1、第 56 卷 第 8 期2023 年 8 月通信技术Communications TechnologyVol.56 No.8Aug.20231014文献引用格式:姚沛嵩,刘测产,潘晓,等.传导性电磁泄露波对物理隔离工业控制系统的入侵研究与分析J.通信技术,2023,56(8):1014-1024.doi:10.3969/j.issn.1002-0802.2023.08.013传导性电磁泄露波对物理隔离工业控制系统的入侵研究与分析*姚沛嵩,刘测产,潘 晓,徐东升,刘 洁,周程辉(中国人民解放军 63796 部队,四川 西昌 615000)摘 要:基于传导性电磁泄漏波仿真了针对物理隔离工业控制系统
2、的入侵过程,检验了物理隔离系统的防护能力。研究表明,在工业控制系统电路中常见的 300 kHz 到 50 MHz 电磁波段中,通信木马发送端在不引起隔离区 AI 模拟量采集模块的采集值明显改变的时候隐蔽性最好;入侵电磁波信号使用 15 MHz 频率发起攻击时通信木马接收端接收效果最好;当被攻击的物理隔离系统的防护能力平均达到-30 dBmV 时,以潜伏通信为目的而不以破坏干扰为目的的硬件木马较难通过传导性电磁泄漏波的方式发挥通信作用。关键词:TEMPEST;电磁泄漏;物理隔离;工业控制系统;入侵中图分类号:TP309.1 文献标识码:A 文章编号:1002-0802(2023)-08-1014
3、-011Research and Analysis on Intrusion of Conductive Electromagnetic Leakage Wave to Physically Isolated Industrial Control SystemYAO Peisong,LIU Cechan,PAN Xiao,XU Dongsheng,LIU Jie,ZHOU Chenghui(Unit 63796 of PLA,Xichang Sichuan 615000,China)Abstract:Based on conductive electromagnetic leakage wav
4、e attacks,this paper simulates the intrusion process against a physically isolated industrial control system and tests the protection capability of the physically isolated system.Research shows that in the electromagnetic band from 300 kHz to 50 MHz,which is common in industrial control system circu
5、its,the communication Trojan sending end has the best concealment when the acquisition value of AI analog acquisition module in the isolation area is not caused to change obviously;When the intrusion electromagnetic wave signal uses 15 MHz to launch an attack,the receiving end of the communication T
6、rojan has the best receiving effect;When the protection capability of the attacked physical isolation system reaches-30 dBmV on average,hardware Trojans aiming at latent communication but not destroying interference are difficult to play a communication role through conductive electromagnetic leakag
7、e waves.Keywords:TEMPEST;electromagnetic leakage;physical isolation;industrial control system;intrusion0 引 言电 磁 泄 漏 发 射 检 测 与 防 护 技 术(Transient Electromagnetic Pulse Emanation Surveillance Technology,TEMPEST)起源于 20 世纪 50 年代的美国国家安全局和国防部联合研究的一个极其隐秘的保密项目1,主要是为了解决信息设备电磁泄漏发射带来的泄密问题。TEMPEST 的主要研究对象是信息设备在正
8、常工作时发射的电磁波。这种电磁波能直接或者间接耦合到导体上传播,还能够通过电磁感应原理在空间四处传播。通过对电磁波的接收、分析 *收稿日期:2023-05-17;修回日期:2023-07-08 Received date:2023-05-17;Revised date:2023-07-081015第 56 卷第 8 期姚沛嵩,刘测产,潘晓,徐东升,刘洁,周程辉:传导性电磁泄露波对物理隔离工业控制系统的入侵研究与分析和解算,可以还原出信息设备所处理的大部分秘密 信息2。在常见的以计算机为主的信息系统中,对电磁泄漏波的攻防斗争十分激烈。攻击方面的研究比较多。文献 3 和文献 4 披露了以色列本古里
9、安大学Yuval Elovici 教授和 Mordechai Guri 博士曾经开展过一系列基于恶意软件的物理隔离网络电磁攻击验证与探索,包括将计算机的显卡变成调频(Frequency Modulation,FM)信号发射器的 AirHopper,通过内存读写泄漏电磁波并用全球移动通信系统(Global System for Mobile Communication,GSM)接 收 的GSMem,以及通过通用串行总线(Universal Serial Bus,USB)写入移动硬盘产生的辐射泄漏并用小型电磁接收器接收和解调的 USBee。以色列的上述研究使得物理隔离的计算机与外界连通,使本该封闭
10、的系统失去了保守秘密的坚固性。文献 5、文献 6和文献 7 采用截获的电磁泄漏信号还原了目标计算机所显示的视频信息。文献 8 分析了键盘输入信息泄露的原理并建立了模型,在实验室环境中对泄漏红信号进行了截获和还原。文献 9 实现了一种基于通用测试设备的用于现场环境的热敏打印机泄漏信息截获与还原系统。文献 10 利用混沌系统的非线性特征,从强背景噪声中的宽带内发现和寻找无任何先验知识的检测微弱泄漏电磁波信号的方法,使得电磁泄漏波携带的秘密信息更容易被拾取和破译。防守方面的研究与攻击方面的研究针锋相对文献 11 和文献 12 从 GSMem 攻击模型中发射器组件的最本质特点出发,提出了针对GSMem
11、 攻击的入侵检测算法。文献 13 指出制定科学合理的 TEMPEST 技术标准,对于提高我国的信息安全总体防护水平有着极其重大的战略意义。文献 14 报道了美国白宫设置的“敏感信息隔离设施”(Sensitive Compartmented Information Facility,SCIF)。SCIF 由“电磁波环”环绕,防止内部笔记本电脑、电话等电子设备的辐射泄漏出 SCIF。美国的这项技术为 TEMPEST 的防护提出了新的参考标准。文献 15 提出了一种基于大数据技术和深度学习方式的电磁木马检测方案,将电磁木马分析的工作由人工转向人工智能。文献 16 构建了一种完备的检测体系,能快速实现
12、现场电磁泄漏态势检测和电磁隔离防护。在工业控制领域,重要的工业控制系统普遍采用了物理隔离的策略以保证系统中的物理设备的安全可控。针对以计算机为主体的信息系统的攻击手段也出现在了工业控制系统中。文献 17 利用恶意代码操纵西门子 S7-1200 PLC 写入 DB 数据块到内存时可以产生特定频率泄漏的特性,验证了基于频移键控(Frequency Shift Keying,FSK)调制并使用简易的软件无线电设备就可在目标附近进行信息窃取的技术,打通了工业控制系统与外界的联系路径,使物理隔离措施失效。文献 18 对核电领域的信息安全进行了安全防范分级,并根据分级结果对安全级分布式控制系统(Distr
13、ibuted Control System,DCS)提出了具体的隔离方案。上述的研究目标主要聚焦在对秘密系统泄漏信息的分析与还原,而对如何利用电磁泄漏波对物理隔离的工业系统进行入侵和防护却少有人提及。本文仿真了基于传导性电磁泄漏波攻击物理隔离工业控制系统的入侵过程,检验了物理隔离系统的防护能力。本文中的物理隔离的工业控制系统简称为生产区,某一西门子 ET200M 型采集从站简称为隔离区,某一数据中心简称为信息空间,以潜伏通信为目的而不以破坏干扰为目的木马简称为通信木马。本文以某数据中心为假想木马沦陷区,以数据中心分布在现场的某一西门子 ET200M 型采集从站为假想攻击发起点,模拟了通信木马发
14、送端利用电磁泄漏波与物理隔离的工业控制系统的可编程控制器(Programmable Logic Controller,PLC)机架上假想的通信木马接收端的联通。研究表明,在工业控制系统电路中常见的 300 kHz 到 50 MHz 电磁波段,隔离区通信木马发送端在不引起隔离区模拟量输入(Analogy Input,AI)模块的采集值明显改变的时候隐蔽性最好;入侵电磁波信号在隔离区使用 15 MHz 频率发起攻击时,生产区通信木马接收端的接收效果最好;当加强防护后被攻击的物理隔离系统的防护能力平均达到-30 dBmV 时,以潜伏通信为目的而不以破坏干扰为目的的硬件木马较难通过传导性电磁泄漏波的方
15、式发挥通信作用。1 实验原理隔离区的西门子 ET200M 型采集从站正常工作时,其背景电磁波噪声如图 1 所示。从图中可看出,050 MHz 是其正常工作时的电磁泄漏波段。当基于硬件芯片技术或 SDR 软件定义无线电技术的通信木马被植入隔离区的时候,该木马应当发出 050 MHz范围内的攻击信号,才具有最佳隐蔽能力。1016通信技术2023 年经进一步查验,本文实验平台泄漏的背景噪声主要集中在 300 kHz 到 50 MHz,以下研究也就限定在这个电磁泄漏波段。在此频段内,隔离区的通信木马发出的电磁波信号的幅值需要适中,过大容易造成芯片损坏或者暴露自身,过小则需要生产区内部的接收端硬件木马十
16、分敏感并且会增加植入的成本和难度。在本文实验环境下,隔离区木马攻击信号幅值只要不超过下文研究得到的幅值,隔离区的AI 模块采集到的数值的就不会发生可观测到的波动或者其他一些电子元件异常,隔离区木马也可更好地隐蔽。为进一步阐述本文的实验原理和流程,搭建了实验平台。如图 2 所示,平台共分为生产区、隔离区和信息空间 3 个部分。生产区是需要被保护的物理隔离工业控制系统,具备常见的典型工业现场直流信号,如数字量输入(Digital Input,DI)模块、数字量输出(Digital Output,DO)模块、AI 模拟量输入模块、模拟量输出(Analogy Output,AO)模块和模拟负载。生产区
17、的上述直流信号只能通过“1 入 2 出”的分流器和 4 根双芯屏蔽铜缆和光电耦合隔离器单向同步到隔离区的 DI、AI 模块中。隔离区的西门子 ET200M 从站将同步的信号以光纤形式的 PROFIBUS-DP 总线传输到信息空间的西门子 S7-414H 型 PLC 中。该 PLC 又通过以太网协议把生产区信号上传至数据中心。文献 19 和文献 20 均指出电源线能够被恶意程软件或程序控制利用,从而产生电磁信息泄漏,因此该实验平台 3 个部分的电源各自独立。文献 21 指出公共阻抗耦合也会造成信息泄露,因此实验平台的接地也各自独立。生产区采用不间断电源(Uninterruptible Power
18、 System,UPS)电源和 UPS 电源的接地,隔离区采用另外一个专用的隔离区电源和独立的工艺地。两个电源和两个接地之间无耦合关系,并且它们之间的空间距离均大于 5 m。生产区和隔离区之间的屏蔽铜缆外层接地,铜缆内的双芯成对使用并加装滤波磁珠以降低差模入侵信号,内芯每根线缆都加装滤波入地电容,以降低共模入侵信号。由于差模入侵信号被滤波磁珠和平衡双线模式抵消,因此本文主要研究的是共模入侵信号。信息空间与隔离区之间是光缆形式,即使数据中心是一个被木马攻陷的区域,木马驱动的电磁信号也几乎不可能从光纤通过传导性电磁泄漏波的方式传导攻击信息,故下述的实验过程将忽略信息空间的 S7-414H 机架,只
19、研究隔离区向生产区的电磁泄露波渗透攻击。实验平台中直流信号通过光电耦合隔离器实现了生产区向隔离区的单向传送,而交流信号则需要测量从隔离区向生产区的逆向传输衰减相对量,以验证通信木马的攻击效果。为此,使用函数发生器模拟通信木马的发送端,通过生产区和隔离区之间的 4 根双芯铜缆向物理隔离的工业控制系统发起攻击。在生产区各接线端子处使用混合域示波器仿真定制过的通信木马接收端,利用其显示屏实时显示来自通信木马发送端的遥控信号。以 dBmV 为测量单位计量通信木马发送端和接收端的信号电压值大小之差,即可得到隔离区逆向攻击生产区的信号衰减量。这个衰减量表征了通信木马在保证自身不暴露的情况下的攻击能力,也表
20、征了原理样机抵御传导性电磁泄漏波的防护能力。图 1 隔离区正常工作时的电磁泄漏波频谱1017第 56 卷第 8 期姚沛嵩,刘测产,潘晓,徐东升,刘洁,周程辉:传导性电磁泄露波对物理隔离工业控制系统的入侵研究与分析2 实验平台及测量仪器2.1 函数发生器泰克 AFG31052 函数发生器可模拟发送最大幅值 10 Vpp,频率 050 MHz 的正弦波、矩形波、三角波等信号。周期性信号经傅里叶转换后,其 1 倍频幅值最大,可以作为表征该信号的特征加以利用。本文中使用了该仪器的正弦波输出功能,用来仿真隔离区通信木马信号快速傅里叶变换(Fast Fourier Transformation,FFT)转
21、换后的主瓣频率,该主瓣频率表征了通信木马发送端的信号特征。2.2 混合域示波器泰克 MDO3022 混合域示波器自带了频谱分析仪功能。使用该功能可以快速地分析工业控制系统的背景噪声和传导信号的频谱特征。背景噪声是指在生产区和隔离区各自独立加电、外部电磁环境稳定的时候在线缆、接口处测得的相对共模电压,单位为dBmV。2.3 生产区分流柜原理样机该机用于模拟需要被保护的物理隔离的工业控制系统,工作原理见图 3,实物见图 4。其中,图 3中点划线内的原件属于隔离区。“旋转开关”仿真了工业现场常见的操作按钮、行程开关的动作。“DI 分流器”模拟了生产区常见的内外电路的隔离和信号多处使用的惯常做法。“D
22、I隔离器”仿真了生产区分流柜原理样机和隔离区采集从站的直流信号隔离。DI 模块的输入电平由“旋转开关”的位置决定。当“旋转开关”接通“24 V直流电源 2 正泰”时,高电平加载到 1 进 2 出的“DI分流器”的线圈上。该分流器等价于1个电磁继电器,当线圈得电后,它的衔铁会接通 A 和 B 两路触点。A 路触点接通后将“24 V 直流电源 1 明纬”的高电平施加到 DI 模块输入端子,DI 模块接收到高电平信号“1”。反之,断开“旋转开关”时,DI 模块接收到低电平信号“0”。接通 B 路触点后会将闭合开关这一状态信息通过“DI 隔离器”单向发到隔离区采集从站。22 k 电阻和 680 电阻起
23、到限制DI、DO 隔离器输出电流大小的作用,降低隔离区在 B 路和 D 路中的电磁泄漏辐射和传导强度。DO模块输出高电平信号“1”时,1进2出的“DO分流器”在高电平的驱动下,接通 C 和 D 两路触点,起到隔离不同电路和信号复用的功能。C 路触点控制指示灯的明灭。“指示灯”模拟了工业现场执行器的供电回路的接通动作。接通 D 路触点后,将DO模块输出高电平信号“1”这一状态信息通过“DO隔离器”单向传递给隔离区采集从站。“DO隔离器”起到“信号二极管”的作用。直流电流发生器向AI模块输入420 mA电流,该电流信号流入 1 进 2 出的“AI 分流器”后,会输出 E 和 F 两路同样大小的电流
24、。E 路电流直接进入AI模块,F路电流通过AI隔离器单向传递到隔离区。“AI 分流器”及下文的“AO 分流器”作用相同,均是实现电路的隔离和信号复用。滤波磁珠 生产区 直流信号 通信木马接收端(混合域示波器)隔离区 直流信号 通信木马发送端(函数发生器)ET200M PROFI BUS-DP光缆UPS电源地 独立工艺地 生产区UPS电源AC220 V 隔离区电源AC220 V 屏蔽接地 滤波磁珠 信息空间 S7-414H 电源地 信息空间电源AC220 V 以太网 数据中心 物理隔离工业控制系统 滤波入地电容 图 2 实验平台网络结构1018通信技术2023 年图 4 生产区分流柜原理样机实物
25、AO 模块的输出由 AO 分流器作为仿真负载。1 进 2 出“AO 分流器”将 AO 模块输出的电流等值地克隆成 G 和 H 两路电流。G 路电流驱动 248.5 仿真负载和指针式电流表,H 路电流通过“AO 隔离器”单向流入隔离区。2.4 隔离区西门子 ET200M 采集从站如图 5 所示,来自生产区的 B、D、F、H 路信号分别表征了 DI、DO、AI、AO 共 4 种常见的工业控制系统电路。对只采集数据不控制设备的隔离区ET200M 从站而言,经过 DI、DO 隔离器之后,B路和 D 路是相同的电路,具有相似的电磁泄漏波特征,只需要在 DI 模块处设置“通信木马模拟攻击点 1”即可对数字
26、量传输的 DI、DO 回路进行测试。同样地,在AI模块处设置“通信木马模拟攻击点2”,对模拟量传输的 AI、AO 回路进行频谱测试。DI 模块与 ET200M 通信模块之间靠西门子自定义的背板总线通信,因原理样机中有滤波入地电容、滤波磁珠等防护手段的存在,隔离区和生产区之间的交流阻抗很大,背板总线的负载能力又很有限,在此处加载大功率的通信木马难度较大。另外,ET200M 与 S7-414H 的 CPU 模 块 通 过 PROFIBUS DP 总线的光纤形式通信,从 CPU 模块传导到生产区的电磁泄漏波功率更小。因此,将模拟的通信木马发送端设置在离隔离区最近的 DI 模块和 AI 模块上是合理可
27、行的。G路DI分流器24 V直流电源旋转开关2 正泰-22 k680 DI模块24 V直流电源1明纬24 V直流电源1明纬-DI隔离器A路B路DO分流器22 k680 DO模块24 V直流电源2正泰24 V直流电源2正泰-DO隔离器C路D路-直流电流发生器AI分流器AI模块AI隔离器指针式电流表AO分流器AO模块AO隔离器A 隔离区采集从站F路E路H路指示灯248.5 图 3 生产区分流柜原理样机工作原理1019第 56 卷第 8 期姚沛嵩,刘测产,潘晓,徐东升,刘洁,周程辉:传导性电磁泄露波对物理隔离工业控制系统的入侵研究与分析通信木马发送端攻击点的信号加载方式使用变压器的方式感性注入,如图
28、 6、图 7 所示。将变压器的初级线圈连接到函数发生器的射频输出端口,次级线圈串联到 DI 模块和 AI 模块的直流输入回路中,在函数发生器中设置需要的频率和幅度,最终形成了通信木马的发送端。混合域示波器测量背景噪声和 DI 模块、AI 模块混入仿真木马信号后的直流回路中的电磁泄漏波源头感应电压。函数发生器和混合域示波器均采用电池的方式供电,避免污染电网和从电网中引入干扰信号。接地方式均为浮动接地,避免干扰地网和地网电位不相等带来的测量误差。图 6 通信木马发送端背景噪声和发送电压值测试实物2.5 信息空间原理样机信息空间原理样机实物如图 8 所示,主要由西门子 S7-414H 的 CPU 模
29、块、PROFIBUS DP 光电转换模块、工业交换机、上位机组成,用以将各个ET200M从站的数据收集汇总,并上传至数据中心。上位机(图中未显示)安装 STEP7 编程软件实时显示来自生产区的 B、D、F、H 路信号状态和数值。AI 模块AI 分流器混合域示测量线感性注入变压器函数发生器输入线图 7 感性注入仿真通信木马的电磁波信号AI模块22 k680 DI隔离器B路AI隔离器F路DO隔离器D路AO隔离器H路DI模块S7-414HCPU模块 背板总线屏蔽双芯铜缆ET200M通信模块PROFIBUS DP总线(光纤)以太网22 k680 通信木马模拟攻击点1 通信木马模拟攻击点2 背板总线数据
30、中心函数发生器 变压器 函数发生器 变压器图 5 隔离区通信木马发送端设置原理1020通信技术2023 年图 8 信息空间原理样机实物3 实验步骤和数据分析3.1 寻找仿真通信木马发送端宿主敏感点文献 22 通过强电磁脉冲辐照测试,发现了某类电子设备的电磁后门耦合注入敏感点。本文采用类似的注入手段,检验通信木马宿主的敏感点。本文研究的通信木马特指具有潜伏性并且周期性释放电磁泄漏波的木马。此种木马最大的危害在于长期潜伏,很难被发现。为达此目的,其电磁泄漏波的功率或者幅值必然不能引起宿主器件的明显异常。隔离区 DI 模块的输入状态是依靠内部发光二极管的导通与否来判断的。经测量原理样机中 DI模块的
31、发光二极管的直流电阻约为 2 k,导通电压高达 1330 V。通信木马驱动外部接线端引起此发光二极管误动作的概率很低。另外,隔离区的 DI模块输入电压来源于 24 V 直流电源,通信木马信号叠加在此电源上会产生更强的辐射范围和传导范围。因此,在 DI 模块处隐藏通信木马的发送端是比较理想的选择。然而,由于各种耦合路径的存在,DI 模块处过大的木马电磁波幅值会耦合到 AI 模块,从而出现被人察觉的异常。原因是 AI 模块电流采集过程是周期性接通测量回路中阻值为 25 的转换电阻,将电流信号转换为电压信号。即使从 DI 模块处耦合来的攻击信号幅值很小,也会在 AI 模块模数转换电阻上产生电压累积若
32、攻击信号正周期幅值正好和电流测量时刻重叠,则会增大电流测量值;反之会减小测量值,从而出现容易被人觉察的测量误差。因此,AI 模块是通信木马发送信号的敏感元器件,容易表征出木马的存在。本文以 AI 模块发生异常的敏感点为突破口,找到了不同采集电流值在各种频率条件下通信木马发送端电磁波幅值的最大值。当木马信号幅值超过这些最大值时,则引起AI 模块电流采集值的明显变化,从而暴露自身。寻找敏感点幅值大小的过程如下:(1)感性注入木马电磁信号。如图 7 所示,将 1 1 隔离变压器次级线圈串联在 AI 模块接线端子入线上,通过感性注入的方式,在 AI 模块施加各种频率的正弦波信号。从 AI 模块内部向其
33、接线端子看,函数发生器和 AI 模块共同组成了一个带有通信木马发送端的有源二端网络。(2)寻找 AI 模块敏感点。具有攻击性的有源二端网络首先自身要稳定,不能引起自身的 AI 模块测量误差。为此,在函数发生器上输入不同频率、不同幅值的正弦波信号。此外,还需要从生产区发送过来 420 mA 范围的电流信号,以同步考虑 AI 模块不同输入电流值时对正弦信号的敏感度。以生产区输出 11 mA 电流为例,首先在生产区直流信号发生器上控制图 5 的“F 路”电流输出值为 11 mA,隔离区 AI 模块处就得到了 11 mA 电流;其次在 11 mA 电流的条件下,从 100 Hz 开始到 50 MHz
34、结束,在每一个抽检的频率点上逐渐调大输出射频信号的幅值大小。同时,还需在隔离区上位机 STEP7 编程软件中观察 ET200M 从站 AI 模块的采集值变化情况。当发现 AI 模块采集值出现异常变化时,就记录下当前的信号幅值,该幅值就是当前频率和当前电流值下能引起木马暴露的 AI 模块最小敏感点电压。测量各种条件下的数值绘制出如图 9 所示的最小敏感电压-频率-电流曲线Vmin(f,I)三维态势。(3)简化三维态势图为二维图。从图 9 的敏感电压坐标轴的视角来看,仿真的通信木马电磁信号的幅值在任何电流值和任何频率条件下都不能超过 AI 模块的最小敏感值才具有最佳的潜伏能力。因此,选取最小敏感点
35、电压绘制了排除电流因素后简化的敏感电压-频率特性图,如图 10 所示。根据图 10 可知,可以忽略不同电流值对测量结果的影响,降低后续实验的工作量。1021第 56 卷第 8 期姚沛嵩,刘测产,潘晓,徐东升,刘洁,周程辉:传导性电磁泄露波对物理隔离工业控制系统的入侵研究与分析3.2 测量背景噪声背景噪声是在原理样机无木马存在并且正常工作时向外释放的电磁泄漏波。在计算真实信号电压值时,应去除背景噪声。使用混合域示波器的频谱分析功能,选取图 10 所示的曲线转折点,对隔离区和生产区的背景噪声分布进行测量,示波器参数设置相同,如表 1 所示。表 1 测量背景噪声时混合域示波器参数设置序 号参 数设置
36、值1参考电平62.0 dBmV2中心频率曲线转折点3跨度200 kHz4分辨率带宽(Resolution Band Width,RBW)245 Hz5窗函数直角在隔离区 DI 模块和 AI 模块分别与函数发生器组成的有源二端网络接线端子处测得的背景噪声如表 2 所示。生产区的背景噪声与接线端子的位置有关,测得的背景噪声如图11的位置-频率-衰减量曲线所示。表 2 隔离区曲线转折点的背景噪声频 率/MHzDI 回路攻击点 1 噪声/dBmvAI 回路攻击点 2 噪声/dBmv0.3-33-330.4-35-391-32-331.5-33-333.5-39-364-37-284.5-38-355-
37、38-3310-44-3615-40-4020-43-4030-37-4232-37-4235-43-4140-44-4150-44-451.E+02 10 5-10 0-5 7.E+023.E+059.E+054.E+062.E+075.E+0757911105013151719频率/Hz敏感电压/Vpp电流/mA图 9 AI 模块敏感点Vmin(f,I)三维态势频率/Hz100.0 Hz,10300.0 kHz,1040.0 MHz,1050.0 MHz,1010.0 MHz,835.0 MHz,715.0 MHz,620.0 MHz,5400.0 kHz,6500.0 kHz,31.0
38、MHz,31.5 MHz,2.53.5 MHz,2.54.0 MHz,1.54.5 MHz,1.525.0 MHz,430.0 MHz,45.0 MHz,41.E+00敏感电压/Vpp 12 10 8 6 4 2 01.E+011.E+021.E+031.E+041.E+051.E+061.E+071.E+08图 10 排除电流因素后简化得到的 AI 模块敏感点特性1022通信技术2023 年3.3 测量隔离区发起攻击时含背景噪声的信号电压值如图 5 所示,攻击点共有 2 处。当攻击从 DI模块中发起时,B 路和 D 路开关触点可能是闭合也可能是断开,显然当开关全部闭合时,隔离区渗透进入生产区
39、的传导性电磁波能量更多,通信木马的信号强度就更大,故仅研究攻击点 1 在 B 路、D 路全部闭合时的情况即可。当攻击从AI模块中发起时,AI、AO 隔离器是同种型号的光电耦合器,F 路和H 路的传导特性也大致相同,故仅研究攻击点 2 在F 路或 H 路任意一路的信号电压值即可。以下数据在 2 处攻击点都不引起 AI 模块宿主敏感的时候测得。使用混合域示波器测得隔离区攻击信号与背景噪声叠加在一起的电压值如表3所示,该表中的值减去表 2 中的值即可得到攻击信号的相对信号电压值Vgj。3.4 测量生产区受攻击后各个传导性接口的信号电压值生产区和隔离区之间只有 4 根双芯铜缆连接,如图 5、图 6 所
40、示,但是传导性电磁泄漏波在进入生产区原理样机后,从各个导线端子连接处进入PLC 机架上的 CPU、DI、DO、AI、AO 模块。因此,需要使用混合域示波器在各个模块的接线端子处进行对地共模电压的测量,以准确描绘生产区被传导性电磁泄漏波攻击后的电压分布规律。图 12 中各个悬空的引线就是图 11、图 13、图 14 中位置坐标轴所对应的“生产区关键点”。在各个点测得的电压值去除背景噪声后,就得到通信木马在最佳隐蔽条件下发起攻击后生产区接收到的相对信号电压值Vjs。表 3 隔离区发起攻击时各个关键频率点测得的含背景噪声的信号电压值频率/MHzDI 回路攻击点 1 电压/dBmvAI 回路攻击点 2
41、 低压/dBmv0.32740.426-4127101.529173.53224427194.5272053731105048154846204638304745324946354948404846503035图 12 生产区用于测量传导性电磁泄漏波分布规律的引线频率/Hz50.0AO 模块接线端子 1-3 AI 模块接线端子 1-2 DO 模块接线端子 1-2 DI 模块接线端子 1-3 CPU 模块接线端子 1-2 DC24 V 电源模块接线端子 40.0生产区端子点35.032.030.020.015.010.05.04.54.03.51.51.00.40.3-60.00-40.00衰减
42、量/dBmV-20.00 0.00-20.000.00-40.00-20.00-60.00-40.00 图 11 位置-频率-衰减量曲线1023第 56 卷第 8 期姚沛嵩,刘测产,潘晓,徐东升,刘洁,周程辉:传导性电磁泄露波对物理隔离工业控制系统的入侵研究与分析3.5 计算攻击信号到达生产区后的相对衰减量将以上测到的攻击信号相对值Vgj减去生产区接收到的相对值Vjs,就可以计算出攻击信号到达生产区后的相对衰减量V。使用绘图软件分别绘制出入侵信号从 DI 回路高电平信号传输状态下攻击时的衰减量V,如图 13所示,以及入侵信号从 AI 回路攻击时的衰减量V,如图 14 所示。50.040.035
43、.032.030.020.015.010.05.04.5频率/MHz4.03.51.51.0-30.000.00-60.00-30.00-90.00-60.00 0.40.3 0.00-30.00-60.00-90.00衰减量/dBmV图 13 入侵信号从 DI 回路攻击时的衰减量50.040.035.032.030.020.015.010.05.04.5频率/MHz4.03.51.51.0-25.000.00-50.00-25.00-75.00-50.00 0.40.3 0.00-25.00-50.00-75.00衰减量/dBmV图 14 入侵信号从 AI 回路攻击时的衰减量3.6 数据分析
44、从图 10 可以看出,4.5 MHz 是 AI 模块最敏感的波段,通信木马的发送端应避免在此波段进行通信,以免过度干扰 AI 模块的采集精度。当然,若木马是破坏干扰型的,则应在此波段进行攻击,效果才最明显。从图 13 和图 14 可以看出,生产区受攻击的各个接线端子上的共模电压变化趋势基本相同,即随着频率的升高先升高后降低。入侵电磁波信号在隔离区使用 15 MHz 频率发起攻击时,生产区通信木马接收端接收效果最好。原因是 4 根双芯电缆的长度均为 5 m,正好是 15 MHz 电磁波波长的 1/4,电磁波在电缆内反射加强,与文献 23 的实验结果一致。15 MHz 到 50 MHz 范围的电磁
45、泄漏波沿着导线传递的能力逐渐减弱,是由于趋肤效应使得导线在传输高频信号时的阻抗增加,效率降低。被攻击的物理隔离工业控制系统的防护能力平均达到-30 dBmV,相当于模拟的木马攻击信号电压的有效值被衰减到原来的 3.1%大小。再考虑到实验中发现背景噪声中与攻击信号频率接近的杂波数量多、幅值大,且通信木马接收端的滤波处理难度较大,因此以潜伏通信为目的而不以破坏干扰为目的的硬件木马较难通过传导性电磁泄漏波的方式发挥通信作用。4 结 语本文研究表明,在工业控制系统电路中常见的300 kHz 到 50 MHz 电磁波段,隔离区通信木马发送端在不引起隔离区 AI 模拟量采集模块的采集值明显改变的时候隐蔽性
46、最好;入侵电磁波信号在隔离区使用 15 MHz 频率发起攻击时,生产区通信木马接收端接收效果最好;当被攻击的物理隔离工业控制系统的防护能力平均达到了-30 dBmV 时,以潜伏通信为目的而不以破坏干扰为目的的木马较难通过传导性电磁泄漏波的方式发挥通信作用。然而,本文仅研究了基波的影响,没有考虑谐波和脉冲的影响。下一步应着手研究多次谐波信息泄露、非周期脉冲形式信号入侵、直流电源输出端滤波,以及使用更好防护效果的光缆、柜体、铜芯电缆、滤波入地电容来提高防护效果。参考文献:1 沈家楠.谈谈 TEMPEST 技术 J.系统工程与电子技术,1990,12(10):53-60.2 张洪欣,吕英华.电磁信息
47、泄漏技术及其发展 J.安全与电磁兼容,2004(6):39-43.3 GURI M,MONITZ M,ELOVICI Y.USBee:Air-gap covert-channel via electromagnetic emission from USBC/2016 14th Annual Conference on Privacy,Security and Trust(PST),2017:264-268.4 苗春卫.电磁信息安全技术研究现状与发展趋势 J.保密科学技术,2019(2):5-11.5 杨文翰.实用化的计算机辐射信息截获技术研究 D.北京:北京邮电大学,2011.6 张南.计算机
48、电磁信息泄漏与视频信息认知研究 D.北京:北京邮电大学,2019.7 董士伟.信息电磁泄漏研究 D.西安:西北工业大学,2003.8 周一帆.键盘输入的电磁泄漏与信息截获 D.北京:1024通信技术2023 年北京邮电大学,2014.9 郭寒冰.基于 FPGA 的打印机信息泄露截获与还原技术研究 D.北京:北京邮电大学,2017.10 陈新国.数字系统微弱泄漏电磁波信号检测方法研究 D.武汉:华中科技大学,2012.11 刘飚.基于机器学习的密码芯片电磁攻击技术研究 D.北京:北京邮电大学,2014.12 聂凯.物理隔离网络攻击的入侵检测算法 D.郑州:郑州大学,2017.13 杨宏宁,孙德刚
49、,杜虹.加快 TEMPEST 标准建设 J.信息安全与通信保密,2003,1(3):20-23.14 VAIDYANATHAN R,王思叶.敏感信息隔离设施:美国总统的保密会议室J.保密科学技术,2011(4):77.15 孙金光.基于机器学习的系统电磁环境异常检测技术研究 D.成都:电子科技大学,2019.16 寇云峰,陈永祥,丁建锋,等.一种针对电磁传导泄漏威胁的现场快速检测系统 J.通信技术,2019,52(3):718-723.17 ARCH D,LASHENKO G.Exfiltrating Reconnaissance data from air-gapped ICS/SCADA
50、netowrksEB/OL.(2017-12-04)2017-12-15.https:/ 刘官荣,张谊,黄鹏,等.核电厂安全级 DCS 信息安全隔离方案研究 J.仪器仪表用户,2018,25(2):92-94.19 徐艳云,黄伟庆,范伟,等.基于电源线的电磁信息泄漏建模与实验分析 J.中国科学:信息科学,2015,45(10):1341-1354.20 刘文斌,丁建锋,寇云峰,等.软件定义电磁泄漏技术与应用分析 J.通信技术,2017,50(9):2094-2099.21 莫凡.计算机伴随电磁发射的视频信息认知及还原技术研究 D.北京:北京邮电大学,2013.22 丁建锋,刘文斌,廖翔宇,等.