[发明专利]基于Trustzone的工业可信计算双体系架构实现方法

说明书

本发明公开了基于Trustzone的工业可信计算双体系架构实现方法，针对将敏感应用放入TEE对可信计算基带来负担的问题、无法协同TEE主动执行与其带来的TEE过久占用CPU的问题以及REE与TEE之间消息和数据传递带来的性能问题，基于Trustzone结构设计了可信双体系架构。基于本发明设计的架构，设计了动态度量机制和反向回退检测机制。动态度量机制对敏感应用进行安全度量，保障其运行时刻的安全。同时，设计安全世界中的监控模块定期度量移至内核的功能模块，验证为可信的内核功能模块度量普通世界用户态的功能模块，保障功能模块提供服务的安全。反向回退机制实施攻击后的响应，改变一旦遭受攻击就重启整个系统的做法，提高系统效率，更适合工控设备。

技术领域

本发明设计可信计算双体系架构技术领域中一种基于Trustzone的工业可信计算双体系架构实现方法。

背景技术

随着计算机与通信技术的快速发展，嵌入式系统已广泛应用于工业控制环境。基于ARM的工控设备中的一些关键操作，如密码计算，增加了对安全执行环境的需求。工控设备中的敏感应用在运行期间，经常遭受攻击者的攻击，如篡改敏感应用位于内核空间中的代码段，造成敏感数据的泄露或敏感应用的异常。这些攻击的出现，对工控设备的安全构成了极大的威胁，一旦遭受便会产生十分严重的后果。然而，只依靠被动防御的防火墙技术和基于流量分析、无法干预、可靠性低、无法保证验证模块自身可信的入侵检测技术不能够解决上述威胁。

面对层出不穷的攻击，Trustzone技术的出现，在一定程度上保障了系统的安全。Trustzone技术将执行环境分为通用执行环境(Rich Execution Environment,REE)和可信执行环境(Trusted Execution Environment,TEE)，并实现了两个执行环境在逻辑上的隔离。REE实现正常系统功能的部分；TEE为REE中的硬件和软件提供安全保护。TEE可主动访问REE，为其中的硬件和软件提供安全保护，例如，对普通世界进行度量工作。REE无法访问TEE，因此相较普通的软件完整性保护方法,安全优先架构中的安全机制在TEE中运行,与REE隔离,所以REE中的攻击无法绕过安全机制。一个计算机系统中保护机制的全体称为可信计算基(Trusted Computing Base,TCB)，它们共同负责实施一个安全策略。因此，在TEE中设置安全机制，实施安全策略，对REE中的应用进行主动的度量工作，在一定程度上可保证应用的安全。一旦安全机制发现有攻击发生，则用控制策略对其进行干预，从而保证REE的安全。

但是Trustzone技术存在如下的问题：首先，一些安全设备基于安全需求，将敏感应用放入TEE内部，对TCB带来的负担。随着置入TEE中敏感应用的增多，TCB的规模也会增大。而且，由于TEE缺乏应用正常运行所需要的操作系统服务，无论是重新编写敏感应用的代码还是在TEE中集成这些服务，TCB无疑都会承担极大的负荷。其次，无法协同TEE主动去执行安全服务与其造成的TEE过久占用CPU的问题。已有的Trustzone基础安全服务大多以被动执行，若要提供主动运行能力，需设计复杂的REE-TEE切换机制，为TEE设置更高的优先级，减少被REE中断干扰。但与此同时，会产生TEE过久占用CPU，影响REE中进程正常运行的问题。此外，REE与TEE之间的消息与数据传输，会带来一定的性能问题。两个执行环境间消息传输需要经历世界切换，数据传输需要创建销毁共享内存。一次度量工作的进行，需要进行多次世界切换、创建销毁共享内存操作，无疑为系统增加了一定的负担。

综上所述，本发明基于Trustzone技术的双体系架构可满足工控设备对安全的需求的思想，针对Trustzone现存在的问题，改变了原有的双体系架构，提出了新的想法与思路。因此，本发明提出了基于Trustzone的工业可信计算双体系架构实现方法。

发明内容