久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★ 楚兵寧波和利時信息安全研究院有限公司

摘要：本文針對工業(yè)嵌入式控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀、安全威脅與防護(hù)需求展開了深入研究，分析了面臨的安全挑戰(zhàn)，研究了工業(yè)嵌入式控制系統(tǒng)可信計(jì)算3.0技術(shù)應(yīng)用現(xiàn)狀，提出了基于可信計(jì)算3.0技術(shù)解決工業(yè)嵌入式系統(tǒng)內(nèi)生安全主動防御的建設(shè)思路，并展望工業(yè)嵌入式控制系統(tǒng)內(nèi)生安全防御技術(shù)的發(fā)展趨勢。

關(guān)鍵詞：工業(yè)嵌入式控制系統(tǒng)；可信計(jì)算3.0；內(nèi)生安全；主動防御

1 引言

隨著工業(yè)互聯(lián)網(wǎng)、5G等新基建的快速發(fā)展，工業(yè)嵌入式控制系統(tǒng)面臨各種高級別持續(xù)性未知威脅，任意單一薄弱環(huán)節(jié)即可成為入侵突破口，將帶來巨大的風(fēng)險影響。傳統(tǒng)的安全防護(hù)措施多數(shù)作用在邊界且以隔離方式為主，對于滲透到嵌入式系統(tǒng)內(nèi)部的未知威脅防御效果差、資源消耗大，不適用于工業(yè)嵌入式控制系統(tǒng)防護(hù)。

可信計(jì)算技術(shù)為解決工業(yè)嵌入式控制系統(tǒng)內(nèi)生安全問題提供了新的思路。目前，可信計(jì)算在我國網(wǎng)絡(luò)安全等級保護(hù)制度體系有了明確的要求，與可信計(jì)算相關(guān)的多項(xiàng)技術(shù)標(biāo)準(zhǔn)也已陸續(xù)發(fā)布，此舉措對于推動嵌入式可信計(jì)算的技術(shù)應(yīng)用和提升嵌入式設(shè)備和系統(tǒng)的安全運(yùn)行能力具有重大意義。本文從可信計(jì)算技術(shù)應(yīng)用出發(fā)，分析了硬件和系統(tǒng)底層安全本質(zhì)。該項(xiàng)技術(shù)具備免疫惡意代碼攻擊的能力，適合多樣化的軟硬件結(jié)構(gòu)，是從根源解決工業(yè)嵌入式控制系統(tǒng)信息安全問題的重要技術(shù)手段。

2 工業(yè)嵌入式控制系統(tǒng)特點(diǎn)及安全挑戰(zhàn)

2.1 工業(yè)嵌入式控制系統(tǒng)特點(diǎn)

典型工業(yè)控制系統(tǒng)如圖1所示，包含現(xiàn)場設(shè)備層常用工業(yè)嵌入式儀表、傳感器等設(shè)備，現(xiàn)場控制層設(shè)備為工業(yè)嵌入式控制器PLC和DCS，在過程監(jiān)控層通常部署工程師站、操作員站、歷史服務(wù)等上位機(jī)設(shè)備實(shí)現(xiàn)工程組態(tài)下裝、變量更新、實(shí)時監(jiān)控等功能。

圖1 工業(yè)控制系統(tǒng)典型拓?fù)浣Y(jié)構(gòu)

工業(yè)嵌入式控制系統(tǒng)的特點(diǎn)是由“嵌入性”“專用性”與“計(jì)算機(jī)系統(tǒng)”三個基本要素衍生出來的，不同的嵌入式系統(tǒng)其特點(diǎn)會有所差異。與“嵌入性”的相關(guān)特點(diǎn)：由于是嵌入到對象系統(tǒng)中，必須滿足對象系統(tǒng)的環(huán)境要求，如物理環(huán)境（小型）、電氣/氣氛環(huán)境（可靠）、成本（價廉）等要求。與“專用性”的相關(guān)特點(diǎn)：軟、硬件的裁剪性；滿足對象要求的最小軟、硬件配置等。與“計(jì)算機(jī)系統(tǒng)”的相關(guān)特點(diǎn)：嵌入式系統(tǒng)必須是能滿足對象系統(tǒng)控制要求的計(jì)算機(jī)系統(tǒng)。與上兩個特點(diǎn)相呼應(yīng)，這樣的計(jì)算機(jī)必須配置有與對象系統(tǒng)相適應(yīng)的接口電路。

2.2 網(wǎng)絡(luò)安全面臨的挑戰(zhàn)

（1）解決低資源高實(shí)時安全需求問題

嵌入式系統(tǒng)使用場景，通常要求實(shí)時多任務(wù)很強(qiáng)的支持能力，從而使內(nèi)部的代碼和實(shí)時內(nèi)核的執(zhí)行時間減少到最低限度，完成高實(shí)時的運(yùn)算。如何在低資源、高實(shí)時的系統(tǒng)中，不影響既有業(yè)務(wù)運(yùn)行，盡量小地占用嵌入式系統(tǒng)資源，構(gòu)建嵌入式系統(tǒng)啟動和設(shè)備運(yùn)行全生命周期安全防護(hù)機(jī)制，提供低成本、高可靠、高實(shí)時的嵌入式系統(tǒng)內(nèi)生安全解決方案，是急迫解決的挑戰(zhàn)之一。

（2）解決主動防御安全需求問題

當(dāng)前針對嵌入式系統(tǒng)的信息安全防護(hù)，由于欠缺對內(nèi)生安全的防護(hù)設(shè)計(jì)，僅僅在邊界外圍進(jìn)行防護(hù)，近年來也多次受到了安全研究者以及黑客的挑戰(zhàn)與攻擊。為了解決邊界防護(hù)手段效果不理想問題，在嵌入式系統(tǒng)中構(gòu)建基于嵌入式系統(tǒng)內(nèi)生安全的機(jī)制，可主動對系統(tǒng)運(yùn)行主體、客體、操作、環(huán)境等關(guān)鍵因素進(jìn)行主動度量，從嵌入式系統(tǒng)內(nèi)部深層次保障系統(tǒng)安全，成為待解決的一個關(guān)鍵問題。

（3）解決系統(tǒng)異構(gòu)難于統(tǒng)一問題

嵌入式系統(tǒng)硬件結(jié)構(gòu)差異顯著，軟件架構(gòu)缺乏統(tǒng)一標(biāo)準(zhǔn)，既可能采用無操作系統(tǒng)的循環(huán)輪詢系統(tǒng)和前后臺系統(tǒng)，也有可能采用專用的實(shí)時操作系統(tǒng)，嵌入式系統(tǒng)很難形成一個統(tǒng)一的安全方案。基于異構(gòu)系統(tǒng)，形成統(tǒng)一的內(nèi)生安全解決方案，也成為一個待解決的難題。

3 可信計(jì)算技術(shù)發(fā)展現(xiàn)狀

可信計(jì)算概念在不斷更新，其發(fā)展大體可分為可信計(jì)算1.0→可信計(jì)算2.0→可信計(jì)算3.0三個層級，如圖2所示。可信計(jì)算1.0是20世紀(jì)70年代以世界容錯組織為代表，用容錯算法及時發(fā)現(xiàn)和處理故障，降低故障的風(fēng)險，以提高系統(tǒng)的安全性和可靠性。采用故障排除、冗余備份等手段應(yīng)對軟硬件工程性故障、物理干擾、設(shè)計(jì)錯誤等影響系統(tǒng)正常運(yùn)行的各種問題，此階段并未形成國際性組織，因此也就沒有相應(yīng)的標(biāo)準(zhǔn)誕生。

圖2 可信計(jì)算技術(shù)發(fā)展層級

眾多學(xué)術(shù)研究者從可信計(jì)算體系架構(gòu)、可信啟動、可信運(yùn)行環(huán)境等多方面做了深入研究，在嵌入式系統(tǒng)的主動防御安全機(jī)制、安全體系架構(gòu)、嵌入式系統(tǒng)可信計(jì)算應(yīng)用要求等方面，并未給出合理性建議。因此針對以上問題，筆者將對關(guān)于嵌入式可信計(jì)算技術(shù)進(jìn)行分析研究，解決先前研究所遺留的問題，并提出我們的解決方案。

3.1 嵌入式可信計(jì)算體系架構(gòu)

基于硬件可信根構(gòu)建的成本較高，對于輕量級的嵌入式設(shè)備缺乏實(shí)用性，Defrawy等人提出了SMART（（Secure and Minimal Architecture for Root of Trust）架構(gòu)^[1]。這是第一個基于硬件和軟件代碼簽名來構(gòu)建輕量級信任根的設(shè)計(jì)方案，該架構(gòu)可以在遠(yuǎn)程嵌入式設(shè)備中建立信任根，只需對微控制器單元進(jìn)行簡單的修改。SMART在執(zhí)行時，任何可以直接訪問內(nèi)存的外設(shè)都會被禁用，本質(zhì)上是一種動態(tài)的信任根，能夠保證關(guān)鍵代碼的執(zhí)行，對系統(tǒng)性能的影響較小。

TrustLite^[2]是英特爾安全計(jì)算研究所開發(fā)的低成本嵌入式系統(tǒng)的通用PMA（被保護(hù)的內(nèi)存區(qū)域）。Trustlet能夠隔離軟件組件，為其代碼和數(shù)據(jù)提供機(jī)密性和完整性保證，該體系結(jié)構(gòu)提供了與操作系統(tǒng)無關(guān)的Trustlet隔離、證明以及可信的進(jìn)程間通信。當(dāng)TrustLite設(shè)備啟動時，首先執(zhí)行存儲在SoC（Systemon-a-Chip）中的安全加載程序，安全加載程序負(fù)責(zé)將所有的Trustlet及其數(shù)據(jù)區(qū)域加載到片上存儲器中。此外，它還配置了一個微控制器單元來強(qiáng)制隔離每個Trustlet的內(nèi)存區(qū)域，包括內(nèi)存映射IO、外設(shè)等。

易平^[3]在國產(chǎn)龍芯芯片中也提出了相應(yīng)的雙內(nèi)核架構(gòu)，該架構(gòu)嚴(yán)格依照TCG提出的靜態(tài)信任鏈建立過程，將引導(dǎo)部分的FLASH劃分成兩部分，一部分放精簡操作系統(tǒng)的鏡像，另一部分放配置寄存器，可以存放信任根的完整性度量值。這樣不僅實(shí)現(xiàn)了自省機(jī)制，而且可以提高系統(tǒng)的可信度。

3.2 嵌入式可信啟動研究

當(dāng)前的可信計(jì)算技術(shù)，大多針對PC平臺，無法直接移植到資源匱乏、結(jié)構(gòu)差異大的嵌入式平臺。目前比較典型的適用于嵌入式平臺的可信計(jì)算技術(shù)是TCG的TPM技術(shù)和ARM的TrustZone技術(shù)。

武漢大學(xué)張煥國等人^[4]通過在TCG可信平臺模塊的基礎(chǔ)上增加對稱密碼引擎、總線仲裁模塊以及備份恢復(fù)模塊，設(shè)計(jì)了一款嵌入式可信平臺模塊（ETPM）作為對TPM的改進(jìn)。與TCG定義的TPM相比，它主要增加了兩項(xiàng)新功能，一是增加了模塊的主動度量能力，另外增加了模塊對對稱密碼的支持。平臺中增加了獨(dú)有的備份恢復(fù)模塊，當(dāng)系統(tǒng)中檢測到不安全性，ETPM將會發(fā)現(xiàn)異常并恢復(fù)原始數(shù)據(jù)。由于ETPM有了更強(qiáng)的控制能力與計(jì)算能力，它可以用作星型度量的可信根，在系統(tǒng)的不同層級均可以直接調(diào)用ETPM進(jìn)行可信度量。這種設(shè)計(jì)會帶來一個問題就是系統(tǒng)的拓展性較為不方便，每當(dāng)系統(tǒng)更新之后就需要同時更新ETPM中的度量數(shù)據(jù)。另一個問題是ETPM需要有較好的性能以保證系統(tǒng)運(yùn)行效率。

王鎮(zhèn)道等人^[5]提出了一種嵌入式可信設(shè)備雙啟動方案，可以在不同的模式下選擇由板載FLASH存儲器中的Bootloader啟動或者由SD卡中的Bootloader啟動。這種方式提供了一種可信鏈的靈活性設(shè)計(jì)，但是啟動選擇是由硬件上的撥片手動選擇的，這也帶來了許多不確定因素。

Raj^[6]提出了一種基于ARMTrustZone的虛擬TPM設(shè)計(jì)，研究了TPM芯片的純軟件實(shí)現(xiàn)。應(yīng)用程序級更改或?qū)S組件（驅(qū)動程序除外）的更改。研究給出了在智能手機(jī)和平板電腦中使用的虛擬TPM2.0的實(shí)現(xiàn)參考，證明了可以克服基于CPU的安全體系結(jié)構(gòu)（如ARMTrustZone）的局限性，以構(gòu)建具有類似于專用可信硬件的安全性保證的軟件系統(tǒng)。

3.3 嵌入式可信運(yùn)行環(huán)境研究

Deng等人提出了一種基于雙核leon3的嵌入式可信計(jì)算環(huán)境構(gòu)建方案^[7]，該方案在一個軟核處理器上耦合AHB接口，使其中一個處理器作為應(yīng)用處理器，另一個作為“安全”的協(xié)處理器，將安全協(xié)處理器與只讀存儲器合成為度量的可信根，“安全”的協(xié)處理器運(yùn)行TPM使應(yīng)用處理器在啟動和運(yùn)行不同的軟件時根據(jù)權(quán)限保護(hù)相應(yīng)的密鑰及數(shù)據(jù)。該方案雖然提供了有效的嵌入式可信系統(tǒng)構(gòu)建方案，但僅針對特定的處理器架構(gòu)，不具備兼容性，且增加可信啟動功能后使得啟動時間開銷增加約25%，對性能影響較大。使用可信計(jì)算基，如可信平臺模塊和移動可信模塊，作為嵌入式系統(tǒng)如手機(jī)、安全隱私設(shè)備及智能傳感器和執(zhí)行器的信任根，能有效保障嵌入式移動設(shè)備的安全性。

張英駿等人^[8]利用ARM架構(gòu)中的TrustZone硬件隔離技術(shù)構(gòu)建了可信執(zhí)行環(huán)境，重寫修改頁表項(xiàng)、禁用存儲管理單元、篡改TTBR寄存器等語句及加入smc語句，這樣當(dāng)內(nèi)核執(zhí)行關(guān)鍵操作前就會轉(zhuǎn)入到安全模式中運(yùn)行，保證了監(jiān)控代碼不會被繞過和篡改。作者同時還設(shè)置了可執(zhí)行代碼執(zhí)行流、可執(zhí)行代碼數(shù)據(jù)流和可執(zhí)行代碼完整性三種白名單機(jī)制。如果內(nèi)核關(guān)鍵操作與白名單不匹配，就可以拒絕執(zhí)行，實(shí)現(xiàn)了內(nèi)核監(jiān)控和完整性保護(hù)的任務(wù)。

通過可信執(zhí)行環(huán)境或可信運(yùn)行環(huán)境（Trusted Execution Environment，TEE）來構(gòu)建可信嵌入式系統(tǒng)的方法得到了更為廣泛的研究和支持^[9]。賓夕法尼亞州立大學(xué)的LeGuan等人基于TrustZone技術(shù)提出了可信運(yùn)行環(huán)境框架TrustShadow，通過TrustShadow可以在安全世界中執(zhí)行未經(jīng)修改的Linux應(yīng)用，并且通過頁表完整性校驗(yàn)以及可執(zhí)行程序完整性校驗(yàn)等方式來保證應(yīng)用的安全性，以應(yīng)對網(wǎng)絡(luò)空間和物理空間的攻擊^[10,11]。

4 技術(shù)合規(guī)性與可行性分析

4.1 合規(guī)性分析

從法律法規(guī)層面，《網(wǎng)絡(luò)安全法》第十六條“國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃，加大投入，扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。

GB/T22239網(wǎng)絡(luò)安全等級保護(hù)基本要求，從第一級到四級均在“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”和“安全計(jì)算環(huán)境”中增加了“可信驗(yàn)證”控制點(diǎn)，包括可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心，并進(jìn)行動態(tài)關(guān)聯(lián)感知。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十九條明確要求應(yīng)當(dāng)優(yōu)先采購全面使用安全可信的產(chǎn)品和服務(wù)來構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施安全保障體系。

GB/T39204關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求中已明確規(guī)定，在安全防護(hù)技術(shù)中要求應(yīng)對安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境等環(huán)節(jié)，采用主動防御技術(shù)確保關(guān)鍵信息基礎(chǔ)設(shè)備的運(yùn)行安全。

4.2 可行性分析

（1）高適應(yīng)性：可信計(jì)算技術(shù)滿足嵌入式系統(tǒng)特點(diǎn)和應(yīng)用需求，雙體系架構(gòu)，實(shí)現(xiàn)“運(yùn)算+防御”無擾并行。基于TPCM硬件可信根結(jié)合輕量化TSB軟件基，首先構(gòu)建一個信任根，隨之建立一條信任鏈，從信任根開始到硬件平臺、操作系統(tǒng)，再到應(yīng)用，逐級度量、逐級信任。把這種信任擴(kuò)展到整個計(jì)算機(jī)系統(tǒng)，從而確保整個計(jì)算機(jī)系統(tǒng)的可信，實(shí)現(xiàn)系統(tǒng)全生命周期可信度量，滿足低資源、高實(shí)時性嵌入式系統(tǒng)要求。

（2）高確定性：大多數(shù)嵌入式系統(tǒng)為定制化的專用系統(tǒng)，應(yīng)用運(yùn)行環(huán)境、業(yè)務(wù)運(yùn)行周期、設(shè)備接入方式等相對明確，其內(nèi)部功能相對固定，更容易通過可信計(jì)算技術(shù)制定可信策略并構(gòu)建安全基線，對嵌入式系統(tǒng)進(jìn)行動態(tài)防護(hù)。定制化程度高能夠以更靈活的設(shè)計(jì)實(shí)現(xiàn)可信根，有利于用可信計(jì)算構(gòu)建“白名單”機(jī)制，形成“主體、客體、操作、環(huán)境”的安全基線，在安全可信策略管控下，確保嵌入式系統(tǒng)運(yùn)行環(huán)境的完整可信。

（3）高可用性：嵌入式可信計(jì)算產(chǎn)品化應(yīng)用已有積累，可信計(jì)算技術(shù)在嵌入式系統(tǒng)產(chǎn)品化應(yīng)用已取得一定進(jìn)展。在產(chǎn)品應(yīng)用中可信計(jì)算技術(shù)發(fā)揮了較好的安全防護(hù)效果，可信計(jì)算在國內(nèi)已具有相對完整的標(biāo)準(zhǔn)體系。

5 工業(yè)嵌入式控制系統(tǒng)可信技術(shù)應(yīng)用架構(gòu)

5.1 可信雙體系架構(gòu)設(shè)計(jì)

將可信計(jì)算3.0技術(shù)理念，設(shè)計(jì)并實(shí)施到工業(yè)嵌入式控制系統(tǒng)中，要克服嵌入式系統(tǒng)實(shí)時性要求高、系統(tǒng)資源緊張等問題。工業(yè)嵌入式控制系統(tǒng)可信計(jì)算體系架構(gòu)如圖3所示。

（1）TPCM：支撐策略管理等為TSB提供運(yùn)行環(huán)境，TPCM應(yīng)支持對業(yè)務(wù)功能主動監(jiān)控的能力；應(yīng)保證存儲根密鑰存放在可信根內(nèi)部，外部無法獲取；應(yīng)保證對關(guān)鍵業(yè)務(wù)數(shù)據(jù)、密鑰等信息采用TPCM組件提供的密碼服務(wù)進(jìn)行加密處理。

（2）TSB：保護(hù)宿主軟件和應(yīng)用安全，實(shí)現(xiàn)主動免疫防御的安全能力，TSB應(yīng)具備輕量化環(huán)境度量策略；TSB可具備業(yè)務(wù)行為的度量策略；應(yīng)具備對被保護(hù)系統(tǒng)的運(yùn)行階段的訪問控制功能；應(yīng)達(dá)到主體為用戶級或進(jìn)程級訪問控制的粒度，客體為進(jìn)程、文件的粒度。

（3）TCM：提供密碼計(jì)算、身份認(rèn)證等功能，支持國SM2/3/4算法。

圖3 工業(yè)嵌入式控制系統(tǒng)可信計(jì)算體系架構(gòu)

設(shè)計(jì)要求：針對嵌入式系統(tǒng)，可信計(jì)算應(yīng)滿足業(yè)務(wù)場景使用需求，增加的可信啟動時間，對系統(tǒng)正常工作不造成影響；依托宿主的系統(tǒng)資源情況下，增加可信啟動所占用的資源，應(yīng)滿足系統(tǒng)整體資源使用率要求。針對實(shí)時性要求高的場景，應(yīng)在啟動階段完成主動度量，可在運(yùn)行過程中不觸發(fā)主動度量功能。應(yīng)滿足對依托宿主的系統(tǒng)資源情況下，針對度量性能要求較高的場景，可加大動態(tài)度量周期以減少對系統(tǒng)資源的占用（例如：動態(tài)度量周期可設(shè)置為最小周期任務(wù)的5~10倍）。

5.2 全生命周期可信設(shè)計(jì)

（1）可信啟動設(shè)計(jì)：基于可信計(jì)算3.0技術(shù)，在雙體系架構(gòu)設(shè)計(jì)基礎(chǔ)上，考慮到隔離、并行性的設(shè)計(jì)特點(diǎn)，將系統(tǒng)分為計(jì)算部件和防護(hù)部件兩部分，并提出了一種可信鏈實(shí)現(xiàn)方法。該實(shí)現(xiàn)方法構(gòu)建了國產(chǎn)化雙核處理器的可信鏈。

（2）可信升級設(shè)計(jì)：安全可信PLC通過安全可信工程師站進(jìn)行固件遠(yuǎn)程升級，為防止待升級的固件被惡意篡改，基于數(shù)字證書技術(shù)，設(shè)計(jì)一種固件可信升級方案。

（3）動態(tài)可信度量：基于可信計(jì)算3.0的嵌入式動態(tài)度量技術(shù)，包括輕量化環(huán)境度量、系統(tǒng)行為可信度量和業(yè)務(wù)行為度量，定制輕量化的度量策略，對操作系統(tǒng)代碼環(huán)境、業(yè)務(wù)代碼環(huán)境及關(guān)鍵業(yè)務(wù)行為，在可信軟件基的判定機(jī)制中給出度量結(jié)果。

6 工業(yè)嵌入式控制系統(tǒng)內(nèi)生安全技術(shù)展望

工業(yè)嵌入式系統(tǒng)所涵蓋的范圍很廣，由于涉及的組件多且結(jié)構(gòu)復(fù)雜，不同行業(yè)嵌入式系統(tǒng)暴露出的攻擊面迥異。行業(yè)場景化安全問題千差萬別，導(dǎo)致可信計(jì)算技術(shù)不能解決嵌入式系統(tǒng)面臨的所有安全問題。如何解決極低資源、小型嵌入式系統(tǒng)內(nèi)生安全問題，是嵌入式可信計(jì)算需要繼續(xù)深入攻關(guān)的技術(shù)方向。另外在冶金水利、智能制造、石油石化等行業(yè)，國外工業(yè)嵌入式控制系統(tǒng)存量較大，安全性問題不容忽視。以嵌入式可信計(jì)算技術(shù)為依托，提供低成本、易于改造的內(nèi)生安全方案，解決現(xiàn)場存量嵌入式系統(tǒng)的信息安全，是今后值得持續(xù)研究和深化的問題。

綜上所述，解決嵌入式系統(tǒng)信息安全問題，是一個復(fù)雜的系統(tǒng)工程，并不是依靠單一技術(shù)和方案能夠完美解決的。后續(xù)研究將嵌入式系統(tǒng)可信計(jì)算技術(shù)結(jié)合協(xié)議分析技術(shù)、事件關(guān)聯(lián)分析技術(shù)、溯源分析技術(shù)，構(gòu)建全面的嵌入式系統(tǒng)風(fēng)險監(jiān)測、預(yù)警和處置體系，進(jìn)一步提升嵌入式系統(tǒng)自身免疫的安全防御能力。

作者簡介：

楚   兵（1982-），男，北京人，中級工程師，碩士，現(xiàn)就職于寧波和利時信息安全研究院有限公司，研究方向?yàn)楣た匦畔踩⒕W(wǎng)絡(luò)通信和嵌入式系統(tǒng)。

參考文獻(xiàn)：

[1] Defrawy K E, Perito D, Tsudik G. SMART: secure and minimal architecture for (establishing a dynamic) root of trust[J]. Isoc, 2017.

[2] Koeberl P, Schulz S, Sadeghi A R, et al. TrustLite: a security architecture for tiny embedded devices[C]. European Conference on Computer Systems, 2014 : 10.

[3] 易平. 基于龍芯處理器的嵌入式可信系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 南京: 南京航空航天大學(xué), 2018.

[4] 張煥國, 李晶, 潘丹鈴, 趙波. 嵌入式系統(tǒng)可信平臺模塊研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48 (07) : 1269 - 1278.

[5] 王鎮(zhèn)道, 鄭榮浩, 張立軍, 魯輝 . 一種適用于嵌入式終端的可信安全方案[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2016, 33 (01) : 230 - 234 、258.

[6] Raj H, Himanshu, et al. fTPM: A software-only implementation of a TPM chip[C]. 25th USENIXSecurity Symposium (USENIX Security 16), 2016.

[7] 張英駿, 馮登國, 秦宇, 等. 基于Trustzone的強(qiáng)安全需求環(huán)境下可信代碼執(zhí)行方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52 (10) : 2224 - 2238.

[8] Abera T, Asokan N, Davi L, et al. C-FLAT: control-flow attestation for embedded systems software[C]. Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, 2016 : 743 - 754.

[9] L. Guan, C. Cao, P. Liu, et al. Building a trustworthy execution environment to defeat exploits from both Cyber Space and Physical Space for ARM[J]. IEEE Transactions on Dependable and Secure Computing, 2015, 14 (8) : 1 - 16.

[10] L. Guan, P. Liu, X. Xing, et al. Trustshadow: secure execution of unmodified applications with arm trustzone[C]. Proceedings of the 15th Annual International Conference on Mobile Systems, Applications, and Services, Niagara Falls, 2017, 488 - 501.

[11] H. Sun, K. Sun, Y. Wang, et al. Reliable and trustworthy memory acquisition on smartphones[J]. IEEE Transactions on Information Forensics and Security, 2015, 10 (12) : 2547 - 2561.

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》