一种基于安全芯片的工控系统可信环境管控方法和平台技术方案

本发明专利技术提供了一种基于安全芯片的工控系统可信环境管控方法和平台，其方法包括1)工控终端基于安全芯片向管理服务器进行注册；2)工控终端对运行的各个进程进行完整性度量；3)管理方在管理服务器对度量信息进行审核并制定白名单；4)工控终端从管理服务器下载被管理方定制好的白名单，导入操作系统内核后对待运行进程进行管控，防止不可信、未知和不可控程序进程的恶意代码对工控终端造成的系统破坏、窃取机密信息和工业生产破坏等问题，从而提高工业控制系统的安全防御能力。

【技术实现步骤摘要】
一种基于安全芯片的工控系统可信环境管控方法和平台
本专利技术涉及一种工业控制系统(以下简称工控系统)可信环境管控方法和平台，尤其涉及基于安全硬件和完整性保护方法的可信工控系统可信环境管控方法和平台，属于信息安全领域。
技术介绍
随着新型计算机病毒、恶意代码和入侵手段的快速发展与衍化，工业控制系统逐渐成为针对性攻击的目标，面临着日益增加的安全威胁。建立一套工业控制系统可信环境管控平台，可以有效提高工业控制终端(以下简称工控终端)的防御能力，保证工业设备的正常运转。工控可信环境管控平台以安全芯片为基础，以完整性度量与管控技术为依托，以防止不受信任的程序在工业控制终端(操作站)运行为目的。安全芯片解决工控终端的身份认证和身份识别问题。完整性度量与管控技术解决计算机程序在加载时的识别问题，并禁止不被信任程序的运行。用于构建工控可信环境管控平台的安全芯片，在国际上，有可信计算组织TCG(TrustedComputingGroup)提出的可信平台模块TPM(TrustedPlatformModule)，在国内，有我国自主研发和生产的可信密码模块TCM(TrustedCryptographyModule)。TCM实现了SM系列密码算法，拥有身份标识密钥，并提供全面的安全接口。TCM的设计符合可信计算的标准，可以为工控终端提供安全的可信服务。安全芯片为工控可信环境管控平台提供两个重要功能，一是工控终端平台的身份标识，二是工控终端同管理方的安全通信。工控可信环境管控平台需要识别不同的工控终端平台身份，并对不同终端的信息进行管理和维护。安全芯片派生的标识信息可以用于对不同终端平台身份进行识别和注册，不同终端可以根据标识信息与工控可信环境管控平台的管理方建立通信联系，便于管理方(工程师站)为不同终端定制不同的进程管理策略，进而允许不同终端运行不同的信任程序。安全芯片的密码算法可以为工控终端与管理方的通信提供完整性保护，防止管理策略等敏感数据在传输过程中被恶意窜改，进一步提升工控可信环境管控平台的安全性。完整性度量与管控技术，可以识别不同程序加载到终端平台后生成的进程，是阻止不受信任进程在工控终端上执行的关键技术。完整性度量技术主要针对加载后待执行的程序进程进行摘要值计算，所得摘要值可以唯一标识所对应的进程。将摘要值与管理方设定的受信任进程白名单比对，可以筛选出不受信任的进程。完整性度量技术多被包含在传统信任链的构建方法中，IBM研究中心提出了IMA(IntegrityMeasureArchitecture)，研发了第一个基于TCG(TrustedComputingGroup)标准的信任链构建系统。IMA通过对系统中的可执行文件、动态加载器、内核模块以及动态库进行度量来保证系统的完整性。但是，IMA是针对Linux操作系统设计和实现的，其技术不能完全推广的Windows等其他平台，这并不能满足工控终端的广泛需求。完整性管控技术是将新判别出的、已经执行的不受信任程序进程进行强制终止。目前尚无完整的该技术实现方案。为防止已知的恶意代码和入侵手段，传统的网络防火墙和入侵检测设备可以在一定程度上起到防护作用。然而针对潜在未知的恶意代码和入侵手段，上述防御措施无法为终端平台提供良好的保护。工控可信环境管控平台对未知类型的恶意程序具有优良的防御效果，然而，在复杂专用的工业系统中构建工控可信环境管控平台，现有技术尚存在以下几点问题：1、安全芯片的整合与应用。现有可信终端体系架构并没有大规模应用TCM，作为可信终端的扩展系统，主要服务于国内工业领域的工控可信环境管控平台需要整合和应用TCM，需要以TCM为基础构建工控终端的身份标识，从而实现管理方对工控终端的信任建立和安全管理。2、完整性度量与管控技术在系统中的实现。完整性度量技术虽然有很多理论上的方法，但目前尚未在工控可信环境管控平台中采用，更没有一整套包含进程度量、远程验证、白名单比对策略与管理、进程管控技术在内的应用级工控可信环境管控平台。完整性度量技术的应用存在两方面问题：一方面，根据工控系统中操作站终端的具体需求进行白名单制定是一项繁琐的工作；另一方面，原理上完全基于安全软件的防护是相对脆弱的。整套工控可信环境管控平台，需要各个组件的良好配合，才能发挥应有的系统保护功效。
技术实现思路
针对上述工控系统的安全需求和存在的问题，本专利技术建立了一套基于安全芯片的工控系统可信环境管控方法和平台，使用安全芯片为工控终端提供身份标识，并保护工控终端与管理方的数据通信，同时，一种工控终端度量方法被设计和应用在工控可信环境管控平台中，可以有效阻止不受信任进程在工控终端的执行，保护工控终端的系统完整性，从而提高整套工业控制系统的防御能力。为了实现本专利技术的目的之一，提供一种基于安全芯片的工控系统可信环境管控方法，由工控终端和管理服务器实现，其步骤包括：1)工控终端基于安全芯片信息向管理服务器发送注册请求，管理服务器对注册请求进行验证后返回注册成功消息；2)工控终端开机启动后，将所有即将运行的程序进程在操作系统内核进行完整性度量，并将度量结果信息发送至管理服务器；3)管理服务器将接收到的度量结果信息与保存的该工控终端的定制白名单进行比对，将不在白名单上的非法进程信息加密后发送给工控终端作为警报；同时工控管理方基于度量结果信息在管理服务器中维护该工控终端的定制白名单，生成新的白名单并加密；4)工控终端从管理服务器下载新的白名单并将其导入操作系统内核；5)工控终端开启进程管控模式，所有即将运行的程序进程在操作系统内核被度量并与内核中新的白名单进行比对，不在白名单的进程将被强制退出，禁止运行。进一步地，所述安全芯片出厂时拥有标识芯片唯一性的背书密钥，所述安全芯片包括TPM芯片和TCM芯片。进一步地，步骤1)具体包括以下步骤：1-1)工控管理方从厂商处获取工控终端安全芯片背书密钥EK的公钥EPK，并在终端注册管理数据库中存储备份；1-2)在工控终端通过安全芯片的密码派生机制生成一对可用于签名和验证的非对称密钥(SK1,PK1)和一对可用于加密和解密的非对称密钥(SK2,PK2)，并将PK1、PK2、EPK连同终端相关信息发送给工控管理方的管理服务器进行终端身份注册；1-3)工控管理方使用EPK查询终端注册管理数据库，验证EPK的合法存在性及是否已被注册；1-4)终端注册管理数据库向管理服务器返回查询结果；1-5)管理服务器将通过查询验证的、合法工控终端发送的PK1、PK2和终端相关信息一同存储和备份在数据库中(EPK作为该工控终端的身份标识，用于工控终端的白名单定制和管理方对工控终端的定位、维护管理和错误处理)；1-6)管理服务器向工控终端返回注册结果。进一步地，所述两对非对称密钥，均为安全芯片根据SM2算法生成的基于椭圆曲线密码体制的密钥，具有签名长度短等优点，两对密钥分别用于管理服务器与工控终端通信的认证和加密；所述终端相关信息包括：工控终端的IP地址、MAC地址、操作系统版本等。进一步地，步骤2)具体包括以下步骤：2-1)修改工控终端操作系统内核，通过钩子函数捕获已加载到操作系统即将运行的程序进程，通过SM3哈希算法对加载入内存的程序进程代码进行计算，得到摘要值即为度量值，度量值长度为256比特，在本文档来自技高网...

【技术保护点】
一种基于安全芯片的工控系统可信环境管控方法，由工控终端和管理服务器实现，其步骤包括：1)工控终端基于安全芯片信息向管理服务器发送注册请求，管理服务器对注册请求进行验证后返回注册成功消息；2)工控终端开机启动后，将所有即将运行的程序进程在操作系统内核进行完整性度量，并将度量结果信息发送至管理服务器；3)管理服务器将接收到的度量结果信息与保存的该工控终端的定制白名单进行比对，将不在白名单上的非法进程信息加密后发送给工控终端作为警报；同时工控管理方基于度量结果信息在管理服务器中维护该工控终端的定制白名单，生成新的白名单并加密；4)工控终端从管理服务器下载新的白名单并将其导入操作系统内核；5)工控终端开启进程管控模式，所有即将运行的程序进程在操作系统内核被度量并与内核中新的白名单进行比对，不在白名单的进程将被强制退出，禁止运行。

【技术特征摘要】
1.一种基于安全芯片的工控系统可信环境管控方法，由工控终端和管理服务器实现，其步骤包括：1)工控终端基于安全芯片信息向管理服务器发送注册请求，管理服务器对注册请求进行验证后返回注册成功消息；2)工控终端开机启动后，将所有即将运行的程序进程在操作系统内核进行完整性度量，并将度量结果信息通过远程验证的方式发送至管理服务器；3)管理服务器将接收到的度量结果信息与保存的该工控终端的定制白名单进行比对，将不在白名单上的非法进程信息加密后发送给工控终端作为警报；同时工控管理方基于度量结果信息在管理服务器中维护该工控终端的定制白名单，生成新的白名单并加密；4)工控终端从管理服务器下载新的白名单并解密，关闭进程管控模式，将新的白名单导入操作系统内核；5)工控终端再次开启进程管控模式，所有即将运行的程序进程在操作系统内核被度量并与内核中新的白名单进行比对，不在白名单的进程将被强制退出，禁止运行。2.如权利要求1所述的基于安全芯片的工控系统可信环境管控方法，其特征在于，所述安全芯片出厂时拥有标识芯片唯一性的背书密钥，所述安全芯片包括TPM芯片和TCM芯片。3.如权利要求1所述的基于安全芯片的工控系统可信环境管控方法，其特征在于，步骤1)具体包括以下步骤：1-1)工控管理方从厂商处获取工控终端安全芯片背书密钥EK的公钥EPK，并在终端注册管理数据库中存储备份；1-2)在工控终端通过安全芯片的密码派生机制生成一对可用于签名和验证的非对称密钥SK1,PK1和一对可用于加密和解密的非对称密钥SK2,PK2，并将PK1、PK2、EPK连同终端相关信息发送给工控管理方的管理服务器进行终端身份注册；1-3)工控管理方使用EPK查询终端注册管理数据库，验证EPK的合法存在性及是否已被注册；1-4)终端注册管理数据库向管理服务器返回查询结果；1-5)管理服务器将通过查询验证的、合法工控终端发送的PK1、PK2和终端相关信息一同存储和备份在数据库中；1-6)管理服务器向工控终端返回注册结果。4.如权利要求3所述的基于安全芯片的工控系统可信环境管控方法，其特征在于，所述两对非对称密钥，均为安全芯片根据SM2算法生成的基于椭圆曲线密码体制的密钥；所述终端相关信息包括：工控终端的IP地址、MAC地址和操作系统版本。5.如权利要求3所述的基于安全芯片的工控系统可信环境管控方法，其特征在于，首次使用的工控终端从管理服务器下载采用PK2加密的该终端进程白名单，通过安全芯...

【专利技术属性】
技术研发人员：杨波，冯登国，秦宇，苏璞睿，张敏，李昊，张英骏，邵建雄，詹世才，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：北京;11