一种基于安全芯片的工控系统可信环境管控方法和平台的制作方法
【技术领域】
[0001] 本发明涉及一种工业控制系统(以下简称工控系统)可信环境管控方法和平台, 尤其涉及基于安全硬件和完整性保护方法的可信工控系统可信环境管控方法和平台,属于 信息安全领域。
【背景技术】
[0002] 随着新型计算机病毒、恶意代码和入侵手段的快速发展与衍化,工业控制系统逐 渐成为针对性攻击的目标,面临着日益增加的安全威胁。建立一套工业控制系统可信环境 管控平台,可以有效提高工业控制终端(以下简称工控终端)的防御能力,保证工业设备的 正常运转。工控可信环境管控平台以安全芯片为基础,以完整性度量与管控技术为依托,以 防止不受信任的程序在工业控制终端(操作站)运行为目的。安全芯片解决工控终端的身 份认证和身份识别问题。完整性度量与管控技术解决计算机程序在加载时的识别问题,并 禁止不被信任程序的运行。
[0003] 用于构建工控可信环境管控平台的安全芯片,在国际上,有可信计算组织 TCG(Trusted Computing Group)提出的可信平台模块TPM(Trusted Platform Module),在 国内,有我国自主研发和生产的可信密码模块TCM (Trusted Cryptography Module)。TCM 实现了 SM系列密码算法,拥有身份标识密钥,并提供全面的安全接口。TCM的设计符合可 信计算的标准,可以为工控终端提供安全的可信服务。安全芯片为工控可信环境管控平台 提供两个重要功能,一是工控终端平台的身份标识,二是工控终端同管理方的安全通信。工 控可信环境管控平台需要识别不同的工控终端平台身份,并对不同终端的信息进行管理和 维护。安全芯片派生的标识信息可以用于对不同终端平台身份进行识别和注册,不同终端 可以根据标识信息与工控可信环境管控平台的管理方建立通信联系,便于管理方(工程师 站)为不同终端定制不同的进程管理策略,进而允许不同终端运行不同的信任程序。安全 芯片的密码算法可以为工控终端与管理方的通信提供完整性保护,防止管理策略等敏感数 据在传输过程中被恶意窜改,进一步提升工控可信环境管控平台的安全性。
[0004] 完整性度量与管控技术,可以识别不同程序加载到终端平台后生成的进程,是阻 止不受信任进程在工控终端上执行的关键技术。完整性度量技术主要针对加载后待执行的 程序进程进行摘要值计算,所得摘要值可以唯一标识所对应的进程。将摘要值与管理方设 定的受信任进程白名单比对,可以筛选出不受信任的进程。完整性度量技术多被包含在传 统信任链的构建方法中,IBM研宄中心提出了 IMA(Integrity Measure Architecture),研 发了第一个基于TCG(Trusted Computing Group)标准的信任链构建系统。IMA通过对系统 中的可执行文件、动态加载器、内核模块以及动态库进行度量来保证系统的完整性。但是, IMA是针对Linux操作系统设计和实现的,其技术不能完全推广的Windows等其他平台,这 并不能满足工控终端的广泛需求。完整性管控技术是将新判别出的、已经执行的不受信任 程序进程进行强制终止。目前尚无完整的该技术实现方案。
[0005] 为防止已知的恶意代码和入侵手段,传统的网络防火墙和入侵检测设备可以在一 定程度上起到防护作用。然而针对潜在未知的恶意代码和入侵手段,上述防御措施无法为 终端平台提供良好的保护。工控可信环境管控平台对未知类型的恶意程序具有优良的防御 效果,然而,在复杂专用的工业系统中构建工控可信环境管控平台,现有技术尚存在以下几 点问题:
[0006] 1、安全芯片的整合与应用。现有可信终端体系架构并没有大规模应用TCM,作为 可信终端的扩展系统,主要服务于国内工业领域的工控可信环境管控平台需要整合和应用 TCM,需要以TCM为基础构建工控终端的身份标识,从而实现管理方对工控终端的信任建立 和安全管理。
[0007] 2、完整性度量与管控技术在系统中的实现。完整性度量技术虽然有很多理论上 的方法,但目前尚未在工控可信环境管控平台中采用,更没有一整套包含进程度量、远程验 证、白名单比对策略与管理、进程管控技术在内的应用级工控可信环境管控平台。完整性度 量技术的应用存在两方面问题:一方面,根据工控系统中操作站终端的具体需求进行白名 单制定是一项繁琐的工作;另一方面,原理上完全基于安全软件的防护是相对脆弱的。整套 工控可信环境管控平台,需要各个组件的良好配合,才能发挥应有的系统保护功效。
【发明内容】
[0008] 针对上述工控系统的安全需求和存在的问题,本发明建立了一套基于安全芯片的 工控系统可信环境管控方法和平台,使用安全芯片为工控终端提供身份标识,并保护工控 终端与管理方的数据通信,同时,一种工控终端度量方法被设计和应用在工控可信环境管 控平台中,可以有效阻止不受信任进程在工控终端的执行,保护工控终端的系统完整性,从 而提高整套工业控制系统的防御能力。
[0009] 为了实现本发明的目的之一,提供一种基于安全芯片的工控系统可信环境管控方 法,由工控终端和管理服务器实现,其步骤包括:
[0010] 1)工控终端基于安全芯片信息向管理服务器发送注册请求,管理服务器对注册请 求进行验证后返回注册成功消息;
[0011] 2)工控终端开机启动后,将所有即将运行的程序进程在操作系统内核进行完整性 度量,并将度量结果信息发送至管理服务器;
[0012] 3)管理服务器将接收到的度量结果信息与保存的该工控终端的定制白名单进行 比对,将不在白名单上的非法进程信息加密后发送给工控终端作为警报;同时工控管理方 基于度量结果信息在管理服务器中维护该工控终端的定制白名单,生成新的白名单并加 密;
[0013] 4)工控终端从管理服务器下载新的白名单并将其导入操作系统内核;
[0014] 5)工控终端开启进程管控模式,所有即将运行的程序进程在操作系统内核被度量 并与内核中新的白名单进行比对,不在白名单的进程将被强制退出,禁止运行。
[0015] 进一步地,所述安全芯片出厂时拥有标识芯片唯一性的背书密钥,所述安全芯片 包括TPM芯片和TCM芯片。
[0016] 进一步地,步骤1)具体包括以下步骤:
[0017] 1-1)工控管理方从厂商处获取工控终端安全芯片背书密钥EK的公钥EPK,并在终 端注册管理数据库中存储备份;
[0018] 1-2)在工控终端通过安全芯片的密码派生机制生成一对可用于签名和验证的非 对称密钥(SK1,PK1)和一对可用于加密和解密的非对称密钥(SK2,PK2),并将PK1、PK2、EPK 连同终端相关信息发送给工控管理方的管理服务器进行终端身份注册;
[0019] 1-3)工控管理方使用EPK查询终端注册管理数据库,验证EPK的合法存在性及是 否已被注册;
[0020] 1-4)终端注册管理数据库向管理服务器返回查询结果;
[0021] 1-5)管理服务器将通过查询验证的、合法工控终端发送的PK1、PK2和终端相关信 息一同存储和备份在数据库中(EPK作为该工控终端的身份标识,用于工控终端的白名单 定制和管理方对工控终端的定位、维护管理和错误处理);
[0022] 1-6)管理服务器向工控终端返回注册结果。
[0023] 进一步地,所述两对非对称密钥,均为安全芯片根据SM2算法生成的基