工业控制系统安全支撑框架及其数据安全传输和存储方法【
技术领域:
】[0001]本发明以可信计算技术为基础提出一种工业控制系统安全支撑框架及其数据安全传输和存储方法,属于工业控制安全领域。【
背景技术:
】[0002]由于工业生产对工控系统可用性的严格要求,工控系统在部署完成后通常不会及时地进行升级、打补丁或杀毒软件病毒库的更新等安全操作。因为新升级或更新后的病毒、木马查杀工具可能在查杀病毒的同时对系统环境造成破坏,进而导致系统崩溃。相比于普通IT系统,工控系统如果停机维护,就会带来巨大的影响,例如重大经济损失、环境污染等。工控系统中通常需要确定这些病毒、木马查杀工具不会对现有系统造成损害的情况下,才对它们进行更新或升级,而不像普通IT系统那样及时。也就是说,相比于传统信息系统,工控系统的安全防护措施存在一定的滞后性。[0003]而随着信息化和工业化的融合,许多工业生产领域的企业管理网与工业控制网开始逐渐地互联互通,以实现管理与控制一体化。在这种情况下,工控系统安全防护措施的滞后性就会为工控系统带来更为严重的安全问题。首先,在系统环境安全方面,现有工控系统主要采用的是各类病毒、木马查杀工具,将这些工具部署于工程师站、操作员站等工控终端以及工控服务器上。这些工具通常是基于代码和行为的特征对系统环境进行检测,需要维护一个病毒、木马的特征库,并及时进行更新。但是,如前所述现有工控系统在升级和打补丁方面存在滞后性,因此工程师站、操作员站等工控终端及工控服务器的系统环境安全性就较难确保。其二,在敏感数据安全方面,由于前述系统环境安全性较难保障的问题,存放在数据库中的业务数据将面临着篡改和泄漏两方面的威胁。例如,攻击者可以入侵系统环境,并对数据库中存放的工艺配方等敏感数据进行篡改,则可能引发生产事故,带来经济损失甚至人员伤亡。此外,数据库中存放的生产计划等数据若被泄漏给竞争对手也会给企业造成巨大影响。其三,在网络安全方面,通常工业控制系统的网络可以划分为现场设备层、车间监控层、生产管理层、企业经营管理层等层次,不同层次间要部署防火墙进行网络的隔离,以阻止攻击在网络间进行蔓延传播。而相比于普通信息系统中的防火墙,工控系统的防火墙需要能够深入分析工业控制协议,具有更细粒度的访问控制,以阻止针对工控通信协议和控制设备自身安全缺陷和漏洞的攻击。这是目前普通的IT防火墙所不具备的。最后,移动介质安全性对于工控系统尤其重要。工业控制系统中经常采用移动介质,例如U盘、移动硬盘等,进行数据拷贝、系统安装和维护,因此,移动介质成为工控系统中病毒或木马等恶意代码传播的重要途径。工控系统需要比普通IT系统更为严格的移动介质安全管控,包括移动介质的认证、恶意代码检测。[0004]总之,为了应对工控系统现有安全防护措施的滞后性以及信息化和工业化的两化融合带来的新的安全威胁,有必要在上述系统环境安全、敏感数据安全、网络安全、移动介质安全四个方面采用新的技术和方法来提高工控系统的整体安全性。【
发明内容】[0005]针对上述技术问题,本发明的目的是提供一种以可信计算技术为基础的工业控制系统安全支撑框架及其数据安全传输和存储方法,用于加强工业控制系统的安全性,阻止恶意代码在工控环境中的运行、及通过网络和移动介质进行传播,同时确保工控系统中敏感数据不被泄漏和篡改。[0006]为了实现上述技术目的,本发明的工业控制系统安全支撑架构主要包括四个必选部分:工控系统可信环境管控平台、可信数据库系统、可信工控系统防火墙、可信移动介质管控系统,以及一个可选部分:数据安全性分析平台,其中:[0007]所述工控系统可信环境管控平台负责基于安全芯片的身份凭证来标识工控系统中的工控终端及工控服务器身份,并保护它们之间的数据通信,同时还负责基于安全芯片对工控系统中的工控终端及工控服务器环境进行可信的度量,并通过白名单方式,仅允许白名单规定的可信进程运行,从而确保工控系统环境的可信性,此外,白名单等安全关键数据将采用所述可信数据库进行保护。[0008]所述可信数据库系统负责基于安全芯片为存储在数据库中的设定敏感数据提供机密性和完整性保护服务,将设定敏感数据与可信的工控系统环境绑定,并将方案的安全性建立在硬件安全芯片基础上,以阻止来自系统环境或内部人员的攻击,进而防止数据泄漏和遭受篡改。[0009]所述可信工控系统防火墙负责对工控系统的网络实施分层隔离,并对工控协议进行高效地分析,进而按照设定的控制规则来控制在不同网络分层之间的数据交互,而这些规则将采用可信数据库系统进行存储保护。[0010]所述可信移动介质管控系统负责根据工控终端接入移动介质的规则对插入工控终端的移动介质进行认证和准入控制,该控制规则将采用可信数据库系统进行安全存储,此外还将利用数据安全性分析平台对移动介质中的数据进行安全性分析,对分析出的恶意代码或文件进行删除或隔离。[0011]所述数据安全性分析平台负责对出入工控系统中的工控终端、工控服务器的数据文件的安全性进行分析,确保数据文件中没有包含漏洞利用代码等恶意代码,同时还负责为工控系统可信环境管控平台提供应用软件白名单认证服务,确保工控系统环境中运行的应用软件不包含恶意行为。[0012]上述框架中每个组成部分的具体实现方式可以采用公知的任意方式来实现。本【
发明内容】主要为上述部分组成的工业控制系统安全支撑平台的框架,即各部分如何在框架中相互结合发生作用,来确保工业控制系统的安全性。因此,下面将进一步详细阐述这些组成部分之间的重要数据的安全传输及安全存储方法。这些重要数据包括:工控系统可信环境管控平台的白名单、可信工业控制防火墙的网络规则、可信移动介质管控系统的管控规则,及其他一些工业控制系统的生产相关的重要数据,例如生产计划、生产配方等。[0013](一)安全传输方法:[0014]上述框架中的每个组成部分所部署的主机(台式机、笔记本、服务器)应该装有安全芯片。这些组成部分可能采用客户端/服务端的架构实现,因此同一个组成部分可能其客户端与服务端位于两台不同的主机上。本发明中,不论是不同组件之间的通信,还是同一组件的客户端及服务端之间的通信都要采用本发明中的方法进行安全的数据传输。[0015]数据传输的双方分别记作源主机S与目的主机D。[0016](I)S与D首先进行双向的远程证明,相互证明自己的安全芯片的身份及主机系统环境的状态,S的身份密钥对为(pks,sks),环境状态记为CS,D的身份密钥对为(pkd,skd),环境状态记为Cd。远程证明后,双方互相知道对方的身份密钥对的公钥及对方的系统环境的当前状态。因为工控环境中没有匿名需求,所以这里的远程证明方法不必采用匿名证明,可以为公知的任意可信计算方法;[0017](2)远程证明结束后,S向D发送一个随机数r,和对r的签名sigsks(r),用于防止重放攻击;[0018](3)D用pks验证签名Sigsks(r),若正确,则D中的安全芯片产生一对不可迀移的非对称加密密钥(pk,sk),且指定该密钥的使用环境为Cd。并将该密钥对(pk,sk)、不可迀移性non-migratable、使用环境信息Cd及随机数r采用skd签名,然后发送给S。即D向S发送:(pk,sk),non-migratable,Cd,r,sigskd((pk,sk),non-migratable,Cd,r);[0019](4)S用pkd验证Sigskd((pk,sk),non-migratable,Cd,r)的正确性,若正确,贝丨J进一步检验随机数r的正确性。若r正确,则再判定Cd是否为符合S设定安全需求的目的主机环境(比如两者使用环境相同)。若符合安全需求,则S产生一个对称的加密密钥k,并利用k加密重要数据Data,然后采用pk将k进行加密。S向D发送encpk(k),enck(Data),r,Sigsks(encpk(k),enck(Data),r);[0020](5)D用pks验证签名Sigsks(encpk(k),enck(Data),r)的正确性,若正确,贝丨」进一步检验随机数r的正确性。若r正确,则利用受安全芯片保护的sk来解密k,再利用k解密出重要数据Data。[0021]在上述步骤(5)中,由于(pk,sk)为受安全芯片保护的不可迀移的密钥对,且sk的使用环境被指定为Cd,因此重要数据在传输过程及传输到目的主机D后,都必须在源主机S认可的目的主机d及其安全环境CdT解密。一旦目的主机D在传输过程中或数据到达后,环境遭受了破坏,则重要数据Data就无法被解密,也就不会造成数据泄漏。此外,若为双向数据传输,则上述过程中的步骤(2)至(5)要由源主机和目的主机互换角色,重新执行一遍即可。[0022](二)安全存储方法[0023]在本框架中虽然采用了可信数据库系统对存储于其中的数据提供了基于安全芯片的机密性和完整性保护,但是当前第1页1 2 3