本發(fā)明涉及信息安全和電力自動化領域，一種基于信任鏈的白名單執(zhí)行系統(tǒng)及執(zhí)行方法。

背景技術：

近年來，黑客活動日益猖獗，特別近年來針對工業(yè)控制系統(tǒng)的信息安全攻擊事件不斷增加，電力監(jiān)控系統(tǒng)作為電力調度控制的大腦中樞，為變配電系統(tǒng)的實時數(shù)據(jù)采集、開關狀態(tài)檢測及遠程控制提供了基礎平臺，其安全性決定整個電力生產(chǎn)和服務的安全可靠性。隨著電力監(jiān)控系統(tǒng)的快速發(fā)展，其面臨的惡意代碼問題也越發(fā)嚴峻。2008年震網(wǎng)病毒給以電力監(jiān)控系統(tǒng)為代表的工控系統(tǒng)敲響了警鐘，2015年烏克蘭停電事件則是第一起對電力基礎設施具有針對性的惡意軟件攻擊事件，這些事件調查結果表明均是黑客利用病毒、木馬等惡意代碼攻擊控制系統(tǒng)造成系統(tǒng)工作時常且難以恢復，給電力基礎設備帶來極大的安全生產(chǎn)危害。

針對當前電力監(jiān)控系統(tǒng)遭受惡意代碼攻擊的現(xiàn)狀，目前常用基于黑名單的技術方案，具體是在場站側的服務器和工作站安裝殺毒軟件，同時在電力監(jiān)控系統(tǒng)邊界處安裝防火墻、加密網(wǎng)關和防病毒網(wǎng)關設備等。但是這些方法存在如下先天的不足：

1)采用黑名單的方法，黑名單容易將“好”的軟件殺掉或者是限制其正常運行。嚴重影響電力監(jiān)控系統(tǒng)的可靠性和功能連續(xù)性

2)殺毒軟件采用黑名單的方法對匹配病毒特征值，對新病毒(利用0day漏洞的病毒)無能為力，無法應對類似“震網(wǎng)事件”、“烏克蘭停電事件”的APT攻擊。

技術實現(xiàn)要素：

為了克服上述現(xiàn)有技術中的不足，本發(fā)明的目的在于，提供一種基于信任鏈的白名單執(zhí)行系統(tǒng)，包括：與電力監(jiān)控主機進行通信連接的白名單授權服務器，設置在電力監(jiān)控主機內的可信程序執(zhí)行模塊；

白名單授權服務器用于對電力監(jiān)控主機構建可信程序執(zhí)行模塊，通過可信程序執(zhí)行模塊執(zhí)行對電力監(jiān)控主機應用程序的啟動、執(zhí)行進行保護，同時利用可信程序執(zhí)行模塊進行策略配置、安全管理、安全審計，確保每次執(zhí)行的程序都是在白名單中注冊過的程序，實現(xiàn)電力監(jiān)控主機程序的啟動、加載和運行的安全可信。

優(yōu)選地，白名單授權服務器包括：可信軟件管理模塊、白名單生成模塊、白名單維護模塊、白名單下發(fā)模塊、白名單撤銷管理模塊、執(zhí)行日志管理模塊以及數(shù)據(jù)庫；

所述可信軟件管理模塊用于通過可信程序執(zhí)行模塊獲取電力監(jiān)控主機內部的軟件、腳本、程序，并對軟件、腳本、程序進行版本、權限、可信性進行認證，確保在電力監(jiān)控主機上運行的軟件、腳本、程序來源于可信的軟件廠商，還用于設置使用者使用電力監(jiān)控主機內部軟件、程序的權限；

所述白名單生成模塊用于對電力監(jiān)控主機的可信軟件、可信腳本、可信程序生成白名單；

所述白名單維護模塊用于對白名單進行增加，修改；

所述白名單下發(fā)模塊用于將白名單提供給電力監(jiān)控主機的可信程序執(zhí)行模塊儲存；

所述白名單撤銷管理模塊用于當電力監(jiān)控主機的可信軟件、可信腳本及可信程序失效或者過期時，白名單撤銷管理模塊將白名單中過期的可信軟件、可信腳本及可信程序進行撤銷管理；

所述執(zhí)行日志管理模塊用于當可信程序執(zhí)行模塊無法在電力監(jiān)控主機匹配到白名單時，可信程序執(zhí)行模塊通過訪問白名單授權服務器獲取白名單；白名單授權服務器接收到訪問消息，將相關操作記錄在日志以供后續(xù)審計；

所述數(shù)據(jù)庫用于儲存白名單授權服務器的數(shù)據(jù)信息。

優(yōu)選地，可信程序執(zhí)行模塊包括：應用配置層、通信層、功能模塊層、底層數(shù)據(jù)層；

所述應用配置層包括：配置管理程序、審計告警程序、掃描程序、白名單處理程序；

所述功能模塊層包括：審計模塊、告警模塊、配置管理模塊；

所述底層數(shù)據(jù)層包括：白名單緩存模塊、證書處理模塊和白名單匹配模塊；

所述通信層用于使應用配置層與功能模塊層進行數(shù)據(jù)交互連通；

掃描程序用于掃描電力監(jiān)控主機內部的軟件、腳本、程序；

所述配置管理程序通過通信層與配置管理模塊進行數(shù)據(jù)交互連通，配置管理程序根據(jù)配置管理模塊的控制，獲取電力監(jiān)控主機內部的軟件、腳本、程序，并將所述軟件、腳本、程序上傳至白名單授權服務器；

所述審計告警程序通過通信層分別與審計模塊和告警模塊進行數(shù)據(jù)交互連通，審計告警程序分別根據(jù)審計模塊和告警模塊的控制，當審計告警程序無法在電力監(jiān)控主機匹配到白名單時，通過訪問白名單授權服務器獲取白名單，同時發(fā)出告警信息；

所述白名單處理程序用于在電力監(jiān)控主機提供白名單的查詢，增加，修改；

所述白名單緩存模塊用于儲存白名單；

白名單匹配模塊用于將電力監(jiān)控主機上運行的軟件、腳本、程序與白名單進行匹配，當電力監(jiān)控主機上運行的軟件、腳本、程序與白名單匹配時，執(zhí)行該軟件、腳本、程序；當運行的軟件、腳本、程序不與白名單匹配時，審計告警程序發(fā)出警告，同時上報白名單授權服務器。

優(yōu)選地，所述白名單生成模塊生成的白名單為一個N元組(N>＝5)，WHITELIST:{ID,name,version,hash,softsize,authority,description}sig_server，白名單為七個字段分別為軟件ID、軟件名、版本號、指紋值、軟件大小、執(zhí)行權限、軟件描述，其中，白名單的指紋值，執(zhí)行權限和整個白名單的簽名是供電力監(jiān)控主機的可信程序執(zhí)行模塊進行匹配和驗證，保證只有與白名單匹配的程序才能執(zhí)行。

優(yōu)選地，白名單下發(fā)模塊包括：白名單推送模塊和白名單搜索模塊；

白名單推送模塊用于定時向或者實時向電力監(jiān)控主機推送白名單；

白名單搜索模塊用于當電力監(jiān)控主機執(zhí)行未在本地白名單內的軟件、腳本、程序時，電力監(jiān)控主機的可信程序執(zhí)行模塊向白名單授權服務器進行主動查詢，授權服務器收到消息后，白名單搜索模塊對白名單庫進行搜索，將搜索結果反饋給電力監(jiān)控主機的可信程序執(zhí)行模塊。

優(yōu)選地，白名單授權服務器還包括：撤銷賬號模塊；

撤銷賬號模塊用于當需要將白名單中的可信軟件、可信腳本及可信程序從該白名單撤銷時，撤銷賬號模塊提供運維人員登錄的撤銷賬戶和口令，運維人員登錄賬戶后，進行撤銷操作。

優(yōu)選地，白名單授權服務器與電力監(jiān)控主機采用電力網(wǎng)絡，或電力調度數(shù)據(jù)網(wǎng)，或以太網(wǎng)進行通信。

一種基于信任鏈的白名單執(zhí)行方法，方法包括：

步驟1：獲取電力監(jiān)控主機內部的軟件、腳本、程序，并將所述軟件、腳本、程序上傳至白名單授權服務器；

步驟2：對獲取的軟件、腳本、程序進行版本、權限、可信性進行認證，并判斷軟件、腳本、程序是否可信；

步驟3：當獲取的軟件、腳本、程序可信時，對電力監(jiān)控主機的可信軟件、可信腳本、可信程序生成白名單；

步驟4：將白名單提供給電力監(jiān)控主機的可信程序執(zhí)行模塊儲存。

優(yōu)選地，步驟4之后還包括：

可信程序執(zhí)行模塊對電力監(jiān)控主機運行的軟件、腳本、程序進行攔截，并獲取加載文件的路徑；

通過文件路徑作為關鍵字，查找到此文件在最后一次進行白名單計算后是否修改過，如果修改過，則重新計算文件的指紋值，如未修改過，則直接通過該路徑在數(shù)據(jù)庫獲取指紋值；

提取出文件指紋值后，首先在白名單緩存模塊中查找文件指紋值，如果找到了文件指紋值，再查看本地緩存文件指紋值是否有效。指紋值有效性判斷是通過將當前緩存指紋的單條版本號和白名單授權服務器當前全局指紋信息的版本號對比得出的；

如果本地有效則直接通過本地緩存來判斷是否可以放行文件加載，否則，向白名單授權服務器請求更新指紋信息，更新到白名單授權服務器，并且將當前全局版本號存儲到數(shù)據(jù)庫的指紋信息中，依據(jù)新的指紋信息判斷是否放行文件加載。

從以上技術方案可以看出，本發(fā)明具有以下優(yōu)點：

利用白名單執(zhí)行系統(tǒng)及執(zhí)行方法，結合白名單授權服務器管理授權審計的功能，以白名單授權服務器為服務中心，對大量電力監(jiān)控主機應用執(zhí)行可信啟動、可信執(zhí)行、可信管理和安全審計等功能，確保只有可信的軟件應用能在主機上運行。

附圖說明

為了更清楚地說明本發(fā)明的技術方案，下面將對描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為基于信任鏈的白名單執(zhí)行系統(tǒng)的整體示意圖；

圖2為白名單授權服務器的模塊示意圖；

圖3為可信程序執(zhí)行模塊的模塊示意圖；

圖4為基于信任鏈的白名單執(zhí)行方法的流程圖；

圖5為基于信任鏈的白名單執(zhí)行方法的實施例流程圖。

具體實施方式

為使得本發(fā)明的發(fā)明目的、特征、優(yōu)點能夠更加的明顯和易懂，下面將運用具體的實施例及附圖，對本發(fā)明保護的技術方案進行清楚、完整地描述，顯然，下面所描述的實施例僅僅是本發(fā)明一部分實施例，而非全部的實施例?；诒緦＠械膶嵤├?，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例，都屬于本專利保護的范圍。

本實施例提供一種基于信任鏈的白名單執(zhí)行系統(tǒng)，如圖1、圖2、圖3所示，包括：與電力監(jiān)控主機進行通信連接的白名單授權服務器1，設置在電力監(jiān)控主機內的可信程序執(zhí)行模塊2；

白名單授權服務器1用于對電力監(jiān)控主機構建可信程序執(zhí)行模塊2，通過可信程序執(zhí)行模塊2執(zhí)行對電力監(jiān)控主機應用程序的啟動、執(zhí)行進行保護，同時利用可信程序執(zhí)行模塊進行策略配置、安全管理、安全審計，確保每次執(zhí)行的程序都是在白名單中注冊過的程序，實現(xiàn)電力監(jiān)控主機程序的啟動、加載和運行的安全可信。這里可以包括多個設置電力監(jiān)控主機通過可信程序執(zhí)行模塊2與白名單授權服務器1機進行通信連接。

白名單、黑名單是相對的一組概念，白名單是指規(guī)則中設置的允許使用的名單列表，其意義是“好的”、“被允許的”；黑名單是指“壞的”、“不被允許的”。應用程序白名單是一組應用程序名單列表，在此列表中的應用程序是允許在系統(tǒng)中運行。

本實施例中，白名單授權服務器1包括：可信軟件管理模塊11、白名單生成模塊12、白名單維護模塊13、白名單下發(fā)模塊14、白名單撤銷管理模塊15、執(zhí)行日志管理模塊16以及數(shù)據(jù)庫17；

所述可信軟件管理模塊11用于通過可信程序執(zhí)行模塊11獲取電力監(jiān)控主機內部的軟件、腳本、程序，并對軟件、腳本、程序進行版本、權限、可信性進行認證，確保在電力監(jiān)控主機上運行的軟件、腳本、程序來源于可信的軟件廠商，還用于設置使用者使用電力監(jiān)控主機內部軟件、程序的權限；

可信軟件管理模塊11對軟件的版本、權限、使用者進行認證，確保在電力監(jiān)控主機上運行的軟件都是來源于可信的軟件廠商，其版本正確，對應使用者的權限準確無誤。

白名單生成模塊12用于對電力監(jiān)控主機的可信軟件、可信腳本、可信程序生成白名單；白名單維護模塊13用于對白名單進行增加，修改；白名單下發(fā)模塊14用于將白名單提供給電力監(jiān)控主機的可信程序執(zhí)行模塊儲存；白名單撤銷管理模塊15用于當電力監(jiān)控主機的可信軟件、可信腳本及可信程序失效或者過期時，白名單撤銷管理模塊將白名單中過期的可信軟件、可信腳本及可信程序進行撤銷管理；執(zhí)行日志管理模塊16用于當可信程序執(zhí)行模塊無法在電力監(jiān)控主機匹配到白名單時，可信程序執(zhí)行模塊通過訪問白名單授權服務器獲取白名單；白名單授權服務器接收到訪問消息，將相關操作記錄在日志以供后續(xù)審計；數(shù)據(jù)庫17用于儲存白名單授權服務器的數(shù)據(jù)信息。

可信程序執(zhí)行模塊2包括：應用配置層21、通信層22、功能模塊層23、底層數(shù)據(jù)層24；

應用配置層21包括：配置管理程序31、審計告警程序32、掃描程序33、白名單處理程序34；應用配置層中包括的程序為可信程序執(zhí)行模塊執(zhí)行的應用程序，是基于功能模塊層所實現(xiàn)的應用程序。功能模塊層23包括：審計模塊35、告警模塊36、配置管理模塊37；功能模塊層23包括的功能模塊是基于應用配置層21在電力監(jiān)控主機實現(xiàn)功能。

底層數(shù)據(jù)層24包括：白名單緩存模塊38、證書處理模塊39和白名單匹配模塊41；通信層22用于使應用配置層21與功能模塊層23進行數(shù)據(jù)交互連通；

掃描程序33用于掃描電力監(jiān)控主機內部的軟件、腳本、程序；其實時對電力監(jiān)控主機內部的軟件、腳本、程序進行掃描，并在預設的時間內通過配置管理模塊將掃描的電力監(jiān)控主機內部軟件、腳本、程序上傳至白名單授權服務器1，使白名單授權服務器中數(shù)據(jù)庫儲存的各個電力監(jiān)控主機內部軟件、腳本、程序與電力監(jiān)控主機自身現(xiàn)有的軟件、腳本、程序相匹配。

所述配置管理程序31通過通信層22與配置管理模塊37進行數(shù)據(jù)交互連通，配置管理程序31根據(jù)配置管理模塊37的控制，獲取電力監(jiān)控主機內部的軟件、腳本、程序，并將所述軟件、腳本、程序上傳至白名單授權服務器；

所述審計告警程序32通過通信層22分別與審計模塊35和告警模塊36進行數(shù)據(jù)交互連通，審計告警程序分別根據(jù)審計模塊和告警模塊的控制，當審計告警程序無法在電力監(jiān)控主機匹配到白名單時，通過訪問白名單授權服務器獲取白名單，同時發(fā)出告警信息；白名單處理程序34用于在電力監(jiān)控主機提供白名單的查詢，增加，修改；白名單緩存模塊38用于儲存白名單；白名單匹配模塊41用于將電力監(jiān)控主機上運行的軟件、腳本、程序與白名單進行匹配，當電力監(jiān)控主機上運行的軟件、腳本、程序與白名單匹配時，執(zhí)行該軟件、腳本、程序；當運行的軟件、腳本、程序不與白名單匹配時，審計告警程序發(fā)出警告，同時上報白名單授權服務器1。證書處理模塊39用于獲取軟件、腳本、程序的軟件證書。

本實施例中，白名單生成模塊12生成的白名單為一個N元組(N>＝5)，WHITELIST:{ID,name,version,hash,softsize,authority,description}sig_server，

白名單為七個字段分別為軟件ID、軟件名、版本號、指紋值、軟件大小、執(zhí)行權限、軟件描述，其中，白名單的指紋值，執(zhí)行權限和整個白名單的簽名是供電力監(jiān)控主機的可信程序執(zhí)行模塊進行匹配和驗證，保證只有與白名單匹配的程序才能執(zhí)行。這三個字段供可信程序執(zhí)行模塊2進行匹配和驗證，保證只有與白名單匹配的程序才能執(zhí)行。

本實施例中，白名單下發(fā)模塊14包括：白名單推送模塊和白名單搜索模塊；

白名單推送模塊用于定時向或者實時向電力監(jiān)控主機推送白名單；白名單搜索模塊用于當電力監(jiān)控主機執(zhí)行未在本地白名單內的軟件、腳本、程序時，電力監(jiān)控主機的可信程序執(zhí)行模塊向白名單授權服務器進行主動查詢，授權服務器收到消息后，白名單搜索模塊對白名單庫進行搜索，將搜索結果反饋給電力監(jiān)控主機的可信程序執(zhí)行模塊。

本實施例中，白名單授權服務器1還包括：撤銷賬號模塊；撤銷賬號模塊用于當需要將白名單中的可信軟件、可信腳本及可信程序從該白名單撤銷時，撤銷賬號模塊提供運維人員登錄的撤銷賬戶和口令，運維人員登錄賬戶后，進行撤銷操作。這樣保證白名單授權服務器1的安全性。

白名單授權服務器與電力監(jiān)控主機采用電力網(wǎng)絡，或電力調度數(shù)據(jù)網(wǎng)，或以太網(wǎng)進行通信。

本發(fā)明還提供一種基于信任鏈的白名單執(zhí)行方法，如圖4所示，方法包括：

S1：獲取電力監(jiān)控主機內部的軟件、腳本、程序，并將所述軟件、腳本、程序上傳至白名單授權服務器；

S2：對獲取的軟件、腳本、程序進行版本、權限、可信性進行認證，并判斷軟件、腳本、程序是否可信；

S3：當獲取的軟件、腳本、程序可信時，對電力監(jiān)控主機的可信軟件、可信腳本、可信程序生成白名單；

S4：將白名單提供給電力監(jiān)控主機的可信程序執(zhí)行模塊儲存。

本方法中，步驟S4還包括，如圖5所示，本方法實施例中，以指紋值作為是否作為軟件、腳本、程序為執(zhí)行的判斷標準。當然也可以采用其他參數(shù)來判斷。

可信程序執(zhí)行模塊對電力監(jiān)控主機運行的軟件、腳本、程序進行攔截，并獲取加載文件的路徑；

通過文件路徑作為關鍵字，查找到此文件在最后一次進行白名單計算后是否修改過，如果修改過，則重新計算文件的指紋值，如未修改過，則直接通過該路徑在數(shù)據(jù)庫獲取指紋值；

提取出文件指紋值后，首先在白名單緩存模塊中查找文件指紋值，如果找到了文件指紋值，再查看本地緩存文件指紋值是否有效。指紋值有效性判斷是通過將當前緩存指紋的單條版本號和白名單授權服務器當前全局指紋信息的版本號對比得出的；

如果本地有效則直接通過本地緩存來判斷是否可以放行文件加載，否則，向白名單授權服務器請求更新指紋信息，更新到白名單授權服務器，并且將當前全局版本號存儲到數(shù)據(jù)庫的指紋信息中，依據(jù)新的指紋信息判斷是否放行文件加載。

這樣，利用白名單執(zhí)行系統(tǒng)及執(zhí)行方法，結合授權服務器管理授權審計的功能，以授權服務器為服務中心，對大量電力監(jiān)控主機應用執(zhí)行可信啟動、可信執(zhí)行、可信管理和安全審計等功能，確保只有可信的軟件應用能在主機上運行。其優(yōu)點如下：

一、具備可信啟動功能，相比于原有可信計算需要安裝安全硬件芯片相比，本方案只需要安裝一個軟件，即可執(zhí)行對應用程序的可信啟動、即待啟動進程必須與白名單匹配成功才能成功啟動。

二、具備可信執(zhí)行功能，對執(zhí)行的進程執(zhí)行全程管控功能，即通過實時度量、實時驗證的方式，確保執(zhí)行程序在執(zhí)行過程中的特征與白名單是匹配的、可信的。

三、具備可信管理的功能。利用本地和遠程兩個層面執(zhí)行對電力應用的安全管理，即本地對應用程序進行可信管理，同時遠程的授權服務器對本地的可信程序執(zhí)行模塊進行管理，運維人員只需要在授權服務器進行合理配置，就可以將配置下發(fā)到各主機上的可信程序執(zhí)行模塊。

四、安全審計。利用可信程序執(zhí)行模塊對電力主機上的應用進行安全審計；同時利用授權服務器對可信程序執(zhí)行模塊進行安全審計，通過層層審計的方式確保授權服務器、可信程序執(zhí)行模塊、電力主機、電力應用的安全。

五、提供應用執(zhí)行可信啟動、可信執(zhí)行、可信管理和安全審計等功能，且配置簡單，適用于系統(tǒng)運維人員對電力監(jiān)控系統(tǒng)的安全管理和安全控制。

本說明書中各個實施例采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似部分互相參考即可。

對所公開的實施例的上述說明，使本領域專業(yè)技術人員能夠實現(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。