CN105721500B - 一种基于TPM的Modbus/TCP协议的安全增强方法 - Google Patents

Abstract

一种基于TPM的Modbus/TCP协议的安全增强方法属于工业控制领域和信息技术领域。工业控制系统的安全关系到国家安全。现有的安全方案中，并没有从根本上解决通信的安全认证问题，存在客户机、服务器被冒充及密钥窃取的问题。本发明引入可信计算思想，为设备增加可信计算模块(TPM)，用TPM的身份认证密钥保证设备身份可信，设备操作系统及组态软件的度量信息保证设备的状态可信性。在可信服务器的参与下，完成双方的身份和状态认证。在协议格式上增加了Hash Item，保证报文的完整性。TPM的绑定密钥及授权数据PCR保证密钥Kms生成过程中的安全性，用HMAC及密钥Kms保证通信过程中双方身份的认证性。

Description

一种基于TPM的Modbus/TCP协议的安全增强方法

技术领域

本发明属于工业控制领域和信息技术领域，涉及一种工控系统中常用的通信协议Modbus/TCP的安全增强方法。

背景技术

工业控制系统广泛应用于电力、化工、油气开采、交通运输等国家关键基础设施领域，因而工业控制系统的安全关系到国家安全。近年来，随着工业以太网技术的快速发展，TCP/IP等互联网技术被引入到工业控制系统中。在将TCP/IP技术的安全威胁引入到工业控制系统中的同时，破坏了工业控制系统的封闭性。将工业控制系统中广泛使用的私有协议的设计和实现中的漏洞暴露给攻击者，给工业控制系统带来了巨大的威胁。

工业控制网络与我们的传统IT网络存在着巨大差异。工业控制系统一般情况下拥有固定数量的设备，可预测的通信流及私有通信协议，最重要的是高可用性需求。由于工业控制系统网络的特殊性，传统的IT安全保护机制是无效的。广泛部署的工业控制系统私有协议如：DNP3、Modbus、Modbus/TCP中没有提供安全控制，给攻击者提供了较多可以利用的漏洞，如Modbus/TCP中无认证性，则攻击者只要接入网络就可以发送合法的Modbus报文，进而篡改控制器中寄存器中的参数或者线圈状态，造成系统故障。协议缺乏完整性，攻击者可以篡改报文。协议缺乏新鲜性，攻击者可以将窃听到的报文重新发送到网络中引起系统故障。协议缺乏加密，地址和命令信息明文传输容易被攻击者窃听。当前针对Modbus/TCP协议安全增强的研究主要有两个方向：一是将安全增强机制部署在网关，二是将安全增强机制部署在终端设备上。现有的安全方案中，并没有从根本上解决通信中的安全认证问题，存在客户机、服务器被冒充及密钥窃取的问题。

发明内容

为了解决上述问题，发明了一种安全增强的Modbus/TCP协议。此协议引入可信计算思想，为设备增加可信计算模块(TPM)，用TPM的身份认证密钥保证设备身份可信，设备操作系统及组态软件的度量信息保证设备的状态可信性。在可信服务器的参与下，完成双方的身份和状态认证。在协议格式上增加了Hash Item，保证报文的完整性。TPM的绑定密钥及授权数据PCR保证密钥Kms生成过程中的安全性，用HMAC及密钥Kms保证通信过程中双方身份的认证性。

本发明的技术方案如下：

本安全方案中，设备中均增加可信平台模块(TPM)，增加了TPM的设备称为可信设备，设备在TPM基础上能够进行可信存储、组态软件和OS关键信息的可信度量。利用TCG软件栈的相关函数获取设备状态信息相关的PCR值，PCR值的安全是由TPM负责的。TPM提供进行身份认证和状态认证的基础，工业控制系统中增加了可信服务器(AS)为通信双方提供认证基础。可信服务器(AS)的作用是对客户机、服务器(可信设备)终端身份和状态进行验证，然后定期轮询工业控制系统中各可信设备，获取其身份和系统状态信息，维护可信设备信息白名单。

在本文的安全模型中，应用可信计算的思想保证设备的认证性，包括两方面的认证：设备身份认证和设备状态认证。

身份认证由TPM的身份认证密钥提供，身份认证密钥是TPM唯一的背书密钥的代替物，是不可迁移的。即身份认证密钥是与TPM绑定的，可保证TPM不被冒充。因此身份认证密钥可以代表TPM的终端身份，并且保证可信设备不被冒充。

设备状态认证利用远程证明的方式，远程证明包括：可信度量及可信报告。可信度量是对平台及组件的完整性进行度量，可信平台在启动时以TPM和CRTM(Core Root ofTrust for Measurement)为信任根，由BIOS、操作系统加载模块、操作系统、应用程序等构建信任链，沿着信任链由下向上层层度量。组件度量的结果写入到平台配置寄存器PCR中。可信报告是将平台及应用组件的度量值即PCR值签名后报告给验证方，验证方通过验证签名和PCR值来判断平台和应用程序的状态是否可信。

本安全方案中将可信度量对象选定为操作系统关键内核模块及工控组态软件。可信度量产生的度量信息存储在设备TPM指定的PCR中，利用TSS相应函数取得该PCR的值，作为该设备的状态信息。状态信息能够动态反应该系统是否遭到破坏从而保证设备状态可信。

本安全方案中利用HMAC算法保证报文传输中的完整性。

本协议分为可信更新验证、身份认证及Modbus/TCP安全通信三个子过程，身份认证子过程完成通信双方身份及状态可信的认证，生成Modbus/TCP安全通信中HMAC计算使用的密钥Kms。密钥Kms用绑定密钥传输，绑定密钥的授权数据设置为绑定密钥生成时某PCR的值，保证在密钥传输过程中若系统遭受攻击，系统状态发生变化(PCR值发生变化)，则绑定密钥的授权数据与现在PCR的值不一致，则绑定密钥无法使用，进而身份认证过程结束。需要可信更新验证过程中发现可信设备的变化，重新启动身份认证过程。

本协议运行之前协议参与者应当具备的知识如下：

1)可信设备(客户机和服务器)中存储可信服务器AS的公钥Ks_Pub。

2)AS中存储所有可信设备的可信状态信息即存储工控软件度量值的PCR值、身份认证密钥的公钥、绑定密钥的公钥构成白名单。可信服务器AS用其私钥Ks_Pri签名客户机相关的PCR值、身份认证密钥的公钥、绑定密钥公钥生成可信服务器的签名，可信服务器向工业控制系统中所有服务器推送客户机的信息及可信服务器的签名，可信服务器的签名可让服务器认证可信服务器AS。服务器中存储工业控制系统中所有客户机的相关信息。

协议运行过程如下：

(1).身份验证过程

身份验证过程的目标为用身份认证密钥的私钥对存储在PCR中的状态值进行签名，保证双方身份和状态的可信。通信双方在可信服务器AS的参与下完成双方身份和状态的认证。用绑定密钥加密传输对称密钥Kms及随机数，绑定密钥的授权数据指定为某个PCR值，绑定密钥只有在指定的PCR值与授权数据一致情况下才可使用，可保证只有该TPM平台且TPM系统状态与TPM生成该绑定密钥时状态一致时才能够使用该绑定密钥。从而保证对称密钥Kms协商过程中通信设备双方的状态的可信性。该通信过程中，A代表Modbus通信中的客户机，B代表服务器。身份验证过程通信步骤如下：

步骤1.1：A→B：req，Na；

req，Na分别是客户机A向服务器B发出的通信请求、随机数。

步骤1.2：服务器B收到客户机A的请求req和随机数Na后，将PCR值与随机数Na串联后计算摘要值，调用TPM_Quote计算PCR的签名值QuoteB。

步骤1.3：B→A：QuoteB，Nb；

QuoteB，Nb分别为服务器B发送给客户机A的PCR签名和随机数。

步骤1.4：A→AS：ReqB，Ns；

ReqB，Ns分别为客户机A向可信服务器AS发送要求服务器B相关信息的请求和随机数。

步骤1.5：可信服务器AS查找白名单后将服务器B的信息Kb_Pub，Pcrb，BAIK_Pub与Ns串联后用Ks_Pri签名，签名值为SIGNS。用Kb_Pub，Pcrb，BAIK_Pub与SIGNS构建报文Bdata。式中Kb_Pub为服务器B的绑定密钥的公钥，Pcrb为服务器B相应的PCR值，BAIK_Pub为服务器B的身份认证密钥的公钥，Ks_Pri为AS的私钥，其中SIGNS＝Sign(Ks_Pri,Kb_Pub,Pcrb,BAIK_Pub)。

步骤1.6：AS→A：Bdata；

可信服务器AS向客户机A发送服务器B的相关信息报文Bdata。

步骤1.7：客户机A用可信服务器AS的公钥Ks_Pub验证AS的签名SIGNS及随机数Ns；客户机A从报文Bdata中得到服务器B的PCR值、服务器B身份认证密钥的公钥BAIK_Pub及服务器B的绑定密钥的公钥Kb_Pub后，验证服务器B的签名QuoteB；上述验证操作均成功后，客户机A生成随机数Nc，将客户机A的PCR值用身份认证密钥的私钥AAIK_Pri签名生成QuoteA，QuoteA＝TPM_Quote(AAIK_Pub,Pcra,Nc)。

步骤1.8：A→B：QuoteA，Nc；

QuoteA，Nc分别是客户机A向服务器B发送的PCR签名和随机数。

步骤1.9：服务器B调用verifyQuote()验证客户机A的签名QuoteA，若返回值为success，则服务器B生成随机数Nd，并利用客户机A的绑定密钥的公钥Ka_Pub加密Nc，Nd。Bok＝TSS_Bind(Ka_Pub,Nc||Nd)。

步骤1.10：B→A：Bok；

Bok为服务器B向客户机A发送的确认客户机A可信的报文。

步骤1.11：客户机A用绑定密钥的私钥Ka_Pri解密Bok，即调用TPM_UnBind(Ka_Pri,Bok,keyAuth)，keyAuth为创建绑定密钥时的授权数据，在此选用客户机A的PCR值.在该函数执行过程中，首先验证该授权数据keyAuth是否与现在客户机A中相应PCR的值一致，一致才可使用绑定密钥的私钥Ka_Pri。解密后，验证随机数Nc是否与步骤1.7中发送给服务器B的随机数Nc相等。若相等，则客户机A生成HMAC运算中使用的对称密钥Kms，同时生成随机数Ne，将Kms，Nd，Ne用服务器B的绑定密钥的公钥Kb_Pub加密，生成Keys，Keys＝TSS_Bind(Kb_Pub,Kms||Nd||Ne)。

步骤1.12：A→B：Keys；

Keys是客户机包含对称密钥Kms的报文。

步骤1.13：服务器B用绑定密钥的私钥Kb_Pri解密报文Keys。之后验证随机数Nd是否与步骤1.9中生成的Nd一致，若一致，则接收客户机A发送的对称密钥Kms。然后用客户机A的绑定密钥的公钥Ka_Pub加密报文Keys中客户机A的随机数Ne，Brekeys＝TSS_Bind(Ka_Pub,Ne)。

步骤1.14：B→A：Brekeys；

服务器B告诉客户机A确实收到了对称密钥Kms。

步骤1.15：客户机A用绑定密钥的私钥Ka_Pri将Brekeys解密。验证随机数Ne是否与步骤1.11中生成的随机数一致，一致则客户机A确定服务器B收到了对称密钥Kms。

安全目标分析：用身份认证密钥对设备状态值PCR进行签名，保证双方身份和状态的可信。步骤1.10-1.15用绑定密钥的公钥Ka_Pub，Kb_Pub来加密传输对称密钥Kms。

(2)在Modbus/TCP通信中用HMAC保证通信报文的完整性，HMAC计算中Kms只有通信双方(客户机与服务器)知道，该Kms可以保证双方的身份认证。

Modbus/TCP安全通信过程步骤如下：

步骤2.1：客户机A根据实际工控环境中PLC的计算能力选择Hash算法，记为hashAlg。sdata为hashAlg，HMAC(Kms，data)，data。data为Modbus/TCP请求报文sdata中的Modbus/TCP PDU字段数据。

步骤2.2：A→B：sdata；

sdata为客户机A的Modbus/TCP请求报文。

步骤2.3：用HMAC计算sdata的数据域，即HMAC(Kms，data)与sdata中的Hash Item值比较，若不相等，则A不可信；若相等，说明请求报文真实可信，服务器B向客户机A发送回复报文redata，redata为hashAlg，HMAC(Kms，responsedata)，responsedata。responsedata为Modbus/TCP回复报文中Modbus/TCP PDU字段数据。

步骤2.4：A→B：redata；

redata是服务器B向客户机A发送的Modbus/TCP回复报文。

步骤2.5：客户机A用HMAC和密钥Kms计算回复报文redata的数据域responsedata，将HMAC(Kms，responsedata)值与redata中的Hash Item值比较，两者相等则客户机A接收回复报文redata，否则客户机A认为服务器B是冒充的。

(3)可信更新验证过程

可信服务器(AS)与可信设备利用远程证明方式定时获取各可信设备的相关信息。因为绑定密钥的安全性由TPM保证，身份认证密钥是不可迁移的并与TPM绑定，对于同一个TPM来说均是不可改变的。因此在可信服务器AS定期轮询可信设备时，只获取各可信设备的运行状态信息即PCR值。可信更新协议将保证AS中的白名单是可信的并且最新的，并能够及时发现系统中的不可信设备，保证系统安全。

在可信更新协议中，客户机A和服务器B因为均安装了TPM芯片，且流程一样，在可信更新协议中统称为可信设备A。在具体的流程中根据可信设备的不同类型(服务器或客户机)执行不同的操作。

可信更新验证过程具体步骤如下：

步骤3.1：AS→A：:Nonce,reqAuth(A)；

其中AS代表可信服务器，A代表可信设备，Nonce,reqAuth(A)分别表示可信服务器AS向可信设备A发送的随机数和验证请求。

步骤3.2：可信设备A将可信服务器AS请求的PCR值(Pcra)与随机数

Nonce，调用TPM_Quote接口签名，即Quote＝TPM_Quote(AAIK_Pri,Pcra,Nonce)，AAIK_Pri代表可信设备A的身份认证密钥的私钥，Pcra代表可信服务器AS请求的可信设备A的PCR值。

步骤3.3：可信设备A用可信设备A的PCR值(Pcra)和可信设备A的

签名Quote构建回复报文resp即resp＝Pcra，Quote。

步骤3.4：A→AS:resp；

可信设备A向可信服务器AS发送回复报文resp。

步骤3.5：可信服务器AS用verifyQuote(AAIK_Pub，Pcra，Quote，Nonce)验

证可信设备A的签名Quote及随机数Nonce。AAIK_Pub为可信设备A的身份认证密钥的公钥，Pcra为A的PCR值，Quote为步骤3.2中可信设备A生成的PCR签名，Nonce是步骤3.1中可信服务器生成的随机数。verifyQuote()返回success，则可确认A的PCR值Pcra及随机数Nonce在传输过程中未被篡改。

步骤3.6：可信服务器AS将接收到的可信设备的PCR值Pcra与AS白名单中可信设备A的PCR值Pcra比较。若相等，则说明可信设备A的状态是可信的，可信服务器AS中可信设备A的白名单条目不发生改变。若不相等，可信服务器AS需要向可信设备A的admin用户发送请求报文。请求报文中询问是否发生了系统主动更新操作。若admin用户的回复报文中指明没有发生主动更新操作，可信服务器AS向可信设备A的admin用户发出警告，同时切断A平台与其他设备的通信。若可信设备A的admin用户的回复报文中指明发生了更新操作，同时发送了可信设备A的TPM新生成的绑定密钥的公钥ka_Pub，可信则服务器AS更新白名单库中可信设备A的PCR值和绑定密钥的公钥Ka_Pub。

若可信服务器AS更新了白名单库中可信设备A的信息，需进行以下操作：若可信设备A的设备类型为客户机，则可信服务器AS将可信设备A的白名单信息推送到工业控制系统所有的服务器中。之后可信服务器AS向可信设备A发送启动身份验证的消息，可信设备A将重新发起与服务器的身份认证过程。若可信设备A的设备类型为服务器，则可信服务器AS向所有的客户机广播消息，消息内容为：与可信设备A通信应重新发起进行身份验证过程。

切断通信的方式为：若可信设备A的设备类型为服务器，可信服务器AS将可信设备A的设备IP地址发送给客户机，客户机与可信设备A通信时将重新发起身份认证过程；若可信设备A的设备类型为客户机，可信服务器AS则向所有服务器推送可信设备A的设备状态不可信的消息，服务器接收到可信设备A不可信的消息时，将可信设备A的对称密钥Kms置为无效，此时可信设备A与服务器无法正常通信。

本发明与现有技术比，有以下优势：

本发明提出一种Modbus/TCP协议的安全增强方法，在可信服务器参与下，对通信双方的身份及状态是否可信进行认证，在验证过程中生成通信密钥，该密钥只有通信双方知道，利用HMAC计算保证双方的可认证性及通信报文的完整性。

附图说明

图1：通信系统整体图

图2：可信更新协议通信过程

图3：身份认证协议通信过程

图4：Modbus/TCP通信过程

具体实施方式

可信设备中操作系统关键内核模块、工控组态软件等关键信息的任何改变都会改变可信度量值，即发生设备状态信息的改变。

为了使本领域人员更好地了解本发明，下面结合附图对本发明做进一步的说明。

可信Modbus/TCP协议格式如表1

表1:可信Modbus/TCP格式

MBAP：Modbus/TCP的报头。

Hash Algorithm：1个字节，根据设备计算能力选择hash算法，双方对可使用的hash算法进行协商。通信双方设备存hash算法表，若该字段为1说明使用SHA-1，为2使用MD5等。

Hash Item：此项根据选择hash算法的不同字节数不同；Hash Item＝HMAC(Kms,Modbus/TCP PDU)，其中对称密钥Kms是在身份认证过程中生成的。

Modbus/TCP PDU：为Modbus/TCP除MBAP报头的所有字段数据。

1.设备状态信息

可信设备中操作系统关键内核模块、工控组态软件等关键信息的任何改变都会改变可信度量值，即发生设备状态信息的改变。

因而本文中度量对象选定为操作系统关键内核模块及工控组态软件。可信度量产生的度量信息存储在其TPM指定的PCR中，利用TSS相应函数取得该PCR的值，作为该设备的状态信息。状态信息能够动态反应该系统是否遭到破坏。

2.可信白名单

在工业控制系统中增加了可信服务器验证通信双方设备身份的真实性和运行状态的可信性，需要在可信服务器中保存可信设备的白名单，白名单的格式如表2：

表2:白名单格式

设备IP地址标识设备，设备类型标识是客户机或服务器，设备AIK公钥是身份认证密钥的公钥，用来唯一验证设备身份，绑定密钥BK的公钥用于加密传输客户机和服务器间的通信密钥，设备状态信息的PCR值用来验证设备的状态是否可信。

本协议运行之前协议参与者应当具备的知识如下：

1)可信设备(客户机和服务器)中存储可信服务器AS的公钥Ks_Pub。

2)AS中存储所有可信设备的可信状态信息即存储工控软件度量值的PCR值、身份认证密钥的公钥、绑定密钥的公钥构成白名单。可信服务器AS用其私钥Ks_Pri签名客户机相关的PCR值、身份认证密钥的公钥、绑定密钥公钥生成可信服务器的签名，可信服务器向工业控制系统中所有服务器推送客户机的信息及可信服务器的签名，可信服务器的签名可让服务器认证可信服务器AS。服务器中存储工业控制系统中所有客户机的相关信息。

协议运行过程如下：

(1).身份验证过程

身份验证的目标为用身份认证密钥的私钥对存储在PCR中的状态值进行签名，保证双方身份和状态的可信。通信双方在可信服务器AS的参与下完成双方身份和状态的认证。用绑定密钥加密传输对称密钥Kms及随机数，绑定密钥的授权数据指定为某个PCR值，绑定密钥只有在指定的PCR值与授权数据一致情况下才可使用，可保证只有该TPM平台且TPM系统状态与TPM生成该绑定密钥时状态一致时才能够使用该绑定密钥。从而保证对称密钥Kms协商过程中通信设备双方的状态的可信性。该通信过程中，A代表Modbus通信中的客户机，B代表服务器。身份验证过程如图2，通信步骤如下：

步骤1.1：A→B：req，Na；

req，Na分别是客户机A向服务器B发出的通信请求、随机数。

步骤1.2：服务器B收到客户机A的请求req和随机数Na后，将PCR值与随机数Na串联后计算摘要值，调用TPM_Quote计算PCR的签名值QuoteB。

步骤1.3：B→A：QuoteB，Nb；

QuoteB，Nb分别为服务器B发送给客户机A的PCR签名和随机数。

步骤1.4：A→AS：ReqB，Ns；

ReqB，Ns分别为客户机A向可信服务器AS发送要求服务器B相关信息的请求和随机数。

步骤1.5：可信服务器AS查找白名单后将服务器B的信息Kb_Pub，Pcrb，BAIK_Pub与Ns串联后用Ks_Pri签名，签名值为SIGNS。用Kb_Pub，Pcrb，BAIK_Pub与SIGNS构建报文Bdata。式中Kb_Pub为服务器B的绑定密钥的公钥，Pcrb为服务器B相应的PCR值，BAIK_Pub为服务器B的身份认证密钥的公钥，Ks_Pri为AS的私钥，其中SIGNS＝Sign(Ks_Pri,Kb_Pub,Pcrb,BAIK_Pub)。

步骤1.6：AS→A：Bdata；

可信服务器AS向客户机A发送服务器B的相关信息报文Bdata。

步骤1.7：客户机A用可信服务器AS的公钥Ks_Pub验证AS的签名SIGNS及随机数Ns，调用TSS_VerifySHA1RSASignature(Ks_Pub,SIGNS,Kb_Pub||Pcrb||Ns)。客户机A从报文Bdata中得到服务器B的PCR值、身份认证密钥的公钥及绑定密钥的公钥Kb_Pub后，验证服务器B的签名QuoteB，调用verifyQuote()。上述验证操作均成功后，客户机A生成随机数Nc，将客户机A的PCR值用身份认证密钥的私钥AAIK_Pri签名生成QuoteA，QuoteA＝TPM_Quote(AAIK_Pub,Pcra,Nc)。

步骤1.8：A→B：QuoteA，Nc；

QuoteA，Nc分别是客户机A向服务器B发送的PCR签名和随机数。

步骤1.9：服务器B调用verifyQuote()验证客户机A的签名QuoteA，若返回值为success，则服务器B生成随机数Nd，并利用客户机A的绑定密钥的公钥Ka_Pub加密Nc，Nd。Bok＝TSS_Bind(Ka_Pub,Nc|||Nd)。

步骤1.10：B→A：Bok；

Bok为服务器B向客户机A发送的确认客户机A可信的报文。

步骤1.11：客户机A用绑定密钥的私钥Ka_Pri解密Bok，即调用TPM_UnBind(Ka_Pri,Bok,keyAuth)，keyAuth为创建绑定密钥时的授权数据，在此选用客户机A的PCR值.在该函数执行过程中，首先验证该授权数据keyAuth是否与现在客户机A中相应PCR的值一致，一致才可使用绑定密钥的私钥Ka_Pri。解密后，验证随机数Nc是否与步骤1.7中发送给服务器B的随机数Nc相等。若相等，则客户机A生成HMAC运算中使用的对称密钥Kms，同时生成随机数Ne，将Kms，Nd，Ne用服务器B的绑定密钥的公钥Kb_Pub加密，生成Keys，Keys＝TSS_Bind(Kb_Pub,Kms||Nd||Ne)。

步骤1.12：A→B：Keys；

Keys是客户机包含对称密钥Kms的报文。

步骤1.13：服务器B用绑定密钥的私钥Kb_Pri解密报文Keys。之后验证随机数Nd是否与步骤1.9中生成的Nd一致，若一致，则接收客户机A发送的对称密钥Kms。然后用客户机A的绑定密钥的公钥Ka_Pub加密报文Keys中客户机A的随机数Ne，Brekey＝TSS_Bind(Ka_Pub,Ne)。

步骤1.14：B→A：Brekeys；

服务器B告诉客户机A确实收到了对称密钥Kms。

步骤1.15：客户机A用绑定密钥的私钥Ka_Pri将Brekeys解密。验证随机数Ne是否与步骤1.11中生成的随机数一致，一致则客户机A确定服务器B收到了对称密钥Kms。

(2)在Modbus/TCP通信中用HMAC保证通信报文的完整性，HMAC计算中Kms只有通信双方(客户机与服务器)知道，该Kms可以保证双方的身份认证。

Modbus/TCP安全通信过程如图3，步骤如下：

步骤2.1：客户机A根据实际工控环境中PLC的计算能力选择Hash算法，记为hashAlg。sdata为hashAlg，HMAC(Kms，data)，data。data为Modbus/TCP请求报文sdata中的Modbus/TCP PDU字段数据。

步骤2.2：A→B：sdata；

sdata为客户机A的Modbus/TCP请求报文。

步骤2.3：用HMAC计算sdata的数据域，即HMAC(Kms，data)与sdata中的Hash Item值比较，若不相等，则A不可信；若相等，说明请求报文真实可信，服务器B向客户机A发送回复报文redata，redata为hashAlg，HMAC(Kms，responsedata)，responsedata。responsedata为Modbus/TCP回复报文中Modbus/TCP PDU字段数据。

步骤2.4：A→B：redata；

redata是服务器B向客户机A发送的Modbus/TCP回复报文。

步骤2.5：客户机A用HMAC和密钥Kms计算回复报文redata的数据域responsedata，将HMAC(Kms，responsedata)值与redata中的Hash Item值比较，两者相等则客户机A接收回复报文redata，否则客户机A认为服务器B是冒充的。

(3)可信更新验证过程

可信服务器(AS)与可信设备利用远程证明方式定时获取各可信设备的相关信息。因为绑定密钥的安全性由TPM保证，身份认证密钥是不可迁移的并与TPM绑定，对于同一个TPM来说均是不可改变的。因此在可信服务器AS定期轮询可信设备时，只获取各可信设备的运行状态信息即PCR值。可信更新协议将保证AS中的白名单是可信的并且最新的，并能够及时发现系统中的不可信设备，保证系统安全。

在可信更新验证过程中，客户机和服务器因为均安装了TPM芯片，在可信更新协议中统称为可信设备。在具体的流程中根据可信设备的不同类型(服务器或客户机)执行不同的操作。

可信更新验证的具体通信流程如图4，具体步骤如下：

可信更新验证过程具体步骤如下：

步骤3.1：AS→A:Nonce,reqAuth(A)；

其中AS代表可信服务器，A代表可信设备，Nonce,reqAuth(A)分别表示可信服务器AS向可信设备A发送的随机数和验证请求。

步骤3.2：可信设备A将可信服务器AS请求的PCR值(Pcra)与随机数

Nonce，调用TPM_Quote接口签名，即Quote＝TPM_Quote(AAIK_Pri,Pcra,Nonce)，AAIK_Pri代表可信设备A的身份认证密钥的私钥，Pcra代表可信服务器AS请求的可信设备A的PCR值。

步骤3.3：可信设备A用可信设备A的PCR值(Pcra)和可信设备A的

签名Quote构建回复报文resp即resp＝Pcra，Quote。

步骤3.4：A→AS:resp；

可信设备A向可信服务器AS发送回复报文resp。

步骤3.5：可信服务器AS用verlfyQuote(AAIK_Pub，Pcra，Quote，Nonce)验

证可信设备A的签名Quote及随机数Nonce。AAIK_Pub为可信设备A的身份认证密钥的公钥，Pcra为A的PCR值，Quote为步骤3.2中可信设备A生成的PCR签名，Nonce是步骤3.1中可信服务器生成的随机数。verifyQuote()返回success，则可确认A的PCR值Pcra及随机数Nonce在传输过程中未被篡改。

步骤3.6：可信服务器AS将接收到的可信设备的PCR值Pcra与AS白名单中可信设备A的PCR值Pcra比较。若相等，则说明可信设备A的状态是可信的，可信服务器AS中可信设备A的白名单条目不发生改变。若不相等，可信服务器AS需要向可信设备A的admin用户发送请求报文。请求报文中询问是否发生了系统主动更新操作。若admin用户的回复报文中指明没有发生主动更新操作，可信服务器AS向可信设备A的admin用户发出警告，同时切断A平台与其他设备的通信。若可信设备A的admin用户的回复报文中指明发生了更新操作，同时发送了可信设备A的TPM新生成的绑定密钥的公钥ka_Pub，可信则服务器AS更新白名单库中可信设备A的PCR值和绑定密钥的公钥Ka_Pub。

若可信服务器AS更新了白名单库中可信设备A的信息，需进行以下操作：若可信设备A的设备类型为客户机，则可信服务器AS将可信设备A的白名单信息推送到工业控制系统所有的服务器中。之后可信服务器AS向可信设备A发送启动身份验证的消息，可信设备A将重新发起与服务器的身份认证过程。若可信设备A的设备类型为服务器，则可信服务器AS向所有的客户机广播消息，消息内容为：与可信设备A通信应重新发起进行身份验证过程。

切断通信的方式为：若可信设备A的设备类型为服务器，可信服务器AS将可信设备A的设备IP地址发送给客户机，客户机与可信设备A通信时将重新发起身份认证过程；若可信设备A的设备类型为客户机，可信服务器AS则向所有服务器推送可信设备A的设备状态不可信的消息，服务器接收到可信设备A不可信的消息时，将可信设备A的对称密钥Kms置为无效，此时可信设备A与服务器无法正常通信。

Claims (1)

1.一种基于TPM的Modbus/TCP协议的安全增强方法，其特征在于：

本协议运行之前，可信设备即客户机A和服务器B中存储可信服务器AS的公钥Ks_Pub；AS中存储所有可信设备的可信状态信息，即存储工控软件度量值的PCR值、身份认证密钥的公钥、绑定密钥的公钥构成白名单；

协议运行包括以下三个过程：

(1)身份验证过程

该过程中，A代表Modbus通信中的客户机，B代表服务器；身份验证过程通信步骤如下：

步骤1.1：A→B：req，Na；

req，Na分别是客户机A向服务器B发出的通信请求、随机数；

步骤1.2：服务器B收到客户机A的请求req和随机数Na后，将PCR值与随机数Na串联后计算摘要值，调用TPM_Quote计算PCR的签名值QuoteB；

步骤1.3：B→A：QuoteB，Nb；

QuoteB，Nb分别为服务器B发送给客户机A的PCR签名和随机数；

步骤1.4：A→AS：ReqB，Ns；

ReqB，Ns分别为客户机A向可信服务器AS发送要求服务器B相关信息的请求和随机数；

步骤1.5：可信服务器AS查找白名单后将服务器B的信息Kb_Pub，Pcrb，BAIK_Pub与Ns串联后用Ks_Pri签名，签名值为SIGNS；用Kb_Pub，Pcrb，BAIK_Pub与SIGNS构建报文Bdata；式中Kb_Pub为服务器B的绑定密钥的公钥，Pcrb为服务器B相应的PCR值，BAIK_Pub为服务器B的身份认证密钥的公钥，Ks_Pri为AS的私钥，其中SIGNS＝Sign(Ks_Pri,Kb_Pub,Pcrb,BAIK_Pub)；

步骤1.6：AS→A：Bdata；

可信服务器AS向客户机A发送服务器B的相关信息报文Bdata；

步骤1.7：客户机A用可信服务器AS的公钥Ks_Pub验证AS的签名SIGNS及随机数Ns；客户机A从报文Bdata中得到服务器B的PCR值、服务器B身份认证密钥的公钥BAIK_Pub及服务器B的绑定密钥的公钥Kb_Pub后，验证服务器B的签名QuoteB；上述验证操作均成功后，客户机A生成随机数Nc，将客户机A的PCR值用身份认证密钥的私钥AAIK_Pri签名生成QuoteA，QuoteA＝TPM_Quote(AAIK_Pri,Pcra,Nc)；

步骤1.8：A→B：QuoteA，Nc；

QuoteA，Nc分别是客户机A向服务器B发送的PCR签名和随机数；

步骤1.9：服务器B调用verifyQuote()验证客户机A的签名QuoteA，若返回值为success，则服务器B生成随机数Nd，并利用客户机A的绑定密钥的公钥Ka_Pub加密Nc，Nd；Bok＝TSS_Bind(Ka_Pub,Nc||Nd)；

步骤1.10：B→A：Bok；

Bok为服务器B向客户机A发送的确认客户机A可信的报文；

步骤1.11：客户机A用绑定密钥的私钥Ka_Pri解密Bok，即调用TPM_UnBind(Ka_Pri,Bok,keyAuth)，keyAuth为创建绑定密钥时的授权数据，在此选用客户机A的PCR值，在该函数执行过程中，首先验证该授权数据keyAuth是否与现在客户机A中相应PCR的值一致，一致才可使用绑定密钥的私钥Ka_Pri；解密后，验证随机数Nc是否与步骤1.8中发送给服务器B的随机数Nc相等；若相等，则客户机A生成HMAC运算中使用的对称密钥Kms，同时生成随机数Ne，将Kms，Nd，Ne用服务器B的绑定密钥的公钥Kb_Pub加密，生成Keys，Keys＝TSS_Bind(Kb_Pub,Kms||Nd||Ne)；

步骤1.12：A→B：Keys；

Keys是客户机包含对称密钥Kms的报文；

步骤1.13：服务器B用绑定密钥的私钥Kb_Pri解密报文Keys；之后验证随机数Nd是否与步骤1.9中生成的Nd一致，若一致，则接收客户机A发送的对称密钥Kms；然后用客户机A的绑定密钥的公钥Ka_Pub加密报文Keys中客户机A的随机数Ne，Brekeys＝TSS_Bind(Ka_Pub,Ne)；

步骤1.14：B→A：Brekeys；

服务器B告诉客户机A确实收到了对称密钥Kms；

步骤1.15：客户机A用绑定密钥的私钥Ka_Pri将Brekeys解密；验证随机数Ne是否与步骤1.11中生成的随机数一致，一致则客户机A确定服务器B收到了对称密钥Kms；

(2)安全通信过程：

步骤2.1：客户机A根据实际工控环境中PLC的计算能力选择Hash算法，记为hashAlg；sdata为hashAlg，HMAC(Kms，data)，data；data为Modbus/TCP请求报文sdata中的Modbus/TCP PDU字段数据；

步骤2.2：A→B：sdata；

sdata为客户机A的Modbus/TCP请求报文；

步骤2.3：用HMAC计算sdata的数据域，即HMAC(Kms，data)与sdata中的Hash Item值比较，若不相等，则A不可信；若相等，说明请求报文真实可信，服务器B向客户机A发送回复报文redata，redata为hashAlg，HMAC(Kms，responsedata)，responsedata；responseda ta为Modbus/TCP回复报文中Modbus/TCP PDU字段数据；

步骤2.4：A→B：redata；

redata是服务器B向客户机A发送的Modbus/TCP回复报文；

步骤2.5：客户机A用HMAC和密钥Kms计算回复报文redata的数据域responsedata，将HMAC(Kms，responsedata)值与redata中的Hash Item值比较，两者相等则客户机A接收回复报文redata，否则客户机A认为服务器B是冒充的；

(3)可信更新验证过程

客户机A和服务器B因为均安装了TPM芯片，且流程一样，在可信更新协议中统称为可信设备T；

可信更新验证过程具体步骤如下：

步骤3.1：AS→T:Nonce,reqAuth(T)；

其中AS代表可信服务器，T代表可信设备，Nonce,reqAuth(T)分别表示可信服务器AS向可信设备T发送的随机数和验证请求；

步骤3.2：可信设备T将可信服务器AS请求的PCR值(Pcrt)与随机数Nonce，调用TPM_Quote接口签名，即Quote＝TPM_Quote(TAIK_Pri,Pcrt,Nonce)，TAIK_Pri代表可信设备T的身份认证密钥的私钥，Pcrt代表可信服务器AS请求的可信设备T的PCR值；

步骤3.3：可信设备T用可信设备T的PCR值(Pcrt)和可信设备T的签名Quote构建回复报文resp，即resp＝Pcrt,Quote；

步骤3.4：T→AS:resp；

可信设备T向可信服务器AS发送回复报文resp；

步骤3.5：可信服务器AS用verifyQuote(TAIK_Pub,Pcrt,Quote,Nonce)验证可信设备T的签名Quote及随机数Nonce；TAIK_Pub为可信设备T的身份认证密钥的公钥，Pcrt为T的PCR值，Quote为步骤3.2中可信设备T生成的PCR签名，Nonce 是步骤3.1中可信服务器生成的随机数；verifyQuote()返回success，则可确认T的PCR值Pcrt及随机数Nonce在传输过程中未被篡改；

步骤3.6：可信服务器AS将接收到的可信设备的PCR值Pcrt与AS白名单中可信设备T的PCR值Pcrt比较；若相等，则说明可信设备T的状态是可信的，可信服务器AS中可信设备T的白名单条目不发生改变；若不相等，可信服务器AS需要向可信设备T的admin用户发送请求报文；请求报文中询问是否发生了系统主动更新操作；若admin用户的回复报文中指明没有发生主动更新操作，可信服务器AS向可信设备T的admin用户发出警告，同时切断T平台与其他设备的通信；若可信设备T的admin用户的回复报文中指明发生了更新操作，同时发送了可信设备T的TPM新生成的绑定密钥的公钥Kt_Pub，可信则服务器AS更新白名单库中可信设备T的PCR值和绑定密钥的公钥Kt_Pub；

若可信服务器AS更新了白名单库中可信设备T的信息，需进行以下操作：若可信设备T的设备类型为客户机，则可信服务器AS将可信设备T的白名单信息推送到工业控制系统所有的服务器中；之后可信服务器AS向可信设备T发送启动身份验证的消息，可信设备T将重新发起与服务器的身份认证过程；若可信设备T的设备类型为服务器，则可信服务器AS向所有的客户机广播消息，消息内容为：与可信设备T通信应重新发起进行身份验证过程；

切断通信的方式为：若可信设备T的设备类型为服务器，可信服务器AS将可信设备T的设备IP地址发送给客户机，客户机与可信设备T通信时将重新发起身份认证过程；若可信设备T的设备类型为客户机，可信服务器AS则向所有服务器推送可信设备T的设备状态不可信的消息，服务器接收到可信设备T不可信的消息时，将可信设备T的对称密钥Kms置为无效，此时可信设备T与服务器无法正常通信。