CN101303716A - 基于tpm的嵌入式系统恢复机制 - Google Patents
基于tpm的嵌入式系统恢复机制 Download PDFInfo
- Publication number
- CN101303716A CN101303716A CNA200810048329XA CN200810048329A CN101303716A CN 101303716 A CN101303716 A CN 101303716A CN A200810048329X A CNA200810048329X A CN A200810048329XA CN 200810048329 A CN200810048329 A CN 200810048329A CN 101303716 A CN101303716 A CN 101303716A
- Authority
- CN
- China
- Prior art keywords
- tpm
- backup
- embedded
- bus arbiter
- bus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Hardware Redundancy (AREA)
Abstract
本发明提供了一种基于TPM的嵌入式系统恢复机制。该嵌入式系统包括嵌入式平台、TPM、非受保护存储器,还包括备份存储器和总线仲裁器,嵌入式平台、TPM、备份存储器和外部工作用存储器均和总线仲裁器相连。本发明在硬件上,通过系统结构的安全性改进来完成系统恢复,可以更好的保证系统的安全可信性。
Description
技术领域
本发明涉及一种嵌入式系统,特别是涉及一种基于TPM(可信平台模块)的嵌入式系统。
背景技术
在计算机运行环境中,“信任”是一个复杂的概念,所有操作的进行过程和最终结果同合法操作者所预期的是一致的时候,则可以认为这个环境是可信的。在ISO/IEC 15408标准中,有如下定义:一个可信的组件、操作或过程的行为在任意操作条件下,其流程和结果总是可预测的,并能很好地抵御应用程序异常、病毒,以及一定程度上的物理干扰造成的破坏。
可信计算组织TCG(Trusted Computing Group)致力于软件安全性和具有安全、信任能力的硬件运算平台的研究。TCG旨在跨平台和操作系统的硬件组件和软件接口方面,促进与厂商独立的可信计算平台工作标准的制定。到目前为止,TCG制定的规范涉及个人电脑、网络、移动设备、软件栈等多个方面,最新的版本为Version1.2。
TCG规范要求一个可信平台至少要包含以下组件:1.一个完整性测量的可信计算根(Rootof Trust for Measurement,简称RTM);2.一个具有完整性存储和报告功能的可信根;3.一个可信平台度量存储;4.一个TCG确认数据组件;5.一个可信平台代理。
可信计算根包含一个核心组件,核心和计算引擎以及其他对象是物理链接。可信根必须能提供对自身以及连接电路的物理保护,并能作为一个平台系统的可信权威,提供身份认证保护、重要数据加密和访问控制服务。
从可信计算根开始,所有测量过程中的信任都是可预料的,对于处于不适当环境中的平台,将否决其存取数据和运行程序的权利。可信计算根包含很多组件来提供这种水平的信任。
可信计算根测量某些平台特性,将测量数据记录入测量存储日记,并将最终的结果存入TPM(Trust Platform Module,即可信平台模块,包含有可信计算根、可信存储根和可信报告根三类可信根)。
总线仲裁技术即对总线使用权进行裁决的技术。挂接在总线上的多个部件通过总线来进行通讯,当不同设备同时产生传输请求时,就会产生总线使用冲突。为了能使各部件可以有效使用总线,必须对总线的使用权进行裁决,判断总线的使用权归属哪个设备,该部分由总线仲裁技术实现。
现有的系统恢复技术一般分为两类,一类是基于网络的多终端互联冗余恢复方式,即利用远程服务器完成系统恢复;另一类是单个终端非受保护的软件冗余恢复方式。
对于单个计算机终端系统,始终缺乏一种安全、可靠的系统恢复机制。
发明内容
本发明所要解决的技术问题是:提供一种基于TPM的嵌入式系统恢复机制,该系统符合TCG规范,结构简单,能提供一种安全、可靠的系统恢复机制。
本发明的内容是:基于TPM的嵌入式系统恢复机制包括嵌入式平台、TPM、非受保护存储器,还包括备份存储器和总线仲裁器,嵌入式平台、TPM、备份存储器和外部工作用存储器均和总线仲裁器相连。
其安全启动方法为:
1)在嵌入式系统上电后,TPM通过总线仲裁器获取总线控制权,暂时不允许嵌入式平台的CPU读取非受保护存储器中的启动引导程序和操作系统。
2)TPM发出信号,读取非受保护存储器中的引导程序代码及操作系统代码,由TPM进行完整性校验,TPM对该校验的结果进行比对,如果比对结果一致,跳转到5),如果结果不一致,则转至步骤3)。
3)TPM对总线仲裁器发出命令,从备份存储器中读取备份的内容,然后将数据经过总线仲裁器写入非受保护存储器。
4)若步骤3)的操作完成,TPM在设定的等待时间内等待到恢复成功信号后,继续对非受保护存储器中的内容进行完整性校验,若检验不成功,转至步骤6),否则转至步骤5);若步骤3)操作未能成功,或TPM未在设定的等待时间内等待到恢复成功信号,也转至步骤6)。
5)TPM发出控制信号给总线仲裁器,将总线使用权移交给嵌入式平台的CPU,嵌入式平台先后读取启动引导程序和操作系统,执行并启动。
6)启动不成功,TPM发出启动不成功命令,系统无法正常启动,转异常处理。
本发明的优点是:
1)在本发明中,备份数据文件是保存在受TPM保护的存储器中,不能被更改,因此备份数据在硬件层上与外部工作用的非受保护存储器相隔离,整个系统的安全强度等价于TPM的安全强度,可以更好地防止攻击者的恶意篡改和破坏。
2)因为用户重要数据由TPM进行安全存储,在进行系统恢复后,用户数据仍能被正常加载和使用。
3)在本发明中,系统恢复机制的运行对用户透明,即使用户失去系统的物理拥有权,恢复机制仍然能有效运行,能够防止用户信息的泄露。
本发明不是停留在软件层面上的技术,而是在硬件上、通过系统结构的安全性改进来完成系统恢复,能够可以更好的保证系统的安全可信性。
附图说明
图1本发明的结构框图。
图2是本发明的流程图。
具体实施方式
本发明公开了一种基于TPM和总线仲裁技术的单终端嵌入式系统恢复机制。该嵌入式系统包括嵌入式平台、TPM、非受保护存储器,还包括备份存储器和总线仲裁器,嵌入式平台、TPM、备份存储器和外部工作用存储器均和总线仲裁器相连。备份存储器可位于TPM内部,是TPM的内部扩展模块。
非受保护存储器中保存有嵌入式系统启动引导程序和操作系统。备份存储器受到了保护,保存备份的启动引导程序和操作系统,备份内容不允许修改。在非受保护存储器中的内容被恶意破坏或修改后,可以使用备份存储器实施系统恢复。
其中,总线仲裁器是总线仲裁技术的实现,功能是进行总线使用权的切换,总线仲裁器的控制权始终由TPM持有。外部工作用存储器处于TPM的保护边界之外,所以也成为非受保护存储器,它有可能受到篡改等恶意攻击。受保护的存储器位于TPM保护边界内,作为备份存储设备。
该机制运行的流程是:
1)系统上电
在嵌入式系统上电后,TPM通过总线仲裁器获取总线控制权,暂时不允许嵌入式平台CPU读取非受保护存储器中的启动引导程序和操作系统。
2)非受保护存储器的完整性校验
TPM发出信号,读取非受保护存储器中的引导程序代码及操作系统代码,由TPM进行完整性校验,TPM对该校验的结果进行比对,如果比对结果一致,跳转到5),如果结果不一致,则转至步骤3)。
3)系统恢复
TPM对总线仲裁器发出命令,从备份存储器中读取备份的内容,然后将数据经过总线仲裁器写入非受保护存储器。
4)进一步的完整性检验
若步骤3)的操作完成,TPM在设定的等待时间内等待到恢复成功信号后,继续对非受保护存储器中的内容进行完整性校验,若检验不成功,返回到步骤6),否则转至步骤5)。若步骤3)操作未能成功,或TPM未在设定的等待时间内等待到恢复成功信号,也转至步骤6)
5)可信嵌入式系统正常启动
TPM发出控制信号给总线仲裁器,将总线使用权移交给嵌入式平台的CPU。嵌入式平台先后读取启动引导程序和操作系统,执行并启动。
6)启动不成功的处理
启动不成功,TPM发出启动不成功命令。系统无法正常启动,转异常处理。
Claims (3)
1.基于TPM的嵌入式系统恢复机制,包括嵌入式平台、TPM、非受保护存储器,其特征是:还包括备份存储器和总线仲裁器,嵌入式平台、TPM、备份存储器和外部工作用存储器均和总线仲裁器相连。
2.如权利要求1所述的基于TPM的嵌入式系统恢复机制,其特征是:备份存储器位于TPM内部,作为TPM的内部扩展模块。
3.如权利要求1或2所述的基于TPM的嵌入式系统恢复机制,其特征是其安全启动方法为:
1)在嵌入式系统上电后,TPM通过总线仲裁器获取总线控制权,暂时不允许嵌入式平台的CPU读取非受保护存储器中的启动引导程序和操作系统;
2)TPM发出信号,读取非受保护存储器中的引导程序代码及操作系统代码,由TPM进行完整性校验,TPM对该校验的结果进行比对,如果比对结果一致,跳转到5),如果结果不一致,则转至步骤3);
3)TPM对总线仲裁器发出命令,从备份存储器中读取备份的内容,然后将数据经过总线仲裁器写入非受保护存储器;
4)若步骤3)的操作完成,TPM在设定的等待时间内等待到恢复成功信号后,继续对非受保护存储器中的内容进行完整性校验,若检验不成功,转至步骤6),否则转至步骤5);若步骤3)操作未能成功,或TPM未在设定的等待时间内等待到恢复成功信号,也转至步骤6);
5)TPM发出控制信号给总线仲裁器,将总线使用权移交给嵌入式平台的CPU,嵌入式平台先后读取启动引导程序和操作系统,执行并启动;
6)启动不成功,TPM发出启动不成功命令,系统无法正常启动,转异常处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810048329XA CN101303716B (zh) | 2008-07-08 | 2008-07-08 | 基于可信平台模块的嵌入式系统恢复方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810048329XA CN101303716B (zh) | 2008-07-08 | 2008-07-08 | 基于可信平台模块的嵌入式系统恢复方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101303716A true CN101303716A (zh) | 2008-11-12 |
| CN101303716B CN101303716B (zh) | 2011-06-29 |
Family
ID=40113618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810048329XA Expired - Fee Related CN101303716B (zh) | 2008-07-08 | 2008-07-08 | 基于可信平台模块的嵌入式系统恢复方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101303716B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102096611A (zh) * | 2009-12-09 | 2011-06-15 | 英特尔公司 | 用于存储器装置中的差错管理的方法和系统 |
| CN102298545A (zh) * | 2011-08-23 | 2011-12-28 | 晨星软件研发(深圳)有限公司 | 一种系统启动引导处理方法及装置 |
| CN102455068A (zh) * | 2010-10-25 | 2012-05-16 | 北京印刷学院 | 抛物柱面聚光抛物柱面采光太阳能热水发电装置 |
| CN102841989A (zh) * | 2011-06-24 | 2012-12-26 | 国民技术股份有限公司 | 一种操作系统保护方法及装置 |
| US9158616B2 (en) | 2009-12-09 | 2015-10-13 | Intel Corporation | Method and system for error management in a memory device |
| CN107533609A (zh) * | 2015-05-29 | 2018-01-02 | 英特尔公司 | 用于对系统中的多个可信执行环境进行控制的系统、设备和方法 |
| CN109840430A (zh) * | 2017-11-28 | 2019-06-04 | 中国科学院沈阳自动化研究所 | Plc的安全处理单元及其总线仲裁方法 |
-
2008
- 2008-07-08 CN CN200810048329XA patent/CN101303716B/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102096611A (zh) * | 2009-12-09 | 2011-06-15 | 英特尔公司 | 用于存储器装置中的差错管理的方法和系统 |
| US8862973B2 (en) | 2009-12-09 | 2014-10-14 | Intel Corporation | Method and system for error management in a memory device |
| CN104268030A (zh) * | 2009-12-09 | 2015-01-07 | 英特尔公司 | 用于存储器装置中的差错管理的方法和系统 |
| US9158616B2 (en) | 2009-12-09 | 2015-10-13 | Intel Corporation | Method and system for error management in a memory device |
| CN102096611B (zh) * | 2009-12-09 | 2017-05-24 | 英特尔公司 | 用于存储器装置中的差错管理的方法和系统 |
| CN104268030B (zh) * | 2009-12-09 | 2019-03-22 | 英特尔公司 | 用于存储器装置中的差错管理的方法和系统 |
| CN102455068A (zh) * | 2010-10-25 | 2012-05-16 | 北京印刷学院 | 抛物柱面聚光抛物柱面采光太阳能热水发电装置 |
| CN102841989A (zh) * | 2011-06-24 | 2012-12-26 | 国民技术股份有限公司 | 一种操作系统保护方法及装置 |
| CN102298545A (zh) * | 2011-08-23 | 2011-12-28 | 晨星软件研发(深圳)有限公司 | 一种系统启动引导处理方法及装置 |
| CN107533609A (zh) * | 2015-05-29 | 2018-01-02 | 英特尔公司 | 用于对系统中的多个可信执行环境进行控制的系统、设备和方法 |
| CN109840430A (zh) * | 2017-11-28 | 2019-06-04 | 中国科学院沈阳自动化研究所 | Plc的安全处理单元及其总线仲裁方法 |
| CN109840430B (zh) * | 2017-11-28 | 2023-05-02 | 中国科学院沈阳自动化研究所 | Plc的安全处理单元及其总线仲裁方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101303716B (zh) | 2011-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11093258B2 (en) | Method for trusted booting of PLC based on measurement mechanism | |
| CN101303716B (zh) | 基于可信平台模块的嵌入式系统恢复方法 | |
| CN101515316B (zh) | 一种可信计算终端及可信计算方法 | |
| CN100568254C (zh) | 一种可信平台模块及其主动度量方法 | |
| CN100489805C (zh) | 运行时间安全保证的自动存储器检测器及其方法 | |
| CN105205401B (zh) | 基于安全密码芯片的可信计算机系统及其可信引导方法 | |
| CN1925926B (zh) | 包含协作嵌入式代理的装置及有关系统和方法 | |
| CN105122259B (zh) | 控制器和用于检索系统引导代码的系统及方法 | |
| CN111159691B (zh) | 一种应用程序动态可信验证方法及系统 | |
| CN102289622B (zh) | 基于认证策略文件和硬件信息收集的可信开机启动方法 | |
| CN105122261A (zh) | 从遭到破坏的系统启动代码中恢复 | |
| CN106682497A (zh) | 在管理程序模式下安全执行代码的系统和方法 | |
| US20210081546A1 (en) | System and method for the cryptographically protected monitoring of at least one component of a device or an apparatus | |
| CN103150514A (zh) | 一种基于移动设备的可信模块及其可信服务方法 | |
| CN104850792A (zh) | 一种服务器信任链的构建方法和装置 | |
| CN102708028A (zh) | 一种可信冗余容错计算机系统 | |
| CN110069361A (zh) | 用于tpm故障切换的方法和装置 | |
| CN102880828A (zh) | 一种针对虚拟化支撑环境的入侵检测与恢复系统 | |
| CN111125707A (zh) | 一种基于可信密码模块的bmc安全启动方法、系统及设备 | |
| DE102021108582A1 (de) | Emulation physikalischer sicherheitseinrichtungen | |
| CN104346572A (zh) | 一种通用的外置式智能终端安全运行环境构建方法 | |
| CN110674494B (zh) | 进程的保护方法、系统及数据处理方法 | |
| Kaczmarek et al. | Operating system security by integrity checking and recovery using write‐protected storage | |
| CN112883369A (zh) | 一种可信虚拟化系统 | |
| CN103795905A (zh) | 一种网络摄像机可信启动方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110629 Termination date: 20200708 |