第一,调研了可信计算3.0领域相关理论和技术。结合工业控制系统设备实际安全需求和性能,选择符合我国国家标准的可信根作为系统可信功能的起点,并以可信度量和身份认证作为主要技术参考,确定本文的研究路线。
第二,实现了基于TPCM的可信工控上位机。该上位机使用非易失性存储(NV)来替代PCR的功能,实现了关键文件哈希值基准库构建和完整性校验两个算法,包括三段式哈希计算、对称加密与解密、按偏移量读取与存入NV五个子函数。基准库加密并存储在与主系统物理隔离的空间内,并借由TPCM的可信存储功能解决了关键数据的保护问题。将工控编程软件的启动文件纳入了完整性校验算法,有效确保控制程序不受篡改。在完整性校验过程中,通过格式化输出和循环的方式解决了哈希值自动化比较问题。
第三,实现了基于国密算法的可信嵌入式控制装置。该装置由GmSSL国密算法工具箱提供密码算法,实现了关键文件的完整性度量机制和身份认证机制。在完整性度量机制方面,设计了面向系统启动文件和控制程序的完整性校验算法,能主动度量数据的完整性。针对基准库直接存储在主系统上容易被窃取和篡改的问题,通过加密算法和数字签名机制来对基准库进行完整性校验和身份认证,有效改善了这一问题。在身份认证机制方面,还基于数字证书设计了从上位机获取控制程序时的身份认证和程序校验机制,用于验证控制程序的来源可靠性。
参考文献(略)
