[发明专利]一种面向电力终端的安全可信启动方法及系统

说明书

本发明公开了一种面向电力终端的安全可信启动方法及系统，属于电力终端网络安全防护技术领域。本发明方法，包括：控制MCU上电并启动电力终端；通过U‑Boot加载操作系统内核；通过操作系统内核加载关键组件；关键组件加载应用程序，并完成电力终端的启动。本发明实现了终端启动过程的可信验证，有效的防止了终端启动过程中遭受恶意代码攻击以及关键信息被窃取或篡改等事件的发生。

技术领域

本发明涉及电力终端网络安全防护技术领域，并且更具体地，涉及一种面向电力终端的安全可信启动方法及系统。

背景技术

配电终端、台区智能终端、集中器等电力终端(简称“终端”)一般具有点多面广、户外运行、无人值守以及电力应用场景的复杂性等特点，易成为黑客攻击的目标，易受到非法窃听、恶意篡改、身份欺骗等方面的攻击，然而电力终端尤其是具有边缘计算能力的终端的安全防护水平对整个系统的正常运行起着至关重要的作用。

目前，电力终端一般通过安全芯片或软件方式，在应用层实现与主站的身份鉴别以及传输数据的机密性、完整性和可用性保护，但在终端自身安全性方面仍以多余端口/服务关闭、访问控制手段等常规防护措施为主，仍存在以下几种类型的风险：

(1)电力终端硬件风险：电力终端开放的USB端口、串口、网口等可能会被伪造的运维工具等非法访问客体利用，从而获取终端设备的控制权；终端内的密钥、证书若没有硬件保护，可能会被黑客非法窃取；芯片提供的数据加解密、随机数验证等措施若没有安全保证机制，存在被旁路的风险。

(2)电力终端操作系统风险：操作系统没有自身状态的校验措施，存在操作系统内核或上层重要软件被篡改风险；黑客可通过漏洞扫描等措施，进行漏洞攻击、恶意代码攻击、病毒感染等；在系统正常的漏洞修复时，存在非法补丁植入的风险。

(3)电力终端应用安全风险：若设备对接收的应用软件无完整性校验措施，则可能存在安装非法来源的应用软件风险，从而被植入病毒或木马。

发明内容

针对上述问题，本发明提出了一种面向电力终端的安全可信启动方法，包括：

对电力终端上电，启动可信芯片，通过可信芯片读取电力终端U-Boot数据，并根据U-Boot数据计算U-Boot的度量值，通过可信芯片根据基准度量值对U-Boot的度量值进行度量，若度量成功，控制MCU上电并启动电力终端；

通过MCU加载U-Boot，使用U-Boot读取电力终端操作系统的内核数据，并根据内核数据计算操作系统内核的度量值，通过U-Boot将操作系统内核的度量值传输给可信芯片，通过可信芯片根据基准度量值对操作系统内核的度量值进行度量，若度量成功，通过U-Boot加载操作系统内核；

使用操作系统内核的可信组件计算电力终端关键组件的度量值，通过可信芯片根据基准度量值对关键组件的度量值进行度量，若度量成功，通过操作系统内核加载关键组件；

通过所述可信组件计算电力终端的应用程序可执行文件及配置文件的度量值，通过可信芯片根据基准度量值对应用程序可执行文件及配置文件的度量值进行度量，若度量成功，关键组件加载应用程序，并完成电力终端的启动。

可选的，方法还包括，生成度量报告，所述度量报告包括对电力终端状态是否可信的判定或验证结论。

可选的，方法还包括，针对目标电力终端的硬件层，系统层和应用层建立安全可信防护机制。

可选的，硬件层的安全可信防护机制，具体包括：可信计算平台模块的安全可信防护机制、可信芯片的安全可信防护机制及接口安全访问机制；

所述可信计算平台模块的安全可信防护机制，具体为：基于可信芯片在电力终端加入一个具有防攻击、防篡改和防探测的可信第三方平台；通过可信第三方平台对电力终端内操作系统软件和应用程序组件的度量验证电力终端是否可信；