面向工业控制系统的可信处理技术

尚文利

中国科学院沈阳自动化研究所

2016年05月12日

机器人与智能制造创新研究院

内容提要

工控可信处理技术

前期研究

工业控制系统安全现状

需求分析

近几年的ICS-CERT的安全报告指出：

• 从2011年起，针对工业控制系统的安全事件总体呈明显上升趋势，能源

行业（石化、电力等）的安全事件占 高比例；

• 2014年度针对关键基础设施的攻击威胁中，高级可持续性威胁APT攻击

达到55%以上。

我国工业控制系统面临的安全形势严峻：

• 2014对我国影响较大的工控系统漏洞就达到133个。

• 2015年3月国家公开工业控制系统安全漏洞共405个。

 

一、工业控制系统安全现状

4伊朗政府宣布布什尔核电站员工电脑感染Stuxnet病毒，严重威胁核反应堆安全运营

美国电厂工控系统遭USB病毒攻击

2012 2013 2014

中国某大型冶金厂车间控制系统发现病毒，因员工在某工作站私自安装娱乐软件带入在控制网扩散

2010 2011

微软警告称 新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据

2015

2014年，巴西SCADA曝严重拒绝服务漏洞2015年12月乌克兰电力系统被植入恶意软件，导致发电站意外关闭

我国石化行业同样遭受着信息安全漏洞的困扰，比如

2010年我国某石化、2011年某炼油厂，某装置控制系

统分别感染Conficker病毒，都造成控制系统服务器与

控制器通讯不同程度地中断。

2012年，伊朗石油部和国家石油公司内部电脑网络遭

病毒攻击，为安全起见，伊朗方面暂时切断海湾附近

哈尔克岛石油设施的网络连接。

2012年，美国Chevron、Baker Hughes、ConocoPhillips和Marathon等四家石油公司相继声明

曾受到专用于攻击伊朗核设施的震网病毒攻击。

2015年6月中石化“内鬼”事件，某公司两名员工针

对提供给中石化华东公司的SCADA系统（油管监控系

统），开发了一套病毒程序，病毒爆发导致系统无法

运行，企图通过提供修复程序索要酬金。

32%分布在能源领域（2014年）

一、工业控制系统安全现状

一、工业控制系统安全现状

像癌症一样传播：世界首个PLC病毒问

世（2016年05月08日报道）

• 这是世界上首个真正意义上的工控蠕虫

病毒，它能够对关键基础设施产生灾难

性的后果，通过制造指数级增长的攻击，

而且难以检测和制止。所幸的是，它现

在还只是个POC（概念验证）。

一、工业控制系统安全现状

两位研究人员制作了一个仿真电厂构造演示蠕虫的攻击过程。随着蠕虫

在PLC之间的跳跃，LED灯在150毫秒的 大时间周期内闪烁后熄灭。

更加可怕的是，这种蠕虫攻击还可以被PLC产生的电波频率和振幅所掩

盖。

攻击者可以通过石油管道入侵远程站，判断正常的频率模式，然后使用

高频率组件重复这些电波，以掩盖攻击破坏行为。

使用西门子S7控制器和一个电动机演示了攻击过程，但他同时强调这个

漏洞并非S7本身的问题，而是归究于整个系统架构的设计。

应对这种攻击，需要替换S7中的硬件，以能够检测到更高的频率，并且

在执动器(actuator)和PLC周围安装低通滤波器。

虽然与软件没有关联，但针对硬件本身的攻击趋势不容忽视！！！

一、工业控制系统安全现状

二、需求分析

2013年9月，国家能源局发布《关于开展电力工控PLC

设备信息安全隐患排查及漏洞整改工作的通知》标志

着国家开始重视工业终端设备的安全问题。

1、工业终端是工业控制系统的核心装置

Internet

PLC PLC

现场控制层

监督控制层工程师站 操作员站历史库

生产管理层

MES

运营管理层ERP

6.工业以太网

8.异常处理不足

OPC SERVER

123 123 1232.弱口令

PLC

456 4562.弱口令

4.通信机制缺少安全考虑

5.只记录正常操作日志

1.工业网络与传统IT网之间缺乏有效隔离

3.缺乏统一的安全管控机制

7.缺乏认证机制

二、需求分析

二、需求分析

2、工控安全技术

目前工控安全技术主要是面向网络的安全防护技术

工业防火墙的纵深防御技术

病毒入侵监测的异常检测技术

隔离网闸的数据摆渡技术

漏洞测试仪的漏洞扫描技术

二、需求分析

3、工控安全技术局限性

现有的工控安全防护技术都有一定的局限性，如防

火墙、病毒入侵监测、漏洞扫描等，不能解决工业

控制系统的所有安全问题，需要新型安全技

术！！！

二、需求分析

4、终端层主动防御技术

从工业终端角度，基于可信计算，以可信处理器来增强自

身的防护能力，构建安全的运行环境，保障工业控制系统

的安全。

三、工控可信处理技术

可信根      IT领域：安全芯片

工控领域：没有成熟的产品应用

TEE—可信执行环境

安全区域设计，位于主处理器中，确

保敏感数据存储、处理及保护于一个

可信环境中

1、可信计算技术

三、工控可信处理技术面向工业控制的工业级可信处理器（TPU，Trusted

Processing Unit），为智能制造行业工控设备与系统定制可

信解决方案。

可信处理器软硬件

三、工控可信处理技术

针对不同的智能制造领域下的应用场景，可灵

活配置的芯片体系架构；

32位处理器，可以提供 优的性能， 低的功

耗和 高效的存储器利用

存储器保护单元（MPU）是可信处理器的一项

重要组件，它可以实施对存储器（主要是内存

和外设寄存器）的保护，从而使软件更加健壮

和可靠。

可重构的处理器体系架构

三、工控可信处理技术

对称算法

AES：实现128 - 256位加解密运算；

DES / 3DES：支持ECB等多种模式。

非对称算法

RSA：实现192 - 2048位的模乘和模幂等运算。

杂凑算法

支持多种密码算法的工作模式

加解密及认证算法研究

集成多种高速硬件加密算法模块，算法步骤完全由专有模块实现，数

据流加密速度快。

三、工控可信处理技术

全硬件实现加解密及认证

功能对比 Application DLL security higher layer securityTI-CC2420 IEEE std 802.15.4 - 2003 CCM (+ sw) CCM (+ sw)TI-CC2430 IEEE std 802.15.4 - 2003 block cipher mode (+ sw) block cipher mode (+ sw)TI-CC2520 IEEE std 802.15.4 - 2006 CCM* (+ security instructions) CCM* (+ security instructions)TI-CC253x IEEE std 802.15.4 - 2006 block cipher mode (+ sw) block cipher mode (+ sw)UBEC-US2400 IEEE std 802.15.4 - 2006 CCM* (+ sw) CCM* (+ sw)DN-LTC5800 IEC 62591 CCM* (?) CCM* (+ sw)WIA IEC 62601 CCM* CCM* (+ sw)

l(a) = 50, l(m) = 69, M = 8

TI-CC2420 222 us

WIA 37.2 u - 73.3 us，性能提升 66.9 - 83.2%

性能对比

三、工控可信处理技术

一款可信处理器的原型芯片

– 集成32位ARM 内核

– 受MPU保护的超级用户可编程存储区，提供灵活的访问控制

– 通信接口：UART，SPI，I2C

硬件实现多种加解密及认证算法

– 对称算法：

– 非对称算法：

– 杂凑算法

– 支持多种密码算法的工作模式。

安全可重构功能套件，支持可信度量、身份认证、数据加/解密、数字签名、密钥管理等5种以上，并实现多选项配置可重构

可信PLC

三、工控可信处理技术

+

可信RTU

可信DCS

四、前期研究

中国科学院沈阳自动化研究所– 科学院EDA中心理事单位

• Synopsys、Cadence、Mentor– ARM公司 Silicon Partner

• ARM7、Cortex M3– TSMC 0.18um ULL POP PMK– SMIC 0.13um ULL POP PMK– 台湾达盛电子802.15.4  2.4G RF IP核

四、前期研究 科技成果

• 现场总线通信协议栈软件（FF、ProfibusPA）

• 现场总线通信控制器专用芯片（HT1200M、FBC0409）

• 工业实时以太网通信协议（EPA、PowerLink）

获奖

– 现场总线系统芯片设计与产业化，获“国

家高技术产业化示范工程”奖励

– IEC61158标准现场总线通讯控制器集成电

路研制，获“沈阳市科技”一等奖

– 流程工业控制网络通信芯片及应用系统开

发，获“辽宁省科学技术发明”一等奖

– 流程工业现场总线核心芯片、互操作技术 集成控制系统开发，获“国家科技进步”

二等奖

技术参数接收灵敏度：-100dBm发射功率：19dBm机箱尺寸：430×290×158.4mm工作温度：-40℃～+85℃宽幅工作电压：AC85V~265V防护等级：IP65防爆等级：Ex ib IIC T3无线安全认证：AES 128bit

四、前期研究

智能无线网关、无线远程控制器（RTU）、智能无线适配

器、无线手持调试仪等设备，可信加密芯片模块开发。

WIA-PA无线温度、压力变送器WIA-PA智能无线网关

四、前期研究

WIASoC2400——

工业级加密芯片。

四、前期研究

实时采集数据

数据驱动处理

实时数据库

开发生产数据库

数据异常判断

生产故障预警

生产故障诊断

生产统计计算

……

实时生产监控分析

井生产分析评价

油田开发分析评价

海1块

中科工业防火墙：通过ModbusTcp，对从无线网关采集的数据进行实时监测，对报警及消息日志进行历史存储

石油行业解决方案1

石油行业解决方案2

管理与控制平台：对整个工业控制网络进行实时监控，对报警及消息日志进行历史存储

中科工业防火墙：Modbus协议深度解析，保护控制器，阻止对控制器的任何非法访问及控制

中科工业防火墙：OPC协议深度解析，动态开放端口，分区隔离，避免病毒扩散

天然气长输管道SCADA系统配置图

石化行业解决方案1

石化行业解决方案2

工业防火墙部署在控制系统区域出口，进行区域隔离，对OPC协议进行解析、动态端口管理、完整性检查等，避免病毒攻击。安全管控平台为统一的集中管理OPC工业防火墙，对报警及消息日志进行历史存储与分析。

敬请批评指正！