CN112817608A - 一种可信计算工控机的程序包安装方法 - Google Patents

Abstract

本发明公开一种可信计算工控机的程序包安装方法，包括以下步骤：(1)获得程序开发商提供的程序包；(2)可信权威机构使用私钥对程序包进行签名，生成签名数据；(3)将签名数据和程序包一起打包成带签名的数据包；(4)将可信权威机构签名的私钥对应的公钥在CA证书授权中心制作证书，获得CA根证书和可信权威机构签名证书；(5)将CA根证书和可信权威机构签名证书导入可信计算工控机的TPCM可信平台控制模块；(6)在可信计算工控机上安装程序包。本发明确保可信计算工控机安装的程序包是可信的程序包，避免被恶意修改、非授权许可等程序的安装。

Description

一种可信计算工控机的程序包安装方法

技术领域

本发明涉及一种程序包安装方法，尤其涉及一种可信计算工控机的程序包安装方法。

背景技术

目前工控机上软件程序包的安装或者升级方法，一般采用将程序包传输到工控机上，直接执行安装包或者拷贝文件到相应目录进行安装或者升级。此安装、升级方法缺乏对安装包和升级文件的安全性、合法性、完整性进行校验，如果文件携带病毒或者文件已经被恶意修改都无法发现，给工控机的安全可靠运行带来威胁。

为解决软件程序包安装、升级的安全问题，部分领域采用了对文件进行校验的方案。比如在安装软件时用软件包发布的MD5值进行校验，或用文件包携带的证书进行校验。但是这些方法仍然存在安全隐患或者漏洞，譬如伪造者可以在发布伪造软件程序包时同时伪造MD5值或者伪造虚假证书，在使用了伪造过的MD5或虚假证书对文件进行校验时，还是无法保证软件程序的安全性、合法性、完整性。

目前常用的工控机软件程序安装和升级技术，存在安装、升级过程缺乏对安装包和升级文件的安全性、合法性、完整性进行校验的问题。如果文件携带病毒或者文件已经被恶意修改都无法被发现，给工控机的安全可靠运行带来威胁。

发明内容

发明目的：本发明旨在解决现有技术的上述不足，提供一种可信计算工控机的程序包安装方法，解决安装或升级过程缺乏对安装包和升级文件的安全性、合法性、完整性进行校验的问题。

技术方案：本发明所述的可信计算工控机的程序包安装方法，包括以下步骤：

(1)获得程序开发商提供的程序包；

(2)可信权威机构使用私钥对程序包签名，生成签名数据；

(3)将签名数据和程序包一起打包成带签名的数据包；

(4)获得采用与私钥对应的公钥制作的CA根证书和可信权威机构签名证书；

(5)将CA根证书和可信权威机构签名证书导入可信计算工控机；

(6)在可信计算工控机上安装程序包。

步骤(6)包括以下步骤：

(61)采用CA根证书验证可信权威机构签名证书；

(62)如果验证通过，则执行步骤(63)，如果验证失败，则执行步骤(66)；

(63)使用可信权威机构签名证书对数据包签名验证；

(64)如果验证通过，则执行步骤(65)，如果验证失败，则执行步骤(66)；

(65)安装程序包；

(66)禁止程序包安装。

所述可信权威机构是程序检验机构或程序使用用户。

所述签名的数据包和可信权威机构签名证书分开，避免程序包签名数据和证书被同时替换。

所述CA根证书和可信权威机构签名证书在CA证书授权中心制作。

所述CA根证书和可信权威机构签名证书存储在可信计算工控机的保密存储区，无法更换或者伪造公钥，保证程序包的完整性和真实性。

有益效果：与现有技术相比，本发明的显著优点为确保可信计算工控机安装的程序包是可信的程序包，避免被恶意修改、非授权许可等程序的安装。

附图说明

图1为本发明方法流程图；

图2为本发明的程序安装流程图。

具体实施方式

下面结合附图对本发明的技术方案作进一步说明。

由图1和图2可知，本发明所述的可信计算工控机的程序包安装方法，包括以下步骤：

(1)获得程序开发商提供的程序包。程序包为“software.exe”、“software.bin”、“software.tar.gz”等。

(2)可信权威机构使用私钥对程序包进行签名，生成签名数据。可信权威机构可以是程序检验机构，譬如是电力领域的中国电力科学研究院；也可以是程序使用的用户，譬如电力领域的国家电网公司或南方电网公司。可信权威机构采用国密算法SM3计算程序包文件DATA1的hash值DATA2，然后再用国密算法SM2的私钥sm2_private.key对hash值DATA2进行签名得到签名数据DATA3。

(3)将签名数据和程序包一起打包成带签名的数据包。即将步骤(2)的签名数据DATA3追加到程序包数据DATA1后，得到带签名的数据包DATA4，即DATA4＝DATA1+DATA3。

(4)将可信权威机构签名的私钥对应的公钥在CA证书授权中心制作证书，获得CA根证书和可信权威机构签名证书。

将可信权威机构签名的私钥sm2_private.key对应的公钥sm2_public.key，在CA证书授权中心申请制作证书。CA证书授权中心可以是电力领域的国家电网公司或南方电网公司指定或认可的CA中心。最后获得CA根证书ca_sm2.cer和可信权威机构签名证书verification_sm2.cer。

(5)将CA根证书ca_sm2.cer和可信权威机构签名证书verification_sm2.cer导入可信计算工控机的TPCM可信平台控制模块，所述可信计算工控机为以后需要安装或升级程序包的工控机。

(6)在可信计算工控机上安装程序包。具体包括以下步骤：

(61)在可信计算工控机上，采用CA根证书验证可信权威机构签名证书。即使用步骤(5)的ca_sm2.cer和国秘算法SM2对verification_sm2.cer的有效性进行校验。

(62)如果验证通过，则执行步骤(63)，如果验证失败，则执行步骤(66)。

(63)将带安装升级的程序包传输到上述可信工控机上，TPCM可信平台控制模块中的可信权威机构签名证书对程序包签名验证。

在可信工控机上安装程序包时，会自动触发TPCM可信平台控制模块对程序包的校验。TPCM可信平台控制模块自动查找程序包是否有签名数据DATA3。如果没有签名数据DATA3，则直接执行步骤(66)；如果有签名数据DATA3，则使用步骤(5)verification_sm2.cer证书对程序包数据DATA1和签名数据DATA3进行验证。

(64)如果验证通过，则执行步骤(65)，如果验证失败，则执行步骤(66)。

(65)安装程序包。按照安装程序的提示，一步步完成程序的安装。

(66)禁止程序包安装。签名失败的原因可能是数据包已经被篡改、数据包没有可信经权威机构过签名等。

与将证书打包到程序包里的其它实现方法不同，本发明的验签公钥证书在可信TPCM的保密存储区，无法更换或者伪造公钥，因此可以保证程序包的完整性和真实性。而且本发明中签名数据和可信权威机构签名证书分开，证书数据不在程序包中，避免程序包签名数据和证书被同时替换。

Claims (6)

1.一种可信计算工控机的程序包安装方法，其特征在于：包括以下步骤：

(1)获得程序开发商提供的程序包；

(2)可信权威机构使用私钥对程序包签名，生成签名数据；

(3)将签名数据和程序包一起打包成带签名的数据包；

(4)获得采用与私钥对应的公钥制作的CA根证书和可信权威机构签名证书；

(5)将CA根证书和可信权威机构签名证书导入可信计算工控机；

(6)在可信计算工控机上安装程序包。

2.根据权利要求1所述的可信计算工控机的程序包安装方法，其特征在于：步骤(6)包括以下步骤：

(61)采用CA根证书验证可信权威机构签名证书；

(62)如果验证通过，则执行步骤(63)，如果验证失败，则执行步骤(66)；

(63)使用可信权威机构签名证书对数据包签名验证；

(64)如果验证通过，则执行步骤(65)，如果验证失败，则执行步骤(66)；

(65)安装程序包；

(66)禁止程序包安装。

3.根据权利要求1所述的可信计算工控机的程序包安装方法，其特征在于：所述可信权威机构是程序检验机构或程序使用用户。

4.根据权利要求1所述的可信计算工控机的程序包安装方法，其特征在于：所述签名的数据包和可信权威机构签名证书分开。

5.根据权利要求1所述的可信计算工控机的程序包安装方法，其特征在于：所述CA根证书和可信权威机构签名证书在CA证书授权中心制作。

6.根据权利要求1所述的可信计算工控机的程序包安装方法，其特征在于：所述CA根证书和可信权威机构签名证书存储在可信计算工控机的保密存储区。

Images