一种星载计算系统的信息完整性度量验证方法及系统技术方案

本发明专利技术公开了一种星载计算系统的信息完整性度量验证方法及系统。方法包括：S1，在整个启动序列中建立信任链；以完整性信任模块为起点，在信任当前对象的前提下，对启动序列中下一对象进行完整性度量和本地验证，当本地验证通过后，认为下一对象可信，再将控制权转交给下一对象，依次向后推进直到整个启动序列中的对象完成本地验证；S2，在系统运行过程中，对内存中的数据进行完整性度量和本地验证；当地面系统向星载计算系统发送任务时，远程验证通过后再进行数据传输。从星载计算系统的硬件和软件的底层采取了安全措施，增加对系统与关键应用的度量与验证，能更好地抵抗篡改攻击等，能证实平台代码和数据的完整性和真实性。

【技术实现步骤摘要】
一种星载计算系统的信息完整性度量验证方法及系统
本专利技术涉及信息安全防护领域，特别是涉及一种星载计算系统的信息完整性度量验证方法及星载计算系统。
技术介绍
卫星互联网络作为国家信息化重要基础设施，是我国信息网络实现信息全球覆盖、宽带传输、军民融合、自由互联的必由之路。不同于现有卫星系统，本质上卫星互联网是一种天地一体的、以及“信息+网络”的复杂系统，汇集处理各种数据与信息。未来异构星地网络的融合应用会引入一系列信息安全隐患，卫星的星载计算系统作为大量重要信息数据的集散地，也是潜在的易受信息安全攻击威胁的区域。作为体系性防御的重要组成部分之一，确保星载计算系统的完整性是首当其冲的。但星载环境下，受限于计算资源以及实时性的要求，对完整性保护机制提供的计算、存储资源较为苛刻，需要针对性设计。星载计算系统是一种典型但资源受限的嵌入式系统，当前星载计算系统软硬件平台结构相对简单，对执行代码不做严格意义上的完整性检查，对合法用户没有严格的访问控制，恶意攻击可以轻易将代码嵌入到可执行代码中，可能会导致各类信息安全事件的发生。随着应用需求的发展，星载计算系统已从功能相对固定的封闭系统发展为可以进行功能升级的半开放系统。现有星载计算系统的功能升级常采用将新代码直接注入内存、修改跳转地址的方式来完成。功能丰富的同时也为星载计算系统带来了巨大的安全风险，攻击者可以采用类似的方式向星载计算系统注入恶意代码。现有星载计算系统采用纠错码校验机制能保证代码的可靠性，但不能防止恶意代码的注入，因为攻击者对恶意代码同样可以生成正确的校验码。在信息安全领域，硬件结构和操作系统的安全是信息系统安全的基础，只有从星载计算系统的硬件和软件的底层采取安全措施，才能有效地确保系统的安全。
技术实现思路
本专利技术旨在至少解决现有技术中存在的技术问题，特别创新地提出了一种星载计算系统的信息完整性度量验证方法及星载计算系统。为了实现本专利技术的上述目的，根据本专利技术的第一个方面，本专利技术提供了一种星载计算系统的信息完整性度量验证方法，包括：步骤S1，以完整性信任模块为可信根，在星载计算系统的整个启动序列中通过信任传递机制建立信任链；所述信任传递机制为：以完整性信任模块为起点，在信任当前对象的前提下，由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证，当本地验证通过后，认为下一对象可信，当本地验证不通过，对下一对象进行信任恢复，再将对完整性信任模块的控制权转交给下一对象，依次向后推进直到整个启动序列中的对象完成本地验证，信任链建立完成；步骤S2，在星载计算系统运行过程中，以应用进程为最小单位对内存中的数据进行完整性度量和本地验证；当地面系统向星载计算系统发送任务时，首先进行远程验证，远程验证通过后再进行数据传输。上述技术方案的有益效果为：针对星载计算系统注重可靠性与实时性，以及缺乏系统安全防护机制的不足，加入完整性信任模块作为可信根，通过信任启动建立信任链，一级度量验证一级，一级信任一级，验证失败的情况下，还可进行信任恢复，从而确保整个星载系统计算环境的完整性和可靠性；在启动之后进行动态完整性度量验证，使得星载计算系统中免于遭受非预期的干扰和恶意攻击；通过远程验证机制实现对星载计算系统的身份和平台状态配置信息的完整性保证。从星载计算系统的硬件和软件的底层采取了安全措施，对星载计算系统的完整性认证机制进行重新设计，增加对系统与关键应用的度量与验证，确保星载计算系统的高完整性性能更好地抵抗篡改攻击等信息安全威胁，能够证实平台代码和数据的完整性和真实性以及安全执行。在本专利技术的一种优选实施方式中，所述完整性度量的过程包括：对度量对象的特征代码和/或数据进行哈希计算，将哈希计算结果作为度量值并扩展到完整性信任模块的配置寄存器中，记录度量日志。上述技术方案的有益效果为：将度量值存储到可信根的平台配置寄存器中，并记录度量日志，度量日志记录了度量对象的度量先后顺序，通过配置寄存器的值保证度量日志的正确性，完整性度量对星载计算系统安全状态数据的正确性提供了保证。在本专利技术的一种优选实施方式中，度量对象与完整性信任模块的配置寄存器一一对应，将每个度量对象的所有完整性度量值扩展到对应的配置寄存器中，为每个度量对象记录链式度量日志，同时将所有度量对象的配置寄存器值构造成树形度量日志。上述技术方案的有益效果为：将度量值扩展到配置寄存器中，节省存储空间，同时增加了度量值保存的安全性。通过链式或哈希树连接的方式，真实体现了各度量对象的完整性度量值。在本专利技术的一种优选实施方式中，同一个度量对象不同时间的度量值采用哈希链接的方式扩展到同一个配置寄存器中构成链式度量日志，哈希链接计算公式为：其中，表示第i个度量对象扩展之前旧的配置寄存器值，表示第i个度量对象扩展之后新的配置寄存器值，符号||表示连接，C表示第i个度量对象的特征和/或数据内容。上述技术方案的有益效果为：提高了度量值存储安全性，减少了存储空间。在本专利技术的一种优选实施方式中，所述本地验证的过程包括：获取度量对象的HMAC，对度量对象的HMAC进行解密获得度量对象的验证基准值；将度量对象在完整性度量中获得的度量值与所述度量对象的验证基准值比较，若两者相同，认为本地验证通过，若两者不相同，认为本地验证不通过；所述度量对象的HMAC的建立过程为：在安全环境下，对星载计算系统中每个对象的特征代码和/或数据进行哈希计算，将哈希计算结果作为所述对象的验证基准值；以完整性信任模块的一个密钥作为消息认证码密钥，生成验证基准值的HMAC。上述技术方案的有益效果为：能够更好地抵抗篡改攻击等信息安全威胁，能够证实平台代码和数据的完整性和真实性以及安全执行。在本专利技术的一种优选实施方式中，所述远程验证的过程包括：步骤S21，地面系统向星载计算系统发送含有随机数的请求消息；步骤S22，星载计算系统收到请求消息后，基于完整性信任模块的根密钥和随机数生成身份密钥并申请相应的数字证书；步骤S23，通过身份密钥对完整性信任模块的配置寄存器值进行签名；步骤S24，星载计算系统将配置寄存器值的签名、度量日志、身份密钥和数字证书发送给地面系统；步骤S25，地面系统收到消息后，先验证身份密钥和数字证书的正确性，若身份密钥和数字证书正确，验证配置寄存器值签名的正确性，若配置寄存器值签名正确，再确认度量日志是否被篡改，若度量日志未被篡改，认为远程验证通过；若身份密钥和数字证书不正确、配置寄存器值签名不正确或度量日志被篡改三种情况中至少存在一种情况，则认为远程验证不通过。上述技术方案的有益效果为：当地面系统向星载计算系统发送任务时，地面系统可主动向星载计算系统发起验证请求，通过远程验证机制实现对星载计算系统的身份和平台状态配置信息的完整性保证。在本专利技术的一种优选实施方式中，当远程验证不通过时，还包括对星载计算系统进行完整性信任恢复的步骤。上述技术方案的有益效果为：提高系统对抵抗篡改攻击等信息安全威胁的能力，提高了系统可靠性。在本专利技术的一种优选实施方本文档来自技高网...

【技术保护点】
1.一种星载计算系统的信息完整性度量验证方法，其特征在于，包括：/n步骤S1，以完整性信任模块为可信根，在星载计算系统的整个启动序列中通过信任传递机制建立信任链；/n所述信任传递机制为：以完整性信任模块为起点，在信任当前对象的前提下，由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证，当本地验证通过后，认为下一对象可信，当本地验证不通过，对下一对象进行信任恢复，再将对完整性信任模块的控制权转交给下一对象，依次向后推进直到整个启动序列中的对象完成本地验证，信任链建立完成；/n步骤S2，在星载计算系统运行过程中，以应用进程为最小单位对内存中的数据进行完整性度量和本地验证；/n当地面系统向星载计算系统发送任务时，首先进行远程验证，远程验证通过后再进行数据传输。/n

【技术特征摘要】
1.一种星载计算系统的信息完整性度量验证方法，其特征在于，包括：
步骤S1，以完整性信任模块为可信根，在星载计算系统的整个启动序列中通过信任传递机制建立信任链；
所述信任传递机制为：以完整性信任模块为起点，在信任当前对象的前提下，由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证，当本地验证通过后，认为下一对象可信，当本地验证不通过，对下一对象进行信任恢复，再将对完整性信任模块的控制权转交给下一对象，依次向后推进直到整个启动序列中的对象完成本地验证，信任链建立完成；
步骤S2，在星载计算系统运行过程中，以应用进程为最小单位对内存中的数据进行完整性度量和本地验证；
当地面系统向星载计算系统发送任务时，首先进行远程验证，远程验证通过后再进行数据传输。


2.如权利要求1所述的星载计算系统的信息完整性度量验证方法，其特征在于，所述完整性度量的过程包括：
对度量对象的特征代码和/或数据进行哈希计算，将哈希计算结果作为度量值并扩展到完整性信任模块的配置寄存器中，记录度量日志。


3.如权利要求2所述的星载计算系统的信息完整性度量验证方法，其特征在于，度量对象与完整性信任模块的配置寄存器一一对应，将每个度量对象的所有完整性度量值扩展到对应的配置寄存器中，为每个度量对象记录链式度量日志，同时将所有度量对象的配置寄存器值构造成树形度量日志。


4.如权利要求3所述的星载计算系统的信息完整性度量验证方法，其特征在于，同一个度量对象不同时间的度量值采用哈希链接的方式扩展到同一个配置寄存器中构成链式度量日志，哈希链接计算公式为：

其中，表示第i个度量对象扩展之前旧的配置寄存器值，表示第i个度量对象扩展之后新的配置寄存器值，符号||表示连接，C表示第i个度量对象的特征和/或数据内容。


5.如权利要求1所述的星载计算系统的信息完整性度量验证方法，其特征在于，所述本地验证的过程包括：
获取度量对象的HMAC，对度量对象的HMAC进行解密获得度量对象的验证基准值；将度量对象在完整性度量中获得的度量值与所述度量对象的验证基准值比较，若两者相同，认为本地验证通过，若两者不相同，认为本地验证不通过；
所述度量对象的HMAC的建立过程为：在安全环境下，对星载计算系统中每个对象的特征代码和/或数据进行哈希计算，将哈希计算结果作为所述对象的验证基准值；以完整性信任模块的一个密钥作为消息认证码密钥，生成验证基准值的HMAC。


6.如权利要求1－5之一所述的星载计算系统的信息完整性度量验证方法，其特征在于，所述远程验证的过程包括：
步骤S21，地面系统向星载计算系统发送含有随机数的请求消息；
步骤S22，星载计算系统收到请求消息后，基于完整性信任模块的根密钥和随机数生成身份密钥并申请相应的数字证书；
步骤S23，通过身份密钥对完整性信任模块的配置寄存器值进行签名；
步骤S24，星载计算系统将配置寄存器值...

【专利技术属性】
技术研发人员：陶利民，王静，崔翔，
申请(专利权)人：东方红卫星移动通信有限公司，
类型：发明
国别省市：重庆;50