風(fēng)險(xiǎn)的綜合分析�����,從而無法為基站提供可靠的對異常進(jìn)行主動(dòng)恢復(fù)的功能��。
[0135]為了解決上述問題���,本發(fā)明的實(shí)施例提供了一種基站異?�;謴?fù)依法和裝置�����。下文中將結(jié)合附圖對本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明�。需要說明的是���,在不沖突的情況下�,本申請中的實(shí)施例及實(shí)施例中的特征可以相互任意組合��。
[0136]首先結(jié)合附圖����,對本發(fā)明的實(shí)施例一進(jìn)行說明。
[0137]本發(fā)明實(shí)施例提供了一種基于可信環(huán)境的基站異?����;謴?fù)方法��,使用該方法完成基站對異常的自檢及恢復(fù)的流程如圖1所示,包括:
[0138]步驟101����、創(chuàng)建基站的可信環(huán)境;
[0139]本發(fā)明實(shí)施例提供了一種可信環(huán)境創(chuàng)建方法���,其流程如圖2所示���,包括:
[0140]步驟201、在所述基站出廠前進(jìn)行對該基站的所述TPM硬件和非易失存儲(chǔ)進(jìn)行初始化����,所述非易失存儲(chǔ)包括數(shù)據(jù)保護(hù)區(qū)和文件系統(tǒng)數(shù)據(jù)區(qū),創(chuàng)建可信環(huán)境的第一個(gè)完整源占.
[0141]包括:
[0142]1���、將版本切換標(biāo)識及基站預(yù)裝版本寫入所述數(shù)據(jù)保護(hù)區(qū)及文件系統(tǒng)數(shù)據(jù)區(qū),所述基站預(yù)裝版本包括可信的Boot Loader代碼���、BOOT代碼����、安全操作系統(tǒng)映像�����、可信網(wǎng)絡(luò)軟件庫、應(yīng)用軟件和權(quán)值數(shù)據(jù)�����。
[0143]文件系統(tǒng)數(shù)據(jù)區(qū)為安全操作系統(tǒng)運(yùn)行時(shí)可變更的存儲(chǔ)區(qū)域�����,在出廠時(shí)���,文件系統(tǒng)數(shù)據(jù)區(qū)與數(shù)據(jù)保護(hù)區(qū)內(nèi)的存儲(chǔ)內(nèi)容一致���。
[0144]版本切換標(biāo)識指向一基站預(yù)裝版本。需要說明的是��,在數(shù)據(jù)保護(hù)區(qū)及文件系統(tǒng)數(shù)據(jù)區(qū)內(nèi)均可能存在一個(gè)或多個(gè)基站預(yù)裝版本����,版本切換標(biāo)識的值可以指向數(shù)據(jù)保護(hù)區(qū)內(nèi)的任一基站預(yù)裝版本,也可指向文件系統(tǒng)數(shù)據(jù)區(qū)內(nèi)的任一基站預(yù)裝版本��。
[0145]可信網(wǎng)絡(luò)軟件庫是安全操作系統(tǒng)訪問硬件存儲(chǔ)信息使用的函數(shù)庫�。
[0146]權(quán)值數(shù)據(jù)作為后續(xù)決策時(shí)的判定標(biāo)準(zhǔn)�����,至少包含判定事件是否發(fā)生的閾值����。
[0147]2�、將與所述基站預(yù)裝版本使用配套的密鑰集、所述基本B1S代碼寫入所述TPM硬件�,創(chuàng)建可信環(huán)境的第一個(gè)完整源點(diǎn)。其中�����,密鑰集包含多個(gè)密鑰����,每個(gè)密鑰具有一個(gè)索引號,在與其他設(shè)備使用密鑰進(jìn)行認(rèn)證時(shí)���,可根據(jù)對方發(fā)送的索引選擇相應(yīng)的密鑰進(jìn)行認(rèn)證,也可選擇密鑰后將該密鑰的索引發(fā)送給對方以進(jìn)行認(rèn)證���。
[0148]Bootloader代碼和BOOT代碼與預(yù)裝版本并列地放置在數(shù)據(jù)保護(hù)區(qū)中�。
[0149]步驟202、在所述基站首次上電后����,運(yùn)行預(yù)寫入所述基站的TPM硬件的基本B1S代碼,將可信環(huán)境控制權(quán)轉(zhuǎn)移給基本B1S ����;
[0150]本步驟中,基站上電TPM硬件基本B1S執(zhí)行���?��;驹诰€運(yùn)行過程可信環(huán)境創(chuàng)建,從基站任意一次上電過程開始�����?���;旧想姾螅布娐肥沟肨PM硬件基本B1S接管系統(tǒng)控制權(quán)���,首先進(jìn)行硬件自檢����。
[0151]步驟203、基本B1S控制進(jìn)行操作系統(tǒng)的加載�,將所述可信環(huán)境控制權(quán)轉(zhuǎn)移至安全操作系統(tǒng);
[0152]本步驟具體如圖3所示,包括:
[0153]步驟301��、所述基本B1S在硬件自檢結(jié)束后��,對所述基站的數(shù)據(jù)保護(hù)區(qū)中存儲(chǔ)的數(shù)據(jù)的可信度進(jìn)行檢查����;
[0154]本步驟中,基本B1S對數(shù)據(jù)保護(hù)區(qū)的可信認(rèn)證�。基本B1S在硬件自檢結(jié)束后����,使用約定的密鑰對基站的數(shù)據(jù)保護(hù)區(qū)數(shù)據(jù)的可信度進(jìn)行檢查。
[0155]步驟302���、所述基本B1S在所述數(shù)據(jù)保護(hù)區(qū)中存儲(chǔ)的數(shù)據(jù)的可信度檢查通過后�,通過所述Boot Loader代碼加載預(yù)寫入所述數(shù)據(jù)保護(hù)區(qū)中的所述基站預(yù)裝版本內(nèi)的安全操作系統(tǒng)映像���;
[0156]本步驟中��,基本B1S在對數(shù)據(jù)保護(hù)區(qū)的可信度檢查通過后方可通過可信的BootLoader代碼開始操作系統(tǒng)的加載��,否則通過基站告警指示燈提示��,基站重啟復(fù)位��。
[0157]步驟303���、啟動(dòng)執(zhí)行所述BOOT代碼,對所述基站的嵌入式系統(tǒng)進(jìn)行硬件初始化��,創(chuàng)建文件系統(tǒng)��,并對文件系統(tǒng)進(jìn)行可信認(rèn)證�����;
[0158]本步驟中����,BOOT啟動(dòng)執(zhí)行。BOOT首先對嵌入式系統(tǒng)進(jìn)行硬件初始化���。
[0159]BOOT創(chuàng)建文件系統(tǒng)�,并對文件系統(tǒng)進(jìn)行可信認(rèn)證。
[0160]步驟304����、在完成對所述文件系統(tǒng)的可信認(rèn)證后,從所述基站預(yù)裝版本中提取安全操作系統(tǒng)映像����,可信環(huán)境控制權(quán)傳遞至安全操作系統(tǒng);
[0161]本步驟中�����,根據(jù)數(shù)據(jù)保護(hù)區(qū)中的版本切換標(biāo)識�,選擇對應(yīng)的安全操作系統(tǒng)映像進(jìn)行加載。如果版本切換標(biāo)識的數(shù)值指示從基站的文件系統(tǒng)區(qū)加載安全操作系統(tǒng)映像����,則力口載流程直接進(jìn)入步驟204。如果是指示從數(shù)據(jù)保護(hù)區(qū)加載���,則在TPM支持下�����,將數(shù)據(jù)保護(hù)區(qū)版本恢復(fù)到文件系統(tǒng)后���,準(zhǔn)備加載操作系統(tǒng)映像�����。
[0162]在對安全操作系統(tǒng)映像可信認(rèn)證通過時(shí),則直接加載該安全操作系統(tǒng)的映像�����,否則強(qiáng)制置位版本切換標(biāo)識數(shù)值為從數(shù)據(jù)保護(hù)區(qū)加載基站預(yù)裝版本(可選的��,在文件系統(tǒng)數(shù)據(jù)區(qū)中保存有至少一個(gè)基站預(yù)裝版本時(shí)��,也可將版本切換標(biāo)識的值置為指示加載該文件系統(tǒng)數(shù)據(jù)區(qū)中另一個(gè)基站預(yù)裝版本����。具體可根據(jù)需要設(shè)置版本切換標(biāo)識的數(shù)據(jù)變更規(guī)則,本發(fā)明對此不作限定����,凡能保證在認(rèn)為一基站預(yù)存版本不可信的情況下更換其他基站預(yù)裝版本進(jìn)行加載的方式,均在本發(fā)明的保護(hù)范圍內(nèi))����,基站復(fù)位���。
[0163]步驟204、所述安全操作系統(tǒng)加載軟件環(huán)境�����,創(chuàng)建可信環(huán)境
[0164]所述安全操作系統(tǒng)從所述基站預(yù)裝版本中提取并執(zhí)行應(yīng)用軟件��,完成對所述可信網(wǎng)絡(luò)軟件庫的掛接�����,加載所述可信網(wǎng)絡(luò)軟件庫���,將可信環(huán)境控制權(quán)傳遞至所述應(yīng)用軟件和所述可信網(wǎng)絡(luò)軟件庫����。
[0165]具體的��,基站進(jìn)行安全操作系統(tǒng)映像的加載�����,安全操作系統(tǒng)接管可信環(huán)境控制權(quán),完成TPM驅(qū)動(dòng)�����、可信網(wǎng)絡(luò)軟件庫(均包含在基站預(yù)裝版本中)調(diào)用的掛接��。
[0166]將操作系統(tǒng)自帶的可信網(wǎng)絡(luò)軟件庫加載執(zhí)行����。
[0167]安全操作系統(tǒng)對應(yīng)用軟件的可信認(rèn)證���。如果認(rèn)證通過�,剛繼續(xù)加載執(zhí)行所述應(yīng)用軟件�����;否則置位版本切換標(biāo)識后基站復(fù)位�����。
[0168]基站在線運(yùn)行過程可信環(huán)境創(chuàng)建�,還包括基站的版本升級后可信環(huán)境的可信傳遞?�;具\(yùn)行過程中的版本升級和基站的數(shù)據(jù)保護(hù)區(qū)動(dòng)態(tài)升級更新相配合?����;景姹镜膭?dòng)態(tài)升級更新基于可信環(huán)境提供的可信網(wǎng)絡(luò)服務(wù)���,由基站控制端通過遠(yuǎn)程交互進(jìn)行����。
[0169]在安全操作系統(tǒng)完成啟動(dòng)后��,即可檢測是否需要對當(dāng)前的基站預(yù)裝版本進(jìn)行更新����,并在需要更新時(shí)執(zhí)行更新,具體如圖4所示���,包括:
[0170]步驟401�、首先基站和遠(yuǎn)程控制端進(jìn)行會(huì)話的密鑰認(rèn)證�����,此處所用密鑰為前述密鑰集中的S鑰���。
[0171]步驟402�、所述基站在通過遠(yuǎn)程控制端的認(rèn)證后,接收該遠(yuǎn)程控制端下發(fā)的新的基站預(yù)裝版本及配套密鑰集����;
[0172]步驟403、基站將收到的可信的基站預(yù)裝版本寫入數(shù)據(jù)保護(hù)區(qū)����,并將新的基站預(yù)裝版本配套的密鑰集寫入TPM硬件存儲(chǔ)區(qū)域。
[0173]步驟404�、所述基站更改版本切換標(biāo)識并發(fā)起復(fù)位,在復(fù)位后加載所述新的基站預(yù)裝版本����。
[0174]本步驟中����,基站更改版本切換標(biāo)識并發(fā)起復(fù)位,在復(fù)位后加載升級基站版本��。
[0175]通過以上步驟的順序執(zhí)行�����,可信環(huán)境控制權(quán)被傳遞到安全操作系統(tǒng),并最終傳遞到可信網(wǎng)絡(luò)軟件庫�����,為應(yīng)用軟件提供可信服務(wù)����,在可信應(yīng)用軟件啟動(dòng)成功后,可信環(huán)境創(chuàng)建成功�。
[0176]在完成可信環(huán)境的創(chuàng)建后,即可繼續(xù)進(jìn)行對基站異常的檢測�����。
[0177]步驟102�、在基站的可信環(huán)境中,對所述基站進(jìn)行可信風(fēng)險(xiǎn)度檢查����;
[0178]基站運(yùn)行過程中的異常風(fēng)險(xiǎn)識別?��;具\(yùn)行過程中�����,所述安全操作系統(tǒng)與所述應(yīng)用軟件����、可信網(wǎng)絡(luò)軟件庫相配合,周期性的對系統(tǒng)硬件�����、存儲(chǔ)系統(tǒng)���、網(wǎng)絡(luò)通信����、軟件行為進(jìn)行自檢�,獲得靜態(tài)可信性評估數(shù)據(jù);系統(tǒng)通過可信服務(wù)庫的基礎(chǔ)服務(wù)功能���,實(shí)時(shí)對網(wǎng)絡(luò)通信進(jìn)行認(rèn)證,通過應(yīng)用軟件周期性向操作系統(tǒng)認(rèn)證�,收集系統(tǒng)動(dòng)態(tài)可信性評估數(shù)據(jù);通過應(yīng)用軟件收到的業(yè)務(wù)指令類別進(jìn)行外部指令集中度數(shù)據(jù)檢查�����,以識別軟件行為特征和外部執(zhí)行特征。
[0179]然后����,對自檢識別得到的數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評估決策,判定是否發(fā)生基站異常���。具體的��,基站運(yùn)行風(fēng)險(xiǎn)的綜合決策�。對識別的硬件失效風(fēng)險(xiǎn)��、軟件失效風(fēng)險(xiǎn)��、人為失效風(fēng)險(xiǎn)���、可信度度量風(fēng)險(xiǎn)統(tǒng)一送入決策器��,決策器使用加權(quán)線性貝葉斯決策算法進(jìn)行評估決策����,其中權(quán)值數(shù)據(jù)存放在軟件版本中�����,可以跟隨版本進(jìn)行升級。如果決策器給出基站復(fù)位方案中要求基站復(fù)位��,則同步更新基站數(shù)據(jù)保護(hù)區(qū)保存的版本切換標(biāo)識后基站復(fù)位����;如果基站不需要復(fù)位,則繼續(xù)基站正常工作����。
[0180]本步驟具體如圖5所示,包括:
[0181]步驟501、基站運(yùn)行過程中���,由安全操作系統(tǒng)��、可信應(yīng)用軟件配合�����,周期性對系統(tǒng)硬件��、存儲(chǔ)系統(tǒng)進(jìn)行自檢��,識別硬件失效、版本非法更換等風(fēng)險(xiǎn),獲得靜態(tài)可信性評估數(shù)據(jù)��,所述靜態(tài)可信性評估數(shù)據(jù)至少包含以下任一或任意多個(gè)基站異常事件的數(shù)據(jù):
[0182]識別硬件失效����,版本非法更換;
[0183]步驟502��、系統(tǒng)通過可信網(wǎng)絡(luò)軟件庫的基礎(chǔ)服務(wù)功能����,實(shí)時(shí)對網(wǎng)絡(luò)通信進(jìn)行認(rèn)證,通過應(yīng)用軟件周期性向操作系統(tǒng)認(rèn)證�����,識別網(wǎng)絡(luò)非授權(quán)訪問��、網(wǎng)絡(luò)劫持等風(fēng)險(xiǎn)���,收集系統(tǒng)動(dòng)態(tài)可信性評估數(shù)據(jù)���,所述系統(tǒng)動(dòng)態(tài)可信性評估數(shù)據(jù)至少包含以下任一或任意多個(gè)基站異常事件的數(shù)據(jù):
[0184]網(wǎng)絡(luò)非授權(quán)訪問,網(wǎng)絡(luò)劫持�����;
[0185]步驟503、通過應(yīng)用軟件收到的業(yè)務(wù)指令類別進(jìn)行外部指令集中度數(shù)據(jù)檢查����,非授權(quán)行為特征的數(shù)據(jù),所述非授權(quán)行為特征數(shù)據(jù)至少包含以下任一或任意多個(gè)基站異常事件的數(shù)據(jù):
[0186]文件非授權(quán)刪除�����,文件非授權(quán)拷貝�����,嚴(yán)重危及設(shè)備安全的非授權(quán)操作����。
[0187]以預(yù)防文件非授權(quán)刪除/copy、嚴(yán)重危及設(shè)備安全的非授權(quán)操作等風(fēng)險(xiǎn)��。
[0188]需要說明的是��,上述步驟501至503之間并無嚴(yán)格時(shí)序限制�。
[0189]步驟504、使用加權(quán)線性貝葉斯決策算法�����,對自檢識別得到的靜態(tài)可信性評估數(shù)據(jù)�����、系統(tǒng)動(dòng)態(tài)可信性評估數(shù)據(jù)����、軟件行為特征和外部執(zhí)行特征進(jìn)行評估決策;
[0190]在使用加權(quán)線性貝葉斯決策算法對靜態(tài)可信性評估數(shù)據(jù)或系統(tǒng)動(dòng)態(tài)可信性評估數(shù)據(jù)或非授權(quán)行為特征的數(shù)據(jù)進(jìn)行計(jì)算后得到的權(quán)值高于所述權(quán)值數(shù)據(jù)中對應(yīng)的閾值時(shí)�����,決策發(fā)生基站異常��。權(quán)值數(shù)據(jù)存放在基站預(yù)裝版本中�,可以跟隨版本進(jìn)行升級。
[0191]步驟505���、在決策結(jié)果為發(fā)生基站異常時(shí)�����,作出基站復(fù)位方案并同步更新所述數(shù)據(jù)保護(hù)區(qū)保存的版本切換標(biāo)識���;