一種基于控制系統(tǒng)可信架構(gòu)的tpcm模塊及可信檢測(cè)技術(shù)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及工業(yè)控制裝置及系統(tǒng)功能安全與信息安全領(lǐng)域���。
【背景技術(shù)】
[0002]近年隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合��,越來(lái)越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域�。目前��,工業(yè)控制系統(tǒng)已廣泛應(yīng)用于電力�����、石化�、冶金��、水利��、醫(yī)藥���、食品、交通運(yùn)輸�����、航空航天等工業(yè)領(lǐng)域��,其中�,超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)。工業(yè)控制系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分����,工業(yè)控制系統(tǒng)的安全關(guān)系到國(guó)家的戰(zhàn)略安全。由于工業(yè)控制系統(tǒng)廣泛采用通用軟硬件和網(wǎng)絡(luò)設(shè)施����,以及與企業(yè)管理信息系統(tǒng)的集成�,導(dǎo)致工業(yè)控制系統(tǒng)越來(lái)越開(kāi)放,并且與企業(yè)內(nèi)網(wǎng)����,甚至是與互聯(lián)網(wǎng)產(chǎn)生了數(shù)據(jù)交換����。也就是說(shuō)以前工業(yè)控制系統(tǒng)在物理環(huán)境上的相對(duì)封閉性以及工業(yè)控制系統(tǒng)軟�、硬件的專用性將會(huì)被打破,通過(guò)互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)將有可能獲取相關(guān)工業(yè)控制系統(tǒng)較為詳細(xì)的信息���,再加上運(yùn)營(yíng)工業(yè)控制系統(tǒng)的企業(yè)安全意識(shí)普遍較差�����,這樣就給敵對(duì)政府��、恐怖組織�����、商業(yè)間諜���、內(nèi)部不法人員、外部非法入侵者等創(chuàng)造了可乘之機(jī)����。與傳統(tǒng)的IT信息安全不同�,工控系統(tǒng)的安全事件往往會(huì)導(dǎo)致更加嚴(yán)重的危害�����,總結(jié)如下:系統(tǒng)性能下降而影響系統(tǒng)可用性�;關(guān)鍵控制數(shù)據(jù)被篡改或者丟失;失去控制�����;環(huán)境災(zāi)難���;人員傷亡����;危及公眾生活及國(guó)家安全��;破壞基礎(chǔ)設(shè)施����;嚴(yán)重的經(jīng)濟(jì)損失。
[0003]以防火墻����、入侵檢測(cè)和病毒防護(hù)為主的傳統(tǒng)的控制系統(tǒng)信息安全技術(shù)僅從外部對(duì)企圖共享信息資源的非法用戶和越權(quán)訪問(wèn)進(jìn)行封堵���,以達(dá)到防止外部攻擊的目的����。對(duì)于來(lái)自于內(nèi)部的安全威脅��,常規(guī)的信息安全技術(shù)很難發(fā)揮其功效����,無(wú)法防止內(nèi)部信息的泄密��、竊取�����、篡改和破壞��。傳統(tǒng)的安全技術(shù)正面臨新的挑戰(zhàn)���,保證工業(yè)控制系統(tǒng)的可靠性��、安全性(功能安全Safety和信息安全Security)���、實(shí)時(shí)性�����、可用性�、可維護(hù)性�����,提供一個(gè)可信賴的安全可靠的工業(yè)測(cè)控系統(tǒng)及可信檢測(cè)方法成為當(dāng)前十分迫切的需求��。
【發(fā)明內(nèi)容】
[0004]為了保證工業(yè)控制系統(tǒng)的可靠性�����、安全性�����、實(shí)時(shí)性����、可用性、可維護(hù)性�����,提供一個(gè)可信賴的安全可靠的工業(yè)測(cè)控系統(tǒng),本發(fā)明提供了一種基于控制系統(tǒng)可信架構(gòu)的TPCM(Trusted Platform Control Module)模塊���。
[0005]具體的,本發(fā)明的基于控制系統(tǒng)可信架構(gòu)的TPCM模塊采用了以下技術(shù)方案:
一種基于控制系統(tǒng)可信架構(gòu)的TPCM模塊�����,包括內(nèi)部總線���,以及連接到所述內(nèi)部總線的TPM處理單元����、程序存儲(chǔ)器��、配置存儲(chǔ)器���、數(shù)據(jù)存儲(chǔ)器���、完整性檢測(cè)單元,還包括總線仲裁管理單元���;
其中�����,
所述TPM處理單元用于運(yùn)行TPCM程序代碼�,管理控制所述TPCM模塊內(nèi)部各個(gè)硬件資源;
所述程序存儲(chǔ)器用于為運(yùn)行程序和中間數(shù)據(jù)提供存儲(chǔ)空間�,其核心安全區(qū)域?yàn)槠脚_(tái)配置寄存器;所述平臺(tái)配置寄存器用于存儲(chǔ)完整性度量值��,并通過(guò)度量系統(tǒng)的完整性來(lái)確認(rèn)其可信性����。若系統(tǒng)的完整性受到破壞,則認(rèn)為系統(tǒng)安全受到威脅����。
[0006]所述配置存儲(chǔ)器用于永久保存TPCM運(yùn)行程序及身份標(biāo)識(shí)等敏感信息;
所述數(shù)據(jù)存儲(chǔ)器用于存儲(chǔ)完整性檢測(cè)結(jié)果和最終數(shù)據(jù)��,為TPM處理單元管理各個(gè)硬件資源提供依據(jù)�����;
所述完整性檢測(cè)單元用于使用特定算法完成完整性測(cè)量����,為可信計(jì)算提供基礎(chǔ)��。
[0007]所述總線仲裁管理單元用于實(shí)現(xiàn)所述TPCM模塊與外部系統(tǒng)資源的數(shù)據(jù)傳輸功會(huì)K����。
進(jìn)一步的�����,還包括加密引擎和密鑰與隨機(jī)數(shù)生成器���,所述加密引擎提供多種加密算法,配合密鑰實(shí)現(xiàn)對(duì)關(guān)鍵數(shù)據(jù)的加密保護(hù)�;所述密鑰與隨機(jī)數(shù)產(chǎn)生器支持若干種密鑰機(jī)制,并規(guī)定了若干種安全證書(shū)����,用于建立身份認(rèn)證機(jī)制,實(shí)現(xiàn)系統(tǒng)操作授權(quán)配置功能����,限制非授權(quán)用戶訪問(wèn)關(guān)鍵信息和代碼。所述加密引擎和密鑰與隨機(jī)數(shù)產(chǎn)生器提供安全的實(shí)時(shí)數(shù)據(jù)庫(kù)�,數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)依據(jù)其技術(shù)含量和價(jià)值估算進(jìn)行分類,按照不同類別進(jìn)行不同強(qiáng)度的加密,不重要的數(shù)據(jù)也可以不進(jìn)行加密處理����;具有數(shù)據(jù)完整性校驗(yàn)和冗余恢復(fù)技術(shù),對(duì)于關(guān)鍵數(shù)據(jù)和代碼冗余存儲(chǔ)�����,并進(jìn)行周期檢查�����,及時(shí)發(fā)現(xiàn)并恢復(fù)受到非法篡改的數(shù)據(jù)和代碼���;
進(jìn)一步的�����,還包括電源控制單元�����,所述電源控制單元用于管理所述TPCM模塊的電源����。
[0008]本發(fā)明還提供了一種應(yīng)用所述的基于控制系統(tǒng)可信架構(gòu)的TPCM模塊的可信檢測(cè)技術(shù),所述可信檢測(cè)技術(shù)應(yīng)用于可信設(shè)備及基于所述可信設(shè)備的可信操作系統(tǒng)���,所述可信檢測(cè)技術(shù)包括所述可信設(shè)備的信任鏈生成與傳遞以及所述可信操作系統(tǒng)中可信進(jìn)程的基本信息的完整可信檢測(cè)和可信進(jìn)程加載的可執(zhí)行文件的完整性與可信性檢測(cè)����;
具體的����,所述可信設(shè)備的信任鏈生成和傳遞包括如下步驟:
1)所述可信設(shè)備上電后,首先由所述TPCM模塊中的完整性檢測(cè)單元在TPM處理單元的控制下完成對(duì)所述可信操作系統(tǒng)的系統(tǒng)引導(dǎo)程序進(jìn)行完整性測(cè)量��,并將測(cè)量結(jié)果與所述平臺(tái)配置寄存器中的標(biāo)準(zhǔn)值進(jìn)行比較�,倘若所述系統(tǒng)引導(dǎo)程序的完整性未被破壞���,則將控制權(quán)移交給系統(tǒng)引導(dǎo)程序�;
2)所述系統(tǒng)引導(dǎo)程序?qū)λ隹尚挪僮飨到y(tǒng)的可信操作系統(tǒng)內(nèi)核進(jìn)行完整性測(cè)量�,并將測(cè)量結(jié)果與所述平臺(tái)配置寄存器中的標(biāo)準(zhǔn)值進(jìn)行比較,倘若所述可信操作系統(tǒng)內(nèi)核的完整性未被破壞�,則將控制權(quán)移交給可信操作系統(tǒng)內(nèi)核;
3)所述可信操作系統(tǒng)內(nèi)核對(duì)所述可信操作系統(tǒng)的軟件協(xié)議棧進(jìn)行完整性測(cè)量���,并將測(cè)量結(jié)果與所述平臺(tái)配置寄存器中的標(biāo)準(zhǔn)值進(jìn)行比較�,倘若所述軟件協(xié)議棧的完整性未被破壞,則將控制權(quán)移交給所述軟件協(xié)議棧�����;
4)所述軟件協(xié)議棧對(duì)所述可信操作系統(tǒng)的系統(tǒng)工具與應(yīng)用程序進(jìn)行完整性測(cè)量�,并將測(cè)量結(jié)果與所述平臺(tái)配置寄存器中的標(biāo)準(zhǔn)值進(jìn)行比較,倘若所述系統(tǒng)工具與應(yīng)用程序的完整性未被破壞��,則將控制權(quán)移交給系統(tǒng)工具與應(yīng)用程序�;
5)若上述步驟中任意一步發(fā)現(xiàn)任何完整性異常情況發(fā)生,所述可信操作系統(tǒng)立即中止啟動(dòng)�����;所述TPCM模塊通過(guò)總線仲裁管理單元�����,接管所述可信設(shè)備的數(shù)據(jù)地址總線��,防止所述可信操作系統(tǒng)受到進(jìn)一步的破壞��。
[0009]6)若所述TPCM模塊也受到攻擊��,則所述TPCM模塊通過(guò)電源控制單元直接控制所述可信設(shè)備的供電�����,切斷所述可信操作系統(tǒng)的運(yùn)行。
[0010]進(jìn)一步的�����,所述可信操作系統(tǒng)運(yùn)行后����,所述TPCM模塊繼續(xù)周期性地對(duì)底層硬件配置、配置數(shù)據(jù)庫(kù)���、程序代碼等固化不變的數(shù)據(jù)進(jìn)行完整性檢測(cè)���,從而保障系統(tǒng)的編程開(kāi)發(fā)環(huán)境的可信增強(qiáng)����。
[0011]進(jìn)一步的,所述完整性測(cè)量包括:由所述可信操作系統(tǒng)采用密碼技術(shù)生成標(biāo)識(shí)操作系統(tǒng)BIN文件合法性的進(jìn)程標(biāo)識(shí)碼��,所述TPCM模塊通過(guò)該標(biāo)識(shí)碼動(dòng)態(tài)檢測(cè)進(jìn)程完整性�����。
[0012]進(jìn)一步的,所述可信進(jìn)程的基本信息的完整可信檢測(cè)和可信進(jìn)程加載的可執(zhí)行文件的完整性與可信性檢測(cè)包括如下流程:
1)所述可信操作系統(tǒng)搜集重要進(jìn)程的基本信息���,構(gòu)造可信進(jìn)程�;
2)由所述TPCM模塊中的完整性度量檢測(cè)單元計(jì)算可信進(jìn)程標(biāo)識(shí)���,形成初始的可信進(jìn)程列表�;
3)基于所述可信進(jìn)程列表�,截獲所有違規(guī)操作所創(chuàng)建的非法進(jìn)程;
4