務(wù)系統(tǒng)、數(shù)據(jù)可信服務(wù)系統(tǒng)、密鑰管理系統(tǒng)、PLC密碼模塊中間件、工業(yè)主機(jī)密碼卡中間件、安全SCADA密碼應(yīng)用服務(wù)系統(tǒng)。監(jiān)控預(yù)警態(tài)勢(shì)感知平臺(tái)能夠?qū)崟r(shí)采集分析加密裝置、解密裝置、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等的安全與設(shè)備信息。通過大數(shù)據(jù)建模分析與建設(shè)核心知識(shí)庫，進(jìn)行風(fēng)險(xiǎn)評(píng)估、態(tài)勢(shì)感知，預(yù)防相關(guān)設(shè)備潛在風(fēng)險(xiǎn)的發(fā)生。工控業(yè)務(wù)系統(tǒng)密碼應(yīng)用主要包括用戶或設(shè)備訪問業(yè)務(wù)應(yīng)用時(shí)的身份認(rèn)證、授權(quán)管理、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)共享安全等；安全SCADA系統(tǒng)可實(shí)現(xiàn)基于國產(chǎn)密碼的安全通信、靜態(tài)可信鏈、動(dòng)態(tài)度量等功能。工控區(qū)域邊界密碼應(yīng)用用于實(shí)現(xiàn)邊界的隔離、身份識(shí)別，其密碼應(yīng)用主要表現(xiàn)在訪問者身份可信、訪問權(quán)限的合法性、以及保障資源節(jié)點(diǎn)可信等方面。工控終端設(shè)備密碼應(yīng)用主要是指控制設(shè)備、管理設(shè)備以及各類無線采集設(shè)備等，在遠(yuǎn)程傳輸過程中，保障數(shù)據(jù)在傳輸過程中的機(jī)密性、完整性?；趦?nèi)嵌的各類密碼模塊及密碼中間件，能夠?yàn)楦黝惞た亟K端設(shè)備提供安全的密碼應(yīng)用基礎(chǔ)和環(huán)境。為了進(jìn)一步提高安全性，加速密碼應(yīng)用國產(chǎn)化，實(shí)現(xiàn)國產(chǎn)密碼在終端設(shè)備中的應(yīng)用。5.3芯片與硬件安全作為現(xiàn)代信息系統(tǒng)硬件設(shè)備的“靈魂”部件，芯片在從個(gè)人PC到大型智能工業(yè)控制系統(tǒng)設(shè)備的運(yùn)轉(zhuǎn)過程中，發(fā)揮了關(guān)鍵性的作用。芯片安全是網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈上極為重要的一環(huán)，芯片技術(shù)的自主可控，成為整個(gè)硬件自主可控的關(guān)鍵所在。5.3.1芯片安全問題的產(chǎn)生隨著集成電路的發(fā)展，集成電路的規(guī)模已經(jīng)步入超大規(guī)模，工藝尺寸也越來越低，設(shè)計(jì)與制造分工越來越細(xì)化，并且

IC的制造成本也越來越高。在高利潤(rùn)的誘惑下，越來越多第三方廠商也參與到IC的設(shè)計(jì)與制造中，因此導(dǎo)致了芯片在最終制作完成前的每個(gè)階段都面臨著風(fēng)險(xiǎn)。硬件安全問題的主要源頭為隱藏于集成電路中的惡意模塊，稱為硬件木馬（hardwareTrojan，HT）。在集成電路特別是超大規(guī)模集成電路的設(shè)計(jì)中，惡意供應(yīng)商只需要在IC的設(shè)計(jì)端稍微進(jìn)行改動(dòng)，就可以將硬件木馬很方便地嵌入到IC產(chǎn)品中。從寄存器傳輸級(jí)（RTL）代碼合成到門級(jí)網(wǎng)表設(shè)計(jì)，再到芯片集成封裝，每個(gè)鏈路都可以嵌入硬件木馬。在設(shè)計(jì)階段，IP核供應(yīng)商和設(shè)計(jì)師都需要使用EDA供應(yīng)商提供的EDA軟件，但EDA軟件的可靠性無法保證。并且設(shè)計(jì)者也無法保證使用的第三方IP核和布局文件的可靠性。另外，當(dāng)設(shè)計(jì)布局投入生產(chǎn)時(shí)，由于不可信員工的參與和對(duì)第三方供應(yīng)商的需求，致使IC的安全問題面臨嚴(yán)峻的考驗(yàn)。因此，保證設(shè)計(jì)與制造周期的每一步能夠正確執(zhí)行，減少甚至避免由硬件安全問題所帶來的不必要的開銷顯得尤為重要，這其中包括時(shí)間和額外成本開銷，就需要高度關(guān)注IC的安全性。硬件木馬入侵主要包括五個(gè)階段。（1）第一階段，不受信任的鑄造廠參與階段：鑄造廠的惡意攻擊者通過在光刻掩模中將硬件木馬模塊植入設(shè)計(jì)中。硬件木馬模塊修改原始布局的晶體管、柵極和互連形式。（2）第二階段，不受信任的EDA工具、員工或第三方設(shè)計(jì)公司：由于IC的設(shè)計(jì)制造過程極其復(fù)雜，需要越來越多的專業(yè)IC設(shè)計(jì)師和工具參與其中。此時(shí)，硬件木馬就會(huì)被不受信任的第三方商業(yè)EDA工具或內(nèi)部團(tuán)隊(duì)中的不受信任的設(shè)計(jì)師偷偷插入芯片，這種硬件木馬威脅也稱為內(nèi)部威脅。此外，客戶還可以將IC的設(shè)計(jì)規(guī)范外包給海外第三方設(shè)計(jì)公司，這些不受信任的設(shè)計(jì)公司可能會(huì)在原始設(shè)計(jì)中添加額外的模塊或功能以此來插入硬件木馬。（3）第三階段，不受信任的第三方IP核供應(yīng)商：SoC開發(fā)者在完成他們?cè)O(shè)計(jì)的過程中，可以購買并使用第三方IP核來協(xié)助完成。此時(shí)威脅更加明顯，不受信任的第三方IP核供應(yīng)商向客戶提供的這些IP核可能包含惡意邏輯或者后門。（4）第四階段，片上總線中不受信任的路由器或鏈路：攻擊者可能會(huì)使用已經(jīng)受到硬件木馬感染的惡意路由節(jié)點(diǎn)或流量鏈路來破壞片上總線的完整性。這樣的惡意總線結(jié)構(gòu)將被集成到SoC當(dāng)中。（5）第五階段，不受信任的SoC開發(fā)者：不受信任的SoC開發(fā)者可能會(huì)開發(fā)出SoC級(jí)受硬件木馬影響的SoC設(shè)計(jì)，或集成來自不受信任的第三方IP供應(yīng)商的軟硬IP核，以此來影響整個(gè)SoC的功能。5.3.2硬件木馬基本原理1.硬件木馬特征

硬件木馬是指攻擊者通過一定手段在原始電路中植入的特殊功能模塊。由于大多數(shù)硬件木馬模塊占有較小的集成電路的面積且需要在特定的情形下才會(huì)觸發(fā)，其余時(shí)間不會(huì)對(duì)電路的功能造成任何的影響，所以硬件木馬能夠在電路中隱藏而不被發(fā)現(xiàn)。隨著半導(dǎo)體工藝精細(xì)化程度的提高，電路的集成度也隨之變高了，硬件木馬的偵測(cè)也變得更為困難。

攻擊者通過硬件木馬會(huì)對(duì)電路造成多種危害，主要有泄露電路傳遞的信息、改變電路正常功能、改變電路設(shè)計(jì)參數(shù)以及拒絕服務(wù)等。泄露電路傳遞信息會(huì)將用戶的私密消息透漏給攻擊者，這在軍事航空等領(lǐng)域會(huì)造成巨大威脅；改變電路正常功能即破壞電路原本的設(shè)計(jì)功能，導(dǎo)致電路不能正常運(yùn)行或者將電路中的部分信息進(jìn)行篡改致使接收方無法收到正確的信息；改變?cè)O(shè)計(jì)參數(shù)，在功耗、速度、溫度使用壽命上進(jìn)行破壞，降低電路工作的性能，甚至?xí)?dǎo)致錯(cuò)誤的輸出結(jié)果；拒絕服務(wù)目會(huì)直接導(dǎo)致電路無法工作。硬件木馬功能的多樣性，也增加了硬件木馬的檢測(cè)難度。

2.硬件木馬結(jié)構(gòu)

硬件木馬電路一般是由觸發(fā)電路以及有效載荷電路組成，圖5-8是硬件木馬電路的基本結(jié)構(gòu)。攻擊者一般通過監(jiān)聽輸入、監(jiān)測(cè)原始電路狀態(tài)來實(shí)現(xiàn)其需要的功能。觸發(fā)邏輯一般是通過外部輸入的結(jié)合或是芯片內(nèi)部邏輯的產(chǎn)生來實(shí)現(xiàn)，并且用于控制有效載荷是否開啟。3.硬件木馬分類

考慮到硬件木馬對(duì)電路結(jié)構(gòu)以及功能造成的多種影響，如圖5-9所示為硬件木馬基本分類。盡管單個(gè)木馬電路可能包含多種分類特征，但該分類方法依舊可以體現(xiàn)出木馬的基本特性。

5.3.3硬件木馬檢測(cè)技術(shù)按照硬件木馬檢測(cè)方法占比大小排序，可用于硬件木馬檢測(cè)的方法包括側(cè)信道分析法、網(wǎng)表級(jí)硬件木馬檢測(cè)方法、逆向工程分析法等。在大數(shù)據(jù)廣泛應(yīng)用的時(shí)代下，對(duì)基于機(jī)器學(xué)習(xí)的硬件木馬檢測(cè)技術(shù)的研究也成為熱點(diǎn)之一。

1.基于側(cè)信道的硬件木馬檢測(cè)方法

側(cè)信道信息又被稱之為旁路信號(hào)，是由于電路運(yùn)轉(zhuǎn)而出現(xiàn)的外部物理特性。常見的旁路信號(hào)有電磁信息、功耗信息以及耗時(shí)信息等。在同一實(shí)驗(yàn)環(huán)境下，原始電路在運(yùn)行時(shí)會(huì)生成一組固有的物理特征信息。同樣，硬件木馬在電路中的運(yùn)轉(zhuǎn)時(shí)也會(huì)產(chǎn)生相應(yīng)的物理信息。由硬件木馬模塊所產(chǎn)生的額外的物理信息，會(huì)造成植入硬件木馬的電路與原始電路的側(cè)信道信息的不同。通過這種差異比較，就可以區(qū)分出電路中是否含有硬件木馬。

此種硬件木馬檢測(cè)方式一般都是應(yīng)用在前端設(shè)計(jì)完成之后，最基本的側(cè)信道信息檢測(cè)技術(shù)流程如圖5-10所示。該檢測(cè)方法主要是對(duì)原始電路在同一實(shí)驗(yàn)環(huán)境下輸入相同激勵(lì)，并選擇合適的側(cè)信道信息進(jìn)行分析。根據(jù)硬件木馬反映出的側(cè)信道信息設(shè)置正確的判決閾值，最終判斷出待測(cè)電路中是否含有硬件木馬。

2.基于網(wǎng)表的硬件木馬檢測(cè)技術(shù)

在集成電路的整個(gè)設(shè)計(jì)過程中，主要由邏輯設(shè)計(jì)階段以及后端布局設(shè)計(jì)階段組成，而邏輯設(shè)計(jì)階段包括規(guī)格制定、RTL設(shè)計(jì)、RTL仿真、綜合、靜態(tài)分析以及形式驗(yàn)證。綜合過程即實(shí)現(xiàn)RTL設(shè)計(jì)與門級(jí)網(wǎng)表之間的轉(zhuǎn)換。網(wǎng)表文件中共包含8個(gè)設(shè)計(jì)對(duì)象，分別是元件庫、設(shè)計(jì)、單元、例化、端口、引腳、節(jié)點(diǎn)和時(shí)鐘。攻擊方通過插入冗余電路來實(shí)現(xiàn)硬件木馬的相應(yīng)功能。當(dāng)門級(jí)網(wǎng)表被植入硬件木馬，門級(jí)網(wǎng)表的內(nèi)部結(jié)構(gòu)與單元會(huì)發(fā)生改變。具體表現(xiàn)為硬件木馬通過節(jié)點(diǎn)信號(hào)連接到原始電路，通過節(jié)點(diǎn)將木馬電路實(shí)現(xiàn)的惡意信息傳遞到原始電路中。此硬件木馬的相關(guān)節(jié)點(diǎn)具有隱蔽性高且檢測(cè)困難的特點(diǎn)，只要硬件木馬電路未被激活，其可測(cè)試性極低。

可以使用動(dòng)態(tài)或靜態(tài)檢測(cè)的方式實(shí)現(xiàn)對(duì)網(wǎng)表階段的硬件木馬檢測(cè)。當(dāng)使用動(dòng)態(tài)檢測(cè)的方法時(shí)，電路中的硬件木馬必須被激活。然而大多數(shù)硬件木馬都是屬于條件激活類型，且激活條件各不相同。由于大多數(shù)時(shí)刻下的硬件木馬都處于非激活狀態(tài)，所以使用動(dòng)態(tài)檢測(cè)方式檢測(cè)硬件木馬并不容易。

相比于動(dòng)態(tài)檢測(cè)，靜態(tài)檢測(cè)技術(shù)具有明顯的優(yōu)勢(shì)。在硬件木馬電路未被激活的狀態(tài)下，靜態(tài)檢測(cè)依然能夠?qū)ζ鋵?shí)施檢測(cè)。具體操作共分為兩個(gè)步驟：一是提取出硬件木馬相關(guān)特征；二是選取不同的分析技術(shù)對(duì)特征進(jìn)行分析。目前，網(wǎng)表級(jí)的檢測(cè)方法可以采取基于搜索以及基于閾值等硬件木馬檢測(cè)手段。

一般來說，用于檢測(cè)硬件木馬的相關(guān)特征值是多種多樣的，而且對(duì)于不同的基準(zhǔn)電路以及木馬結(jié)構(gòu)來說，每個(gè)特征值在電路檢測(cè)時(shí)占有的權(quán)重比例也存在差異。因此選取靜態(tài)檢測(cè)作為網(wǎng)表級(jí)檢測(cè)方法時(shí)，提取硬件木馬的相關(guān)特征顯得特別重要。

3.逆向工程檢測(cè)法

逆向工程法是指采取現(xiàn)有的集成電路逆向工程技術(shù)來檢測(cè)硬件木馬的存在，又被稱作基于失效性分析硬件木馬檢測(cè)方法。此方法屬于暴力不可逆的物理檢測(cè)方法。

通過抽樣檢測(cè)同一批次的部分芯片產(chǎn)品，自底向上對(duì)抽樣出的產(chǎn)品進(jìn)行分層解剖。解剖的目的是為了獲得具體的版圖信息，從而分析出電路的邏輯結(jié)構(gòu)。將樣本解剖后得到的電路設(shè)計(jì)結(jié)構(gòu)與原始設(shè)計(jì)文件進(jìn)行對(duì)比，并且判斷兩者存在的差異。

4.基于機(jī)器學(xué)習(xí)的硬件木馬檢測(cè)技術(shù)

硬件木馬的檢測(cè)與識(shí)別，不僅需要考慮到檢測(cè)結(jié)果的正確率，還要綜合考慮檢測(cè)時(shí)檢測(cè)電路所需的占用面積、測(cè)試時(shí)間以及檢測(cè)所花費(fèi)用的總和。尋找一個(gè)合適的滿足以上條件的檢測(cè)方案，是檢測(cè)技術(shù)研究上的一個(gè)重大的挑戰(zhàn)。

機(jī)器學(xué)習(xí)算法在一定程度上提供了新的思路，它的出現(xiàn)大大提升了硬件木馬檢測(cè)的準(zhǔn)確度和效率。機(jī)器學(xué)習(xí)的概念就是通過使用計(jì)算機(jī)算法以及數(shù)學(xué)，讓計(jì)算機(jī)從過去的經(jīng)驗(yàn)和數(shù)據(jù)中學(xué)習(xí)。只需要收集相關(guān)內(nèi)容的數(shù)據(jù)，利用計(jì)算機(jī)編程就可以讓其進(jìn)行自學(xué)。機(jī)器學(xué)習(xí)的目標(biāo)是從數(shù)據(jù)中發(fā)現(xiàn)出平時(shí)觀察不到的規(guī)律信息。

5.4安全數(shù)據(jù)庫技術(shù)較大規(guī)模的工業(yè)控制系統(tǒng)環(huán)境，一般都會(huì)采用數(shù)據(jù)庫技術(shù)，在許多工業(yè)生產(chǎn)過程中需要將大量的實(shí)時(shí)測(cè)量數(shù)據(jù)進(jìn)行存儲(chǔ)，采用離散控制系統(tǒng)和關(guān)系數(shù)據(jù)庫技術(shù)難以滿足速度和容量的要求，同時(shí)還存在無法平臺(tái)化和標(biāo)準(zhǔn)化，相關(guān)接口不統(tǒng)一，訪問復(fù)雜，不適合大規(guī)模集成等問題。因此以分布式實(shí)時(shí)數(shù)據(jù)庫設(shè)計(jì)的工控系統(tǒng)及實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)緊密的關(guān)聯(lián)到了一起。與歷史數(shù)據(jù)庫相比，實(shí)時(shí)數(shù)據(jù)庫在工業(yè)控制系統(tǒng)環(huán)境中更多的是應(yīng)用在MES系統(tǒng)、數(shù)據(jù)釆集和實(shí)時(shí)控制系統(tǒng)當(dāng)中。不論是傳統(tǒng)信息系統(tǒng)普遍使用的歷史關(guān)系型數(shù)據(jù)庫，還是實(shí)時(shí)性要求極高的實(shí)時(shí)數(shù)據(jù)庫，甚至一些比較特殊的內(nèi)存數(shù)據(jù)庫，都是整個(gè)工業(yè)控制系統(tǒng)的核心組成部分。為了保證數(shù)據(jù)庫的安全性，要從整個(gè)系統(tǒng)的安全架構(gòu)和數(shù)據(jù)庫自身的安全設(shè)計(jì)兩個(gè)方面同時(shí)考慮。5.4.1數(shù)據(jù)庫安全的定義數(shù)據(jù)庫安全可以分為數(shù)據(jù)庫運(yùn)行的系統(tǒng)安全與數(shù)據(jù)庫內(nèi)的信息安全兩種。數(shù)據(jù)庫的系統(tǒng)安全主要指攻擊者對(duì)數(shù)據(jù)庫運(yùn)行的系統(tǒng)環(huán)境進(jìn)行攻擊，使系統(tǒng)無法正常運(yùn)行，從而導(dǎo)致數(shù)據(jù)庫無法運(yùn)行。數(shù)據(jù)庫的信息安全主要指數(shù)據(jù)被破壞和泄露的威脅，例如攻擊者侵入數(shù)據(jù)庫獲取數(shù)據(jù)，或者由于內(nèi)部人員可以直接接觸敏感數(shù)據(jù)導(dǎo)致的數(shù)據(jù)泄露問題，后者逐漸成為了數(shù)據(jù)泄露的主要原因之一。5.4.2數(shù)據(jù)庫系統(tǒng)面臨的安全威脅隨著攻擊者的技術(shù)水平不斷提升，數(shù)據(jù)泄露事件頻繁發(fā)生，給數(shù)據(jù)庫帶來了越來越多的安全問題，數(shù)據(jù)庫面臨的威脅主要包括以下幾種：１）外部攻擊攻擊者經(jīng)常利用Web應(yīng)用漏洞，通過Web應(yīng)用竊取數(shù)據(jù)庫中數(shù)據(jù)，如果Web應(yīng)用沒有做好對(duì)攻擊的防護(hù)，可能就會(huì)導(dǎo)致數(shù)據(jù)庫中的數(shù)據(jù)遭到破壞、篡改或竊取。２）權(quán)限濫用攻擊者有時(shí)候會(huì)利用合法用戶的身份來對(duì)數(shù)據(jù)庫進(jìn)行攻擊，以竊取更高的權(quán)限或更敏感的數(shù)據(jù)。有時(shí)候由于合法用戶不當(dāng)操作也會(huì)造成數(shù)據(jù)庫中數(shù)據(jù)的損壞。３）內(nèi)部人員竊取數(shù)據(jù)數(shù)據(jù)庫管理員通常有著很高的權(quán)限，可以查看數(shù)據(jù)庫中幾乎所有的信息，此時(shí)如果由于管理員的操作失誤或者惡意報(bào)復(fù)等原因?qū)?shù)據(jù)進(jìn)行竊取或篡改，就會(huì)帶來嚴(yán)重的損失。5.4.3數(shù)據(jù)庫安全管理技術(shù)用戶通常通過Web應(yīng)用來對(duì)數(shù)據(jù)庫進(jìn)行訪問，在訪問過程中，需要經(jīng)過防火墻，通過身份認(rèn)證技術(shù)、權(quán)限管理技術(shù)與數(shù)據(jù)管理技術(shù)共同保護(hù)數(shù)據(jù)庫中數(shù)據(jù)的安全性。數(shù)據(jù)庫安全管理如圖5-13所示，主要包括身份認(rèn)證、權(quán)限管理和數(shù)據(jù)管理。1.身份認(rèn)證身份認(rèn)證是指用戶向系統(tǒng)提供證據(jù)證明自己的身份，證據(jù)與身份必須一一對(duì)應(yīng)，同時(shí)不可偽造，而且數(shù)據(jù)庫應(yīng)該有相應(yīng)機(jī)制可以證明用戶的身份合法性。由于身份認(rèn)證技術(shù)主要是通過證據(jù)來證明用戶身份的，常見的證據(jù)主要有以下幾種：口令、生物學(xué)信息、智能卡等，下面分別進(jìn)行介紹：1）基于口令的身份認(rèn)證技術(shù)。用戶需要提供自己的口令供系統(tǒng)進(jìn)行認(rèn)證，認(rèn)證通過則證明用戶身份合法有效。2）基于生物學(xué)信息的身份認(rèn)證技術(shù)。這種身份認(rèn)證技術(shù)通常使用圖像處理技術(shù)或模式識(shí)別技術(shù)來識(shí)別用戶身份。用戶通常提供指紋、聲音、虹膜、臉部等生物學(xué)特征信息來進(jìn)行驗(yàn)證。這些信息理論上具有唯一性和不可偽造性。3）基于智能卡的身份認(rèn)證技術(shù)?；谥悄芸ǖ纳矸菡J(rèn)證技術(shù)需要用戶持有一個(gè)額外的智