[发明专利]一种在配电终端中建立可信环境的方法

说明书

技术领域

本发明属于配电终端安全技术领域，具体涉及一种在配电终端中建立可信环境的方法。

背景技术

电力工业负责生产、输送和分配电能，包括发电、输电、变电、配电等环节。由于电能关系着整个国家的正常运转，因此是整个国民经济的重要支撑之一，也是国民经济发展的先行部门。当今的电力基础设施是在十九世纪和二十世纪设计的，随着社会的发展，这个逐渐老化的电力基础设施已不能承担未来电力供应的职责。近几年，随着信息科学技术的迅猛发展，全球各国家都在实现向智能电网的快速迈进。2009年5月21日，我国公布了“坚强智能电网”计划，以期建设具有信息化、自动化、互动化特征，以特高压电网为骨干网架、各级电网协调发展的坚强网架为基础，以通信信息平台为支撑，包含电力系统的发电、输电、变电、配电、用电和调度各个环节，覆盖所有电压等级，实现“电力流、信息流、业务流”的高度一体化融合的现代电网。

而配电作为电力系统中直接与用户相连并向用户分配电能的环节，是电力系统中的重要环节，和人们生活密切相关。智能电网中很重要的一部分就是配电自动化，包括系统的监视与控制、配电系统管理功能以及与用户的交互(如负荷管理、量测和实时定价)等等。配电自动化通过与智能电网的其他组成部分协同运行，既可改善系统监视、无功与电压管理、降低网损和提高资产使用率，也可辅助优化人员调度和维修作业安排等，为此需要复杂的控制系统，即配电自动化终端，简称配电终端。近年来，随着嵌入式移动智能终端的快速发展，配电终端的系统形态也逐步向智能化发展。目前，大部分配电终端都已经具备强大的运算处理能力，系统软件平台也多采用嵌入式实时多任务操作系统，并且都具备利用移动无线网络访问网络的能力等等。这些元素使得移动缴费终端和普通的智能终端一样，面临着各种各样的安全威胁。

配电终端提供的测量数据，是配电主站做决策的重要依据，一旦这些数据被篡改，大规模的电力故障就会被引发，从而造成灾难性的损失。近几年频频出现的移动智能终端安全事件也在提醒着我们配电终端系统的安全状况不容乐观。可以预见的是，如果不加任何防护，针对配电终端系统的攻击的出现只是迟早的问题。由于配电终端和普通智能终端相比，唯一的不同仅仅是上面运行的业务相对比较单一，因此都面临着同样的安全威胁，如窃取权限，中间人攻击，篡改数据等等。而当前的配电终端上缺乏完整性保护机制，软件系统容易受到攻击和篡改，一旦被恶意攻击者发现漏洞，带来的损失将会不可估计。

经过近十几年的发展，传统PC的信任链技术已经日趋完善，信任链能够有效保护系统状态的完整性这一观点已被普遍认可。因此，我们可以将传统PC上建立信任链这种技术思路引入到配电终端上来，通过在配电终端上加入安全芯片用以提供信任根，从而保护系统的完整性，最终为系统建立起可信的运行环境。但是，配电终端和传统PC的软硬件架构及特点大为不同，将PC上的可信芯片直接移植到配电终端上是不合适的。所以，针对配电终端设计一整套完备的系统以建立可信运行环境是一个重要挑战。

发明内容

为了克服上述现有技术的不足，本发明提供一种在配电终端中建立可信环境的方法，通过在配电终端中增加可信芯片作为硬件信任根，里面存储有预置的完整性参考值，然后在系统中加入安全启动模块，作为系统的初始运行模块。在系统启动过程中，通过对系统状态及关键的系统镜像进行完整性度量，从而保护配电终端上运行系统的完整性，构建信任，最终得以建立可信运行环境，从源头上遏止恶意软件破坏系统完整性的能力，提高配电终端系统的安全等级。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种在配电终端中建立可信环境的方法，所述方法包括以下步骤：

步骤1：所述配电终端从外部非易失存储器上载入安全启动模块；

步骤2：所述安全启动模块禁止所有中断，初始化寄存器和内存空间，对所述配电终端的状态做完整性度量；

步骤3：所述安全启动模块根据标志位判断是否需要对所述配电终端的操作系统进行升级，如果需要升级，进入升级流程完成操作系统的升级；如果不需要升级，则执行步骤4；

步骤4：安全启动模块计算引导程序和操作系统内核的完整性度量值；

步骤5：完整性验证成功后，配电终端控制权转交给引导程序，进入正常的配电终端引导过程。

所述步骤1包括以下步骤：

步骤1-1：可信芯片初始化，并使用所述芯片与配电终端之间的IO接口使配电终端进入外部Boot状态；

步骤1-2：重启配电终端，使其进入指定Boot状态；