趙 儉

?

支持遠程安全管控的設備體系結構①

趙 儉

(解放軍信息工程大學, 鄭州 450000)

針對設備遠程安全管控的實際應用需求, 研究提出一款支持遠程安全管控的設備體系結構, 給出設備工作流程和各模塊功能結構. 該體系結構與早期設備能夠有效兼容, 并具有可信特征以保證設備運行安全, 設備采用模塊化設計, 各功能模塊可根據(jù)應用需求進行靈活配置, 同時, 設備支持緊急情況下敏感信息的自動銷毀, 能夠有效提升設備安全管理水平.

遠程管控; 體系結構; 信任管理; 自動銷毀; 實驗驗證

隨著信息技術的不斷發(fā)展, 信息安全問題日益突出, 為保障各類信息系統(tǒng)的安全, 各種安全防護設備得到廣泛應用, 然而這些安全設備自身的安全可控是其能夠實施安全防護, 發(fā)揮效益的基礎. 當前受部分安全設備結構設計的限制, 尚不能全面有效地實現(xiàn)設備的遠程安全管控, 為從根本上解決這一問題需要研究設計一套新型設備體系結構, 該結構應該具有以下特性:

1) 兼容性: 保證新型體系結構的安全設備與早期設備的有效兼容, 確保設備更新?lián)Q代的漸進性, 降低設備更新對正常業(yè)務開展的影響.

2) 可信性: 新型體系結構必須具有可信特征, 保證設備在運行過程中的可信可靠, 從而保證設備的運行安全, 降低被攻擊的風險.

3) 靈活性: 新型體系結構要求具有模塊化結構框架, 能夠對功能進行有效的裁剪, 從而根據(jù)不同應用需求進行功能配置.

4) 安全性: 新型體系結構不但要保證安全設備自身敏感信息的安全, 確保敏感信息能夠在危急情況下的自動銷毀, 同時還要保證監(jiān)控部件的安全, 使其不成為整個系統(tǒng)安全的瓶頸.

遠程控制在各行各業(yè)得到廣泛應用, 文獻[1]研究提出一種PSM電源遠程控制系統(tǒng)的通信方法, 文獻[2]設計了一款無線遠程控制系統(tǒng), 文獻[3-8]基于網(wǎng)絡技術研究了一系列遠程控制系統(tǒng), 這些遠程控制系統(tǒng)的研究對具備遠程安全管控功能的新型安全設備體系結構設計提供了有價值的參考.

面向遠程控制功能的安全設備應該具備以往設備所沒有的環(huán)境狀態(tài)監(jiān)測模塊和可信檢測單元, 從而保證能夠對設備的運行狀態(tài)和運行環(huán)境進行有效監(jiān)測, 同時保證系統(tǒng)運行的可信可靠. 面向遠程控制的新型安全設備體系結構設計應遵循如下設計準則:

1) 專一準則: 設備敏感資源的銷毀只能由設備系統(tǒng)本身完成, 任何其他設備都不具備該能力, 確保銷毀功能的專一性, 從而降低資源誤銷毀概率, 保證系統(tǒng)安全穩(wěn)定的同時也降低系統(tǒng)被攻擊的危險.

2) 獨立準則: 所有輔助遠程控制的模塊或單元僅僅是為安全設備提供環(huán)境及自身狀態(tài)信息, 提供資源消耗的參考數(shù)據(jù), 不參與敏感資源銷毀過程. 同時除安全設備自身外任何其他輔助單元都不能直接或間接訪問敏感資源, 保證其與敏感資源的物理和邏輯隔離.

3) 安全準則: 所有輔助遠程控制的模塊或單元, 必須具有完整的安全體系結構, 不能成為設備的安全瓶頸, 更不能由于其自身的安全性對設備造成威脅.

以上設計準則主要是為了保證設備的安全性和可用性, 以期達到在設備遠程控制等相關功能模塊或單元增加的情況下不給設備自身帶來額外安全風險, 同時又能夠保持與設備彼此間的獨立性, 做到即插即用, 方便集成, 有則提高安全管理水平, 無則維持原有安全強度, 實現(xiàn)最大限度的提供安全保證又不增加任何額外安全風險.

1 面向遠程安全管控的設備體系結構

面向遠程安全管控的設備體系結構框圖如圖1所示.

圖1 支持遠程管控的設備體系結構

具有遠程管控功能的設備體系結構主要包括三個部分(虛線隔開): 遠程控制模塊(RCM, Romote Control Module), 資源管理模塊(RMM, Resource Manage Module)和邏輯控制模塊(LCM, Logical Control Module), 具體如下:

1) 遠程控制模塊(RCM)主要完成環(huán)境信息的采集、無線數(shù)據(jù)的收發(fā)等功能. 該模塊通過無線傳感器網(wǎng)絡或移動通信網(wǎng)絡接收控制端指令并完成數(shù)據(jù)的上傳, 可根據(jù)自身對環(huán)境信息以及周圍其它設備信息的采集隨時向資源管理模塊提供設備安全參數(shù).

2) 資源管理模塊(RMM)能夠根據(jù)RCM模塊發(fā)送的設備狀態(tài)、環(huán)境參數(shù)以及設備運行情況對設備進行安全性評估, 在設備處于危險或危急狀況下能夠給出警報信息并實施敏感資源的銷毀工作.

3) 邏輯控制模塊(LCM)主要完成系統(tǒng)狀態(tài)監(jiān)測、代碼完整性檢查、用戶接入認證等正常的業(yè)務功能, 也要對系統(tǒng)進行可信性檢測, 確保系統(tǒng)運行的可信可靠.

該設備體系結構在不同情況下可以支持四種敏感資源銷毀方式, 多種銷毀方式的存在能夠保證資源消毀的可靠性和及時性, 四種銷毀方式具體如下:

1) 敏感資源在線銷毀: 設備在線條件下, 敏感資源可以通過網(wǎng)絡方式進行銷毀, 該方式方便快捷, 可靠性高, 可以完成批量設備敏感資源的銷毀.

2) 敏感資源遠程銷毀: 通過遠程控制模塊設定的相關指令, 資源管理模塊完成對自身的安全評估后, 資源管理模塊可以進行敏感資源的銷毀.

3) 敏感資源自動銷毀: 在沒有任何一種通信方式能夠確認自身安全, 并且自身安全評估危險的情況下, 資源管理模塊可以自動銷毀敏感資源.

4) 敏感資源手動銷毀: 具備較高權限的管理員可以在通過認證的前提下進行敏感資源的手動銷毀.

面向遠程安全管控的新型設備體系結構設計的最大特點就是將遠程控制模塊、敏感資源存儲模塊與其他功能部件進行獨立設計, 保證彼此間運行的獨立性和互不干擾, 同時系統(tǒng)添加了環(huán)境及狀態(tài)信息采集單元, 以評估設備自身的安全性.

2 面向遠程安全管控的設備功能模塊設計

2.1 遠程控制模塊結構

遠程控制模塊結構如圖2所示, 整個模塊由傳感單元、電池及充電管理單元、MCU片上系統(tǒng)、GSM模塊和ZigBee射頻模塊以及用于連接遠程控制接口和設備狀態(tài)監(jiān)測單元的兩條總線構成.

其中傳感單元主要用來感知環(huán)境信息、收集設備狀態(tài), 并將這些信息整理后適時送入資源管理模塊進行安全評估. GSM模塊和ZigBee射頻模塊主要用來完成無線信號的收發(fā), 其中GSM模塊是可選的, 對于通信距離超出ZigBee網(wǎng)絡覆蓋范圍情況下需要使用, 而ZigBee模塊則是必選. 在設備掉電的情況下, 遠程控制模塊可以利用電池進行供電, 設備上電時可以利用設備提供的電源線進行供電, 同時對電池進行充電.

圖2 遠程控制模塊

遠程控制模塊最大的特點是系統(tǒng)的獨立性, 只完成環(huán)境監(jiān)測、設備狀態(tài)信息獲取和無線數(shù)據(jù)收發(fā)等功能, 它只是為設備敏感資源銷毀提供環(huán)境參數(shù)及相關命令, 而不參與到具體銷毀操作過程當中.

2.2 資源管理模塊RMM結構

圖3 資源管理模塊

如圖3所示, 資源管理模塊主要由微處理器, 敏感資源FLASH, SRAM以及電源管理芯片、充電電池和相關數(shù)據(jù)通信接口組成. 敏感資源FLASH內存放設備相關的敏感資源(口令、算法、參數(shù)等); 微處理器MCU內部可以完成加解密和散列等相關密碼算法, 以便完成通信數(shù)據(jù)的驗證等功能, 保證設備運行的可靠、可信和所收到信息的機密性和完整性, 同時微處理器通過其它模塊送來的環(huán)境和狀態(tài)信息完成自身安全的評估, 微處理器在確定邏輯控制模塊可信可靠的條件下可以將敏感資源寫入邏輯控制模塊的雙端口SRAM當中, 為正常業(yè)務運行提供數(shù)據(jù)資源. 而確定邏輯控制模塊是否可靠的信息來自其信任管理單元TMU, 相關的口令更新等操作也通過與信任管理單元進行相互操作來完成; 必要時刻, 微處理器則可以擦除敏感資源FLASH當中的敏感資源, 保證設備安全. 充電電池和電源管理芯片主要為模塊提供能量支持; SRAM主要是為了微處理器的程序運行提供空間.

從上面描述中可以看出微處理器在資源管理模塊中是非常重要的, 不但要完成敏感資源銷毀工作, 還要進行安全評估、口令更新等工作; 這種資源管理模塊與邏輯控制模塊相互獨立的分體設計更加容易保證系統(tǒng)安全, 當某一個模塊存在安全隱患時, 另一模塊可以通過不配合其工作來降低系統(tǒng)安全威脅.

2.3 邏輯控制模塊LCM結構

邏輯控制模塊如圖4所示, 主要由八部分組成, 下文將分別對其進行介紹.

1) 設備主控微處理器: 主要負責設備的正常業(yè)務運行, 管理、執(zhí)行相關指令和業(yè)務程序, 協(xié)調系統(tǒng)資源等.

2) 運算單元: 相當于主控處理器的協(xié)處理器, 主要完成相關算法的運行, 可以是專用的算法芯片, 也可以是可重構的芯片, 可重構算法生成的具體參數(shù)需要資源管理模塊提供, 以保證算法的安全性.

3) 用戶接入認證單元: 完成用戶身份認證, 保證安全設備使用的安全, 同時根據(jù)用戶及其權限的不同可以通過該模塊向主控微處理器傳達相關操作指令, 完成諸如口令更新, 遠程控制模塊選擇等不同安全級別的操作, 是用戶與設備的接口.

4) 雙端口SRAM: 為主控微處理器提供運行空間, 并在啟動時, 由資源管理模塊載入敏感資源, 以便進行相關運算操作.

5) 電源及接口部件和充電接口: 是設備的供電部件, 通過充電接口可以為資源管理模塊和遠程控制模塊提供電力支持.

6) FLASH: 是主控微處理器存放運行代碼的地方. 不但主控微處理器可以讀取代碼, 信任管理單元也可以對FLASH中代碼進行讀取驗證.

7) 系統(tǒng)狀態(tài)監(jiān)測單元: 主要完成系統(tǒng)狀態(tài)的監(jiān)測, 比如環(huán)境溫度, 系統(tǒng)供電情況、系統(tǒng)運行狀態(tài)、用戶身份權限、設備是否被非法拆卸等, 該單元主要利用一些傳感器及通信信號線完成信息采集.

8) 信任管理單元TMU: 這是邏輯控制模塊上最具特色的部分, 該模塊完成對邏輯控制模塊運行可靠、可信性的驗證、采集系統(tǒng)狀態(tài)信息, 并將信息和驗證結果向資源管理模塊進行上報, 同時在設備進行系統(tǒng)升級和敏感資源更新時, 要通過該模塊的認證后才能進行, 因此可以說該模塊是保證整個系統(tǒng)安全運行的第一關口, 類似于可信計算機系統(tǒng)中的可信平臺模塊TPM. 信任管理單元TMU能夠驗證FLASH中代碼的完整性, 確保運行代碼可靠.

2.4 信任管理單元TMU結構

信任管理單元TMU結構框圖如圖5所示, 主要包括以下幾個基本部件:

1) 總線控制邏輯: 主要完成數(shù)據(jù)、指令進出信任管理單元的管理工作, 協(xié)調保證數(shù)據(jù)流通暢.

2) MCU微處理器: 是信任管理單元的控制部件, 協(xié)調其它各部件的工作, 完成相關的數(shù)據(jù)處理等工作.

3) 狀態(tài)寄存器SR: 主要用來存放設備狀態(tài)信息, 環(huán)境信息, FLASH內部代碼校驗信息、系統(tǒng)初始化口令等, 該狀態(tài)寄存器中的數(shù)據(jù)只能提供給資源管理模塊RMM, 其他任何設備沒有權限讀取.

4) 隨機數(shù)生成器: 用于密碼運算或身份認證過程中的隨機數(shù)生成.

5) 加解密引擎: 用來完成數(shù)據(jù)的加解密操作, 具體加解密算法可根據(jù)實際需要選取.

6) 雜湊引擎: 主要執(zhí)行一些哈希算法, 完成數(shù)據(jù)完整性校驗, 確保數(shù)據(jù)不被修改.

7) 外部相關總線: 主要是與主控微處理器, 資源管理模塊和系統(tǒng)狀態(tài)監(jiān)測單元相通信的數(shù)據(jù)控制總線.

8) 信任管理單元: 主要完成系統(tǒng)狀態(tài), 環(huán)境信息的采集以及保證系統(tǒng)運行可靠可信性的驗證, 資源管理模塊根據(jù)信任管理單元的相關數(shù)據(jù)完成自身安全的評估.

圖5 信任管理單元TMU結構框圖

3 面向遠程安全管控的設備工作流程設計

面向遠程安全管控的設備運行流程如圖6所示, 設備在使用之前, 必需具備以下條件:

1) 設備管理單位必須在信任管理單元TMU中的狀態(tài)寄存器SR內寫入以下信息: 加解密算法的初始口令TIK (TMU Initial Key) 用于管理中心同設備間的通信加密; 各類用戶的ID, 用于評價用戶權限.

2) 資源管理模塊內已設定好各安全參數(shù)的閾值, 用于判斷平臺安全性.

從流程圖中可以看出, 設備工作過程中需要對當前的狀態(tài)及安全性進行評估, 在不夠安全的情況下會向用戶提出報警信息, 由用戶來解決相關問題, 在危急的情況下會自行銷毀密碼資源.

4 系統(tǒng)實驗

為驗證該支持遠程安全管控的設備體系結構功能, 構建如圖7所示的系統(tǒng).

圖7 實驗驗證系統(tǒng)

該驗證系統(tǒng)由支持遠程管控的設備模型、基礎設備和管理中心三部分構成. 其中基礎設置主要借助現(xiàn)有的移動通信網(wǎng)(GSM)和近距離個域網(wǎng)(ZigBee網(wǎng)絡)構建安全設備管控網(wǎng)絡; 管理中心配備相應的通信模塊以實現(xiàn)對設備的安全管理和遠程控制; 支持遠程管控的設備模型依據(jù)其體系結構設計, 由遠程控制模塊(RCM)、資源管理模塊(RMM)和邏輯控制模塊(LCM)共同構成, 實驗驗證中遠程控制模塊基于TC35i移動通信和CC2530的ZigBee通信模塊以及和芯星通 UM220定位模塊等構建, 而資源管理模塊和邏輯控制模塊分別利用聯(lián)想的T430筆記本和M6900臺式機構建, 資源管理模塊(T430)和遠程控制模塊以及邏輯控制模塊(M6900)之間直接通過RS232串行接口線纜連接(T430沒有RS232接口, 通過USB轉RS232模塊實現(xiàn)).

依據(jù)設備工作流程, M6900上運行模擬軟件執(zhí)行系統(tǒng)上電后信任管理單元的FLASH代碼讀取、摘要計算、結果匹配及狀態(tài)記錄等工作, T430上運行模擬軟件執(zhí)行GSM/ZigBee模塊數(shù)據(jù)傳輸、GPS位置信息獲取、FLASH敏感資源的刪除等工作.

驗證時管理中心通過GSM/ZigBee構建的安全管控網(wǎng)絡向受管控的設備發(fā)起刪除敏感資源的管控指令, 該指令通過遠程控制模塊接收解析后傳輸?shù)劫Y源管理模塊, 即對其中的敏感資源信息實施刪除操作; 管理中心發(fā)出獲取受管控設備的位置信息命令, 遠程控制模塊接收解析后, 由T430中的環(huán)境狀態(tài)信息獲取模塊讀取GPS模塊提供的位置信息并經管控網(wǎng)絡返回到管理中心; 其它資源管理模塊和邏輯控制模塊的功能驗證通過編寫相應的軟件實現(xiàn).

經實驗驗證, 該遠程安全管控的設備體系結構具有良好的適應性, 能夠滿足設備遠程安全管控的現(xiàn)實需求.

5 結語

支持遠程安全管控的新型安全設備體系結構劃分為功能基本獨立的三個模塊, 各模塊之間保持有限的通信, 因此具有如下優(yōu)點:

1) 數(shù)據(jù)傳輸單向性: 遠程控制模塊(RCM)與敏感資源保持邏輯上和物理上隔離, 且只能根據(jù)設備的需要為資源管理模塊提供安全參數(shù)和環(huán)境數(shù)據(jù), 無法實現(xiàn)對資源管理模塊(RMM)的控制, 在確保數(shù)據(jù)傳輸單向性的同時也提高了敏感資源的安全性.

2) 資源獲取認證性: 資源管理模塊(RMM)在向邏輯控制模塊(LCM)提供敏感資源之前, 要對邏輯控制模塊(LCM)的工作狀態(tài)進行安全認證, 在確保邏輯控制模塊(LCM)狀態(tài)和運行都正常的情況下才主動送出相關資源, 進一步保證了資源的可靠使用. 同時由于數(shù)據(jù)接口設計采用單向性設計, 也使得敏感資源的傳輸具有單向性.

3) 系統(tǒng)結構靈活性: 遠程控制模塊(RDM)與安全設備接口設計簡單, 能夠實現(xiàn)模塊的熱插拔功能, 以便于系統(tǒng)集成和功能上的裁剪. 同時遠程控制模塊(RCM)的工作狀態(tài)可以通過已認證用戶進行靈活設置, 保證模塊使用的靈活性.

4) 資源銷毀可靠性: 資源管理模塊(RMM)除了具有普通電源接口外, 自身還備有充電電池, 能為資源管理模塊長時間續(xù)航提供保障. 因此即便在設備掉電的情況下仍然可以實現(xiàn)在緊急情況下敏感資源的銷毀.

5) 運行環(huán)境可信性: 邏輯控制模塊(LCM)具有可信的特點, 從系統(tǒng)的啟動到正常運行, 每一個環(huán)節(jié)都有信任管理單元對其進行可信評估, 并將評估結果送給資源管理模塊(RMM)進行檢查, 一旦發(fā)現(xiàn)系統(tǒng)配置出現(xiàn)問題, 則及時提出報警, 保證系統(tǒng)的內部程序、硬件環(huán)境的可信可靠.

1 張猛,姚列英,王英翹.基于CAN總線技術的PSM電源遠程控制通信系統(tǒng).核聚變與等離子體物理,2015,35(1):24–29.

2 陳波,高秀娥,隋廣洲.無線遠程控制系統(tǒng)研究與實現(xiàn).儀器儀表學報,2006,27(z1):573–574.

3 王義樂,宋書中,朱錦洪,代樂宜.基于網(wǎng)絡的遠程監(jiān)控研究.電源技術,2013,37(12):2265–2268.

4 熊瑞平,殷國富.網(wǎng)絡制造環(huán)境下的遠程控制系統(tǒng)研究.計算機集成制造系統(tǒng),2006,12(11):1848–1852.

5 唐洋,謝沖.井控裝置無線遠程控制及監(jiān)控系統(tǒng)設計.制造業(yè)自動化,2013,35(18):51–54.

6 王德文,朱永利,邸劍,翟學明.基于IEC 61850的電力設備遠程控制方法.電力系統(tǒng)自動化,2009,33(5):50–54.

7 鄭娟毅.基于ZigBee技術的家庭WSN及遠程控制研究. 電視技術,2010,34(4):67–69.

8 Li J, Cao S, Duan JX, Gao PC, Hou Y. A novel remote monitoring and control system based on GSM for home security. International Journal of Online Engineering, 2015, 11(4): 34–40.

Architecture of the Remote Control Equipment

ZHAO Jian

(The PLA Information Engineering University, Zhengzhou 450000, China)

Oriented at the actual application demands of the remote control with the information security equipment, this paper proposes an information security equipment structure supporting remote control, and presents the workflow and functional structure of the equipment module. The structure is compatible with the early equipment effectively, and has characteristics of credible to ensure the safe operation of the equipment. The structure adopts module design. Each functional module can be configured flexibly according to application requirements. At the same time, the equipment supports destroying the sensitive information automatically in emergency cases, which can effectively improve the level of safety management of equipment.

remote control; system structure; trust management; automatic destroy; experimental verification

國家自然科學基金(60130607)

2016-04-11;收到修改稿時間:2016-05-12

[10.15888/j.cnki.csa.005510]