基于SHA1的SCADA系統(tǒng)PLC固件完整性驗(yàn)證方法

黃信兵， 劉桂雄

（1.廣東交通職業(yè)技術(shù)學(xué)院，廣東 廣州 510800；2.華南理工大學(xué)機(jī)械與汽車(chē)工程學(xué)院，廣東 廣州 510640）

基于SHA1的SCADA系統(tǒng)PLC固件完整性驗(yàn)證方法

黃信兵1，2， 劉桂雄2

（1.廣東交通職業(yè)技術(shù)學(xué)院，廣東 廣州 510800；2.華南理工大學(xué)機(jī)械與汽車(chē)工程學(xué)院，廣東 廣州 510640）

針對(duì)SCADA系統(tǒng)面臨的數(shù)據(jù)竊取、篡改等信息安全問(wèn)題，基于固件、可信根完整性度量，研究SCADA系統(tǒng)PLC固件完整的必要性；采用安全性高的SHA1算法，提出一種PLC固件完整性驗(yàn)證方法。在SCADA系統(tǒng)外的驗(yàn)證計(jì)算機(jī)上開(kāi)發(fā)完整性驗(yàn)證軟件，通過(guò)網(wǎng)絡(luò)偵聽(tīng)、協(xié)議分析實(shí)現(xiàn)固件二進(jìn)制數(shù)據(jù)提取、待下載固件SHA1值匹配驗(yàn)證、下載固件SHA1值匹配驗(yàn)證等功能，完成PLC固件傳輸過(guò)程中的完整性驗(yàn)證。試驗(yàn)結(jié)果表明：該方法可有效驗(yàn)證PLC固件完整性，提高PLC運(yùn)行可信度。

安全哈希算法；數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)；可編程邏輯控制器；固件；完整性

0 引 言

安全、可靠的SCADA系統(tǒng)為分布在各地站點(diǎn)的石油天然氣管道、電網(wǎng)、鐵路等重要基礎(chǔ)設(shè)施提供關(guān)鍵的控制、通信和監(jiān)視功能[1]。隨著信息技術(shù)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用，越來(lái)越多SCADA系統(tǒng)暴露于Internet，網(wǎng)絡(luò)攻擊、信息篡改、病毒木馬等問(wèn)題越來(lái)越嚴(yán)重。2015年戴爾公司年度安全威脅報(bào)告指出，2014年針對(duì)SCADA系統(tǒng)攻擊比2013年增加約2倍[2]。PLC作為SCADA系統(tǒng)核心現(xiàn)場(chǎng)設(shè)備，可直接監(jiān)視和控制終端物理系統(tǒng)，正如Stuxnet攻擊，一臺(tái)處于惡意控制下的PLC會(huì)對(duì)重要基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)產(chǎn)生毀滅性后果[3-4]，PLC固件的完整性直接關(guān)系到SCADA系統(tǒng)的安全性。本文針對(duì)工業(yè)以太網(wǎng)環(huán)境下PLC固件傳輸，提出一種基于SHA1算法[5]的PLC固件完整性驗(yàn)證方法，以提高固件源可信性。

1 PLC固件完整驗(yàn)證的必要性

PLC架構(gòu)主要包括應(yīng)用程序、固件和硬件3部分，如圖1所示。固件是存儲(chǔ)在具有永久儲(chǔ)存功能器件中的二進(jìn)制代碼，作為橋梁為硬件和應(yīng)用程序提供接口[6]。固件一般加載到PLC設(shè)備后不能被修改，也不能直接被讀取[7]。因此，若是在加載前或加載過(guò)程中固件被修改，PLC處于不安全工作環(huán)境中，所有數(shù)據(jù)都可能被監(jiān)聽(tīng)或竊取，一旦滿(mǎn)足其執(zhí)行條件，將導(dǎo)致SCADA系統(tǒng)癱瘓，甚至SCADA系統(tǒng)能被攻擊者操縱[8]。固件作為PLC的可信根，是保證PLC可信運(yùn)行關(guān)鍵所在?？尚庞?jì)算的基本思想是在一個(gè)系統(tǒng)中首先建立一個(gè)信任根，再建立一條信任鏈，一級(jí)測(cè)量認(rèn)證一級(jí)，一級(jí)信任一級(jí)，把信任關(guān)系擴(kuò)大到整個(gè)SCADA系統(tǒng)，從而確保SCADA系統(tǒng)可信[9]。

圖1 通用PLC架構(gòu)

2 基于SHA1算法PLC固件完整驗(yàn)證方法

通過(guò)對(duì)ANSI/ISA-99等標(biāo)準(zhǔn)分析，PLC屬于工業(yè)控制系統(tǒng)分層參考模型第1層（即本地或基本控制層），監(jiān)控第0層（物理過(guò)程層）的執(zhí)行器等現(xiàn)場(chǎng)設(shè)備[10]。若PLC由于攻擊等原因?qū)е掳l(fā)出不正確指令，則第0層現(xiàn)場(chǎng)設(shè)備可能會(huì)出現(xiàn)異常操作。本文基于PLC硬件和邏輯程序是在可信的前提下進(jìn)行研究。

固件完整性是指在傳輸、儲(chǔ)存固件過(guò)程中，確保固件不被未授權(quán)篡改或篡改后能被及時(shí)發(fā)現(xiàn)[11]。SHA1作為一種驗(yàn)證數(shù)據(jù)完整性方法，對(duì)接收消息會(huì)產(chǎn)生一個(gè)具有唯一性的消息摘要，但該消息摘要不能復(fù)原信息。工業(yè)控制系統(tǒng)中采用現(xiàn)場(chǎng)總線(xiàn)傳輸數(shù)據(jù)，其中使用以太網(wǎng)進(jìn)行數(shù)據(jù)傳輸最為廣泛。隨著自動(dòng)化水平提高，通過(guò)以太網(wǎng)可實(shí)現(xiàn)PLC固件版本更新等高級(jí)操作。以太網(wǎng)環(huán)境下基于SHA1算法的PLC固件驗(yàn)證包括待下載固件SHA1值驗(yàn)證、下載固件SHA1值驗(yàn)證、固件完整性驗(yàn)證等。圖2為實(shí)現(xiàn)該方法PLC固件完整性驗(yàn)證系統(tǒng)模型，在控制計(jì)算機(jī)傳輸PLC設(shè)備固件外部增加驗(yàn)證工具，進(jìn)行待下載固件傳輸（標(biāo)號(hào)①）驗(yàn)證和下載固件傳輸（標(biāo)號(hào)②）驗(yàn)證，完成固件完整性驗(yàn)證。

圖2 PLC設(shè)備固件完整性驗(yàn)證系統(tǒng)模型

2.1 待下載固件驗(yàn)證

PLC廠(chǎng)家在向用戶(hù)提供固件時(shí)還需要提供該固件的SHA1值（即安全固件SHA1值），用戶(hù)從廠(chǎng)家獲得固件（本文稱(chēng)為待下載固件）過(guò)程中可能會(huì)受到攻擊，因此用戶(hù)需要在下載固件或更新固件之前，對(duì)該固件進(jìn)行完整性驗(yàn)證。

待下載固件不能直接載入PLC，而需要基于通信協(xié)議分析建立一個(gè)模擬PLC設(shè)備的通信軟件，與控制計(jì)算機(jī)通信。圖3為待下載固件SHA1值驗(yàn)證流程圖?？刂朴?jì)算機(jī)通過(guò)網(wǎng)絡(luò)等接口將待下載固件傳輸?shù)津?yàn)證工具中，得到傳輸過(guò)程的二進(jìn)制數(shù)據(jù)，去掉數(shù)據(jù)中通信協(xié)議部分，對(duì)待下載固件二進(jìn)制數(shù)據(jù)進(jìn)行SHA1值計(jì)算。將待下載固件SHA1值與安全固件SHA1值進(jìn)行匹配，若兩者一致則通過(guò)驗(yàn)證，可下載到PLC中；否則說(shuō)明在獲取固件過(guò)程中受到非授權(quán)篡改，需要從廠(chǎng)家重新獲得固件。

2.2 下載固件完整性驗(yàn)證

圖3 待下載固件驗(yàn)證流程圖

將驗(yàn)證后的PLC固件通過(guò)工業(yè)以太網(wǎng)方式下載到現(xiàn)場(chǎng)PLC中，為監(jiān)控下載過(guò)程中PLC固件完整性，對(duì)網(wǎng)絡(luò)偵聽(tīng)截獲的下載固件建立SHA1值，并與安全固件SHA1值匹配對(duì)比，具體如圖4所示。若兩者一致則通過(guò)驗(yàn)證，下載到PLC中固件完整；否則說(shuō)明下載過(guò)程中固件完整性受到破壞，需重新下載。

圖4 下載固件驗(yàn)證流程圖

3 實(shí)例分析

利用Microsoft Visual Studio語(yǔ)言開(kāi)發(fā)一款基于SHA1算法的PLC固件驗(yàn)證軟件。采用羅克韋爾FlexLogix 5434 PLC及該公司提供的15.06.01版本安全固件，在控制計(jì)算機(jī)上需要安裝RSLinx軟件和固件更新軟件Control Flash 9.00.015。

3.1 數(shù)據(jù)傳輸分析

利用網(wǎng)絡(luò)偵聽(tīng)截獲傳輸數(shù)據(jù)，通過(guò)對(duì)截獲傳輸數(shù)據(jù)進(jìn)行相關(guān)性、規(guī)律性分析，找出協(xié)議數(shù)據(jù)段、固件數(shù)據(jù)段，剖析其數(shù)據(jù)鏈路層傳輸協(xié)議，如圖5所示。

圖5 傳輸數(shù)據(jù)的分析

3.2 未知安全固件驗(yàn)證實(shí)驗(yàn)設(shè)計(jì)

本文將待下載固件和下載固件統(tǒng)稱(chēng)為未知安全固件。圖6為未知固件驗(yàn)證實(shí)驗(yàn)軟件界面圖。點(diǎn)擊“未知安全固件傳輸數(shù)據(jù)”按鈕，固件傳輸數(shù)據(jù)將會(huì)得到顯示；單擊“提取固件”按鈕，得到從獲得數(shù)據(jù)中分離的固件數(shù)據(jù)；單擊“計(jì)算固件SHA1”按鈕，根據(jù)固件數(shù)據(jù)計(jì)算得到40位SHA1值；單擊“安全固件SHA1”按鈕，再單擊“固件SHA1值驗(yàn)證”按鈕，將截獲固件SHA1值和安全固件SHA1值進(jìn)行匹配對(duì)比，若匹配一致，則在對(duì)話(huà)框中顯示“完整”，如圖6（a）所示；否則顯示“不完整”，如圖 6（b）～圖 6（d）所示。通過(guò)對(duì)比試驗(yàn)可看出，該方法能夠驗(yàn)證PLC固件完整性，從而提高PLC數(shù)據(jù)的安全性、可信性。

4 結(jié)束語(yǔ)

1）在重要基礎(chǔ)設(shè)施系統(tǒng)中建立針對(duì)SCADA系統(tǒng)的安全工具，對(duì)保持和建立信任非常有必要，基于SHA1的PLC固件完整性驗(yàn)證方法，對(duì)于增強(qiáng)SCADA系統(tǒng)PLC固件可信性是可行選擇。

2）該方法是在現(xiàn)有SCADA系統(tǒng)外增加一套驗(yàn)證工具，其優(yōu)勢(shì)在于保證下載到PLC中的固件完整性，同時(shí)不會(huì)對(duì)原有SCADA系統(tǒng)進(jìn)行更改，且與生產(chǎn)系統(tǒng)相隔離。

3）用Microsoft Visual Studio開(kāi)發(fā)基于SHA1算法驗(yàn)證工具，在羅克韋爾FlexLogix 5434 PLC上實(shí)現(xiàn)固件驗(yàn)證，實(shí)驗(yàn)結(jié)果表明，該驗(yàn)證方法可有效驗(yàn)證固件完整性。

圖6 未知安全固件驗(yàn)證實(shí)驗(yàn)軟件界面

[1] 蘭昆，饒志宏，唐林，等.工業(yè)SCADA系統(tǒng)網(wǎng)絡(luò)的安全服務(wù)框架研究[J].信息安全與通信保密，2010（3）：47-49.

[2]戴爾年度威脅報(bào)告揭示新興的安全風(fēng)險(xiǎn)[EB/OL].（2015-04-14）[2016-08-12].http：//server.51cto.com/News-472123.htm.

[3]MATROSOV A， RODIONOV E， HARLEY D， et al.Stuxnet under the microscope[R].ESET Technical Report，2011.

[4]ALBRIGHT D， BRANNAN P， WALROND C.Did stuxnet take out 1000 centrifuges at the natanz enrichm ent plant?[R].Institute for Science and Internat-ional Security，2010.

[5] 劉桂雄，張龍，徐欽桂.基于改進(jìn)SHA-1物聯(lián)網(wǎng)監(jiān)測(cè)節(jié)點(diǎn)完整性驗(yàn)證與增強(qiáng)方法[J].中國(guó)測(cè)試，2013，39（1）：80-83.

[6]SCHUETT C， BUTTS J， DUNLAP S.An evaluation of modification attacks on programmable logic controllers[J].International Journal of Critical Infrastructure Protection，2014，7（1）：61-68.

[7]STRADLEY J，KARRAKER D.The electronic part supply chain and risks of counterfeit parts in defense applications[J].Components and Packaging Technologies,IEEE Transactions，2006，29（3）：703-705.

[8]SRIDHAR S，MANIMARAN G.Data integrity attacks and their impacts on SCADA control system[C]//Power and Energy Society General Meeting，2010，2007（2009）：1-6.

[9]沈昌祥，張煥國(guó)，王懷民，等.可信計(jì)算的研究與發(fā)展[J].中國(guó)科學(xué)，2010，40（2）：139-166.

[10]彭勇，江常青，謝豐，等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2012（10）：1396-1408.

[11]劉桂雄，鐘森鳴，余中潑.一種PLC固件完整性驗(yàn)證裝置及驗(yàn)證方法：103645672A[P].2014-03-19.

（編輯：商丹丹）

PLC firmware integrity verification method of SCADA system based on SHA1

HUANG Xinbing1，2， LIU Guixiong2
（1.Guangdong Communication Polytechnic，Guangzhou 510800，China；2.School of Mechanical and Automotive Engineering，South China University of Technology，Guangzhou 510640，China）

For data theft，data tampering and other information security issues of SCADA system and based on integrity measurement of the firmware and the trusted root，this paper aimed to research the necessity of integrity of PLC firmware for SCADA system，and proposed a PLC firmware integrity verification method by using SHA1 algorithm with high security.It developed an integrity authentication software on an authentication computer which was independent from SCADA system.Through the network listening and protocol analysis，the functions of the extraction of the firmware binary data， matched verification of SHA1 value of un-download firmware， and matched verification of SHA1 value of download firmware were realized，and completed the integrity test during PLC firmware transmission.The test results show that the method can effectively verify the integrity of PLC firmware，and improve the operation credibility of the PLC.

SHA1； SCADA system； PLC； firmware； integrity

A

1674-5124（2017）06-0114-04

10.11857/j.issn.1674-5124.2017.06.024

2016-09-20；

2016-11-15

2016年度省科技發(fā)展專(zhuān)項(xiàng)資金（2016B010113001）

黃信兵（1982-），男，河南濮陽(yáng)市人，高級(jí)工程師，華南理工大學(xué)訪(fǎng)問(wèn)學(xué)者，研究方向?yàn)樽詣?dòng)化與檢測(cè)系統(tǒng)研發(fā)。