[发明专利]PLC的安全处理单元及其总线仲裁方法

权利要求书

1.PLC的安全处理单元，其特征在于，包括：

总线仲裁芯片，用于其对总线资源进行分配；

可信芯片，用于提供可信度量根、可信存储根和可信报告根；

系统存储芯片，用于保存启动引导文件、操作系统内核和上层应用代码；

系统备份芯片，用于保存了备份的启动引导文件、操作系统内核和上层应用代码；

所述可信芯片存储可信度量根、可信存储根和可信报告根；

所述可信度量根，用于对引导文件、操作系统内核、上层应用进行度量；

所述可信存储根，用于进行密钥产生、密钥管理、加密和解密的工作，保护所有委托给可信存储根的密钥和度量信息；

可信报告根，用于允许经过验证的挑战者获取受可信芯片保护的区域中的数据，用签名密钥证实这些数据的真实；

所述可信芯片，在保留原有系统的文件系统结构的页高速缓存层和通用块层之间添加了加密模块驱动；加密的过程对于上层用户透明，不修改文件系统的数据结构且用户访问加密文件的过程也不变；

所述系统存储芯片是加密并且分区域存储引导文件、系统内核和上层应用；加密存储是执行实际的存储器写入操作前将写入数据进行加密；分区域存储是将存放系统数据、用户数据的区域分开，互相之间不能改动；

所述系统存储芯片用于虚拟化隔离，启动引导文件、操作系统内核、上层应用按照指定的地址，放到系统存储芯片的最低端地址，修改物理块设备层中的驱动文件，向物理块设备层写入时需要对参数pos进行判断；如果pos小于m地址则直接返回错误来保证这段地址内容的写保护；m的值按照实际实施过程需要进行设置。

2.如权利要求1所述的PLC的安全处理单元，其特征在于，所述总线仲裁芯片对总线资源进行总线仲裁，当多个PLC硬件平台、可信芯片、系统存储芯片和系统备份芯片同时占用共享总线进行数据通信时，总线仲裁芯片决定总线资源的使用权。

3.如权利要求1所述的PLC的安全处理单元，其特征在于，所述系统备份芯片用于安全处理单元在PLC启动之前对其引导文件、系统内核和上层应用进行完整性校验，如果校验未通过则认为内容被篡改，需要进行系统恢复。

4.如权利要求1所述的PLC的安全处理单元的总线仲裁方法，其特征在于，步骤如下：

a)安全处理单元通电后，激活总线仲裁芯片；

b)总线仲裁芯片获取系统存储芯片的总线控制权；

c)读取系统存储芯片内的启动引导、操作系统内核、上层应用的数据到总线仲裁芯片内的Nand Flash缓冲模块；

d)总线仲裁芯片获取可信芯片的控制权，使用可信芯片的可信度量根分别对引导文件、操作系统内核和上层应用度量完整性；

e)如果度量可信，则PLC硬件平台获取总线控制权，读取Nand Flash缓冲模块数据，解密加载到内存中，启动系统；

f)如果度量失败，则执行系统数据恢复，重新引导。

5.如权利要求4所述的PLC的安全处理单元的总线仲裁方法，其特征在于，所述使用可信芯片的可信度量根分别对引导文件、操作系统内核和上层应用度量完整性步骤如下：

a)读取数据块；

b)使用数据块签名证书中的认证密钥对签名进行验证；

c)如果验证可信，则返回可信结果；如果验证失败，则停止引导。

6.如权利要求4所述的PLC的安全处理单元的总线仲裁方法，其特征在于，还包括备份恢复方法，在PLC硬件平台系统启动时，安全处理单元中的总线仲裁芯片处于主控地位；启动时如果发现系统存储芯片中的内容验证不通过，则由总线仲裁芯片发出命令，占用总线，备份恢复步骤如下：

a)从系统备份芯片中读取备份的内容；

b)将备份的内容写入总线仲裁芯片中的Nand Flash缓冲模块；

c)将缓冲模块中的数据拷贝至系统存储芯片中；

d)总线仲裁芯片将系统存储芯片的写保护置位，确保其中的信息不会被修改，并且大小和存储的基地址在总线仲裁芯片中设置，不被公开；

e)在系统恢复完成后，总线仲裁芯片赋予系统存储芯片总线控制权，重新引导系统。