技術(shù)領(lǐng)域

本發(fā)明涉及工控網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其是涉及一種可信工業(yè)控制計算機(jī)啟動階段的主動安全防護(hù)方法及可信工業(yè)控制計算機(jī)。

背景技術(shù)

隨著工業(yè)4.0、中國制造2025、互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)、兩化融合進(jìn)程的不斷交叉融合，越來越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。目前，超過80％的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動化作業(yè)。

在工業(yè)控制等領(lǐng)域，網(wǎng)絡(luò)安全問題更加凸顯。工業(yè)網(wǎng)絡(luò)安全，與傳統(tǒng)的商業(yè)網(wǎng)絡(luò)不同，工業(yè)網(wǎng)絡(luò)之間面對的是現(xiàn)場工作人員和工作設(shè)備，即使是微小的誤差也可能引起工業(yè)網(wǎng)絡(luò)的崩潰，導(dǎo)致難以估量的生命財產(chǎn)損失。國內(nèi)外工業(yè)企業(yè)管理網(wǎng)絡(luò)對工業(yè)控制系統(tǒng)的相關(guān)數(shù)據(jù)并沒有做到完全的安全防護(hù)，甚至沒有安全防護(hù)措施，這給工業(yè)網(wǎng)絡(luò)帶來了嚴(yán)重的威脅。當(dāng)黑客或者不法分子通過互聯(lián)網(wǎng)攻擊工業(yè)控制網(wǎng)絡(luò)之后，竊取工業(yè)控制網(wǎng)絡(luò) (Industry control network)中的生產(chǎn)數(shù)據(jù)、控制數(shù)據(jù)、產(chǎn)能數(shù)據(jù)等，都會對工業(yè)生產(chǎn)安全產(chǎn)生巨大的損失。

為了保障工控網(wǎng)絡(luò)的安全，通常在工控網(wǎng)絡(luò)與傳統(tǒng)互聯(lián)網(wǎng)之間需要架設(shè)安全設(shè)備，例如、審計設(shè)備、網(wǎng)閘設(shè)備、數(shù)據(jù)隔離網(wǎng)關(guān)設(shè)備等，例如，網(wǎng)閘設(shè)備就是一種應(yīng)用在工控網(wǎng)絡(luò)安全中的常用設(shè)備，在支持工業(yè)生產(chǎn)網(wǎng)、辦公網(wǎng)(互聯(lián)網(wǎng))雙向隔離的前提下，由網(wǎng)閘對來自互聯(lián)網(wǎng)中的報文進(jìn)行協(xié)議剝離等，判斷傳輸文件的合法性，以保證工控網(wǎng)絡(luò)的安全性。

工業(yè)控制計算機(jī)通常需要安全芯片作為基礎(chǔ)，以完整性度量與管控技術(shù)為依托，以防止不受信任的程序在工業(yè)控制終端(操作站)運(yùn)行為目的。安全芯片解決工控終端的身份認(rèn)證和身份識別問題。完整性度量與管控技術(shù)解決計算機(jī)程序在加載時的識別問題，并可以禁止不被信任程序的運(yùn)行。

然而，雖然工業(yè)控制計算機(jī)中設(shè)置有安全芯片，但是實(shí)際應(yīng)用中仍然會出現(xiàn)引導(dǎo)加載程序(bootloader)文件被篡改和/或系統(tǒng)鏡像文件被篡改的情況，引導(dǎo)加載程序(bootloader)文件被篡改和/或系統(tǒng)鏡像文件被篡改后，將會導(dǎo)致操作系統(tǒng)無法正常啟動，或者是啟動與需要啟動的操作系統(tǒng)不同的另一套操作系統(tǒng)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種可信工業(yè)控制計算機(jī)啟動階段的主動安全防護(hù)方法及可信工業(yè)控制計算機(jī)，以解決現(xiàn)有技術(shù)中存在的引導(dǎo)加載程序(bootloader)文件被篡改和/或系統(tǒng)鏡像文件被篡改后，導(dǎo)致的操作系統(tǒng)無法正常啟動，或者是啟動的操作系統(tǒng)與需要啟動的操作系統(tǒng)不同的技術(shù)問題。

第一方面，本發(fā)明實(shí)施例提供了一種可信工業(yè)控制計算機(jī)啟動階段的主動安全防護(hù)方法，應(yīng)用于可信工業(yè)控制計算機(jī)的可信平臺控制模塊中，所述可信工業(yè)控制計算機(jī)中還包括：與所述可信平臺控制模塊連接的閃存、電源控制器、和設(shè)備控制器，所述方法包括：

在接入供電電源后，控制所述電源控制器為所述閃存上電，所述閃存中存儲引導(dǎo)加載程序文件和系統(tǒng)鏡像文件；

當(dāng)在所述閃存中讀取到所述引導(dǎo)加載程序文件后，利用國密SM2和 SM3算法對所述引導(dǎo)加載程序文件的完整性進(jìn)行校驗；

當(dāng)所述引導(dǎo)加載程序文件的完整性校驗成功后，控制所述電源控制器為所述設(shè)備控制器上電，以使所述設(shè)備控制器通過運(yùn)行所述引導(dǎo)加載程序文件在所述閃存中讀取所述系統(tǒng)鏡像文件，進(jìn)而使所述設(shè)備控制器調(diào)用 TCM安全芯片的SM2和SM3算法引擎對所述系統(tǒng)鏡像文件的完整性進(jìn)行校驗；

當(dāng)所述引導(dǎo)加載程序文件的完整性校驗失敗后，控制所述電源控制器對所述可信工業(yè)控制計算機(jī)下電或重啟。

結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第一種可能的實(shí)施方式，其中，所述利用國密SM2和SM3算法對所述引導(dǎo)加載程序文件的完整性進(jìn)行校驗，包括：

利用國密SM3算法對所述引導(dǎo)加載程序文件進(jìn)行雜湊運(yùn)算，得到第一雜湊值；

從預(yù)設(shè)存儲空間中讀取預(yù)設(shè)的引導(dǎo)程序文件簽名數(shù)據(jù)和安全管理證書；

利用國密SM2算法，使用所述安全管理證書和所述第一雜湊值，對所述引導(dǎo)程序文件簽名數(shù)據(jù)進(jìn)行簽名驗證；

當(dāng)簽名驗證成功時，確定所述引導(dǎo)加載程序文件的完整性校驗成功；

當(dāng)簽名驗證失敗時，確定所述引導(dǎo)加載程序文件的完整性校驗失敗。

第二方面，本發(fā)明實(shí)施例提供了一種可信工業(yè)控制計算機(jī)啟動階段的主動安全防護(hù)方法，應(yīng)用于可信工業(yè)控制計算機(jī)的設(shè)備控制器中，所述可信工業(yè)控制計算機(jī)中還包括：與所述設(shè)備控制器連接的閃存、電源控制器和可信平臺控制模塊，所述方法包括：

上電后，通過運(yùn)行引導(dǎo)加載程序文件在所述閃存中讀取系統(tǒng)鏡像文件；