【技术实现步骤摘要】
基于TCM芯片的PLC可信度量方法、系统及度量装置
本专利技术涉及PLC安全领域,尤其涉及一种基于TCM芯片的PLC可信度量方法、系统及度量装置。
技术介绍
近年来国际竞争加剧,将关键核心技术掌握在自己手中,能够从根本上保障国家经济安全、国防安全和其他安全。随着国内密码学的发展进步,在PLC(ProgrammableLogicController,可编程逻辑控制器)领域,国内的TCM(TrustedCryptographyModule,可信密码模块)芯片已经能够完全替代国外的TPM(TrustedPlatformModule,可信赖平台模块)芯片,能够达到自主可控的目标效果,对密码设备进行国产化替代是一种可行的手段。但是,替换为国内自主密码设备TCM后,如何应用国内自主密码设备TCM构建PLC动态可信度量,提高PLC运行过程中用户控制逻辑的安全性,是当前需要解决的技术问题。
技术实现思路
本专利技术实施例提供一种基于TCM芯片的PLC可信度量方法、系统及度量装置,能够对PLC程序运行过程进行监控,...
【技术保护点】
1.一种基于TCM芯片的PLC可信度量方法,其特征在于,所述方法应用于可信密码模块TCM芯片,所述方法包括:/nS1、拦截需要运行的可编程逻辑控制器PLC程序,查询所述PLC程序是否属于预存的可信白名单,如果属于则执行S2,如果不属于则拒绝执行所述PLC程序;/nS2、查询存储于本地TCM寄存器的所述PLC程序的完整性基准值;/nS3、基于所述TCM芯片对所述PLC程序进行哈希计算得到度量值,比较所述度量值与所述完整性基准值是否一致,如果一致则运行所述PLC程序,如果不一致则执行S4;/nS4、查询用户管理权限,如果用户有管理员权限,则计算得到hash值,应用所述hash值...
【技术特征摘要】
1.一种基于TCM芯片的PLC可信度量方法,其特征在于,所述方法应用于可信密码模块TCM芯片,所述方法包括:
S1、拦截需要运行的可编程逻辑控制器PLC程序,查询所述PLC程序是否属于预存的可信白名单,如果属于则执行S2,如果不属于则拒绝执行所述PLC程序;
S2、查询存储于本地TCM寄存器的所述PLC程序的完整性基准值;
S3、基于所述TCM芯片对所述PLC程序进行哈希计算得到度量值,比较所述度量值与所述完整性基准值是否一致,如果一致则运行所述PLC程序,如果不一致则执行S4;
S4、查询用户管理权限,如果用户有管理员权限,则计算得到hash值,应用所述hash值更新所述完整性基准值;如果用户无管理员权限,则拒绝执行所述PLC程序,并对所述PLC程序进行可信恢复。
2.根据权利要求1所述的方法,其特征在于,S1包括:
基于TCM的HASH算法将需要的执行文件加入所述可信白名单;
调用TCM的HASH算法对所述PLC程序执行文件进行度量计算,得到对应的文件预期值并存储;
当所述PLC程序需要运行时,如果所述PLC程序执行文件不在可信白名单中,则禁止执行所述PLC程序;
基于Linux的HOOK机制在所述PLC程序执行过程中设置HOOK点,在HOOK点对可执行文件进行哈希运算得到度量值,将所述度量值与所述预期值的比对,如果比对失败则禁止执行所述PLC程序。
3.根据权利要求1或2所述的方法,其特征在于,根据所述PLC程序每一页内容进行度量,计算得到所述完整性基准值。
4.根据权利要求1或2所述的方法,其特征在于,所述基于TCM芯片对所述PLC程序进行哈希计算得到度量值包括:
基于TCM芯片应用TCMCOS对所述PLC程序每一页内容进行哈希计算得到度量值。
5.根据权利要求1或2所述的方法,其特征在于,所述查询用户管理权限包括:
获取用户提供的口令,配合TCM对用户进行密码和绑定关系验证,确定用户管理权限;
或者,获取用户生物特征,基于所述生物特征应用TCM识别用户身份,确定用户管理权限;
或者,基于USBkey识别用户身份,应用TCM确定用户管理权限。
6.根据权利要求1或2所述的方法,其特征在于,所述基于TCM芯片对所述PLC程序进行哈希计算得到度量值包括:
根据Hi=H(Hprev,Ni)对所述PLC程序进行哈希计算得到第一hash值,其中H代表哈希计算函数,Hi代表度量值,Hprev代表前一轮的度量值,Ni代表所述PLC程序。
7.一种基于TCM芯片的PLC可信度量系统,其特征在于,包括基于TCM构建的用户安监模块、基于TCM构建的内核度量模块;
所述用户安监模块包括:
度量对象收集单元,用于收集所述PLC程序的用户...
【专利技术属性】
技术研发人员:于治楼,王塞塞,
申请(专利权)人:山东超越数控电子股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。