• / 12
  • 下載費用:30 金幣  

工業控制系統安全支撐框架及其數據安全傳輸和存儲方法.pdf

摘要
申請專利號:

CN201510221450.8

申請日:

2015.05.04

公開號:

CN104991526A

公開日:

2015.10.21

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):G05B 19/418申請日:20150504|||公開
IPC分類號: G05B19/418; G06F21/57(2013.01)I 主分類號: G05B19/418
申請人: 中國科學院軟件研究所
發明人: 李昊; 陳震宇; 遲佳琳; 張敏; 蘇璞睿; 秦宇
地址: 100190北京市海淀區中關村南四街4號
優先權:
專利代理機構: 北京君尚知識產權代理事務所(普通合伙)11200 代理人: 司立彬
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201510221450.8

授權公告號:

||||||

法律狀態公告日:

2017.09.26|||2015.11.18|||2015.10.21

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

本發明公開了工業控制系統安全支撐框架及其數據安全傳輸和存儲方法。本發明的安全支撐框架包括若干設有安全芯片的安全服務器和若干設有安全芯片的客戶端;其中,客戶端與所述安全服務器通過網絡連接,服務器上設有工控系統可信環境管控平臺的服務端、可信移動介質管控系統的服務端、可信工控防火墻的服務端和可信數據庫系統,客戶端上設有可信工控系統防火墻的客戶端、可信環境管控平臺的客戶端、可信移動介質管控系統的客戶端,其中:可信數據庫系統,負責為存儲在數據庫中的設定敏感數據提供機密性和完整性保護服務,將設定敏感數據與可信的工控系統環境綁定。本發明能阻止惡意代碼在工控環境中的運行、傳播,同時確保敏感數據不被泄漏和篡改。

權利要求書

權利要求書
1.  一種工業控制系統安全支撐架構,其特征在于,包括若干設有安全芯片的安全服務器和若干設有安全芯片的客戶端;其中,所述客戶端與所述安全服務器通過網絡連接,所述服務器上設有工控系統可信環境管控平臺的服務端、可信移動介質管控系統的服務端、可信工控防火墻的服務端和可信數據庫系統,所述客戶端上設有可信工控系統防火墻的客戶端、可信環境管控平臺的客戶端、可信移動介質管控系統的客戶端,其中:
所述工控系統可信環境管控平臺,負責基于安全芯片的身份憑證來標識所述客戶端的身份,并保護它們之間的數據通信;
所述可信數據庫系統,負責基于安全芯片為存儲在數據庫中的設定敏感數據提供機密性和完整性保護服務,將設定敏感數據與可信的工控系統環境綁定;
所述可信工控系統防火墻,負責對工控系統的網絡實施分層隔離,并按照設定的控制規則控制在不同網絡分層之間的數據交互;
所述可信移動介質管控系統,負責根據工控終端接入移動介質的規則對插入所述客戶端的移動介質進行認證和準入控制;
其中,設定的敏感數據包括設定的控制規則和工控終端接入移動介質的規則。

2.  如權利要求1所述的工業控制系統安全支撐架構,其特征在于,所述工控系統可信環境管控平臺,還負責基于安全芯片對工控系統中的工控終端及工控服務器環境進行可信的度量,并設置可信進程的白名單。

3.  如權利要求2所述的工業控制系統安全支撐架構,其特征在于,還包括一新鮮性保護模塊,用于對所述可信數據庫系統的數據庫文件進行初始化度量,并對度量結果保存到一新鮮性保護數據表中;并在所述可信數據庫系統每次啟動前度量所述可信數據庫系統的數據庫文件的哈希值,并利用簽名私鑰對其進行簽名后更新到新鮮性保護數據表中。

4.  如權利要求3所述的工業控制系統安全支撐架構,其特征在于,所述新鮮性保護模塊申請安全芯片中的非易失存儲區空間用于存放新鮮性保護的根。

5.  如權利要求2或3所述的工業控制系統安全支撐架構,其特征在于,所述安全服務器還包括一數據安全性分析平臺,負責對出入工控系統中的工控終端、工控服務器的數據文件的安全性進行分析,確保數據文件中沒有包含漏洞利用代碼等惡意代碼,同時還負責為工控系統可信環境管控平臺提供應用軟件白名單認證服務,確保工控系統環境中運行的應用軟件不包含惡意行為。

6.  如權利要求1所述的工業控制系統安全支撐架構,其特征在于,所述客戶端包括工程師站、操作員站、工控服務器。

7.  一種工業控制系統安全支撐架構的信息傳輸方法,其步驟為:
1)進行數據傳輸的源主機S與目的主機D首先進行雙向的遠程證明,證明通過后,雙方互相保存對方身份密鑰對中的公鑰及對方的系統環境狀態;其中,主機S的身份密鑰對為(pks,sks),環境狀態記為Cs,D的身份密鑰對為(pkd,skd),環境狀態記為Cd;
2)遠程證明結束后,主機S向主機D發送一個隨機數r以及利用私鑰sks對r的簽名sigsks(r);
3)主機D用主機s的公鑰pks驗證簽名sigsks(r);若正確,則主機D中的安全芯片產生一對密鑰(pk,sk),且指定該密鑰的使用環境為Cd;然后將該密鑰對(pk,sk)、不可遷移性、使用環境Cd、隨機數r以及采用自己的私鑰skd對該密鑰對(pk,sk)、不可遷移性、使用環境Cd、隨機數r的簽名數據發送給主機S;
4)主機S用主機D的公鑰pkd驗證收到的簽名數據,若正確,則檢驗隨機數r的正確性;若r正確,則判定使用環境Cd是否為符合主機S設定的安全需求,若符合設定安全需求,則主機S產生一密鑰k,并利用該密鑰k加密待傳輸數據Data得到enck(Data),采用公鑰pk對該密鑰k進行加密得到encpk(k),然后將數據encpk(k),enck(Data),r,sigsks(encpk(k),enck(Data),r)發送給主機D;其中,sigsks(encpk(k),enck(Data),r)為主機S采用自己私鑰sks對數據encpk(k)、enck(Data)、r的簽名數據;
5)主機D用主機S的公鑰pks對收到的簽名數據進行驗證,若正確,則檢驗隨機數r的正確性;若r正確,則利用受安全芯片保護的私鑰sk解密出密鑰k,再利用該密鑰k解密出數據Data。

8.  如權利要求7所述的方法,其特征在于,所述密鑰(pk,sk)為一對不可遷移的非對稱加密密鑰(pk,sk)。

9.  如權利要求7所述的方法,其特征在于,所述密鑰k為對稱密鑰。

10.  一種基于權利要求1所述工業控制系統安全支撐架構的信息存儲方法,其步驟為:
1)安全服務器的可信數據庫系統第一次啟動前,新鮮性保護模塊調用安全服務器的安全芯片產生一對受安全芯片保護的簽名密鑰(pkf,skf),將私鑰skf的使用環境綁定為新鮮性保護模塊正常運行的環境;
2)新鮮性保護模塊在可信數據庫系統中建立一個新鮮性保護數據表T(FileID,Sigskf(File)),用于記錄數據庫文件名FileID與該文件哈希值的簽名Sigskf(File)的對應關系;
3)新鮮性保護模塊對新鮮性保護數據表T進行哈希運算,并用私鑰skf簽名產生Sigskf(T),然后將Sigskf(T)作為新鮮性保護的根存放在安全芯片的非易失存儲區中;
4)在后續每次可信數據庫系統啟動前,新鮮性保護模塊重新度量每個數據庫文件的哈希值,并從新鮮性保護數據表T(FileID,Sigskf(File))中查詢其對應的簽名值,驗證該文件的簽名值和哈希值是否正確;如果未通過驗證,則退出啟動流程;如果驗證通過,則進一步對新鮮性保護數據表T進行哈希運算,并從安全芯片的非易失存儲區中查詢簽名Sigskf(T),驗證T的簽名值和哈希值的正確性,若不正確則退出啟動流程,否則正常啟動;在可信數據庫系統關閉后,新鮮性保護模塊重新度量每個數據庫文件的哈希值,并利用skf對其進行簽名,然后更新到新鮮性保護數據表T(FileID,Sigskf(File))中;然后新鮮性保護模塊對新鮮性保護數據表T進行哈希運算,并用私鑰skf簽名產生Sigskf(T),再存儲到安全芯片的非易失存儲區中。

說明書

說明書工業控制系統安全支撐框架及其數據安全傳輸和存儲方法
技術領域
本發明以可信計算技術為基礎提出一種工業控制系統安全支撐框架及其數據安全傳輸和存儲方法,屬于工業控制安全領域。
背景技術
由于工業生產對工控系統可用性的嚴格要求,工控系統在部署完成后通常不會及時地進行升級、打補丁或殺毒軟件病毒庫的更新等安全操作。因為新升級或更新后的病毒、木馬查殺工具可能在查殺病毒的同時對系統環境造成破壞,進而導致系統崩潰。相比于普通IT系統,工控系統如果停機維護,就會帶來巨大的影響,例如重大經濟損失、環境污染等。工控系統中通常需要確定這些病毒、木馬查殺工具不會對現有系統造成損害的情況下,才對它們進行更新或升級,而不像普通IT系統那樣及時。也就是說,相比于傳統信息系統,工控系統的安全防護措施存在一定的滯后性。
而隨著信息化和工業化的融合,許多工業生產領域的企業管理網與工業控制網開始逐漸地互聯互通,以實現管理與控制一體化。在這種情況下,工控系統安全防護措施的滯后性就會為工控系統帶來更為嚴重的安全問題。首先,在系統環境安全方面,現有工控系統主要采用的是各類病毒、木馬查殺工具,將這些工具部署于工程師站、操作員站等工控終端以及工控服務器上。這些工具通常是基于代碼和行為的特征對系統環境進行檢測,需要維護一個病毒、木馬的特征庫,并及時進行更新。但是,如前所述現有工控系統在升級和打補丁方面存在滯后性,因此工程師站、操作員站等工控終端及工控服務器的系統環境安全性就較難確保。其二,在敏感數據安全方面,由于前述系統環境安全性較難保障的問題,存放在數據庫中的業務數據將面臨著篡改和泄漏兩方面的威脅。例如,攻擊者可以入侵系統環境,并對數據庫中存放的工藝配方等敏感數據進行篡改,則可能引發生產事故,帶來經濟損失甚至人員傷亡。此外,數據庫中存放的生產計劃等數據若被泄漏給競爭對手也會給企業造成巨大影響。其三,在網絡安全方面,通常工業控制系統的網絡可以劃分為現場設備層、車間監控層、生產管理層、企業經營管理層等層次,不同層次間要部署防火墻進行網絡的隔離,以阻止攻擊在網絡間進行蔓延傳播。而相比于普通信息系統中的防火墻,工控系統的防火墻需要能夠深入分析工業控制協議,具有更細粒度的訪問控制,以阻止針對工控通信協議和控制設備自身安全缺陷和漏洞的攻擊。這是目前普通的IT防火墻所不具備的。最后,移動介質安全性對于工控系統尤其重要。工業控制系統中經常采用移動介質,例如U盤、移動硬盤等,進行數據拷貝、 系統安裝和維護,因此,移動介質成為工控系統中病毒或木馬等惡意代碼傳播的重要途徑。工控系統需要比普通IT系統更為嚴格的移動介質安全管控,包括移動介質的認證、惡意代碼檢測。
總之,為了應對工控系統現有安全防護措施的滯后性以及信息化和工業化的兩化融合帶來的新的安全威脅,有必要在上述系統環境安全、敏感數據安全、網絡安全、移動介質安全四個方面采用新的技術和方法來提高工控系統的整體安全性。
發明內容
針對上述技術問題,本發明的目的是提供一種以可信計算技術為基礎的工業控制系統安全支撐框架及其數據安全傳輸和存儲方法,用于加強工業控制系統的安全性,阻止惡意代碼在工控環境中的運行、及通過網絡和移動介質進行傳播,同時確保工控系統中敏感數據不被泄漏和篡改。
為了實現上述技術目的,本發明的工業控制系統安全支撐架構主要包括四個必選部分:工控系統可信環境管控平臺、可信數據庫系統、可信工控系統防火墻、可信移動介質管控系統,以及一個可選部分:數據安全性分析平臺,其中:
所述工控系統可信環境管控平臺負責基于安全芯片的身份憑證來標識工控系統中的工控終端及工控服務器身份,并保護它們之間的數據通信,同時還負責基于安全芯片對工控系統中的工控終端及工控服務器環境進行可信的度量,并通過白名單方式,僅允許白名單規定的可信進程運行,從而確保工控系統環境的可信性,此外,白名單等安全關鍵數據將采用所述可信數據庫進行保護。
所述可信數據庫系統負責基于安全芯片為存儲在數據庫中的設定敏感數據提供機密性和完整性保護服務,將設定敏感數據與可信的工控系統環境綁定,并將方案的安全性建立在硬件安全芯片基礎上,以阻止來自系統環境或內部人員的攻擊,進而防止數據泄漏和遭受篡改。
所述可信工控系統防火墻負責對工控系統的網絡實施分層隔離,并對工控協議進行高效地分析,進而按照設定的控制規則來控制在不同網絡分層之間的數據交互,而這些規則將采用可信數據庫系統進行存儲保護。
所述可信移動介質管控系統負責根據工控終端接入移動介質的規則對插入工控終端的移動介質進行認證和準入控制,該控制規則將采用可信數據庫系統進行安全存儲,此外還將利用數據安全性分析平臺對移動介質中的數據進行安全性分析,對分析出的惡意代碼或文件進行刪除或隔離。
所述數據安全性分析平臺負責對出入工控系統中的工控終端、工控服務器的數據文件的 安全性進行分析,確保數據文件中沒有包含漏洞利用代碼等惡意代碼,同時還負責為工控系統可信環境管控平臺提供應用軟件白名單認證服務,確保工控系統環境中運行的應用軟件不包含惡意行為。
上述框架中每個組成部分的具體實現方式可以采用公知的任意方式來實現。本發明內容主要為上述部分組成的工業控制系統安全支撐平臺的框架,即各部分如何在框架中相互結合發生作用,來確保工業控制系統的安全性。因此,下面將進一步詳細闡述這些組成部分之間的重要數據的安全傳輸及安全存儲方法。這些重要數據包括:工控系統可信環境管控平臺的白名單、可信工業控制防火墻的網絡規則、可信移動介質管控系統的管控規則,及其他一些工業控制系統的生產相關的重要數據,例如生產計劃、生產配方等。
(一)安全傳輸方法:
上述框架中的每個組成部分所部署的主機(臺式機、筆記本、服務器)應該裝有安全芯片。這些組成部分可能采用客戶端/服務端的架構實現,因此同一個組成部分可能其客戶端與服務端位于兩臺不同的主機上。本發明中,不論是不同組件之間的通信,還是同一組件的客戶端及服務端之間的通信都要采用本發明中的方法進行安全的數據傳輸。
數據傳輸的雙方分別記作源主機S與目的主機D。
(1)S與D首先進行雙向的遠程證明,相互證明自己的安全芯片的身份及主機系統環境的狀態,S的身份密鑰對為(pks,sks),環境狀態記為Cs,D的身份密鑰對為(pkd,skd),環境狀態記為Cd。遠程證明后,雙方互相知道對方的身份密鑰對的公鑰及對方的系統環境的當前狀態。因為工控環境中沒有匿名需求,所以這里的遠程證明方法不必采用匿名證明,可以為公知的任意可信計算方法;
(2)遠程證明結束后,S向D發送一個隨機數r,和對r的簽名sigsks(r),用于防止重放攻擊;
(3)D用pks驗證簽名sigsks(r),若正確,則D中的安全芯片產生一對不可遷移的非對稱加密密鑰(pk,sk),且指定該密鑰的使用環境為Cd。并將該密鑰對(pk,sk)、不可遷移性non-migratable、使用環境信息Cd及隨機數r采用skd簽名,然后發送給S。即D向S發送:(pk,sk),non-migratable,Cd,r,sigskd((pk,sk),non-migratable,Cd,r);
(4)S用pkd驗證sigskd((pk,sk),non-migratable,Cd,r)的正確性,若正確,則進一步檢驗隨機數r的正確性。若r正確,則再判定Cd是否為符合S設定安全需求的目的主機環境(比如兩者使用環境相同)。若符合安全需求,則S產生一個對稱的加密密鑰k,并利用k加密重要數據Data,然后采用pk將k進行加密。S向D發送encpk(k),enck(Data),r,sigsks(encpk(k),enck(Data),r);
(5)D用pks驗證簽名sigsks(encpk(k),enck(Data),r)的正確性,若正確,則進一步檢驗隨機數r的正確性。若r正確,則利用受安全芯片保護的sk來解密k,再利用k解密出重要數據Data。
在上述步驟(5)中,由于(pk,sk)為受安全芯片保護的不可遷移的密鑰對,且sk的使用環境被指定為Cd,因此重要數據在傳輸過程及傳輸到目的主機D后,都必須在源主機S認可的目的主機d及其安全環境Cd下解密。一旦目的主機D在傳輸過程中或數據到達后,環境遭受了破壞,則重要數據Data就無法被解密,也就不會造成數據泄漏。此外,若為雙向數據傳輸,則上述過程中的步驟(2)至(5)要由源主機和目的主機互換角色,重新執行一遍即可。
(二)安全存儲方法
在本框架中雖然采用了可信數據庫系統對存儲于其中的數據提供了基于安全芯片的機密性和完整性保護,但是對于重要數據的存儲保護仍然不夠,這主要是由于數據的新鮮性仍然能夠被破壞。例如,攻擊者可以通過將操作系統中存儲數據庫的文件全部替換為舊版本文件,從而達到攻擊目的——白名單被替換為舊版本,生產配方被替換為舊版本等。該攻擊是無法通過版本號或時間戳來抵御的,因為版本號只是對數據處于的某個狀態進行了編號,而時間戳只能表明在某個時間點數據已經存在,它們都無法表明數據是否為最新的。本發明提供如下的基于安全芯片的新鮮性保護方法來進一步加強重要數據的存儲安全性。
在可信數據庫系統所部署的主機(臺式機、筆記本、服務器)上,增加一個新鮮性保護模塊,它與可信數據庫及安全芯片相互配合,實現可信數據庫中存放的數據的新鮮性保護,主要包括如下幾個過程:
(1)初始化過程
可信數據庫系統安裝完畢,第一次啟動前,新鮮性保護模塊要完成初始化過程:
a)新鮮性保護模塊調用安全芯片產生一對受安全芯片保護的簽名密鑰(pkf,skf),該密鑰對的私鑰skf的使用環境被綁定為新鮮性保護模塊正常運行的環境,同時申請安全芯片中的非易失存儲區空間;
b)新鮮性保護模塊在可信數據庫中建立一個新鮮性保護數據表T(FileID,Sigskf(File)),它記錄了操作系統中的存儲數據庫表的數據庫文件名FileID與該文件哈希值的簽名Sigskf(File)的所有對應關系;
c)新鮮性保護模塊對新鮮性保護數據表T進行哈希運算,并簽名,產生Sigskf(T),并將Sigskf(T)作為新鮮性保護的根存放在安全芯片的非易失存儲區中。
(2)可信數據庫系統啟動過程
在每次可信數據庫系統啟動前,都必須由新鮮性保護模塊完成如下過程:
a)新鮮性保護模塊重新度量操作系統中的每個數據庫文件的哈希值,并從新鮮性保護數據表T(FileID,Sigskf(File))中查詢其對應的簽名值,驗證該文件的簽名值和哈希值是否正確;
b)若在新鮮性保護數據表T中,有某文件查詢不到它對應的簽名值,則向管理員報警,并退出啟動流程;
c)若存在某文件的簽名值或哈希值不正確,則向管理員報警,并退出啟動流程;
d)若操作系統中所有數據庫文件都有對應的簽名值,且其簽名值或哈希值都正確,則進一步對新鮮性保護數據表T進行哈希運算,并從安全芯片的非易失存儲區中查詢簽名Sigskf(T),驗證T的簽名值和哈希值的正確性,若不正確則向管理員報警,并退出啟動流程,否則繼續可信數據庫系統的正常啟動。
(3)可信數據庫系統關閉過程
在每次可信數據庫系統關閉后,都必須由新鮮性保護模塊完成如下過程:
a)新鮮性保護模塊重新度量操作系統中的每個數據庫文件的哈希值,并利用skf對其進行簽名,然后更新到新鮮性保護數據表T(FileID,Sigskf(File))中;
b)新鮮性保護模塊對新鮮性保護數據表T進行哈希運算,并用skf簽名產生Sigskf(T),再存儲到安全芯片的非易失存儲區中。
在上述過程中,由于可信數據庫系統運行期間受到工控系統可信環境管控平臺對其運行環境的保護,因此攻擊者無法在其運行過程中侵入系統環境,并進行重放攻擊。而上述過程又保證了可信數據庫系統在關閉后到開啟前一段時間內,攻擊者對存儲于硬盤上的數據庫文件的新鮮性破壞能夠被檢測出來,因此能夠確保存儲于可信數據庫中的重要數據的新鮮性。
本發明的有益效果如下:
(一)可以通過數據安全性分析平臺對所有進程進行分析,安全管理員再基于分析結果來建立白名單,并通過工控系統可信環境管控平臺來阻止白名單之外的進程在工控系統中運行。因此,確保了實際運行中的工控系統環境只含有經過分析的可信的進程。
(二)將工控系統中的一些重要參數等敏感數據及本發明中工控系統安全支撐平臺的安全相關數據都存儲在可信數據庫系統中,可以有效確保它們的機密性和完整性。這種安全保護是建立在安全芯片的硬件基礎上,因此具有更高的安全性。
(三)在工控網絡中部署可信工控系統防火墻能夠對網絡中的攻擊行為進行有效隔離,提高工控網絡的安全性。
(四)可信移動介質管控系統的部署能夠有效抑制病毒、木馬等惡意代碼通過移動介質在工控系統中進行傳播。
(五)數據安全性分析平臺能夠為工控系統安全管理員提供對未知文件、進程的安全性 分析,并且不需要特征庫的支持,也避免的頻繁升級和更新,更加適合工控系統。
(六)在上述組成部分之間的重要數據的傳輸和存儲都基于安全芯片實施了保護,覆蓋了數據傳輸和存儲的完整的三個階段——數據從源主機到目的主機的傳輸階段、數據到達目的主機后及被存儲前的階段、數據存儲階段,有效確保了本發明的工業控制系統安全支撐平臺各組成部分相互之間可信的數據流動,進而加強了整體系統的安全性。
附圖說明
圖1是工業控制系統安全支撐平臺架構示意圖;
圖2是工業控制系統安全支撐平臺部署及實施方法示意圖。
具體實施方式
下面將對發明內容中所描述的工業控制系統安全支撐平臺的具體部署和實施方法進行示例性解釋,但不以這種解釋限制發明的范圍。
首先,工控系統可信環境管控平臺通常實現為客戶端/服務端架構。客戶端部署于需要可信環境管控的工控終端或工控服務器上,例如工程師站、操作員站等。而為了不影響現有工控系統的架構,服務端通常部署于獨立的安全服務器上。這種實現方式不會對工控系統的穩定性和可靠性造成影響。
可信數據庫系統部署于數據庫服務器上,與工控系統可信環境管控平臺、可信工控系統防火墻、可信移動介質管控系統這三個安全支撐平臺的其他組成部分連接,為安全相關數據提供安全存儲。此外,它還會與工業控制系統進行連接,為一些非實時的工控系統敏感數據提供安全存儲。
可信工控系統防火墻部署于工控網絡的不同網絡層之間,實現它們之間的隔離,例如現場設備層與車間監控層之間等。具體地,可信工控防火墻也將采用客戶端/服務端架構,即在需要隔離的網絡之間部署防火墻的客戶端來執行具體的網絡規則,而其服務端部署于前述的安全服務器上來管理和維護這些網絡規則。
可信移動介質管控系統通常也被實現為客戶端/服務器架構。客戶端部署于需要移動介質管控的工控終端或工控服務器上,例如工程師站、操作員站等。而服務端則往往部署于獨立的安全服務器上,可以與工控系統可信環境管控平臺的服務端位于同一安全服務器。
而數據安全性分析平臺需要對可能惡意的文件進行分析,因此需要單獨位于一個安全服務器上,并在它與安全支撐平臺其他部分之間部署可信工控系統防火墻進行隔離。該分析平臺的分析結果一般會包括兩個方面的內容:其一,通過模擬文件的預期使用環境,并收集該 文件在該模擬環境下的運行情況,得到文件在預期環境下的所有行為;其二,依據預先定義的惡意行為判定規則,這些行為是否具有惡意性。對于后者,管理員可以直接利用它對工控系統的整體安全性進行管理和維護。而前者可以被用于進一步的分析,以不斷提高惡意行為判定規則的準確性。
而發明內容中用于連接各個部件,并保護其中數據傳輸和存儲安全性的安全傳輸方法和安全存儲方法,可以采用軟件調用安全芯片相應功能的方式來實現,而軟件實現的部分必須位于本發明的工控系統可信環境管控平臺所保護的系統環境中,即白名單列表中。
最后,給出一個具體的例子來進一步解釋說明本發明內容。
首先,工控系統的工程師站等工控終端或工控服務器在部署了工控系統可信環境管控平臺的客戶端后,將按照服務端預先定義且簽名過的進程白名單對本地的系統環境進行可信管理,阻止一切白名單外的進程啟動。也就是通過可信計算技術實現系統的安全啟動,在啟動過程及后繼新啟動進程時對進程進行度量,并與白名單進行比較,確保度量結果和比較結果的可信性。若該進程不在白名單中,則被阻止運行。而白名單是可以由管理員在服務端進行審核和管理的。因此,能夠確保工控系統中運行的進程都是經過管理員批準的,惡意或未知的進程都是無法在系統中運行的。
其二,可信數據庫能夠基于可信芯片提供的存儲信任根將上述白名單及其他的一些敏感數據進行安全保護。可信數據庫可以利用存儲信任根生成并保護兩對公私鑰,分別用于加密和簽名。加密密鑰用于對存儲在數據庫中的敏感數據進行機密性保護,簽名密鑰則用于完整性保護。并且在可信計算技術中,這兩對密鑰的使用環境可以被管理員指定為預期的安全環境。在這種情況下,一旦環境發生變化,則加密密鑰和簽名密鑰就無法被正常使用,數據庫中的敏感數據則無法被解密,也無法產生正確的簽名值,從而確保敏感數據的使用必須在安全環境中。而存儲信任根又位于安全芯片內部,攻擊者要非法獲取它就必須攻破硬件芯片,極大地提高了數據的安全性。
其三,可信工控系統防火墻被用于不同網絡層或區域之間的隔離。通過對工控協議的解析,能夠識別出一些惡意的數據包。例如,包含有非法的控制符或使用了可疑端口等的數據包將被防火墻阻攔,并發出警報。雖然防火墻的具體訪問控制規則需要管理員根據實際的環境進行配置,但是防火墻對于工控協議解析的支持是不可或缺的。只有防火墻能夠解析更多的協議,其對于訪問控制規則的描述和實施能力才會更強。這些訪問控制規則將采用上述的可信數據庫進行安全存儲,以確保不會被攻擊者篡改。
其四,可信移動介質管控系統的客戶端將被部署于每個可以插入移動介質的主機上,由其為主機執行移動介質的識別,并依照預先定義的規則進行準入控制。例如,移動介質A不 允許插入主機X等規則。這些規則是由可信移動介質管控系統的服務端進行統一配置和管理的。而這些規則也將被存入可信數據庫進行安全保護,以確保不會被攻擊者篡改。此外,用戶在使用移動介質前,移動介質中存放的未知數據文件還將被提交給數據安全性分析平臺進行分析,一旦發現惡意文件,則該移動介質將被禁止使用。
最后,數據安全性分析平臺是為整個工業控制系統安全支撐平臺提供惡意代碼分析支持的。也就是說,通過網絡或移動介質方式出入工控系統的工控終端、工控服務器的數據文件都可以提交給數據安全性分析平臺,對其行為進行分析檢測,判定其是否為惡意的。此外,在工控系統初始化安裝或后期升級時,對于要新加入工控系統可信環境管控平臺白名單的進程,管理員可以利用數據安全性分析平臺對它們進行分析,確保其不包含漏洞利用代碼等惡意代碼,然后再將它們加入白名單,從而確保工控系統可信環境管控平臺根據白名單所維護的環境是真正安全的。

關 鍵 詞:
工業 控制 系統安全 支撐 框架 及其 數據 安全 傳輸 存儲 方法
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:工業控制系統安全支撐框架及其數據安全傳輸和存儲方法.pdf
鏈接地址:http://www.rgyfuv.icu/p-6353542.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
山东11选5中奖结果走势图