实验结果表明,所提方案可识别固件修改、身份假造等风险,实现了掌握保护主机的安全启动,提高了高压直流输电系统的整体防护水平。
高压直流输电可实现远间隔、大容量的电能传输,适宜大区电网之间的非同步连接,直流输电已经成为办理我国能源资源和负荷中央逆向分布问题的主要手段,同时可再生能源的跨区接入占比不断提高,直流输电系统安全已成为大电网安全的主要一环。
从2010年伊朗“震网”病毒事宜,到2015年乌克兰电网大规模停电,再到2019年委内瑞拉电力系统遭到网络攻击涌现3次大范围停电事宜,以及近几年针对电力系统的网络攻击、远程毁坏、打单病毒等事宜表明,电网内部系统受到攻击的风险越来越高,传统的边界防护体系面临严重威胁。
作为直流输电“大脑”的掌握保护主机常日并不具备安全防护能力,当外部主体的弱安全防护遭受攻击时,安全风险就会传导至电力系统的掌握核心区域即掌握保护主机,外部攻击者通过盗取未加密的固件,逆向工程获取敏感信息,乃至暴力破解存储芯片,从而假造、注入或者修改掌握逻辑,引发重大安全事件。
为了担保设备的安全启动,有文献提出一种基于安全散列算法1(secure Hash algorithm 1, SHA1)校验固件的方法,但是随着打算机技能和密码技能的快速发展,单一散列算法体系的防护缺陷也愈加明显。有文献提出利用商用国密算法对固件进行校验,但是未构建可信根,无法对固件的身份进行验证。
为了防止暴力破解存储设备中密钥,有文献利用现场可编程门阵列(field programmable gate array, FPGA)构建安全基石来天生系统密钥,从而担保设备安全启动,但此方法不易于大规模运用。有文献提出一种用于嵌入式设备固件安全更新的广义模型,利用固件加密和数字署名技能来担保嵌入式设备的安全,但是此模型相对大略,也未考虑多级固件加载的问题。
结合以上文献,本文提出采取可信平台模块(trusted platform module, TPM)安全芯片,利用国密算法从硬件设计和软件设计两方面构建信赖链,实现系统整体的身份认证和可信启动,并在掌握保护主机中进行实验验证。
1 硬件可信启动方案设计
1.1 TPM安全芯片
TPM安全芯片是指符合TPM标准的安全芯片,知足对数字署名/验证、非对称/对称加解密、数据完成性校验、真随机数天生、密钥天生和管理等功能哀求,能够担保敏感数据的机密性、真实性和完全性。由于其分外的硬件设计,通过物理手段对其进行暴力破解的可能性极低,因此作为可信平台信赖根具有极高的可靠性。
TPM安全芯片基本构造示意图如图1所示,包括I/O接口、微掌握器、密码引擎、随机数天生器、加密存储单元等模块。密码引擎紧张用于密钥天生和管理、数据加密和解密,个中安全散列算法(secure Hash algorithm, SHA)引擎支持SHA-1、SHA-256、SHA-512等算法;非对称加密算法RSA引擎支持RSA1024、RSA2048算法;国密算法SM引擎支持国密SM1、SM2、SM3、SM4算法。
图1 TPM安全芯片基本构造示意图
1.2 硬件平台构造
直流输电掌握保护设备的硬件平台一样平常由工控机或嵌入式设备构成。图2为一款嵌入式直流输电掌握保护装置,它采取紧密耦合的多主处理器构造,利用高速统一的背板总线。装置由处理器板卡、仿照量输入输出、开关量输入输出、触发脉冲、现场总线通信及以太网通信等十几种板卡构成。该装置的特点是可以根据工程须要灵巧组态,各个处理器板卡可以分别掌握不同的外设板卡,实现特定的掌握保护功能。
图2 嵌入式直流输电掌握保护装置
装置中的处理器板卡是掌握、保护的大脑中枢,运行着最为关键的掌握逻辑算法。如果处理器板卡遭受攻击,很随意马虎涌现电力系统的扰动,乃至涌现电力系统瘫痪,因此只有担保处理器板卡的可信安全启动,才能做到装置的安全启动,并更好地构建防护体系。
1.3 硬件可信启动目标
目前,在掌握保护设备的硬件设计中,每每忽略硬件的安全启动,侧重于软件的安全加载、实行,但是从近几年的攻击统计数据来看,针对硬件的攻击呈逐渐增长趋势。如果从硬件启动开始担保系统的可信安全加载,就能从根本上隔离外部攻击、担保系统的安全性。
1.4 硬件可信启动方案
硬件设计框图如图3所示。将硬件电源模组分为安全电源模组和普通电源模组,个中安全电源模组卖力给TPM安全芯片、繁芜可编程逻辑器件(complex programmable logic device, CPLD)、存储模块供电,普通电源模组则卖力给处理器和外设供电;系统采取TPM安全芯片作为可信存储、可信度量的根本,TPM存储的国密根证书作为系统惟一身份,是系统可信启动的基石。
图3 硬件设计框图
处理器通过访问TPM安全芯片的密码引擎,利用高速密码运算做事,为上层安全运用供应底层的算法加速、身份认证、密钥管理和敏感数据保护等做事,同时TPM安全芯片集成了国密算法SM2、SM3、SM4用于身份认证和验签。
系统上电开始运行,为了防止根本固件被修改,验证根本固件的完全性,会将根本固件、对应的国密证书、电子署名打包在一起,由TPM安全芯片对其进行验签来担保处理器运行在可信的环境下。TPM安全芯片同根本固件中的bootrom、一级国密证书、数字署名的关系如图4所示。
图4 TPM安全芯片验证关系
基于TPM安全芯片的硬件可信启动过程如下:
1)硬件上电启动时候,系统的安全电源模组优先给TPM安全芯片、CPLD、存储模块供电;TPM安全芯片读取自身存储的国密根证书;CPLD处于等待TPM安全芯片指令状态。2)TPM安全芯片读取存储模块中的根本固件,并对根本固件进行解包,读取对应的bootrom、一级国密证书和数字署名。3)TPM安全芯片利用国密根证书来验证一级国密证书的有效性,再根据一级国密证书中的公钥和择要算法,利用密码加速引擎对bootrom进行验签;如果验证bootrom通过就实行下一步,如果不通过就停滞实行并输出故障信息。4)TPM安全芯片发送启动命令给CPLD,CPLD吸收到启动命令后,启动硬件上电时序,利用普通电源模组对处理器和外围设备上电。5)处理器上电并开始运行。该方案的硬件设计担保了板卡的安全可信启动。常日一级bootrom只有几千字节大小,对一级bootrom验签既不影响板卡的启动速率,又能担保系统的安全性。如果一级bootrom验签没有通过,则不许可CPLD启动处理器和外设的上电时序,从根本上抵御暴力改换固件存储器的攻击,从硬件层面抵御硬件级别的攻击。
2 软件可信启动方案设计
2.1 软件平台构造
直流掌握保护软件平台的总体架构如图5所示。
图5 直流掌握保护软件平台总体架构
软件平台整体分为三类:系统软件平台由实时操作系统管理,卖力文件系统、网络协议栈及外设I/O的管理;组态软件平台由运行时系统管理,卖力多任务调度、中断管理、硬件配置、功能块库调用、措辞程序的实行等;运用软件平台是按照直流输电等特定领域的功能逻辑进行的组态程序,如阀组掌握、极控、站控等。因此,软件平台须要分多步完成各自的加载、运行,如果个中任一环节无法验证固件的完全性和合法性,都会涌现系统的安全问题。
2.2 软件可信启动目标
随着以新能源为主体的新型电力系统的快速发展,以风光为代表的新能源发电占比逐步提高,海量风、光、储等小型分布式设备接入,直流输电系统网络外联日益普遍[20],传统直流掌握保护系统的安全隐患也随之突显。因此,急迫须要基于安全芯片为信赖源,根据软件平台的构造建立一个完全的信赖链通报关系,将这种信赖关系通报到全体直流掌握保护系统,从而确保全体直流掌握保护系统的可信。
2.3 软件可信启动方案
直流掌握保护软件平台采取图5所示分层架构,个中根本固件包含bootrom和操作系统OS,对应系统软件平台;运行时固件对应组态软件平台,组态程序对应运用软件平台。在系统启动过程中,为了在固件加载、组态程序加载阶段具备验证文件身份、防止文件被修改的能力,在每个阶段利用对应的国密证书对固件进行电子署名,同时将固件、对应的国密证书、电子署名在一起打包。固件验证关系如图6所示。
图6 固件验证关系
板卡上电,首先完成硬件的可信启动,然后根据以下信赖链启动流程完玉成部系统的启动。
1)处理器上电,开始加载并运行bootrom,bootrom会解析根本固件的打包信息,读取自己的一级国密证书、操作系统OS固件、二级国密证书和数字署名;bootrom利用一级国密证书来验证二级国密证书的有效性,再根据二级国密证书中的公钥和择要算法,对操作系统OS固件进行验签;如果验证操作系统OS固件通过就实行下一步,如果不通过就停滞实行并输出故障信息。
2)操作系统OS读取自己的二级国密证书、运行时系统固件、三级国密证书和数字署名;操作系统OS利用二级国密证书来验证三级证书的有效性,再根据三级国密证书中的公钥和择要算法,对运行时系统固件进行验签;如果验证运行时系统固件通过就实行下一步,如果不通过就停滞实行并输出故障信息。
3)运行时系统读取自己的三级国密证书、组态程序文件、四级国密证书和数字署名;运行时系统利用三级国密证书来验证四级国密证书的有效性,然后根据四级国密证书中的公钥和择要算法,对组态程序文件进行验签;如果验证组态程序文件通过就实行,如果不通过就停滞实行并输出故障信息。
该方案中处理器利用TPM安全芯片中的密码加速引擎,对每级固件进行硬件加速验签,缩短掌握保护处理器板卡的启动韶光。同时,该方案的软件设计担保软件平台的安全链式可信,担保每一级固件的完全性和身份认证,从根本上抵御远程攻击固件对系统的影响。
3 实验
为了验证本文所提设计方案的有效性和精确性,进行干系实验。实验中的处理器板卡采取飞腾FT2000/4处理器和国民技能可信打算芯片,板卡整体按照硬件可信方案设计,担保硬件级别的安全可信,并在许继HCM5000G直流掌握保护装置中进行验证,实验装置如图7所示。
图7 实验装置
按照掌握保护主机的启动过程,实验全面覆盖硬件启动、软件启动的4个不同阶段,分别对硬件级的存储器件和软件级的固件进行修改,装置上电运行验证系统的可靠性和安全性。
实验1:验证硬件启动的安全性。首先改换存储芯片仿照暴力改换存储器,改换的存储芯片已经预烧录普通固件;其次分别修改根本固件中bootrom、一级证书、数字署名的内容,每个实验重复50次。系统硬件启动测试结果见表1。
表1 系统硬件启动测试结果
实验2:验证软件启动的安全性。修改固件中的操作系统OS及对应的证书和数字署名、运行时系统及对应的证书和数字署名、组态程序及对应的证书和数字署名,每个实验重复50次。系统软件启动测试结果见表2。
表2 系统软件启动测试结果
从实验结果可知,该方案能够有效抵御掌握保护主机在启动阶段针对硬件、软件的攻击,提高了掌握保护主机的安全可信防护水平,为高压直流输电举动步伐的安全运行供应了主要保障。
4 结论
本文针对直流输电掌握保护系统构造进行研究,设计了基于TPM安全芯片,利用国密算法SM2、SM3、SM4构建可信根并用于身份认证,从硬件设计、软件设计两方面担保了系统的安全可信。实验证明,利用此方案的掌握保护主机整体处于安全可控的可信环境下。掌握保护主机的动态可信度量、动态可信管理是后续研究方向。
本事情成果揭橥在2023年第11期《电气技能》,论文标题为“链式可信启动在高压直流输电掌握保护主机中的运用”,作者为李跃鹏、康婧婧 等。
