嵌入式系统安全防护架构体系技术方案

本发明专利技术涉及一种嵌入式系统安全防护架构体系，其中，包括：Flash安全存储芯片、RTC芯片、SRAM以及FPGA；FPGA芯片集成通信模块、PCIe IP接口、嵌入式CPU以及算法模块；算法模块提供SM2、SM3以及SM4三类算法IP核，用于提供签名、验签、对称算法、杂凑运算以及对称加解密密码运算；PCIe IP接口，对外提供PCIe快速通道；通信模块包括管理通道以及算法通道，管理通道用于实现数据包在信号通道中的传输管理；算法通道在FPGA内部为算法模块中支持的算法分配相互独立的逻辑资源及高速缓冲区，以实现算法的并行执行。

Security protection architecture of embedded system

【技术实现步骤摘要】
嵌入式系统安全防护架构体系
本专利技术涉及嵌入式系统
，具体涉及针对嵌入式系统的安全防护架构体系。
技术介绍
随着嵌入式系统在军事、工业、航空航天等安全重要领域中的广泛应用，它们越来越多的被非法入侵和破坏，重要情报资料被窃密等问题已经造成巨大的经济损失，甚至威胁到国家安全。对于系统硬件，存在硬件木马、侧信道攻击、硬件逆向工程等安全问题；对于系统软件，存在代码完整性攻击、应用软件攻击、隐私数据窃取攻击等安全问题。因此，如何保证嵌入式系统的安全成为关注的热点问题。当前人们已经意识到了安全的重要性，并采取了一定的措施进行防护。如Intel、微软、IBM等牵头成立了“可信计算平台联盟(TCPA，TrustedComputingPlatformAlliance)”，采用“可信计算”技术构建通用的终端硬件平台，同时，设计了可信平台模块TPM(TrustedPlatformModule)作为整个计算平台的信任根，达到增强计算机安全性的目的。在软件方面，安全操作系统、多级安全(MLS，MultilevelSecurity)、安全系统模型(BLP,Bell&LaPadula)等概念和技术的提出，为保护系统软件提供了有效的方法和手段。当前，对于系统安全的研究大多聚焦在防止硬件失效和软件错误所带来的危害，即注重实现系统的防危性。随着嵌入式系统的网络化和智能化，安全入侵和网络攻击成为新的攻击形式，对系统的正常运行造成威胁。因此，防止系统关键功能和数据遭受未经授权的访问、使用、篡改和泄漏，作为防危性实现的前提，成为嵌入式系统安全防护架构设计所考虑的重点问题。
技术实现思路
本专利技术公开了一种嵌入式系统安全防护架构体系，用于解决上述现有技术的问题。本专利技术一种嵌入式系统安全防护架构体系，其中，包括：Flash安全存储芯片、RTC芯片、SRAM以及FPGA；FPGA芯片集成通信模块、PCIeIP接口、嵌入式CPU以及算法模块；算法模块提供SM2、SM3以及SM4三类算法IP核，用于提供签名、验签、对称算法、杂凑运算以及对称加解密密码运算；PCIeIP接口，对外提供PCIe快速通道；通信模块包括管理通道以及算法通道，管理通道用于实现数据包在信号通道中的传输管理；算法通道在FPGA内部为算法模块中支持的算法分配相互独立的逻辑资源及高速缓冲区，以实现算法的并行执行。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，还包括：实时时钟芯片，用于为系统应用提供时钟信号。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，FPGA芯片与实时时钟芯片间使用I2C总线方式通讯，通过FPGA芯片的GPIO引脚扩展实现。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，Flash安全存储芯片包括NorFlash和NandFlash两类芯片。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，还包括：FPGA接口转换部件，用于安全控制模块与主处理器板之间的快速通信。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，FPGA接口转换部件采用PCI-EHardIP核实现高速数据交换时的时序逻辑控制。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，还包括：可信引导层，可信引导层包括TCM模块设备驱动、身份认证模块、关键软硬件度量模块和基准值管理模块；TCM模块设备驱动是与高性能嵌入式安全控制模块和引导程序中其它可信服务模块进行通信和交互的部件，进行底层总线访问、可信报文协议解析处理和可信计算服务功能；身份认证模块提供基于口令的身份认证，通过获取登录用户的信息，并调用TCM模块的用户身份认证接口对用户信息进行校验；关键软硬件度量模块包括硬件完整性度量和软件完整性度量两部分；基准值管理模块是系统管理员对基准值进行管理配置的功能模块，通过调用TCM模块驱动提供的功能服务接口进行基准值的采集、存储、更新和管理。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，硬件度量范围包括度量硬盘序列号、网卡MAC地址、PCI设备型号、外设扩展ROM执行代码等，软件完整性度量内容包括操作系统内核、TCM驱动模块以及可信访问控制模块的核心文件。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，还包括：系统管理分区，用于对客户分区的生命周期和安全健康进行管理操作；设备服务分区，用于提供专门的设备服务和统一的设备部署。根据本专利技术的嵌入式系统安全防护架构体系的一实施例，其中，在FPGA内部分别为非对称、对称、杂凑等三类算法分配相互独立的逻辑资源及高速缓冲区以支持并行执行，实现算法及算法通道的相互独立。在嵌入式系统网络化、智能化的发展趋势下，针对现有安全防护措施的不足，以嵌入式系统为研究对象，设计一种嵌入式系统安全防护架构体系。以嵌入式系统的安全理论研究为基础，从底层安全防护硬件层、到可信引导层，再到安全操作系统层以及应用层，形成一套完整的嵌入式系统安全防护架构体系，为保证系统的安全运行提供方法引导和技术支撑。可信计算组织注重计算时的安全特性，提出以安全芯片TPM(TrustedPlatformModule)作为硬件安全保证计算机安全的思想。我国已经研制出具有自主知识产权的TPM，并将其功能进行扩展后称为TCM。TCM本身提供了非易失性存储、SHA-1引擎、密钥生成器、随机数生成器等功能。遵循TCM标准设计高性能安全控制模块以保证系统硬件的安全性。附图说明图1是本专利技术嵌入式系统安全防护架构体系构建方法的主流程图；图2所示为高性能安全控制模块结构图；图3为多类算法相互独立架构图。具体实施方式为使本专利技术的目的、内容、和优点更加清楚，下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。图1是本专利技术嵌入式系统安全防护架构体系构建方法的主流程图，图2所示为高性能安全控制模块结构图，如图1以及图2所示，本专利技术提出的嵌入式系统安全防护架构体系包括：Flash安全存储芯片、RTC芯片、SRAM、以及FPGA。如图2所示，FPGA芯片集成通信模块、PCIeIP接口、嵌入式CPU以及算法模块。算法模块提供SM2、SM3、SM4三类算法IP核，用于提供签名、验签、对称算法、杂凑运算、对称加解密密码运算。集成PCIeIP核，对外提供PCIe快速通道。通信模块包括管理通道以及算法通道。管理通道用于实现数据包在信号通道中的传输管理；算法通道则在FPGA内部为算法模块中支持的不同算法分配相互独立的逻辑资源及高速缓冲区，以实现算法的并行执行。嵌入式CPU是系统运行的核心部件，是嵌入式系统的性能体现。如图2所示，搭建软核环境MicroBlaze，为软件运行提供平台环境；软核内运行可信软件，实现平台的接入认证、密码资源管理、完整性度量、数据加解密、数据的安全存储、安全审计等可信服务。如图2所示，实时时钟芯片(RTC芯片)为系统应用提供时钟信号(年、月、日、时、分、秒)。考虑FPGA芯片接口本文档来自技高网...

【技术保护点】
1.一种嵌入式系统安全防护架构体系，其特征在于，包括：Flash安全存储芯片、RTC芯片、SRAM以及FPGA；/nFPGA芯片集成通信模块、PCIe IP接口、嵌入式CPU以及算法模块；算法模块提供SM2、SM3以及SM4三类算法IP核，用于提供签名、验签、对称算法、杂凑运算以及对称加解密密码运算；PCIeIP接口，对外提供PCIe快速通道；通信模块包括管理通道以及算法通道，管理通道用于实现数据包在信号通道中的传输管理；算法通道在FPGA内部为算法模块中支持的算法分配相互独立的逻辑资源及高速缓冲区，以实现算法的并行执行。/n

【技术特征摘要】
1.一种嵌入式系统安全防护架构体系，其特征在于，包括：Flash安全存储芯片、RTC芯片、SRAM以及FPGA；
FPGA芯片集成通信模块、PCIeIP接口、嵌入式CPU以及算法模块；算法模块提供SM2、SM3以及SM4三类算法IP核，用于提供签名、验签、对称算法、杂凑运算以及对称加解密密码运算；PCIeIP接口，对外提供PCIe快速通道；通信模块包括管理通道以及算法通道，管理通道用于实现数据包在信号通道中的传输管理；算法通道在FPGA内部为算法模块中支持的算法分配相互独立的逻辑资源及高速缓冲区，以实现算法的并行执行。


2.如权利要求1所述的嵌入式系统安全防护架构体系，其特征在于，还包括：实时时钟芯片，用于为系统应用提供时钟信号。


3.如权利要求2所述的嵌入式系统安全防护架构体系，其特征在于，FPGA芯片与实时时钟芯片间使用I2C总线方式通讯，通过FPGA芯片的GPIO引脚扩展实现。


4.如权利要求1所述的嵌入式系统安全防护架构体系，其特征在于，Flash安全存储芯片包括NorFlash和NandFlash两类芯片。


5.如权利要求1所述的嵌入式系统安全防护架构体系，其特征在于，还包括：FPGA接口转换部件，用于安全控制模块与主处理器板之间的快速通信。


6.如权利要求5所述的嵌入式系统安全防护架构体系，其特征在于，FPGA接口转换部件采用PCI-EHardIP核实现高速数据交换时的时序逻辑控制。


7.如权利要求1所述的嵌入式系统安全防护架构体...

【专利技术属性】
技术研发人员：蒋欣欣，王颖，张杨，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京;11