核電廠基于FPGA的儀控系統(tǒng)網(wǎng)絡(luò)安全研究

楊安義

(生態(tài)環(huán)境部核與輻射安全中心,北京 100082)

0 引言

現(xiàn)場(chǎng)可編程門陣列(field programmable gate array,FPGA)技術(shù)出現(xiàn)于20世紀(jì)80年代末,是一種可以實(shí)現(xiàn)用戶現(xiàn)場(chǎng)編程的半定制大規(guī)模數(shù)字集成電路技術(shù)。FPGA技術(shù)具有用戶可定制、運(yùn)行效率高、邏輯結(jié)構(gòu)簡(jiǎn)單且可驗(yàn)證、系統(tǒng)可靠性高等優(yōu)點(diǎn),在核電領(lǐng)域得到廣泛應(yīng)用[1]。早期應(yīng)用主要針對(duì)部分微處理器產(chǎn)品老化和停產(chǎn)等問題,采用FPGA器件進(jìn)行替代[2-3]。隨著技術(shù)發(fā)展,FPGA作為一種應(yīng)對(duì)基于微處理器技術(shù)共因故障隱患、實(shí)現(xiàn)安全技術(shù)多樣化的技術(shù)而得到廣泛認(rèn)可。為此,國(guó)際原子能機(jī)構(gòu)(International Atomic Energy Agency,IAEA)專門成立了核電廠FPGA應(yīng)用專題小組,定期組織技術(shù)研討和經(jīng)驗(yàn)分享,以促進(jìn)基于FPGA技術(shù)在核領(lǐng)域的安全應(yīng)用。近年來,針對(duì)核設(shè)施等關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊越來越頻繁。這已成為業(yè)界關(guān)注的熱點(diǎn)問題。而針對(duì)FPGA技術(shù)網(wǎng)絡(luò)安全的相關(guān)研究尚處于起步階段,相關(guān)文獻(xiàn)和標(biāo)準(zhǔn)還比較少。

本文梳理了當(dāng)前核電廠基于FPGA儀控系統(tǒng)的安全監(jiān)管實(shí)踐,從FPGA技術(shù)自身脆弱性、面臨安全威脅和當(dāng)前主流安全防御技術(shù)等方面進(jìn)行分析、研究,提出核電廠基于FPGA儀控系統(tǒng)網(wǎng)絡(luò)安全的解決方案及相關(guān)建議。

1 當(dāng)前監(jiān)管實(shí)踐

1.1 監(jiān)管技術(shù)標(biāo)準(zhǔn)體系

為了監(jiān)督和規(guī)范FGPA技術(shù)在核能領(lǐng)域的應(yīng)用,相關(guān)國(guó)際機(jī)構(gòu)和標(biāo)準(zhǔn)組織發(fā)布了多項(xiàng)標(biāo)準(zhǔn)和技術(shù)文件。

從2009年起,美國(guó)電力研究院著手研究FPGA技術(shù)在核電廠中的應(yīng)用問題,先后發(fā)布技術(shù)報(bào)告TR-1019181[4]和TR-1022983[5],提出FPGA技術(shù)在核電廠中的應(yīng)用指南和設(shè)計(jì)準(zhǔn)則,為核電廠基于FPGA技術(shù)儀控系統(tǒng)的設(shè)計(jì)規(guī)劃奠定了基礎(chǔ)。

2010年,美國(guó)核管會(huì)發(fā)布技術(shù)報(bào)告NUREG/CR-7006[6]。該報(bào)告匯編了基于FPGA技術(shù)的安全設(shè)計(jì)實(shí)踐,結(jié)合IEEE 1012、IEEE 603、IEEE 7-4.3.2和IEC 61508等儀控系統(tǒng)功能安全監(jiān)管標(biāo)準(zhǔn),對(duì)基于FPGA儀控系統(tǒng)的生命周期模型、方案設(shè)計(jì)、安全評(píng)估、配置管理、確認(rèn)和驗(yàn)證(validation and verification ,V&V)等方面提出安全要求,為基于FPGA安全系統(tǒng)的設(shè)計(jì)和安全審查提供指南。

在上述工作的基礎(chǔ)上,國(guó)際電工技術(shù)委員會(huì)發(fā)布了標(biāo)準(zhǔn)IEC 62566[7]和IEC 62566-2[8],詳細(xì)規(guī)范了在核電廠安全重要儀控系統(tǒng)中使用FPGA等可編程邏輯設(shè)備和專用集成電路技術(shù)的設(shè)計(jì)和驗(yàn)證工作。IEC 62566適用于執(zhí)行安全A類安全功能的儀控系統(tǒng)和設(shè)備。IEC 62566-2適用于執(zhí)行安全B類或C類安全功能的儀控系統(tǒng)和設(shè)備。

2016年, IAEA發(fā)布核能系列叢書NES No.NP-T-3.17[9]。該叢書總結(jié)了基于FPGA技術(shù)開發(fā)的最新知識(shí)和在核電廠應(yīng)用的實(shí)踐,為所有成員國(guó)開展基于FPGA儀控系統(tǒng)和組件的設(shè)計(jì)、制造、鑒定、認(rèn)可、實(shí)施、運(yùn)行、維護(hù)提供指導(dǎo)。

電氣與電子工程師協(xié)會(huì)標(biāo)準(zhǔn)IEEE 7-4.3.2起初是一個(gè)關(guān)于核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)適用準(zhǔn)則的標(biāo)準(zhǔn),經(jīng)過多次修訂,現(xiàn)行版本為2016版。在現(xiàn)行版本中,標(biāo)準(zhǔn)的適用范圍不再局限于數(shù)字計(jì)算機(jī)設(shè)備,而是擴(kuò)展到包含F(xiàn)PGA技術(shù)在內(nèi)的所有基于可編程數(shù)字化技術(shù)的設(shè)備和系統(tǒng)。IEEE 7-4.3.2為可編程數(shù)字化技術(shù)在核電廠的安全應(yīng)用奠定了基礎(chǔ),是關(guān)于核電廠儀控系統(tǒng)功能安全的一項(xiàng)重要標(biāo)準(zhǔn)。

FPGA監(jiān)管相關(guān)標(biāo)準(zhǔn)和技術(shù)文件如表1所示。

1.2 存在問題與不足

從1.1節(jié)所述標(biāo)準(zhǔn)和技術(shù)文件可以看出,當(dāng)前核安全監(jiān)管實(shí)踐中,對(duì)基于FPGA技術(shù)的安全監(jiān)管主要聚焦于系統(tǒng)的功能安全方面,對(duì)網(wǎng)絡(luò)安全方面的關(guān)注比較少。IEC 62645[10]標(biāo)準(zhǔn)是關(guān)于核電廠儀控系統(tǒng)網(wǎng)絡(luò)安全的頂層標(biāo)準(zhǔn),提出了核電廠制定和建立網(wǎng)絡(luò)安全大綱的要求和方法。但I(xiàn)EC 62645的關(guān)注重點(diǎn)是基于微處理器的儀控系統(tǒng),相關(guān)技術(shù)措施不完全適用于基于FPGA的儀控系統(tǒng)。

FPGA技術(shù)是集硬件和軟件于一體的技術(shù),由芯片硬件和邏輯設(shè)計(jì)(軟件)兩部分組成。芯片硬件由基本可編程邏輯單元、布線資源和可編程輸入/輸出單元等組成,本身并不具備任何邏輯功能。邏輯設(shè)計(jì)由系統(tǒng)開發(fā)者根據(jù)客戶業(yè)務(wù)需求,使用硬件描述語言來描述,并經(jīng)過仿真、綜合、布局布線和調(diào)試后,形成以位流文件形式加載的業(yè)務(wù)邏輯設(shè)計(jì)(業(yè)界通常稱之為系統(tǒng)映像),使得相同的芯片實(shí)現(xiàn)不同的邏輯功能。為提高產(chǎn)品競(jìng)爭(zhēng)力和設(shè)計(jì)開發(fā)效率,在當(dāng)前FGPA技術(shù)開發(fā)過程中引入知識(shí)產(chǎn)權(quán)(intelligent property,IP)核的概念。所謂IP核,是一段經(jīng)過驗(yàn)證、具有特定功能的可重用功能代碼模塊。使用IP核,可以避免簡(jiǎn)單的重復(fù)勞動(dòng),提升業(yè)務(wù)邏輯設(shè)計(jì)的效率。IP核在當(dāng)前FPGA系統(tǒng)開發(fā)設(shè)計(jì)中得到廣泛應(yīng)用。

與基于微處理器的技術(shù)相比,基于FPGA技術(shù)具有更好的網(wǎng)絡(luò)安全特性,如:基于FPGA的儀控系統(tǒng)不需要運(yùn)行龐大的通用操作系統(tǒng)和軟件,極大地減少了網(wǎng)絡(luò)攻擊或惡意行為的攻擊面;基于FPGA的系統(tǒng)設(shè)備具有簡(jiǎn)單且結(jié)構(gòu)化的設(shè)計(jì),其V&V過程更有可能檢測(cè)到潛在惡意設(shè)計(jì)的存在;基于反熔絲技術(shù)的FPGA芯片具有一次性編程的技術(shù)特性,可以有效消除被惡意篡改的網(wǎng)絡(luò)風(fēng)險(xiǎn)。同時(shí),FPGA技術(shù)又有自身獨(dú)有的安全脆弱性[11-12],同樣面臨網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。FPGA技術(shù)在核電領(lǐng)域應(yīng)用的不斷增加,給安全評(píng)審和許可工作帶來新的風(fēng)險(xiǎn)和挑戰(zhàn)。因此,有必要系統(tǒng)分析和研究基于FPGA技術(shù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及防御技術(shù)

核電廠基于FPGA儀控系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),指外部威脅利用FPGA技術(shù)中存在的脆弱性(也稱為漏洞)展開攻擊,給核電廠核安全帶來不利影響的潛在可能性。其中:FPGA技術(shù)的脆弱性是產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的內(nèi)因;外部威脅是產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的外因。內(nèi)外因共同作用,形成核電廠FPGA儀控系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全景。

2.1 脆弱性分析

基于FPGA的核電儀控系統(tǒng)脆弱性分析是一項(xiàng)復(fù)雜的工作,需要站在儀控系統(tǒng)生命周期的角度進(jìn)行全面分析。基于FPGA的核電儀控系統(tǒng)的生命周期可分為芯片開發(fā)、系統(tǒng)開發(fā)和系統(tǒng)運(yùn)行維護(hù)三個(gè)階段。不同階段涉及不同的利益相關(guān)方,具有不同的脆弱點(diǎn)。基于FPGA的核電儀控系統(tǒng)生命周期如圖1所示。

芯片開發(fā)階段主要完成FPGA芯片的設(shè)計(jì)、制造和封裝測(cè)試等工作。利益相關(guān)方包括芯片設(shè)計(jì)廠商、代工廠、封裝測(cè)試廠商等,處于產(chǎn)業(yè)鏈的上游。設(shè)計(jì)廠商進(jìn)行芯片結(jié)構(gòu)設(shè)計(jì)。代工廠主要完成芯片晶圓制造工作。封裝測(cè)試廠商主要完成芯片的封裝測(cè)試工作。這個(gè)過程涉及多個(gè)利益相關(guān)方。任何一方的安全管理疏漏,如不規(guī)范的設(shè)計(jì)流程、不安全的設(shè)計(jì)開發(fā)工具和環(huán)境、不可追溯的代工和封裝管理過程等,都有可能給芯片帶來安全漏洞。大型FPGA芯片制造商都建立了比較完善的安全管理體系,具有較強(qiáng)的安全保障能力。

系統(tǒng)開發(fā)階段主要完成核電儀控系統(tǒng)所需特定功能的二次開發(fā)工作。利益相關(guān)方包括系統(tǒng)用戶、系統(tǒng)開發(fā)商、系統(tǒng)集成商、IP核供應(yīng)商等。系統(tǒng)用戶提出用戶需求。系統(tǒng)開發(fā)商進(jìn)行方案設(shè)計(jì)和設(shè)備選型(包括芯片和IP核),完成系統(tǒng)二次開發(fā)。系統(tǒng)集成商實(shí)現(xiàn)所需功能。這一階段是核電儀控系統(tǒng)建設(shè)、當(dāng)前功能安全評(píng)審和核安全監(jiān)督,以及引入系統(tǒng)網(wǎng)絡(luò)脆弱性的重點(diǎn)階段。不完整的用戶需求、不規(guī)范的二次開發(fā)過程、缺乏安全驗(yàn)證的IP核、不可追溯的集成過程等,都會(huì)給系統(tǒng)帶來開發(fā)漏洞和安全隱患。

系統(tǒng)運(yùn)行維護(hù)階段主要完成核電儀控系統(tǒng)上線后的正常運(yùn)行和維護(hù)。利益相關(guān)方包括系統(tǒng)用戶、系統(tǒng)開發(fā)商和系統(tǒng)集成商等。系統(tǒng)用戶是系統(tǒng)需求提出者和最終系統(tǒng)使用者。在系統(tǒng)開發(fā)商、系統(tǒng)集成商的技術(shù)支持下,系統(tǒng)用戶維護(hù)系統(tǒng)的正常運(yùn)行,定期開展維護(hù)和系統(tǒng)升級(jí)等工作。在這一階段,安全管理缺失、安全意識(shí)單薄、技術(shù)能力有限等,都會(huì)導(dǎo)致潛在的脆弱性。

任何一個(gè)脆弱性被威脅利用后都有可能影響到基于FPGA的核電儀控系統(tǒng)的安全性。所涉及的脆弱性既包括FPGA技術(shù)自身的脆弱性,又包括系統(tǒng)開發(fā)和運(yùn)行過程中由于安全管理薄弱而引入的脆弱性。產(chǎn)生技術(shù)自身脆弱性(如賽靈思-7系列芯片的“StarBleed”漏洞[13])的根本原因是芯片架構(gòu)設(shè)計(jì)失誤,后期一般無法彌補(bǔ)和修正。而系統(tǒng)開發(fā)和運(yùn)行過程中引入的脆弱性,主要源于安全意識(shí)淡薄、安全標(biāo)準(zhǔn)缺失和安全管理不到位,亟需引起人們的高度重視。其中,系統(tǒng)開發(fā)階段涉及的流程和環(huán)節(jié)眾多,是脆弱性分析的重點(diǎn)。

2.2 威脅分析

作為一種新型信息技術(shù),FPGA技術(shù)面臨一系列安全威脅。在FPGA技術(shù)應(yīng)用早期,這些威脅主要源自行業(yè)競(jìng)爭(zhēng)對(duì)手。動(dòng)機(jī)是通過竊取知識(shí)專利以獲取更多的經(jīng)濟(jì)利益或市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)。隨著FPGA技術(shù)在國(guó)防軍事、航空航天等國(guó)民經(jīng)濟(jì)關(guān)鍵基礎(chǔ)領(lǐng)域的廣泛應(yīng)用, FPGA技術(shù)逐漸成為不法分子、恐怖主義甚至是國(guó)際斗爭(zhēng)的工具或手段。動(dòng)機(jī)也逐漸從獲取經(jīng)濟(jì)利益擴(kuò)展到對(duì)人員、環(huán)境甚至國(guó)家安全的傷害。FPGA技術(shù)面臨的威脅主要有以下幾種。

①系統(tǒng)克隆。 FPGA配置文件以位流文件的形式存在。不正當(dāng)競(jìng)爭(zhēng)者不需要了解產(chǎn)品的結(jié)構(gòu)設(shè)計(jì)和技術(shù)原理,通過復(fù)制配置文件即可實(shí)現(xiàn)產(chǎn)品的仿制,從而獲得不當(dāng)利益。由于缺乏可信的技術(shù)能力和質(zhì)量保證過程,這種假冒產(chǎn)品用于高可靠性應(yīng)用時(shí)可能會(huì)產(chǎn)生嚴(yán)重的后果。

②逆向工程。逆向工程又稱逆向技術(shù),是通過對(duì)芯片內(nèi)部電路的分析、整理和提取,了解和掌握芯片的設(shè)計(jì)思路、技術(shù)原理和工藝制造等內(nèi)容,以進(jìn)一步改進(jìn)產(chǎn)品或仿制出功能相近的產(chǎn)品。逆向技術(shù)是一把雙刃劍,既可以被用于芯片漏洞挖掘和木馬檢測(cè)等,又可以被用于知識(shí)產(chǎn)權(quán)盜竊等不正當(dāng)商業(yè)競(jìng)爭(zhēng)領(lǐng)域。

③過度生產(chǎn)。過度生產(chǎn)是進(jìn)行FPGA設(shè)計(jì)剽竊較為簡(jiǎn)單的一種形式。代工廠會(huì)在設(shè)計(jì)廠商要求數(shù)量之外制造額外的芯片,以出售獲利。這在法律上屬于假冒產(chǎn)品,但由于生產(chǎn)出來的產(chǎn)品與原件完全相同而很難被發(fā)現(xiàn)。

④系統(tǒng)篡改。當(dāng)具有系統(tǒng)訪問權(quán)限時(shí),攻擊者通過修改程序設(shè)計(jì)或添加額外邏輯功能,實(shí)現(xiàn)泄漏系統(tǒng)信息或改變系統(tǒng)功能的目的。這被稱為篡改。篡改可以是逆向工程的一部分,或系統(tǒng)篡改本身就是惡意犯罪的目標(biāo)。

⑤旁路攻擊。高端FPGA多采用加密技術(shù)保護(hù)其知識(shí)產(chǎn)權(quán)。研究表明[14-15],攻擊者可以通過對(duì)芯片工作時(shí)的電壓、運(yùn)行時(shí)間和電磁輻射等物理參數(shù)變化的統(tǒng)計(jì)分析,猜測(cè)出其內(nèi)部密鑰。這種攻擊被稱為旁路攻擊。該攻擊具有技術(shù)實(shí)現(xiàn)復(fù)雜、攻擊效率高的特點(diǎn)。該攻擊以差分功率攻擊和電磁攻擊技術(shù)較為典型。

⑥硬件木馬。硬件木馬指FPGA芯片或第三方IP核在設(shè)計(jì)或制造過程中被植入惡意功能電路。當(dāng)滿足某些特定觸發(fā)條件時(shí),惡意功能被激活并執(zhí)行惡意破壞行為。這些惡意功能電路稱為硬件木馬。硬件木馬可以在設(shè)計(jì)生產(chǎn)的多個(gè)工藝過程中被加入。木馬檢測(cè)需要對(duì)設(shè)計(jì)代碼和網(wǎng)表進(jìn)行深入分析,而終端用戶難以檢測(cè)。如何消除電路中硬件木馬隱患已成為業(yè)界關(guān)注的熱點(diǎn)。

以上是FPGA技術(shù)面臨的常見威脅。威脅可以通過威脅主體、動(dòng)機(jī)、表現(xiàn)形式等多個(gè)方面進(jìn)行分類。不同威脅所造成的危害后果也不同。在具體進(jìn)行核電儀控系統(tǒng)威脅識(shí)別時(shí),還要結(jié)合特定的應(yīng)用環(huán)境進(jìn)行針對(duì)性分析,確定每種威脅出現(xiàn)的頻率和危害的大小,以此作為后續(xù)風(fēng)險(xiǎn)處置的依據(jù)。

2.3 安全防御技術(shù)

為應(yīng)對(duì)FGPA面臨的各種威脅,相應(yīng)的防御技術(shù)應(yīng)運(yùn)而生。當(dāng)前的安全防御技術(shù)以增加芯片的機(jī)密性和完整性為出發(fā)點(diǎn),主要有以下幾種。

①防回讀保護(hù)技術(shù)。回讀機(jī)制是FPGA的一個(gè)特點(diǎn),目的是檢測(cè)設(shè)備上程序和數(shù)據(jù)的完整性,但同時(shí)也給系統(tǒng)克隆提供了便利。為防止非授權(quán)的系統(tǒng)復(fù)制,人們通過在程序中設(shè)置一個(gè)可編程位來實(shí)現(xiàn)回讀保護(hù)功能。這種機(jī)制對(duì)基于閃存的FPGA和反熔絲FPGA有效。但對(duì)基于隨機(jī)存儲(chǔ)器的FPGA而言,由于每次啟動(dòng)時(shí)必須從外部加載位流文件,敵手可以輕易截獲位流文件。因此,這種保護(hù)措施效果有限。

②質(zhì)詢-響應(yīng)技術(shù)。質(zhì)詢-響應(yīng)技術(shù)是一種比較簡(jiǎn)單的防克隆技術(shù),又稱為敵我識(shí)別技術(shù)。該技術(shù)的核心思想是為FPGA芯片配備一個(gè)外置安全輔助設(shè)備,一般為一次可編程只讀存儲(chǔ)器,用于存儲(chǔ)加密算法和密鑰。FPGA芯片在每次運(yùn)行前通過質(zhì)詢-響應(yīng)方式檢查外部安全設(shè)備的存在性:如響應(yīng)正確,則芯片正常運(yùn)行;如響應(yīng)錯(cuò)誤,則判斷為克隆環(huán)境,芯片停止運(yùn)行。由于質(zhì)詢和響應(yīng)信息都通過明文位流傳輸,加密算法多采用安全散列算法,整體安全性不高。

③數(shù)字水印技術(shù)。數(shù)字水印技術(shù)是20世紀(jì)90年代末興起的一種FPGA知識(shí)產(chǎn)權(quán)保護(hù)技術(shù)。數(shù)字水印技術(shù)通過在FPGA芯片或IP核中嵌入加密的數(shù)字簽名(即水印)來宣示版權(quán)。當(dāng)發(fā)生產(chǎn)權(quán)糾紛時(shí)可通過檢測(cè)水印的方式來明確知識(shí)產(chǎn)權(quán)。數(shù)字水印技術(shù)目前還存在一定的局限性,如:水印會(huì)給芯片帶來額外的開銷;水印的可檢測(cè)性、可驗(yàn)證性、可跟蹤性技術(shù)還沒有完全成熟等。這些不足限制了水印技術(shù)的實(shí)際應(yīng)用。此外,水印技術(shù)不能跟蹤到核電知識(shí)產(chǎn)權(quán)侵權(quán)的源頭,不能有效解決芯片克隆問題。

④加密保護(hù)技術(shù)。加密保護(hù)技術(shù)綜合使用各種現(xiàn)代加密算法,對(duì)FPGA配置文件等關(guān)鍵信息進(jìn)行加密處理,實(shí)現(xiàn)關(guān)鍵信息的加密存儲(chǔ)、數(shù)字簽名和身份鑒別等保護(hù)功能。在配置文件被加載到FPGA芯片運(yùn)行前,需要進(jìn)行解密和身份認(rèn)證。只有通過解密且身份認(rèn)證正確后,配置位流文件才能正常運(yùn)行。加密保護(hù)是當(dāng)前較為有效的網(wǎng)絡(luò)安全防護(hù)技術(shù)。現(xiàn)代加密算法安全強(qiáng)度高,能有效防止克隆、逆向工程和篡改等攻擊方式,但存在加密成本高、芯片資源受限,以及密鑰易受到旁路攻擊等缺陷[16]。

⑤物理不可克隆功能(physical unclonable function,PUF)技術(shù)。PUF技術(shù)是近年提出的一種新型硬件安全技術(shù)。其核心思想如下。芯片制造工藝的隨機(jī)性會(huì)帶來芯片性能的細(xì)微差異性,如電路的細(xì)微延遲或晶體管閾值電壓的微小波動(dòng)等。這種差異性不會(huì)對(duì)芯片的功能和性能產(chǎn)生影響。但對(duì)于給定的芯片而言,這些差異性是確定和可測(cè)量的,類似于人類的指紋特征,因而可以被用作芯片的身份標(biāo)志。這一標(biāo)志具有唯一性、不可克隆性、非易失性和安全性等優(yōu)點(diǎn)。使用PUF技術(shù)創(chuàng)建密鑰,可以有效防御旁路攻擊,從而打造具有根可靠性的FPGA設(shè)備。PUF技術(shù)是近年硬件安全與可信領(lǐng)域研究的熱點(diǎn)。PUF技術(shù)的缺點(diǎn)是隨著環(huán)境變化和芯片老化,PUF響應(yīng)會(huì)受到單粒子翻轉(zhuǎn)(single event upset,SEU)影響,進(jìn)而影響到標(biāo)志的唯一性。

⑥旁路攻擊防御技術(shù)。旁路攻擊防御技術(shù)有兩個(gè)主要思路:一是盡量降低或減少信息泄漏,提高探測(cè)的難度;二是通過增加噪聲、數(shù)據(jù)冗余和信號(hào)混淆等技術(shù)掩蓋有效信息,提高分析的難度。旁路攻擊防御技術(shù)根據(jù)實(shí)現(xiàn)方式可分為算法級(jí)防御和電路級(jí)防御兩種。算法級(jí)防御指通過引入隨機(jī)數(shù)對(duì)芯片內(nèi)部數(shù)據(jù)進(jìn)行掩蓋,使電路的功耗、運(yùn)行時(shí)間和電磁輻射等信息與真實(shí)運(yùn)算數(shù)據(jù)不完全一致,從而掩蓋真實(shí)的計(jì)算過程。電路級(jí)防御是改變電路自身設(shè)計(jì),構(gòu)建沒有有效旁路泄漏的安全芯片的技術(shù)。目前,有關(guān)旁路攻擊和防御技術(shù)仍處于探索和研究階段。市場(chǎng)上部分高端產(chǎn)品已經(jīng)具備一定的抗旁路攻擊能力。

3 網(wǎng)絡(luò)安全解決方案

時(shí)至今日,網(wǎng)絡(luò)安全不再是一種選擇,而是一種必然。從網(wǎng)絡(luò)安全的角度來看,核電廠基于FPGA儀控系統(tǒng)網(wǎng)絡(luò)安全的重點(diǎn)是維護(hù)系統(tǒng)/數(shù)據(jù)的保密性、完整性和真實(shí)性(身份可驗(yàn)證性)。保密性是確保系統(tǒng)中存儲(chǔ)或傳輸?shù)臄?shù)據(jù)不會(huì)被非授權(quán)實(shí)體獲取。對(duì)核電廠基于FPGA的儀控系統(tǒng)而言,無論是系統(tǒng)設(shè)計(jì)的位流文件,還是系統(tǒng)運(yùn)行中產(chǎn)生的數(shù)據(jù)文件,都具有高度敏感性,要防止被競(jìng)爭(zhēng)對(duì)手或敵人竊取。完整性是確保系統(tǒng)數(shù)據(jù)不會(huì)被意外修改或惡意篡改。這種意外修改或惡意篡改既包括系統(tǒng)內(nèi)部因網(wǎng)絡(luò)傳輸或芯片SEU導(dǎo)致的數(shù)據(jù)錯(cuò)誤,又包括外來攻擊導(dǎo)致的惡意數(shù)據(jù)篡改。真實(shí)性是對(duì)數(shù)據(jù)發(fā)送方和接收方的身份進(jìn)行驗(yàn)證,從而確保身份的真實(shí)可信,以及雙方具有適當(dāng)?shù)臄?shù)據(jù)訪問權(quán)限。

從生命周期的角度來看,核電廠基于FPGA儀控系統(tǒng)的網(wǎng)絡(luò)安全解決方案要在系統(tǒng)的整個(gè)生命周期內(nèi)解決基于FPGA技術(shù)應(yīng)用程序的保密性、完整性和身份可驗(yàn)證性問題。基于FPGA儀控系統(tǒng)的網(wǎng)絡(luò)安全防御體系從硬件安全、設(shè)計(jì)安全和數(shù)據(jù)安全三個(gè)層面建立。基于FPGA的儀控系統(tǒng)網(wǎng)絡(luò)安全防御體系如圖2所示。

圖2 基于FPGA的儀控系統(tǒng)網(wǎng)絡(luò)安全防御體系

芯片硬件安全是系統(tǒng)安全的基礎(chǔ),而密鑰和加密算法則是芯片安全的基石。硬件安全包括兩層含義。

一是硬件本身的安全可信。芯片廠商綜合采取各種加密算法,設(shè)計(jì)芯片的安全架構(gòu),構(gòu)建基于芯片硬件的安全信任根和可信運(yùn)行環(huán)境,為芯片制造和產(chǎn)品供應(yīng)鏈提供安全、可信保證。二是芯片硬件抗物理攻擊的能力(如旁路攻擊等)。根據(jù)業(yè)務(wù)場(chǎng)景和需求不同,芯片廠商提供各種安全等級(jí)不同的芯片。科學(xué)、合理的芯片選型是核電廠儀控系統(tǒng)安全建設(shè)的第一步。

系統(tǒng)設(shè)計(jì)安全是系統(tǒng)安全的關(guān)鍵。系統(tǒng)設(shè)計(jì)安全貫穿了儀控系統(tǒng)開發(fā)的整個(gè)過程。在系統(tǒng)開發(fā)的計(jì)劃、需求、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、評(píng)估的每個(gè)步驟,都需要明確系統(tǒng)的網(wǎng)絡(luò)安全需求。網(wǎng)絡(luò)安全需求既要防范復(fù)制、克隆等傳統(tǒng)威脅,又要考慮硬件木馬等新型威脅。實(shí)現(xiàn)核電廠儀控系統(tǒng)設(shè)計(jì)安全,需要將網(wǎng)絡(luò)安全管理納入質(zhì)量保證體系,確保系統(tǒng)設(shè)計(jì)開發(fā)環(huán)境和工具安全,維護(hù)系統(tǒng)設(shè)計(jì)的安全性和真實(shí)性,定期開展安全評(píng)審和V&V工作。

系統(tǒng)數(shù)據(jù)安全是系統(tǒng)安全的核心,也是儀控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的目標(biāo)。對(duì)此,要綜合采用技術(shù)手段和管理手段,嚴(yán)格限制未授權(quán)實(shí)體對(duì)系統(tǒng)的訪問,確保系統(tǒng)中數(shù)據(jù)的保密性、完整性和真實(shí)性,從而維護(hù)儀控系統(tǒng)的數(shù)據(jù)安全。

核電廠基于FPGA儀控系統(tǒng)的網(wǎng)絡(luò)安全問題是新形勢(shì)下的新問題,涉及專業(yè)面廣,技術(shù)難度大。目前,該問題尚無有效的解決方案。

4 建議

①網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是核電廠面臨的現(xiàn)實(shí)風(fēng)險(xiǎn)之一。加強(qiáng)基于FPGA核電儀控系統(tǒng)的網(wǎng)絡(luò)安全建設(shè),政策導(dǎo)向是關(guān)鍵,標(biāo)準(zhǔn)規(guī)范是基礎(chǔ),能力建設(shè)是核心。對(duì)此,要充分發(fā)揮制度優(yōu)勢(shì),有效整合全社會(huì)資源,立足自主可控,在關(guān)鍵核心技術(shù)上實(shí)現(xiàn)突破,從而切實(shí)提升我國(guó)核設(shè)施的網(wǎng)絡(luò)安全防護(hù)水平。

②核電廠基于FPGA儀控系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理涉及系統(tǒng)全生命周期和整個(gè)產(chǎn)品供應(yīng)鏈,涵蓋了芯片供應(yīng)商、儀控系統(tǒng)開發(fā)商和系統(tǒng)用戶等眾多利益相關(guān)方。因此,各方應(yīng)該面向整個(gè)產(chǎn)品供應(yīng)鏈體系開展風(fēng)險(xiǎn)評(píng)估,正確判明風(fēng)險(xiǎn)形勢(shì)、明確安全目標(biāo)和責(zé)任分工,并綜合采用技術(shù)和管理手段,建立科學(xué)全面的網(wǎng)絡(luò)安全保障體系,從而確保數(shù)據(jù)安全、設(shè)計(jì)安全和硬件安全,實(shí)現(xiàn)風(fēng)險(xiǎn)處置成本效益的最優(yōu)化。

③核電廠基于FPGA儀控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)需要堅(jiān)持“同步規(guī)劃、同步建設(shè)、同步使用”的原則,將網(wǎng)絡(luò)安全工作納入系統(tǒng)立項(xiàng)、采購、建設(shè)、驗(yàn)收、運(yùn)維和退役的每個(gè)階段,明確每個(gè)階段的網(wǎng)絡(luò)安全要求,做好每個(gè)階段的安全評(píng)審和V&V工作。同時(shí),核電廠要建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制,完善預(yù)案、細(xì)化流程,以切實(shí)提高應(yīng)急響應(yīng)能力。

④協(xié)調(diào)處理功能安全與網(wǎng)絡(luò)安全。功能安全和網(wǎng)絡(luò)安全都是儀控系統(tǒng)安全的有機(jī)組成部分,不能也不應(yīng)該被割裂開來考慮。核電廠應(yīng)在系統(tǒng)建設(shè)初期,從概念、邏輯和架構(gòu)上進(jìn)行有效整合,并適時(shí)開展評(píng)估和驗(yàn)證工作,從而妥善解決可能存在的沖突和不一致問題。

5 結(jié)論

首先,本文介紹了FPGA技術(shù)在核能領(lǐng)域的應(yīng)用情況和當(dāng)前的監(jiān)管實(shí)踐。根據(jù)FPGA技術(shù)的特點(diǎn),本文從產(chǎn)品和系統(tǒng)生命周期的角度,全面分析了FPGA技術(shù)存在的網(wǎng)絡(luò)安全脆弱性和面臨的網(wǎng)絡(luò)安全威脅,指出在核電廠中加強(qiáng)基于FPGA技術(shù)儀控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管的必要性。然后,本文結(jié)合當(dāng)前主流防御技術(shù),從硬件安全、設(shè)計(jì)安全和數(shù)據(jù)安全三個(gè)層面,提出核電廠中基于FPGA技術(shù)儀控系統(tǒng)網(wǎng)絡(luò)安全問題的解決方案。最后,本文提出相關(guān)建議,為后續(xù)全面開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、有效提升核電廠網(wǎng)絡(luò)安全水平奠定了基礎(chǔ)。