而确保敏感数据的使用必须在安全环境中。而存储信任根又位于安全芯片内部,攻击者要非法获取它就必须攻破硬件芯片,极大地提高了数据的安全性。
[0060]其三,可信工控系统防火墙被用于不同网络层或区域之间的隔离。通过对工控协议的解析,能够识别出一些恶意的数据包。例如,包含有非法的控制符或使用了可疑端口等的数据包将被防火墙阻拦,并发出警报。虽然防火墙的具体访问控制规则需要管理员根据实际的环境进行配置,但是防火墙对于工控协议解析的支持是不可或缺的。只有防火墙能够解析更多的协议,其对于访问控制规则的描述和实施能力才会更强。这些访问控制规则将采用上述的可信数据库进行安全存储,以确保不会被攻击者篡改。
[0061 ] 其四,可信移动介质管控系统的客户端将被部署于每个可以插入移动介质的主机上,由其为主机执行移动介质的识别,并依照预先定义的规则进行准入控制。例如,移动介质A不允许插入主机X等规则。这些规则是由可信移动介质管控系统的服务端进行统一配置和管理的。而这些规则也将被存入可信数据库进行安全保护,以确保不会被攻击者篡改。此外,用户在使用移动介质前,移动介质中存放的未知数据文件还将被提交给数据安全性分析平台进行分析,一旦发现恶意文件,则该移动介质将被禁止使用。
[0062]最后,数据安全性分析平台是为整个工业控制系统安全支撑平台提供恶意代码分析支持的。也就是说,通过网络或移动介质方式出入工控系统的工控终端、工控服务器的数据文件都可以提交给数据安全性分析平台,对其行为进行分析检测,判定其是否为恶意的。此外,在工控系统初始化安装或后期升级时,对于要新加入工控系统可信环境管控平台白名单的进程,管理员可以利用数据安全性分析平台对它们进行分析,确保其不包含漏洞利用代码等恶意代码,然后再将它们加入白名单,从而确保工控系统可信环境管控平台根据白名单所维护的环境是真正安全的。
【主权项】
1.一种工业控制系统安全支撑架构,其特征在于,包括若干设有安全芯片的安全服务器和若干设有安全芯片的客户端;其中,所述客户端与所述安全服务器通过网络连接,所述服务器上设有工控系统可信环境管控平台的服务端、可信移动介质管控系统的服务端、可信工控防火墙的服务端和可信数据库系统,所述客户端上设有可信工控系统防火墙的客户端、可信环境管控平台的客户端、可信移动介质管控系统的客户端,其中: 所述工控系统可信环境管控平台,负责基于安全芯片的身份凭证来标识所述客户端的身份,并保护它们之间的数据通信; 所述可信数据库系统,负责基于安全芯片为存储在数据库中的设定敏感数据提供机密性和完整性保护服务,将设定敏感数据与可信的工控系统环境绑定; 所述可信工控系统防火墙,负责对工控系统的网络实施分层隔离,并按照设定的控制规则控制在不同网络分层之间的数据交互; 所述可信移动介质管控系统,负责根据工控终端接入移动介质的规则对插入所述客户端的移动介质进行认证和准入控制; 其中,设定的敏感数据包括设定的控制规则和工控终端接入移动介质的规则。2.如权利要求1所述的工业控制系统安全支撑架构,其特征在于,所述工控系统可信环境管控平台,还负责基于安全芯片对工控系统中的工控终端及工控服务器环境进行可信的度量,并设置可信进程的白名单。3.如权利要求2所述的工业控制系统安全支撑架构,其特征在于,还包括一新鲜性保护模块,用于对所述可信数据库系统的数据库文件进行初始化度量,并对度量结果保存到一新鲜性保护数据表中;并在所述可信数据库系统每次启动前度量所述可信数据库系统的数据库文件的哈希值,并利用签名私钥对其进行签名后更新到新鲜性保护数据表中。4.如权利要求3所述的工业控制系统安全支撑架构,其特征在于,所述新鲜性保护模块申请安全芯片中的非易失存储区空间用于存放新鲜性保护的根。5.如权利要求2或3所述的工业控制系统安全支撑架构,其特征在于,所述安全服务器还包括一数据安全性分析平台,负责对出入工控系统中的工控终端、工控服务器的数据文件的安全性进行分析,确保数据文件中没有包含漏洞利用代码等恶意代码,同时还负责为工控系统可信环境管控平台提供应用软件白名单认证服务,确保工控系统环境中运行的应用软件不包含恶意行为。6.如权利要求1所述的工业控制系统安全支撑架构,其特征在于,所述客户端包括工程师站、操作员站、工控服务器。7.—种工业控制系统安全支撑架构的信息传输方法,其步骤为: 1)进行数据传输的源主机S与目的主机D首先进行双向的远程证明,证明通过后,双方互相保存对方身份密钥对中的公钥及对方的系统环境状态;其中,主机S的身份密钥对为(pks, sks),环境状态记为Cs,D的身份密钥对为(pkd, skd),环境状态记为Cd; 2)远程证明结束后,主机S向主机D发送一个随机数r以及利用私钥sks对r的签名Sigsks W ; 3)主机D用主机s的公钥pks验证签名Sigsks(r);若正确,则主机D中的安全芯片产生一对密钥(pk,sk),且指定该密钥的使用环境为Cd;然后将该密钥对(pk,sk)、不可迀移性、使用环境Cd、随机数r以及采用自己的私钥skd对该密钥对(pk,sk)、不可迀移性、使用环境cd、随机数r的签名数据发送给主机S ; 4)主机S用主机D的公钥pkd验证收到的签名数据,若正确,则检验随机数r的正确性;若r正确,则判定使用环境(^是否为符合主机S设定的安全需求,若符合设定安全需求,则主机S产生一密钥k,并利用该密钥k加密待传输数据Data得到enck(Data),采用公钥pk 对该密钥 k 进行加密得到 encpk (k),然后将数据 encpk (k),enck (Data),r, Sigsks (encpk (k),enck(Data),r)发送给主机 D ;其中,Sigsks (encpk (k),enck (Data),r)为主机 S 采用自己私钥sks对数据encpk(k)、enck(Data)、r的签名数据; 5)主机D用主机S的公钥pks对收到的签名数据进行验证,若正确,则检验随机数r的正确性;若r正确,则利用受安全芯片保护的私钥sk解密出密钥k,再利用该密钥k解密出数据Data。8.如权利要求7所述的方法,其特征在于,所述密钥(pk,sk)为一对不可迀移的非对称加密密钥(pk,sk)。9.如权利要求7所述的方法,其特征在于,所述密钥k为对称密钥。10.一种基于权利要求1所述工业控制系统安全支撑架构的信息存储方法,其步骤为: 1)安全服务器的可信数据库系统第一次启动前,新鲜性保护模块调用安全服务器的安全芯片产生一对受安全芯片保护的签名密钥(pkf,skf),将私钥skf的使用环境绑定为新鲜性保护模块正常运行的环境; 2)新鲜性保护模块在可信数据库系统中建立一个新鲜性保护数据表T(FileID, Sigskf (File)),用于记录数据库文件名FileID与该文件哈希值的签名Sigskf(File)的对应关系; 3)新鲜性保护模块对新鲜性保护数据表T进行哈希运算,并用私钥skf签名产生Sigskf(T),然后将Sigskf⑴作为新鲜性保护的根存放在安全芯片的非易失存储区中; 4)在后续每次可信数据库系统启动前,新鲜性保护模块重新度量每个数据库文件的哈希值,并从新鲜性保护数据表T (FilelD,Sigskf(File))中查询其对应的签名值,验证该文件的签名值和哈希值是否正确;如果未通过验证,则退出启动流程;如果验证通过,则进一步对新鲜性保护数据表T进行哈希运算,并从安全芯片的非易失存储区中查询签名Sigskf(T),验证T的签名值和哈希值的正确性,若不正确则退出启动流程,否则正常启动;在可信数据库系统关闭后,新鲜性保护模块重新度量每个数据库文件的哈希值,并利用skf对其进行签名,然后更新到新鲜性保护数据表T(FilelD,Sigskf(File))中;然后新鲜性保护模块对新鲜性保护数据表T进行哈希运算,并用私钥skf签名产生Sigskf(T),再存储到安全芯片的非易失存储区中。
【专利摘要】本发明公开了工业控制系统安全支撑框架及其数据安全传输和存储方法。本发明的安全支撑框架包括若干设有安全芯片的安全服务器和若干设有安全芯片的客户端;其中,客户端与所述安全服务器通过网络连接,服务器上设有工控系统可信环境管控平台的服务端、可信移动介质管控系统的服务端、可信工控防火墙的服务端和可信数据库系统,客户端上设有可信工控系统防火墙的客户端、可信环境管控平台的客户端、可信移动介质管控系统的客户端,其中:可信数据库系统,负责为存储在数据库中的设定敏感数据提供机密性和完整性保护服务,将设定敏感数据与可信的工控系统环境绑定。本发明能阻止恶意代码在工控环境中的运行、传播,同时确保敏感数据不被泄漏和篡改。
【IPC分类】G06F21/57, G05B19/418
【公开号】CN104991526
【申请号】CN201510221450
【发明人】李 昊, 陈震宇, 迟佳琳, 张敏, 苏璞睿, 秦宇
【申请人】中国科学院软件研究所
【公开日】2015年10月21日
【申请日】2015年5月4日