CN105516967A - 可信环境创建方法和装置及基站异常恢复方法和装置 - Google Patents
可信环境创建方法和装置及基站异常恢复方法和装置 Download PDFInfo
- Publication number
- CN105516967A CN105516967A CN201410499824.8A CN201410499824A CN105516967A CN 105516967 A CN105516967 A CN 105516967A CN 201410499824 A CN201410499824 A CN 201410499824A CN 105516967 A CN105516967 A CN 105516967A
- Authority
- CN
- China
- Prior art keywords
- base station
- version
- prepackage
- sos
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种可信环境创建方法和装置及基站异常恢复方法和装置。涉及无线通信领域;解决了现有可信计算技术方案为基站提供可靠的异常恢复功能的问题。该基站异常恢复方法包括:在基站的可信环境中,对所述基站进行可信风险度检查;在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本。本发明提供的技术方案适用于基站嵌入式计算机系统,实现了基站基于可信环境的异常自检与自动恢复。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种可信环境创建方法和装置及基站异常恢复方法和装置。
背景技术
当前网络安全成为迫切需要解决的问题,特别是移动通信网络因为在现代社会生活、生产中发挥了不可替代的作用,其安全性值得关注。通信基站是移动通信网络的组成部分,具有数量多、分布广、工作环境复杂等特点,尤其是户外通信基站,因为物理安全防护相对较为薄弱且往往缺乏主动安全防御能力,是整个通信网络中容易遭受安全攻击的一个环节。
同时,通信基站是提供通信服务的基础设施,对其工作可用性的要求也是极为严苛的。而通信基站在运行过程中,面临硬件失效、软件失效、人为失效、可信度量失效等复杂的风险,各种失效风险的特征及应对措施也不尽相同。如果基站能够识别各种失效风险,进行综合分析,利用可信计算环境的数据恢复机制,提供自行从异常中恢复的能力,将极大提高基站的可用性水平,对提升通信用户体验及提高通信运营商效益均有帮助。
现代通信基站一般是嵌入式的计算机系统,使用可信计算(TC,TrustedComputing)技术可以为通信基站提供主动安全防御能力。与传统的由防火墙、入侵监测、病毒防范等组成的被动安全防御系统相比,使用可信平台模块(TPM,TrustedPlatformModules)为底层固件的安全系统通过在计算系统中构建信任源点,利用密码机制建立信任链,构建可信计算环境,使得从根本上解决安全问题成为可能,并且具有较好的系统扩展性。
可信计算技术的发展非常迅猛,许多国外科技公司,例如Atmel、Broadcom等都推出了符合可信计算规范的TPM、安全PC等产品。但是这类产品一般侧重于以硬件为基础的计算平台,包括安全协处理器、个人令牌、密码加速器及多功能器件等。这些实例的目标是保证数据的真实性、数据机密性、数据保护。但是这些产品更侧重从硬件平台层面提供基础可信计算服务,还不能提供软件系统、服务的综合可信服务。
Verisign、PhoenixTechnologies、Microsoft等公司也推出了可以提供管理文件、信息传递、密钥传递、智能签名等功能的TPM应用软件、操作系统,但是单纯的软件服务因为存在被篡改可能性从而影响其应用的可靠性。并且因为这些软件系统,一般是集成或者基于桌面级硬件平台,或者依赖于操作系统的重量级系统,在基站这类嵌入式系统中的应用受到限制。
现有使用可信技术应用于通信基站的技术方案,一般侧重于实现可信环境的建立,对基站运行中面临的各种失效风险缺乏综合分析,也缺乏系统可信数据的备份机制,在检测到异常后仅仅简单实现系统复位,并不具备有效的数据恢复方法,要么不能有效地从异常状态恢复到正常通信状态,要么需要其他第三方系统干预才能恢复,但恢复时间明显延长。
综上所述,现有应用于通信基站的可信计算技术方案,在嵌入式计算系统有限资源条件下应用受到限制,且不能提供适应基站运行要求的可信数据备份机制以及各种失效风险的综合分析,从而无法为基站提供可靠的对异常进行主动恢复的功能。
发明内容
本发明提供了一种可信环境创建方法和装置及基站异常恢复方法和装置,解决了现有可信计算技术方案为基站提供可靠的异常恢复功能的问题。
一种基站异常恢复方法,包括:
在基站首次上电后,运行预写入所述基站的可信平台模块(TPM)硬件的基本BIOS代码,将可信环境控制权转移给基本BIOS;
所述基本BIOS控制进行安全操作系统的加载,将所述可信环境控制权转移至所述安全操作系统;
所述安全操作系统加载软件环境,创建可信环境。
优选的,在基站首次上电后,运行预写入所述基站的TPM硬件的基本BIOS代码,将可信环境控制权转移给基本BIOS的步骤之前,还包括:
在所述基站出厂前进行对该基站的所述TPM硬件和非易失存储进行初始化,所述非易失存储包括数据保护区和文件系统数据区,具体包括:
向所述数据保护区及所述文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库、应用软件和权值数据,
将与所述基站预装版本使用配套的密钥集、所述基本BIOS代码写入所述TPM硬件,所述密钥集包含多个密钥。
优选的,所述基本BIOS控制进行安全操作系统的加载,将所述可信环境控制权转移至所述安全操作系统包括:
所述基本BIOS在硬件自检结束后,对所述基站的数据保护区中存储的数据的可信度进行检查;
所述基本BIOS在所述数据保护区中存储的数据的可信度检查通过后,通过所述BootLoader代码加载预写入所述数据保护区中的所述基站预装版本;
启动执行所述BOOT代码,对所述基站的嵌入式系统进行硬件初始化,创建文件系统,并对文件系统进行可信认证;
在完成对所述文件系统的可信认证后,从所述基站预装版本中提取并加载安全操作系统映像,将可信环境控制权传递至安全操作系统。
优选的,所述基本BIOS在硬件自检结束后,对所述基站的数据保护区中存储的数据的可信度进行检查的步骤之后,还包括:
所述基本BIOS在所述数据保护区中存储的数据的可信度检查未通过时,触发基站重启复位。
优选的,在完成对所述文件系统的可信认证后,从所述基站预装版本中提取安全操作系统的映像,将可信环境控制权传递至安全操作系统包括:
根据所述版本切换标识,确定基站预装版本,从所述基站预装版本中提取安全操作系统的映像;
对所述安全操作系统的映像进行可信认证;
在所述安全操作系统的映像通过可信认证后,加载该安全操作系统的映像,将可信环境控制权传递至所述安全操作系统。
优选的,根据所述版本切换标识,确定基站预装版本,从所述基站预装版本中提取安全操作系统的映像包括:
在所述版本切换标识指示所述文件系统数据区中的基站预装版本时,直接从所述版本切换标识指示的基站预装版本中提取对应的安全操作系统映像;
在所述版本切换标识指示所述数据保护区中的基站预装版本时,将该基站预装版本恢复至所述文件系统数据区,再从所述文件系统数据区的基站预装版本中提取安全操作系统映像。
优选的,对所述安全操作系统的映像进行可信认证的步骤之后,还包括:
在所述安全操作系统的映像未通过可信认证后,触发基站重启复位,将所述版本切换标识的数值强制置位为指示其他基站预装版本,所述其他基站预装版本存储于所述文件系统数据区或数据保护区。
优选的,所述安全操作系统加载软件环境,创建可信环境包括:
启动所述安全操作系统,从所述基站预装版本中提取并加载所述应用软件,挂接所述可信网络软件库。
优选的,该方法还包括:
在所述安全操作系统启动后,所述基站向远程控制端请求认证;
所述基站在通过所述远程控制端认证后,接收该远程控制端下发的新的基站预装版本及配套密钥集;
所述基站将所述新的基站预装版本写入所述数据保护区及所述文件系统数据区,并将所述配套密钥集写入该基站的TPM硬件;
所述基站更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本。
本发明还提供了一种基站异常恢复方法,包括:
在基站的可信环境中,对所述基站进行可信风险度检查;
在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本。
优选的,所述基站的可信环境由运行于该基站的安全操作系统、可信的服务软件库和可信的网络服务系统构成,该方法还包括:
预先向所述基站的非易失存储的数据保护区和文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库和应用软件;
预先向所述基站的TPM硬件中写入与所述基站预装版本使用配套的密钥集和基本BIOS代码。
优选的,所述在基站的可信环境中,对所述基站进行可信风险度检查,对所述基站进行可信风险度检查包括:
所述安全操作系统与所述应用软件、可信网络软件库相配合,周期性的对系统硬件、存储系统、网络通信、软件行为进行自检;
对自检识别得到的数据进行风险评估决策,判定是否发生基站异常。
优选的,所述安全操作系统与所述应用软件、可信网络软件库相配合,周期性的对系统硬件、存储系统、网络通信、软件行为进行自检包括:
所述安全操作系统与所述应用软件相配合,周期性对所述基站的系统硬件、存储系统进行自检,收集静态可信性评估数据,所述静态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
识别硬件失效,版本非法更换;
通过所述可信网络软件库的基础服务功能,实时对网络通信进行认证,通过应用软件周期性向操作系统认证,收集系统动态可信性评估数据,所述系统动态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
网络非授权访问,网络劫持;
通过所述应用软件收到的业务指令类别进行外部指令集中度数据检查,收集非授权行为特征的数据,所述非授权行为特征数据至少包含以下任一或任意多个基站异常事件的数据:
文件非授权删除,文件非授权拷贝,严重危及设备安全的非授权操作。
优选的,对自检识别得到的风险进行评估决策,判定所述风险是否为基站异常包括:
使用加权线性贝叶斯决策算法,对自检识别得到的静态可信性评估数据、系统动态可信性评估数据、和非授权行为特征的数据进行评估决策;
在决策结果为发生基站异常时,作出基站复位方案并同步更新所述数据保护区保存的版本切换标识。
优选的,使用加权线性贝叶斯决策算法,对自检识别得到的静态可信性评估数据、系统动态可信性评估数据、和非授权行为特征的数据进行评估决策包括:
在使用加权线性贝叶斯决策算法对静态可信性评估数据或系统动态可信性评估数据或非授权行为特征的数据进行计算后得到的权值高于所述权值数据中对应的阈值时,决策发生基站异常。
优选的,该方法还包括:
所述基站在通过远程控制端的认证后,接收该远程控制端下发的新的基站版本及配套密钥集;
所述基站将所述新的基站版本写入所述数据保护区,并将所述配套密钥集写入该基站的TPM硬件;
所述基站更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本
本发明还提供了一种可信环境创建装置,包括:
BIOS启动模块,用于在基站首次上电后,运行预写入所述基站的TPM硬件的基本BIOS代码,将可信环境控制权转移给基本BIOS;
基本BIOS,用于控制进行操作系统的加载,将所述可信环境控制权转移至安全操作系统;
安全操作系统,用于加载软件环境,创建可信环境。
优选的,该装置还包括:
初始化模块,用于在所述基站出厂前进行对该基站的所述TPM硬件和非易失存储进行初始化,所述非易失存储包括数据保护区和文件系统数据区,具体包括:
向所述数据保护区及所述文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库、应用软件和权值数据,
将与所述基站预装版本使用配套的密钥集、所述基本BIOS代码写入所述TPM硬件,所述密钥集包含多个密钥。
优选的,所述基本BIOS包括:
可信度检查单元,用于在硬件自检结束后,对所述基站的数据保护区中存储的数据的可信度进行检查;
版本加载单元,用于在所述数据保护区中存储的数据的可信度检查通过后,通过所述BootLoader代码加载预写入所述数据保护区中的所述基站预装版本;
文件系统创建单元,用于启动执行所述BOOT代码,对所述基站的嵌入式系统进行硬件初始化,创建文件系统,并对文件系统进行可信认证;
映像加载单元,用于在完成对所述文件系统的可信认证后,从所述基站预装版本中提取安全操作系统映像,将可信环境控制权传递至安全操作系统。
优选的,所述基本BIOS,还包括:
重启单元,用于在所述数据保护区中存储的数据的可信度检查未通过时,触发基站重启复位。
优选的,所述映像加载单元包括:
版本选择子单元,用于根据所述版本切换标识,确定基站预装版本,从所述基站预装版本中提取安全操作系统的映像;
认证子单元,用于对所述安全操作系统的映像进行可信认证;
加载子单元,用于在所述安全操作系统的映像通过可信认证后,加载该安全操作系统的映像,将可信环境控制权传递至所述安全操作系统。
优选的,所述版本选择子单元,具体用于在所述版本切换标识指示所述文件系统数据区中的基站预装版本时,直接从所述版本切换标识指示的基站预装版本中提取对应的安全操作系统映像,
在所述版本切换标识指示所述数据保护区中的基站预装版本时,将该基站预装版本恢复至所述文件系统数据区,再从所述文件系统数据区的基站预装版本中提取安全操作系统映像。
优选的,所述版本选择子单元,还用于在所述安全操作系统的映像未通过可信认证后,触发基站重启复位,将所述版本切换标识的数值强制置位为指示其他基站预装版本,所述其他基站预装版本存储于所述文件系统数据区或数据保护区。
优选的,该装置还包括:
远端认证模块,用于在所述安全操作系统启动后,所述基站向远程控制端请求认证;
版本下载模块,用于在通过所述远程控制端认证后,接收该远程控制端下发的新的基站预装版本及配套密钥集;
存储模块,用于将所述新的基站预装版本写入所述数据保护区及所述文件系统数据区,并将所述配套密钥集写入该基站的TPM硬件;
复位模块,用于更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本。
本发明还提供了一种基站异常恢复装置,包括:
检查模块,用于在基站的可信环境中,对所述基站进行可信风险度检查;
异常恢复模块,用于在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本。
优选的,所述基站的可信环境由运行于该基站的安全操作系统、可信的服务软件库和可信的网络服务系统构成,该装置还包括:
第一配置模块,用于预先向所述基站的非易失存储的数据保护区和文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库和应用软件;
第二配置模块,用于预先向所述基站的TPM硬件中写入与所述基站预装版本使用配套的密钥集和基本BIOS代码。
优选的,所述检查模块包括:
自检单元,用于控制所述安全操作系统与所述应用软件、可信网络软件库相配合,周期性的对系统硬件、存储系统、网络通信、软件行为进行自检;
异常判定单元,用于对自检识别得到的数据进行风险评估决策,判定是否发生基站异常。
优选的,所述自检单元包括:
硬件自检子单元,用于控制所述安全操作系统与所述应用软件相配合,周期性对所述基站的系统硬件、存储系统进行自检,收集静态可信性评估数据,所述静态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
识别硬件失效,版本非法更换;
网络自检子单元,用于通过所述可信网络软件库的基础服务功能,实时对网络通信进行认证,通过应用软件周期性向操作系统认证,收集系统动态可信性评估数据,所述系统动态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
网络非授权访问,网络劫持;
软件自检子单元,用于通过所述应用软件收到的业务指令类别进行外部指令集中度数据检查,收集非授权行为特征的数据,所述非授权行为特征数据至少包含以下任一或任意多个基站异常事件的数据:
文件非授权删除,文件非授权拷贝,严重危及设备安全的非授权操作。
优选的,所述异常判定单元包括:
决策子单元,用于使用加权线性贝叶斯决策算法,对自检识别得到的静态可信性评估数据、系统动态可信性评估数据、和非授权行为特征的数据进行评估决策;
方案确定单元,用于在决策结果为发生基站异常时,作出基站复位方案并同步更新所述数据保护区保存的版本切换标识。
优选的,该装置还包括:
版本下载模块,用于在所述基站通过远程控制端的认证后,接收该远程控制端下发的新的基站版本及配套密钥集;
存储模块,用于将所述新的基站版本写入所述数据保护区,并将所述配套密钥集写入该基站的TPM硬件;
复位模块,用于更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本
本发明提供了一种可信环境创建方法和装置及基站异常恢复方法和装置,创建基站的可信环境,在基站的可信环境中,对所述基站进行可信风险度检查,在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本。实现了基站基于可信环境的异常自检与自动恢复,解决了现有可信计算技术方案为基站提供可靠的异常恢复功能的问题。
附图说明
图1为本发明的实施例一提供的一种基站异常恢复方法流程图;
图2为本发明的实施例一提供的一种可信环境创建方法的流程图;
图3为图2中步骤203的具体流程图;
图4为基站版本更新流程图;
图5为图1中步骤102的具体流程图;
图6为本发明的实施例二提供的一种可信环境创建装置的结构示意图;
图7为图6中BIOS602的结构示意图;
图8为图7中映像加载单元704的结构示意图;
图9为本发明的实施例二提供的一种基站异常恢复装置的结构示意图;
图10为图9中自检查模块901的结构示意图;
图11为图10中自检单元1001的结构示意图;
图12为图11中异常判定单元1102的结构示意图;
图13为通用移动通讯系统组成示意图;
图14为演进型UTRAN组成示意图;
图15为使用可信计算技术的基站构成示意图;
图16为TPM固件的主要组成部分示意图;
图17为基站非易失存储的空间分配示意图。
具体实施方式
现有应用于通信基站的可信计算技术方案,在嵌入式计算系统有限资源条件下应用受到限制,且不能提供适应基站运行要求的可信数据备份机制以及各种失效风险的综合分析,从而无法为基站提供可靠的对异常进行主动恢复的功能。
为了解决上述问题,本发明的实施例提供了一种基站异常恢复依法和装置。下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
首先结合附图,对本发明的实施例一进行说明。
本发明实施例提供了一种基于可信环境的基站异常恢复方法,使用该方法完成基站对异常的自检及恢复的流程如图1所示,包括:
步骤101、创建基站的可信环境;
本发明实施例提供了一种可信环境创建方法,其流程如图2所示,包括:
步骤201、在所述基站出厂前进行对该基站的所述TPM硬件和非易失存储进行初始化,所述非易失存储包括数据保护区和文件系统数据区,创建可信环境的第一个完整源点;
包括:
1、将版本切换标识及基站预装版本写入所述数据保护区及文件系统数据区,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统映像、可信网络软件库、应用软件和权值数据。
文件系统数据区为安全操作系统运行时可变更的存储区域,在出厂时,文件系统数据区与数据保护区内的存储内容一致。
版本切换标识指向一基站预装版本。需要说明的是,在数据保护区及文件系统数据区内均可能存在一个或多个基站预装版本,版本切换标识的值可以指向数据保护区内的任一基站预装版本,也可指向文件系统数据区内的任一基站预装版本。
可信网络软件库是安全操作系统访问硬件存储信息使用的函数库。
权值数据作为后续决策时的判定标准,至少包含判定事件是否发生的阈值。
2、将与所述基站预装版本使用配套的密钥集、所述基本BIOS代码写入所述TPM硬件,创建可信环境的第一个完整源点。其中,密钥集包含多个密钥,每个密钥具有一个索引号,在与其他设备使用密钥进行认证时,可根据对方发送的索引选择相应的密钥进行认证,也可选择密钥后将该密钥的索引发送给对方以进行认证。
Bootloader代码和BOOT代码与预装版本并列地放置在数据保护区中。
步骤202、在所述基站首次上电后,运行预写入所述基站的TPM硬件的基本BIOS代码,将可信环境控制权转移给基本BIOS;
本步骤中,基站上电TPM硬件基本BIOS执行。基站在线运行过程可信环境创建,从基站任意一次上电过程开始。基站上电后,硬件电路使得TPM硬件基本BIOS接管系统控制权,首先进行硬件自检。
步骤203、基本BIOS控制进行操作系统的加载,将所述可信环境控制权转移至安全操作系统;
本步骤具体如图3所示,包括:
步骤301、所述基本BIOS在硬件自检结束后,对所述基站的数据保护区中存储的数据的可信度进行检查;
本步骤中,基本BIOS对数据保护区的可信认证。基本BIOS在硬件自检结束后,使用约定的密钥对基站的数据保护区数据的可信度进行检查。
步骤302、所述基本BIOS在所述数据保护区中存储的数据的可信度检查通过后,通过所述BootLoader代码加载预写入所述数据保护区中的所述基站预装版本内的安全操作系统映像;
本步骤中,基本BIOS在对数据保护区的可信度检查通过后方可通过可信的BootLoader代码开始操作系统的加载,否则通过基站告警指示灯提示,基站重启复位。
步骤303、启动执行所述BOOT代码,对所述基站的嵌入式系统进行硬件初始化,创建文件系统,并对文件系统进行可信认证;
本步骤中,BOOT启动执行。BOOT首先对嵌入式系统进行硬件初始化。
BOOT创建文件系统,并对文件系统进行可信认证。
步骤304、在完成对所述文件系统的可信认证后,从所述基站预装版本中提取安全操作系统映像,可信环境控制权传递至安全操作系统;
本步骤中,根据数据保护区中的版本切换标识,选择对应的安全操作系统映像进行加载。如果版本切换标识的数值指示从基站的文件系统区加载安全操作系统映像,则加载流程直接进入步骤204。如果是指示从数据保护区加载,则在TPM支持下,将数据保护区版本恢复到文件系统后,准备加载操作系统映像。
在对安全操作系统映像可信认证通过时,则直接加载该安全操作系统的映像,否则强制置位版本切换标识数值为从数据保护区加载基站预装版本(可选的,在文件系统数据区中保存有至少一个基站预装版本时,也可将版本切换标识的值置为指示加载该文件系统数据区中另一个基站预装版本。具体可根据需要设置版本切换标识的数据变更规则,本发明对此不作限定,凡能保证在认为一基站预存版本不可信的情况下更换其他基站预装版本进行加载的方式,均在本发明的保护范围内),基站复位。
步骤204、所述安全操作系统加载软件环境,创建可信环境
所述安全操作系统从所述基站预装版本中提取并执行应用软件,完成对所述可信网络软件库的挂接,加载所述可信网络软件库,将可信环境控制权传递至所述应用软件和所述可信网络软件库。
具体的,基站进行安全操作系统映像的加载,安全操作系统接管可信环境控制权,完成TPM驱动、可信网络软件库(均包含在基站预装版本中)调用的挂接。
将操作系统自带的可信网络软件库加载执行。
安全操作系统对应用软件的可信认证。如果认证通过,刚继续加载执行所述应用软件;否则置位版本切换标识后基站复位。
基站在线运行过程可信环境创建,还包括基站的版本升级后可信环境的可信传递。基站运行过程中的版本升级和基站的数据保护区动态升级更新相配合。基站版本的动态升级更新基于可信环境提供的可信网络服务,由基站控制端通过远程交互进行。
在安全操作系统完成启动后,即可检测是否需要对当前的基站预装版本进行更新,并在需要更新时执行更新,具体如图4所示,包括:
步骤401、首先基站和远程控制端进行会话的密钥认证,此处所用密钥为前述密钥集中的密钥。
步骤402、所述基站在通过远程控制端的认证后,接收该远程控制端下发的新的基站预装版本及配套密钥集;
步骤403、基站将收到的可信的基站预装版本写入数据保护区,并将新的基站预装版本配套的密钥集写入TPM硬件存储区域。
步骤404、所述基站更改版本切换标识并发起复位,在复位后加载所述新的基站预装版本。
本步骤中,基站更改版本切换标识并发起复位,在复位后加载升级基站版本。
通过以上步骤的顺序执行,可信环境控制权被传递到安全操作系统,并最终传递到可信网络软件库,为应用软件提供可信服务,在可信应用软件启动成功后,可信环境创建成功。
在完成可信环境的创建后,即可继续进行对基站异常的检测。
步骤102、在基站的可信环境中,对所述基站进行可信风险度检查;
基站运行过程中的异常风险识别。基站运行过程中,所述安全操作系统与所述应用软件、可信网络软件库相配合,周期性的对系统硬件、存储系统、网络通信、软件行为进行自检,获得静态可信性评估数据;系统通过可信服务库的基础服务功能,实时对网络通信进行认证,通过应用软件周期性向操作系统认证,收集系统动态可信性评估数据;通过应用软件收到的业务指令类别进行外部指令集中度数据检查,以识别软件行为特征和外部执行特征。
然后,对自检识别得到的数据进行风险评估决策,判定是否发生基站异常。具体的,基站运行风险的综合决策。对识别的硬件失效风险、软件失效风险、人为失效风险、可信度度量风险统一送入决策器,决策器使用加权线性贝叶斯决策算法进行评估决策,其中权值数据存放在软件版本中,可以跟随版本进行升级。如果决策器给出基站复位方案中要求基站复位,则同步更新基站数据保护区保存的版本切换标识后基站复位;如果基站不需要复位,则继续基站正常工作。
本步骤具体如图5所示,包括:
步骤501、基站运行过程中,由安全操作系统、可信应用软件配合,周期性对系统硬件、存储系统进行自检,识别硬件失效、版本非法更换等风险,获得静态可信性评估数据,所述静态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
识别硬件失效,版本非法更换;
步骤502、系统通过可信网络软件库的基础服务功能,实时对网络通信进行认证,通过应用软件周期性向操作系统认证,识别网络非授权访问、网络劫持等风险,收集系统动态可信性评估数据,所述系统动态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
网络非授权访问,网络劫持;
步骤503、通过应用软件收到的业务指令类别进行外部指令集中度数据检查,非授权行为特征的数据,所述非授权行为特征数据至少包含以下任一或任意多个基站异常事件的数据:
文件非授权删除,文件非授权拷贝,严重危及设备安全的非授权操作。
以预防文件非授权删除/copy、严重危及设备安全的非授权操作等风险。
需要说明的是,上述步骤501至503之间并无严格时序限制。
步骤504、使用加权线性贝叶斯决策算法,对自检识别得到的静态可信性评估数据、系统动态可信性评估数据、软件行为特征和外部执行特征进行评估决策;
在使用加权线性贝叶斯决策算法对静态可信性评估数据或系统动态可信性评估数据或非授权行为特征的数据进行计算后得到的权值高于所述权值数据中对应的阈值时,决策发生基站异常。权值数据存放在基站预装版本中,可以跟随版本进行升级。
步骤505、在决策结果为发生基站异常时,作出基站复位方案并同步更新所述数据保护区保存的版本切换标识;
本步骤中,在确认发生基站异常时,决策器给出基站复位方案并同步更新非易失存储数据保护区保存的版本切换标识,确保基站复位后能实现异常的主动恢复。
步骤103、在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本;
本步骤具体的,是将基站恢复至当前的版本切换标识的值指示的基站预装版本。
下面对本发明实施例中所涉及的可信认证方法进行说明,是基于密钥匹配和密文比对的可信认证。具体的认证算法为:
第一步,待认证方提供36字节认证数据(RND)。其中前4字节为待认证数据生成时确定的随机数(RND1),其后的16字节数据为经过密钥加密的校验数据(RND2),最后16字节为待校验数据(RND3)。
第二步,认证方根据认证数据RND选取加密密钥。
本步骤分为以下几步:
1)取RND1第四字节(从左至右)与“0X26”进行“与”操作
2)再对其结果取模3的值,模3的结果(0~2之间)即为所要选择的认证密钥的索引号。
3)根据认证密钥索引号从“密钥集”中选中“认证密钥”,用TPM序列号和RND1作为分散因子进行两级分散得到“认证会话密钥”(16字节)。
第三步,认证方用“认证会话密钥”对RND的最后16字节(称为RND3)进行3DES_ECB_ENC加密,得到密文数据(16字节)。
第四步,将密文数据和RND2进行比对。比对通过,则认证通过;否则认证失败。
对于步骤301来说,基本BIOS为认证方,数据保护区为被认证方;对于步骤303来说,BOOT代码为认证方,文件系统为被认证方;对于步骤304来说,BOOT代码为认证方,安全操作系统的映像为被认证方;对于步骤204来说,安全操作系统为认证方,应用软件为被认证方;对于图4所示基站预装版本更新流程来说,远程控制端为认证方,基站为被认证方。
下面结合附图,对本发明的实施例二进行说明。
本发明实施例提供了一种可信环境创建装置,可在基站内部创建可信环境,该装置的结构如图6所示,包括:
BIOS启动模块601,用于在基站首次上电后,运行预写入所述基站的TPM硬件的基本BIOS代码,将可信环境控制权转移给基本BIOS;
基本BIOS602,用于控制进行操作系统的加载,将所述可信环境控制权转移至安全操作系统;
安全操作系统603,用于加载软件环境,创建可信环境。
优选的,该装置还包括:
初始化模块604,用于在所述基站出厂前进行对该基站的所述TPM硬件和非易失存储进行初始化,所述非易失存储包括数据保护区和文件系统数据区,具体包括:
向所述数据保护区及所述文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库、应用软件和权值数据,
将与所述基站预装版本使用配套的密钥集、所述基本BIOS代码写入所述TPM硬件,所述密钥集包含多个密钥。
优选的,所述基本BIOS602的结构如图7所示,包括:
可信度检查单元701,用于在硬件自检结束后,对所述基站的数据保护区中存储的数据的可信度进行检查;
版本加载单元702,用于在所述数据保护区中存储的数据的可信度检查通过后,通过所述BootLoader代码加载预写入所述数据保护区中的所述基站预装版本;
文件系统创建单元703,用于启动执行所述BOOT代码,对所述基站的嵌入式系统进行硬件初始化,创建文件系统,并对文件系统进行可信认证;
映像加载单元704,用于在完成对所述文件系统的可信认证后,从所述基站预装版本中提取安全操作系统映像,将可信环境控制权传递至安全操作系统。
优选的,所述基本BIOS602还包括:
重启单元705,用于在所述数据保护区中存储的数据的可信度检查未通过时,触发基站重启复位。
优选的,所述映像加载单元704的结构如图8所示,包括:
版本选择子单元801,用于根据所述版本切换标识,确定基站预装版本,从所述基站预装版本中提取安全操作系统的映像;
认证子单元802,用于对所述安全操作系统的映像进行可信认证;
加载子单元803,用于在所述安全操作系统的映像通过可信认证后,加载该安全操作系统的映像,将可信环境控制权传递至所述安全操作系统。
优选的,所述版本选择子单元801,具体用于在所述版本切换标识指示所述文件系统数据区中的基站预装版本时,直接从所述版本切换标识指示的基站预装版本中提取对应的安全操作系统映像,
在所述版本切换标识指示所述数据保护区中的基站预装版本时,将该基站预装版本恢复至所述文件系统数据区,再从所述文件系统数据区的基站预装版本中提取安全操作系统映像。
优选的,所述版本选择子单元801,还用于在所述安全操作系统的映像未通过可信认证后,触发基站重启复位,将所述版本切换标识的数值强制置位为指示其他基站预装版本,所述其他基站预装版本存储于所述文件系统数据区或数据保护区。
优选的,该装置还包括:
远端认证模块605,用于在所述安全操作系统启动后,所述基站向远程控制端请求认证;
版本下载模块606,用于在通过所述远程控制端认证后,接收该远程控制端下发的新的基站预装版本及配套密钥集;
存储模块607,用于将所述新的基站预装版本写入所述数据保护区及所述文件系统数据区,并将所述配套密钥集写入该基站的TPM硬件;
复位模块608,用于更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本。
本发明实施例还提供了一种基站异常恢复装置,该装置的结构如图9所示,包括:
检查模块901,用于在基站的可信环境中,对所述基站进行可信风险度检查;
异常恢复模块902,用于在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本。
优选的,所述基站的可信环境由运行于该基站的安全操作系统、可信的服务软件库和可信的网络服务系统构成,该装置还包括:
第一配置模块903,用于预先向所述基站的非易失存储的数据保护区和文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库和应用软件;
第二配置模块904,用于预先向所述基站的TPM硬件中写入与所述基站预装版本使用配套的密钥集和基本BIOS代码。
优选的,所述检查模块901的结构如图10所示,包括:
自检单元1001,用于控制所述安全操作系统与所述应用软件、可信网络软件库相配合,周期性的对系统硬件、存储系统、网络通信、软件行为进行自检;
异常判定单元1002,用于对自检识别得到的数据进行风险评估决策,判定是否发生基站异常。
优选的,所述自检单元1001的结构如图11所示,包括:
硬件自检子单元1101,用于控制所述安全操作系统与所述应用软件相配合,周期性对所述基站的系统硬件、存储系统进行自检,收集静态可信性评估数据,所述静态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
识别硬件失效,版本非法更换;
网络自检子单元1102,用于通过所述可信网络软件库的基础服务功能,实时对网络通信进行认证,通过应用软件周期性向操作系统认证,收集系统动态可信性评估数据,所述系统动态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
网络非授权访问,网络劫持;
软件自检子单元1103,用于通过所述应用软件收到的业务指令类别进行外部指令集中度数据检查,收集非授权行为特征的数据,所述非授权行为特征数据至少包含以下任一或任意多个基站异常事件的数据:
文件非授权删除,文件非授权拷贝,严重危及设备安全的非授权操作。
优选的,所述异常判定单元1102的结构如图12所示,包括:
决策子单元1201,用于使用加权线性贝叶斯决策算法,对自检识别得到的静态可信性评估数据、系统动态可信性评估数据、和非授权行为特征的数据进行评估决策;
方案确定单元1202,用于在决策结果为发生基站异常时,作出基站复位方案并同步更新所述数据保护区保存的版本切换标识。
优选的,该装置还包括:
版本下载模块905,用于在所述基站通过远程控制端的认证后,接收该远程控制端下发的新的基站版本及配套密钥集;
存储模块906,用于将所述新的基站版本写入所述数据保护区,并将所述配套密钥集写入该基站的TPM硬件;
复位模块907,用于更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本。
上述可信环境创建装置和基站异常恢复装置可集成于基站设备中,由基站设备完成相应功能。
本发明的实施例提供的技术方案中,在基站上电阶段由固件完成初始化及硬件测试后,将信任传递给操作系统,继而在操作系统接管系统后通过可信软件服务库为应用程序提供可信计算功能。通过TPM固件基础支持,在嵌入式硬件平台基础上,实现了包括硬件系统、软件系统、网络服务的轻量级综合可信服务。
基于可信环境的数据保护服务,实现嵌入式系统中的非易失存储数据保护区及保护区更新机制,用于确保保护区存放的基站配置数据及备份版本可信度。
通过将基站的非易失存储进行分区,划分出数据保护区和文件系统数据区,并在TPM固件和可信服务的保护下,确保基站出厂可信环境完整性及运行过程中版本更新后可信环境的完整性。基站非易失存储的数据保护区,始终保存可信的基站版本、数据备份。
在非易失存储的数据保护区保存版本切换标识,用于在基站启动过程中选择可信版本。版本切换标识由异常决策算法更新,且同样受到可信环境的保护。该方法可以保证基站在识别出异常风险后,通过更改版本切换标识并进而通过复位基站来恢复可信版本,以确保基站的可信工作。
基站运行过程中,收集硬件自检检测结果、静态可信评估结果、软件运行行为特征、外部指令特征识别、动态可信评估结果等信息,对识别的硬件失效风险、软件失效风险、人为失效风险、可信度度量风险统一送入决策器,决策器使用加权线性贝叶斯决策算法进行评估决策,给出基站复位方案并同步更新非易失存储保存版本切换标识,确保基站复位后能实现异常的主动恢复。
本发明的实施例提供了一种基站异常恢复方法和装置,可以应用于通用移动通讯系统(UMTS,UniversalMobileTelecommunicationsSystem),一般由基带处理单元(BBU)和射频拉远单元(RRU)组成,如图13所示。也可以应用于演进型UTRAN结构(E-UTRAN),E-UTRAN主要由演进型NodeB(eNodeB)一层构成,如图14所示。
使用了可信计算技术中数据保护、密钥及分散技术,在TPM固件支持下,实现了轻量级的可信环境建立。装置由硬件主板(含TPM固件及嵌入式硬件电路)、安全操作系统、可信网络软件库三部分组成,各个组成部分之间的关系如图15所示。
其中TPM固件作为系统中的可信源点,用于提供硬件级密码学计算与密钥保护和小容量的数据存储,其组成部分如附图16所示。在TPM的存储器中存放用于嵌入式系统启动的基本BIOS,主要是完成硬件自检及嵌入式系统中非易失存储的可信度检查。TPM存储中的基本BIOS不能被更新,可以保证基本BIOS可信,但是TPM模块中存放的密钥可以在可信环境建立后在线更新。
嵌入式硬件平台的非易失存储空间,被划分为数据保护区和文件系统数据区,空间分配示意图见图17所示。其中数据保护区用于存放基站的执行版本和重要配置数据的备份、BootLoader代码、BOOT代码,仅仅能够通过块设备访问来操作,并且访问操作受到TPM的保护,以确保仅有授权的操作才能更新保护区的数据。文件系统数据区由操作系统文件系统的控制、访问,同样受到可信环境的保护。因为基站运行版本在运行过程中一般通过文件系统进行数据访问,所以数据保护区可以很大程度预防软件失效带来的改写风险,提高了系统备份数据的可靠性。
安全操作系统基于嵌入式linux,对内核的网络通信服务进行了随机可信认证更改,增加了TPM驱动和认证服务。可信网络软件库则对安全操作系统提供的基础可信认证服务进行封装,提供友好的调用接口,提供事物级的可信认证服务等可信服务功能。
本发明的实施例提供了可信环境创建方法和装置及基站异常恢复方法和装置,创建基站的可信环境,在基站的可信环境中,对所述基站进行可信风险度检查,在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本。实现了基站基于可信环境的异常自检与自动恢复,解决了现有可信计算技术方案为基站提供可靠的异常恢复功能的问题。
采用本发明的实施例提供的技术方案,完全依赖通信基站的能力,即可实现可信运行环境的创建、异常风险的识别和综合决策以及基站主动异常恢复,不需要其他系统或者网元的干预、配合。
与现有技术相比,能够在嵌入式硬件上完成硬件、软件、服务的轻量级综合可信环境的有效建立,使得基站具备一定的主动安全防御能力;通过创造性的数据保护区机制,在可信数据保护的基础上,支持了正常版本升级和异常场景版本切换的统一;并通过对基站各种异常风险的识别和综合判决,使得异常恢复更加主动、有效,达到了提高基站可用性的效果,可以降低运营商的维护成本并改善用户体验。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
Claims (30)
1.一种可信环境创建方法,其特征在于,包括:
在基站首次上电后,运行预写入所述基站的可信平台模块(TPM)硬件的基本BIOS代码,将可信环境控制权转移给基本BIOS;
所述基本BIOS控制进行安全操作系统的加载,将所述可信环境控制权转移至所述安全操作系统;
所述安全操作系统加载软件环境,创建可信环境。
2.根据权利要求1所述的可信环境创建方法,其特征在于,在基站首次上电后,运行预写入所述基站的TPM硬件的基本BIOS代码,将可信环境控制权转移给基本BIOS的步骤之前,还包括:
在所述基站出厂前进行对该基站的所述TPM硬件和非易失存储进行初始化,所述非易失存储包括数据保护区和文件系统数据区,具体包括:
向所述数据保护区及所述文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库、应用软件和权值数据,
将与所述基站预装版本使用配套的密钥集、所述基本BIOS代码写入所述TPM硬件,所述密钥集包含多个密钥。
3.根据权利要求2所述的可信环境创建方法,其特征在于,所述基本BIOS控制进行安全操作系统的加载,将所述可信环境控制权转移至所述安全操作系统包括:
所述基本BIOS在硬件自检结束后,对所述基站的数据保护区中存储的数据的可信度进行检查;
所述基本BIOS在所述数据保护区中存储的数据的可信度检查通过后,通过所述BootLoader代码加载预写入所述数据保护区中的所述基站预装版本;
启动执行所述BOOT代码,对所述基站的嵌入式系统进行硬件初始化,创建文件系统,并对文件系统进行可信认证;
在完成对所述文件系统的可信认证后,从所述基站预装版本中提取并加载安全操作系统映像,将可信环境控制权传递至安全操作系统。
4.根据权利要求3所述的可信环境创建方法,其特征在于,所述基本BIOS在硬件自检结束后,对所述基站的数据保护区中存储的数据的可信度进行检查的步骤之后,还包括:
所述基本BIOS在所述数据保护区中存储的数据的可信度检查未通过时,触发基站重启复位。
5.根据权利要求3所述的可信环境创建方法,其特征在于,在完成对所述文件系统的可信认证后,从所述基站预装版本中提取安全操作系统的映像,将可信环境控制权传递至安全操作系统包括:
根据所述版本切换标识,确定基站预装版本,从所述基站预装版本中提取安全操作系统的映像;
对所述安全操作系统的映像进行可信认证;
在所述安全操作系统的映像通过可信认证后,加载该安全操作系统的映像,将可信环境控制权传递至所述安全操作系统。
6.根据权利要求5所述的可信环境创建方法,其特征在于,根据所述版本切换标识,确定基站预装版本,从所述基站预装版本中提取安全操作系统的映像包括:
在所述版本切换标识指示所述文件系统数据区中的基站预装版本时,直接从所述版本切换标识指示的基站预装版本中提取对应的安全操作系统映像;
在所述版本切换标识指示所述数据保护区中的基站预装版本时,将该基站预装版本恢复至所述文件系统数据区,再从所述文件系统数据区的基站预装版本中提取安全操作系统映像。
7.根据权利要求5所述的可信环境创建方法,其特征在于,对所述安全操作系统的映像进行可信认证的步骤之后,还包括:
在所述安全操作系统的映像未通过可信认证后,触发基站重启复位,将所述版本切换标识的数值强制置位为指示其他基站预装版本,所述其他基站预装版本存储于所述文件系统数据区或数据保护区。
8.根据权利要求3所述的可信环境创建方法,其特征在于,所述安全操作系统加载软件环境,创建可信环境包括:
启动所述安全操作系统,从所述基站预装版本中提取并加载所述应用软件,挂接所述可信网络软件库。
9.根据权利要求1所述的可信环境创建方法,其特征在于,该方法还包括:
在所述安全操作系统启动后,所述基站向远程控制端请求认证;
所述基站在通过所述远程控制端认证后,接收该远程控制端下发的新的基站预装版本及配套密钥集;
所述基站将所述新的基站预装版本写入所述数据保护区及所述文件系统数据区,并将所述配套密钥集写入该基站的TPM硬件;
所述基站更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本。
10.一种基站异常恢复方法,其特征在于,包括:
在基站的可信环境中,对所述基站进行可信风险度检查;
在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本。
11.根据权利要求10所述的基站异常恢复方法,其特征在于,所述基站的可信环境由运行于该基站的安全操作系统、可信的服务软件库和可信的网络服务系统构成,该方法还包括:
预先向所述基站的非易失存储的数据保护区和文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库和应用软件;
预先向所述基站的TPM硬件中写入与所述基站预装版本使用配套的密钥集和基本BIOS代码。
12.根据权利要求11所述的基站异常恢复方法,其特征在于,所述在基站的可信环境中,对所述基站进行可信风险度检查,对所述基站进行可信风险度检查包括:
所述安全操作系统与所述应用软件、可信网络软件库相配合,周期性的对系统硬件、存储系统、网络通信、软件行为进行自检;
对自检识别得到的数据进行风险评估决策,判定是否发生基站异常。
13.根据权利要求12所述的基站异常恢复方法,其特征在于,所述安全操作系统与所述应用软件、可信网络软件库相配合,周期性的对系统硬件、存储系统、网络通信、软件行为进行自检包括:
所述安全操作系统与所述应用软件相配合,周期性对所述基站的系统硬件、存储系统进行自检,收集静态可信性评估数据,所述静态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
识别硬件失效,版本非法更换;
通过所述可信网络软件库的基础服务功能,实时对网络通信进行认证,通过应用软件周期性向操作系统认证,收集系统动态可信性评估数据,所述系统动态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
网络非授权访问,网络劫持;
通过所述应用软件收到的业务指令类别进行外部指令集中度数据检查,收集非授权行为特征的数据,所述非授权行为特征数据至少包含以下任一或任意多个基站异常事件的数据:
文件非授权删除,文件非授权拷贝,严重危及设备安全的非授权操作。
14.根据权利要求12所述的基站异常恢复方法,其特征在于,对自检识别得到的风险进行评估决策,判定所述风险是否为基站异常包括:
使用加权线性贝叶斯决策算法,对自检识别得到的静态可信性评估数据、系统动态可信性评估数据、和非授权行为特征的数据进行评估决策;
在决策结果为发生基站异常时,作出基站复位方案并同步更新所述数据保护区保存的版本切换标识。
15.根据权利要求14所述的基站异常恢复方法,其特征在于,使用加权线性贝叶斯决策算法,对自检识别得到的静态可信性评估数据、系统动态可信性评估数据、和非授权行为特征的数据进行评估决策包括:
在使用加权线性贝叶斯决策算法对静态可信性评估数据或系统动态可信性评估数据或非授权行为特征的数据进行计算后得到的权值高于所述权值数据中对应的阈值时,决策发生基站异常。
16.根据权利要求11所述的基站异常恢复方法,其特征在于,该方法还包括:
所述基站在通过远程控制端的认证后,接收该远程控制端下发的新的基站版本及配套密钥集;
所述基站将所述新的基站版本写入所述数据保护区,并将所述配套密钥集写入该基站的TPM硬件;
所述基站更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本。
17.一种可信环境创建装置,其特征在于,包括:
BIOS启动模块,用于在基站首次上电后,运行预写入所述基站的TPM硬件的基本BIOS代码,将可信环境控制权转移给基本BIOS;
基本BIOS,用于控制进行操作系统的加载,将所述可信环境控制权转移至安全操作系统;
安全操作系统,用于加载软件环境,创建可信环境。
18.根据权利要求1所述的可信环境创建装置,其特征在于,该装置还包括:
初始化模块,用于在所述基站出厂前进行对该基站的所述TPM硬件和非易失存储进行初始化,所述非易失存储包括数据保护区和文件系统数据区,具体包括:
向所述数据保护区及所述文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库、应用软件和权值数据,
将与所述基站预装版本使用配套的密钥集、所述基本BIOS代码写入所述TPM硬件,所述密钥集包含多个密钥。
19.根据权利要求18所述的可信环境创建装置,其特征在于,所述基本BIOS包括:
可信度检查单元,用于在硬件自检结束后,对所述基站的数据保护区中存储的数据的可信度进行检查;
版本加载单元,用于在所述数据保护区中存储的数据的可信度检查通过后,通过所述BootLoader代码加载预写入所述数据保护区中的所述基站预装版本;
文件系统创建单元,用于启动执行所述BOOT代码,对所述基站的嵌入式系统进行硬件初始化,创建文件系统,并对文件系统进行可信认证;
映像加载单元,用于在完成对所述文件系统的可信认证后,从所述基站预装版本中提取安全操作系统映像,将可信环境控制权传递至安全操作系统。
20.根据权利要求19所述的可信环境创建装置,其特征在于,所述基本BIOS,还包括:
重启单元,用于在所述数据保护区中存储的数据的可信度检查未通过时,触发基站重启复位。
21.根据权利要求19所述的可信环境创建方法,其特征在于,所述映像加载单元包括:
版本选择子单元,用于根据所述版本切换标识,确定基站预装版本,从所述基站预装版本中提取安全操作系统的映像;
认证子单元,用于对所述安全操作系统的映像进行可信认证;
加载子单元,用于在所述安全操作系统的映像通过可信认证后,加载该安全操作系统的映像,将可信环境控制权传递至所述安全操作系统。
22.根据权利要求21所述的可信环境创建装置,其特征在于,
所述版本选择子单元,具体用于在所述版本切换标识指示所述文件系统数据区中的基站预装版本时,直接从所述版本切换标识指示的基站预装版本中提取对应的安全操作系统映像,
在所述版本切换标识指示所述数据保护区中的基站预装版本时,将该基站预装版本恢复至所述文件系统数据区,再从所述文件系统数据区的基站预装版本中提取安全操作系统映像。
23.根据权利要求21所述的可信环境创建装置,其特征在于,
所述版本选择子单元,还用于在所述安全操作系统的映像未通过可信认证后,触发基站重启复位,将所述版本切换标识的数值强制置位为指示其他基站预装版本,所述其他基站预装版本存储于所述文件系统数据区或数据保护区。
24.根据权利要求1所述的可信环境创建装置,其特征在于,该装置还包括:
远端认证模块,用于在所述安全操作系统启动后,所述基站向远程控制端请求认证;
版本下载模块,用于在通过所述远程控制端认证后,接收该远程控制端下发的新的基站预装版本及配套密钥集;
存储模块,用于将所述新的基站预装版本写入所述数据保护区及所述文件系统数据区,并将所述配套密钥集写入该基站的TPM硬件;
复位模块,用于更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本。
25.一种基站异常恢复装置,其特征在于,包括:
检查模块,用于在基站的可信环境中,对所述基站进行可信风险度检查;
异常恢复模块,用于在可信风险度检查中发现基站异常时,将所述基站复位并恢复至可信的基站预装版本。
26.根据权利要求25所述的基站异常恢复装置,其特征在于,所述基站的可信环境由运行于该基站的安全操作系统、可信的服务软件库和可信的网络服务系统构成,该装置还包括:
第一配置模块,用于预先向所述基站的非易失存储的数据保护区和文件系统数据区均写入版本切换标识及基站预装版本,所述基站预装版本包括可信的BootLoader代码、BOOT代码、安全操作系统的映像、可信网络软件库和应用软件;
第二配置模块,用于预先向所述基站的TPM硬件中写入与所述基站预装版本使用配套的密钥集和基本BIOS代码。
27.根据权利要求26所述的基站异常恢复装置,其特征在于,所述检查模块包括:
自检单元,用于控制所述安全操作系统与所述应用软件、可信网络软件库相配合,周期性的对系统硬件、存储系统、网络通信、软件行为进行自检;
异常判定单元,用于对自检识别得到的数据进行风险评估决策,判定是否发生基站异常。
28.根据权利要求27所述的基站异常恢复装置,其特征在于,所述自检单元包括:
硬件自检子单元,用于控制所述安全操作系统与所述应用软件相配合,周期性对所述基站的系统硬件、存储系统进行自检,收集静态可信性评估数据,所述静态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
识别硬件失效,版本非法更换;
网络自检子单元,用于通过所述可信网络软件库的基础服务功能,实时对网络通信进行认证,通过应用软件周期性向操作系统认证,收集系统动态可信性评估数据,所述系统动态可信性评估数据至少包含以下任一或任意多个基站异常事件的数据:
网络非授权访问,网络劫持;
软件自检子单元,用于通过所述应用软件收到的业务指令类别进行外部指令集中度数据检查,收集非授权行为特征的数据,所述非授权行为特征数据至少包含以下任一或任意多个基站异常事件的数据:
文件非授权删除,文件非授权拷贝,严重危及设备安全的非授权操作。
29.根据权利要求27所述的基站异常恢复装置,其特征在于,所述异常判定单元包括:
决策子单元,用于使用加权线性贝叶斯决策算法,对自检识别得到的静态可信性评估数据、系统动态可信性评估数据、和非授权行为特征的数据进行评估决策;
方案确定单元,用于在决策结果为发生基站异常时,作出基站复位方案并同步更新所述数据保护区保存的版本切换标识。
30.根据权利要求26所述的基站异常恢复装置,其特征在于,该装置还包括:
版本下载模块,用于在所述基站通过远程控制端的认证后,接收该远程控制端下发的新的基站版本及配套密钥集;
存储模块,用于将所述新的基站版本写入所述数据保护区,并将所述配套密钥集写入该基站的TPM硬件;
复位模块,用于更改版本切换标识的值为指示所述新的基站预装版本,并发起复位,在复位后加载所述新的基站预装版本。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410499824.8A CN105516967A (zh) | 2014-09-25 | 2014-09-25 | 可信环境创建方法和装置及基站异常恢复方法和装置 |
| PCT/CN2014/093999 WO2015131607A1 (zh) | 2014-09-25 | 2014-12-16 | 可信环境创建方法和装置及基站异常恢复方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410499824.8A CN105516967A (zh) | 2014-09-25 | 2014-09-25 | 可信环境创建方法和装置及基站异常恢复方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105516967A true CN105516967A (zh) | 2016-04-20 |
Family
ID=54054479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410499824.8A Pending CN105516967A (zh) | 2014-09-25 | 2014-09-25 | 可信环境创建方法和装置及基站异常恢复方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105516967A (zh) |
| WO (1) | WO2015131607A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10867046B2 (en) * | 2018-08-08 | 2020-12-15 | Quanta Computer Inc. | Methods and apparatus for authenticating a firmware settings input file |
| CN113760384A (zh) * | 2021-01-04 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 应用环境切换方法、装置、计算机系统和可读存储介质 |
| CN113204355A (zh) * | 2021-05-20 | 2021-08-03 | 山东英信计算机技术有限公司 | 一种国产系统预装软件的方法、系统、终端及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102177678A (zh) * | 2008-10-10 | 2011-09-07 | 微软公司 | 可信和机密的远程tpm初始化 |
| CN102396251A (zh) * | 2009-04-15 | 2012-03-28 | 交互数字专利控股公司 | 对与网络通信的设备的确认和/或认证 |
| CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
| US20130218915A1 (en) * | 2012-02-22 | 2013-08-22 | International Business Machines Corporation | VALlDATING A SYSTEM WITH MULTIPLE SUBSYSTEMS USING TRUSTED PLATFORM MODULES AND VIRTUAL PLATFORM MODULES |
-
2014
- 2014-09-25 CN CN201410499824.8A patent/CN105516967A/zh active Pending
- 2014-12-16 WO PCT/CN2014/093999 patent/WO2015131607A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102177678A (zh) * | 2008-10-10 | 2011-09-07 | 微软公司 | 可信和机密的远程tpm初始化 |
| CN102396251A (zh) * | 2009-04-15 | 2012-03-28 | 交互数字专利控股公司 | 对与网络通信的设备的确认和/或认证 |
| CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
| US20130218915A1 (en) * | 2012-02-22 | 2013-08-22 | International Business Machines Corporation | VALlDATING A SYSTEM WITH MULTIPLE SUBSYSTEMS USING TRUSTED PLATFORM MODULES AND VIRTUAL PLATFORM MODULES |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015131607A1 (zh) | 2015-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3036623B1 (en) | Method and apparatus for modifying a computer program in a trusted manner | |
| CN102279760B (zh) | 利用初始保护组件来进行设备引导 | |
| KR101066727B1 (ko) | 컴퓨팅 장치의 보안 부팅 | |
| CN103270518B (zh) | 虚拟机验证系统及其方法 | |
| CN102693379B (zh) | 保护操作系统配置值 | |
| US20190332765A1 (en) | File processing method and system, and data processing method | |
| CN102880828B (zh) | 一种针对虚拟化支撑环境的入侵检测与恢复系统 | |
| US8533829B2 (en) | Method for monitoring managed device | |
| CN109657448B (zh) | 一种获取Root权限的方法、装置、电子设备及存储介质 | |
| CN109561085A (zh) | 一种基于设备识别码的身份验证方法、服务器及介质 | |
| CN105122260A (zh) | 到安全操作系统环境的基于上下文的切换 | |
| JP6139028B2 (ja) | アプリケーションの更新を指示するためのシステム及び方法 | |
| CN102833745B (zh) | 一种软件安全升级的方法、通信设备和通信系统 | |
| CN104320389A (zh) | 一种基于云计算的融合身份保护系统及方法 | |
| US10019577B2 (en) | Hardware hardened advanced threat protection | |
| WO2020228976A1 (en) | Method and system for device identification and monitoring | |
| US20160065375A1 (en) | Dynamic integrity validation of a high level operating system | |
| US9882931B1 (en) | Systems and methods for detecting potentially illegitimate wireless access points | |
| CN105516967A (zh) | 可信环境创建方法和装置及基站异常恢复方法和装置 | |
| US10621355B2 (en) | Method for initializing a computerized system and computerized system | |
| US7617258B2 (en) | System for real-time healing of vital computer files | |
| US11374745B1 (en) | Key usage tracking using TPM | |
| CN113127873A (zh) | 堡垒机的可信度量系统及电子设备 | |
| CN116405331B (zh) | 一种分段式数据获取方法、存储介质及电子设备 | |
| US20220374243A1 (en) | INTERNET OF THINGS (IoT) DEVICE, IoT DEVICE MANAGEMENT SYSTEM, AND METHOD FOR MANAGING IoT DEVICE |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160420 |
|
| WD01 | Invention patent application deemed withdrawn after publication |