温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
TPCM
轻量型
安全
可信
启动
方法
年第期 的轻量型安全可信启动方法张翔,王元强,聂云杰,杨晓林,赵华,陈民,(南瑞集团有限公司(国网电力科学研究院有限公司),南京 ;南京南瑞信息通信科技有限公司)基金项目:南京南瑞信息通信科技有限公司科技项目基于人工智能技术的可定制化智能监测终端研发与应用()。摘要:为保证电力系统嵌入式装置能够安全可信启动,提出了一种基于可信平台控制模块()的轻量型可信启动方法。以 中固化的 作为硬件可信根,上电之后优先于 启动,挂起 复位信号,成功验证 完整性后,解除复位并启动,并通过增加安全用户、设置密码保护和过滤相关指令的方法加强 管理,同时利用签名及加密技术对内核进行完整性校验,建立一条从装置上电开机到内核启动的信任链。该方法利用 芯片的安全可靠性,通过硬件加密方法实现密钥的保护,保证整条启动链的安全可信。该方法已在电力系统中的某些智能监测终端中应用。关键词:;可信计算;嵌入式 ;签名技术中图分类号:文献标识码:,(),;,):,(),:;引言在传统电网信息安全体系面对风险时,处理的核心思路是对网络环境进行安全分区后强化边界层面的防护,目前已有多种用于保障系统安全的技术,比如安全防火墙、系统访问控制和入侵检测技术等,总体上,能够较为有效地应对病毒和普通网络攻击,但是这些技术都有一个共同特征 只能提高系统应用层的安全性。一个系统能够安全稳定运行的前提是系统本身就是安全的,如果在启动之前系统就被篡改或者破坏,那么基于这个系统而建立的任何安全策略和机制都无法确保系统是可信的。可信计算技术是解决计算环境不可信、信息安全缺乏深度保障等问题的重要手段之一,可信计算在运算的同时进行安全防护,能够为系统提供安全免疫能力。可信 主要考虑通过备份等机制增强系统可靠性,它是在系统中添加冗余,再通过一个实现容错算法的层来实现;可信 基于可信平台模块()等可信根,实现一个软硬件结合的被动组件,向系统硬件、操作系统和应用提供可信调用接口,系统可以使用这些接口实现特定的可信功能,能够对远端实体进行可信验证。这两种可信技术有两个缺陷:第一,被动可信,可信部件是被调用者,存在很多局限性;第二,验证的数据不足,无法保证所有已知的、可信的实体都被验证。国内,由沈昌祥院士主导提出的可信 属于主动免疫可信,是我国在网络安全领域长期研究之后提出的一种系统化的实现安全可信的方法,这一方法其核敬请登录网站在线投稿()年第期 心特点为构造计算部件和安全部件分离的双系统体系架构,安全部件构建完整的信任链条以保证其自身可信,通过安全部件对计算部件主动监控实现系统流程的可控,通过主动运作的安全部件来支撑对系统安全的管理。这一方法具有通用性,可以实现系统的安全可信。基本原理在嵌入式系统中,确保启动文件的可信性是系统正常启动和稳定运行的前提。本文提出的基于 的轻量型可信启动方法采用了可信 的思想,可信模块与主板构成了双体系架构,以 硬件基础建立系统可信根,并建立一条从硬件本身、引导程序、操作系统及应用程序的信任链,每启动一个实体,都要保证前一个启动实体是可信的,通过这种层级之前信任链的传递来保证整个系统的可信性。本文所设计的基于 的轻量型可信启动方法,系统整体架构如图所示。在硬件架构中增加 模块,该模块输出复位信号,与复位芯片共同控制 复位信号。模块支持 、等多种接口协议,适配性较强;内部集成密码算法服务及密钥管理等功能,支撑对内核、安全操作系统及应用程序的校验和监控;此外,还集成了 寄存器,用于存储相关文件的哈希值。图整体架构图系统信任链的建立及系统的可信启动过程如图所示,系统上电,模块输出低电平钳住 复位信号,使得 处于复位挂起状态;可信平台控制模块启动,运行内部固化 (可信根)程序,通过 接口读取 中存储的 代码并进行校验,通过则启动 ;通过在 中增加度量代码,在 引导内核镜像启动时先进行完整性度量,度量通过则启动内核;进入系统之后同样根据安全策略使用 模块进行文件系统和相关应用程序的完整性度量。图信任链的传递同时,对引导程序()做相应的裁剪,封禁所有对外接口,降低装置在上电启动引导阶段攻击者恶意利用对外接口修改引导程序的安全风险。启动文件的安全加固 引导程序的安全加固在使用源码编译生成 启动文件后,通过外部工具对其进行安全加固,生成新的启动文件如图所示。图 生成通过 引擎对 进行哈希运算,然后通过密码算法引擎生成一组非对称密钥,并对哈希值进行签名,将签名值与 的二进制源文件重新组包生成新的 文件作为最终的启动引导程序。在生产制作 模块时,将随机生成的非对称密钥的公钥通过上位机写入 芯片。内核镜像的安全加固为了保证系统启动过程内核文件的真实性和完整性,需对原内核镜像进行加密和签名,如图所示。内核镜像的安全加固过程是通过一个外部工具来实现的,具体过程如下:首先读取内核镜像文件,获取实际内核镜像文件的大小 ();然后通过 引擎对 进行哈希运算获得 (),再通过密码算法引擎生成一组非对称密钥对 ()进行签名以获得 ();年第期 图 组成同时,通过密码算法引擎生成一组对称密钥来对 进行对称加密,获得();最后将三者重新写入一个新的二进制文件,生成系统烧录的内核镜像()。配置安全环境嵌入式系统可信启动信任链是以 模块中固化的 作为可信根而建立的,同时为了进一步保证 安全,创建了安全用户和普通用户两种命令行模式,输入口令才允许进入安全模式,该模式下可以通过 模块对系统进行安全环境配置。模块在装配前烧录可信根固件,写入度量 完整性的非对称密钥的公钥部分,然后安装固定在主板上。模块与主板的通信是通过 接口来实现的。首先需要通过初始化命令进行 设备的绑定;对 模块进行设备认证,只有通过设备认证才能够进行 的非易失区域的读写操作,非易失性()存储器可保证不会将敏感数据泄露到其他安全边界之外的地方;将内核镜像文件加固过程中生成的对称密钥、非对称密钥以及产品唯一序列号加密后存入 模块对应的区域。可信启动过程以 为基础构建的主动度量信任链实现了基于硬件可信根的逐级引导,降低了终端固件被逆向及恶意代码注入等风险,从结构上彻底消除嵌入式设备中面临的新型未知恶意攻击。基于 的轻量型可信启动过程如图所示。对启动文件的完整性度量能够校验文件是否被更改或破坏,判断启动文件是否可信。完整性度量采用了数字签名和验签的技术,同时使用了 等国密图可信启动过程算法。可信 启 动 过 程 一 共 分 为个 阶 段:第 一 阶 段 为 模块对 的校验;第二阶段为 对内核镜像校验;第三阶段为对内核镜像的解密。系统上电之后,作为主设备优先于 启动,同时发出一个复位信号将 复位挂起,模块使用存储在区域的非对称密钥校验 ,校验通过则释放复位信号启动 。内核镜像 验签的操作流程如下:将内核镜像复制到启动地址,解析镜像 文件,获取有效内核镜像实际大小()及内核镜像密文签名值(),解析出内核镜像实际大小及启动地址,并计算出内核镜像密文的哈希值,并将哈希值、导入 模块,调用存储在 模块内部的非对称密钥进行验签。若验签通过,则说明内核镜像文件是可信的;若验签失败,则停止系统启动。经验签后确认内核镜像可信后,对加密后的内核镜像 进行解密:读取 模块中存储的随机数,并以此作为密钥种子生成 对称密钥;使用该对称密钥对内核镜像密文进行解密,并将解密后内核镜像原始文件写回启动地址。若解密成功,则正常启动;若解密失败,则系统挂起。经过上面两个步骤的验证,保证了内核的完整性和可敬请登录网站在线投稿()年第期 信性,从而建立起一条从 、引导程序 再到内核镜像的可信链。系统测试该方案已在本人参与设计开发的国产化电力系统某安全装 置 中 进 行 了 测 试。硬 件 平 台 的 版 本 为 ,内核版本为 。在实际生产调试及现场运行过程中,已经得到了充分的验证,稳定可靠地实现了可信启动的过程。及内核镜像制作如图所示,使用工具对 文件签名生成新的 文件(),对内核镜像签名和加密生成新的内核镜像文件()。图 及内核镜像文件生成 首次启动加固过程装置出厂前的拷机阶段,输入相应密码进入 的安全用户,将随机数密钥种子、非对称公钥及产品序列号写入 模块,如图所示。图首启加固过程 轻量型可信启动过程验证系统上电启动后,优先启动,读取 中的 并进行度量,若度量成功则系统正常启动,若度量失败则蜂鸣器处于报警状态。启动后系统读取内核镜像到内存中,并解析内核镜像以进行验签和解密,成功后返回提示信息并启动内核文件,如图所示。若内核文件被篡改或者装置被开盖毁钥,则提示验签失败,并停止启动,如图所示。图可信启动验证图可信启动验证失败 结语本文提出一种基于 的轻量型可信启动的方法,在底层硬件方面,采用 实现硬件可信,依托硬件可信根采用加密方式存储系统镜像,同时采用贴片 等介质存储系统镜像,并引入开盖毁钥机制,降低其硬件受外力破坏导致系统镜像易被提取、易被替换等安全风险。在引导程序保护方面,采用可信验证机制在系统启动时验证引导程序的合法性,并裁剪引导程序,去除所有对外接口,降低装置上电启动系统引导过程中面临的引导程序被替换、引导程序对外接口被恶意利用等安全风险。该方法实现了系统启动的逐级度量,确保每一级启动都是可信的,构建了一个完整的安全可信启动信任链。参考文献 信息安全技术可信计算可信计算体系结构 信息安全技术可信计算规范可信软件基础 孙瑜,洪宇,王炎玲基于 可信根的主动免疫控制系统防护设计 信息技术与网络安全,():王希冀,张功萱,郭子恒 基于可信密码模块的 可信启动框架模型计算机工程与科学,():年第期 程的配置 文件通过通信端口发送给 完成升级,升级完成后可以观察到 灯每闪烁一次。再次进行在线升级,在升级过程中中断升级,重新上电可以观察到 灯每 闪烁一次。结语本文详细介绍了基于 技术的 程序在线升级原理,给出了在线升级功能工程化的软件方案和流程,并针对实现在线升级功能的关键点进行了详细说明。该升级方法不仅在本文中 的 芯片和 的 芯片上进行了实验验证,而且 在 国 产 复 旦 微 电 子 芯 片 和 芯片上也进行了应用。参考文献王伟伟,闫新峰,修展,等 基于 的在线重构设计方法计算机测量与控制,():,虞亚君,桑坤,赵参一种 的高速串行在线升级控制器设计单片机与嵌入式应用系统,():,李林瞳,石云墀,张凯,等 适用于微小卫星在轨更新与模式切换的 配置方案设计 通信技术,():陈岚,李纪云,朱人杰 基于 和 实现 的多重加载 电子应用技术,():宋志毕(工程师),主要研究方向为嵌入式系统设计、信号与信息处理;方芳(工程师),主要研究方向为嵌入式应用、工控软件。通信作者:宋志毕,。(责任编辑:薛士然收稿日期:)杨霞,雷林,吴新勇,等采用数字签名技术的可信启动方法研究电子科技大学学报,():刘国杰,张建标基于 的服务器可信 启动方法网络与信息安全学报,():王勇,尚文利,赵剑明,等 基于 的嵌入式可信计算平台设计 计算机工程与应用,():冷冰,庞飞基于国产处理器的可信计算平台构建方法通信技术,():孟祥斌,刘笑凯,郝克林可信技术在国产化嵌入式平台的应用研究电子技术应用,():孙瑜,田健生,杨秩 一种利用 实现固件主动度量的可信主板实现方法:中国,张翔(工程师),主要研究方向为信息安全、嵌入式软件设计;王元强(高级工程师),主要研究方向为信息安全、嵌入式硬件架构设计;聂云杰(高级工程师),主要研究方向为信息安全、电力加密认证技术;杨晓林(工程师),主要研究方向为硬件系统设计;赵华(工程师),主要研究方向为电力加密认证技术、嵌入式软件设计;陈民(高级工程师),主要研究方向为物联网关设计、电力可信计算。通信作者:张翔,。(责任编辑:薛士然收稿日期:)逐点半导体为腾讯 游戏手机系列带来影院级画质体验专业的创新视频和显示处理解决方案提供商逐点半导体今日宣布,华硕新发布的腾讯 游戏手机系列搭载来自逐点半导体的视觉显示方案,包括全时 、画质增强、专业的色彩校准方案、调光等先进技术,为用户带来更加沉浸真实、舒适护眼的视觉体验。腾讯 游戏手机系列采用高通公司第二代骁龙移动平台,配备 英寸 屏幕,支持 峰值亮