CN112015111A - 基于主动免疫机理的工业控制设备安全防护系统和方法 - Google Patents

Abstract

本发明涉及基于主动免疫机理的工业控制设备安全防护架构和方法，具体方法为在通过基于主动免疫可信计算架构下，将信息系统安全防护体系划分为可信节点计算环境、可信区域边界和可信通信网络三个组成部分，基于主动免疫的可信计算理论，从相关安全技术和管理手段两个层面来进行总体设计，结合现场工业控制系统设备建立适配工业通信网络场景的主动免疫防护体系框架。本发明中的主动免疫工控安全防护架构通过采用安全高效的密码算法、可信控制芯片、可信软件与可信网络连接，集成主动安全策略管控体系，形成一套适用于工控现场的主动免疫信息安全防护方案，从而为工业控制系统网络中关键设备提供了可信安全的运行环境。

Description

基于主动免疫机理的工业控制设备安全防护系统和方法

技术领域

本发明涉及一种基于免疫机理的工业控制设备安全防护架构设计方法来为现场工控设备提供安全保护机制，属于工业控制网络安全领域。

背景技术

传统工业控制网络的体系架构主要由多种控制器(PLC、DCS等)、变送器、传感器、执行器、历史数据库、工程师站及操作员站等面向行业应用的关键控制装备共同组成，为保证生产及控制功能的正常执行，需要保证及时性响应和实时数据交互，因而并未针对其信息安全防护能力进行加强。但随着新一代的工控蠕虫病毒和针对工控网络实施的攻击行为相继在电力、石化等行业的现场感知控制网络中陆续爆发，如何保证工控信息安全这一问题也显得尤为重要。

目前大部分信息安全厂商均已从工控通信协议分析和工业病毒行为特征等方面的研究工作推出了针对多种工业控制信息系统的防火墙、病毒查杀工具、白名单软件、入侵检测系统及安全审计工具等产品。但这类产品往往受其本身设计思想的局限性，难以应对新爆发的利用程序自身逻辑设计缺陷进行高级持续性等攻击手段；此外根据已发生过的攻击构建样本库来进行特征比对查杀的这种消极被动应对策略对层出不穷的新漏洞与攻击方法防不胜防，和信息安全基本原则背道而驰；第三这类产品往往缺乏有效的监管机制，往往被设计具有系统的最高管理权限，一旦被攻击者所控制，就会成为入侵者施展网络攻击的跳板，被恶意篡改控制程序下装后会导致难以预估的损失和灾难。因此唯有基于工控系统网络进行构建主动免疫安全防护体系才能针对各类已知与未知攻击进行有效防御，进而保证系统安全。

综上所述，本发明目的通过基于主动免疫机理来构建符合工业控制系统网络应用的安全防护架构和方法。针对工控领域中各计算节点的计算模式和运算特点，设计基于安全可信技术思想进行主动免疫运行防护的新计算节点体系结构，及时识别“自己”和“异己”成分，达到主动免疫效果。并通过在工控系统中构建安全高可信的防护架构来确保整体运行环境可信、资源管理可信、操作管控可信、数据维护可信和策略配置可信，从而达到主动免疫的目的。

发明内容

针对上述技术不足，本发明的目的提供一种基于主动免疫机理的工业控制设备安全防护架构和方法。本发明以工业控制系统网络作为应用场景，通过以系统节点为中心构建网络动态可信链，构成“宿主+可信”双节点的可信免疫架构，提高工控网络的整体系统免疫性，实现对工控网络系统的主动免疫防护。

本发明解决其技术问题所采用的技术方案是：基于主动免疫机理的工业控制设备安全防护方法，通过可信网络连接初始化、可信平台评估以及可信平台决策控制，实现工业控制设备安全防护。

所述可信网络连接初始化，通过节点、边界网关和安全管理中心进行可信连接的发起、身份鉴别与密钥交换，包括以下步骤：

2a)节点的连接申请子模块a发送连接申请消息给边界网关的连接应答子模块；

2b)连接应答子模块发送认证激活消息给节点的身份鉴别请求子模块；

2c)身份鉴别请求子模块发送身份认证请求包给边界网关的证书鉴别请求子模块；

2d)证书鉴别请求子模块从身份鉴别请求子模块发来的身份认证请求包中提取证书后发送给安全管理中心的身份鉴别子模块；

2e)身份鉴别子模块根据证书完成对节点的身份认证后发送证书认证应答给边界网关的证书鉴别请求子模块；

2f)边界网关的证书鉴别请求子模块进行证书合法性鉴别；当鉴别通过时，边界网关的证书鉴别请求子模块向边界网关的密钥管理子模块b发送会话密钥申请消息；

2g)密钥管理子模块b收到会话密钥申请消息后，下发会话密钥以及会话密钥封装包；

2h)证书鉴别请求子模块获取会话密钥，将所获取会话密钥发送给边界网关的策略部署子模块b，同时将身份认证应答信息和会话密钥封装包发送给节点的身份鉴别请求子模块；

2i)边界网关的策略部署子模块b将会话密钥发送给边界通信加密机制模块，同时节点的身份鉴别请求子模块将会话密钥封装包发送给节点的密钥管理子模块a；

2j)节点的密钥管理子模块解密会话密钥封装包，获取会话密钥并将会话密钥发回给节点的身份鉴别请求子模块；

2k)身份鉴别请求子模块将会话密钥发送给节点的策略部署子模块a；

2l)节点的策略部署子模块a将会话密钥发送给节点通信加密机制模块，用于节点通信加密机制模块基于该会话密钥实现节点的网络通信加密。

所述可信平台评估，包括以下步骤：

3a)边界网关的评估管理子模块b收到网络访问控制者发送的评估激活消息；

3b)边界网关的评估管理子模块b把评估激活消息发送给节点的评估管理子模块a；

3c)节点的评估管理子模块a向完整性度量子模块a发送完整性请求消息；

3d)节点的完整性度量子模块a根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块a；

3e)节点的可信报告子模块a生成可信报告，并发送给边界网关的可信报告子模块b；

3f)边界网关可信报告子模块b向完整性度量子模块b发送完整性请求消息；

3g)边界网关完整性度量子模块b根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块b；

3h)可信报告子模块b生成可信报告，并发送给安全管理中心的可信评估子模块；

3i)可信评估子模块从可信报告中提取出完整性报告消息，并发送给安全管理中心的完整性校验子模块；

3j)完整性校验子模块根据可信基准库对照完整性报告，得出完整性校验结果即评估校验结果，并发送给可信评估子模块；

3k)可信评估子模块将评估校验结果发送给评估报告子模块；

3l)评估报告子模块对评估校验结果签名，将评估校验结果和签名组成评估报告，并将评估报告发送给边界网关的可信验证子模块b；

3m)边界网关的可信验证子模块b验证评估报告的完整性，确认无误后节点评估报告发送给评估管理子模块b，同时将评估报告中评估边界网关可信性的部分发送给发起可信连接的节点；

3n)节点的可信验证子模块a确认评估报告可信性后，将评估结果转发给评估管理子模块a。

所述可信平台决策控制，包括以下步骤：

4a)安全管理中心的评估报告子模块将评估校验结果发送给访问控制策略管理子模块；

4b)访问控制策略管理子模块根据评估结果确定边界的访问控制策略和节点的访问控制策略，并将生成的边界和节点的访问控制策略发送给策略签名子模块；

4c)策略签名子模块对收到的边界的访问控制策略和节点的访问控制策略签名后，分别形成边界的访问控制策略消息和节点的访问控制策略消息，发回给访问控制策略管理子模块；

4d)访问控制策略管理子模块将边界访问控制策略消息和节点访问控制策略消息发送给边界网关的访问控制策略管理子模块b；

4e)边界网关访问控制策略管理子模块b将节点访问控制策略消息发送给节点的访问控制策略管理子模块a，并将边界访问控制策略消息发送给边界网关的可信验证子模块b；

4f)边界网关的可信验证子模块b根据边界访问控制策略消息的签名验证边界访问控制策略消息的完整性，确认完整性后发回给边界网关的访问控制策略管理子模块b；节点的访问控制策略管理子模块a将收到的节点访问控制策略消息发送给节点的可信验证子模块a；

4g)边界网关的访问控制策略管理子模块b将验证后的边界访问控制策略消息部署到边界访问控制机制模块中；节点的可信验证子模块a则验证节点访问控制策略消息的完整性，确认完整性后将其发回给节点的访问控制策略管理子模块a；

4h)节点访问控制策略管理子模块a将验证后的节点访问控制策略消息部署到节点访问控制机制模块中。

基于主动免疫机理的工业控制设备安全防护系统，边界网关包括：

连接应答子模块，用于接收节点的连接申请子模块发来的连接申请消息，并发送认证激活消息给节点的身份鉴别请求子模块；

证书鉴别请求子模块，用于从节点发来的身份认证请求包中提取证书后发送给安全管理中心；收到证书认证应答后进行证书合法性鉴别；当鉴别通过时，向密钥管理子模块b发送会话密钥申请消息；获取秘钥管理子模块b的会话密钥，将所获取会话密钥发送给策略部署子模块b，同时将身份认证应答信息和会话密钥封装包发送给节点的身份鉴别请求子模块；

密钥管理子模块b，用于收到会话密钥申请消息后，下发会话密钥以及会话密钥封装包给证书鉴别请求子模块；

策略部署子模块b，用于将会话密钥发送给边界通信加密机制模块，形成通信加密规则，并通知节点或者边界网关应用该通信加密规则；

可信报告子模块b，用于向完整性度量子模块b发送完整性请求消息；生成可信报告，并发送给安全管理中心的可信评估子模块；

完整性度量子模块b，用于根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块b；

可信验证子模块b，用于验证评估报告的完整性，确认无误后将评估报告发送给评估管理子模块b，同时将评估报告中评估边界网关可信性的部分发送给发起可信连接的节点；根据边界访问控制策略签名验证边界访问控制策略消息的完整性，确认完整性后发回给访问控制策略管理子模块b；

评估管理子模块b，用于收到网络访问控制者发送的评估激活消息，并把评估激活消息发送给节点的评估管理子模块a；

访问控制策略管理子模块b，用于将来自安全管理中心的节点访问控制策略消息发送给节点的访问控制策略管理子模块a，并将边界访问控制策略消息发送给可信验证子模块b；将验证后的边界访问控制策略消息部署到边界访问控制机制模块中。

节点包括：

连接申请子模块，用于发送连接申请消息给边界网关的连接应答子模块；

身份鉴别请求子模块，用于发送身份认证请求包给边界网关的证书鉴别请求子模块；将会话密钥封装包发送给密钥管理子模块a；将会话密钥发送给策略部署子模块a；

密钥管理子模块a，用于解密会话密钥封装包，获取会话密钥并将会话密钥发回给身份鉴别请求子模块；

策略部署子模块a，用于将会话密钥发送给节点通信加密机制模块，使节点通信加密机制模块基于该会话密钥实现节点的网络通信加密；

评估管理子模块a，用于向完整性度量子模块a发送完整性请求消息；形成通信加密规则，并通知节点或者边界网关应用该通信加密规则；

完整性度量子模块a，用于根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块a；

可信报告子模块a，用于生成可信报告，并发送给边界网关的可信报告子模块b；

可信验证子模块a，用于接收边界网关的可信验证子模块b发来的评估报告中评估边界网关可信性的部分，并确认评估报告可信性后，将评估结果转发给评估管理子模块a；验证节点访问控制策略消息的完整性，确认完整性后将其发回给访问控制策略管理子模块a；

访问控制策略管理子模块a，用于将收到的节点访问控制策略消息发送给可信验证子模块a；将验证后的节点访问控制策略消息部署到节点访问控制机制模块中。

基于主动免疫机理的工业控制设备安全防护系统，还包括安全管理中心，所述安全管理中心包括：

身份鉴别子模块，用于根据证书完成对节点的身份认证后发送证书认证应答给边界网关的证书鉴别请求子模块；

可信评估子模块，用于从边界网关可信报告子模块b发来可信报告中提取出完整性报告消息，并发送给完整性校验子模块；根据完整性校验结果得到评估校验结果，并发送给评估报告子模块；

完整性校验子模块，用于根据可信基准库对照完整性报告消息，得出完整性校验结果即评估校验结果，并发送给可信评估子模块；

评估报告子模块，用于对评估校验结果签名，将评估校验结果和签名组成评估报告，并将评估报告发送给边界网关的可信验证子模块b；将评估校验结果发送给访问控制策略管理子模块c；

访问控制策略管理子模块c，用于根据评估结果确定边界和节点的访问控制策略，并将生成的访问控制策略发送给策略签名子模块；将边界访问控制策略消息和节点访问控制策略消息发送给边界网关的访问控制策略管理子模块b；

策略签名子模块，用于对收到的访问控制策略签名后发回给访问控制策略管理子模块c。

本发明具有以下有益效果及优点：

1.采用基于主动免疫机理的可信计算技术设计实现的工业控制系统能够对当前正在执行的系统程序提供主动免疫机制，执行程序实时可信度量以保障正常的可执行程序的持续工作，同时阻止未授权和不符合预期结果的恶意代码程序的发作。

2.即使在主动免疫机制启动前已感染病毒，采用主动免疫机制也以限制已感染病毒软件的越权访问，避免病毒破坏重要资源，实现了积极主动防御未知攻击的安全目标。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图，均应落入本发明的保护范围。

图1为本发明中主动免疫安全防护体系运行环境组成示意图；

图2为本发明中可信通信网络连接初始化过程示意图；

图3为本发明中可信通信网络平台评估过程示意图；

图4为本发明中可信通信网络决策控制过程示意图；

图5为本发明中可信通信网络连接初始化过程中密钥管理子模块组成示意图；

图6为本发明中可信通信网络连接初始化过程中身份鉴别请求子模块示意图；

图7为本发明中可信通信网络连接初始化过程中身份鉴别子模块示意图；

图8为本发明中可信通信网络连接初始化过程中策略部署子模块示意图；

图9为本发明中可信通信网络连接初始化过程中证书鉴别请求子模块示意图；

图10为本发明中可信通信网络平台评估过程中完整性度量子模块示意图；

图11为本发明中可信通信网络决策控制过程中评估报告子模块示意图；

图12为本发明中可信通信网络决策控制过程中访问控制管理子模块示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

如图1所示，本发明涉及一种基于主动免疫机理的工业控制设备安全防护架构和方法，具体方法为基于可信计算技术实现包括节点计算环境、区域边界、通信网络连接的安全可信，构建符合主动免疫安全防护思想的高安全等级的可信防护体系。通过建立安全可信管理中心实现对可信计算环境、可信区域边界和可信通信网络的控制决策及管理，实现对已知和未知病毒或攻击手段的阻断隔离，从而保证了工业控制系统和网络的业务功能和信息安全免遭侵扰。

1.主动免疫安全防护体系运行环境设计

本发明的运行环境包括内网运行环境、局域网边界防护设备以及外部终端，其中内网运行环境包括系统安全管理中心、系统密码管理中心和内网计算节点。系统拓扑结构如图1所示。运行环境中内部节点和外部节点均自带节点网络访问控制机制，边界网关也部署边界访问控制机制。系统中安全管理中心向终端与边界网关提供密码/策略服务。

2.可信通信网络连接初始化过程

可信网络连接的发起及建立过程包括三个关键阶段：可信网络连接初始化、可信平台评估和可信平台决策控制。可信网络连接初始化阶段主要流程通过网络访问控制层的网络访问请求者、网络访问控制者和鉴别策略服务者3种实例进行可信连接的发起、身份鉴别与密钥交换工作，具体过程如图2所示，包括以下步骤：

2a)节点的连接申请子模块发送连接申请消息给边界网关上的连接应答子模块；

2b)连接应答子模块发送认证激活消息给节点的身份鉴别请求子模块，其中身份鉴别请求子模块组成如图6所示，当收到来自边界网关连接应答子模块发送的认证激活消息后，生成身份认证请求发送给证书鉴别请求子模块，并在收到来自边界网关传回的会话密钥信封后交给上层密钥管理子模块进行拆封，并将解封后的会话密钥发送给策略部署子模块进行应用；

2c)身份鉴别请求子模块发送身份认证请求包给边界网关的证书鉴别请求子模块，其中证书鉴别请求子模块组成如图9所示，当收到来自身份鉴别请求子模块发起的身份认证请求时，负责处理该请求并基于请求中包含的证书生成证书认证请求，并发送给安全管理中心的身份鉴别子模块进行认证，如果认证通过后向密钥管理子模块申请生成会话密钥，并负责会话密钥的密封转发；

2d)证书鉴别请求子模块从身份鉴别请求子模块中提取证书后发送给安全管理中心的身份鉴别子模块，其中身份鉴别子模块组成如图7所示，对证书中包含的证书链关系、证书颁发机构、证书申请人、证书颁发时间、证书过期时间、证书唯一性标识、证书签名算法、证书签名算法参数、证书验签公钥等信息进行检查，并使用公钥对证书中包含的签名进行验证，如果验证通过则返回确认结果；

2e)身份鉴别子模块完成对节点的身份认证后发送证书认证应答给边界网关上的证书鉴别请求子模块；

2f)如鉴别通过，边界网关证书鉴别请求子模块向密钥管理子模块发送会话密钥申请消息；

2g)密钥管理子模块下发会话密钥以及会话密钥封装包，其中密钥管理子模块组成如图5所示，包含对密钥的创建、存储、检测和删除四项基本操作，密钥创建包括密钥标识生成、硬件随机数生成和密钥格式转换等，密钥存储主要设置密钥访问口令、存储密钥并生成密钥索引，密钥检测主要是对密钥格式检查并按照密钥对应的密码算法进行分类，密钥删除包括根据索引进行密钥检索、删除密钥内容及删除密钥索引；

2h)身份鉴别子模块获取会话密钥，将所获取密钥发送给策略部署子模块，同时将身份认证应答信息和会话密钥封装消息发送给节点的可信网络访问控制请求者实例，其中策略部署子模块的组成如图8所示，在收到上层发送的会话密钥后，首先记录该密钥对应的节点和网关设备的IP地址，并根据地址记录形成通信加密规则，在向策略部署表中添加新形成的通信加密规则同时优化现有的部署规则表，使匹配次数高的规则位于规则表中的前部，并通知所在节点或网关应用已形成的通信加密规则，向负责建立节点/网关加密通信机制发送会话密钥；

2i)边界网关的策略部署子模块将会话密钥发送给边界通信加密机制，同时节点将会话密钥封装发送给可信网络连接客户端实例的密钥管理子模块；

2j)节点的密钥管理子模块解密会话密钥的封装，获取会话密钥并将会话密钥发回给身份鉴别请求子模块；

2k)身份鉴别请求子模块将会话密钥发送给外部节点的策略部署子模块。

2l)外部节点的策略部署子模块将会话密钥发送给外部节点通信加密机制，外部节点通信加密机制基于该密钥实现节点端的网络通信加密；

3.可信通信网络平台评估过程

可信平台评估过程主要是由可信平台评估层和完整性度量层参与，在外部节点和边界网关的完整性度量层通过运行完整性度量子模块来进行系统完整性收集，在安全管理中心的完整性度量层运行完整性校验子模块来进行系统完整性校验，该模块根据可信基准库校验外部节点和边界网关发来的完整性报告。在外部节点和边界网关的可信评估层运行可信网络连接客户端/接入点实例，负责对外部节点和边界网关进行可信验证、可信报告生成和评估管理，在安全管理中心可信平台评估层运行评估策略服务者实例，负责进行评估验证和评估报告工作，具体评估过程如图3所示。

所述的可信平台评估过程包括以下步骤：

3a)边界网关的网络访问控制者实例向可信网络接入点实例的评估管理子模块发送评估激活消息；

3b)边界网关评估管理子模块把激活消息发送给外部节点的评估管理子模块；

3c)外部节点评估管理子模块向完整性度量层的完整性度量子模块发送完整性请求消息，其中完整性度量子模块组成如图10所示，外部节点或边界网关内部可信度量根/扩展度量模块首先使用杂凑算法对关键部件(包括系统启动引导、操作系统内核、关键应用程序等文件)的二进制代码进行完整性度量计算，该计算结果作为度量事件描述，包括了度量值和本次度量事件的上下文信息，可信度量根/扩展度量模块通过接口调用平台可信根将度量值扩展存储到预先定义与部件相关的平台配置寄存器中，同时通过接口调用执行代码将度量事件描述存储于度量事件日志中，形成完整性报告消息；

3d)外部节点完整性度量子模块根据完整性请求消息生成完整性报告消息，并将其发送给可信网络连接客户端实例的可信报告子模块；

3e)外部节点可信报告子模块生成可信报告，并发送给边界网关可信网络接入点实例的可信报告子模块；

3f)边界网关可信报告子模块向完整性收集者实例的节点完整性度量子模块发送完整性请求消息；

3g)边界网关完整性度量子模块根据完整性请求消息生成完整性报告消息，并将其发送给可信网络接入点实例的可信报告子模块；

3h)可信报告子模块生成可信报告，并发送给安全管理中心评估策略服务者实例的可信评估子模块；

3i)可信评估子模块从可信报告中提取出完整性报告消息，并发送给安全管理中心完整性校验者实例的完整性校验子模块；

3j)完整性校验子模块根据可信基准库对照完整性报告，得出完整性校验结果并发送给可信评估子模块；

3k)可信评估子模块将评估校验结果发送给评估报告子模块；

3l)评估报告子模块对评估校验结果签名，并将签名后的评估报告发送给边界网关的证书鉴别请求子模块；

3m)边界网关可信验证子模块验证节点评估报告的完整性，确认无误后节点评估报告发送给评估管理子模块，同时将评估报告中评估边界网关可信行的部分发送给发起可信连接的外部节点；

3n)外部节点可信验证子模块确认评估报告可信性后，将评估结果转发给评估管理子模块。

4.可信通信网络平台决策控制过程

可信平台决策控制过程由安全管理中心的评估报告子模块发送评估报告给访问控制策略管理子模块时触发。访问控制策略管理子模块生成边界和节点的访问控制策略并由评估策略服务者实例的策略签名子模块签名，再发送到边界网关。边界网关和外部节点将签名后的节点访问控制策略发送给外部节点，由本地可信网络接入点实例的可信验证子模块进行验证。验证通过后的策略应由访问控制策略管理子模块将其部署到节点和边界的访问控制机制中，具体决策控制过程如图4所示。

所述的可信平台决策控制过程包括以下步骤：

4a)安全管理中心评估策略服务者实例的评估报告子模块将评估结果发送给鉴别策略服务者实例的访问控制策略管理子模块，其中评估报告子模块组成如图11所示，评估报告子模块通过收集来自完整性收集者实例中的完整性度量子模块的完整性报告消息，从静态完整性评估(包括对信任根评估、启动文件完整性评估、固件指纹完整性评估、操作系统完整性评估)、动态完整性评估(扩展模块完整性评估、应用程序完整性评估)、通信数据完整性评估三方面分别形成各自的完整性评估报告，最终合成一份总的评估报告供访问控制管理子模块参考；

4b)访问控制策略管理子模块根据评估结果确定边界和节点的访问控制策略，并将生成的访问控制策略发送给评估策略服务者实例的策略签名子模块，其中访问控制策略管理子模块组成如图12所示，根据评估报告子模块生成的评估报告进行访问控制建模，生成包括用户集、控制命令集、控制程序集与系统客体集，并根据构建的各类集合按照预定的授权条件生成操作权限表，最终通过合并各集合的操作权限规则生成符合节点要求的访问控制规则集，并实现访问控制策略在边界和节点之间的传递；

4c)策略签名子模块对收到的访问控制策略签名后发回给访问控制策略管理子模块；

4d)访问控制策略管理子模块将边界访问控制策略消息和节点访问控制策略消息发送给边界网关的访问控制策略管理子模块；

4e)边界网关访问控制策略管理子模块将节点访问控制策略消息发送给外部节点网络访问请求者实例的访问控制策略管理子模块，并将边界访问控制策略消息发送给可信网络接入点实例的可信验证子模块；

4f)边界网关的可信验证子模块根据边界访问控制策略签名验证边界访问控制策略的完整性，确认完整性后将其发回给边界网关的访问控制策略管理子模块。而外部节点访问控制策略管理子模块则将收到的节点访问控制策略发送给外部节点可信网络连接客户端实例的可信验证子模块；

4g)边界网关访问控制策略管理子模块将验证后的边界访问控制策略部署到边界访问控制机制中；外部节点的可信验证子模块则验证节点访问控制策略的完整性，确认完整性后将其发回给外部节点的访问控制策略管理子模块；

4h)外部节点访问控制策略管理子模块将验证后的节点访问控制策略部署到节点访问控制机制中。

其中，完整性是保证边界访问控制策略是否具有经过策略签名子模块的合法性签名，并且验证该签名信息或边界访问控制策略在传递的过程中是否保持完整并未被篡改，经过可信验证子模块验证后才允许被部署到边界访问控制机制中；

证书合法性鉴别是指对收到的数字证书进行证书链验证，判断是否由所信任的数字证书机构CA所颁发的；再对证书的申请者信息、颁发时间与证书有效期进行识别，检查当前证书是否有效；最终提取证书中的签名和公钥，根据证书指定的验签算法用公钥对数字签名进行验签，检查签名验证是否成功。当上述内容均确认无误时，鉴别通过，否则不通过。

节点访问控制机制，将收到的节点访问控制策略部署到节点的访问控制规则列表中，如果该访问控制规则与节点中原有的规则项存在冗余冲突，即新规则的数据字段已被原有规则项所包含，则无须加入该规则；如果该规则与原有规则项存在交叉冲突，即该规则与原有规则项的数据字段存在交集且处理动作相同，则将该规则和原有规则合并取并集后更新原有规则；如果该规则与原有规则项数据字段存在交集，但处理动作与原有规则项相反，则创建该规则同时更新原有规则，提取原有规则与该规则数据字段的差集来更新原有规则的数据字段。将更新后的访问控制规则部署到内核程序中实现对通信行为的检测和防护。

边界访问控制机制，处理机制与节点访问控制机制相同，只是访问控制规则的应用主体为边界网关而非外部节点。

Claims (7)

1.基于主动免疫机理的工业控制设备安全防护方法，其特征在于，通过可信网络连接初始化、可信平台评估以及可信平台决策控制，实现工业控制设备安全防护。

2.根据权利要求1所述的基于主动免疫机理的工业控制设备安全防护方法，其特征在于，所述可信网络连接初始化，通过节点、边界网关和安全管理中心进行可信连接的发起、身份鉴别与密钥交换，包括以下步骤：

2a)节点的连接申请子模块a发送连接申请消息给边界网关的连接应答子模块；

2b)连接应答子模块发送认证激活消息给节点的身份鉴别请求子模块；

2c)身份鉴别请求子模块发送身份认证请求包给边界网关的证书鉴别请求子模块；

2d)证书鉴别请求子模块从身份鉴别请求子模块发来的身份认证请求包中提取证书后发送给安全管理中心的身份鉴别子模块；

2e)身份鉴别子模块根据证书完成对节点的身份认证后发送证书认证应答给边界网关的证书鉴别请求子模块；

2f)边界网关的证书鉴别请求子模块进行证书合法性鉴别；当鉴别通过时，边界网关的证书鉴别请求子模块向边界网关的密钥管理子模块b发送会话密钥申请消息；

2g)密钥管理子模块b收到会话密钥申请消息后，下发会话密钥以及会话密钥封装包；

2h)证书鉴别请求子模块获取会话密钥，将所获取会话密钥发送给边界网关的策略部署子模块b，同时将身份认证应答信息和会话密钥封装包发送给节点的身份鉴别请求子模块；

2i)边界网关的策略部署子模块b将会话密钥发送给边界通信加密机制模块，同时节点的身份鉴别请求子模块将会话密钥封装包发送给节点的密钥管理子模块a；

2j)节点的密钥管理子模块解密会话密钥封装包，获取会话密钥并将会话密钥发回给节点的身份鉴别请求子模块；

2k)身份鉴别请求子模块将会话密钥发送给节点的策略部署子模块a；

2l)节点的策略部署子模块a将会话密钥发送给节点通信加密机制模块，用于节点通信加密机制模块基于该会话密钥实现节点的网络通信加密。

3.根据权利要求1所述的基于主动免疫机理的工业控制设备安全防护方法，其特征在于，所述可信平台评估，包括以下步骤：

3a)边界网关的评估管理子模块b收到网络访问控制者发送的评估激活消息；

3b)边界网关的评估管理子模块b把评估激活消息发送给节点的评估管理子模块a；

3c)节点的评估管理子模块a向完整性度量子模块a发送完整性请求消息；

3d)节点的完整性度量子模块a根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块a；

3e)节点的可信报告子模块a生成可信报告，并发送给边界网关的可信报告子模块b；

3f)边界网关可信报告子模块b向完整性度量子模块b发送完整性请求消息；

3g)边界网关完整性度量子模块b根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块b；

3h)可信报告子模块b生成可信报告，并发送给安全管理中心的可信评估子模块；

3i)可信评估子模块从可信报告中提取出完整性报告消息，并发送给安全管理中心的完整性校验子模块；

3j)完整性校验子模块根据可信基准库对照完整性报告，得出完整性校验结果即评估校验结果，并发送给可信评估子模块；

3k)可信评估子模块将评估校验结果发送给评估报告子模块；

3l)评估报告子模块对评估校验结果签名，将评估校验结果和签名组成评估报告，并将评估报告发送给边界网关的可信验证子模块b；

3m)边界网关的可信验证子模块b验证评估报告的完整性，确认无误后节点评估报告发送给评估管理子模块b，同时将评估报告中评估边界网关可信性的部分发送给发起可信连接的节点；

3n)节点的可信验证子模块a确认评估报告可信性后，将评估结果转发给评估管理子模块a。

4.根据权利要求1所述的基于主动免疫机理的工业控制设备安全防护方法，其特征在于，所述可信平台决策控制，包括以下步骤：

4a)安全管理中心的评估报告子模块将评估校验结果发送给访问控制策略管理子模块；

4b)访问控制策略管理子模块根据评估结果确定边界的访问控制策略和节点的访问控制策略，并将生成的边界和节点的访问控制策略发送给策略签名子模块；

4c)策略签名子模块对收到的边界的访问控制策略和节点的访问控制策略签名后，分别形成边界的访问控制策略消息和节点的访问控制策略消息，发回给访问控制策略管理子模块；

4d)访问控制策略管理子模块将边界访问控制策略消息和节点访问控制策略消息发送给边界网关的访问控制策略管理子模块b；

4e)边界网关访问控制策略管理子模块b将节点访问控制策略消息发送给节点的访问控制策略管理子模块a，并将边界访问控制策略消息发送给边界网关的可信验证子模块b；

4f)边界网关的可信验证子模块b根据边界访问控制策略消息的签名验证边界访问控制策略消息的完整性，确认完整性后发回给边界网关的访问控制策略管理子模块b；节点的访问控制策略管理子模块a将收到的节点访问控制策略消息发送给节点的可信验证子模块a；

4g)边界网关的访问控制策略管理子模块b将验证后的边界访问控制策略消息部署到边界访问控制机制模块中；节点的可信验证子模块a则验证节点访问控制策略消息的完整性，确认完整性后将其发回给节点的访问控制策略管理子模块a；

4h)节点访问控制策略管理子模块a将验证后的节点访问控制策略消息部署到节点访问控制机制模块中。

5.基于主动免疫机理的工业控制设备安全防护系统，其特征在于，边界网关包括：

连接应答子模块，用于接收节点的连接申请子模块发来的连接申请消息，并发送认证激活消息给节点的身份鉴别请求子模块；

证书鉴别请求子模块，用于从节点发来的身份认证请求包中提取证书后发送给安全管理中心；收到证书认证应答后进行证书合法性鉴别；当鉴别通过时，向密钥管理子模块b发送会话密钥申请消息；获取秘钥管理子模块b的会话密钥，将所获取会话密钥发送给策略部署子模块b，同时将身份认证应答信息和会话密钥封装包发送给节点的身份鉴别请求子模块；

密钥管理子模块b，用于收到会话密钥申请消息后，下发会话密钥以及会话密钥封装包给证书鉴别请求子模块；

策略部署子模块b，用于将会话密钥发送给边界通信加密机制模块，形成通信加密规则，并通知节点或者边界网关应用该通信加密规则；

可信报告子模块b，用于向完整性度量子模块b发送完整性请求消息；生成可信报告，并发送给安全管理中心的可信评估子模块；

完整性度量子模块b，用于根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块b；

可信验证子模块b，用于验证评估报告的完整性，确认无误后将评估报告发送给评估管理子模块b，同时将评估报告中评估边界网关可信性的部分发送给发起可信连接的节点；根据边界访问控制策略签名验证边界访问控制策略消息的完整性，确认完整性后发回给访问控制策略管理子模块b；

评估管理子模块b，用于收到网络访问控制者发送的评估激活消息，并把评估激活消息发送给节点的评估管理子模块a；

访问控制策略管理子模块b，用于将来自安全管理中心的节点访问控制策略消息发送给节点的访问控制策略管理子模块a，并将边界访问控制策略消息发送给可信验证子模块b；将验证后的边界访问控制策略消息部署到边界访问控制机制模块中。

6.根据权利要求5所述的基于主动免疫机理的工业控制设备安全防护系统，其特征在于，节点包括：

连接申请子模块，用于发送连接申请消息给边界网关的连接应答子模块；

身份鉴别请求子模块，用于发送身份认证请求包给边界网关的证书鉴别请求子模块；将会话密钥封装包发送给密钥管理子模块a；将会话密钥发送给策略部署子模块a；

密钥管理子模块a，用于解密会话密钥封装包，获取会话密钥并将会话密钥发回给身份鉴别请求子模块；

策略部署子模块a，用于将会话密钥发送给节点通信加密机制模块，使节点通信加密机制模块基于该会话密钥实现节点的网络通信加密；

评估管理子模块a，用于向完整性度量子模块a发送完整性请求消息；形成通信加密规则，并通知节点或者边界网关应用该通信加密规则；

完整性度量子模块a，用于根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块a；

可信报告子模块a，用于生成可信报告，并发送给边界网关的可信报告子模块b；

可信验证子模块a，用于接收边界网关的可信验证子模块b发来的评估报告中评估边界网关可信性的部分，并确认评估报告可信性后，将评估结果转发给评估管理子模块a；验证节点访问控制策略消息的完整性，确认完整性后将其发回给访问控制策略管理子模块a；

访问控制策略管理子模块a，用于将收到的节点访问控制策略消息发送给可信验证子模块a；将验证后的节点访问控制策略消息部署到节点访问控制机制模块中。

7.根据权利要求5所述的基于主动免疫机理的工业控制设备安全防护系统，其特征在于，还包括安全管理中心，所述安全管理中心包括：

身份鉴别子模块，用于根据证书完成对节点的身份认证后发送证书认证应答给边界网关的证书鉴别请求子模块；

可信评估子模块，用于从边界网关可信报告子模块b发来可信报告中提取出完整性报告消息，并发送给完整性校验子模块；根据完整性校验结果得到评估校验结果，并发送给评估报告子模块；

完整性校验子模块，用于根据可信基准库对照完整性报告消息，得出完整性校验结果即评估校验结果，并发送给可信评估子模块；

评估报告子模块，用于对评估校验结果签名，将评估校验结果和签名组成评估报告，并将评估报告发送给边界网关的可信验证子模块b；将评估校验结果发送给访问控制策略管理子模块c；

访问控制策略管理子模块c，用于根据评估结果确定边界和节点的访问控制策略，并将生成的访问控制策略发送给策略签名子模块；将边界访问控制策略消息和节点访问控制策略消息发送给边界网关的访问控制策略管理子模块b；

策略签名子模块，用于对收到的访问控制策略签名后发回给访问控制策略管理子模块c。

Images