一种基于可信技术的国产信息安全处理系统及处理方法技术方案

本申请提出一种基于可信技术的国产信息安全处理系统及处理方法。所述系统包括：控制面板，所述控制面板包括集成连接在控制面板上的CPU处理器、TPCM可信模块、CPLD控制器、存储CRTM可信根的NorFlash存储器以及插槽；其中，所述TPCM可信模块通过miniPCIE插卡形式接入到所述插槽内与所述控制面板上的CPU处理器连接；所述CPLD控制器还分别与CPU处理器、TPCM可信模块、NorFlash存储器建立通信连接；通过CPLD控制器控制整个可信启动过程的各个阶段，实现NorFlash存储器、TPCM可信模块以及CPU处理器分别在不同时刻依次安全取得控制权；上述基于可信技术的国产信息安全处理系统保障了信息的安全处理，保障了工控系统的安全使用效果。果。果。

【技术实现步骤摘要】
一种基于可信技术的国产信息安全处理系统及处理方法


[0001]本申请涉及信息安全技术，具体涉及一种基于可信技术的国产信息安全处理系统及处理方法。

技术介绍

[0002]随着企业中的网络设备和安全设备的逐渐增多，越来越多的工业信息安全的问题也接踵而来。
[0003]在工业信息传输过程中，现有的信息安全系统经常要面临一些各式各样的工业安全问题，各种工业信息安全事件的发生严重影响了企业的工业信息安全；进一步研究发现，传统的信息安全处理系统不支持未从启动、引导、应用、访问多层次全方位设计安全处理系统的安全可信操作。

技术实现思路

[0004]有鉴于此，本申请公开一种处理方法，以TPCM可信模块为信任根，构建贯穿硬件层、固件层、操作系统层和应用层全过程的信任链解决方法。采用CPLD逻辑精准控制的可信启动、可信度量技术，实现国产信息安全处理系统的高可信和安全；通过可信模块控制目标应用程序的外联设备I/O可信访问，提高目标应用程序的操作安全性，大大降低非法访问、非法操作的风险。
[0005]本专利技术提供了一种基于可信技术的国产信息安全处理系统，所述系统包括：
[0006]控制面板，所述控制面板包括集成连接在控制面板上的CPU处理器、TPCM可信模块、CPLD控制器、存储CRTM可信根的Nor Flash存储器以及插槽；
[0007]其中，所述TPCM可信模块通过miniPCIE插卡形式接入到所述插槽内与所述控制面板上的CPU处理器连接；所述CPLD控制器还分别与CPU处理器、TPCM可信模块、Nor Flash存储器建立通信连接；通过CPLD控制器控制整个可信启动过程的各个阶段，实现TPCM可信模块、Nor Flash存储器以及CPU处理器分别在不同时刻依次安全取得控制权；
[0008]待Nor Flash存储器、TPCM可信模块以及CPU处理器以上所有模块均获得控制权后实现CPU处理器与外联设备之间的信号与网络连接。
[0009]较佳地，作为一种可选的实施方式；所述系统还包括：存储单元、电源模块以及显示模块；所述存储单元、显示模块电连接在所述控制面板上；所述电源模块用于给所述控制面板上的所有模块进行供电。
[0010]较佳地，作为一种可选的实施方式；所述系统还包括显示屏；所述显示屏与所述显示模块电连接。
[0011]较佳地，作为一种可选的实施方式；所述系统还包括开关、网口与串口；所述开关用于控制所述控制面板与所述电源模块的连接；所述网口与所述串口通过通信线缆连接在所述控制面板上。
[0012]较佳地，作为一种可选的实施方式；所述系统还包括身份认证口；所述身份认证口
与所述CPU处理器电连接。
[0013]较佳地，作为一种可选的实施方式；所述系统还包括销毁按钮；所述销毁按钮与所述CPU处理器电连接。
[0014]本专利技术提供了一种处理方法，该方法利用基于可信技术的国产信息安全处理系统实施安全处理，包括：
[0015]步骤S1,系统上电后CPLD控制器首先取得控制权，使CPU处理器与外联设备(即外设)之间的信号与网络连接均断开，同时阻止CPU处理器启动；
[0016]步骤S2,TPCM可信模块接收当前安全数据，先启动TPCM可信模块和Nor Flash存储器，运行CRTM可信根，CRTM可信根读取内存中预存的TPCM命令库并调用TPCM可信模块中的SM3算法引擎，将命令库发给TPCM可信模块，TPCM可信模块对收到的当前安全数据进行度量并将结果扩展到PCR寄存器；
[0017]步骤S3,CRTM可信根读取PCR寄存器中的摘要值，并与片内预存的标准摘要值进行对比，如果对比结果相同则继续启动后续步骤S4，否则停止；
[0018]步骤S4,然后CRTM可信根会以同样的方式对Bootloader引导加载程序进行度量，若Bootloader引导加载程序可信，则CPLD控制器复位CPU处理器，运行Bootloader引导加载程序，CPU处理器获取控制权；
[0019]步骤S5,随后Bootloader引导加载程序依次调用TPCM可信模块对内核映像和根文件系统进行度量，若以上度量结果都可信，说明内核映像和根文件系统所在的内核代码没有被篡改过，则可以启动所述内核以及实现CPU处理器与外联设备之间的信号与网络连接通信。
[0020]较佳地，作为一种可选的实施方式；还包括I/O访问安全处理步骤：所述I/O访问安全处理步骤包括：
[0021]I/O口的可信访问主要基于身份认证机制和访问控制机制，待用户获取通过身份认证机制后，通过访问控制机制进行I/O口的使用；
[0022]所述身份认证机制为：采用USB身份钥匙配合TPCM可信模块进行身份认证，USB身份钥匙中包含用户ID、用户访问权限以及用于身份认证的私钥，身份认证私钥存储在TPCM可信模块内存中；
[0023]所述访问控制机制主要限制非法使用户和越权访问用户，访问控制一般有3种类型分别为：基于身份的访问控制、基于规则的访问控制和基于角色的访问控制。
[0024]与现有技术相比，本专利技术至少存在如下方面的技术效果：
[0025]本专利技术提供了一种基于可信技术的国产信息安全处理系统，所述系统包括：
[0026]控制面板，所述控制面板包括集成连接在控制面板上的CPU处理器、TPCM可信模块、CPLD控制器、存储CRTM可信根的Nor Flash存储器以及插槽；
[0027]其中，TPCM可信模块通过miniPCIE插卡形式接入到插槽内与控制面板上的CPU处理器连接；CPLD控制器还分别与CPU处理器10、TPCM可信模块、Nor Flash存储器建立通信连接；通过CPLD控制器控制整个可信启动过程的各个阶段，实现Nor Flash存储器、TPCM可信模块以及CPU处理器分别在不同时刻依次安全取得控制权；待实现TPCM可信模块、Nor Flash存储器以及CPU处理器分别在不同时刻依次安全取得控制权后实现CPU处理器与外联设备之间的信号与网络连接。
[0028]本申请实施例提供的基于可信技术的国产信息安全处理系统，其由CPU处理器、TPCM可信模块、CPLD控制器、存储CRTM可信根的Nor Flash存储器以及插槽组成。其中，可信硬件模块通过miniPCIE插卡形式接入板卡。通过CPLD控制器控制整个可信启动过程的各个阶段，也就是Nor Flash、CPLD、TPCM以及CPU分别在不同时刻取得控制权，四者在不同时刻分别作为运算的核心部件。
附图说明
[0029]下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。
[0030]图1为本申请实施例示出的硬件关系架构的流程示意图；
[0031]图2为本申请实施例示出的系统架构原理示意图；
[0032]图3为本申请实施例示出的I/O口的可信访问流程示意图；
[0033]图4为本申请实施例示出的基于可信技术的国产信息安全处理方法本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信技术的国产信息安全处理系统，其特征在于，所述系统包括：控制面板，所述控制面板包括集成连接在控制面板上的CPU处理器、TPCM可信模块、CPLD控制器、存储CRTM可信根的Nor Flash存储器以及插槽；其中，所述TPCM可信模块通过miniPCIE插卡形式接入到所述插槽内与所述控制面板上的CPU处理器连接；所述CPLD控制器还分别与CPU处理器、TPCM可信模块、Nor Flash存储器建立通信连接；通过CPLD控制器控制整个可信启动过程的各个阶段，实现TPCM可信模块、Nor Flash存储器以及CPU处理器分别在不同时刻依次安全取得控制权；待Nor Flash存储器、TPCM可信模块以及CPU处理器以上所有模块均获得控制权后实现CPU处理器与外联设备之间的信号与网络连接。2.根据权利要求1所述的基于可信技术的国产信息安全处理系统，其特征在于，所述系统还包括：存储单元、电源模块以及显示模块；所述存储单元、显示模块电连接在所述控制面板上；所述电源模块用于给所述控制面板上的所有模块进行供电。3.根据权利要求2所述的基于可信技术的国产信息安全处理系统，其特征在于，所述系统还包括显示屏；所述显示屏与所述显示模块电连接。4.根据权利要求3所述的基于可信技术的国产信息安全处理系统，其特征在于，所述系统还包括开关、网口与串口；所述开关用于控制所述控制面板与所述电源模块的连接；所述网口与所述串口通过通信线缆连接在所述控制面板上。5.根据权利要求4所述的基于可信技术的国产信息安全处理系统，其特征在于，所述系统还包括身份认证口；所述身份认证口与所述CPU处理器电连接。6.根据权利要求5所述的基于可信技术的国产信息安全处理系统，其特征在于，所述系统还包括销毁按钮；所述销毁按钮与所述CPU处理器电连接。7.一种处理方法，其特征在于，所述方法利用如权利要求1
‑
6任一项所述的基于可信技术的国产信...

【专利技术属性】
技术研发人员：郝克林，张姗，姬胜凯，赵城，刘笑凯，周文辉，
申请(专利权)人：中国电子信息产业集团有限公司第六研究所，
类型：发明
国别省市：