[发明专利]基于可信计算模块的嵌入式系统安全启动与可信度量的方法

说明书

本发明涉及智能终端的可信运行技术领域，尤其涉及一种基于可信计算模块的嵌入式系统安全启动与可信度量的方法；包括以下步骤：物联网可信计算模块写入根证书P0；物联网可信计算模块写入方案商标识公钥P1；智能终端主控MCU刷写BootLoader，完成物联网可信计算模块与智能终端主控MCU的绑定；智能终端主控MCU下载固件；物联网可信计算模块写入智能终端标识公钥P2和私钥r2；智能终端启动校验和身份认证。本发明所公开的基于可信计算模块的嵌入式系统安全启动与可信度量的方法，与现有技术的方式相比，整体流程较为简单；可信计算模块较易设计；对原系统的改动较小；可更新固件镜像。

技术领域

本发明涉及智能终端的可信运行技术领域，尤其涉及一种基于可信计算模块的嵌入式系统安全启动与可信度量的方法。

背景技术

信息技术的高速发展，带来了信息产业的空前繁荣；但危害信息安全的事件也不断发生，信息安全形势日益严峻。当前比较流行的系统安全保障技术有强制访问控制技术、以及加密技术，但这些都是运行于系统上层，他们能够实现安全机制的前提是系统本身是安全的，如果系统自身在启动时就由于被恶意程序篡改等原因进入一种不可信的状态，则基于此系统的应用程序和上层安全机制都是不可信的。因此，系统的安全启动技术已逐步被引起重视，它是可信计算的核心部分。同时，对于运行过程中的可信度量也是可信计算的一个重要组成部分。

中国专利CN201120295129.1提出了一种兼容多种可信计算模式的可信计算系统，包含固件设置模块，固件下载模块，固件存储模块和可信计算单元，所述可信计算单元上设有与固件下载模块和总线进行通讯的通信接口；所述固件设置模块，用于设置可信计算单元的工作模式；所述固件存储模块，存储有可信计算标准固件；所述固件下载模块，用于从固件存储模块中下载与固件设置模块设置的可信计算单元的工作模式相对应的固件到可信计算单元中；所述可信计算单元，用于与总线进行数据传输，且承载固件下载模块下载的固件；使得可信计算系统在商业应用上具有更好的适应性，拥有极大的灵活性，且大大降低了成本。

可信计算组织(TCG)为了从基础上提高计算平台的安全可信性，定义了一个可信第三方，具有安全存储以及加解密引擎的可信平台模块(TPM)，并且从硬件组件和软件两方面入手，解决跨平台和跨操作环境束缚，开发不依赖任何特定计算平台的可信计算环境。此解决方案对于PC端是非常有效的。

由于嵌入式领域的安全研究起步稍晚，针对嵌入式智能终端的安全研究还不完善，特别是系统层面的软件防御措施还有待加强，恰巧系统层面的安全又是整个设备的安全基石。而智能终端固有的一些特点使得PC上的安全防御措施和技术很难在这些设备中得到实施。应对这些安全威胁，应该在嵌入式设备中建立一套防御体系，杜绝一些非法且恶意的程序，防止这些带有攻击威胁的程序运行，或者至少在这些程序运行后能够被检测出。目前在嵌入式平台上主要的解决方案是：设计只读的块设备存储启动镜像，启动时从该只读设备中读取未受更改的镜像，只读设备在出厂时镜像一次性烧写，以后的启动中镜像都无法被篡改，可验证其启动镜像的完整性。此类两种措施一是增加了额外的硬件开销，对于成本控制严格的设备负担太大，二是需要加载的镜像一次性烧写，无法实现正常的系统更新及镜像更新。其客观缺点为：

(1)软算法安全性较差，信任根容易被篡改；

(2)面向PC的TPM、TPCM流程对于嵌入式平台过于繁琐，实用性较差；

(3)设计只读的块设备存储启动镜像的解决办法无法实现正常的系统更新。

因此，为了解决上述问题，急需发明一种新的基于可信计算模块的嵌入式系统安全启动与可信度量的方法。

发明内容

本发明的目的在于：提供一种基于可信计算模块的嵌入式系统安全启动与可信度量的方法，具有流程简单、安全性高、允许嵌入式平台更新固件的特点。

本发明提供了下述方案：

一种基于可信计算模块的嵌入式系统安全启动与可信度量的方法，包括以下步骤：