[发明专利]基于主动免疫机理的工业控制设备安全防护系统和方法

权利要求书

1.基于主动免疫机理的工业控制设备安全防护方法，其特征在于，通过可信网络连接初始化、可信平台评估以及可信平台决策控制，实现工业控制设备安全防护；

所述可信网络连接初始化，通过节点、边界网关和安全管理中心进行可信连接的发起、身份鉴别与密钥交换，包括以下步骤：

2a）节点的连接申请子模块a发送连接申请消息给边界网关的连接应答子模块；

2b）连接应答子模块发送认证激活消息给节点的身份鉴别请求子模块；

2c）身份鉴别请求子模块发送身份认证请求包给边界网关的证书鉴别请求子模块；

2d）证书鉴别请求子模块从身份鉴别请求子模块发来的身份认证请求包中提取证书后发送给安全管理中心的身份鉴别子模块；

2e）身份鉴别子模块根据证书完成对节点的身份认证后发送证书认证应答给边界网关的证书鉴别请求子模块；

2f）边界网关的证书鉴别请求子模块进行证书合法性鉴别；当鉴别通过时，边界网关的证书鉴别请求子模块向边界网关的密钥管理子模块b发送会话密钥申请消息；

2g）密钥管理子模块b收到会话密钥申请消息后，下发会话密钥以及会话密钥封装包；

2h）证书鉴别请求子模块获取会话密钥，将所获取会话密钥发送给边界网关的策略部署子模块b，同时将身份认证应答信息和会话密钥封装包发送给节点的身份鉴别请求子模块；

2i）边界网关的策略部署子模块b将会话密钥发送给边界通信加密机制模块，同时节点的身份鉴别请求子模块将会话密钥封装包发送给节点的密钥管理子模块a；

2j）节点的密钥管理子模块解密会话密钥封装包，获取会话密钥并将会话密钥发回给节点的身份鉴别请求子模块；

2k）身份鉴别请求子模块将会话密钥发送给节点的策略部署子模块a；

2l）节点的策略部署子模块a将会话密钥发送给节点通信加密机制模块，用于节点通信加密机制模块基于该会话密钥实现节点的网络通信加密；

所述可信平台评估，包括以下步骤：

3a）边界网关的评估管理子模块b收到网络访问控制者发送的评估激活消息；

3b）边界网关的评估管理子模块b把评估激活消息发送给节点的评估管理子模块a；

3c）节点的评估管理子模块a向完整性度量子模块a发送完整性请求消息；

3d）节点的完整性度量子模块a根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块a；

3e）节点的可信报告子模块a生成可信报告，并发送给边界网关的可信报告子模块b；

3f）边界网关可信报告子模块b向完整性度量子模块b发送完整性请求消息；

3g）边界网关完整性度量子模块b根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块b；

3h）可信报告子模块b生成可信报告，并发送给安全管理中心的可信评估子模块；

3i）可信评估子模块从可信报告中提取出完整性报告消息，并发送给安全管理中心的完整性校验子模块；

3j）完整性校验子模块根据可信基准库对照完整性报告，得出完整性校验结果即评估校验结果，并发送给可信评估子模块；

3k）可信评估子模块将评估校验结果发送给评估报告子模块；

3l）评估报告子模块对评估校验结果签名，将评估校验结果和签名组成评估报告，并将评估报告发送给边界网关的可信验证子模块b；

3m）边界网关的可信验证子模块b验证评估报告的完整性，确认无误后节点评估报告发送给评估管理子模块b，同时将评估报告中评估边界网关可信性的部分发送给发起可信连接的节点；

3n）节点的可信验证子模块a确认评估报告可信性后，将评估结果转发给评估管理子模块a；

所述可信平台决策控制，包括以下步骤：

4a）安全管理中心的评估报告子模块将评估校验结果发送给访问控制策略管理子模块；

4b）访问控制策略管理子模块根据评估结果确定边界的访问控制策略和节点的访问控制策略，并将生成的边界和节点的访问控制策略发送给策略签名子模块；

4c）策略签名子模块对收到的边界的访问控制策略和节点的访问控制策略签名后，分别形成边界的访问控制策略消息和节点的访问控制策略消息，发回给访问控制策略管理子模块；

4d）访问控制策略管理子模块将边界访问控制策略消息和节点访问控制策略消息发送给边界网关的访问控制策略管理子模块b；

4e）边界网关访问控制策略管理子模块b将节点访问控制策略消息发送给节点的访问控制策略管理子模块a，并将边界访问控制策略消息发送给边界网关的可信验证子模块b；

4f）边界网关的可信验证子模块b根据边界访问控制策略消息的签名验证边界访问控制策略消息的完整性，确认完整性后发回给边界网关的访问控制策略管理子模块b；节点的访问控制策略管理子模块a将收到的节点访问控制策略消息发送给节点的可信验证子模块a；

4g）边界网关的访问控制策略管理子模块b将验证后的边界访问控制策略消息部署到边界访问控制机制模块中；节点的可信验证子模块a则验证节点访问控制策略消息的完整性，确认完整性后将其发回给节点的访问控制策略管理子模块a；

4h）节点访问控制策略管理子模块a将验证后的节点访问控制策略消息部署到节点访问控制机制模块中。

2.基于主动免疫机理的工业控制设备安全防护系统，其特征在于，包括边界网关、节点和安全管理中心：

所述边界网关包括：

连接应答子模块，用于接收节点的连接申请子模块发来的连接申请消息，并发送认证激活消息给节点的身份鉴别请求子模块；

证书鉴别请求子模块，用于从节点发来的身份认证请求包中提取证书后发送给安全管理中心；收到证书认证应答后进行证书合法性鉴别；当鉴别通过时，向密钥管理子模块b发送会话密钥申请消息；获取秘钥管理子模块b的会话密钥，将所获取会话密钥发送给策略部署子模块b，同时将身份认证应答信息和会话密钥封装包发送给节点的身份鉴别请求子模块；

密钥管理子模块b，用于收到会话密钥申请消息后，下发会话密钥以及会话密钥封装包给证书鉴别请求子模块；

策略部署子模块b，用于将会话密钥发送给边界通信加密机制模块，形成通信加密规则，并通知节点或者边界网关应用该通信加密规则；

可信报告子模块b，用于向完整性度量子模块b发送完整性请求消息；生成可信报告，并发送给安全管理中心的可信评估子模块；

完整性度量子模块b，用于根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块b；

可信验证子模块b，用于验证评估报告的完整性，确认无误后将评估报告发送给评估管理子模块b，同时将评估报告中评估边界网关可信性的部分发送给发起可信连接的节点；根据边界访问控制策略签名验证边界访问控制策略消息的完整性，确认完整性后发回给访问控制策略管理子模块b；

评估管理子模块b，用于收到网络访问控制者发送的评估激活消息，并把评估激活消息发送给节点的评估管理子模块a；

访问控制策略管理子模块b，用于将来自安全管理中心的节点访问控制策略消息发送给节点的访问控制策略管理子模块a，并将边界访问控制策略消息发送给可信验证子模块b；将验证后的边界访问控制策略消息部署到边界访问控制机制模块中；

所述节点包括：

连接申请子模块，用于发送连接申请消息给边界网关的连接应答子模块；

身份鉴别请求子模块，用于发送身份认证请求包给边界网关的证书鉴别请求子模块；将会话密钥封装包发送给密钥管理子模块a；将会话密钥发送给策略部署子模块a；

密钥管理子模块a，用于解密会话密钥封装包，获取会话密钥并将会话密钥发回给身份鉴别请求子模块；

策略部署子模块a，用于将会话密钥发送给节点通信加密机制模块，使节点通信加密机制模块基于该会话密钥实现节点的网络通信加密；

评估管理子模块a，用于向完整性度量子模块a发送完整性请求消息；形成通信加密规则，并通知节点或者边界网关应用该通信加密规则；

完整性度量子模块a，用于根据完整性请求消息生成完整性报告消息，并将其发送给可信报告子模块a；

可信报告子模块a，用于生成可信报告，并发送给边界网关的可信报告子模块b；

可信验证子模块a，用于接收边界网关的可信验证子模块b发来的评估报告中评估边界网关可信性的部分，并确认评估报告可信性后，将评估结果转发给评估管理子模块a；验证节点访问控制策略消息的完整性，确认完整性后将其发回给访问控制策略管理子模块a；

访问控制策略管理子模块a，用于将收到的节点访问控制策略消息发送给可信验证子模块a；将验证后的节点访问控制策略消息部署到节点访问控制机制模块中；

所述安全管理中心包括：

身份鉴别子模块，用于根据证书完成对节点的身份认证后发送证书认证应答给边界网关的证书鉴别请求子模块；

可信评估子模块，用于从边界网关可信报告子模块b发来可信报告中提取出完整性报告消息，并发送给完整性校验子模块；根据完整性校验结果得到评估校验结果，并发送给评估报告子模块；

完整性校验子模块，用于根据可信基准库对照完整性报告消息，得出完整性校验结果即评估校验结果，并发送给可信评估子模块；

评估报告子模块，用于对评估校验结果签名，将评估校验结果和签名组成评估报告，并将评估报告发送给边界网关的可信验证子模块b；将评估校验结果发送给访问控制策略管理子模块c；

访问控制策略管理子模块c，用于根据评估结果确定边界和节点的访问控制策略，并将生成的访问控制策略发送给策略签名子模块；将边界访问控制策略消息和节点访问控制策略消息发送给边界网关的访问控制策略管理子模块b；

策略签名子模块，用于对收到的访问控制策略签名后发回给访问控制策略管理子模块c。