工業(yè)控制系統(tǒng)應用與安全防護技術（微課版）課件 第5章 部件制造安全技術

工業(yè)控制系統(tǒng)應用與安全防護技術第5章

部件制造安全技術5.1可信計算可信計算，即TrustedComputing，簡稱TC，是由可信計算組（TrustComputingGroup,TCG）推動和開發(fā)的技術。其本質是在計算和通信系統(tǒng)中使用基于硬件安全模塊支持下的可信計算平臺，進而提升整個系統(tǒng)的安全性。從技術角度來講，“可信”意味著使用者可以充分相信引入了可信計算的計算機行為會更全面地遵循設計要求，執(zhí)行設計者和軟件編寫者所禁止的行為的概率很低。5.1.1可信計算概述可信計算是為了解決計算機和網絡結構上的不安全，從根本上提高安全性的技術方法，可信計算是從邏輯正確驗證、計算體系結構和計算模式等方面的技術創(chuàng)新，以解決邏輯缺陷不被攻擊者所利用的問題，形成攻防矛盾的統(tǒng)一體，確保完成計算任務的邏輯組合不被篡改和破壞，實現(xiàn)正確計算。關于可信，目前尚未有一個統(tǒng)一的定義，不同的組織給出了自己的定義，主要有以下幾種說法。1999年，國際標準化組織與國際電子技術委員會在ISO/IEC15408標準中定義可信為：參與計算的組件、操作或過程在任意的條件下是可預測的，并能夠抵御病毒和一定程度的物理干擾。2002年，國際可信計算工作組TCG用實體行為的預期性來定義可信：如果一個實體的行為總是以預期的方式，朝著預期的目標前進，那么這個實體是可信的。這一定義的優(yōu)點是抓住了實體的行為特征，符合哲學上實踐是檢驗真理的唯一標準的基本原則。電氣電子工程師學會IEEE可信計算技術委員會認為：可信是指計算機系統(tǒng)所提供的服務是可信賴的，而且這種可信賴是可以論證的。我國沈昌祥院士認為：可信計算系統(tǒng)是能夠提供系統(tǒng)的可靠性、可用性、信息和行為安全性的計算機系統(tǒng)。系統(tǒng)的可靠性和安全性是現(xiàn)階段可信計算最重要的兩個屬性。5.1.2可信計算平臺可信計算平臺通用架構可分為3個層次，包括基礎硬件層、可信服務層和安全應用層，如圖5-1所示。5.1.3可信平臺模塊TPMTPM是具有密鑰存儲、管理和簽名認證的小型系統(tǒng)芯片，作為可信平臺的核心部件，通過TPM芯片的可信度量機制實現(xiàn)從硬件到操作系統(tǒng)到應用的過渡，生成平臺配置信息并保存到平臺配置寄存器中，通過平臺配置寄存器的擴展機制實現(xiàn)平臺配置信息的動態(tài)存儲，同時通過TPM對平臺配置信息進行承諾計算以及簽名，并提供密鑰存儲、可信報告和可信認證等諸多功能特性。5.1.4可信計算涉及的關鍵技術可信計算技術包括多個方面，其研究對象也覆蓋了涉及計算機技術中的絕大多數領域。計算機軟硬件、網絡通信、虛擬網絡中的用戶行為等都在可信計算技術的研究層次中。其中涉及到的主要可信計算技術包括以下幾個方面：（1）信任鏈傳遞。（2）可信BIOS。（3）可信安全芯片。（4）可信計算軟件棧。為了加強系統(tǒng)的可信性以及可靠性，設計了可信計算軟件棧，其是一種可信計算平臺的支持軟件。通過可信計算軟件棧，軟件應用能夠與安全芯片進行對接，從而利用物理信任根來保證軟件應用的可信，加強系統(tǒng)和軟件的可靠性。其通過建立多個層級的可信協(xié)議棧實現(xiàn)信任機制，并且可以為一些基本數據提供必要的認證和保護。（5）可信網絡連接?？尚啪W絡連接的意義在于實現(xiàn)在網絡通信中計算機聯(lián)網的可信接入。在計算機接入網絡時，要確保接入網絡的流程符合網絡的預期接入策略，例如符合白名單的ip、主機安裝某些特定軟件等，對不符合接入策略的主機將被限制聯(lián)網，只有滿足接入流程中所有網絡的接入條件后才可以接入網絡。5.2加解密技術密碼技術是網絡信息保密與安全的核心和關鍵。它提供了許多有效的核心技術來確保信息的安全問題，在保證信息的機密性、認證性方面發(fā)揮著重要的作用。加解密技術的主要任務是解決信息的保密性和可認證性問題，也就是保證在生成、傳遞、處理、保存信息的過程中不被非法授權者更改或者偽造等。

5.2.1數據加解密算法概述密碼學的基本思想是兩種不同形式的消息之間的變換。密碼學中用到的各種變換稱為密碼算法。如果一個變換能夠將一個有意義的消息（明文）變換成表面上無意義的消息（密文），從而使得非授權者無法讀懂明文的內容，這個變換稱之為加密算法，這個轉換的過程稱為加密。同樣，如果合法授權用戶用一個變換能夠將一個非授權用戶難以讀懂的信息變換成有意義的信息，那么這個變換被稱之為解密算法。合法授權用戶把已經加密的信息（密文）恢復成明文的過程稱為解密。密碼學有兩個重要分支，一個是密碼編碼學（Crotography），另外一個是密碼分析學（Cryptanalysis）。密碼編碼學研究如何保密，是對信息進行編碼實現(xiàn)隱蔽信息的一門學科。人們通過信息的變換，將敏感的消息變成在保存和傳輸過程中人們無法直接理解的內容，以達到保密信息的目的。

密碼分析學研究如何破譯密碼，是運用各種分析手段在未知密鑰的情況下從密文中找出有用的信息破譯密文或者偽造消息。

根據功能的不同，密碼系統(tǒng)可以分為保密系統(tǒng)（PrivacySystem）和認證系統(tǒng)（AuthenticationSystem）兩種。保密系統(tǒng)用來確保消息的保密性，認證系統(tǒng)用來確保消息的認證性。5.2.2數據加解密技術的常用術語數據加密技術是當今信息安全的主流技術同時也是信息安全的核心技術。它主要用來保護關鍵信息的安全傳輸與存儲。信息發(fā)送者將關鍵數據使用加密密鑰進行加密，將所得到的密文傳送給接收方，信息接收者則使用解密密鑰將傳輸的密文數據解密后恢復出數據原文。下面是數據加解密技術中常用的基本術語。消息（明文）：表示未被加密的數據信息，它是加密輸入的原始信息，一般用m或p表示。所有明文的集合稱為明文空間，一般用M或P來表示。密文：是指明文經過加密變換后的數據，即經過加密運算處理后的消息數據，通常用c表示。所有密文的集合稱為密文空間，一般用C來表示。密鑰：是指控制密碼變換操作的關鍵數據或參數，一般用k表示，它由加密密鑰和解密密鑰kd組成。所有密鑰的集合稱為密鑰空間，一般用K來表示。加密算法：是將明文變換成密文的函數，相應的變換過程稱為加密過程，這是一個編碼的過程，通常用E表示，即c=Ek(m)。信息加密的基本原理如圖5-3所示。解密算法：是將密文恢復為明文的函數，相應的變換過程稱為解密過程，即解碼的過程，通常用D表示，即m=Dk(c)，它與加密過程是互逆的關系。信息解密的基本原理如圖5-4所示。5.2.3對稱與非對稱加密算法的區(qū)別不論是在日常生活、金融活動、軍事應用或者工業(yè)控制系統(tǒng)應用當中，針對加解密技術的算法分為兩個大類，分別是對稱密碼算法和非對稱密碼算法，非對稱密碼很多時候也叫做公開密鑰算法。1.對稱加密算法

非對稱加密算法5.2.4加解密算法在工業(yè)控制系統(tǒng)中的應用對于工業(yè)控制系統(tǒng)，可以從技術層面構建工控領域行業(yè)密碼保障體系，實現(xiàn)工控行業(yè)信息系統(tǒng)的安全防護，綜合保障工控行業(yè)業(yè)務應用的安全。大力發(fā)展密碼基礎設備支撐，其中包括服務器密碼機、PLC密碼模塊、工業(yè)主機密碼卡、安全網關，對工控行業(yè)密碼應用提供基礎的設備支撐環(huán)境。密碼基礎服務支撐是指在密碼基礎設備支撐的基礎上，提供統(tǒng)一認證、授權管理、單點登錄、訪問控制等信任服務，包括身份認證系統(tǒng)、數據加解密服務系統(tǒng)、數據可信服務系統(tǒng)、密鑰管理系統(tǒng)、PLC密碼模塊中間件、工業(yè)主機密碼卡中間件、安全SCADA密碼應用服務系統(tǒng)。監(jiān)控預警態(tài)勢感知平臺能夠實時采集分析加密裝置、解密裝置、主機設備、網絡設備、安防設備等的安全與設備信息。通過大數據建模分析與建設核心知識庫，進行風險評估、態(tài)勢感知，預防相關設備潛在風險的發(fā)生。工控業(yè)務系統(tǒng)密碼應用主要包括用戶或設備訪問業(yè)務應用時的身份認證、授權管理、數據存儲安全、數據共享安全等；安全SCADA系統(tǒng)可實現(xiàn)基于國產密碼的安全通信、靜態(tài)可信鏈、動態(tài)度量等功能。工控區(qū)域邊界密碼應用用于實現(xiàn)邊界的隔離、身份識別，其密碼應用主要表現(xiàn)在訪問者身份可信、訪問權限的合法性、以及保障資源節(jié)點可信等方面。工控終端設備密碼應用主要是指控制設備、管理設備以及各類無線采集設備等，在遠程傳輸過程中，保障數據在傳輸過程中的機密性、完整性?；趦惹兜母黝惷艽a模塊及密碼中間件，能夠為各類工控終端設備提供安全的密碼應用基礎和環(huán)境。為了進一步提高安全性，加速密碼應用國產化，實現(xiàn)國產密碼在終端設備中的應用。5.3芯片與硬件安全作為現(xiàn)代信息系統(tǒng)硬件設備的“靈魂”部件，芯片在從個人PC到大型智能工業(yè)控制系統(tǒng)設備的運轉過程中，發(fā)揮了關鍵性的作用。芯片安全是網絡安全產業(yè)鏈上極為重要的一環(huán)，芯片技術的自主可控，成為整個硬件自主可控的關鍵所在。5.3.1芯片安全問題的產生隨著集成電路的發(fā)展，集成電路的規(guī)模已經步入超大規(guī)模，工藝尺寸也越來越低，設計與制造分工越來越細化，并且

IC的制造成本也越來越高。在高利潤的誘惑下，越來越多第三方廠商也參與到IC的設計與制造中，因此導致了芯片在最終制作完成前的每個階段都面臨著風險。硬件安全問題的主要源頭為隱藏于集成電路中的惡意模塊，稱為硬件木馬（hardwareTrojan，HT）。在集成電路特別是超大規(guī)模集成電路的設計中，惡意供應商只需要在IC的設計端稍微進行改動，就可以將硬件木馬很方便地嵌入到IC產品中。從寄存器傳輸級（RTL）代碼合成到門級網表設計，再到芯片集成封裝，每個鏈路都可以嵌入硬件木馬。在設計階段，IP核供應商和設計師都需要使用EDA供應商提供的EDA軟件，但EDA軟件的可靠性無法保證。并且設計者也無法保證使用的第三方IP核和布局文件的可靠性。另外，當設計布局投入生產時，由于不可信員工的參與和對第三方供應商的需求，致使IC的安全問題面臨嚴峻的考驗。因此，保證設計與制造周期的每一步能夠正確執(zhí)行，減少甚至避免由硬件安全問題所帶來的不必要的開銷顯得尤為重要，這其中包括時間和額外成本開銷，就需要高度關注IC的安全性。硬件木馬入侵主要包括五個階段。（1）第一階段，不受信任的鑄造廠參與階段：鑄造廠的惡意攻擊者通過在光刻掩模中將硬件木馬模塊植入設計中。硬件木馬模塊修改原始布局的晶體管、柵極和互連形式。（2）第二階段，不受信任的EDA工具、員工或第三方設計公司：由于IC的設計制造過程極其復雜，需要越來越多的專業(yè)IC設計師和工具參與其中。此時，硬件木馬就會被不受信任的第三方商業(yè)EDA工具或內部團隊中的不受信任的設計師偷偷插入芯片，這種硬件木馬威脅也稱為內部威脅。此外，客戶還可以將IC的設計規(guī)范外包給海外第三方設計公司，這些不受信任的設計公司可能會在原始設計中添加額外的模塊或功能以此來插入硬件木馬。（3）第三階段，不受信任的第三方IP核供應商：SoC開發(fā)者在完成他們設計的過程中，可以購買并使用第三方IP核來協(xié)助完成。此時威脅更加明顯，不受信任的第三方IP核供應商向客戶提供的這些IP核可能包含惡意邏輯或者后門。（4）第四階段，片上總線中不受信任的路由器或鏈路：攻擊者可能會使用已經受到硬件木馬感染的惡意路由節(jié)點或流量鏈路來破壞片上總線的完整性。這樣的惡意總線結構將被集成到SoC當中。（5）第五階段，不受信任的SoC開發(fā)者：不受信任的SoC開發(fā)者可能會開發(fā)出SoC級受硬件木馬影響的SoC設計，或集成來自不受信任的第三方IP供應商的軟硬IP核，以此來影響整個SoC的功能。5.3.2硬件木馬基本原理1.硬件木馬特征

硬件木馬是指攻擊者通過一定手段在原始電路中植入的特殊功能模塊。由于大多數硬件木馬模塊占有較小的集成電路的面積且需要在特定的情形下才會觸發(fā)，其余時間不會對電路的功能造成任何的影響，所以硬件木馬能夠在電路中隱藏而不被發(fā)現(xiàn)。隨著半導體工藝精細化程度的提高，電路的集成度也隨之變高了，硬件木馬的偵測也變得更為困難。

攻擊者通過硬件木馬會對電路造成多種危害，主要有泄露電路傳遞的信息、改變電路正常功能、改變電路設計參數以及拒絕服務等。泄露電路傳遞信息會將用戶的私密消息透漏給攻擊者，這在軍事航空等領域會造成巨大威脅；改變電路正常功能即破壞電路原本的設計功能，導致電路不能正常運行或者將電路中的部分信息進行篡改致使接收方無法收到正確的信息；改變設計參數，在功耗、速度、溫度使用壽命上進行破壞，降低電路工作的性能，甚至會導致錯誤的輸出結果；拒絕服務目會直接導致電路無法工作。硬件木馬功能的多樣性，也增加了硬件木馬的檢測難度。

2.硬件木馬結構

硬件木馬電路一般是由觸發(fā)電路以及有效載荷電路組成，圖5-8是硬件木馬電路的基本結構。攻擊者一般通過監(jiān)聽輸入、監(jiān)測原始電路狀態(tài)來實現(xiàn)其需要的功能。觸發(fā)邏輯一般是通過外部輸入的結合或是芯片內部邏輯的產生來實現(xiàn)，并且用于控制有效載荷是否開啟。3.硬件木馬分類

考慮到硬件木馬對電路結構以及功能造成的多種影響，如圖5-9所示為硬件木馬基本分類。盡管單個木馬電路可能包含多種分類特征，但該分類方法依舊可以體現(xiàn)出木馬的基本特性。

5.3.3硬件木馬檢測技術按照硬件木馬檢測方法占比大小排序，可用于硬件木馬檢測的方法包括側信道分析法、網表級硬件木馬檢測方法、逆向工程分析法等。在大數據廣泛應用的時代下，對基于機器學習的硬件木馬檢測技術的研究也成為熱點之一。

1.基于側信道的硬件木馬檢測方法

側信道信息又被稱之為旁路信號，是由于電路運轉而出現(xiàn)的外部物理特性。常見的旁路信號有電磁信息、功耗信息以及耗時信息等。在同一實驗環(huán)境下，原始電路在運行時會生成一組固有的物理特征信息。同樣，硬件木馬在電路中的運轉時也會產生相應的物理信息。由硬件木馬模塊所產生的額外的物理信息，會造成植入硬件木馬的電路與原始電路的側信道信息的不同。通過這種差異比較，就可以區(qū)分出電路中是否含有硬件木馬。

此種硬件木馬檢測方式一般都是應用在前端設計完成之后，最基本的側信道信息檢測技術流程如圖5-10所示。該檢測方法主要是對原始電路在同一實驗環(huán)境下輸入相同激勵，并選擇合適的側信道信息進行分析。根據硬件木馬反映出的側信道信息設置正確的判決閾值，最終判斷出待測電路中是否含有硬件木馬。

2.基于網表的硬件木馬檢測技術

在集成電路的整個設計過程中，主要由邏輯設計階段以及后端布局設計階段組成，而邏輯設計階段包括規(guī)格制定、RTL設計、RTL仿真、綜合、靜態(tài)分析以及形式驗證。綜合過程即實現(xiàn)RTL設計與門級網表之間的轉換。網表文件中共包含8個設計對象，分別是元件庫、設計、單元、例化、端口、引腳、節(jié)點和時鐘。攻擊方通過插入冗余電路來實現(xiàn)硬件木馬的相應功能。當門級網表被植入硬件木馬，門級網表的內部結構與單元會發(fā)生改變。具體表現(xiàn)為硬件木馬通過節(jié)點信號連接到原始電路，通過節(jié)點將木馬電路實現(xiàn)的惡意信息傳遞到原始電路中。此硬件木馬的相關節(jié)點具有隱蔽性高且檢測困難的特點，只要硬件木馬電路未被激活，其可測試性極低。

可以使用動態(tài)或靜態(tài)檢測的方式實現(xiàn)對網表階段的硬件木馬檢測。當使用動態(tài)檢測的方法時，電路中的硬件木馬必須被激活。然而大多數硬件木馬都是屬于條件激活類型，且激活條件各不相同。由于大多數時刻下的硬件木馬都處于非激活狀態(tài)，所以使用動態(tài)檢測方式檢測硬件木馬并不容易。

相比于動態(tài)檢測，靜態(tài)檢測技術具有明顯的優(yōu)勢。在硬件木馬電路未被激活的狀態(tài)下，靜態(tài)檢測依然能夠對其實施檢測。具體操作共分為兩個步驟：一是提取出硬件木馬相關特征；二是選取不同的分析技術對特征進行分析。目前，網表級的檢測方法可以采取基于搜索以及基于閾值等硬件木馬檢測手段。

一般來說，用于檢測硬件木馬的相關特征值是多種多樣的，而且對于不同的基準電路以及木馬結構來說，每個特征值在電路檢測時占有的權重比例也存在差異。因此選取靜態(tài)檢測作為網表級檢測方法時，提取硬件木馬的相關特征顯得特別重要。

3.逆向工程檢測法

逆向工程法是指采取現(xiàn)有的集成電路逆向工程技術來檢測硬件木馬的存在，又被稱作基于失效性分析硬件木馬檢測方法。此方法屬于暴力不可逆的物理檢測方法。

通過抽樣檢測同一批次的部分芯片產品，自底向上對抽樣出的產品進行分層解剖。解剖的目的是為了獲得具體的版圖信息，從而分析出電路的邏輯結構。將樣本解剖后得到的電路設計結構與原始設計文件進行對比，并且判斷兩者存在的差異。

4.基于機器學習的硬件木馬檢測技術

硬件木馬的檢測與識別，不僅需要考慮到檢測結果的正確率，還要綜合考慮檢測時檢測電路所需的占用面積、測試時間以及檢測所花費用的總和。尋找一個合適的滿足以上條件的檢測方案，是檢測技術研究上的一個重大的挑戰(zhàn)。

機器學習算法在一定程度上提供了新的思路，它的出現(xiàn)大大提升了硬件木馬檢測的準確度和效率。機器學習的概念就是通過使用計算機算法以及數學，讓計算機從過去的經驗和數據中學習。只需要收集相關內容的數據，利用計算機編程就可以讓其進行自學。機器學習的目標是從數據中發(fā)現(xiàn)出平時觀察不到的規(guī)律信息。

5.4安全數據庫技術較大規(guī)模的工業(yè)控制系統(tǒng)環(huán)境，一般都會采用數據庫技術，在許多工業(yè)生產過程中需要將大量的實時測量數據進行存儲，采用離散控制系統(tǒng)和關系數據庫技術難以滿足速度和容量的要求，同時還存在無法平臺化和標準化，相關接口不統(tǒng)一，訪問復雜，不適合大規(guī)模集成等問題。因此以分布式實時數據庫設計的工控系統(tǒng)及實時數據庫系統(tǒng)緊密的關聯(lián)到了一起。與歷史數據庫相比，實時數據庫在工業(yè)控制系統(tǒng)環(huán)境中更多的是應用在MES系統(tǒng)、數據釆集和實時控制系統(tǒng)當中。不論是傳統(tǒng)信息系統(tǒng)普遍使用的歷史關系型數據庫，還是實時性要求極高的實時數據庫，甚至一些比較特殊的內存數據庫，都是整個工業(yè)控制系統(tǒng)的核心組成部分。為了保證數據庫的安全性，要從整個系統(tǒng)的安全架構和數據庫自身的安全設計兩個方面同時考慮。5.4.1數據庫安全的定義數據庫安全可以分為數據庫運行的系統(tǒng)安全與數據庫內的信息安全兩種。數據庫的系統(tǒng)安全主要指攻擊者對數據庫運行的系統(tǒng)環(huán)境進行攻擊，使系統(tǒng)無法正常運行，從而導致數據庫無法運行。數據庫的信息安全主要指數據被破壞和泄露的威脅，例如攻擊者侵入數據庫獲取數據，或者由于內部人員可以直接接觸敏感數據導致的數據泄露問題，后者逐漸成為了數據泄露的主要原因之一。5.4.2數據庫系統(tǒng)面臨的安全威脅隨著攻擊者的技術水平不斷提升，數據泄露事件頻繁發(fā)生，給數據庫帶來了越來越多的安全問題，數據庫面臨的威脅主要包括以下幾種：１）外部攻擊攻擊者經常利用Web應用漏洞，通過Web應用竊取數據庫中數據，如果Web應用沒有做好對攻擊的防護，可能就會導致數據庫中的數據遭到破壞、篡改或竊取。２）權限濫用攻擊者有時候會利用合法用戶的身份來對數據庫進行攻擊，以竊取更高的權限或更敏感的數據。有時候由于合法用戶不當操作也會造成數據庫中數據的損壞。３）內部人員竊取數據數據庫管理員通常有著很高的權限，可以查看數據庫中幾乎所有的信息，此時如果由于管理員的操作失誤或者惡意報復等原因對數據進行竊取或篡改，就會帶來嚴重的損失。5.4.3數據庫安全管理技術用戶通常通過Web應用來對數據庫進行訪問，在訪問過程中，需要經過防火墻，通過身份認證技術、權限管理技術與數據管理技術共同保護數據庫中數據的安全性。數據庫安全管理如圖5-13所示，主要包括身份認證、權限管理和數據管理。1.身份認證身份認證是指用戶向系統(tǒng)提供證據證明自己的身份，證據與身份必須一一對應，同時不可偽造，而且數據庫應該有相應機制可以證明用戶的身份合法性。由于身份認證技術主要是通過證據來證明用戶身份的，常見的證據主要有以下幾種：口令、生物學信息、智能卡等，下面分別進行介紹：1）基于口令的身份認證技術。用戶需要提供自己的口令供系統(tǒng)進行認證，認證通過則證明用戶身份合法有效。2）基于生物學信息的身份認證技術。這種身份認證技術通常使用圖像處理技術或模式識別技術來識別用戶身份。用戶通常提供指紋、聲音、虹膜、臉部等生物學特征信息來進行驗證。這些信息理論上具有唯一性和不可偽造性。3）基于智能卡的身份認證技術?；谥悄芸ǖ纳矸菡J證技術需要用戶持有一個額外的智