【技术实现步骤摘要】
基于可信计算模块的嵌入式系统安全启动和可信度量的系统
本专利技术涉及智能终端的可信运行
,尤其涉及一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统。
技术介绍
信息技术的高速发展,带来了信息产业的空前繁荣;但危害信息安全的事件也不断发生,信息安全形势日益严峻。当前比较流行的系统安全保障技术有强制访问控制技术、以及加密技术,但这些都是运行于系统上层,他们能够实现安全机制的前提是系统本身是安全的,如果系统自身在启动时就由于被恶意程序篡改等原因进入一种不可信的状态,则基于此系统的应用程序和上层安全机制都是不可信的。因此,系统的安全启动技术已逐步被引起重视,它是可信计算的核心部分。同时,对于运行过程中的可信度量也是可信计算的一个重要组成部分。中国专利CN201120295129.1提出了一种兼容多种可信计算模式的可信计算系统,包含固件设置模块,固件下载模块,固件存储模块和可信计算单元,所述可信计算单元上设有与固件下载模块和总线进行通讯的通信接口;所述固件设置模块,用于设置可信计算单元的工作模式;所述固件存储模块,存储有可信计算标准固件;所述固件下载模块,用于从固件存储模块中下载与固件设置模块设置的可信计算单元的工作模式相对应的固件到可信计算单元中;所述可信计算单元,用于与总线进行数据传输,且承载固件下载模块下载的固件;使得可信计算系统在商业应用上具有更好的适应性,拥有极大的灵活性,且大大降低了成本。可信计算组织(TCG)为了从基础上提高计算平台的安全可信性,定义了一个可信第三方,具有安全存储以及 ...
【技术保护点】
1.一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统,其特征在于:包括:/n信长城可信计算管理平台,包括物联网可信计算模块;/n物联网可信计算模块,用于写入根证书P0;写入方案商标识公钥P1;写入智能终端标识公钥P2和私钥r2;/n物联网应用管理平台,用于刷写智能终端主控MCU的BootLoader,完成物联网可信计算模块与智能终端主控MCU的绑定;启动校验和身份认证;/n以及智能终端,用于下载固件。/n
【技术特征摘要】
1.一种基于可信计算模块的嵌入式系统安全启动和可信度量的系统,其特征在于:包括:
信长城可信计算管理平台,包括物联网可信计算模块;
物联网可信计算模块,用于写入根证书P0;写入方案商标识公钥P1;写入智能终端标识公钥P2和私钥r2;
物联网应用管理平台,用于刷写智能终端主控MCU的BootLoader,完成物联网可信计算模块与智能终端主控MCU的绑定;启动校验和身份认证;
以及智能终端,用于下载固件。
2.根据权利要求1所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统,其特征在于:还包括:
物联网应用管理平台用于进行远程度量操作;进行固件在线升级操作。
3.根据权利要求2所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统,其特征在于:物联网可信计算模块用于写入根证书P0,具体为:
信长城可信计算管理平台随机生成一对密钥r0和P0;
信长城可信计算管理平台利用可信计算量产工具将P0写入物联网可信计算模块;
P0对应的私钥r0保存在信长城可信计算管理平台。
4.根据权利要求3所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统,其特征在于:物联网可信计算模块用于写入方案商标识公钥P1,具体为:
信长城可信计算管理平台生成密钥对r1和P1,利用r0对P1进行签名得到Sign0;
信长城可信计算管理平台将r1、P1和Sign0发送给物联网应用管理平台;
物联网应用管理平台将P1写入物联网可信计算模块,r1由物联网应用管理平台保存。
5.根据权利要求4所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统,其特征在于:智能终端主控MCU刷写BootLoader,完成物联网可信计算模块与智能终端主控MCU的绑定,具体为:
物联网应用管理平台计算BootLoader和属性信息的hash值H0,并用r1对H0签名得到Sign1;
物联网应用管理平台管理平台将BootLoader刷写至智能终端主控MCU;
物联网应用管理平台管理平台将Sign1、H0发送给物联网可信计算模块;
物联网可信计算模块基于P0验证Sign1的有效性,若有效,则将H0和属性信息保存至Flash。
6.根据权利要求5所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统,其特征在于:智能终端主控MCU下载固件,具体为:
物联网应用管理平台利用r1对固件hash值签名,得到Sign2;
物联网应用管理平台将固件发送给智能终端主控MCU;
智能终端主控MCU的BootLoader计算固件的hash值得到H1,并将H1和Sign2发送给物联网可信计算模块,验证签名的有效性;若签名有效,物联网可信计算模块保存H1,BootLoader将固件写入Flash,完成固件的下载。
7.根据权利要求6所述的基于可信计算模块的嵌入式系统安全启动和可信度量的系统,其特征在于:物联网可信计算模块用于写入智能终端标识公钥P2和私钥r...
【专利技术属性】
技术研发人员:罗燕京,刘鹏,
申请(专利权)人:北京仁信证科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。