[发明专利]可信工业控制计算机启动阶段的主动安全防护方法及可信工业控制计算机

说明书

技术领域

本发明涉及工控网络安全技术领域，尤其是涉及一种可信工业控制计算机启动阶段的主动安全防护方法及可信工业控制计算机。

背景技术

随着工业4.0、中国制造2025、互联网+、物联网、两化融合进程的不断交叉融合，越来越多的信息技术应用到了工业领域。目前，超过80％的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。

在工业控制等领域，网络安全问题更加凸显。工业网络安全，与传统的商业网络不同，工业网络之间面对的是现场工作人员和工作设备，即使是微小的误差也可能引起工业网络的崩溃，导致难以估量的生命财产损失。国内外工业企业管理网络对工业控制系统的相关数据并没有做到完全的安全防护，甚至没有安全防护措施，这给工业网络带来了严重的威胁。当黑客或者不法分子通过互联网攻击工业控制网络之后，窃取工业控制网络 (Industry control network)中的生产数据、控制数据、产能数据等，都会对工业生产安全产生巨大的损失。

为了保障工控网络的安全，通常在工控网络与传统互联网之间需要架设安全设备，例如、审计设备、网闸设备、数据隔离网关设备等，例如，网闸设备就是一种应用在工控网络安全中的常用设备，在支持工业生产网、办公网(互联网)双向隔离的前提下，由网闸对来自互联网中的报文进行协议剥离等，判断传输文件的合法性，以保证工控网络的安全性。

工业控制计算机通常需要安全芯片作为基础，以完整性度量与管控技术为依托，以防止不受信任的程序在工业控制终端(操作站)运行为目的。安全芯片解决工控终端的身份认证和身份识别问题。完整性度量与管控技术解决计算机程序在加载时的识别问题，并可以禁止不被信任程序的运行。

然而，虽然工业控制计算机中设置有安全芯片，但是实际应用中仍然会出现引导加载程序(bootloader)文件被篡改和/或系统镜像文件被篡改的情况，引导加载程序(bootloader)文件被篡改和/或系统镜像文件被篡改后，将会导致操作系统无法正常启动，或者是启动与需要启动的操作系统不同的另一套操作系统。

发明内容

有鉴于此，本发明的目的在于提供一种可信工业控制计算机启动阶段的主动安全防护方法及可信工业控制计算机，以解决现有技术中存在的引导加载程序(bootloader)文件被篡改和/或系统镜像文件被篡改后，导致的操作系统无法正常启动，或者是启动的操作系统与需要启动的操作系统不同的技术问题。

第一方面，本发明实施例提供了一种可信工业控制计算机启动阶段的主动安全防护方法，应用于可信工业控制计算机的可信平台控制模块中，所述可信工业控制计算机中还包括：与所述可信平台控制模块连接的闪存、电源控制器、和设备控制器，所述方法包括：

在接入供电电源后，控制所述电源控制器为所述闪存上电，所述闪存中存储引导加载程序文件和系统镜像文件；

当在所述闪存中读取到所述引导加载程序文件后，利用国密SM2和 SM3算法对所述引导加载程序文件的完整性进行校验；

当所述引导加载程序文件的完整性校验成功后，控制所述电源控制器为所述设备控制器上电，以使所述设备控制器通过运行所述引导加载程序文件在所述闪存中读取所述系统镜像文件，进而使所述设备控制器调用 TCM安全芯片的SM2和SM3算法引擎对所述系统镜像文件的完整性进行校验；

当所述引导加载程序文件的完整性校验失败后，控制所述电源控制器对所述可信工业控制计算机下电或重启。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述利用国密SM2和SM3算法对所述引导加载程序文件的完整性进行校验，包括：

利用国密SM3算法对所述引导加载程序文件进行杂凑运算，得到第一杂凑值；

从预设存储空间中读取预设的引导程序文件签名数据和安全管理证书；

利用国密SM2算法，使用所述安全管理证书和所述第一杂凑值，对所述引导程序文件签名数据进行签名验证；

当签名验证成功时，确定所述引导加载程序文件的完整性校验成功；

当签名验证失败时，确定所述引导加载程序文件的完整性校验失败。

第二方面，本发明实施例提供了一种可信工业控制计算机启动阶段的主动安全防护方法，应用于可信工业控制计算机的设备控制器中，所述可信工业控制计算机中还包括：与所述设备控制器连接的闪存、电源控制器和可信平台控制模块，所述方法包括：

上电后，通过运行引导加载程序文件在所述闪存中读取系统镜像文件；