本发明专利技术公开了一种物联网智能表计生产测试系统及安全保护方法。解决现有表计在生产测试环节缺少安全保密措施,存在泄漏信息的问题。系统包括通过加密通讯依次连接的表计端、运维服务器端和云端,表计端上连接有可信测试工装,可信测试工装通过加密通讯与云器端连接。表计端生产测试期间,操作人员接触的内容都是加密的,所有烧录进MCU控制器的内容都是经过验证的,且所有的通讯都是基于身份认证的加密通讯,从源头上降低了泄密风险。从源头上降低了泄密风险。从源头上降低了泄密风险。
【技术实现步骤摘要】
一种物联网智能表计生产测试系统及安全保护方法
[0001]本专利技术涉及表计安全
,尤其是涉及一种物联网智能表计生产测试系统及安全保护方法。
技术介绍
[0002]物联网技术的发展,智能表计行业实现了无线远程监控,包含数据采集上传,本地存储,异常监测、远程升级,阀控等。目前主流解决方案,使用无线通讯模组与应用平台交互数据,由于考虑成本和运维,对安全部分重视不高,市面上大部分表计设备没有做安全保护措施,其通信链路和MCU内部对攻击者来说都是暴露的。
[0003]表计设备通常使用不带安全内核架构的MCU,裸机执行代码,没有安全的软件架构,不具备可信的MCU内部执行环境。
[0004]带安全保护的方案,常见的为SE方案, 即在MCU外部外挂一个安全SE模块,其实现的主要功能包括:密钥的安全存储、数据加解密运算和信息的安全存放。密钥的安全存储可建立相对完善的密钥管理体系,保证密钥不可被读取。数据加解密运算包括对常见的安全算法的支持、敏感数据密文传输和数据传输防篡改等。信息安全存放包括严格的文件访问权限机制和可靠的认证算法和流程。
[0005]但现有技术还存在以下缺点:1)SE方案只保证SE模块内部相对安全,但与MCU的通讯接口是暴露的,攻击者监听通讯接口也有可能获取解密的数据。
[0006]2)SE方案不能保证MCU内部安全,不能保证MCU安全启动、升级,一旦MCU被破解,SE芯片失去作用。外接SE芯片也增加了器件成本。
[0007]3)对于通讯未加密的设备,MCU通过接口和通讯模组交互数据,可以通过调试工具读出设备到云端的交互数据从而分析协议,伪造虚假数据。没有可信身份认证机制,容易伪造设备和服务器。另外目前设备通讯也有采用加密方式,加密方式包括对称加密和非对称加密,设备一般采用其中一种方式。
[0008]4)对于没有安全硬件和软件架构的MCU,可通过调试工具读取和篡改MCU内部,伪造非法设备。
[0009]5)现有的设备生产测试环节,对代码烧录过程没有做严格的保密措施,有可能从源头泄露信息。
[0010]现有技术中已经开始注意在硬件和软件对表计安全进行保护,但在生产测试环节中仍然缺少安全保护,因此需要设计一种生产测试安全保护系统以及对应生产测试安全保护方法,从源头上对表计信息进行安全保护。
技术实现思路
[0011]本专利技术主要是解决现有技术中表计在生产测试环节缺少安全保密措施,存在泄漏信息的问题,提供了一种物联网智能表计生产测试系统及安全保护方法。
[0012]本专利技术的上述技术问题主要是通过下述技术方案得以解决的:一种物联网智能表计生产测试系统,包括通过加密通讯依次连接的表计端、运维服务器端和云端,表计端上连接有可信测试工装,可信测试工装通过加密通讯与云器端连接,表计端包括MCU控制器,所述MCU控制器包括安全世界部分和非安全世界部分,在安全世界部分部署有可信执行环境,在非安全世界部分部署有非安全环境,可信执行环境中设置有安全内核模块、启动装载模块、OTA升级模块、安全服务模块、安全驱动模块和安全API接口模块,在非安全环境设置有用户应用CA模块和非安全内核模块。本专利技术中运维服务器端和测试服务器端都为云端。所有烧录进MCU控制器的内容都是经过验证的,所有的通讯都是基于身份认证的加密通讯,包括表计端与运维服务器端加密通讯,运维服务器端与云端加密通讯,云端与可信测试工装加密通讯。保证了表计端生产测试环节的安全性。本专利技术对表计端从硬件安全和软件安全两方面进行了保护,解决了表计端软件上的安全漏洞,防止表计端被其他硬件设备操控,同时防止恶意破解软件。表计端被拆除后也无法读取有效信息,减少了杯破解和其他厂商仿冒的风险。本专利技术中MCU控制器支持安全内核构架,MCU控制器分为安全世界部分和非安全世界部分,安全世界部分可以访问所有资源,非安全世界部分只能访问非安全世界资源而禁止访问安全世界资源,在非安全世界非法访问安全世界资源时,MCU控制器从硬件上拦截产生异常。安全世界部分和非安全世界部分可以通过安全API接口模块进行切换,受MCU控制器严格监控。软件安全保护基于MCU内核的可信固件框架,在安全世界部分部署有可信执行环境TEE,在非安全世界部署有非安全环境NSE,并且在可信执行环境和非安全环境分别设置相应的功能模块,起到了软件安全保护,防止被恶意破解软件。
[0013]安全内核模块:对多任务线程进行创建、调度和通信,以及创建隔离的安全分区;启动装载模块:按固定顺序启动应用固件,对应用固件进行信任根、安全属性配置、应用固件合法性和应用固件更新的检测,应用固件包括安全应用固件和非安全应用固件;信任根检测保证启动装载模块的安全性,表计端上电后先启动启动装载模块再启动应用固件。
[0014]启动装载模块检测MCU控制器与安全相关的寄存器,判断安全属性配置是否符合要求,保证安全的硬件环境。
[0015]启动装载模块启动应用固件前,线校验应用固件携带的签名,判断合法性,应用固件才会启动,每次启动都会验证应用固件。
[0016]启动装载模块启动应用固件前,检测到有新应用固件信息,通过签名验证应用固件合法性,新应用固件合法则替换旧应用固件,然后启动新应用固件。
[0017]OTA升级模块:对应用固件进行远程升级;先用签名算法对原始应用固件签名,然后加密。表计端下载的是加密后的应用固件,表计端解密应用固件后,验证签名,签名合法则重新启动表计端进行固件更新。
[0018]安全服务模块:包括安全存储、加解密库、安全函数功能模块;不同的功能模块实用不同的安全分区,互不干扰。
[0019]安全存储用于将敏感信息加密后保存在可信执行环境TEE的安全存储区,敏感信息包括设备ID、云端鉴权信息、密钥、计量数据、金额等。加解密库提供系统所需的加解密功能。
[0020]安全驱动模块:包括在可信执行环境中进行的硬件随机数发生器、硬件加解密模
块;具体的包括硬件随机数发生器RNG、硬件加解密模块Crypto及其他必备驱动。硬件随机数发生器用于产生真随机数,硬件加解密模块用于提高加解密算法的速度。
[0021]安全API接口模块:对可信执行环境和非安全环境之间提供资源调用接口。实现MCU控制器在安全世界和非安全世界状态间的切换。非安全环境NSE可通过安全API接口调用可信执行环境TEE侧的安全服务,可信执行环境TEE也可调用NSE侧的非安全函数。
[0022]一种物联网智能表计生产测试安全保护方法,包括以下步骤,S1.基于MCU控制器信任根验证,烧录启动加载模块、密钥对和用户证书;所有烧录进MCU控制器的内容都是经过验证的,启动加载模块、密钥对、用户证书是经过MCU控制器的信任根验证。启动加载模块采用固定顺序引导机制,防止应用固件绕过启动加载模块的一系列安全检查进入应用区。
[0023]S2.启动加载模块对flash进行分区管理,初始化安全配置寄存器;分区管理不同分区存放不同的数据和代码,初始化安全配置寄存器,配置可信的硬件环本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种物联网智能表计生产测试系统,其特征在于:包括通过加密通讯依次连接的表计端(1)、运维服务器端(2)和云端(3),表计端上连接有可信测试工装(4),可信测试工装通过加密通讯与云器端连接,表计端包括MCU控制器,所述MCU控制器包括安全世界部分(5)和非安全世界部分(6),在安全世界部分部署有可信执行环境(7),在非安全世界部分部署有非安全环境(8),可信执行环境中设置有安全内核模块(9)、启动装载模块(10)、OTA升级模块(13)、安全服务模块(11)、安全驱动模块(12)和安全API接口模块(14),在非安全环境设置有用户应用CA模块(15)和非安全内核模块(16)。2.一种物联网智能表计生产测试安全保护方法,采用权利要求1中的系统,其特征是:包括以下步骤,S1.基于MCU控制器信任根验证,烧录启动加载模块、密钥对和用户证书;S2.启动加载模块对flash进行分区管理,初始化安全配置寄存器;S3.烧录加密后的应用固件,将应用固件解密写入应用区;S4.生成并烧录云端鉴权信息,表计端进行鉴权信息验证;S5.设置自出厂模式。3.根据权利要求2所述的一种物联网智能表计生产测试安全保护方法,其特征是步骤S3的具体过程包括:S31.烧录加密后的应用固件;S32.应用固件由启动加载模块在可信执行环境中解密;S33.通过签名验证应用固件是否合法,若是,将应用固件吸入应用区,若否,进行报错。4.根据权利要求2所述的一种物联网智能表计生产测试安全保护方法,其特征是步骤S4的具体过程包括:S41. 云端生成云端鉴权信息,云端鉴权信息包括设备ID、云端应用账户、云端应用账户密码;S42.云端将云端鉴权信息下发给可信测试工装烧录到表计端,同时云端根据云端鉴权信息注册到运维服务器端;S43.表计端发送接入运维服务器端请求,运维服务器端判断表计端是否注册,若是,向表计端发送测试命令,进入下一步骤,若否提示测试异常;S44.运维服务器端判断...
【专利技术属性】
技术研发人员:焦绍华,
申请(专利权)人:杭州绿鲸科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。