基于自主可控操作系統平臺的電力監控系統安全防護技術

徐延明，許 艾，劉 剛，李 維，周立東

（1.北京四方繼保自動化股份有限公司，北京 100085；2.北京四方繼保工程技術有限公司，北京 100085）

0 引言

近幾年，隨著網絡技術和軟件技術的飛速發展，特別是電網公司對自主可控操作系統的不斷需求，直接影響電網企業核心業務系統迭代更新的進度和安全［1-3］。隨著電網公司加大對電力基礎設施的投資，變電站一、二次設備國產化也在穩步推進，電力二次系統的安全性也越來越受到重視［4-6］，因此，自主可控的操作系統必須具有高度可信性和安全性。Linux操作系統的全球性、開放性為電力系統提供了極大便利，基于開源的Linux系統研發自主可控的操作系統是各大國產操作系統公司首先考慮的方案［7］。

電力監控系統是國家電網公司重要系統之一，已建成以網絡專用、橫向隔離及邊界防護為主的網絡安全縱深防護體系。而近年來，網絡攻擊手段層出不窮，以“震網”“火焰”［8-9］等惡意代碼為主要技術手段的攻擊對能源等工控系統造成了極大危害，其破壞力極強，破壞過程也非常隱蔽，能夠突破現有的“隔離、檢測、查殺”等安全防護措施［10］。必須針對以上網絡安全漏洞進行有效的防護，否則會造成設備誤動、拒動，嚴重威脅電網的安全穩定運行。

本文提出基于自主可控操作系統平臺的電力監控系統關鍵程序安全防護機制，基于國密算法與證書對電力監控系統的進程、動態庫及組件等實現安全調用與驗證，從而保證系統文件、數據的完整性和可用性。

1 電力監控系統安全現狀

近幾年，由于國內外安全形勢日益嚴峻，我國越來越重視電力基礎設施的安全，電力監控系統安全防護是以“安全分區、網絡專用、橫向隔離、縱向認證”［11］為防護策略，其核心內容是加強邊界防護。采用基于邊界保護的物理隔離無法有效抵抗高級病毒軟件的入侵［12］。有關文獻在電力監控系統通信安全方面進行了不少的研究［13-14］，為后來研究者提供了大量的理論依據與實踐成果，但電力監控系統本體安全方面的研究仍很少見。

國產自主可控操作系統大多基于Linux內核構建，ELF作為Linux下最主要的可執行二進制文件格式成為了病毒及各種惡意代碼的攻擊目標。入侵通過直接修改ELF文件的方法來實現，而Linux系統本身并不會對執行的代碼進行完整性和合法性檢測，因而讓很多病毒程序以及木馬程序有機可乘。電力監控系統程序、動態庫、組件等基于代碼簽名驗證是一種能夠有效防止病毒以及其他惡意代碼入侵的方法。因此，提出了一種基于ELF 文件格式的代碼簽名驗證機制，通過提供更加靈活的分級驗證方式，進一步提高驗證效率，并且使系統在安全性與效率方面取得平衡。以自主可控操作系統為平臺，采用操作系統內核對文件簽名驗證的安全機制，同時結合國產密碼算法與調度數字證書安全技術，可實現電力監控系統本體安全。

2 SM2算法簽名驗證技術

近幾年，中國密碼管理局相繼頒布了一系列國產密碼算法標準，一些研究機構、大學及公司企業也依據標準研發了相應的算法，其中比較常用的有SM2、SM3、SM4 算法［15-17］等。這些算法都屬于商業密碼算法，其中SM2 是非對稱算法，SM3是哈希算法，SM4是對稱算法。

SM2 算法有多種用法，其中數字簽名算法應用最為廣泛，具體應用是由簽名者通過算法對數據生成簽名值，并由驗證者通過算法驗證簽名值的真實性。簽名者擁有私鑰和公鑰各一個，私鑰用來產生簽名，公鑰用來驗證簽名。驗證者獲得簽名者的公鑰可以驗證簽名值。SM2 簽名算法的應用要與SM3算法配合實現，可以通過SM3算法對待簽名數據包計算雜湊值，再利用SM2 簽名算法對雜湊值計算簽名值。圖1 是SM2 算法數字簽名驗證過程。

圖1 數字簽名及驗證過程

調度證書系統是電力系統關鍵基礎安全系統，能夠為電力系統中的用戶、關鍵網絡設備、服務器提供數字認證服務。調度證書為電力系統與網絡關鍵環節實現高強度的身份認證和安全數據傳輸提供了安全技術保證。圖2所示為調度證書系統架構。

圖2 調度證書系統

調度證書系統是基于PKI（公鑰基礎設施體系）［18］中的一個電力行業應用，而PKI是用來實現基于公鑰密碼體制的密鑰和證書的產生、管理、存儲、分發和撤銷等功能。本文基于調度證書系統提供的調度證書與國密算法相結合來實現電力監控系統的本體安全，即在自主可控操作系統平臺上，采用操作系統內核安全機制實現對電力監控系統中的程序、動態庫及組件的安全簽名與驗證，確保電力監控系統安全的啟動與運行，保證電力監控系統的完整性、可追塑性。

3 自主可控操作系統軟件保護技術

近兩年，隨著電力二次系統的升級改造，國產自主可控操作系統受到電網公司的青睞并被大力推廣應用，因此操作系統的安全機制也越來越被重視。在信息安全領域，數據的完整性、機密性及有效性是安全通信的三要素，可利用公鑰密碼安全機制來解決機密性、完整性和有效性問題。

本章主要從操作系統文件的代碼簽名驗證、基于調度證書身份標識認證技術兩方面闡述基于自主可控操作系統的軟件保護技術。

3.1 自主可控操作系統特征

國內自主可控安全操作系統的廠家比較多，本節簡要介紹在電力領域應用較廣泛的凝思安全操作系統，其與普通Linux系統在安全性、功能方面具有不同的安全特征。

1）四權分立系統管理

傳統Linux操作系統由一個超級用戶管理，它具有超越系統所有限制的特權。凝思安全操作系統去除了超級用戶，將系統管理功能分配給4個固有用戶完成，即系統管理員、安全管理員、網絡管理員和審計管理員。

2）可信進程白名單技術

凝思安全操作系統也研發了可信進程白名單安全技術。其借鑒可信計算技術原理，以軟可信根的方式度量操作系統上運行的應用程序，具有白名單屬性的進程可正確運行，有效杜絕了病毒入侵。

3）熱備與互備

凝思安全操作系統提供多種熱備、互備及服務自動切換機制。當單點服務器發生故障時，互備/熱備服務器能夠自動接管相應的服務，保證整個網絡系統服務的連續，提高災害發生情況下的可生存性。

凝思安全操作系統在行業應用領域提供了更多的安全特性，借鑒了等保2.0 規范的有關要求，更加適合在國內電力能源等領域的應用。

3.2 代碼簽名文件結構設計

Linux ELF 文件格式是一種用于二進制文件、可執行文件、目標代碼、共享庫的標準文件格式。ELF 文件格式靈活、可拓展、跨平臺，它支持不同的字節序和地址大小，因此不會排除任何特定的CPU和指令集體系結構。ELF文件能滿足可鏈接、可加載、可執行三大基本功能。ELF 文件由ELF 文件頭、程序頭部表、段、段名字符串表和段頭部表組成，程序頭部表用于描述0個或者多個內存段，段頭部表用于描述0 個或多個段。ELF文件結構如圖3所示。

圖3 ELF文件結構

通過圖3 可以看出，常規的ELF 文件沒有簽名數據段，本文根據安全需求設計出如圖4所示的安全ELF文件格式，即在ELF文件尾增加簽名數據段，通過增加簽名數據段，在程序啟動或加載過程中對程序的完整性進行安全驗證，符合安全規則的程序允許啟動運行。

圖4 ELF文件安全結構

3.3 基于證書的簽名驗證流程設計

電力監控系統的核心程序和模塊均以ELF 文件的方式存在。為確保系統的完整性、安全性，基于調度證書和國密算法對給定的可執行程序進行簽名加固，同時應用Linux內核的安全機制對可執行程序的啟動進行安全驗證，只有合法、安全與完整的程序才可以啟動。

3.3.1 基于數字證書簽名的流程設計

為了實現電力監控系統關鍵程序、模塊及動態庫的安全可信，采用調度證書系統簽發各環節證書，確保環節節點身份的真實性，同時結合國密算法SM2、SM3 對關鍵文件實施簽名，確保電力監控系統核心模塊程序的完整性、安全性。基于證書文件簽名流程主要包括4 個部分，如圖5所示。

圖5所示的文件簽名過程總體流程如下：

圖5 文件簽名流程

1）采用調度證書系統為自主可控操作系統平臺簽發平臺證書，平臺證書主要用于標識操作系統平臺身份的真實性，同時也可以驗證在平臺上運行的電力監控系統身份的真實性。

2）電力監控系統若要在自主可控操作系統平臺上安全運行也必須簽發標識自己身份的證書，因此可基于操作平臺證書為二級證書簽發電力監控系統證書，電力監控系統中的核心程序、模塊及動態庫均采用監控系統證書簽名，實現文件及整個監控系統的完整性和安全性。

3）采用國密算法SM3 對文件的程序代碼段進行散列計算，通過SM2 算法的私鑰對散列值進行簽名得到簽名值，把簽名值作為單獨的節附加到ELF文件的尾部。

4）將電力監控系統公鑰證書作為單獨的節附加到ELF 文件的尾部，用于驗證步驟3）中生成的簽名值。

上述4 個步驟詳細闡述了ELF 文件的簽名過程。另外，為了驗證ELF 文件尾附加的電力監控系統公鑰證書的真實性，則需操作系統平臺證書對電力監控系統公鑰證書進行驗證，確保電力監控系統關鍵程序、模塊及文件在操作系統平臺中安全、完整地運行。

3.3.2 基于數字證書驗證流程設計

操作系統執行或加載ELF 文件時，內核首先將ELF文件載入內存，解析出文件被保護信息（代碼、數據等）對應的簽名值與監控系統公鑰證書，內核中的驗證模塊計算出被保護信息的摘要，再使用監控系統公鑰證書對簽名值進行驗證，若驗證成功，則ELF 文件未被篡改，ELF 文件的完整性是可以保證的。另一方面，內核中的驗證模塊還需要驗證ELF 文件中監控系統公鑰證書的合法性和真實性，同樣內核驗證模塊使用內核信任的內置操作系統平臺證書對監控系統公鑰證書中的簽名值進行驗證，若驗證成功，則說明ELF 文件是可信的、安全的，內核便開始啟動并運行這個可執行程序。

在ELF 文件驗證模塊中，還有以下3 點需要注意：格式檢查，判斷該二進制文件是否符合ELF 格式，跳過所有非ELF 格式的文件；自身簽名驗證，如果文件符合ELF格式，則按ELF格式取出其中附帶的數字簽名并驗證；依賴簽名驗證，如果ELF 文件依賴其他（共享對象）文件，則對其所有的依賴進行數字簽名驗證。

在ELF文件運行之前，還需對文件進行驗證，若ELF 文件沒有被簽名或者簽名驗證失敗則應停止運行本程序，若簽名驗證成功則可以正常運行。圖6所示為ELF文件驗證流程。

圖6 文件驗證流程

4 實驗驗證

為了更好地論證上述技術方案的可行性，以下從不同角度進行實驗驗證。

4.1 ELF文件運行驗證

本實驗主要用于驗證兩種情況的ELF 文件，一種是帶有正確簽名的ELF 文件可以正常運行；另一種是ELF文件未簽名，運行失敗。根據3.2.2節所述的驗證流程，帶簽名的ELF 文件通過驗證并正常運行，如圖7所示。

圖7 ELF文件正常運行

沒有簽名的ELF 文件未通過驗證，打印錯誤信息，并中斷程序的執行，如圖8所示。

圖8 ELF文件運行失敗

4.2 算法抗攻擊安全性測試

本文采用了國密算法SM2和SM3對文件的完整性進行保護。通過查閱有關文獻可以得知，王小云教授等公布了MD5碰撞的新方法，利用該方法用普通PC機在幾分鐘內即可找到MD5的碰撞，因此MD5已不再安全［19-20］。采用國密算法SM2和SM3 比國際算法RSA 與MD5 在安全性與效率方面都有很大提升。本文對RSA、SM2、MD5 及SM3算法基于文件簽名進行多次測試，結果如表1所示。

表1 算法比較

通過表1 可以看出，RSA 公鑰算法的密鑰長度有128/256字節，輸出數據的長度為128/256字節，但在安全性和執行速度方面都比較低；MD5的執行速度比較快，但它的安全性比較低。因此，本文采用SM2和SM3算法，在安全性和運算效率方面均有一定的優勢。

4.3 ELF文件啟動效率驗證測試

操作系統調用ELF 文件時，首先要驗證ELF文件是否完整、可信，即帶簽名信息的ELF 文件與不帶簽名信息ELF 文件在啟動時的時間開銷存在差異，如表2所示。

表2 ELF文件執行時間比較

根據表2可以看出，沒有簽名驗證的執行時間基本穩定在90～100 μs，加入簽名驗證機制后，系統調用的執行時間與程序代碼段長度相關，比如tar 程序的代碼段特別長，因此需要更長的時間來分配內存、計算哈希并驗證。通過實驗結果可以得出，基于自主可控操作系統上運行的電力監控系統的關鍵程序、模塊及動態庫可以實施簽名，在這些模塊啟動時，由于加入了簽名信息會有一定的延時，但程序啟動并不是很頻繁，因此在工程應用中可參考對關鍵模塊、動態庫進行簽名。

5 結語

本文從自主可控操作系統文件的代碼簽名驗證、為操作系統與電力監控系統簽發身份證書以及基于國密算法與調度證書相結合的方式共同實施對電力監控系統的關鍵程序、模塊及動態庫文件簽名，確保在自主可控操作系統平臺上運行的電力監控系統的完整性及安全性。未采用簽名認證的電力監控系統模塊、被非法篡改的文件、被非調度證書系統簽發的證書簽名的模塊都將被操作系統內核程序攔截，不能啟動執行。

根據實驗結果，采用國密SM2、SM3 算法與調度證書可以確保電力監控系統關鍵程序和模塊的完整性、安全性及可用性。帶簽名文件在啟動執行時會有一定的延時，但由于程序啟動并不頻繁，因此，在實際工程實施過程中可考慮對關鍵程序和模塊實施簽名認證，以保證電力監控系統的本體安全。