[发明专利]基于SGX软件防护扩展指令的工控白名单管理系统及方法

权利要求书

1.一种基于SGX软件防护扩展指令的工控白名单管理系统，其特征在于，包括：

SGX软件防护扩展指令加密模块，基于SGX软件防护扩展指令生成可信空间，并生成用于验证所述可信空间访问权限的访问密钥；所述可信空间用于存储白名单数据及运行白名单管理模块、身份认证模块；

查询处理模块，运行于可信空间外，对工控监测系统发出的白名单数据查询请求消息进行解析并发送给白名单管理模块；接收查询结果并返回给工控监测系统；

更新处理模块，运行于可信空间外，对系统管理员发出的白名单更新请求消息进行解析并发送给身份认证模块；接收更新结果并返回给系统管理员；

身份认证模块，运行于可信空间内，对发出白名单更新请求消息的系统管理员进行身份信息验证，并将验证结果和白名单更新请求发送给白名单管理模块；

白名单管理模块，运行于可信空间内，维护可信空间内的白名单数据，并执行相应的查询与更新操作。

2.根据权利要求1所述的基于SGX软件防护扩展指令的工控白名单管理系统，其特征在于，所述的SGX软件防护扩展指令加密模块包括：

用户空间，包括处理空间和可信空间；所述处理空间用于加载生成白名单管理模块、身份认证模块以及二者的证书信息；所述可信空间用于存储白名单数据及运行白名单管理模块、身份认证模块；

SGX驱动器，通过对白名单管理模块、身份认证模块以及二者的证书信息进行测量，为白名单管理模块、身份认证模块以及二者的证书信息分配可信空间，并将二者的证书信息传递给SGX硬件处理器；

SGX硬件处理器，对白名单管理模块和身份认证模块的证书信息、可信空间的完整性进行验证，根据白名单管理模块和身份认证模块证书的哈希值以及SGX硬件处理器特征数据的哈希值生成可信空间的访问密钥，通过访问密钥对可信空间进行加密。

3.一种基于SGX软件防护扩展指令的工控白名单管理方法，其特征在于，包括：

（1）对工控白名单管理系统进行初始化，包括：

（1-1）启动各个需要运行白名单管理系统的工控设备，执行自检程序；执行自检程序包括：

（1-1a）检查工控设备的硬件状况，若工控设备不支持SGX软件防护扩展指令，则终止后续程序；

（1-1b）检查工控设备是否存在内部错误，若无内部错误则进入下一步，否则执行自动修复；若自动修复无效则发出警报并请求人工处理

（1-2）完成自检后关闭各个工控设备的网络功能；

（1-3）运行工控白名单管理系统，通过SGX软件防护扩展指令加密模块创建可信空间，包括：

（1-3a）生成白名单管理模块、身份认证模块的证书，将白名单管理模块、身份认证模块以及二者的证书信息一起上载到处理空间中；

（1-3b）通过SGX驱动器对上载的白名单管理模块、身份认证模块以及二者的证书信息进行参数测量，为可信空间分配地址空间和内存页，同时获取白名单管理模块和身份认证模块的证书信息并传递给SGX硬件处理器；

（1-3c）SGX驱动器根据测量的参数创建可信空间，并将白名单管理模块、身份认证模块复制到可信空间中，之后删除处理空间中的数据；

（1-3d）SGX硬件处理器根据白名单管理模块和身份认证模块证书的哈希值以及SGX硬件处理器特征数据的哈希值生成可信空间的访问密钥，通过访问密钥对可信空间进行加密；

（1-4）运行与工控白名单管理系统进行交互的工控监测系统；

（1-5）运行其他工控软件，打开工控设备的网络功能，完成工控白名单管理系统的初始化；

（2）系统管理员根据工控系统中的可信设备名单生成白名单数据并导入可信空间中，包括：

（2-1）系统管理员根据工控系统中的可信设备名单生成白名单数据，并进行备份；

（2-2）在系统管理员操作的客户端与工控白名单管理系统之间建立加密信道；

（2-3）系统管理员根据白名单数据和系统管理员的身份认证信息生成白名单更新请求消息，通过加密信道发送给更新处理模块；

（2-4）更新处理模块对更新请求消息进行解析，分离出白名单数据以及系统管理员的身份认证信息，发送给身份认证模块；

（2-5）身份认证模块对系统管理员的身份认证信息进行检查匹配，确认系统管理员的身份认证信息有效后将白名单数据发送给白名单管理模块，否则终止后续流程并返回异常；

（2-6）白名单管理模块将白名单数据导入可信空间内，并向更新处理模块返回导入结果；

（2-7）更新处理模块根据导入结果生成导入反馈消息，并发送给系统管理员；

（3）工控监测系统通过工控白名单管理系统对白名单数据进行查询操作；系统管理员根据需要通过工控白名单管理系统对白名单数据进行更新操作；

工控监测系统通过工控白名单管理系统对白名单数据进行查询操作，包括：

（ⅰ）工控监测系统根据监测内容生成白名单查询请求消息，并传递给查询处理模块；

（ⅱ）查询处理模块接收查询请求消息并对其内容进行解析，分离出查询内容并发送给白名单管理模块；

（ⅲ）白名单管理模块接收查询内容后，对可信空间内的白名单数据进行查询，并向查询处理模块返回查询结果；

（ⅳ）查询处理模块根据查询结果生成查询反馈消息，并发送给工控监测系统；

系统管理员通过工控白名单管理系统对白名单数据进行更新操作，包括：

（Ⅰ）系统管理员根据工控系统中可信设备名单的变动情况生成白名单更新信息，并进行备份；

（Ⅱ）在系统管理员操作的客户端与工控白名单管理系统之间建立加密信道；

（Ⅲ）系统管理员根据白名单更新信息和系统管理员的身份认证信息生成白名单更新请求消息，通过加密信道发送给更新处理模块；

（Ⅳ）更新处理模块对更新请求消息进行解析，分离出白名单更新数据以及系统管理员的身份认证信息，发送给身份认证模块；

（Ⅴ）身份认证模块对系统管理员的身份认证信息进行检查匹配，确认系统管理员的身份认证信息有效后将白名单更新数据发送给白名单管理模块，否则终止后续流程并返回异常；

（Ⅵ）白名单管理模块根据白名单更新数据对可信空间内的白名单数据进行更新，并向更新处理模块返回更新结果；

（Ⅶ）更新处理模块根据更新结果生成更新反馈消息，并发送给系统管理员。

4.根据权利要求3所述的基于SGX软件防护扩展指令的工控白名单管理方法，其特征在于，以安全套接层为基础建立加密信道。