CN115879087A - 一种面向电力终端的安全可信启动方法及*** - Google Patents
一种面向电力终端的安全可信启动方法及*** Download PDFInfo
- Publication number
- CN115879087A CN115879087A CN202111139203.5A CN202111139203A CN115879087A CN 115879087 A CN115879087 A CN 115879087A CN 202111139203 A CN202111139203 A CN 202111139203A CN 115879087 A CN115879087 A CN 115879087A
- Authority
- CN
- China
- Prior art keywords
- power terminal
- trusted
- credible
- chip
- operating system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种面向电力终端的安全可信启动方法及***,属于电力终端网络安全防护技术领域。本发明方法,包括:控制MCU上电并启动电力终端;通过U‑Boot加载操作***内核;通过操作***内核加载关键组件;关键组件加载应用程序,并完成电力终端的启动。本发明实现了终端启动过程的可信验证,有效的防止了终端启动过程中遭受恶意代码攻击以及关键信息被窃取或篡改等事件的发生。
Description
技术领域
本发明涉及电力终端网络安全防护技术领域,并且更具体地,涉及一种面向电力终端的安全可信启动方法及***。
背景技术
配电终端、台区智能终端、集中器等电力终端(简称“终端”)一般具有点多面广、户外运行、无人值守以及电力应用场景的复杂性等特点,易成为黑客攻击的目标,易受到非法窃听、恶意篡改、身份欺骗等方面的攻击,然而电力终端尤其是具有边缘计算能力的终端的安全防护水平对整个***的正常运行起着至关重要的作用。
目前,电力终端一般通过安全芯片或软件方式,在应用层实现与主站的身份鉴别以及传输数据的机密性、完整性和可用性保护,但在终端自身安全性方面仍以多余端口/服务关闭、访问控制手段等常规防护措施为主,仍存在以下几种类型的风险:
(1)电力终端硬件风险:电力终端开放的USB端口、串口、网口等可能会被伪造的运维工具等非法访问客体利用,从而获取终端设备的控制权;终端内的密钥、证书若没有硬件保护,可能会被黑客非法窃取;芯片提供的数据加解密、随机数验证等措施若没有安全保证机制,存在被旁路的风险。
(2)电力终端操作***风险:操作***没有自身状态的校验措施,存在操作***内核或上层重要软件被篡改风险;黑客可通过漏洞扫描等措施,进行漏洞攻击、恶意代码攻击、病毒感染等;在***正常的漏洞修复时,存在非法补丁植入的风险。
(3)电力终端应用安全风险:若设备对接收的应用软件无完整性校验措施,则可能存在安装非法来源的应用软件风险,从而被植入病毒或木马。
发明内容
针对上述问题,本发明提出了一种面向电力终端的安全可信启动方法,包括:
对电力终端上电,启动可信芯片,通过可信芯片读取电力终端U-Boot数据,并根据U-Boot数据计算U-Boot的度量值,通过可信芯片根据基准度量值对U-Boot的度量值进行度量,若度量成功,控制MCU上电并启动电力终端;
通过MCU加载U-Boot,使用U-Boot读取电力终端操作***的内核数据,并根据内核数据计算操作***内核的度量值,通过U-Boot将操作***内核的度量值传输给可信芯片,通过可信芯片根据基准度量值对操作***内核的度量值进行度量,若度量成功,通过U-Boot加载操作***内核;
使用操作***内核的可信组件计算电力终端关键组件的度量值,通过可信芯片根据基准度量值对关键组件的度量值进行度量,若度量成功,通过操作***内核加载关键组件;
通过所述可信组件计算电力终端的应用程序可执行文件及配置文件的度量值,通过可信芯片根据基准度量值对应用程序可执行文件及配置文件的度量值进行度量,若度量成功,关键组件加载应用程序,并完成电力终端的启动。
可选的,方法还包括,生成度量报告,所述度量报告包括对电力终端状态是否可信的判定或验证结论。
可选的,方法还包括,针对目标电力终端的硬件层,***层和应用层建立安全可信防护机制。
可选的,硬件层的安全可信防护机制,具体包括:可信计算平台模块的安全可信防护机制、可信芯片的安全可信防护机制及接口安全访问机制;
所述可信计算平台模块的安全可信防护机制,具体为:基于可信芯片在电力终端加入一个具有防攻击、防篡改和防探测的可信第三方平台;通过可信第三方平台对电力终端内操作***软件和应用程序组件的度量验证电力终端是否可信;
所述可信芯片的安全可信防护机制,包括:随机数安全性机制、密码算法安全性机制、密码算法正确性机制、COS算法安全性机制及芯片硬件安全性机制。
可选的,***层和应用层建立安全可信防护机制,具体为:***层和应用层的可信度量机制。
本发明还提出了一种面向电力终端的安全可信启动***,包括:
电力终端启动单元,对电力终端上电,启动可信芯片,通过可信芯片读取电力终端U-Boot数据,并根据U-Boot数据计算U-Boot的度量值,通过可信芯片根据基准度量值对U-Boot的度量值进行度量,若度量成功,控制MCU上电并启动电力终端;
操作***内核加载单元,通过MCU加载U-Boot,使用U-Boot读取电力终端操作***的内核数据,并根据内核数据计算操作***内核的度量值,通过U-Boot将操作***内核的度量值传输给可信芯片,通过可信芯片根据基准度量值对操作***内核的度量值进行度量,若度量成功,通过U-Boot加载操作***内核;
关键组件加载单元,使用操作***内核的可信组件计算电力终端关键组件的度量值,通过可信芯片根据基准度量值对关键组件的度量值进行度量,若度量成功,通过操作***内核加载关键组件;
应用程序加载单元,通过所述可信组件计算电力终端的应用程序可执行文件及配置文件的度量值,通过可信芯片根据基准度量值对应用程序可执行文件及配置文件的度量值进行度量,若度量成功,关键组件加载应用程序,并完成电力终端的启动。
可选的,应用程序加载单元还用于,生成度量报告,所述度量报告包括对电力终端状态是否可信的判定或验证结论。
可选的,建立机制单元,针对目标电力终端的硬件层,***层和应用层建立安全可信防护机制。
可选的,硬件层的安全可信防护机制,具体包括:可信计算平台模块的安全可信防护机制、可信芯片的安全可信防护机制及接口安全访问机制;
所述可信计算平台模块的安全可信防护机制,具体为:基于可信芯片在电力终端加入一个具有防攻击、防篡改和防探测的可信第三方平台;通过可信第三方平台对电力终端内操作***软件和应用程序组件的度量验证电力终端是否可信;
所述可信芯片的安全可信防护机制,包括:随机数安全性机制、密码算法安全性机制、密码算法正确性机制、COS算法安全性机制及芯片硬件安全性机制。
可选的,***层和应用层建立安全可信防护机制,具体为:***层和应用层的可信度量机制。
本发明实现了终端启动过程的可信验证,有效的防止了终端启动过程中遭受恶意代码攻击以及关键信息被窃取或篡改等事件的发生。
附图说明
图1为本发明方法的流程图;
图2为本发明方法实施例的流程图;
图3为本发明***的结构图;
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
本发明提出了一种面向电力终端的安全可信启动方法,如图1所示,包括:
对电力终端上电,启动可信芯片,通过可信芯片读取电力终端U-Boot数据,并根据U-Boot数据计算U-Boot的度量值,通过可信芯片根据基准度量值对U-Boot的度量值进行度量,若度量成功,控制MCU上电并启动电力终端;
通过MCU加载U-Boot,使用U-Boot读取电力终端操作***的内核数据,并根据内核数据计算操作***内核的度量值,通过U-Boot将操作***内核的度量值传输给可信芯片,通过可信芯片根据基准度量值对操作***内核的度量值进行度量,若度量成功,通过U-Boot加载操作***内核;
使用操作***内核的可信组件计算电力终端关键组件的度量值,通过可信芯片根据基准度量值对关键组件的度量值进行度量,若度量成功,通过操作***内核加载关键组件;
通过所述可信组件计算电力终端的应用程序可执行文件及配置文件的度量值,通过可信芯片根据基准度量值对应用程序可执行文件及配置文件的度量值进行度量,若度量成功,关键组件加载应用程序,并完成电力终端的启动。
下面结合实施例对本发明进行进一步的说明:
启动流程中操作***以Linux为例,流程如图2所示:
(1)终端上电,可信芯片启动。
(2)可信芯片读取U-boot数据,使用SM3算法计算U-Boot度量值。
(3)可信芯片根据基准度量值进行度量,如果度量成功,控制MCU上电,否则终端将无法启动。
(4)MCU加载U-Boot,U-Boot读取Linux内核数据。
(5)U-Boot通过可信组件,使用SM3算法计算Linux内核度量值。
(6)U-Boot将Linux内核度量值传给可信芯片。
(7)可信芯片根据基准度量值进行度量并将结果返回U-Boot。
(8)如果度量成功,U-Boot加载Linux内核,然后Linux内核度量应用程序。
(9)Linux内核通过可信组件,使用SM3算法计算关键组件(如操作***关键配置文件)度量值。
(10)Linux内核将关键组件度量值传给可信芯片。
(11)可信芯片根据基准度量值进行度量并将结果返回Linux内核。
(12)如果度量成功,Linux内核加载关键组件。
(13)关键组件通过可信组件,使用SM3算法或SM2验签算法计算应用程序可执行文件及配置文件度量值。
(14)关键组件将应用程序安装包可执行文件及配置文件度量值传给可信芯片。
(15)可信芯片根据基准度量值进行度量并将结果返回关键组件。
(16)如果度量成功,关键组件加载应用程序。
(17)形成度量报告,报告中带有对终端状态是否可信的判定或验证结论,发送给需要与终端交互或给终端提供服务的实体。
其中,为对度量过程中的SM3摘要值做保护,建议由管理机构对每一步产生的SM3摘要值做签名,当新的签名值需要写入可信芯片内部时,由签名值做来源的鉴别。
其中,本发明针对电力终端从硬件层、***层、应用层三个方面对终端进行安全可信机制的建立,下面将进行详细介绍。
硬件层;
终端的硬件层主要建立芯片硬件安全机制及端口安全访问机制;
基于可信芯片的硬件层可信防护机制;
可信计算平台模块安全机制:
终端的硬件层的可信计算主要通过可信芯片实现。可信芯片与传统安全芯片相比,最大的特点就是嵌入了可信平台模块(TCM),它是一个通过总线集成到硬件结构中的片上***。TCM内部封装了搭建一个可信计算平台所需要的安全存储、密码应用、证书机制、安全检测等安全功能,用来给平台提供基本的安全服务。它将重要的数据信号线和重要的存储区严格保护起来,用人为的物理探头或一般的光探测技术很难窥探到内部存储的数据。除了对内部数据进行保护以外,它自身也具有防止物理攻击的保护措施。在封装的时候使用信号探测的方式防止拔除。若将其从主板上拔除,则会触动一根预先埋好的信号线,该信号线上的信号将会发生变化,从而激发一个硬中断。之后***将会执行自毁程序,清除内部的所有数据,进而导致整个终端可信芯片无法使用。
可信平台就是在传统的可信芯片基础上加入了一个具有防攻击、防篡改和防探测的可信第三方,通过该可信第三方对终端内操作***软件和应用程序组件的度量来验证终端是否可信。可信平台模块的工作先于操作***和BIOS,从技术层面分析,可信平台模块主要包括完整性度量、加密存储、身份认证、内部资源的访问授权、加密传输等五个方面的功能。
可信芯片自身安全性机制;
1)随机数安全性。可信芯片使用过程中,随机数经常作为鉴别数据和密钥生成的重要因子。因此,随机数的随机性必须得到充分的保证。随机数安全性技术一般通过采用真随机数发生器的方式实现。
2)密码算法安全性。可信芯片支持国密SM1、SM2、SM3、SM4、SM7算法,在算法实现过程中加入安全防护机制,所采用的算法均需通过国家密码管理局提供的数据进行验证,验证结果无误,确保安全算法的可靠性。
3)密码算法正确性。通过在上电时和使用时进行自检的方式,检查可信芯片内置密码算法的正确性。在配电可信芯片中预置算法的相关密钥、明文数据、密文数据等,当芯片上电或者进行算法相关操作时,使用预置密钥对预置数据进行加密、解密、签名、验签或者Hash计算,将计算结果与预期值进行比对,相同则自检通过,可以继续执行其他操作,不同则自检未通过,并置相应错误状态字,且后续不能继续执行其他指令操作。
4)COS算法安全性。可信芯片软件***(COS)的安全体系主要有安全状态、文件访问权限、数据交换模式和安全计算组成。
5)芯片硬件安全性。为了防止对芯片的攻击,可信芯片设置电压检测器、频率检测器、温度检测器、看门狗复位电路。
接口安全访问机制;
电力终端应采取必要的接口安全访问机制,确保物理接口可控。包括但不限于:对于USB口,采用基于外设接口的认证机制,对非法U盘禁止其驱动程序的安装;对于网络端口,保留终端与主站交互业务数据用到的端口,关闭其他无用的端口及服务等。
操作***层可信度量机制;
操作***是加载在硬件之上最核心的基础软件,如果缺乏了安全保障,整个电力终端的安全性就失去了基础保障。目前,操作***安全方面的国家标准有《GB/T 34976-2017信息安全技术移动智能终端操作***安全技术要求和测试评价方法》、《GB/T 20272-2006信息安全技术操作***安全技术要求》等,通过身份鉴别、访问控制、安全审计等安全功能,实现对移动智能终端设备软、硬件的管理,确保移动智能终端的安全运行。
电力终端中常用的操作***有Linux、UNIX、Vxworks等嵌入式操作***,以Linux操作***为例,其安全机制主要包括用户身份鉴别、自主访问控制、强制访问控制以及安全审计等。主要是以访问控制机制为核心保障***安全性,通过身份认证确定实体的身份,通过授权与访问控制保障安全策略的实施。然而,***内部的实体在其运行过程中,其安全状态可能由于受到攻击而发生改变,仅依靠基于身份认证的访问控制无法防护操作***的安全威胁。
从结构上看,安全操作***与一般操作***的最大区别在于其内部构建了一个可信计算基(TCB),并利用TCB提供的功能对整个***进行保护。TCB是操作***内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体,是操作***中实现安全功能的核心。但TCB自身的完整性无法保证,所以,将可信计算技术与传统的安全操作***相结合,成为保障操作***安全新的解决方案。通过在计算平台中加入可信芯片作为硬件可信根,将可信根纳入到TCB中,作为TCB的核心,然后通过信任链传递机制,一级度量一级,一级认证一级,逐步建立和扩展信任链。利用可信计算技术,增强操作***的安全机制,构建操作***内部的可信运行环境。具体而言,可信计算技术为操作***安全提供以下重要支撑和保障:
(1)提供硬件可信根,保证***初始状态可信。在电力终端计算平台中加入可信控制模块TPCM,TPCM先于CPU启动,对***的初始代码进行主动的可信度量,以TPCM中的可信度量根核心(CRTM)为度量起点,对平台中获取执行权限的实体逐级进行可信度量,构建***的信任链,保证***中任何执行实体初始状态的可信,通过信任链的扩展,保证***总体初始状态的可信。***初始状态可信,有效地保证了安全策略的正确实施和安全机制的正常运行,为操作***的安全运行奠定了基础。
(2)提供基于硬件的密码服务保障。密码技术是信息安全的核心,操作***中的机密性、完整性安全机制中,存在大量的密码机制应用。软件方式实现的密码机制难以保证其自身的安全性,可信计算技术为***提供了物理硬件支持的密码服务,具有良好的隔离性和计算效率,TPCM模块提供了对称密码算法、非对称密码算法、杂凑函数等密码算法引擎,能够为操作***提供高效的密码服务保障。
(3)为重要核心数据提供安全存储。很多重要安全机制有效性的核心在于关键安全数据的安全性,如密钥的安全性直接决定了数据加密存储机制的安全性,而安全策略文件的安全性直接决定了***安全功能实施的安全性。传统的操作***中,安全策略、用户密钥等重要信息,存储环境与***运行环境隔离性差,存储保护功能较弱,无法为安全机制的正常实施提供有效的存储保护支撑。通过可信计算的安全存储功能,能够直接把重要关键安全相关数据存储在TPCM中,或依靠TPCM保护重要安全数据的机密性和完整性,与操作***运行环境相隔离,保证重要安全相关数据的安全性,为***安全机制的实施提供有效的安全存储支撑。
(4)可信的完整性度量和报告。传统操作***的安全机制只能通过安全措施保证***的安全可靠运行,但由于缺乏与***相对独立的可信方,难以通过计算平台自身证明其内部安全机制的正确实施,操作***不具备证明自身安全运行状态的能力。而在***中加入硬件可信根,在用户信任统一规范的硬件可信根的前提下,***具备了证明自身可信状态的能力,通过可信根的可信度量和可信报告功能,能够对外证明操作***的可信运行状态,为网络环境下的安全应用提供了重要的信任支持。
综上所述,使用可信计算技术为终端操作***提供了硬件可信根,能够有效地在***中构建信任链,为操作***安全提供密码服务保障和安全存储能力,为操作***安全提供了有力的密码支撑和可信保障。
业务应用软件可信度量;
若依赖可信芯片对终端的进程或应用程序进行动态度量,则会在很大程度上影响业务的正常运行。因此,对于关键且运行时间较长、功能较为基础的业务应用软件,仍基于可信芯片,实现从芯片到操作***,再到业务应用软件的可信度量,保证业务应用软件的完整性;对于其他业务应用软件,建议采用动态可信度量方式,对终端的应用软件状态进行监测。动态可信度量主要基于对运行时的重要状态特征指标和用户行为指标进行动态地监测和分析计算,将特征指标运用模式识别的方法进行关联分析,最终识别出风险的类型并根据特征指标的具体变化情况,判断风险的等级,此项功能的实现需基于安全监测***或平台。
本发明还提出了一种面向电力终端的安全可信启动***,如图3所示,包括:
电力终端启动单元201,对电力终端上电,启动可信芯片,通过可信芯片读取电力终端U-Boot数据,并根据U-Boot数据计算U-Boot的度量值,通过可信芯片根据基准度量值对U-Boot的度量值进行度量,若度量成功,控制MCU上电并启动电力终端;
操作***内核加载单元202,通过MCU加载U-Boot,使用U-Boot读取电力终端操作***的内核数据,并根据内核数据计算操作***内核的度量值,通过U-Boot将操作***内核的度量值传输给可信芯片,通过可信芯片根据基准度量值对操作***内核的度量值进行度量,若度量成功,通过U-Boot加载操作***内核;
关键组件加载单元203,使用操作***内核的可信组件计算电力终端关键组件的度量值,通过可信芯片根据基准度量值对关键组件的度量值进行度量,若度量成功,通过操作***内核加载关键组件;
应用程序加载单元204,通过所述可信组件计算电力终端的应用程序可执行文件及配置文件的度量值,通过可信芯片根据基准度量值对应用程序可执行文件及配置文件的度量值进行度量,若度量成功,关键组件加载应用程序,并完成电力终端的启动;
建立机制单元205,针对目标电力终端的硬件层,***层和应用层建立安全可信防护机制。
其中,应用程序加载单元204还用于,生成度量报告,所述度量报告包括对电力终端状态是否可信的判定或验证结论。
其中,硬件层的安全可信防护机制,具体包括:可信计算平台模块的安全可信防护机制、可信芯片的安全可信防护机制及接口安全访问机制;
所述可信计算平台模块的安全可信防护机制,具体为:基于可信芯片在电力终端加入一个具有防攻击、防篡改和防探测的可信第三方平台;通过可信第三方平台对电力终端内操作***软件和应用程序组件的度量验证电力终端是否可信;
所述可信芯片的安全可信防护机制,包括:随机数安全性机制、密码算法安全性机制、密码算法正确性机制、COS算法安全性机制及芯片硬件安全性机制。
其中,***层和应用层建立安全可信防护机制,具体为:***层和应用层的可信度量机制。
本发明实现了终端启动过程的可信验证,有效的防止了终端启动过程中遭受恶意代码攻击以及关键信息被窃取或篡改等事件的发生。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本发明实施例中的方案可以采用各种计算机语言实现,例如,面向对象的程序设计语言Java和直译式脚本语言JavaScript等。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种面向电力终端的安全可信启动方法,所述方法包括:
对电力终端上电,启动可信芯片,通过可信芯片读取电力终端U-Boot数据,并根据U-Boot数据计算U-Boot的度量值,通过可信芯片根据基准度量值对U-Boot的度量值进行度量,若度量成功,控制MCU上电并启动电力终端;
通过MCU加载U-Boot,使用U-Boot读取电力终端操作***的内核数据,并根据内核数据计算操作***内核的度量值,通过U-Boot将操作***内核的度量值传输给可信芯片,通过可信芯片根据基准度量值对操作***内核的度量值进行度量,若度量成功,通过U-Boot加载操作***内核;
使用操作***内核的可信组件计算电力终端关键组件的度量值,通过可信芯片根据基准度量值对关键组件的度量值进行度量,若度量成功,通过操作***内核加载关键组件;
通过所述可信组件计算电力终端的应用程序可执行文件及配置文件的度量值,通过可信芯片根据基准度量值对应用程序可执行文件及配置文件的度量值进行度量,若度量成功,关键组件加载应用程序,并完成电力终端的启动。
2.根据权利要求1所述的方法,所述方法还包括,生成度量报告,所述度量报告包括对电力终端状态是否可信的判定或验证结论。
3.根据权利要求1所述的方法,所述方法还包括,针对目标电力终端的硬件层,***层和应用层建立安全可信防护机制。
4.根据权利要求3所述的方法,所述硬件层的安全可信防护机制,具体包括:可信计算平台模块的安全可信防护机制、可信芯片的安全可信防护机制及接口安全访问机制;
所述可信计算平台模块的安全可信防护机制,具体为:基于可信芯片在电力终端加入一个具有防攻击、防篡改和防探测的可信第三方平台;通过可信第三方平台对电力终端内操作***软件和应用程序组件的度量验证电力终端是否可信;
所述可信芯片的安全可信防护机制,包括:随机数安全性机制、密码算法安全性机制、密码算法正确性机制、COS算法安全性机制及芯片硬件安全性机制。
5.根据权利要求3所述的方法,所述***层和应用层建立安全可信防护机制,具体为:***层和应用层的可信度量机制。
6.一种面向电力终端的安全可信启动***,所述***包括:
电力终端启动单元,对电力终端上电,启动可信芯片,通过可信芯片读取电力终端U-Boot数据,并根据U-Boot数据计算U-Boot的度量值,通过可信芯片根据基准度量值对U-Boot的度量值进行度量,若度量成功,控制MCU上电并启动电力终端;
操作***内核加载单元,通过MCU加载U-Boot,使用U-Boot读取电力终端操作***的内核数据,并根据内核数据计算操作***内核的度量值,通过U-Boot将操作***内核的度量值传输给可信芯片,通过可信芯片根据基准度量值对操作***内核的度量值进行度量,若度量成功,通过U-Boot加载操作***内核;
关键组件加载单元,使用操作***内核的可信组件计算电力终端关键组件的度量值,通过可信芯片根据基准度量值对关键组件的度量值进行度量,若度量成功,通过操作***内核加载关键组件;
应用程序加载单元,通过所述可信组件计算电力终端的应用程序可执行文件及配置文件的度量值,通过可信芯片根据基准度量值对应用程序可执行文件及配置文件的度量值进行度量,若度量成功,关键组件加载应用程序,并完成电力终端的启动。
7.根据权利要求6所述的***,所述应用程序加载单元还用于,生成度量报告,所述度量报告包括对电力终端状态是否可信的判定或验证结论。
8.根据权利要求6所述的***,所述建立机制单元,针对目标电力终端的硬件层,***层和应用层建立安全可信防护机制。
9.根据权利要求8所述的***,所述硬件层的安全可信防护机制,具体包括:可信计算平台模块的安全可信防护机制、可信芯片的安全可信防护机制及接口安全访问机制;
所述可信计算平台模块的安全可信防护机制,具体为:基于可信芯片在电力终端加入一个具有防攻击、防篡改和防探测的可信第三方平台;通过可信第三方平台对电力终端内操作***软件和应用程序组件的度量验证电力终端是否可信;
所述可信芯片的安全可信防护机制,包括:随机数安全性机制、密码算法安全性机制、密码算法正确性机制、COS算法安全性机制及芯片硬件安全性机制。
10.根据权利要求8所述的***,所述***层和应用层建立安全可信防护机制,具体为:***层和应用层的可信度量机制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111139203.5A CN115879087A (zh) | 2021-09-26 | 2021-09-26 | 一种面向电力终端的安全可信启动方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111139203.5A CN115879087A (zh) | 2021-09-26 | 2021-09-26 | 一种面向电力终端的安全可信启动方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115879087A true CN115879087A (zh) | 2023-03-31 |
Family
ID=85763129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111139203.5A Pending CN115879087A (zh) | 2021-09-26 | 2021-09-26 | 一种面向电力终端的安全可信启动方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115879087A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116340956A (zh) * | 2023-05-25 | 2023-06-27 | 国网上海能源互联网研究院有限公司 | 一种电力嵌入式终端设备的可信防护优化方法和装置 |
-
2021
- 2021-09-26 CN CN202111139203.5A patent/CN115879087A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116340956A (zh) * | 2023-05-25 | 2023-06-27 | 国网上海能源互联网研究院有限公司 | 一种电力嵌入式终端设备的可信防护优化方法和装置 |
| CN116340956B (zh) * | 2023-05-25 | 2023-08-08 | 国网上海能源互联网研究院有限公司 | 一种电力嵌入式终端设备的可信防护优化方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | Enabling security-enhanced attestation with Intel SGX for remote terminal and IoT | |
| EP3262560B1 (en) | System and method for verifying integrity of an electronic device | |
| KR101296483B1 (ko) | 네트워크와의 통신을 위한 장치의 검증 및/또는 인증 | |
| CN103038745B (zh) | 扩展完整性测量 | |
| US20190253417A1 (en) | Hardware device and authenticating method thereof | |
| CN106815494A (zh) | 一种基于cpu时空隔离机制实现应用程序安全认证的方法 | |
| US20050283826A1 (en) | Systems and methods for performing secure communications between an authorized computing platform and a hardware component | |
| CN106991329A (zh) | 一种基于国产tcm的可信计算单元及其运行方法 | |
| EP3295352A1 (en) | Client software attestation | |
| CN103827881A (zh) | 用于设备操作***中的动态平台安全的方法和*** | |
| CN102833745B (zh) | 一种软件安全升级的方法、通信设备和通信*** | |
| CN106603487A (zh) | 一种基于cpu时空隔离机制对tls协议处理进行安全改进的方法 | |
| CN113726726B (zh) | 一种基于边缘计算的电力物联网可信免疫体系及度量方法 | |
| Dave et al. | Sracare: Secure remote attestation with code authentication and resilience engine | |
| CN105933117A (zh) | 一种基于tpm秘钥安全存储的数据加解密装置和方法 | |
| CN115879087A (zh) | 一种面向电力终端的安全可信启动方法及*** | |
| CN113132310A (zh) | 一种配电终端与配电主站的安全接入方法及*** | |
| CN116484379A (zh) | ***启动方法、包含可信计算基软件的***、设备及介质 | |
| CN116956298A (zh) | 应用运行环境检测方法和装置 | |
| Zaharis et al. | Live forensics framework for wireless sensor nodes using sandboxing | |
| CN111723379A (zh) | 可信台区智能终端的可信保护方法、***、设备及存储介质 | |
| Surendrababu | System Integrity–A Cautionary Tale | |
| Galanou et al. | Matee: Multimodal attestation for trusted execution environments | |
| CN112311752A (zh) | 一种物联网智能表计安全***及实现方法 | |
| Murti et al. | Security in embedded systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |