[发明专利]一种基于TPM的Modbus/TCP协议的安全增强方法

说明书

一种基于TPM的Modbus/TCP协议的安全增强方法属于工业控制领域和信息技术领域。工业控制系统的安全关系到国家安全。现有的安全方案中，并没有从根本上解决通信的安全认证问题，存在客户机、服务器被冒充及密钥窃取的问题。本发明引入可信计算思想，为设备增加可信计算模块(TPM)，用TPM的身份认证密钥保证设备身份可信，设备操作系统及组态软件的度量信息保证设备的状态可信性。在可信服务器的参与下，完成双方的身份和状态认证。在协议格式上增加了Hash Item，保证报文的完整性。TPM的绑定密钥及授权数据PCR保证密钥Kms生成过程中的安全性，用HMAC及密钥Kms保证通信过程中双方身份的认证性。

技术领域

本发明属于工业控制领域和信息技术领域，涉及一种工控系统中常用的通信协议Modbus/TCP的安全增强方法。

背景技术

工业控制系统广泛应用于电力、化工、油气开采、交通运输等国家关键基础设施领域，因而工业控制系统的安全关系到国家安全。近年来，随着工业以太网技术的快速发展，TCP/IP等互联网技术被引入到工业控制系统中。在将TCP/IP技术的安全威胁引入到工业控制系统中的同时，破坏了工业控制系统的封闭性。将工业控制系统中广泛使用的私有协议的设计和实现中的漏洞暴露给攻击者，给工业控制系统带来了巨大的威胁。

工业控制网络与我们的传统IT网络存在着巨大差异。工业控制系统一般情况下拥有固定数量的设备，可预测的通信流及私有通信协议，最重要的是高可用性需求。由于工业控制系统网络的特殊性，传统的IT安全保护机制是无效的。广泛部署的工业控制系统私有协议如：DNP3、Modbus、Modbus/TCP中没有提供安全控制，给攻击者提供了较多可以利用的漏洞，如Modbus/TCP中无认证性，则攻击者只要接入网络就可以发送合法的Modbus报文，进而篡改控制器中寄存器中的参数或者线圈状态，造成系统故障。协议缺乏完整性，攻击者可以篡改报文。协议缺乏新鲜性，攻击者可以将窃听到的报文重新发送到网络中引起系统故障。协议缺乏加密，地址和命令信息明文传输容易被攻击者窃听。当前针对Modbus/TCP协议安全增强的研究主要有两个方向：一是将安全增强机制部署在网关，二是将安全增强机制部署在终端设备上。现有的安全方案中，并没有从根本上解决通信中的安全认证问题，存在客户机、服务器被冒充及密钥窃取的问题。

发明内容

为了解决上述问题，发明了一种安全增强的Modbus/TCP协议。此协议引入可信计算思想，为设备增加可信计算模块(TPM)，用TPM的身份认证密钥保证设备身份可信，设备操作系统及组态软件的度量信息保证设备的状态可信性。在可信服务器的参与下，完成双方的身份和状态认证。在协议格式上增加了Hash Item，保证报文的完整性。TPM的绑定密钥及授权数据PCR保证密钥Kms生成过程中的安全性，用HMAC及密钥Kms保证通信过程中双方身份的认证性。

本发明的技术方案如下：

本安全方案中，设备中均增加可信平台模块(TPM)，增加了TPM的设备称为可信设备，设备在TPM基础上能够进行可信存储、组态软件和OS关键信息的可信度量。利用TCG软件栈的相关函数获取设备状态信息相关的PCR值，PCR值的安全是由TPM负责的。TPM提供进行身份认证和状态认证的基础，工业控制系统中增加了可信服务器(AS)为通信双方提供认证基础。可信服务器(AS)的作用是对客户机、服务器(可信设备)终端身份和状态进行验证，然后定期轮询工业控制系统中各可信设备，获取其身份和系统状态信息，维护可信设备信息白名单。

在本文的安全模型中，应用可信计算的思想保证设备的认证性，包括两方面的认证：设备身份认证和设备状态认证。

身份认证由TPM的身份认证密钥提供，身份认证密钥是TPM唯一的背书密钥的代替物，是不可迁移的。即身份认证密钥是与TPM绑定的，可保证TPM不被冒充。因此身份认证密钥可以代表TPM的终端身份，并且保证可信设备不被冒充。