一种物联网设备安全保护系统及方法技术方案

本发明专利技术公开了一种物联网设备安全保护系统及方法。解决现有技术中物联网设备硬件软件上存在安全漏洞，以及通讯加解密安全性不高，效率比低下的问题。系统包括设备和服务器，设备包括MCU控制器，MCU控制器包括安全区和非安全区，在安全区部署有可信执行环境，在非安全区部署有非安全环境，可信执行环境中设置有启动装载模块、安全内核模块、安全组件模块、可信应用和安全API接口模块，在非安全环境设置有用户应用和非安全内核模块。本发明专利技术通三层保护措施对敏感数据存储访问进行保护。设备和服务器之间信息加解密采用身份令牌进行验证。本发明专利技术从设备硬件、软件、存储访问、通讯上进行安全保护，防止了硬件被操控，软件被破解，信息被窃取。

【技术实现步骤摘要】
一种物联网设备安全保护系统及方法
本专利技术涉及物联网安全
，尤其是涉及一种物联网设备安全保护系统及方法。
技术介绍
物联网技术的发展，智能设备行业实现了无线远程监控，包含数据采集上传，本地存储、异常监测、远程升级、远程控制等。目前主流解决方案，使用无线通讯模组与云端应用平台交互数据，由于考虑成本和运维，对安全部分重视不高，市面上大部分物联网设备没有做安全保护措施，其通信链路和MCU内部对攻击者来说都是暴露的。物联网设备通常使用不带安全内核架构的MCU，裸机执行代码，没有安全软件架构，不具备可信的MCU内部执行环境。带安全保护的方案，常见的为SE方案，即在MCU外部外挂一个安全SE模块，其实现的主要功能包括：密钥的存储管理、数据加密运算和信息的安全存放。密钥的安全存储可建立相对完善的密钥管理体系，保证密钥不可被读取。数据加解密运算包括对常见的安全算法的支持、敏感数据密文传输和数据传输防篡改等。信息安全存放包括严格的文件访问权限机制和可靠的认证算法和流程。现有技术方案存在以下缺点：1）SE方案只保证SE模块内部相对安全，但与MCU的通讯接口是暴露的，攻击者监听通讯接口也有可能获取解密的数据。2）SE方案不能保证MCU内部安全，不能保证MCU内部安全启动、OTA升级，一旦MCU被破解，SE芯片失去作用，不能实现系统级别的安全。外接SE芯片也增加了器件成本，电路复杂化。3）对于通讯未加密的设备，MCU通过接口和通讯模组交互数据，可以通过调试工具读出设备到云端的交互数据从而分析协议，伪造虚假数据。没有可信身份认证机制，容易伪造设备和服务器。4）现有的基于数字证书的身份认证，占用字节数大，MCU计算和传输开销大，不适合低功耗物联网设备。5)对于没有安全硬件和软件架构的MCU,可通过调试工具读取和篡改MCU内部信息，伪造非法设备。6）现有的设备生产测试环节，对代码烧录过程没有做严格的保密措施，有可能从源头泄露设备认证信息和密钥等敏感数据。7）通过分析加密算法执行和功耗之间的关系，对使用该算法的MCU内部的密钥进行数学解析分析，如简单功耗分析（SPA)和差分功耗分析(DPA)等，并最终获取密钥，从而对物联网设备的安全性造成了很大的威胁。物联网智能设备系统中，所有通讯都是经过身份认证和加密的，包含设备与云端、云端与云端的通讯。加密方式包含对称加密和非对称加密。对称加密方式，双方使用的同一个密钥进行加解密，计算资源开销小、速度快效率高，适合加密大量数据时使用。该方式密钥单一，有一方的秘钥泄露，加密信息也就不安全了。通信双方每次都需要使用他人不知道的唯一秘钥，这使得双方所拥有的密钥数量较多，密钥管理成为双方的负担。非对称加密方式，通信双方各持有一对公私密钥。每对公钥私钥可以互相加密解密，私钥只能由一方保管，不能外泄，公钥可以交给任何请求方。该方式安全更高，但速度和效率比对称方式加密低。传统互联网上身份认证使用可信机构CA签名颁发的数字证书，数字证书是可用来证实公钥持有者身份的电子文件，内容包含公钥相关信息、用户身份信息及证书颁发者的签名，可解决入侵者替换公钥向系统攻击的问题。嵌入式设备通常主频低，内部资源匮乏，大多为电池供电，单一的通讯加密方式不满足安全和效率的要求。基于证书认证所需的资源开销太大，不适合物联网设备。
技术实现思路
本专利技术主要是解决现有技术中物联网设备硬件软件上存在安全漏洞，以及通讯加解密安全性不高，效率比低下的问题，提供了一种物联网设备安全保护系统及方法。本专利技术的上述技术问题主要是通过下述技术方案得以解决的：一种物联网设备安全保护系统，包括通讯相连的设备和服务器，设备包括MCU控制器，其特征在于：所述MCU控制器包括安全区和非安全区，在安全区部署有可信执行环境，在非安全区部署有非安全环境，可信执行环境中设置有启动装载模块、安全内核模块、安全组件模块、可信应用和安全API接口模块，在非安全环境设置有用户应用和非安全内核模块。本专利技术对设备从硬件安全和软件安全两方面进行了保护，解决了设备硬件和软件上的安全漏洞，防止MCU控制器内部信息被非法读取篡改。本专利技术中MCU控制器支持硬件安全内核构架，MCU控制器分为安全区和非安全区，安全区可以访问所有资源，非安全区只能访问非安全区资源而禁止访问安全区资源，在非安全区非法访问安全区资源时，MCU控制器从硬件上拦截产生异常。安全区和非安全区部分可以通过安全API接口模块进行切换，受MCU控制器严格监控。软件安全保护基于MCU控制器安全硬件技术支持的安全软件框架，在安全区部署有可信执行环境TEE，在非安全区部署有非安全环境REE，并且在可信执行环境和非安全环境分别设置相应的功能模块，起到了软件安全保护，防止被恶意破解软件。敏感数据始终位于可信执行环境TEE安全存储区，并由可信应用使用重要算法和处理逻辑来完成对数据的处理，不暴露给非安全环境REE侧。当非安全环境REE侧需要使用敏感数据时，则通过在非安全环境REE侧定义具体的请求id从可信执行环境TEE侧获取反馈结果。作为一种优选方案，安全内核模块：对可信应用进行创建、调度和通信，创建安全隔离分区；启动装载模块：按固定顺序启动应用固件，对应用固件进行安全属性配置检查、应用固件合法性校验和应用固件更新，应用固件包括安全应用固件和非安全应用固件；安全组件模块：包括安全OTA组件、安全存储组件、安全加解密组件和安全驱动组件，安全OTA组件，对应用固件进行远程升级；先用签名算法对原始应用固件签名，然后加密，设备下载到的是加密后的应用固件，设备解密应用固件后，验证签名，签名合法则重新启动设备，在启动装载模块中进行应用固件更新。安全存储组件，将敏感信息加密后保存在可信执行环境的安全存储区；敏感信息包括设备ID、云端鉴权信息、密钥、计量数据和金额。安全加解密组件，为系统提供各类加解密操作；数据加密过程中引入由硬件RNG生成的随机数作为随机掩码，对加密计算过程的中间变量进行掩盖，使攻击者每次获取的功耗信息与密钥无法产生相关性，整个加密过程在可信执行环境中完成，由于每次加密过程中的随机掩码没有规律可供分析，即使攻击者获取设备加密算法的类型，也无法通过功耗分析获取设备使用的密钥。安全驱动组件，包括在可信执行环境进行的硬件随机数发生单元和硬件加解密单元；这些单元只能在可信执行环境调用，其中硬件随机数发生单元用于产生真随机数，硬件加解密单元用于提高加解密算法的速度。可信应用，实现敏感操作的处理逻辑，包括有身份认证、密钥协商、数据加密存取、业务数据封装和解析、OTA升级，这些可信应用基于安全组件协同实现。安全内核模块为每个可信应用分配了独立安全隔离分区，使得可信应用之间独立互不干扰，同时安全内核模块也实现了可信应用间的通信机制。可信应用对应有一个非可信的用户应用，两者通过应用id绑定。用户应用和可信应用间使用安全API接口模块和应用id来调用对方内部的处理逻辑。各安全组件之间的相互本文档来自技高网...

【技术保护点】
1.一种物联网设备安全保护系统，包括通讯相连的设备和服务器，设备包括MCU控制器，其特征在于：所述MCU控制器包括安全区（1）和非安全区（2），在安全区部署有可信执行环境（3），在非安全区部署有非安全环境（4），可信执行环境中设置有启动装载模块（5）、安全内核模块（6）、安全组件模块（7）、可信应用（8）和安全API接口模块（9），在非安全环境设置有用户应用（10）和非安全内核模块（11）。/n

【技术特征摘要】
1.一种物联网设备安全保护系统，包括通讯相连的设备和服务器，设备包括MCU控制器，其特征在于：所述MCU控制器包括安全区（1）和非安全区（2），在安全区部署有可信执行环境（3），在非安全区部署有非安全环境（4），可信执行环境中设置有启动装载模块（5）、安全内核模块（6）、安全组件模块（7）、可信应用（8）和安全API接口模块（9），在非安全环境设置有用户应用（10）和非安全内核模块（11）。


2.根据权利要求1所述的一种物联网设备安全保护系统，其特征是，
安全内核模块：对可信应用进行创建、调度和通信，创建安全隔离分区；
启动装载模块：按固定顺序启动应用固件，对应用固件进行安全属性配置检查、应用固件合法性校验和应用固件更新，应用固件包括安全应用固件和非安全应用固件；
安全组件模块：包括安全OTA组件、安全存储组件、安全加解密组件和安全驱动组件，
安全OTA组件，对应用固件进行远程升级；
安全存储组件，将敏感信息加密后保存在可信执行环境的安全存储区；
安全加解密组件，为系统提供各类加解密操作；
安全驱动组件，包括在可信执行环境进行的硬件随机数发生单元和硬件加解密单元；
安全API接口模块：为非安全环境和可信执行环境之间资源访问提供接口。


3.一种物联网设备安全保护方法，采用权利要求1或2中的系统，其特征是：包括设备与服务器之间的数据通讯保护步骤和数据存储访问保护步骤，其中数据存储访问保护步骤包括：
S1.非安全环境侧用户应用跳转到可信应用的数据存储访问应用处；
S2.对设备状态标识进行认证；
S3.通过认证后，进行访问鉴权；
S4.鉴权成功后，通过加解密数据对数据存储节点进行访问。


4.根据权利要求3所述的一种物联网设备安全保护方法，其特征是步骤S3中在访问鉴权前还包括对数据存在的判断，若存在则进入访问鉴权，若不存在，读访问则返回错误码，写访问则创建一个数据存储节点，其中创建数据存储节点的过程包括：
S301.用真随机数发生单元生成数据密钥、口令和随机数；
S302.用哈希算法计算口令的摘要值hash1；
S303.用摘要值hash1和随机数计算生成口令密钥；
S304.用口令密钥加密数据密钥，得到密文，将口令id、口令、随机数和密文绑定在一起保存，形成口令存储节点；
S305.用数据密钥加密数据，将数据id、密文数据和摘要值hash1绑定在一起保存，形成数据存储节点，返回结果码。


5.根据权利要求3或4所述的一种物联网设备安全保护方法，其特征是步骤S3中访问鉴权的具体过程包括：
S311.根据输入的口令id，找到口令存储节点，获取口令、随机数和密文；
S312.根据输入的数据id，找到数据存储节点，获取摘要值hash1和密文数据；
S313.用哈希算法计算口令的摘要值hash2，将摘要值hash2与摘要值hash1进行比较，若相等则鉴权成功，若不相等则返回错误码。


6.根据权利要求3所述的一种物联网设备安全保护方法，其特征是步骤S4中通过加解密数据对存储节点进行访问的过程包括：
S41.将摘要值hash1和随机数用算法计算口令密钥，用口令密钥解密出数据密钥；
S42.若是读访问，用数据密钥解密密文数据，得到明文，若是写访问，用数据密钥加密新的数据，新的密文数据保存到数据存储节点，返回结果码...

【专利技术属性】
技术研发人员：刘伟，陈强，贾灵，王志军，王薪宇，邱绿景，杨茜，宁辉，胡海，
申请(专利权)人：杭州安芯物联网安全技术有限公司，
类型：发明
国别省市：浙江;33