基于可信计算模块的嵌入式系统安全启动和可信度量的系统技术方案

本发明专利技术涉及智能终端的可信运行技术领域，尤其涉及一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统；包括信长城可信计算管理平台，包括物联网可信计算模块；物联网可信计算模块，用于写入根证书P0；写入方案商标识公钥P1；写入智能终端标识公钥P2和私钥r2；物联网应用管理平台，用于刷写智能终端主控MCU的BootLoader，完成物联网可信计算模块与智能终端主控MCU的绑定；启动校验和身份认证；以及智能终端，用于下载固件。本发明专利技术所公开的基于可信计算模块的嵌入式系统安全启动和可信度量的系统，与现有技术的方式相比，可信计算模块较易设计；对原系统的改动较小；可更新固件镜像。

The system of safe start and trusted measurement of embedded system based on trusted computing module

【技术实现步骤摘要】
基于可信计算模块的嵌入式系统安全启动和可信度量的系统
本专利技术涉及智能终端的可信运行
，尤其涉及一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统。
技术介绍
信息技术的高速发展，带来了信息产业的空前繁荣；但危害信息安全的事件也不断发生，信息安全形势日益严峻。当前比较流行的系统安全保障技术有强制访问控制技术、以及加密技术，但这些都是运行于系统上层，他们能够实现安全机制的前提是系统本身是安全的，如果系统自身在启动时就由于被恶意程序篡改等原因进入一种不可信的状态，则基于此系统的应用程序和上层安全机制都是不可信的。因此，系统的安全启动技术已逐步被引起重视，它是可信计算的核心部分。同时，对于运行过程中的可信度量也是可信计算的一个重要组成部分。中国专利CN201120295129.1提出了一种兼容多种可信计算模式的可信计算系统，包含固件设置模块，固件下载模块，固件存储模块和可信计算单元，所述可信计算单元上设有与固件下载模块和总线进行通讯的通信接口；所述固件设置模块，用于设置可信计算单元的工作模式；所述固件存储模块，存储有可信计算标准固件；所述固件下载模块，用于从固件存储模块中下载与固件设置模块设置的可信计算单元的工作模式相对应的固件到可信计算单元中；所述可信计算单元，用于与总线进行数据传输，且承载固件下载模块下载的固件；使得可信计算系统在商业应用上具有更好的适应性，拥有极大的灵活性，且大大降低了成本。可信计算组织(TCG)为了从基础上提高计算平台的安全可信性，定义了一个可信第三方，具有安全存储以及加解密引擎的可信平台模块(TPM)，并且从硬件组件和软件两方面入手，解决跨平台和跨操作环境束缚，开发不依赖任何特定计算平台的可信计算环境。此解决方案对于PC端是非常有效的。由于嵌入式领域的安全研究起步稍晚，针对嵌入式智能终端的安全研究还不完善，特别是系统层面的软件防御措施还有待加强，恰巧系统层面的安全又是整个设备的安全基石。而智能终端固有的一些特点使得PC上的安全防御措施和技术很难在这些设备中得到实施。应对这些安全威胁，应该在嵌入式设备中建立一套防御体系，杜绝一些非法且恶意的程序，防止这些带有攻击威胁的程序运行，或者至少在这些程序运行后能够被检测出。目前在嵌入式平台上主要的解决方案是：设计只读的块设备存储启动镜像，启动时从该只读设备中读取未受更改的镜像，只读设备在出厂时镜像一次性烧写，以后的启动中镜像都无法被篡改，可验证其启动镜像的完整性。此类两种措施一是增加了额外的硬件开销，对于成本控制严格的设备负担太大，二是需要加载的镜像一次性烧写，无法实现正常的系统更新及镜像更新。其客观缺点为：(1)软算法安全性较差，信任根容易被篡改；(2)面向PC的TPM、TPCM流程对于嵌入式平台过于繁琐，实用性较差；(3)设计只读的块设备存储启动镜像的解决办法无法实现正常的系统更新。因此，为了解决上述问题，急需专利技术一种新的基于可信计算模块的嵌入式系统安全启动和可信度量的系统。
技术实现思路
本专利技术的目的在于：提供一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统，具有流程简单、安全性高、允许嵌入式平台更新固件的特点。本专利技术提供了下述方案：一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统，包括：信长城可信计算管理平台，包括物联网可信计算模块；物联网可信计算模块，用于写入根证书P0；写入方案商标识公钥P1；写入智能终端标识公钥P2和私钥r2；物联网应用管理平台，用于刷写智能终端主控MCU的BootLoader，完成物联网可信计算模块与智能终端主控MCU的绑定；启动校验和身份认证；以及智能终端，用于下载固件。优选地，所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统还包括：物联网应用管理平台用于进行远程度量操作；进行固件在线升级操作。优选地，物联网可信计算模块用于写入根证书P0，具体为：信长城可信计算管理平台随机生成一对密钥r0和P0；信长城可信计算管理平台利用可信计算量产工具将P0写入物联网可信计算模块；P0对应的私钥r0保存在信长城可信计算管理平台。优选地，物联网可信计算模块用于写入方案商标识公钥P1，具体为：信长城可信计算管理平台生成密钥对r1和P1，利用r0对P1进行签名得到Sign0；信长城可信计算管理平台将r1、P1和Sign0发送给物联网应用管理平台；物联网应用管理平台将P1写入物联网可信计算模块，r1由物联网应用管理平台保存。优选地，智能终端主控MCU刷写BootLoader，完成物联网可信计算模块与智能终端主控MCU的绑定，具体为：物联网应用管理平台计算BootLoader和属性信息的hash值H0，并用r1对H0签名得到Sign1；物联网应用管理平台管理平台将BootLoader刷写至智能终端主控MCU；物联网应用管理平台管理平台将Sign1、H0发送给物联网可信计算模块；物联网可信计算模块基于P0验证Sign1的有效性，若有效，则将H0和属性信息保存至Flash。优选地，智能终端主控MCU下载固件，具体为：物联网应用管理平台利用r1对固件hash值签名，得到Sign2；物联网应用管理平台将固件发送给智能终端主控MCU；智能终端主控MCU的BootLoader计算固件的hash值得到H1，并将H1和Sign2发送给物联网可信计算模块，验证签名的有效性；若签名有效，物联网可信计算模块保存H1，BootLoader将固件写入Flash，完成固件的下载。优选地，物联网可信计算模块用于写入智能终端标识公钥P2和私钥r2，具体为：物联网应用管理平台生成密钥对r2和P2，用r1对r2和P2构成的组合签名得到Sign3；将r2、P2和Sign3发送给智能终端主控MCU；智能终端主控MCU利用物联网可信计算模块验证r2、P2和Sign3的有效性，若有效，则将r2、P2保存至物联网可信计算模块。优选地，智能终端启动校验和身份认证，具体为：智能终端上电后，物联网可信计算模块计算BootLoader的hash值与H0比较，若一致表示BootLoader完整，则允许BootLoader启动；BootLoader计算固件的hash值，并将hash值传至可信计算模块，物联网可信计算模块与H1匹配，并将结果返回给BootLoader；BootLoader判断固件是否完整，如果完整则启动固件；固件启动后，请求物联网可信计算模块生成身份认证签名；物联网可信计算模块判断是否完成了BootLoader和固件的完整性度量，若已完成，则利用r2生成身份认证签名Sign4，否则返回错误；固件利用通信模组将Sign4发送至物联网应用管理平台；物联网应用管理平台收到智能终端的认证请求后，验证Sign4，若验证通过，则完成身份认证。本文档来自技高网...

【技术保护点】
1.一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统，其特征在于：包括：/n信长城可信计算管理平台，包括物联网可信计算模块；/n物联网可信计算模块，用于写入根证书P0；写入方案商标识公钥P1；写入智能终端标识公钥P2和私钥r2；/n物联网应用管理平台，用于刷写智能终端主控MCU的BootLoader，完成物联网可信计算模块与智能终端主控MCU的绑定；启动校验和身份认证；/n以及智能终端，用于下载固件。/n

【技术特征摘要】
1.一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统，其特征在于：包括：
信长城可信计算管理平台，包括物联网可信计算模块；
物联网可信计算模块，用于写入根证书P0；写入方案商标识公钥P1；写入智能终端标识公钥P2和私钥r2；
物联网应用管理平台，用于刷写智能终端主控MCU的BootLoader，完成物联网可信计算模块与智能终端主控MCU的绑定；启动校验和身份认证；
以及智能终端，用于下载固件。


2.根据权利要求1所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统，其特征在于：还包括：
物联网应用管理平台用于进行远程度量操作；进行固件在线升级操作。


3.根据权利要求2所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统，其特征在于：物联网可信计算模块用于写入根证书P0，具体为：
信长城可信计算管理平台随机生成一对密钥r0和P0；
信长城可信计算管理平台利用可信计算量产工具将P0写入物联网可信计算模块；
P0对应的私钥r0保存在信长城可信计算管理平台。


4.根据权利要求3所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统，其特征在于：物联网可信计算模块用于写入方案商标识公钥P1，具体为：
信长城可信计算管理平台生成密钥对r1和P1，利用r0对P1进行签名得到Sign0；
信长城可信计算管理平台将r1、P1和Sign0发送给物联网应用管理平台；
物联网应用管理平台将P1写入物联网可信计算模块，r1由物联网应用管理平台保存。


5.根据权利要求4所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统，其特征在于：智能终端主控MCU刷写BootLoader，完成物联网可信计算模块与智能终端主控MCU的绑定，具体为：
物联网应用管理平台计算BootLoader和属性信息的hash值H0，并用r1对H0签名得到Sign1；
物联网应用管理平台管理平台将BootLoader刷写至智能终端主控MCU；
物联网应用管理平台管理平台将Sign1、H0发送给物联网可信计算模块；
物联网可信计算模块基于P0验证Sign1的有效性，若有效，则将H0和属性信息保存至Flash。


6.根据权利要求5所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统，其特征在于：智能终端主控MCU下载固件，具体为：
物联网应用管理平台利用r1对固件hash值签名，得到Sign2；
物联网应用管理平台将固件发送给智能终端主控MCU；
智能终端主控MCU的BootLoader计算固件的hash值得到H1，并将H1和Sign2发送给物联网可信计算模块，验证签名的有效性；若签名有效，物联网可信计算模块保存H1，BootLoader将固件写入Flash，完成固件的下载。


7.根据权利要求6所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统，其特征在于：物联网可信计算模块用于写入智能终端标识公钥P2和私钥r...

【专利技术属性】
技术研发人员：罗燕京，刘鹏，
申请(专利权)人：北京仁信证科技有限公司，
类型：发明
国别省市：北京;11