CN110325995A - 安全的工业控制平台 - Google Patents
安全的工业控制平台 Download PDFInfo
- Publication number
- CN110325995A CN110325995A CN201780040749.0A CN201780040749A CN110325995A CN 110325995 A CN110325995 A CN 110325995A CN 201780040749 A CN201780040749 A CN 201780040749A CN 110325995 A CN110325995 A CN 110325995A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control system
- hardware
- processor
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000005259 measurement Methods 0.000 claims abstract description 57
- 238000004891 communication Methods 0.000 claims abstract description 37
- 230000007246 mechanism Effects 0.000 claims abstract description 23
- 238000000034 method Methods 0.000 claims description 59
- 238000003860 storage Methods 0.000 claims description 41
- 230000015654 memory Effects 0.000 claims description 29
- 230000008569 process Effects 0.000 claims description 20
- 238000007726 management method Methods 0.000 claims description 11
- 238000009826 distribution Methods 0.000 claims description 10
- 238000005538 encapsulation Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 7
- 239000013598 vector Substances 0.000 claims description 7
- 230000003068 static effect Effects 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 238000012550 audit Methods 0.000 claims description 5
- 238000013474 audit trail Methods 0.000 claims description 5
- 238000013500 data storage Methods 0.000 claims description 5
- 230000035515 penetration Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 230000006978 adaptation Effects 0.000 claims 1
- 238000011161 development Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 10
- 238000013461 design Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 9
- 230000002093 peripheral effect Effects 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 8
- 230000002441 reversible effect Effects 0.000 description 8
- 230000006378 damage Effects 0.000 description 6
- 238000007789 sealing Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000000116 mitigating effect Effects 0.000 description 4
- 239000007787 solid Substances 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000004888 barrier function Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- GVGLGOZIDCSQPN-PVHGPHFFSA-N Heroin Chemical compound O([C@H]1[C@H](C=C[C@H]23)OC(C)=O)C4=C5[C@@]12CCN(C)[C@@H]3CC5=CC=C4OC(C)=O GVGLGOZIDCSQPN-PVHGPHFFSA-N 0.000 description 1
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 101000997798 Pseudomonas alcaligenes Gentisate 1,2 dioxygenase 1 Proteins 0.000 description 1
- 241000287219 Serinus canaria Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 235000000332 black box Nutrition 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000002113 chemopreventative effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 125000000449 nitro group Chemical class [O-][N+](*)=O 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 239000011347 resin Substances 0.000 description 1
- 229920005989 resin Polymers 0.000 description 1
- 238000007790 scraping Methods 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000007858 starting material Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
根据一些实施例,可以为工业控制系统建立总体信任链。可以提供安全硬件,所述安全硬件包括耦合到所述工业控制系统的处理器或者与所述处理器集成以提供硬件信任根的硬件安全模块。类似地,安全固件与安全启动机制关联,使得所述处理器执行可信操作系统,其中,所述安全启动机制包括测量启动、可信启动和保护启动中的一个或多个。可以通过安全数据存储访问对象,且可通过安全通信根据所述硬件安全模块中存储的信息交换数据。
Description
背景技术
本发明中公开的主题涉及工业控制系统,并且更具体地涉及确保工业控制系统的操作。
诸如发电和输电系统(例如,风力、水力和燃气涡轮机系统)和制造系统(例如,炼油厂、化学制造工厂等)的工业控制系统是现代工业的共同特征。对于这种工业控制系统,工业控制器可以大体上控制所述系统的操作。例如,工业控制系统中的某些装置(例如,传感器、泵、阀、致动器等)可以由工业控制器控制,且可将数据报告给工业控制器。而且,工业控制器可以执行通常可以使得工业控制器能够控制工业控制系统(例如,燃气涡轮机系统)的操作的指令(例如固件和/或应用)。这些指令可以由工业控制器的制造商提供。例如,在工业控制器被安装在工业控制系统中之前,这些指令可以被加载到工业控制器上。此外,工业控制器可以提供访问指令和/或将指令(例如通过网络连接或本地端口)提供给工业控制器的几种不同的方法。
如果未授权方能够获得对工业控制器(或者以物理方式或者通过通信网络)的访问,则可能损坏整个工业控制平台的安全性。例如,未授权方可能修改软件,使得降低工业资产的操作和/或可能损坏资产。因此,期望提供这样的系统和方法,其为工业控制平台提供总体信任链。
发明内容
根据一些实施例,可以为工业控制系统建立总体信任链。可以提供安全硬件,所述安全硬件包括耦合到所述工业控制系统的处理器或者与所述处理器集成以提供硬件信任根的硬件安全模块。类似地,可以提供与安全启动关联的安全固件,使得所述处理器执行可信操作系统,其中,安全启动机制包括测量启动、可信启动和保护启动中的一个或多个。可以通过安全数据存储访问对象,且可通过安全通信根据所述硬件安全模块中存储的信息交换数据。
一些实施例包括:用于提供安全硬件的装置,所述装置包括耦合到所述工业控制系统的处理器或者与所述处理器集成以提供硬件信任根的硬件安全模块;用于提供与安全启动机制关联的安全固件的装置,使得所述处理器执行可信操作系统,其中,所述安全启动机制包括测量启动、可信启动和保护启动中的一个或多个;用于通过安全数据存储访问对象的装置;以及用于通过安全通信根据存储在所述硬件安全模块中的信息交换数据的装置。
本文中公开的一些实施例的一些技术优点有为工业控制平台创建总体信任链的改进的系统和方法。
附图说明
图1是根据一些实施例的系统的高级架构。
图2图示了根据一些实施例的用于工业控制系统的安全开发生命周期的元件。
图3图示了根据一些实施例的可能被执行的方法。
图4图示了根据一些实施例的具有用于工业控制系统的安全区的系统。
图5图示了根据一些实施例的具有输入输出存储器管理单元的系统。
图6代表根据一些实施例的原始设备制造商系统配给和安全启动。
图7图示了根据一些实施例的测量启动过程和其与安全启动的关系。
图8代表根据一些实施例的可信平台模块封装。
图9图示了根据一些实施例的网络安全服务。
图10图示了根据一些实施例的用于工业控制系统的可扩展信任链的实施。
图11图示了根据一些实施例的用于工业控制平台的集成入侵检测系统。
具体实施方式
在以下详细描述中,阐述众多具体细节以提供对实施例的透彻理解。然而,本领域的技术人员应理解,可以在没有这些具体细节的情况下实践所述实施例。在一些情况下,未详细描述众所周知的方法、程序、组件和电路以免混淆实施例。
将在下文描述本发明的一个或多个具体实施例。已努力提供了关于这些实施方案的简明描述,但可能并非所有的实际实施方式的特征都在说明书中进行了描述。应了解,在如任何工程或设计项目的任何此类实际实施方式的开发过程中,众多针对实施方式的决定必须实现开发者的具体目标,例如遵守可能在各个实施方式之间变化的相关系统约束和相关商业约束。此外,应当理解的是,这种开发工作可能复杂且耗时,但是对于受益于本公开的普通技术人员来说,这仍是常规的设计、生产和制造工作。
通常可能期望以安全方式操作工业控制系统的工业控制器。即,通常可能期望对工业控制器的典型行为或操作强加许多限制,以便提高工业控制系统的总体安全性。例如,如下面更详细陈述的,以安全方式操作工业控制器可以大体上阻止执行未授权的可执行文件和/或阻止被未授权个人或系统访问工业控制器。鉴于前述,图1是根据一些实施例的系统100的高级架构。系统100包括工业控制系统150,工业控制系统150包括硬件安全模块110、处理器120、可选的加密存储130(例如加密的文件系统)和许多部件140。加密存储130中的数据可包括例如可使用存储在硬件安全模块110中的对称密钥访问的一个或多个对象。
工业控制系统150根据一些实施例可以自动地访问加密存储130,以执行可信操作系统(“OS”),为工业资产配置部件140。如本文中所使用,术语“自动地”可以指,例如可以在极少或无人类干预的情况下执行的动作。对于被授权的访问,工业控制系统150的操作者可以使用远程终端或装置170。而且,未授权方可能试图通过一个或多个攻击180(例如故障攻击、再造工程攻击、侧信道攻击等)破坏工业控制系统150。
如本文中所使用,包括与工业控制系统150相关联的那些装置以及本文所述的任何其它装置的装置可以通过任何通信网络交换信息,所述通信网络可以是以下中的一个或多个:局域网(“LAN”)、城域网(“MAN”)、广域网(“WAN”)、专用网络、公共交换电话网络(“PSTN”)、无线应用协议(“WAP”)网络、蓝牙网络、无线LAN网络,和/或互联网协议(“IP”)网络,例如互联网、企业内部网或外联网。应注意,本文所描述的任何装置可以通过一个或多个此类通信网络通信。
工业控制系统150可以将信息存储到各种数据源中和/或从各种数据源检索信息,所述数据源例如加密存储130和/或操作者平台170。各种数据源可以被本地存储或者驻存在工业控制系统150的远程。尽管在图1中示出一个工业控制系统150,但在系统100中可以包括任何数目的这种装置。此外,本文所描述的各种装置可以根据本发明的实施例组合。例如,在一些实施例中,工业控制系统150和一个或多个数据源可包括单个设备。工业控制系统150功能可以通过联网设备的群集在分布式处理或基于云的架构中执行。
为了保护工业控制系统150,可以实施安全开发生命周期。例如,图2图示了根据一些实施例的用于工业控制系统的安全开发生命周期200的元件。具体而言,生命周期200可包括以下元件中的一些或全部(将在本文中对其中的每一个进行更详细的描述):可信供应链202;硬件设计204;固件设计205;硬件信任根206;安全测量启动208;可信OS 210;安全数据存储212;安全通信214;网络安全服务216;安全更新218;安全策略220;安全架构222;和/或应用强化224。
以某种方式,一些实施例可提供可信计算能力的唯一堆栈,将安全技术扩展到新平台中,并将硬件信任根扩展到管理程序托管的虚拟机中。这些能力可在深度控制方案中提供唯一的防御,其将安全周界推送到个别的控制部件和软件栈中。注意,工业控制系统提供商可以建立从供应链202和部件的获取,硬件204和固件205的设计到从硬件到应用软件、通信214和系统集成的完整信任链的运行时间实施的安全信任链。一些实施例可以利用许多开放标准和现有的安全技术,并将这些安全技术应用到工业控制系统。
一些基础安全标准可包括由可信计算组织(“TCG”)以可信平台模块(“TPM”)装置的形式提供的那些标准。TPM装置可以在篡改强化型装置中的工业控制系统中提供信任根的基础。注意,TPM装置可以作为用于测量和/或用于密封和保护平台秘密(例如用于安全本地存储和用于装置认证的加密密钥)的信任根。对这种秘密的访问接着可被绑定到与平台关联的完整性测量。
注意,在嵌入式控制系统中使用的微处理器现在将安全特征集成到硅中。例如,大多数处理器公司(例如,Intel,AMD,ARM等)将核心安全技术构建到处理器中。常规上,系统的安全性针对机密性、完整性和可用性(称作“CIA”)。密码技术(例如各种加密算法、密码散列、数字签名等)可以帮助确保系统的机密性和完整性。可用性包括这样的情形:对手通过否定合法实体访问信息和服务来攻击系统。例如网络否定服务攻击之类的攻击属于这种类别。这种攻击可集中在网络和控制系统的物理安全性上。
图3图示了可以由关于图1所描述的系统100的一些或全部元件执行的方法300。本文所描述的流程图并未暗示步骤的固定次序,并且本发明的实施例可以按可行的任何次序实践。应注意,本文所描述的方法中的任一个可以通过硬件、软件或这些方法的任何组合执行。例如,计算机可读存储媒体可以将指令存储于其上,所述指令在由机器执行时产生根据本文所描述的实施例中的任一个的性能。
在S310处,可以建立关于要在工业控制系统的处理器上运行的固件和软件栈的安全审计跟踪。在S320处,注意,可以根据安全审计跟踪将对象存储在工业控制系统的加密存储中。而且,耦合到工业控制系统的处理器或者与所述处理器集成的硬件安全模块可以保护用来访问加密存储的对称密钥。根据一些实施例,硬件安全模块包括可信平台模块(“TPM”)。
在S330处,可以使用安全启动过程启动工业控制系统的处理器。安全启动过程可并入例如验证启动、测量启动、保护启动和/或可信启动。例如,“验证”启动只可以允许签名软件在装置上运行。“测量”启动可以对硬件和启动过程的不同方面进行测量,接着用TPM签名并安全地存储这些测量值。“保护”启动例如可能需要密码。
根据一些实施例,所述系统可以验证在处理器的测量启动期间采集的平台完整性测量的正确集合。根据一些实施例,安全启动过程给处理器提供在硬件安全模块的PCR中存储确保启动对象的完整性所需的静态信任根测量的平台固件,以提供审计跟踪。根据一些实施例,固件可以从硬件安全模块提取用来解密存储器/启动对象的秘密。从硬件安全模块提取秘密的能力可以基于审计跟踪被限制。
在S340处,处理器可以执行来自软件和固件堆栈的可信操作系统,以将低级工业控制平台硬件配置到已知的可信运行时间环境中。根据一些实施例,由硬件安全模块使用私钥密码运算来促进在安全通信中的装置识别。根据一些实施例,处理器可以被设置在可信状态,在被设置在可信状态之后,处理器可以从加密存储加载并解密对象,以创建固件和软件栈。而且,处理器可以执行管理程序,以为工业控制系统创建并运行虚拟机。注意,设计者可以选择硬件安全模块作为用于工业控制系统的专用安全硬件。而且,可以从实施安全开发生命周期实践并利用固件验证的可信供应链部件实体中选择硬件安全模块。
根据一些实施例,工业控制系统是分布式工业控制系统,硬件安全模块与工业控制系统控制器关联,所述工业控制系统控制器使用公钥基础设施服务来为工业控制系统的部件上的软件和固件的代码签名发行并管理证书。而且,可以使用封装代码签名工具部署用于工业控制系统的安全更新,封装代码签名工具包括与具有适当公钥的运行时间签名验证机制集成的签名信息,并对应于签名私钥。此外,可以实施安全策略,以促进工业控制系统的机密性、完整性和可用性。在一些情况下,安全架构可以将共享安全策略的有关信息作为统一安全域对待。
注意,可以通过网络和装置通信的实施,安全通信协议的采用,渗透测试,和/或与被执行的应用关联的工业控制系统的第三方认证,针对多个攻击矢量,强化由工业控制系统执行的应用。
本发明中描述的一些实施例为工业控制系统(“ICS”)提供信任链。可以与用于ICS的安全信任链关联的一些元件涉及图2中概括的许多个活动和技术。在该图中的每个元件例如可包括在总体信任链中的一个或多个链接。通常,系统的安全性可以取决于了解在这些层中的每一层的威胁,并通过在系统架构、设计和实施、制造、供应链、开发和配给、维护、生命末期等的缓解策略来解决这些威胁。
在开发安全工业控制系统时,最佳实践的教育、训练和采用可以用在安全软件、硬件和应用开发中。安全开发生命周期(“SDLC”)方法的实例可包括工业标准(例如国际电工委员会(“IEC”)62443)和/或规章(例如北美电力可靠性协会(“NERC”)/关键基础设施保护“CIP”)。为了建立对ICS的信任,建立对系统部件和在ICS中的这些部件的集成的信任可能是有帮助的。通常,为了能够从安全观点信任系统,确保所有部件和系统配置保持部件的原有完整性和其相应的部署配置可能是有帮助的。注意,使用固件的任何部件都是恶意程序插入的潜在攻击矢量。这些部件范围从集成部件到第三方控制系统元件。具有固件攻击表面的集成部件的实例包括硬盘驱动器、固态驱动器、安全数字(“SD”)卡、通用串行总线(“USB”)装置、网络接口卡、现场可编程门阵列(“FPGA”)器件等。黑盒系统部件的实例可包括传统工业控制设备、网络路由和交换设备等。通过修改内部固件,可损坏这些元件中的每一个元件。此外,为了损坏该系统的机密性、完整性或可用性,恶意的硬件部件可被秘密地添加到部件或系统。
图4图示了根据一些实施例的用于工业控制系统的具有安全区450的系统400。系统400包括CPU 410和平台控制器集线器(“PCH”)420(在安全区450外部)。安全区可包括“阻止区屏障”,例如0.1英寸的屏障。在屏障内,安全区450、TPM 460、固态驱动器(“SSD”)470和FPGA 480可以被保护。注意,供应链缓解策略可以基于建立并审查与部件提供商的关系,检查其相应的SDLC实践和安全特征,反向工程和了解来源部件,并采用诸如固件验证(例如数字代码签名、证明)等的威胁缓解策略以及防篡改和防拆封技术。
为了建立对ICS部件的信任,检查并评估ICS部件的硬件和固件架构,增进对实施ICS部件中使用的部件的安全威胁、能力和特征的了解可能是有帮助的。这可包括检查处理器架构和设计中使用的其它硬件部件,识别设计中的安全关键部件,并明确表达针对系统识别的威胁和关联的缓解策略。根据一些实施例,诸如TPM装置的安全强化装置可以用在系统中,以为所有测量提供防篡改存储,以及为例如用于在安全通信中建立装置标识的私钥密码运算的安全关键运算提供安全包围区。注意,TPM装置可以是基于固件的“集成”TPM装置或者“分立”TPM装置,所述“分立”TPM装置为在硬件设计和针对ICS部件的实施中集成和包括的不同的装置。
也可以关于安全特征评估处理器架构。根据一些实施例,处理器可包括用于验证启动的硬件信任根,测量启动能力(通过BIOS和固件实施)和/或允许在系统启动期间禁止和/或锁定所附连的IO装置或联合测试行动小组(“JTAG”)调试系统的可信启动能力。
系统中的硬件可以被用作“信任锚”,以在系统中建立信任根。根据一些实施例,硬件信任锚可以被强化,并且使得损坏和修改以促进对系统进行攻击变得困难。因此-通过锚定对硬件的信任-此信任链可以通过安全启动技术延伸到操作系统和ICS控制器上托管的应用中。
根据一些实施例,可以为每个安全启动模式建立硬件信任根。验证信任根可以基于硬件验证启动(“HVB”),且在处理器中发起。注意,在将控制转移到该固件之前,HVB可以使用安全信息(例如公钥或用来对固件签名的公钥的散列)来验证启动固件(BIOS,U-启动等)的完整性。根据一些实施例,测量信任根开始于硬件重置,当系统从重置启动以启动固件(例如BIOS)时验证过程继续,以将加载器引导到OS和应用。注意,一些过程可能没有硬件验证启动能力,所以验证信任根可转而在从ICS控制器上的永久性存储器(例如闪存)加载的固件中开始。在处理器没有完全HVB的情形中,可提供额外的预防,防止篡改存储在永久性存储器中的启动固件。
测量信任根可以提供关于在ICS部件上运行的固件和软件栈的安全审计跟踪。根据一些实施例,此审计跟踪可以用来密封和保护平台秘密(私钥、对称密钥),且如果平台测量集与预期的值匹配,则这些秘密只可用于平台。这些测量还可以用来对在ICS控制器上的硬件、固件和/或软件的完整性提供证明(例如验证某事为真的过程)。
图5图示了根据一些实施例的具有输入-输出存储器管理单元(IOMMU)520的系统500。具体而言,IOMMU 520从装置510接收装置地址,并将物理地址提供至主存储器530。类似地,MMU 550从CPU 540接收虚拟地址,并将物理地址提供至主存储器530。根据一些实施例,第三信任根可以基于处理器本身的“信任特征”。在此情况下,ICS部件架构可适用于适应这种特征。例如,一些Intel,AMD和Freescale处理器提供用来锁定处理器并将其置于“已知良好”安全状态的可信启动,所述安全状态确保运行时间环境的完整性。这种可信启动机制可禁用硬件调试端口和外部IO,以防止基于直接存储器访问(“DMA”)的代码注入攻击等。
图6代表根据一些实施例的具有原始设备制造商系统配给和安全启动的系统600。所述系统包括软件图像610、签名612和公钥614。软件图像610用来生成散列620,用私钥624对散列620加密622,以创建签名612,从公钥630,614创建散列632,散列632被安全地存储640。连同签名652和公钥654一起在安全启动侧上提供软件图像650。软件图像650被散列化660,并与用公钥674解密的散列676进行比较662。在680处,如果散列匹配,则启动是安全的。注意,验证启动可以依赖于当前的启动级,以在将控制转移到下一级之前,用密码验证(例如通过密码散列和数字签名验证)下一级部件的完整性。如果验证过程没有通过考核,则这可能指示篡改了系统,从当前启动级到下一启动级的进展可以被阻止。
注意,如果使用相同的签名密钥,则验证启动通常不能区分系统软件和固件的两个不同的版本。因此,根据一些实施例,附加机制(例如单调计数器)可用来检测对较老软件和固件图像的回滚尝试。在一些实施例中,可以使用测量启动技术来监测并审计ICS控制器启动堆栈中使用的软件和固件部件的完整性。
测量启动可以代表更被动的方法,原因是启动序列采集关于在系统中使用的各个软件和固件部件(例如BIOS、固件、管理程序、OS内核、只读文件系统等)的测量。可以使用这些测量验证软件和固件的有效集合已经用来导致系统启动。
对平台秘密(例如私钥和对称密钥)的访问可以绑定到这些平台完整性测量。例如,系统可以加密其中应用被托管以阻止IP窃取和离线篡改的读-写文件系统和/或分区,这些测量可与TPM关联地存储。用来对这种信息加密的对称密钥可以被平台的完整性测量密封和保护。如果在启动期间采集平台完整性测量的有效集合,则所述系统只可以访问此信息。
而且,可以使用测量集来验证平台与其在网络上的对等物的完整性。通常,存在集中式“证明”服务器,其将从系统请求“引文”,并通过将这些测量与已知良好值比较,评估在引文中返回的测量集。如果这些测量通过考核,则系统将被认为可信(即具有已知的良好完整性),且对于其被分配的功能被允许加入ICS网络。如果测量没有通过考核,则系统被标记为可疑,且通常在其正常模式会被阻止加入网络,直到已经检查和解决安全性问题。
可信启动更加专业,且可以与特定的处理器架构(和关联的安全特征)关联。例如,对于Intel和AMD系统,处理器将重新初始化到禁用IO外设和硬件调试端口的安全状态。可信OS或管理程序接着通过分配系统存储区,负责配置处理器IOMMU硬件,以促进与外设的DMA传输。在此实例中,只可以允许外部IO装置执行与这些指定存储区的往返DMA传输。对装置的指定存储区外部的存储器的任何访问都是被阻止的安全异常(且可以生成硬件安全异常)。
与可信启动关联的一个概念是系统可以允许处理器的管理程序和OS有足够的时间将低级平台硬件配置成已知的良好可信配置状态。一旦平台被配置,则平台将对针对系统的恶意外设攻击(例如代码注入和存储器爬虫攻击(scraping attack))和一个虚拟机(“VM”)对另一虚拟机的攻击更有抵抗力。安全启动技术可以将信任从硬件或固件信任根延伸到用于ICS部件的运行时间平台中。注意,可以分开地或以各种组合使用这些安全启动技术,以促进运行时间平台完整性。
根据一些实施例,处理器被置于可信状态。在被置于可信状态之后,所述系统可以在启动期间,基于在平台的测量启动期间采集的平台测量的正确集,加载并解密软件和固件堆栈。将专有软件和IP存储为文件系统中的加密对象,且只允许这些对象被加载并在可信系统启动中解密,可以提供IP保护以及最小化在实时OS、虚拟机等上的潜在攻击表面。这种方法可以具有与实时OS(“RTOS”)实例本身中嵌入的任何机制独立地保护专用平台信息的优点。
图7图示了根据一些实施例的测量启动过程和其与安全启动的关系700。具体而言,可以用数字签名验证执行验证启动710。注意,此过程可与存储到TPM 750的PCR 0到7中的信任测量720的静态根关联(例如与U码、认证码模块、BIOS和/或选择ROM关联)。类似地,验证启动710可以与根据TPM标准存储到TPM 750的PCR 17到22中的动态信任根测量730关联(例如与测量运行环境关联)。此外,验证启动710可以与可信OS测量740关联,可信OS测量可以存储在TPM 750的一个或多个PCR中(取决于配置)。可信OS和管理程序可以负责配置其相应的运行时间环境,并将此信任扩展到在平台上执行的应用和服务。可信OS(以及在分开的VM情况下的管理程序)必须配置硬件IOMMU(如果存在)以匹配可用的装置和关联的装置驱动器需求。例如,装置驱动器将需要分配存储区,存储区被附连外设使用以用于在外设控制下的DMA传输。在使得能够与外设进行任何IO通信之前,可信OS应当配置系统上的所有IOMMU区。
同样,可信管理程序(如果存在)可以将物理装置分配给特定的操作系统图像,以及识别和指定共享存储区以用在虚拟机实例中。例如,这种共享存储区将用于与平台上的其它虚拟机实例交互的虚拟装置。管理程序应当负责配置与托管虚拟机关联的底层硬件(例如MMU、IOMMU、VT-d、VT-x等),并促进与虚拟机和ICS平台上的物理装置交互。
除了初始化并管理IOMMU和MMU硬件之外,可信OS可以负责测量和/或验证被OS使用的对象(例如可执行配置文件等)的完整性。Linux完整性测量架构(“IMA”)是这种安全机制的实例。Linux IMA在由操作系统内核基于安全策略访问时,将评估对象的完整性。使用这些安全策略驱动访问控制机制防止在运行时间在ICS平台上安装和执行恶意软件、根工具包等。RTOS伙伴生态系统可以将运行时间完整性测量机制扩展到相应的RTOS。
在Linux IMA基础设施的顶部,Linux提供用于基于安全策略规定和控制运行时的应用和服务的行为的各种强制访问控制(“MAC”)机制。替代性Linux MAC实施的实例包括SELinux,SMACK和AppArmor。MAC安全策略限定系统代理(例如过程)可以与其它过程和系统资源(例如文件系统对象、IO装置等)交互的方式。与RTOS关联的一方还可以开发和实施用于RTOS的MAC技术。此外,实施例可以使用轻量容器(例如Docker和LXD)机制来隔离、管理和提高在底层OS顶部运行的应用和服务的可移植性。这些容器技术可以简化并提高在OS上应用的发展、可移植性、可维护性和安全性。
注意,可以使用其它安全技术来提高ICS平台的安全性设置。实例可包括诸如地址空间布局随机化(“ASLR”)之类的技术,其将软件对象设置在随机存储器位置,因此使他们更难被恶意方定位和利用,堆栈告密者(stack canary)(其检测堆栈溢流攻击等)等。这种方法还可提供控制流完整性,防止不期望的执行等。
图8是根据一些实施例的TPM 820封装810的实例800。TPM 820可通过IO元件830通信,IO元件830耦合到运行程序代码850的执行引擎840。TPM 820还可以具有RSA引擎872、密钥生成874、非易失性存储862、易失性存储864和PCR 866。根据一些实施例,信息机密性需要有安全地保护信息的能力,且仅使得基于可应用的安全策略可用于被授权的应用、用户等。可以使用加密(例如BitLocker)来保护敏感信息,且对硬件驱动器、SSD和包含敏感信息的其它永久性数据存储进行加密是常见做法。通常,需要密码来允许系统解密并使用加密的驱动器启动。在嵌入式系统中,ICS控制器可能能够自主地启动(无需输入密码的人工干预)。而且,所述系统可以通过消息认证代码保护驱动器的内容,例如,密钥散列消息认证码(“HMAC”)(例如dm-verity)。根据一些实施例,TPM装置可以确保和保护用于文件系统/分区加密或用于消息认证代码的对称密钥,因此消除某人手动输入适当的密码信息以解密存储介质的必要。而且,实施例可以使用在测量启动过程中采集的平台完整性测量,密封和保护对称加密密钥。因此,如果在平台上的测量启动阶段期间记录正确的平台完整性测量,则只可以访问加密信息。
为了确保通信的机密性和完整性,根据一些实施例,可以使用加密的通信协议,对于高速数据加密和解密,这种安全通信协议通常使用对称加密算法(例如AES)。这种对称加密算法提供高数据吞吐速度的优点,但要求所有各方都可以访问用于加密和解密通信信息的相同的加密密钥。根据一些实施例,为了促进对称密钥分发,可以使用基于公钥-私钥的算法(例如RSA、椭圆曲线或EC)和协议(例如椭圆曲线迪菲-赫尔曼(“ECDH”)、ECDSA等)。这些安全算法和协议的总体安全性可以取决于保护装置上的私钥信息的能力。如果这些私钥被损坏,则ICS系统的总体安全性可能遭到破坏。
私钥可存储在嵌入式装置上的密码保护的安全密钥存储器中。这些密钥存储器通常在文件系统中,且可以通过简单地对装置的存储介质进行反向工程,提取密钥存储器和关联的密码,损坏密钥存储器。而且,私钥-一旦从密钥存储器检索,则接着在系统存储器中以未加密方式使用。这种密钥则易于受到各种安全性攻击(例如存储器爬虫、冷启动)和安全漏洞(例如用于OpenSSL的Heartbleed)。为了缓解这些攻击,例如IEC 62443-4-2的安全标准要求这种敏感私钥信息被硬件安全模块(“HSM”)保护。实践中,TPM装置是低成本的强化防篡改HSM装置。在HSM装置中生成的公钥/私钥对将对于HSM装置外部的密钥管理对私钥进行加密,因此使这些私钥无用,除非加载到HSM中。一些实施例可以使用TPM装置来加密和保护用来确保通信协议安全的私钥信息,因此缓解针对系统的大类的安全性攻击。
图9图示了根据一些实施例的网络安全服务900。许多个元件910可以与网络950关联,包括主目录、备用目录、RADIUS认证、安全管理器、认证机构、全局发现、数据历史、事件监测、入侵检测、远程证明、防火墙等。耦合到网络的装置962可包括TPM、安全启动、运行时间和安全控制器(例如与Windows、VxWorks、QNX、Linux等关联)。类似地,装置964可包括与多个安全虚拟机关联的管理程序,装置966包括工程工作站和工具。为了使装置在分布式ICS中起作用,各种网络安全服务可以支撑强化ICS控制器在总体ICS中的部署。这些服务通常包括公钥基础设施(“PKI”)服务、目录服务、网络和装置认证服务、证明服务、安全事件和事件监测(“SI&EM”)服务等。
可以使用PKI服务来针对装置上的软件和固件的代码签名发行和管理X.509证书。此代码签名可以支持OS和应用堆栈中的验证启动序列和运行时间完整性检查。与产品代码签名证书关联的私钥必须与HSM关联并绑定到HSM,以帮助确保签名密钥不被损坏。这些签名密钥可构建到总体软件和固件构建过程。根据一些实施例,可以使用不同的签名密钥,区分产品和开发版本。
此外,可以使用PKI服务来发行和管理用于ICS部件的X.509装置识别证书。装置识别证书可以认证ICS部件,以及交换安全网络通信中使用的加密通信的对称密钥。ICS部件可与PKI的证书和注册机构服务通信,以便生成X.509证书请求。存在可用的各种X.509证书请求协议,例如简单证书注册协议(“SCEP”)、注册安全传输(“EST”)和全局发现服务(例如与开放平台通信统一架构(“OPC-UA”)关联)。对于具有较高保证级的应用,用于X.509证书的公钥-私钥对可以被绑定到ICS平台的HSM装置(例如TPM)。
在总ICS系统中,可以使用目录服务(通常基于LDAP协议)来管理装置、用户、角色和责任等。例如,操作者和管理员可以具有对ICS部件的不同的权限(例如改变ICS中的操作设定点与应用软件或固件更新)。目录服务提供用户和装置的集中式管理和施行以及在ICS中的相应角色和责任。
当ICS装置初次在ICS网络上启动时,系统可以确定该装置是什么,以及在网络上是否可被信任。在一些实施例中,ICS可以简单地信任能够在ICS网络上启动的任何装置。在更安全的环境中,在被分配在ICS网络中的位置之前,可能要求所述装置在网络上认证。存在许多不同的网络认证协议,并由网络交换设备(例如Cisco交换机)支持。例如,可以使用具有EAP-TTLS的IEEE 802.1x,对试图加入ICS网络的ICS部件进行认证。
作为加入网络的ICS装置的网络认证的一部分,可询问所述装置通过称作“远程证明”的过程证明其完整性。在此过程中,加入网络的装置被证明服务器挑战,以从装置(即TPM装置)返回用作测量信任根的“引文”。TPM装置将对平台测量集以及由证明服务器的引文请求提供的“随机数”(只使用一次的数字)进行数字签名,以防止重放攻击。由ICS部件生成的引文返回证明服务器,且如果平台测量通过考核,则ICS装置被允许加入ICS网络。如果引文中的平台测量与预期值不匹配,则生成安全异常,事件被标记以引起ICS安全组的注意。
SI&EM装置可以监测在总ICS部署中使用的ICS部件和装置集上生成的ICS日志文件。SI&EM(例如Splunk,Nitro等)可以允许安全人员监测、相关联并且有希望检测和以及时方式对安全事件做出响应,使得任何事件能够被快速地隔离和约束。可以在ICS系统中部署的附加安全服务包括入侵检测和预防系统(例如Wurldtech’s OpShield装置)、全局发现服务(“GDS”)、用于软件和固件更新的本地缓存和分配的安全更新服务、远程网关服务(例如Predix Field代理)、用于基于GDOI通信的密钥分配服务器等。
为了促进ICS部件中的安全性,快速地识别并更新ICS平台软件栈中的安全漏洞可能是有帮助的。由于大量的软件包可用,所以每日识别安全问题,更新被推送以解决这些漏洞。可以对ICS部件软件和固件堆栈中的漏洞和更新执行连续监测。当漏洞被公开和打补丁时,更新软件可以被拖动、编译和构建、被数字签名,且可以使用代码签名认证和接下来的适当的商业策略和发布过程来封装更新软件。更新软件可以经受大量的回归测试,以验证软件修复没有负面地影响系统功能。假设软件更新被认为是稳定的,且安全漏洞有必要现场部署,则新封装和签名的软件将准备好在现场ICS装置和部件上分配和部署。
用于封装和分配这些更新的安全软件更新机制可以利用各种OS(例如Linux)分配中使用的标准封装技术。例如,Debian和Ubuntu Linux分配使用DEB封装系统。类似地,Fedora和Red Hat分配使用RPM封装。而且,软件部件可以封装为容器(例如Docker容器)并通过第三方配置和管理基础设施(例如Resin.IO)分配。此外,基于Windows的平台和系统具有其自己的软件封装和更新机制。安全更新机制必须在操作系统和平台上缩放。为了部署目标ICS平台上的软件更新,软件代码签名工具可包括签名信息,并与具有适当的公钥的运行时间签名验证机制集成,该适当的公钥对应于签名私钥。例如,Linux封装的代码签名将需要遵守Linux IMA机制。根据一些实施例,封装更新的部署可以是事务性的,使得更新或者完全完成,或者如果失败,则在尝试应用更新之前滚动回原始状态。
安全策略可以各种方式影响ICS部署的行为,所使用的安全策略集分布在平台启动和运行时间操作中。例如,安全策略可限定在安全和测量启动过程中如何对底层平台的变化的进行应对。而且,其可以基于在平台启动和可信运行时间阶段采集的平台完整性测量,限定哪些平台秘密可用或被拒绝访问。在OS运行时间,Linux IMA中的安全策略可以限定根据要验证的目标,应当被验证的用户身份,与验证失败关联的结果和关于这种安全操作的安全日志要求,OS措施如何对对象签名。同样,与强制访问控制关联的安全策略限定过程能够与其它系统过程和资源交互的方式-乃至任何给定的过程或装置能够与哪些网络和装置交互。安全策略还可以覆盖被认证访问的级别(例如,未被认证,X.509认证,两因子认证),控制哪些装置和用户可以对ICS系统进行的操作的基于角色的访问控制(RBAC)策略等。
安全策略集合可以具有与ICS架构关联的实际含义。例如,共享相同的安全策略的有关信息可以作为统一安全域被对待。如果信息需要在具有不同的安全策略的两个或更多个安全域之间共享,则安全域之间的通信点必须被明确地限定,信息流必须基于适用于不同安全区之间的信息交换的安全策略被适当地过滤。不同的安全域之间的所有交互可以通过“交叉域解决方案”(例如“写保护”等)流动,所述交叉域解决方案实现关于信息公开的相关域安全策略等。这种方法还可以针对用户、装置和/或角色与数据交互的许可(例如读、写、附加、删除等的许可)。
根据一些实施例,应用在本文中描述的“可信ICS平台”上活动。可信ICS平台可包括许多安全技术和特征,例如安全启动、可信操作系统、网络安全服务、安全策略、ICS架构等。预期应用关于此可信平台的安全堆栈有良好表现。任何对安全堆栈策略等的违反应当被识别并报告-并且可能被阻止(基于安全策略)。而且,应用本身可以相对于各种攻击矢量被强化。可信ICS平台可以帮助确保在应用所依赖的底层安全堆栈中信息、应用、软件和固件的机密性和完整性。然而,应用本身必须相对于各种不能被底层可信ICS平台覆盖的攻击矢量被强化。这些包括网络和装置通信的实施、安全通信协议的采用等。此外,可以使用平台和应用(例如Wurldtech Achilles认证)的渗透测试和第三方认证。
根据一些实施例,独立的第三方团队可以被利用以评估可信ICS平台、架构和应用的安全性。可信的平台部件将通过独立安全评估,且在这些评估中识别的漏洞应当被缓解和修复。可以针对在这些可信平台的顶部开发和部署的应用,利用底层可信ICS平台的安全认证制品。
评估并证明可重新使用的可信平台部件的能力为基于相同的可信平台堆栈降低其它ICS部署的非重复性工程(“NRE”)成本提供巨大优势。根据一些实施例,工业控制系统与第一类型的工业控制系统关联。而且,硬件安全模块可以被选择为另一工业控制系统的专用安全硬件(与第二类型的工业控制系统关联),共同的安全框架可应用到许多不同的处理器和硬件安全模块配置(例如利用操作系统等)。例如,图10图示了根据一些实施例的用于工业控制系统的可扩展信任链1000实施方式。信任链1000包括可信供应链1012、安全硬件1014、安全启动1016、可信OS和管理程序1018、安全通信1020、安全服务1022、安全应用1024和安全评估1026。除了用于特定的处理器和特定的控制器产品的单个信任链之外,实施例可提供可扩展的安全架构,其允许人们将不相同的控制器与各种处理器架构1050和实施集成到共同的总安全架构框架(例如共同的可信OS和管理程序1038、共同的安全通信1040、共同的安全服务1042等)。
通过标准化用于OS、通信和安全服务的安全特征的共同集合,实施例可以实现嵌入式产品中使用的安全基础设施的实质可扩展性。递增地将新处理器架构添加到所支持的组合中需要包括专用安全硬件(例如TPM装置),并适应平台启动软件以实现安全启动技术,例如验证启动,测量启动和可信启动。一旦新控制器和处理器系列被集成到总安全架构中,系统可以接着利用由OS、通信和安全服务提供的较高等级的安全服务。
注意,处理器可以使用启动加载器启动,以加载未加密的管理程序、OS和初始化文件系统。这可能暴露管理程序配置,OS和初始文件系统,以对任何离线攻击进行反向工程。例如固态驱动器(“SSD”)装置的现代存储介质现在通常支持存储介质的完全加密,其可以用来防止对手从系统移除存储装置,从其自己的计算系统安装和访问信息,目的是破坏系统。然而,关于加密存储介质存在几个问题。例如,通常必须提示用户输入密码,以便解锁与该介质关联的加密密钥。这对实际上有系统的用户输入密码的膝上型计算机和台式计算机表现良好,但此方法可能不适用于无人值守启动的系统。即,没有人员输入密码信息(例如,嵌入式装置、控制器和服务器)。
可以修改系统BIOS,以存储用来解锁例如TPM的安全存储器中的加密存储的密码或口令短语。此存储介质密码可以被“密封”到由系统的BIOS采集的并存储在TPM装置的PCR中(例如使用PCR 0到7)的平台的静态信任根测量。因此,系统可以将解密并访问在加密存储介质上的信息的可用性绑定到平台的静态信任根的完整性测量。这包括装置的BIOS和固件、BIOS设置、所连接的装置等。如果已经存在篡改BIOS,BIOS设置,所连接的装置等,则对存储介质密码的访问被TPM拒绝,原因是PCR值与预期的PCR测量不匹配。
还要注意,在加载操作系统、管理程序、初始化文件系统等之前,加密的存储介质允许将平台引导到启动加载器级(例如GRUB)。从启动加载器,通常可以改变目标OS上的启动参数,对于系统启动操纵加载哪些对象等。由于存储介质上的所有信息现在未被加密,且攻击者可在系统上获得,这代表用于对系统进行反向工程以及用于将恶意程序引入到系统中的第二攻击矢量。
根据一些实施例,测量启动-基于Intel TXT和AMD SVM技术并在Intel的Tboot中实施并适用于AMD处理器-采集对于平台的动态信任根测量,并将这些测量置于附加的TPMPCR(例如PCR 17到22)中。接着使用这些测量确保例如管理程序、OS和在其启动的平台上使用的任何初始化文件系统之类的各种启动对象的完整性。因此,系统能够检测对这些文件系统对象的篡改,但不能够阻止对对象进行反向工程。
在分析计算系统的安全性时,可能在启动中存在由于附接到系统的恶意外设造成的漏洞。例如,诸如硬件驱动器或其它有DMA功能的装置之类的恶意装置已经用于代码注入攻击,以将恶意(例如密钥记录器等)注入到OS中。为了挫败这种攻击,Intel和AMD引入了限制附连的IO外设设备的DMA的存储器管理单元。Intel(因特尔)将此能力称作VT-d,AMD将此能力称作IOMMU。Intel TXT/AMD SVM技术在关联的Tboot代码中分别利用VT-d和IOMMU技术,以便将处理器置于可信安全状态。此可信状态禁用外部IO、调试端口等。
然而,TXT和SVM技术并不挫败启动对象的反向工程,因为在进入可信状态之前这些对象以明文加载到存储器中,因此可以从系统提取,用于反向工程和其它恶意目的。根据一些实施例,利用了Intel TXT或AMD SVM处理器能力。然而,系统在启动期间加载加密启动对象,而非加载未加密的启动对象。这些对象可以是例如对攻击者不是密码透明的。处理器接着可以被重新初始化到可信状态,在此外部IO DMA因为是硬件调试端口因此传输被禁止。处理器现在处于已知的良好硬件环境,加密的启动对象加载在存储器中。
安全启动加载器-为Tboot过程的一部分,且是未加密的-可以用来测量这些加密的对象,并将这些测量置于TPM PCR中。这些测量接着用来访问“密封”到这些平台PCR的平台加密密钥。此平台加密密钥接着用来以可信的平台状态解密存储器中的启动对象。因此,既然其被锁定在可信状态,启动过程流可在处理器上恢复。此实施例的优点是用于访问和对系统上的敏感IP资产进行反向工程的攻击表面被基本上降低,因为信息以未加密形式存在的唯一地方是在处理器存储器中。通过禁用硬件调试端口,锁定IO外设DMA访问,对手可被强迫使用冷存储器攻击(例如如果存储器焊接到板上,则是困难的)或破坏Tboot解密密钥机制(其被测量和用来密封和保护解密密钥)。
随着嵌入式应用中使用的处理器能力的增强,系统采用管理程序和有关虚拟化技术,允许将分布式嵌入系统的多个元件组合到单个物理装置中。以前,这些功能元件中的每一个元件可能已经实施为整体系统中的分立部件。当嵌入式应用和服务被移动到虚拟化环境时,网络也移动到该环境中。图11图示了根据一些实施例的用于工业控制系统1100的集成入侵检测系统。平台1100包括处理器1110,处理器1110具有信任根1112。管理程序1120具有测量的运行和信任1122,其与安全虚拟机1130的硬件信任根1132交互,安全虚拟机1130从外部世界接收通信1140。管理程序1120还支持通信虚拟机1160(例如过滤、监测和虚拟化信任根)和一组应用虚拟机1170。根据一些实施例,安全虚拟机1130还与网络安全服务1150(例如监测和管理服务、目录服务、分析服务等)交互。
在一个相对简单的实例中,可以给单个嵌入式实时控制器提供非实时应用网关,其为控制器执行远程通信和管理服务。从安全角度讲,所述系统还可包括入侵检测能力以及防火墙,以监测和控制虚拟机部件之间的网络通信量,并识别异常/对异常进行响应。常规上,这些是三个分开的硬件部件(即控制器、应用网关和入侵检测)。在虚拟化环境中,这三个部件可实施为虚拟机,并使用实时管理程序环境合并到单个控制器中。通过将虚拟化硬件部件带入到管理程序环境中,关联的网络还被带入到虚拟化环境中。从安全角度讲,入侵检测系统能够监测所有的内部网络通信量,以及进入和离开物理系统的网络通信量。防火墙被配置成允许特定的网络端口上的通信量,并在系统上实施区域隔离策略。
类似地,对于更加复杂的实例,分布式控制系统可包括一个或多个实时控制器、一个或多个人机接口(“HMI”)系统连同各个基于网络的安全服务,例如网络入侵检测、目录和远程认证拨号用户服务(“RADIUS”)服务、虚拟专用网络(“VPN”)服务和系统日志服务。这种ICS网络可以被切分到多个网络安全区中。通过虚拟化这些控制系统部件和关联的网络安全区,系统可以实现具有基本上增强的网络隔离和安全特性的控制。所述系统接着可以用仪器装备和监测具有网络入侵检测系统的所有的分布式控制系统通信量。除了这是描述的网络安全服务之外,这些服务可以根据本文中描述的任何实施例,在可信启动基础和关联的安全服务上实现。
下文说明本发明的不同额外实施例。这些未构成所有可能实施例的定义,并且本领域技术人员将理解,本发明适用于多个其它实施例。此外,尽管为清晰起见简单地描述以下实施例,但是本领域技术人员将理解必要时如何对上述设备和方法做出任何变化以适应这些和其它实施例以及应用。
尽管本文已描述特定硬件和数据配置,但是应注意,可以根据本发明的实施例提供任何数目的其它配置(例如,本文所描述的一些信息可以组合或存储在外部系统中)。而且,尽管关于工业控制系统已经描述了实施例,但注意,实施例可以与大体上包括非工业控制系统和处理器的其它类型的计算系统关联。仅出于说明的目的已关于若干实施例描述本发明。本领域技术人员将根据此描述认识到,本发明不限于所描述的实施例,但是可以通过仅由所附权利要求书的精神和范围限制的修改和改变来实践。
Claims (20)
1.一种用于工业控制系统的总体信任链的方法,所述方法包括:
提供安全硬件,所述安全硬件包括耦合到所述工业控制系统的处理器或者与所述处理器集成以提供硬件信任根的硬件安全模块;
提供与安全启动机制关联的安全固件,使得所述处理器执行可信操作系统,其中,所述安全启动机制包括测量启动、可信启动和保护启动中的一个或多个;
通过安全数据存储访问对象;以及
根据存储在所述硬件安全模块中的信息通过安全通信交换数据。
2.根据权利要求1所述的方法,其中,所述硬件安全模块包括可信平台模块。
3.根据权利要求1所述的方法,其中,所述安全启动包括输入输出存储器管理单元和禁用包括调试端口的非基本输入输出路径的能力。
4.根据权利要求1所述的方法,其中,所述安全数据存储与以下的至少一个关联:(i)加密存储,以及(ii)存储在所述硬件安全模块中的私有密码密钥。
5.根据权利要求1所述的方法,其中,在所述硬件安全模块中执行私钥密码运算,以促进在安全通信中的设备识别。
6.根据权利要求1所述的方法,还包括:
验证在所述处理器的测量启动期间采集的平台完整性测量的正确集合。
7.根据权利要求1所述的方法,还包括:
将所述处理器设置在可信状态;以及
在所述处理器处于所述可信状态之后,加载、解压缩和解密处理器存储器中的对象,以创建所述固件和软件栈。
8.根据权利要求7所述的方法,还包括:
由所述处理器执行管理程序以为所述工业控制系统创建并运行虚拟机。
9.根据权利要求1所述的方法,还包括:
从可信的供应链部件实体中选择所述硬件安全模块。
10.根据权利要求9所述的方法,其中,所述工业控制系统是分布式工业控制系统,且所述硬件安全模块与工业控制系统控制器关联,所述工业控制系统控制器利用公钥基础设施服务来为所述工业控制系统的部件上的软件和固件的代码签名发行和管理证书,且还包括:
使用封装代码签名工具为所述工业控制系统部署安全更新,所述封装代码签名工具包括与具有适当的公钥的运行时间签名验证机制集成的签名信息,并对应于签名私钥;以及
实施安全策略,以促进所述工业控制系统的机密性、完整性和可用性。
11.根据权利要求10所述的方法,其中,安全架构将共享安全策略的有关信息当作统一安全域对待。
12.根据权利要求11所述的方法,其中,通过网络和装置通信的实施,安全通信协议的适应,渗透测试和与被执行的应用关联的所述工业控制系统的第三方认证,针对多个攻击矢量,强化由所述工业控制系统执行的应用。
13.根据权利要求1所述的方法,其中,所述工业控制系统与第一类型的工业控制系统关联,且还包括:
对于与第二类型的工业控制系统关联的另一工业控制系统,选择所述硬件安全模块,其中,共同安全框架可以应用到许多个不同的处理器和硬件安全模块配置。
14.根据权利要求1所述的方法,其中,安全启动过程给所述处理器提供解锁在所述硬件安全模块的平台配置寄存器中的加密存储所需的信息,其中,平台固件在所述硬件安全模块的平台配置寄存器中生成解锁所述硬件安全模块的秘密所需的审计跟踪,所述秘密又被需要来解密所述加密存储。
15.根据权利要求16所述的方法,其中,解锁加密存储所需的信息与以下的至少一个关联:(i)密码,和(ii)加密密钥。
16.根据权利要求1所述的方法,其中,所述安全启动过程给所述处理器提供基本输入输出系统,所述基本输入输出系统存储确保在所述硬件安全模块的平台配置寄存器中的启动对象的完整性所需的静态信任根测量。
17.一种用于与工业控制系统关联的总体信任链的方法,所述方法包括:
提供安全硬件,所述安全硬件包括耦合到所述工业控制系统的处理器或者与所述处理器集成以提供硬件信任根的可信平台模块,其中,所述安全启动包括输入输出存储器管理单元和禁用包括调试端口的非基本输入输出路径的能力;
提供与安全启动机制关联的安全固件,使得所述处理器执行可信操作系统,其中,所述安全启动机制包括测量启动、可信启动和保护启动中的一个或多个;
通过安全数据存储访问对象,其中,所述安全数据存储与以下的至少一个关联:(i)加密存储,以及(ii)存储在所述可信平台模块中的私有密码密钥;以及
根据存储在所述可信平台模块中的信息通过安全通信交换数据。
18.根据权利要求19所述的方法,其中,安全架构将共享安全策略的有关信息当作统一安全域对待,且进一步其中,通过网络和装置通信的实施,安全通信协议的适应,渗透测试和与被执行的应用关联的所述工业控制系统的第三方认证,针对多个攻击矢量,来强化由所述工业控制系统执行的应用。
19.一种与用于工业控制系统的总体信任链关联的系统,所述系统包括:
硬件安全模块;以及
与所述硬件安全模块通信的处理器,其中,建立关于要在所述工业控制系统的处理器上运行的固件和软件栈的安全审计跟踪,其中,根据所述安全审计跟踪,对象存储在所述工业控制系统的安全存储中,并且所述处理器:
在耦合到所述工业控制系统的处理器或者与所述处理器集成的硬件安全模块中,保护用来访问安全存储的密钥,
使用安全启动过程进行启动,以及
从所述软件和固件栈执行可信操作系统,以将低级工业控制平台硬件配置到已知的可信运行时间环境中。
20.根据权利要求19所述的系统,其中,所述硬件安全模块包括可信平台模块,所述可信平台模块包括:
平台配置寄存器,所述平台配置寄存器用于存储:
解锁加密存储所需的信息,以及
确保启动对象的完整性所需的静态信任根测量。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/198,281 US10210333B2 (en) | 2016-06-30 | 2016-06-30 | Secure industrial control platform |
| US15/198,281 | 2016-06-30 | ||
| PCT/US2017/039486 WO2018005479A1 (en) | 2016-06-30 | 2017-06-27 | Secure industrial control platform |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110325995A true CN110325995A (zh) | 2019-10-11 |
| CN110325995B CN110325995B (zh) | 2022-12-30 |
Family
ID=59315718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780040749.0A Active CN110325995B (zh) | 2016-06-30 | 2017-06-27 | 安全的工业控制平台 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10210333B2 (zh) |
| EP (1) | EP3479284B1 (zh) |
| CN (1) | CN110325995B (zh) |
| WO (1) | WO2018005479A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111638945A (zh) * | 2020-06-09 | 2020-09-08 | 中国电力工程顾问集团中南电力设计院有限公司 | 基于容器技术的分散控制系统 |
| CN111680296A (zh) * | 2020-06-15 | 2020-09-18 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统中恶意程序的识别方法、装置及设备 |
| CN112181856A (zh) * | 2020-11-02 | 2021-01-05 | 浙江中控技术股份有限公司 | 一种加密工控协议测试方法及装置 |
| CN113259129A (zh) * | 2021-06-21 | 2021-08-13 | 天津市中环电子计算机有限公司 | 一种具有安全加密功能的工控机系统 |
| WO2022116813A1 (en) * | 2020-12-03 | 2022-06-09 | International Business Machines Corporation | Container-based cryptography hardware security module management |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10814893B2 (en) | 2016-03-21 | 2020-10-27 | Ge Global Sourcing Llc | Vehicle control system |
| US11072356B2 (en) | 2016-06-30 | 2021-07-27 | Transportation Ip Holdings, Llc | Vehicle control system |
| US11323259B2 (en) * | 2016-09-22 | 2022-05-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Version control for trusted computing |
| US10462212B2 (en) * | 2016-10-28 | 2019-10-29 | At&T Intellectual Property I, L.P. | Hybrid clouds |
| US10318723B1 (en) * | 2016-11-29 | 2019-06-11 | Sprint Communications Company L.P. | Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications |
| US10318738B2 (en) * | 2016-12-27 | 2019-06-11 | Intel Corporation | Distributed secure boot |
| EP3402152B1 (de) * | 2017-05-08 | 2019-10-16 | Siemens Aktiengesellschaft | Anlagenspezifisches, automatisiertes zertifikatsmanagement |
| US11194562B2 (en) * | 2017-05-19 | 2021-12-07 | Blackberry Limited | Method and system for hardware identification and software update control |
| US11310198B2 (en) * | 2017-05-31 | 2022-04-19 | Crypto4A Technologies Inc. | Integrated multi-level or cross-domain network security management appliance, platform and system, and remote management method and system therefor |
| US11321493B2 (en) | 2017-05-31 | 2022-05-03 | Crypto4A Technologies Inc. | Hardware security module, and trusted hardware network interconnection device and resources |
| US10505917B2 (en) * | 2017-06-05 | 2019-12-10 | Amazon Technologies, Inc. | Secure device-to-device process for granting access to a physical space |
| US10587560B2 (en) * | 2017-11-07 | 2020-03-10 | General Electric Company | Unified real-time and non-real-time data plane |
| EP3489853B1 (en) * | 2017-11-27 | 2021-02-24 | Schneider Electric Industries SAS | A method for providing a firmware update of a device |
| CN108255750B (zh) * | 2018-02-01 | 2021-04-13 | 超越科技股份有限公司 | 一种基于国产嵌入式平台的密码模块接口的实现方法 |
| US11736497B1 (en) * | 2018-03-19 | 2023-08-22 | Bedrock Automation Platforms Inc. | Cyber security platform and method |
| US10979232B2 (en) * | 2018-05-31 | 2021-04-13 | Motorola Solutions, Inc. | Method for provisioning device certificates for electronic processors in untrusted environments |
| CN110737897B (zh) * | 2018-07-19 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 基于可信卡的启动度量的方法和系统 |
| EP3605253B1 (de) * | 2018-08-02 | 2023-05-10 | Siemens Aktiengesellschaft | Automatisierte public key infrastructure initialisierung |
| US10740084B2 (en) * | 2018-08-16 | 2020-08-11 | Intel Corporation | Soc-assisted resilient boot |
| WO2020047351A1 (en) * | 2018-08-31 | 2020-03-05 | Fungible, Inc. | Rapidly establishing a chain of trust in a computing system |
| CN111198717A (zh) * | 2018-11-20 | 2020-05-26 | 西门子股份公司 | 计算机系统的可信启动方法、装置、电子设备和介质 |
| CN111259401B (zh) | 2018-11-30 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 可信度量方法、装置、系统、存储介质及计算机设备 |
| US11704257B1 (en) * | 2022-04-15 | 2023-07-18 | Graco Minnesota Inc. | System provisioning using virtual peripherals |
| US11625459B2 (en) * | 2019-02-08 | 2023-04-11 | Raytheon Technologies Corporation | Embedded processing system with multi-stage authentication |
| EP3948608B1 (en) * | 2019-04-01 | 2023-04-26 | Raytheon Company | Adaptive, multi-layer enterprise data protection & resiliency platform |
| US11513698B2 (en) | 2019-04-01 | 2022-11-29 | Raytheon Company | Root of trust assisted access control of secure encrypted drives |
| FR3095282A1 (fr) * | 2019-04-19 | 2020-10-23 | Orange | Procédé de fourniture d’attestations mis en œuvre par une plateforme informatique virtualisée. |
| CN110109731B (zh) * | 2019-04-19 | 2021-02-09 | 苏州浪潮智能科技有限公司 | 一种云环境下虚拟可信根的管理方法与系统 |
| DE102019111949A1 (de) * | 2019-05-08 | 2020-11-12 | Mtu Friedrichshafen Gmbh | Steuereinrichtung, Antriebs- und/oder Anlagensystem und Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich |
| US20210034767A1 (en) * | 2019-08-01 | 2021-02-04 | Palantir Technologies Inc. | Systems and methods for conducting data extraction using dedicated data extraction devices |
| US11089062B2 (en) * | 2019-08-29 | 2021-08-10 | International Business Machines Corporation | Automated security architecture formulation and deployment |
| EP4024244A4 (en) * | 2019-08-30 | 2022-10-19 | Panasonic Intellectual Property Corporation of America | AUTHENTICATION METHOD, AUTHENTICATION SYSTEM AND AUTHENTICATION DEVICE |
| CN110677483B (zh) * | 2019-09-29 | 2022-06-24 | 北京可信华泰信息技术有限公司 | 信息处理系统和可信安全管理系统 |
| US11716626B2 (en) | 2019-10-22 | 2023-08-01 | General Electric Company | Network access control system |
| FR3105487B1 (fr) * | 2019-12-23 | 2022-04-29 | Slat | Procede de programmation d’un microcontrolleur |
| US11418333B2 (en) * | 2020-01-10 | 2022-08-16 | Dell Products L.P. | System and method for trusted control flow enforcement using derived encryption keys |
| US11611589B2 (en) * | 2020-06-05 | 2023-03-21 | Seagate Technology Llc | Data storage system with powered move attack protection |
| US11831406B2 (en) * | 2020-08-21 | 2023-11-28 | Arm Limited | System, devices and/or processes for secure transfer of cryptographic control of computing platform |
| US11824934B2 (en) * | 2020-09-10 | 2023-11-21 | Fisher-Rosemount Systems, Inc. | Security systems for use in implementing highly-versatile field devices and communication networks in control and automation systems |
| US11824650B2 (en) | 2020-09-10 | 2023-11-21 | Fisher-Rosemount Systems, Inc. | Publish-subscribe communication architecture for highly-versatile field devices in control and automation systems |
| US11531325B2 (en) | 2020-09-10 | 2022-12-20 | Fisher-Rosemount Systems, Inc. | Node management of nodal communication networks for highly versatile field devices in control and automation systems |
| US11256238B1 (en) | 2020-09-10 | 2022-02-22 | Fisher-Rosemount Systems, Inc. | Network resource management in a communication network for control and automation systems |
| US20210365559A1 (en) * | 2020-09-24 | 2021-11-25 | Intel Corporation | Seamless system management mode code injection |
| US11568091B2 (en) * | 2021-01-15 | 2023-01-31 | Dell Products L.P. | Method and system for integrity protected distributed ledger for component certificate attestation |
| CN112910659B (zh) * | 2021-02-23 | 2024-03-08 | 华能(浙江)能源开发有限公司玉环分公司 | 一种基于可信网络引导构建可信链的方法和系统 |
| US11803454B2 (en) * | 2021-04-30 | 2023-10-31 | Dell Products L.P. | Chained loading with static and dynamic root of trust measurements |
| US11977639B2 (en) * | 2021-07-12 | 2024-05-07 | Dell Products, L.P. | Indicating a type of secure boot to endpoint devices by a security processor |
| US11362844B1 (en) | 2021-07-28 | 2022-06-14 | Vidaloop, Inc. | Security device and methods for end-to-end verifiable elections |
| CN114329573B (zh) * | 2022-03-09 | 2022-05-27 | 北京珞安科技有限责任公司 | 一种运维场景下文件加密外发的方法 |
| US20230325509A1 (en) * | 2022-04-11 | 2023-10-12 | Extreme Networks, Inc. | Trust chain preservation for remote attestation |
| CN115580491B (zh) * | 2022-12-07 | 2023-04-07 | 信联科技(南京)有限公司 | 一种基于国密算法的工控编程平台及构建方法与运行方法 |
| CN116633693B (zh) * | 2023-07-24 | 2023-10-31 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050246552A1 (en) * | 2004-04-29 | 2005-11-03 | International Business Machines Corporation | Method and system for virtualization of trusted platform modules |
| US20050283826A1 (en) * | 2004-06-22 | 2005-12-22 | Sun Microsystems, Inc. | Systems and methods for performing secure communications between an authorized computing platform and a hardware component |
| US20060041936A1 (en) * | 2004-08-19 | 2006-02-23 | International Business Machines Corporation | Method and apparatus for graphical presentation of firewall security policy |
| CN101576944A (zh) * | 2008-11-20 | 2009-11-11 | 武汉大学 | 基于可信平台模块的计算机安全启动系统 |
| CN101650764A (zh) * | 2009-09-04 | 2010-02-17 | 瑞达信息安全产业股份有限公司 | 一种可信计算密码平台及其实现方法 |
| CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
| US20120151223A1 (en) * | 2010-09-20 | 2012-06-14 | Conde Marques Ricardo Nuno De Pinho Coelho | Method for securing a computing device with a trusted platform module-tpm |
| US20120163589A1 (en) * | 2010-12-22 | 2012-06-28 | Johnson Simon P | System and method for implementing a trusted dynamic launch and trusted platform module (tpm) using secure enclaves |
| US20120265975A1 (en) * | 2011-04-18 | 2012-10-18 | Paul Kimelman | Microcontroller with Embedded Secure Feature |
| US20120297177A1 (en) * | 2010-11-15 | 2012-11-22 | Ghosh Anup K | Hardware Assisted Operating System Switch |
| US20140215602A1 (en) * | 2011-12-30 | 2014-07-31 | Michelle H. Chuaprasort | Range based user identification and profile determination |
| CN104125251A (zh) * | 2013-04-26 | 2014-10-29 | 华茂云天科技(北京)有限公司 | 一种基于虚拟化技术的云计算安全终端 |
| CN104239802A (zh) * | 2014-10-15 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于云数据中心的可信服务器设计方法 |
| US20150074764A1 (en) * | 2013-09-12 | 2015-03-12 | The Boeing Company | Method of authorizing an operation to be performed on a targeted computing device |
| EP2866407A1 (en) * | 2013-10-27 | 2015-04-29 | Konstantin Saprygin | Protection of automated control systems |
| CN104615947A (zh) * | 2015-02-02 | 2015-05-13 | 中国科学院软件研究所 | 一种可信的数据库完整性保护方法及系统 |
| CN104991526A (zh) * | 2015-05-04 | 2015-10-21 | 中国科学院软件研究所 | 工业控制系统安全支撑框架及其数据安全传输和存储方法 |
| CN105308612A (zh) * | 2013-03-11 | 2016-02-03 | 微软技术许可有限责任公司 | 用于安全代码启动的动态加载测量环境 |
| US20160048694A1 (en) * | 2014-08-18 | 2016-02-18 | Dell Products, Lp | System and Method for Secure Transport of Data from an Operating System to a Pre-operating System Environment |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1410557A4 (en) | 2001-06-22 | 2009-11-18 | Wonderware Corp | SECURITY ARCHITECTURE FOR A PROCESS CONTROL PLATFORM EXECUTING APPLICATIONS |
| US8256002B2 (en) * | 2002-01-18 | 2012-08-28 | Alcatel Lucent | Tool, method and apparatus for assessing network security |
| US7216369B2 (en) * | 2002-06-28 | 2007-05-08 | Intel Corporation | Trusted platform apparatus, system, and method |
| US20070192867A1 (en) * | 2003-07-25 | 2007-08-16 | Miliefsky Gary S | Security appliances |
| US7664965B2 (en) * | 2004-04-29 | 2010-02-16 | International Business Machines Corporation | Method and system for bootstrapping a trusted server having redundant trusted platform modules |
| US8006100B2 (en) * | 2004-06-10 | 2011-08-23 | Oracle America, Inc. | Enhancing trusted platform module performance |
| US7836299B2 (en) * | 2005-03-15 | 2010-11-16 | Microsoft Corporation | Virtualization of software configuration registers of the TPM cryptographic processor |
| US8261072B2 (en) | 2006-03-24 | 2012-09-04 | Atmel Corporation | Method and system for secure external TPM password generation and use |
| US8272002B2 (en) | 2006-08-18 | 2012-09-18 | Fujitsu Limited | Method and system for implementing an external trusted platform module |
| US8510859B2 (en) | 2006-09-26 | 2013-08-13 | Intel Corporation | Methods and arrangements to launch trusted, co-existing environments |
| US20090165132A1 (en) * | 2007-12-21 | 2009-06-25 | Fiberlink Communications Corporation | System and method for security agent monitoring and protection |
| US8832461B2 (en) | 2010-06-25 | 2014-09-09 | Microsoft Corporation | Trusted sensors |
| DE102010035102A1 (de) | 2010-08-23 | 2012-04-19 | Bürkert Werke GmbH | Steuergerät für fluidische Systeme |
| CN102438026B (zh) * | 2012-01-12 | 2014-05-07 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN102624699B (zh) * | 2012-01-19 | 2015-07-08 | 歌尔声学股份有限公司 | 一种保护数据的方法和系统 |
| US9390281B2 (en) * | 2013-12-30 | 2016-07-12 | Open Invention Network, Llc | Protecting data in insecure cloud storage |
| WO2016081837A1 (en) * | 2014-11-21 | 2016-05-26 | Interdigital Patent Holdings, Inc. | Using security posture information to determine access to services |
| CN104573516B (zh) * | 2014-12-25 | 2017-11-28 | 中国科学院软件研究所 | 一种基于安全芯片的工控系统可信环境管控方法和平台 |
| US10057072B2 (en) * | 2014-12-31 | 2018-08-21 | Schneider Electric USA, Inc. | Industrial network certificate recovery by identifying secondary root certificate |
-
2016
- 2016-06-30 US US15/198,281 patent/US10210333B2/en active Active
-
2017
- 2017-06-27 WO PCT/US2017/039486 patent/WO2018005479A1/en unknown
- 2017-06-27 CN CN201780040749.0A patent/CN110325995B/zh active Active
- 2017-06-27 EP EP17737960.9A patent/EP3479284B1/en not_active Revoked
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050246552A1 (en) * | 2004-04-29 | 2005-11-03 | International Business Machines Corporation | Method and system for virtualization of trusted platform modules |
| US20050283826A1 (en) * | 2004-06-22 | 2005-12-22 | Sun Microsystems, Inc. | Systems and methods for performing secure communications between an authorized computing platform and a hardware component |
| US20060041936A1 (en) * | 2004-08-19 | 2006-02-23 | International Business Machines Corporation | Method and apparatus for graphical presentation of firewall security policy |
| CN101576944A (zh) * | 2008-11-20 | 2009-11-11 | 武汉大学 | 基于可信平台模块的计算机安全启动系统 |
| CN101650764A (zh) * | 2009-09-04 | 2010-02-17 | 瑞达信息安全产业股份有限公司 | 一种可信计算密码平台及其实现方法 |
| US20120151223A1 (en) * | 2010-09-20 | 2012-06-14 | Conde Marques Ricardo Nuno De Pinho Coelho | Method for securing a computing device with a trusted platform module-tpm |
| US20120297177A1 (en) * | 2010-11-15 | 2012-11-22 | Ghosh Anup K | Hardware Assisted Operating System Switch |
| US20120163589A1 (en) * | 2010-12-22 | 2012-06-28 | Johnson Simon P | System and method for implementing a trusted dynamic launch and trusted platform module (tpm) using secure enclaves |
| US20120265975A1 (en) * | 2011-04-18 | 2012-10-18 | Paul Kimelman | Microcontroller with Embedded Secure Feature |
| US20140215602A1 (en) * | 2011-12-30 | 2014-07-31 | Michelle H. Chuaprasort | Range based user identification and profile determination |
| CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
| CN105308612A (zh) * | 2013-03-11 | 2016-02-03 | 微软技术许可有限责任公司 | 用于安全代码启动的动态加载测量环境 |
| CN104125251A (zh) * | 2013-04-26 | 2014-10-29 | 华茂云天科技(北京)有限公司 | 一种基于虚拟化技术的云计算安全终端 |
| US20150074764A1 (en) * | 2013-09-12 | 2015-03-12 | The Boeing Company | Method of authorizing an operation to be performed on a targeted computing device |
| EP2866407A1 (en) * | 2013-10-27 | 2015-04-29 | Konstantin Saprygin | Protection of automated control systems |
| US20160048694A1 (en) * | 2014-08-18 | 2016-02-18 | Dell Products, Lp | System and Method for Secure Transport of Data from an Operating System to a Pre-operating System Environment |
| CN104239802A (zh) * | 2014-10-15 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于云数据中心的可信服务器设计方法 |
| CN104615947A (zh) * | 2015-02-02 | 2015-05-13 | 中国科学院软件研究所 | 一种可信的数据库完整性保护方法及系统 |
| CN104991526A (zh) * | 2015-05-04 | 2015-10-21 | 中国科学院软件研究所 | 工业控制系统安全支撑框架及其数据安全传输和存储方法 |
Non-Patent Citations (6)
| Title |
|---|
| LEE W. LERNER 等: "Application-Level Autonomic Hardware to Predict and Preempt Software Attacks on Industrial Control Systems", 《2014 44TH ANNUAL IEEE/IFIP INTERNATIONAL CONFERENCE ON DEPENDABLE SYSTEMS AND NETWORKS》 * |
| WILL ARTHUR 等: "Quick Tutorial on TPM 2.0", 《A PRACTICAL GUIDE ON TPM 2.0》 * |
| 左双勇: "信任链传递研究进展", 《桂林电子科技大学学报》 * |
| 汤伟: "基于可信计算平台的多级安全模型的研究和实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 蔡宁: "流程工业管控一体化实时信息集成技术及应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 钟梁高: "基于可信计算的工业控制系统信息安全解决方案研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111638945A (zh) * | 2020-06-09 | 2020-09-08 | 中国电力工程顾问集团中南电力设计院有限公司 | 基于容器技术的分散控制系统 |
| CN111638945B (zh) * | 2020-06-09 | 2023-04-28 | 中国电力工程顾问集团中南电力设计院有限公司 | 基于容器技术的分散控制系统 |
| CN111680296A (zh) * | 2020-06-15 | 2020-09-18 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统中恶意程序的识别方法、装置及设备 |
| CN112181856A (zh) * | 2020-11-02 | 2021-01-05 | 浙江中控技术股份有限公司 | 一种加密工控协议测试方法及装置 |
| CN112181856B (zh) * | 2020-11-02 | 2022-04-22 | 浙江中控技术股份有限公司 | 一种加密工控协议测试方法及装置 |
| WO2022116813A1 (en) * | 2020-12-03 | 2022-06-09 | International Business Machines Corporation | Container-based cryptography hardware security module management |
| US11455429B2 (en) | 2020-12-03 | 2022-09-27 | International Business Machines Corporation | Container-based cryptography hardware security module management |
| CN113259129A (zh) * | 2021-06-21 | 2021-08-13 | 天津市中环电子计算机有限公司 | 一种具有安全加密功能的工控机系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018005479A1 (en) | 2018-01-04 |
| US20180004953A1 (en) | 2018-01-04 |
| EP3479284A1 (en) | 2019-05-08 |
| EP3479284B1 (en) | 2021-01-13 |
| WO2018005479A8 (en) | 2019-03-14 |
| CN110325995B (zh) | 2022-12-30 |
| US10210333B2 (en) | 2019-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3479284B1 (en) | Secure industrial control platform | |
| US10601807B2 (en) | Systems and methods for providing container security | |
| EP3462353B1 (en) | Network interface device and method | |
| Santos et al. | Towards Trusted Cloud Computing. | |
| CN103843303B (zh) | 虚拟机的管理控制方法及装置、系统 | |
| EP2256656A1 (en) | Key management to protect encrypted data of an endpoint computing device | |
| Paverd et al. | Hardware security for device authentication in the smart grid | |
| WO2016045458A1 (zh) | 一种安全控制方法及网络设备 | |
| US10713392B2 (en) | Network interface device and method | |
| Crowther et al. | Securing Over-the-Air Firmware Updates (FOTA) for Industrial Internet of Things (IIOT) Devices | |
| Krautheim | Building trust into utility cloud computing | |
| Chandni et al. | Establishing trust despite attacks in cloud computing: A survey | |
| Plappert et al. | Evaluating the applicability of hardware trust anchors for automotive applications | |
| Rocha | Cybersecurity analysis of a SCADA system under current standards, client requisites, and penetration testing | |
| Murti et al. | Security in embedded systems | |
| Galanou et al. | Matee: Multimodal attestation for trusted execution environments | |
| Goyal et al. | Cloud Computing and Security | |
| Falk et al. | Enhancing integrity protection for industrial cyber physical systems | |
| Kuntze et al. | Secure mobile business information processing | |
| Surendrababu | System Integrity–A Cautionary Tale | |
| Balakrishnan | Freescale Trust Computing and Security in the Smart Grid | |
| García Aguilar et al. | A Threat Model Analysis of a Mobile Agent-based system on Raspberry Pi | |
| Petrlic | Integrity protection for automated teller machines | |
| Booth et al. | Securing the IMSS Assets | |
| CN117579291A (zh) | 一种云原生多云管理方法、系统、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231226 Address after: Swiss Baden Patentee after: GENERAL ELECTRIC CO. LTD. Address before: New York, United States Patentee before: General Electric Co. |
|
| TR01 | Transfer of patent right |