[0087] (1)內(nèi)核關(guān)鍵數(shù)據(jù)度量
[0088]內(nèi)核關(guān)鍵數(shù)據(jù)度量如圖5所示。
[0089] 度量對(duì)象:默認(rèn)度量?jī)?nèi)核的代碼段、只讀數(shù)據(jù)段、關(guān)鍵跳轉(zhuǎn)表等操作系統(tǒng)正常運(yùn)行 過程中靜態(tài)不變的數(shù)據(jù)。度量機(jī)制的調(diào)用者可以通過注冊(cè)接口指定自有的度量對(duì)象。
[0090] 度量時(shí)機(jī):默認(rèn)采用定時(shí)度量的方法,每間隔一定的時(shí)隙度量一次;也可通過查詢 接口觸發(fā)度量。
[0091] 度量方法:由TSB啟動(dòng)內(nèi)核線程,通過使用TCM提供的Hash函數(shù)接口計(jì)算度量對(duì)象 的完整性校驗(yàn)值,并與基準(zhǔn)值進(jìn)行比較。
[0092] (2)進(jìn)程度量流程
[0093] 進(jìn)程環(huán)境度量如圖6所示。
[0094] 度量對(duì)象:應(yīng)用進(jìn)程及相關(guān)共享庫(kù)的代碼段。
[0095] 度量時(shí)機(jī):定時(shí)度量;也可由用戶手動(dòng)觸發(fā)度量。
[0096] 度量方法:動(dòng)態(tài)度量模塊將記錄指定應(yīng)用及其關(guān)聯(lián)進(jìn)程的系統(tǒng)調(diào)用流,并進(jìn)行分 析和學(xué)習(xí),生成描述合法調(diào)用規(guī)則的、系統(tǒng)調(diào)用級(jí)的執(zhí)行圖(Execution Graph),從而通過 執(zhí)行圖對(duì)進(jìn)程的異常行為進(jìn)行度量報(bào)告。
[0097] (3)進(jìn)程行為度量
[0098] 進(jìn)程行為度量如圖7所示。
[0099]度量對(duì)象:進(jìn)程發(fā)出的系統(tǒng)調(diào)用。
[0100] 度量時(shí)機(jī):在系統(tǒng)調(diào)用發(fā)生時(shí)實(shí)時(shí)度量。
[0101] 度量方法:由度量引擎實(shí)時(shí)監(jiān)控系統(tǒng)調(diào)用行為,對(duì)每一次系統(tǒng)調(diào)用行為進(jìn)行判定, 如果符合執(zhí)行規(guī)則,則允許本次調(diào)用;如果違背執(zhí)行規(guī)則,則阻止本次調(diào)用。
[0102] ?白名單
[0103] 可信計(jì)算密碼平臺(tái)提供軟件安裝接口(針對(duì)于軟件安裝包的方式),通過此接口安 裝應(yīng)用程序。軟件安裝過程中通過掃描接口掃描生成白名單庫(kù),允許安裝釋放的執(zhí)行程序 運(yùn)行,軟件安裝白名單生成如圖8所示。
[0104] 客戶端軟件安裝有兩種方式,分別為有采集權(quán)限的軟件安裝和無(wú)采集權(quán)限的軟件 安裝。通過這兩種方式可以對(duì)安裝權(quán)限進(jìn)行不同粒度的控制。
[0105] 有采集權(quán)限的軟件安裝:當(dāng)客戶端作為采集終端時(shí),可以通過管理中心授予客戶 端"軟件采集"權(quán)限,然后使用客戶端的程序安裝接口進(jìn)行安裝操作,通過接口安裝的執(zhí)行 程序?qū)⒈蛔詣?dòng)添加到本地白名單庫(kù),并可以立即執(zhí)行。同時(shí)所安裝的軟件白名單(除系統(tǒng)白 名單)可以通過接口導(dǎo)出為策略文件,然后上報(bào)管理中心待批準(zhǔn)到其他客戶端。
[0106] 無(wú)采集權(quán)限的軟件安裝:默認(rèn)情況下,客戶端無(wú)采集權(quán)限。這時(shí)只允許通過軟件安 裝接口安裝管理中心下發(fā)的模版軟件,通過模板安裝的執(zhí)行程序?qū)⒈蛔詣?dòng)添加到網(wǎng)絡(luò)白名 單庫(kù),并可以立即執(zhí)行。
[0107] ?基于安全標(biāo)簽的強(qiáng)制訪問控制
[0108] 在可信計(jì)算密碼平臺(tái)功能基礎(chǔ)上增加的強(qiáng)制執(zhí)行控制功能如圖9所示,綠色標(biāo)示 的部分為強(qiáng)制執(zhí)行控制增加流程。
[0109] 結(jié)合電力調(diào)度控制系統(tǒng)安全標(biāo)簽的業(yè)務(wù)特點(diǎn)及可信軟件系統(tǒng)強(qiáng)制訪問體系的功 能特點(diǎn),將電力調(diào)度控制系統(tǒng)中的安全標(biāo)簽判定體系與可信軟件系統(tǒng)的強(qiáng)制訪問控制體系 相結(jié)合,對(duì)系統(tǒng)訪問請(qǐng)求經(jīng)過兩種訪問控制的雙重判定,形成一種雙備份的強(qiáng)制訪問控制 體系。其中可信軟件系統(tǒng)提供內(nèi)核級(jí)高強(qiáng)度的訪問控制,安全標(biāo)簽體系提供應(yīng)用級(jí)的第二 梯度的訪問控制。徹底解決安全標(biāo)簽體系目前面臨的安全隱患。
[0110] 加入可信軟件系統(tǒng)的強(qiáng)制訪問控制體系業(yè)務(wù)流程如圖10所示。
[0111] (1)人機(jī)發(fā)起服務(wù)訪問請(qǐng)求
[0112] (2)部署在SCADA服務(wù)器上的可信軟件系統(tǒng)截獲此請(qǐng)求
[0113] (3)從請(qǐng)求的第一個(gè)數(shù)據(jù)包中提取主體安全標(biāo)簽
[0114] (4)根據(jù)服務(wù)的端口號(hào)在端口和服務(wù)對(duì)應(yīng)列表中尋找對(duì)應(yīng)的服務(wù)名稱
[0115] (5)根據(jù)服務(wù)名稱在客體標(biāo)簽列表找到相應(yīng)的客體標(biāo)簽
[0116] (6)將主體安全標(biāo)簽與客體標(biāo)簽中的權(quán)限值進(jìn)行異或運(yùn)算
[0117] (7)如果權(quán)限判定通過,放行數(shù)據(jù)包
[0118] (8)此請(qǐng)求的后續(xù)數(shù)據(jù)將直接放行,不在進(jìn)行權(quán)限判定。
[0119] 最后應(yīng)當(dāng)說(shuō)明的是:以上實(shí)施例僅用于說(shuō)明本申請(qǐng)的技術(shù)方案而非對(duì)其保護(hù)范圍 的限制,盡管參照上述實(shí)施例對(duì)本申請(qǐng)進(jìn)行了詳細(xì)的說(shuō)明,所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng) 理解:本領(lǐng)域技術(shù)人員閱讀本申請(qǐng)后依然可對(duì)申請(qǐng)的【具體實(shí)施方式】進(jìn)行種種變更、修改或 者等同替換,但這些變更、修改或者等同替換,均在申請(qǐng)待批的權(quán)利要求保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1. 一種適用于電力系統(tǒng)通用計(jì)算平臺(tái)的可信計(jì)算密碼平臺(tái),其特征在于,所述密碼平 臺(tái)包括:可信計(jì)算密碼模塊和可信軟件系統(tǒng); 所述可信計(jì)算密碼模塊包括可信度量根、可信存儲(chǔ)根、可信報(bào)告根,是平臺(tái)信任鏈傳遞 的起點(diǎn); 所述可信軟件系統(tǒng)包括:可信計(jì)算密碼驅(qū)動(dòng)模塊、度量模塊和審計(jì)模塊,為操作系統(tǒng)和 應(yīng)用軟件提供使用可信計(jì)算密碼平臺(tái)的接口。2. 如權(quán)利要求1所述的可信計(jì)算密碼平臺(tái),其特征在于,所述可信計(jì)算密碼模塊包括硬 件板卡形態(tài)和軟件形態(tài); 所述硬件板卡形態(tài)包括:執(zhí)行引擎、非易失性存儲(chǔ)單元、易失性存儲(chǔ)單元、隨機(jī)數(shù)發(fā)生 器、密碼算法引擎、密鑰生成器和定時(shí)器,為可信軟件系統(tǒng)提供硬件的密碼算法和策略存 儲(chǔ)、保護(hù)與更新機(jī)制; 所述軟件形態(tài)為可信軟件系統(tǒng)提供軟件形態(tài)的密碼算法和策略存儲(chǔ)、保護(hù)與更新機(jī) 制。3. 如權(quán)利要求1所述的可信計(jì)算密碼平臺(tái),其特征在于,所述可信計(jì)算密碼驅(qū)動(dòng)模塊為 所述可信計(jì)算密碼模塊提供驅(qū)動(dòng); 所述度量模塊用于對(duì)所述可信計(jì)算密碼平臺(tái)后續(xù)軟件的完整性度量; 所述后續(xù)軟件包括:核心動(dòng)態(tài)加載模塊、動(dòng)態(tài)庫(kù)、不可控操作系統(tǒng)核心,以及不可控操 作系統(tǒng)上的應(yīng)用程序; 所述審計(jì)模塊用于截獲上層應(yīng)用或者不可控操作系統(tǒng)的特定行為,進(jìn)行行為審計(jì)和分 析,并觸發(fā)預(yù)定的響應(yīng)動(dòng)作。4.如權(quán)利要求3所述的可信計(jì)算密碼平臺(tái),其特征在于,所述完整性度量包括靜態(tài)度量 和動(dòng)態(tài)度量; 所述靜態(tài)度量的內(nèi)容包括系統(tǒng)中的可執(zhí)行程序、動(dòng)態(tài)庫(kù)和內(nèi)核模塊,靜態(tài)度量對(duì)該三 類文件進(jìn)行文件內(nèi)容的哈希計(jì)算,并將計(jì)算結(jié)果與預(yù)期結(jié)果比較,以判斷度量對(duì)象的完整 性是否遭受破壞; 所述動(dòng)態(tài)度量為在度量對(duì)象啟動(dòng)前完成對(duì)度量對(duì)象預(yù)期值的收集,并依據(jù)收集的預(yù)期 值,在系統(tǒng)運(yùn)行中驗(yàn)證度量對(duì)象。5.如權(quán)利要求1所述的可信計(jì)算密碼平臺(tái),其特征在于,所述可信計(jì)算密碼平臺(tái)提供白 名單機(jī)制和基于安全標(biāo)簽的強(qiáng)制訪問控制; 所述白名單機(jī)制為在軟件安裝過程中通過掃描接口掃描生成白名單庫(kù),程序運(yùn)行時(shí)依 據(jù)所述白名單庫(kù)判斷是否允許程序運(yùn)行; 所述基于安全標(biāo)簽的強(qiáng)制訪問控制包括: (1) 人機(jī)發(fā)起服務(wù)訪問請(qǐng)求; (2)部署在SCADA服務(wù)器上的可信軟件系統(tǒng)截獲此請(qǐng)求; (3) 從請(qǐng)求的第一個(gè)數(shù)據(jù)包中提取主體安全標(biāo)簽; (4) 根據(jù)服務(wù)的端口號(hào)在端口和服務(wù)對(duì)應(yīng)列表中尋找對(duì)應(yīng)的服務(wù)名稱; (5)根據(jù)服務(wù)名稱在客體標(biāo)簽列表找到相應(yīng)的客體標(biāo)簽; (6) 將主體安全標(biāo)簽與客體標(biāo)簽中的權(quán)限值進(jìn)行異或運(yùn)算; (7)如果權(quán)限判定通過,放行數(shù)據(jù)包; (8)此請(qǐng)求的后續(xù)數(shù)據(jù)將直接放行,不在進(jìn)行權(quán)限判定。
【專利摘要】本發(fā)明提供了一種適用于電力系統(tǒng)通用計(jì)算平臺(tái)的可信計(jì)算密碼平臺(tái),所述密碼平臺(tái)包括:可信計(jì)算密碼模塊和可信軟件系統(tǒng);所述可信計(jì)算密碼模塊包括可信度量根、可信存儲(chǔ)根、可信報(bào)告根,是平臺(tái)信任鏈傳遞的起點(diǎn);所述可信軟件系統(tǒng)包括:可信計(jì)算密碼驅(qū)動(dòng)模塊、度量模塊和審計(jì)模塊,為操作系統(tǒng)和應(yīng)用軟件提供使用可信計(jì)算密碼平臺(tái)的接口??尚庞?jì)算密碼模塊為信任根,為可信計(jì)算密碼平臺(tái)的運(yùn)行提供可信環(huán)境,可信軟件系統(tǒng)是可信計(jì)算密碼平臺(tái)功能及服務(wù)實(shí)現(xiàn)的核心,為可信計(jì)算密碼平臺(tái)的管理提供保障。本發(fā)明可為業(yè)務(wù)系統(tǒng)提供靜態(tài)度量、動(dòng)態(tài)度量、白名單和訪問控制等功能,通過對(duì)系統(tǒng)軟件的來(lái)源及運(yùn)行進(jìn)行管理,保證軟件的可信、可識(shí)別和可控。
【IPC分類】G06F21/57
【公開號(hào)】CN105468978
【申請(qǐng)?zhí)枴緾N201510782795
【發(fā)明人】李釗, 高翔, 蘇大威, 霍雪松, 李云鵬, 郭子明, 張昊, 徐曉軼, 王東升, 張 浩, 曹良晶, 王志皓
【申請(qǐng)人】國(guó)網(wǎng)智能電網(wǎng)研究院, 江蘇省電力公司, 國(guó)家電網(wǎng)公司, 國(guó)網(wǎng)冀北電力有限公司, 國(guó)網(wǎng)天津市電力公司, 江蘇省電力公司南通供電公司
【公開日】2016年4月6日
【申請(qǐng)日】2015年11月16日