一種在配電終端中建立可信環(huán)境的方法
【專利摘要】本發(fā)明提供一種在配電終端中建立可信環(huán)境的方法,通過在配電終端中增加可信芯片作為硬件信任根���,里面存儲有預(yù)置的完整性參考值���,然后在系統(tǒng)中加入安全啟動(dòng)模塊�����,作為系統(tǒng)的初始運(yùn)行模塊����。在系統(tǒng)啟動(dòng)過程中����,通過對系統(tǒng)狀態(tài)及關(guān)鍵的系統(tǒng)鏡像進(jìn)行完整性度量,從而保護(hù)配電終端上運(yùn)行系統(tǒng)的完整性��,構(gòu)建信任���,最終得以建立可信運(yùn)行環(huán)境�,從源頭上遏止惡意軟件破壞系統(tǒng)完整性的能力�,提高配電終端系統(tǒng)的安全等級。
【專利說明】—種在配電終端中建立可信環(huán)境的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于配電終端安全【技術(shù)領(lǐng)域】�����,具體涉及一種在配電終端中建立可信環(huán)境的方法。
【背景技術(shù)】
[0002]電力工業(yè)負(fù)責(zé)生產(chǎn)���、輸送和分配電能�,包括發(fā)電����、輸電、變電���、配電等環(huán)節(jié)。由于電能關(guān)系著整個(gè)國家的正常運(yùn)轉(zhuǎn)�,因此是整個(gè)國民經(jīng)濟(jì)的重要支撐之一,也是國民經(jīng)濟(jì)發(fā)展的先行部門�。當(dāng)今的電力基礎(chǔ)設(shè)施是在十九世紀(jì)和二十世紀(jì)設(shè)計(jì)的,隨著社會的發(fā)展���,這個(gè)逐漸老化的電力基礎(chǔ)設(shè)施已不能承擔(dān)未來電力供應(yīng)的職責(zé)����。近幾年��,隨著信息科學(xué)技術(shù)的迅猛發(fā)展���,全球各國家都在實(shí)現(xiàn)向智能電網(wǎng)的快速邁進(jìn)���。2009年5月21日��,我國公布了“堅(jiān)強(qiáng)智能電網(wǎng)”計(jì)劃��,以期建設(shè)具有信息化��、自動(dòng)化�、互動(dòng)化特征�����,以特高壓電網(wǎng)為骨干網(wǎng)架���、各級電網(wǎng)協(xié)調(diào)發(fā)展的堅(jiān)強(qiáng)網(wǎng)架為基礎(chǔ)����,以通信信息平臺為支撐�,包含電力系統(tǒng)的發(fā)電、輸電�、變電、配電��、用電和調(diào)度各個(gè)環(huán)節(jié),覆蓋所有電壓等級��,實(shí)現(xiàn)“電力流�、信息流、業(yè)務(wù)流”的高度一體化融合的現(xiàn)代電網(wǎng)��。
[0003]而配電作為電力系統(tǒng)中直接與用戶相連并向用戶分配電能的環(huán)節(jié)�����,是電力系統(tǒng)中的重要環(huán)節(jié)��,和人們生活密切相關(guān)���。智能電網(wǎng)中很重要的一部分就是配電自動(dòng)化,包括系統(tǒng)的監(jiān)視與控制�、配電系統(tǒng)管理功能以及與用戶的交互(如負(fù)荷管理、量測和實(shí)時(shí)定價(jià))等等����。配電自動(dòng)化通過與智能電網(wǎng)的其他組成部分協(xié)同運(yùn)行,既可改善系統(tǒng)監(jiān)視�����、無功與電壓管理、降低網(wǎng)損和提高資產(chǎn)使用率����,也可輔助優(yōu)化人員調(diào)度和維修作業(yè)安排等,為此需要復(fù)雜的控制系統(tǒng)����,即配電自動(dòng)化終端,簡稱配電終端�����。近年來����,隨著嵌入式移動(dòng)智能終端的快速發(fā)展,配電終端的系統(tǒng)形態(tài)也逐步向智能化發(fā)展���。目前�,大部分配電終端都已經(jīng)具備強(qiáng)大的運(yùn)算處理能力��,系統(tǒng)軟件平臺也多采用嵌入式實(shí)時(shí)多任務(wù)操作系統(tǒng)���,并且都具備利用移動(dòng)無線網(wǎng)絡(luò)訪問網(wǎng)絡(luò)的能力等等����。這些元素使得移動(dòng)繳費(fèi)終端和普通的智能終端一樣,面臨著各種各樣的安全威脅����。
[0004]配電終端提供的測量數(shù)據(jù),是配電主站做決策的重要依據(jù)���,一旦這些數(shù)據(jù)被篡改����,大規(guī)模的電力故障就會被引發(fā)��,從而造成災(zāi)難性的損失����。近幾年頻頻出現(xiàn)的移動(dòng)智能終端安全事件也在提醒著我們配電終端系統(tǒng)的安全狀況不容樂觀?�?梢灶A(yù)見的是�,如果不加任何防護(hù)����,針對配電終端系統(tǒng)的攻擊的出現(xiàn)只是遲早的問題����。由于配電終端和普通智能終端相比�����,唯一的不同僅僅是上面運(yùn)行的業(yè)務(wù)相對比較單一����,因此都面臨著同樣的安全威脅,如竊取權(quán)限����,中間人攻擊,篡改數(shù)據(jù)等等����。而當(dāng)前的配電終端上缺乏完整性保護(hù)機(jī)制,軟件系統(tǒng)容易受到攻擊和篡改�,一旦被惡意攻擊者發(fā)現(xiàn)漏洞,帶來的損失將會不可估計(jì)����。
[0005]經(jīng)過近十幾年的發(fā)展,傳統(tǒng)PC的信任鏈技術(shù)已經(jīng)日趨完善,信任鏈能夠有效保護(hù)系統(tǒng)狀態(tài)的完整性這一觀點(diǎn)已被普遍認(rèn)可��。因此��,我們可以將傳統(tǒng)PC上建立信任鏈這種技術(shù)思路引入到配電終端上來����,通過在配電終端上加入安全芯片用以提供信任根,從而保護(hù)系統(tǒng)的完整性�����,最終為系統(tǒng)建立起可信的運(yùn)行環(huán)境�。但是,配電終端和傳統(tǒng)PC的軟硬件架構(gòu)及特點(diǎn)大為不同����,將PC上的可信芯片直接移植到配電終端上是不合適的。所以�,針對配電終端設(shè)計(jì)一整套完備的系統(tǒng)以建立可信運(yùn)行環(huán)境是一個(gè)重要挑戰(zhàn)。
【發(fā)明內(nèi)容】
[0006]為了克服上述現(xiàn)有技術(shù)的不足�,本發(fā)明提供一種在配電終端中建立可信環(huán)境的方法,通過在配電終端中增加可信芯片作為硬件信任根�����,里面存儲有預(yù)置的完整性參考值����,然后在系統(tǒng)中加入安全啟動(dòng)|吳塊,作為系統(tǒng)的初始運(yùn)彳丁|吳塊��。在系統(tǒng)啟動(dòng)過程中�����,通過對系統(tǒng)狀態(tài)及關(guān)鍵的系統(tǒng)鏡像進(jìn)行完整性度量����,從而保護(hù)配電終端上運(yùn)行系統(tǒng)的完整性,構(gòu)建信任����,最終得以建立可信運(yùn)行環(huán)境,從源頭上遏止惡意軟件破壞系統(tǒng)完整性的能力�,提高配電終端系統(tǒng)的安全等級。
[0007]為了實(shí)現(xiàn)上述發(fā)明目的��,本發(fā)明采取如下技術(shù)方案:
[0008]本發(fā)明提供一種在配電終端中建立可信環(huán)境的方法���,所述方法包括以下步驟:
[0009]步驟1:所述配電終端從外部非易失存儲器上載入安全啟動(dòng)模塊�����;
[0010]步驟2:所述安全啟動(dòng)模塊禁止所有中斷��,初始化寄存器和內(nèi)存空間�,對所述配電終端的狀態(tài)做完整性度量;
[0011]步驟3:所述安全啟動(dòng)模塊根據(jù)標(biāo)志位判斷是否需要對所述配電終端的操作系統(tǒng)進(jìn)行升級�,如果需要升級,進(jìn)入升級流程完成操作系統(tǒng)的升級����;如果不需要升級,則執(zhí)行步驟4;
[0012]步驟4:安全啟動(dòng)模塊計(jì)算引導(dǎo)程序和操作系統(tǒng)內(nèi)核的完整性度量值���;
[0013]步驟5:完整性驗(yàn)證成功后�,配電終端控制權(quán)轉(zhuǎn)交給引導(dǎo)程序�����,進(jìn)入正常的配電終端引導(dǎo)過程����。
[0014]所述步驟1包括以下步驟:
[0015]步驟1-1:可信芯片初始化,并使用所述芯片與配電終端之間的10接口使配電終端進(jìn)入外部Boot狀態(tài)����;
[0016]步驟1-2:重啟配電終端�,使其進(jìn)入指定Boot狀態(tài)����;
[0017]步驟1-3:配電終端根據(jù)指定Boot狀態(tài)����,從外部非易失存儲器上載入安全啟動(dòng)模塊。
[0018]所述步驟2包括以下步驟:
[0019]步驟2-1:調(diào)用可信芯片的完整性擴(kuò)展指令ETM_Extend�,將完整性度量后的結(jié)果擴(kuò)展到可信芯片中,以保證完整性度量值的安全�����;
[0020]步驟2-2:調(diào)用可信芯片的完整性驗(yàn)證指令ETM_PCR_Validate�����,判斷目前配電終端的狀態(tài)是否可信�;
[0021]步驟2-3:可信芯片根據(jù)驗(yàn)證結(jié)果決定是否進(jìn)入下一狀態(tài),如果完整性驗(yàn)證失敗��,則可信芯片強(qiáng)制配電終端重啟��。
[0022]所述步驟3包括以下步驟:
[0023]步驟3-1:如果需要對所述配電終端進(jìn)行升級,通過網(wǎng)絡(luò)接收數(shù)據(jù)����,升級服務(wù)器將升級后的操作系統(tǒng)鏡像連同可信芯片需要更新的完整性參考值同時(shí)發(fā)送給升級子模塊;
[0024]步驟3-2:所述升級子模塊通過解析數(shù)據(jù)包����,對所述配電終端進(jìn)行升級,同時(shí)調(diào)用可信芯片的完整性更新指令ETM_PCRRef_Put�����,更新可信芯片中存儲的完整性參考值��。
[0025]所述步驟4包括以下步驟:[0026]步驟4-1:從外部非易失存儲器上載入引導(dǎo)程序和操作系統(tǒng)內(nèi)核鏡像���;
[0027]步驟4-2:調(diào)用可信芯片的完整性擴(kuò)展指令ETM_Extend����,將完整性度量后的結(jié)果擴(kuò)展到可信芯片中����,以保證完整性度量值的安全;
[0028]步驟4-3:調(diào)用芯片完整性驗(yàn)證指令ETM_PCR_Validate���,判斷目前引導(dǎo)程序和操作系統(tǒng)各自的狀態(tài)是否都可信�;
[0029]步驟4-4:可信芯片根據(jù)驗(yàn)證結(jié)果決定是否進(jìn)入下一狀態(tài),如果引導(dǎo)程序或操作系統(tǒng)的完整性驗(yàn)證失敗���,則可信芯片強(qiáng)制配電終端重啟�。
[0030]與現(xiàn)有技術(shù)相比����,本發(fā)明的有益效果在于:
[0031 ] ( 1)針對配電終端的安全需求定制可信芯片ETM���,其設(shè)計(jì)更多的考慮了嵌入式配電終端設(shè)備多樣的軟硬件架構(gòu)�����,在保障模塊安全性和功能的基礎(chǔ)上�����,特別強(qiáng)調(diào)其實(shí)現(xiàn)的靈活性和可定制性�����,利于廣泛應(yīng)用和推廣���;
[0032](2)針對不同形態(tài)的配電終端�,結(jié)合具體業(yè)務(wù)系統(tǒng)的特點(diǎn)�����,提出了通用的軟硬件架構(gòu)以實(shí)現(xiàn)可信啟動(dòng)����,保護(hù)系統(tǒng)完整性,增強(qiáng)系統(tǒng)安全����,其在生產(chǎn)和升級流程都制定了完整的流程步驟,可實(shí)施性強(qiáng)�����。
【專利附圖】
【附圖說明】
[0033]圖1是在配電終端中建立可信環(huán)境的方法流程圖���;
[0034]圖2是本發(fā)明實(shí)施例中可信環(huán)境建立的詳細(xì)流程圖�����;
[0035]圖3是配電終端的操作系統(tǒng)升級流程圖�。
【具體實(shí)施方式】
[0036]下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)說明。
[0037]本發(fā)明將傳統(tǒng)PC利用安全芯片構(gòu)建信任鏈的機(jī)制應(yīng)用到配電終端上�,首次針對配電終端設(shè)計(jì)并實(shí)現(xiàn)可信芯片,用以提供保護(hù)完整性度量值和完整性驗(yàn)證的功能����。相對于PC的安全芯片來說,ETM的設(shè)計(jì)更多的考慮了嵌入式配電終端設(shè)備多樣的軟硬件架構(gòu)�,在保障模塊安全性和功能的基礎(chǔ)上,特別強(qiáng)調(diào)其實(shí)現(xiàn)的靈活性和可定制性�����。此外���,本發(fā)明在安全芯片ETM提供硬件信任根的基礎(chǔ)之上,通過在系統(tǒng)啟動(dòng)和升級過程中加入系統(tǒng)完整性控制相關(guān)模塊�,最終建立起一整套完備的軟硬件系統(tǒng)體系實(shí)現(xiàn)可信運(yùn)行環(huán)境的建立。
[0038]本專利申請?zhí)峁┑膶?shí)施例以無操作系統(tǒng)的配電終端為例說明����,首先需要實(shí)現(xiàn)安全芯片ETM負(fù)責(zé)保護(hù)完整性度量值以及驗(yàn)證系統(tǒng)完整性狀態(tài)等功能。本實(shí)施例中實(shí)現(xiàn)的ETM所具備的系統(tǒng)資源描述如下:
[0039]1��、采用32-bit RISC嵌入式微處理器����,支持16/32-bit定長指令集���,支持5級指令流水,內(nèi)有1KB的指令Cache �����;
[0040]2�、采用AMBA總線架構(gòu),4組DMA通道���;
[0041]3���、存儲器資源包括12KB ROM, 25KB RAM, 1024KB Flash存儲器,通過存儲管理單元MMU分配存儲器空間��;
[0042]4���、有22個(gè)中斷源���,共享6個(gè)硬件中斷入口、2個(gè)軟件中斷入口、6級中斷優(yōu)先級����;
[0043]5、集成了大量片內(nèi)外設(shè)模塊����,主要包括2個(gè)定時(shí)器、1個(gè)看門狗�、1路S⑶接口(7816 從接 口)和 1 路 SCC 接口(7816 主接 口)、2 路 UART 接口�����、2 路 SPI 接口�、30 個(gè) GP10。[0044]本實(shí)施例中所實(shí)現(xiàn)的ETM固件程序��,對外提供的用以構(gòu)建可信環(huán)境的命令接口定義描述如下:
[0045] ETM_Extend:(將一個(gè)新的完整性度量值增加到一個(gè)PCR中)
[0046]輸入?yún)?shù)描述:
[0047]1�、tag:標(biāo)識命令消息類型�,值為ETM_TAG_RQU_AUTH_CMD,代表需要授權(quán)口令
[0048]2> paramSize:所有輸入?yún)?shù)(包括tag和paramSize)的總的字節(jié)數(shù)
[0049]3�、ordinal:標(biāo)識命令編碼,值為 OxOOOOOOOf
[0050]4����、cmdAuth:命令授權(quán)口令的摘要值
[0051]5�、pcrNum:欲更新值的PCR索引
[0052]6���、inDigest:欲擴(kuò)展的160位完整性值
[0053]輸出參數(shù)描述:
[0054]1��、tag:標(biāo)識命令消息類型��,值為 ETM_TAG_RQU_AUTH_CMD
[0055]2�����、paramSize:所有輸入?yún)?shù)(包括tag和paramSize)的總的字節(jié)數(shù)
[0056]3> returnCod:ETM執(zhí)行該命令的返回值
[0057]4��、ordinal:標(biāo)識命令編碼����,值為 OxOOOOOOOf
[0058]5�、outDigest:命令執(zhí)行完成之后該P(yáng)CR的值
[0059]>ETM_PCR_Validate (驗(yàn)證PCR值是否與ETM中存儲的PCR參考值一致)
[0060]輸入?yún)?shù)描述:
[0061 ]1、tag:標(biāo)識命令消息類型�����,值為 ETM_TAG_RQU_AUTH_CMD
[0062]2���、paramSize:所有輸入?yún)?shù)(包括tag和paramSize)的總的字節(jié)數(shù)
[0063]3�、ordinal:標(biāo)識命令編碼,值為 0x00000010
[0064]4��、cmdAuth:命令授權(quán)口令的摘要值
[0065]5�����、targetPCR:欲驗(yàn)證PCR值的PCR索引列表
[0066]輸出參數(shù)描述:
[0067]1��、tag:標(biāo)識命令消息類型���,值為 ETM_TAG_RQU_AUTH_CMD
[0068]2�、paramSize:所有輸入?yún)?shù)(包括tag和paramSize)的總的字節(jié)數(shù)
[0069]3��、returnCod:ETM執(zhí)行該命令的返回值
[0070]4��、ordinal:標(biāo)識命令編碼�,值為 0x00000010
[0071]5、validatedValue:驗(yàn)證的結(jié)果
[0072]> ETM_PCRRef_Put (將 PCR 參考值置入 ETM 中)
[0073]輸入?yún)?shù)描述:
[0074]1���、tag:標(biāo)識命令消息類型,值為 ETM_TAG_RQU_AUTH_CMD
[0075]2�、paramSize:所有輸入?yún)?shù)(包括tag和paramSize)的總的字節(jié)數(shù)
[0076]3��、ordinal:標(biāo)識命令編碼���,值為 0x0000000d
[0077]4、cmdAuth:命令授權(quán)口令的摘要值
[0078]5���、keyHandle:驗(yàn)證PCR參考值證書簽名的密鑰句柄
[0079]6����、certSize:PCR參考值證書大小
[0080]7����、pcrRefCert:PCR 參考值證書
[0081]輸出參數(shù)描述:[0082]1、tag:標(biāo)識命令消息類型�,值為 ETM_TAG_RQU_AUTH_CMD
[0083]2、paramSize:所有輸入?yún)?shù)(包括tag和paramSize)的總的字節(jié)數(shù)
[0084]3���、returnCod:ETM執(zhí)行該命令的返回值
[0085]本實(shí)施例中可信環(huán)境建立的詳細(xì)流程如圖2所示���,由于系統(tǒng)功能比較簡單,沒有典型的bootloader和操作系統(tǒng)模塊����,業(yè)務(wù)主程序直接在ROM中執(zhí)行����,不需要加載到內(nèi)存����;并且也因?yàn)橄到y(tǒng)模塊較少而略去了載入安全啟動(dòng)模塊以及對系統(tǒng)狀態(tài)的完整性校驗(yàn)等步驟。由于在調(diào)用可信芯片時(shí)需要傳入命令授權(quán)口令��,保證只有獲得授權(quán)才允許使用芯片����,因此,在配電終端的ROM中首先需要預(yù)先置入授權(quán)口令的摘要值�。可信環(huán)境建立的具體步驟如下:
[0086]1���、CPU系統(tǒng)自動(dòng)復(fù)位�����;
[0087]2����、運(yùn)行Boot系統(tǒng)初始化程序����,并讀取啟動(dòng)標(biāo)志、主程序入口地址�、通信參數(shù)等;
[0088]3�����、判斷啟動(dòng)標(biāo)志是否為XX (啟動(dòng)升級的標(biāo)志),如果是啟動(dòng)升級,則繼續(xù)執(zhí)行Boot程序����,等待接收程序升級指令;如果是無啟動(dòng)升級�����,則存儲Boot程序的版本號和版本日期�,調(diào)用完整性度量模塊;
[0089]4�����、完整性度量模塊讀取主程序入口地址和主程序長度��,對主程序進(jìn)行完整性度量����,得到完整性度量值�;
[0090]5����、如果完整性度量模塊成功執(zhí)行,Boot程序調(diào)用芯片ETM_Extend命令���,依次傳入命令消息類型tag����、所有輸入?yún)?shù)(包括tag和paramSize)的總的字節(jié)數(shù)paramSize�、標(biāo)識命令編碼ordinal、命令授權(quán)口令的摘要值cmdAuth (預(yù)置在ROM中)����、欲更新值的PCR索引pcrNum (0x2,擴(kuò)展至第2號PCR中)����、欲擴(kuò)展的160位完整性值(第4步計(jì)算出的完整性度量值),將完整性度量值擴(kuò)展到相應(yīng)的PCR中����;
[0091]6��、調(diào)用芯片ETM_PCR_Validate命令�,驗(yàn)證2號PCR中的完整性度量值�;
[0092]7���、如果完整性驗(yàn)證通過(返回值為true)后��,則進(jìn)入主程序�;否則CPU復(fù)位�����。
[0093]由于保護(hù)系統(tǒng)的完整性是通過調(diào)用芯片指令ETM_PCR_Validate將完整性度量值和芯片中的完整性參考值進(jìn)行比對而實(shí)現(xiàn)��,系統(tǒng)升級以后完整性度量值會發(fā)生變化�,因此也需要在系統(tǒng)升級之后更新芯片中存儲的相應(yīng)完整性參考值,詳細(xì)的升級流程如圖3所示�,具體步驟如下:
[0094]1、終端廠商首先需要計(jì)算出升級后的業(yè)務(wù)主程序的完整性參考值���;
[0095]2����、終端廠商向CA中心申請?jiān)摌I(yè)務(wù)主程序的完整性參考值證書;
[0096]3�、CA中心返回完整性參考值證書;
[0097]4���、升級服務(wù)器按照約定協(xié)議將升級后的業(yè)務(wù)主程序和相應(yīng)的完整性參考值證書發(fā)送給配電終端的Boot程序�;
[0098]5���、Boot程序通過通信網(wǎng)絡(luò)接收升級指令�����,更新主程序����,并接收參考值證書��;Boot程序運(yùn)行的升級子模塊會調(diào)用芯片命令ETM_PCRRef_Put�����,將完整性參考值證書及存儲在ROM內(nèi)的授權(quán)口令摘要值作為參數(shù)傳入����,完成芯片內(nèi)的完整性參考值更新操作���。
[0099]單純依靠增強(qiáng)系統(tǒng)及應(yīng)用軟件的安全防護(hù)已經(jīng)不能保證系統(tǒng)的高安全等級,由于所有的軟件系統(tǒng)中都不可避免的存在缺陷���,增加的安全模塊可能會帶來新的安全缺陷���。因此�,對于安全等級要求較高的配電終端,純軟件的安全解決方案并不足以構(gòu)建可以信賴的可信運(yùn)行環(huán)境���。盡管TCG針對嵌入式系統(tǒng)所設(shè)計(jì)的MTM (移動(dòng)可信模塊)提供了同PC機(jī)上的TPM類似的安全功能�,也因此能夠被用來構(gòu)建嵌入式系統(tǒng)上的可信環(huán)境�����。但配電終端和一般的移動(dòng)終端相比�����,有著自己的特點(diǎn)��,如設(shè)備的軟硬件架構(gòu)靈活多樣,形態(tài)也各式各樣�����,而且配電終端上運(yùn)行的應(yīng)用較為單一���。而MTM更多的針對一般的嵌入式平臺�����,安全功能雖然較為完整�����,但是實(shí)現(xiàn)起來很復(fù)雜���,上層軟件需要較多的改動(dòng)以支持安全引導(dǎo),并不適用于配電終端使用����。本發(fā)明針對配電終端的安全需求定制安全芯片ETM,其設(shè)計(jì)更多的考慮了嵌入式配電終端設(shè)備多樣的軟硬件架構(gòu)����,在保障模塊安全性和功能的基礎(chǔ)上���,特別強(qiáng)調(diào)其實(shí)現(xiàn)的靈活性和可定制性,利于廣泛應(yīng)用和推廣����。
[0100]現(xiàn)有的嵌入式可信系統(tǒng)啟動(dòng)設(shè)計(jì)中,均由TPM芯片直接對系統(tǒng)的關(guān)鍵代碼進(jìn)行完整性度量和驗(yàn)證��,這種星型的信任鏈結(jié)構(gòu)實(shí)現(xiàn)難度大����,對TPM的處理能力和對上層行為的判斷能力要求很高,會提高芯片的生產(chǎn)成本�,并導(dǎo)致系統(tǒng)靈活性較低�����。本發(fā)明針對不同形態(tài)的配電終端��,結(jié)合具體業(yè)務(wù)系統(tǒng)的特點(diǎn)����,提出了通用的軟硬件架構(gòu)以實(shí)現(xiàn)可信啟動(dòng),保護(hù)系統(tǒng)完整性�,增強(qiáng)系統(tǒng)安全����,其在生產(chǎn)和升級流程都制定了完整的流程步驟�,可實(shí)施性強(qiáng)。
[0101]最后應(yīng)當(dāng)說明的是:以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制���,盡管參照上述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明�����,所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:依然可以對本發(fā)明的【具體實(shí)施方式】進(jìn)行修改或者等同替換��,而未脫離本發(fā)明精神和范圍的任何修改或者等同替換����,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中�。
【權(quán)利要求】
1.一種在配電終端中建立可信環(huán)境的方法,其特征在于:所述方法包括以下步驟:步驟1:所述配電終端從外部非易失存儲器上載入安全啟動(dòng)模塊�;步驟2:所述安全啟動(dòng)模塊禁止所有中斷,初始化寄存器和內(nèi)存空間�,對所述配電終端的狀態(tài)做完整性度量;步驟3:所述安全啟動(dòng)模塊根據(jù)標(biāo)志位判斷是否需要對所述配電終端的操作系統(tǒng)進(jìn)行升級���,如果需要升級�,進(jìn)入升級流程完成操作系統(tǒng)的升級;如果不需要升級��,則執(zhí)行步驟4 ;步驟4:安全啟動(dòng)模塊計(jì)算引導(dǎo)程序和操作系統(tǒng)內(nèi)核的完整性度量值��;步驟5:完整性驗(yàn)證成功后���,配電終端控制權(quán)轉(zhuǎn)交給引導(dǎo)程序�,進(jìn)入正常的配電終端引導(dǎo)過程�����。
2.根據(jù)權(quán)利要求1所述的在配電終端中建立可信環(huán)境的方法��,其特征在于:所述步驟1包括以下步驟:步驟1-1:可信芯片初始化�����,并使用所述芯片與配電終端之間的10接口使配電終端進(jìn)入外部Boot狀態(tài)�����;步驟1-2:重啟配電終端�����,使其進(jìn)入指定Boot狀態(tài)�;步驟1-3:配電終端根據(jù)指定Boot狀態(tài),從外部非易失存儲器上載入安全啟動(dòng)模塊��。
3.根據(jù)權(quán)利要求1所述的在配電終端中建立可信環(huán)境的方法����,其特征在于:所述步驟2包括以下步驟:步驟2-1:調(diào)用可信芯片的完整性擴(kuò)展指令ETM_Extend,將完整性度量后的結(jié)果擴(kuò)展到可信芯片中�,以保證完整性度量值的安全;步驟2-2:調(diào)用可信芯片的完整性驗(yàn)證指令ETM_PCR_Validate����,判斷目前配電終端的狀態(tài)是否可/[目;步驟2-3:可信芯片根據(jù)驗(yàn)證結(jié)果決定是否進(jìn)入下一狀態(tài),如果完整性驗(yàn)證失敗����,則可信芯片強(qiáng)制配電終端重啟。
4.根據(jù)權(quán)利要求1所述的在配電終端中建立可信環(huán)境的方法��,其特征在于:所述步驟3包括以下步驟:步驟3-1:如果需要對所述配電終端進(jìn)行升級�,通過網(wǎng)絡(luò)接收數(shù)據(jù),升級服務(wù)器將升級后的操作系統(tǒng)鏡像連同可信芯片需要更新的完整性參考值同時(shí)發(fā)送給升級子模塊���;步驟3-2:所述升級子模塊通過解析數(shù)據(jù)包���,對所述配電終端進(jìn)行升級�,同時(shí)調(diào)用可信芯片的完整性更新指令ETM_PCRRef_Put���,更新可信芯片中存儲的完整性參考值�。
5.根據(jù)權(quán)利要求1所述的在配電終端中建立可信環(huán)境的方法�����,其特征在于:所述步驟4包括以下步驟:步驟4-1:從外部非易失存儲器上載入引導(dǎo)程序和操作系統(tǒng)內(nèi)核鏡像�;步驟4-2:調(diào)用可信芯片的完整性擴(kuò)展指令ETM_Extend,將完整性度量后的結(jié)果擴(kuò)展到可信芯片中����,以保證完整性度量值的安全;步驟4-3:調(diào)用芯片完整性驗(yàn)證指令ETM_PCR_Validate��,判斷目前引導(dǎo)程序和操作系統(tǒng)各自的狀態(tài)是否都可/[目;步驟4-4:可信芯片根據(jù)驗(yàn)證結(jié)果決定是否進(jìn)入下一狀態(tài)���,如果引導(dǎo)程序或操作系統(tǒng)的完整性驗(yàn)證失敗���,則可信芯片強(qiáng)制配電終端重啟�����。
【文檔編號】G06F21/57GK103646214SQ201310700306
【公開日】2014年3月19日 申請日期:2013年12月18日 優(yōu)先權(quán)日:2013年12月18日
【發(fā)明者】徐震, 楊文思, 于愛民, 汪丹, 趙保華, 王志皓 申請人:國家電網(wǎng)公司, 中國電力科學(xué)研究院, 中國科學(xué)院信息工程研究所, 國網(wǎng)遼寧省電力有限公司