[发明专利]一种基于度量机制的可信PLC启动方法

说明书

本发明公开了一种基于度量机制的可信PLC启动方法，包括以下步骤：自身固件验证初始化步骤；读取计算PLC的固件信息步骤；逐一校验并存储步骤；运行启动阶段验证步骤。本发明方法采用工业级具有可信功能的芯片作为硬件计算的核心，PLC扩展其Flash总线为可被本发明方法硬件加载，本发明方法硬件识别必要的启动信息，通过完整性校验方法对PLC系统必要的启动文件进行完整性验证，确保PLC系统在启动之后是可信的状态。本发明在保证终端设备安全的正确性及可行性的基础上，能够构建安全可信的工控系统运行环境。

技术领域

本发明涉及计算机可编程逻辑控制器应用技术领域，特别涉及一种基于度量机制的可信PLC启动方法。

背景技术

工业控制系统(Industrial Control Systems,ICS)，是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。

截至2015年9月10日，中国国家信息安全漏洞库(CNNVD)、CommonVulnerabilities&Exposures(CVE)、The Industrial Control Systems Cyber EmergencyResponse Team(ICS-CERT美国工业控制系统应急响应小组)三大组织公开发布的与工业控制系统相关漏洞数量为568个，涉及国内外相关厂商120个。

目前工业控制系统使用的现场控制设备、过程控制自动化软件、工程师站、操作员站、OPC接口机等设备中大量使用了标准的信息网络技术或产品。这些技术和产品并没有针对工控系统的应用环境进行优化和专门设计，导致为工控系统引入了大量的“冗余功能和配置”。工控系统的设计、实施、工程人员并没有意识到这些“冗余功能和配置”所引发的安全问题，仍然按照老思路实现控制功能。也有一部分工控厂家、控制系统开发人员注意到了信息安全，但由于相关知识和技能的缺乏，控制系统自身设计、实现的安全功能不仅没能充分利用信息系统所提供的基础安全技术和功能，而且还存在一些设计上的错误和缺陷(如：不正确的密钥管理、口令保护措施等)。

网络边界防护措施薄弱。大部分企业中，因为工业控制系统类型的多样化以及安全管理意识和职责不明确等原因，一方面网络间的数据传输和授权管理未实施明确的安全策略，另一方面企业管理层连接互联网，从而导致互联网用户可以利用企业管理网络系统的漏洞，通过“隧道”方式直接获取生产控制网关键设备的运行控制数据，对工业控制系统运行带来造成重大安全隐患。

工业控制系统计算机最大特点是相对固定，各工程师站、操作员站和OPC接口计算机等大都采用WINDOWS系统，这些系统常年无法升级补丁，也没有相应的病毒防护措施。一旦移动介质管理出现疏忽，则会导致病毒等感染事件频发。部分企业在工业控制系统检修或排除故障过程中，使用远程维护或诊断，或者使用外部移动终端，同时未采取严格的安全措施，可能导致系统的非授权访问。同时移动终端自身的安全问题(如病毒、木马等恶意程序)，也可能感染整个系统。对于使用国外品牌而开放远程诊断维护的工业控制系统，这一问题显得尤为突出。

智能制造与工业4.0战略的背景下，工业生产的数字化和信息化成为未来发展的必然趋势，高度融合IT技术的工业自动化也得到广泛应用。通过Woo-yun平台、ICS-CERT以及国家信息安全漏洞共享平台，可以看到越来多的工业控制系统(PLC、DCS、SCADA)乃至应用软件的安全漏洞被公布出来，包括诸如ABB、Schneider Electric、Siemens、RockwellAutomation等知名工业控制系统厂商的产品的各种安全漏洞。

工业控制系统终端安全主要由于现有平台架构是开放式的，恶意程序很容易植入软件系统中，而且所有试图通过软件检测恶意代码的方法都无法证明检测软件自身的安全性。其表现形式为隐藏在终端设备固件芯片中的恶意代码被攻击者远程控制，对工业控制系统进行诸如信息窃取、删除数据、破坏系统等攻击行为。