技術領域

本發明涉及一種工業控制系統(以下簡稱工控系統)可信環境管控方法和平臺，尤其涉及基于安全硬件和完整性保護方法的可信工控系統可信環境管控方法和平臺，屬于信息安全領域。

背景技術

隨著新型計算機病毒、惡意代碼和入侵手段的快速發展與衍化，工業控制系統逐漸成為針對性攻擊的目標，面臨著日益增加的安全威脅。建立一套工業控制系統可信環境管控平臺，可以有效提高工業控制終端(以下簡稱工控終端)的防御能力，保證工業設備的正常運轉。工控可信環境管控平臺以安全芯片為基礎，以完整性度量與管控技術為依托，以防止不受信任的程序在工業控制終端(操作站)運行為目的。安全芯片解決工控終端的身份認證和身份識別問題。完整性度量與管控技術解決計算機程序在加載時的識別問題，并禁止不被信任程序的運行。

用于構建工控可信環境管控平臺的安全芯片，在國際上，有可信計算組織TCG(Trusted?Computing?Group)提出的可信平臺模塊TPM(Trusted?Platform?Module)，在國內，有我國自主研發和生產的可信密碼模塊TCM(Trusted?Cryptography?Module)。TCM實現了SM系列密碼算法，擁有身份標識密鑰，并提供全面的安全接口。TCM的設計符合可信計算的標準，可以為工控終端提供安全的可信服務。安全芯片為工控可信環境管控平臺提供兩個重要功能，一是工控終端平臺的身份標識，二是工控終端同管理方的安全通信。工控可信環境管控平臺需要識別不同的工控終端平臺身份，并對不同終端的信息進行管理和維護。安全芯片派生的標識信息可以用于對不同終端平臺身份進行識別和注冊，不同終端可以根據標識信息與工控可信環境管控平臺的管理方建立通信聯系，便于管理方(工程師站)為不同終端定制不同的進程管理策略，進而允許不同終端運行不同的信任程序。安全芯片的密碼算法可以為工控終端與管理方的通信提供完整性保護，防止管理策略等敏感數據在傳輸過程中被惡意竄改，進一步提升工控可信環境管控平臺的安全性。

完整性度量與管控技術，可以識別不同程序加載到終端平臺后生成的進程，是阻止不受信任進程在工控終端上執行的關鍵技術。完整性度量技術主要針對加載后待執行的程序進程進行摘要值計算，所得摘要值可以唯一標識所對應的進程。將摘要值與管理方設定的受信任進程白名單比對，可以篩選出不受信任的進程。完整性度量技術多被包含在傳統信任鏈的構建方法中，IBM研究中心提出了IMA(Integrity?Measure?Architecture)，研發了第一個基于TCG(Trusted?Computing?Group)標準的信任鏈構建系統。IMA通過對系統中的可執行文件、動態加載器、內核模塊以及動態庫進行度量來保證系統的完整性。但是，IMA是針對Linux操作系統設計和實現的，其技術不能完全推廣的Windows等其他平臺，這并不能滿足工控終端的廣泛需求。完整性管控技術是將新判別出的、已經執行的不受信任程序進程進行強制終止。目前尚無完整的該技術實現方案。

為防止已知的惡意代碼和入侵手段，傳統的網絡防火墻和入侵檢測設備可以在一定程度上起到防護作用。然而針對潛在未知的惡意代碼和入侵手段，上述防御措施無法為終端平臺提供良好的保護。工控可信環境管控平臺對未知類型的惡意程序具有優良的防御效果，然而，在復雜專用的工業系統中構建工控可信環境管控平臺，現有技術尚存在以下幾點問題：

1、安全芯片的整合與應用。現有可信終端體系架構并沒有大規模應用TCM，作為可信終端的擴展系統，主要服務于國內工業領域的工控可信環境管控平臺需要整合和應用TCM，需要以TCM為基礎構建工控終端的身份標識，從而實現管理方對工控終端的信任建立和安全管理。

2、完整性度量與管控技術在系統中的實現。完整性度量技術雖然有很多理論上的方法，但目前尚未在工控可信環境管控平臺中采用，更沒有一整套包含進程度量、遠程驗證、白名單比對策略與管理、進程管控技術在內的應用級工控可信環境管控平臺。完整性度量技術的應用存在兩方面問題：一方面，根據工控系統中操作站終端的具體需求進行白名單制定是一項繁瑣的工作；另一方面，原理上完全基于安全軟件的防護是相對脆弱的。整套工控可信環境管控平臺，需要各個組件的良好配合，才能發揮應有的系統保護功效。

發明內容