[发明专利]对核电DCS工程师站进行保护的可信计算应用方法

权利要求书

1.对核电DCS工程师站进行保护的可信计算应用方法，其特征在于，其包括如下步骤：

步骤S1，根据通用PC框架，构建可信根功能层，并通过所述可信根功能层的可信平台控制模块TCPM触发执行核电DCS工程师站对应的BIOS代码，从而实现核电设备的正常启动；

步骤S2，根据预设操作系统和预设应用软件，构建可信系统功能层，并通过所述可信系统功能层与所述可信平台控制模块TCPM进行相应的安全策略交互与实施，从而实现对所述核电设备运行状态的安全审计；

步骤S3，根据预设应用白名单，构建可信服务功能层，并通过所述可信服务功能层对所述核电DCS工程师站进行接入方可信度管理和密钥认证管理，从而识别与防御对所述核电DCS工程师站的攻击；

其中，在所述步骤S2中，根据预设操作系统和预设应用软件，构建可信系统功能层具体包括：根据以Linux安全内核为核心形成的操作系统和若干图像处理应用软件与若干数据计算应用软件，构建形成所述可信系统功能层；

在所述步骤S2中，通过所述可信系统功能层与所述可信平台控制模块TCPM进行相应的安全策略交互与实施，从而实现对所述核电设备运行状态的安全审计具体包括：

步骤S201，指示所述可信系统功能层获取来自所述可信平台控制模块TCPM对所述核电DCS工程师站监测而形成的运作可信度量，并识别所述运作可信度量包含的命令函数；

步骤S202，根据所述命令函数，指示所述可信系统功能层从预设安全策略函数集合中调用相应的安全策略函数，并将调用的安全策略函数嵌入到所述可信系统功能层中包含的各个系统功能模块中；

根据所述命令函数，指示所述可信系统功能层从预设安全策略函数集合中调用相应的安全策略函数，并对所述安全策略函数进行策略仲裁处理，以此确定所述安全策略函数自身针对的数据类型，再根据仲裁确定的数据类型，将调用的安全策略函数嵌入到相应的系统功能模块中；所述可信系统功能层中包含的系统功能模块分为硬件相关功能模块和软件相关功能模块；

步骤S203，指示每一个所述系统功能模块执行嵌入的安全策略函数，以使所述系统功能模块对接收到的所述核电设备运行状态对应的运行数据进行安全审计；

在所述步骤S3中，根据预设应用白名单，构建可信服务功能层具体包括：

根据所述核电DCS工程师站对应的历史应用程序信息，将历史未出现被攻击的应用程序划入到所述预设应用白名单，并构建针对所述预设应用白名单包含的每一个应用程序的可信服务功能层；

在所述步骤S3中，通过所述可信服务功能层对所述核电DCS工程师站进行接入方可信度管理和密钥认证管理，从而识别与防御对所述核电DCS工程师站的攻击具体包括：

步骤S301，通过所述可信服务功能层对应预设应用白名单包含的应用程序与所述核电DCS工程师站进行数据交互；

步骤S302，通过所述应用程序对来自所述核电DCS工程师站的数据进行接入方可信度管理和密钥认证管理，以此确定来自所述核电DCS工程师站的数据是否满足预设可信度阈值条件和密钥认证条件，从而识别与防御对所述核电DCS工程师站的攻击。

2.根据权利要求1所述的对核电DCS工程师站进行保护的可信计算应用方法，其特征在于：

在所述步骤S1中，根据通用PC框架，构建可信根功能层具体包括：根据通用PC框架，构建可信根功能层对应的硬件平台，其中，所述硬件平台包括运算处理模块和可信平台控制模块TCPM，所述运算处理模块通过USB接口与所述可信平台控制模块TCPM通信连接，所述运算处理模块包括CPU、芯片组和外设接口。