CN111783097A - 一种星载计算系统的信息完整性度量验证方法及系统 - Google Patents
一种星载计算系统的信息完整性度量验证方法及系统 Download PDFInfo
- Publication number
- CN111783097A CN111783097A CN202010472306.2A CN202010472306A CN111783097A CN 111783097 A CN111783097 A CN 111783097A CN 202010472306 A CN202010472306 A CN 202010472306A CN 111783097 A CN111783097 A CN 111783097A
- Authority
- CN
- China
- Prior art keywords
- measurement
- integrity
- verification
- trust
- computing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005259 measurement Methods 0.000 title claims abstract description 165
- 238000012795 verification Methods 0.000 title claims abstract description 137
- 238000000034 method Methods 0.000 title claims abstract description 56
- 230000008569 process Effects 0.000 claims abstract description 33
- 230000005540 biological transmission Effects 0.000 claims abstract description 5
- 230000007246 mechanism Effects 0.000 claims description 27
- 238000004364 calculation method Methods 0.000 claims description 25
- 238000012546 transfer Methods 0.000 claims description 17
- 238000011084 recovery Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 11
- 230000001133 acceleration Effects 0.000 claims description 3
- 230000003213 activating effect Effects 0.000 claims description 3
- 239000000126 substance Substances 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 238000010200 validation analysis Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种星载计算系统的信息完整性度量验证方法及系统。方法包括:S1,在整个启动序列中建立信任链;以完整性信任模块为起点,在信任当前对象的前提下,对启动序列中下一对象进行完整性度量和本地验证,当本地验证通过后,认为下一对象可信,再将控制权转交给下一对象,依次向后推进直到整个启动序列中的对象完成本地验证;S2,在系统运行过程中,对内存中的数据进行完整性度量和本地验证;当地面系统向星载计算系统发送任务时,远程验证通过后再进行数据传输。从星载计算系统的硬件和软件的底层采取了安全措施,增加对系统与关键应用的度量与验证,能更好地抵抗篡改攻击等,能证实平台代码和数据的完整性和真实性。
Description
技术领域
本发明涉及信息安全防护领域,特别是涉及一种星载计算系统的信息完整性度量验证方法及星载计算系统。
背景技术
卫星互联网络作为国家信息化重要基础设施,是我国信息网络实现信息全球覆盖、宽带传输、军民融合、自由互联的必由之路。不同于现有卫星系统,本质上卫星互联网是一种天地一体的、以及“信息+网络”的复杂系统,汇集处理各种数据与信息。未来异构星地网络的融合应用会引入一系列信息安全隐患,卫星的星载计算系统作为大量重要信息数据的集散地,也是潜在的易受信息安全攻击威胁的区域。作为体系性防御的重要组成部分之一,确保星载计算系统的完整性是首当其冲的。但星载环境下,受限于计算资源以及实时性的要求,对完整性保护机制提供的计算、存储资源较为苛刻,需要针对性设计。
星载计算系统是一种典型但资源受限的嵌入式系统,当前星载计算系统软硬件平台结构相对简单,对执行代码不做严格意义上的完整性检查,对合法用户没有严格的访问控制,恶意攻击可以轻易将代码嵌入到可执行代码中,可能会导致各类信息安全事件的发生。
随着应用需求的发展,星载计算系统已从功能相对固定的封闭系统发展为可以进行功能升级的半开放系统。现有星载计算系统的功能升级常采用将新代码直接注入内存、修改跳转地址的方式来完成。功能丰富的同时也为星载计算系统带来了巨大的安全风险,攻击者可以采用类似的方式向星载计算系统注入恶意代码。现有星载计算系统采用纠错码校验机制能保证代码的可靠性,但不能防止恶意代码的注入,因为攻击者对恶意代码同样可以生成正确的校验码。
在信息安全领域,硬件结构和操作系统的安全是信息系统安全的基础,只有从星载计算系统的硬件和软件的底层采取安全措施,才能有效地确保系统的安全。
发明内容
本发明旨在至少解决现有技术中存在的技术问题,特别创新地提出了一种星载计算系统的信息完整性度量验证方法及星载计算系统。
为了实现本发明的上述目的,根据本发明的第一个方面,本发明提供了一种星载计算系统的信息完整性度量验证方法,包括:步骤S1,以完整性信任模块为可信根,在星载计算系统的整个启动序列中通过信任传递机制建立信任链;所述信任传递机制为:以完整性信任模块为起点,在信任当前对象的前提下,由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证,当本地验证通过后,认为下一对象可信,当本地验证不通过,对下一对象进行信任恢复,再将对完整性信任模块的控制权转交给下一对象,依次向后推进直到整个启动序列中的对象完成本地验证,信任链建立完成;步骤S2,在星载计算系统运行过程中,以应用进程为最小单位对内存中的数据进行完整性度量和本地验证;当地面系统向星载计算系统发送任务时,首先进行远程验证,远程验证通过后再进行数据传输。
上述技术方案的有益效果为:针对星载计算系统注重可靠性与实时性,以及缺乏系统安全防护机制的不足,加入完整性信任模块作为可信根,通过信任启动建立信任链,一级度量验证一级,一级信任一级,验证失败的情况下,还可进行信任恢复,从而确保整个星载系统计算环境的完整性和可靠性;在启动之后进行动态完整性度量验证,使得星载计算系统中免于遭受非预期的干扰和恶意攻击;通过远程验证机制实现对星载计算系统的身份和平台状态配置信息的完整性保证。从星载计算系统的硬件和软件的底层采取了安全措施,对星载计算系统的完整性认证机制进行重新设计,增加对系统与关键应用的度量与验证,确保星载计算系统的高完整性性能更好地抵抗篡改攻击等信息安全威胁,能够证实平台代码和数据的完整性和真实性以及安全执行。
在本发明的一种优选实施方式中,所述完整性度量的过程包括:对度量对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为度量值并扩展到完整性信任模块的配置寄存器中,记录度量日志。
上述技术方案的有益效果为:将度量值存储到可信根的平台配置寄存器中,并记录度量日志,度量日志记录了度量对象的度量先后顺序,通过配置寄存器的值保证度量日志的正确性,完整性度量对星载计算系统安全状态数据的正确性提供了保证。
在本发明的一种优选实施方式中,度量对象与完整性信任模块的配置寄存器一一对应,将每个度量对象的所有完整性度量值扩展到对应的配置寄存器中,为每个度量对象记录链式度量日志,同时将所有度量对象的配置寄存器值构造成树形度量日志。
上述技术方案的有益效果为:将度量值扩展到配置寄存器中,节省存储空间,同时增加了度量值保存的安全性。通过链式或哈希树连接的方式,真实体现了各度量对象的完整性度量值。
在本发明的一种优选实施方式中,同一个度量对象不同时间的度量值采用哈希链接的方式扩展到同一个配置寄存器中构成链式度量日志,哈希链接计算公式为:
上述技术方案的有益效果为:提高了度量值存储安全性,减少了存储空间。
在本发明的一种优选实施方式中,所述本地验证的过程包括:获取度量对象的HMAC,对度量对象的HMAC进行解密获得度量对象的验证基准值;将度量对象在完整性度量中获得的度量值与所述度量对象的验证基准值比较,若两者相同,认为本地验证通过,若两者不相同,认为本地验证不通过;所述度量对象的HMAC的建立过程为:在安全环境下,对星载计算系统中每个对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为所述对象的验证基准值;以完整性信任模块的一个密钥作为消息认证码密钥,生成验证基准值的HMAC。
上述技术方案的有益效果为:能够更好地抵抗篡改攻击等信息安全威胁,能够证实平台代码和数据的完整性和真实性以及安全执行。
在本发明的一种优选实施方式中,所述远程验证的过程包括:步骤S21,地面系统向星载计算系统发送含有随机数的请求消息;步骤S22,星载计算系统收到请求消息后,基于完整性信任模块的根密钥和随机数生成身份密钥并申请相应的数字证书;步骤S23,通过身份密钥对完整性信任模块的配置寄存器值进行签名;步骤S24,星载计算系统将配置寄存器值的签名、度量日志、身份密钥和数字证书发送给地面系统;步骤S25,地面系统收到消息后,先验证身份密钥和数字证书的正确性,若身份密钥和数字证书正确,验证配置寄存器值签名的正确性,若配置寄存器值签名正确,再确认度量日志是否被篡改,若度量日志未被篡改,认为远程验证通过;若身份密钥和数字证书不正确、配置寄存器值签名不正确或度量日志被篡改三种情况中至少存在一种情况,则认为远程验证不通过。
上述技术方案的有益效果为:当地面系统向星载计算系统发送任务时,地面系统可主动向星载计算系统发起验证请求,通过远程验证机制实现对星载计算系统的身份和平台状态配置信息的完整性保证。
在本发明的一种优选实施方式中,当远程验证不通过时,还包括对星载计算系统进行完整性信任恢复的步骤。
上述技术方案的有益效果为:提高系统对抵抗篡改攻击等信息安全威胁的能力,提高了系统可靠性。
在本发明的一种优选实施方式中,用身份密钥对配置寄存器值进行签名的公式为:
σ=Sign(PCR||Nonce,IKey);其中,σ表示配置寄存器值的签名,PCR表示配置寄存器值,IKey表示身份密钥,Nonce表示随机数。
上述技术方案的有益效果为:增加了远程验证的安全可靠性。
为了实现本发明的上述目的,根据本发明的第二个方面,本发明提供了一种星载计算系统,包括:以完整性信任模块为可信根,信任链建立模块,在星载计算系统的整个启动序列中通过信任传递机制建立信任链,所述信任传递机制为:以完整性信任模块为起点,在信任当前对象的前提下,由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证,当本地验证通过后,认为下一对象可信,当本地验证不通过,对下一对象进行信任恢复,再将对完整性信任模块的控制权转交给下一对象,依次向后推进直到整个启动序列中的对象完成本地验证,信任链建立完成;动态度量模块,在星载计算系统运行过程中,以应用进程为最小单位对内存中的数据进行完整性度量和本地验证;完整性度量模块,对度量对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为度量值并扩展到完整性信任模块的配置寄存器中,记录度量日志;本地验证模块,获取度量对象的HMAC,对度量对象的HMAC进行解密获得度量对象的验证基准值;将度量对象在完整性度量中获得的度量值与所述度量对象的验证基准值比较,若两者相同,认为本地验证通过,若两者不相同,认为本地验证不通过;远程验证模块,当地面系统向星载计算系统发送任务时,用于验证星载计算系统是否可信。
上述技术方案的有益效果为:在星载计算系统的整个启动序列中通过信任传递机制建立信任链,从而确保整个星载系统计算环境的完整性和可靠性;在启动之后进行动态完整性度量验证,使得星载计算系统中免于遭受非预期的干扰和恶意攻击;通过远程验证机制实现对星载计算系统的身份和平台状态配置信息的完整性保证。从星载计算系统的硬件和软件的底层采取了安全措施,确保星载计算系统的高完整性性能更好地抵抗篡改攻击等信息安全威胁,能够证实平台代码和数据的完整性和真实性以及安全执行。
在本发明的一种优选实施方式中,所述完整性信任模块包括:I/O接口单元,完成总线协议的编码与译码,并实现完整性信任模块内各单元与外部的信息交换;密码运算单元,实现加密、解密、签名和验证签名的硬件加速单元;密钥产生单元,负责创建非对称密钥对和对称密钥;HMAC运算单元,用于通过HASH算法生成消息摘要;随机数生成单元,负责产生各种运算所需要的随机数;HASH引擎单元,用于完成HASH运算;选项控制单元,对完整性信任模块进行功能开启、关闭、使能、失能、激活、去激活的机制;非易失性存储单元,保存永久身份信息,包含多个配置寄存器;易失性存储单元,保存与可信对象相关联的状态。
上述技术方案的有益效果为:完整性信任模块能够提供可信身份标识,通过硬件级保护,确保敏感数据使用的安全性。
附图说明
图1是本发明一具体实施方式中星载计算系统的信息完整性度量验证方法的框架示意图;
图2是本发明一具体实施方式中信任传递机制的传递示意图;
图3是本发明一具体实施方式中完整性度量过程示意图;
图4是本发明一具体实施方式中完整性度量值的哈希链扩展示意图;
图5是本发明一具体实施方式中完整性信任模块的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,除非另有规定和限定,需要说明的是,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是机械连接或电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
本发明公开了一种星载计算系统的信息完整性度量验证方法,在一种优选实施方式中,该方法包括:
步骤S1,以完整性信任模块为可信根,在星载计算系统的整个启动序列中通过信任传递机制建立信任链;
信任传递机制为:以完整性信任模块为起点,在信任当前对象的前提下,由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证,当本地验证通过后,认为下一对象可信,当本地验证不通过,对下一对象进行信任恢复,再将对完整性信任模块的控制权转交给下一对象,依次向后推进直到整个启动序列中的对象完成本地验证,信任链建立完成。
步骤S2,在星载计算系统运行过程中,以应用进程为最小单位对内存中的数据进行完整性度量和本地验证;当地面系统向星载计算系统发送任务时,首先进行远程验证,远程验证通过后再进行数据传输。
在本实施方式中,本方法的流程框架如图1所示,首先建立可信根,以完整性信任模块为可信根;之后进行完整性信任启动与恢复,即在星载计算系统的整个启动序列中通过信任传递机制建立信任链;在信任链建立和启动运行中,及逆行完整性度量及本地验证;当地面系统访问星载计算系统时,进行远程验证,通过远程验证机制来对询问平台是否完整性可信任进行应答,以此来确保地面系统注入代码行为的合法性。
在本实施方式中,信任传递机制的传递过程(星载计算系统可信启动与信任链建立的过程)示意图如图2所示,在信任当前某一环节的前提下,由该环节去评估下一个环节的安全性,确定下一环节可信之后再将控制权转交给下一环节,然后依次向后推进。星载计算系统整个启动序列中都遵循“先度量,再执行”的原则,度量信任根作为信任链的初始信任根,星载计算系统完整性信任模块为完整性报告信任根,当前阶段的代码负责度量下一阶段即将要执行的代码,然后再将度量值扩展到星载计算系统完整性信任模块的配置寄存器(Platform Configuration Register,PCR)中,这样循环往复,这就构成了信任链。在对象启动前就对其进行完整性度量,保证对象初始状态可信。
在本实施方式中,优选的,星载计算系统初次上电启动时就需要进行可信任认证,建立信任链,实现系统认证范围的延伸,保证星载计算系统从信任根开始至系统启动整个过程的安全可信任。
在本实施方式中,在信任链的建立过程中,以完整性信任模块为起点和核心,在转移对完整性信任模块控制权之前度量,本地验证将要运行的对象。若验证失败,则对启动对象进行恢复,保证星载应用运行前计算环境的安全可信。在信任链的建立过程中,度量对象优选但不限于为存储在只读存储器里的星载操作系统内核、应用程序和配置文件;优选的,对度量对象进行信任恢复的过程为:读取度量对象的备份文件并加载或置换,如度量对象为系统程序文件或应用程序文件或配置文件时,信任恢复的过程分别为读取系统程序备份文件、应用程序备份文件并加载,读取备份配置文件并替换。
在本实施方式中,在对象运行过程中,对内存中的数据进行完整性度量和验证,即动态度量,使得星载计算系统中免于遭受非预期的干扰和恶意攻击。动态度量的对象主要是装载到内存里的内核、板级应用的静态代码和静态数据区,以应用进程为最小单位进行完整性度量,以代码区的变动作为启动完整性度量的时机,以防止频繁计算带来的计算及存储资源的开销。
在一种优选实施方式中,如图3所示,完整性度量的过程包括:对度量对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为度量值并扩展到完整性信任模块的配置寄存器中,记录度量日志。度量日志用于星载本地验证和地面远程验证,如图3所示。
在本实施方式中,可对度量对象的特征代码和数据两者中的至少一者进行哈希计算。
在本实施方式中,优选的,度量对象与完整性信任模块的配置寄存器一一对应,将每个度量对象的所有完整性度量值扩展到对应的配置寄存器中,为每个度量对象记录链式度量日志,同时将所有度量对象的配置寄存器值构造成树形度量日志。每个度量对象的链式度量日志通过一个PCR存储,如图4所示,同一个度量对象不同时间的度量值采用哈希链接的方式扩展到同一个配置寄存器中构成链式度量日志,哈希链接计算公式为:
在本实施方式中,优选的,将所有度量对象的扩展后的PCR值利用生成树算法构造成树形度量日志,如图3所示。
在一种优选实施方式中,本地验证的过程包括:获取度量对象的HMAC,对度量对象的HMAC进行解密获得度量对象的验证基准值;将度量对象在完整性度量中获得的度量值与度量对象的验证基准值比较,若两者相同,认为本地验证通过,若两者不相同,认为本地验证不通过。
在本实施方式中,度量对象的HMAC的建立过程为:在安全环境下,如卫星在地面为发射时或者信任链建立完成时的环境,对于星载计算系统中每个对象,对对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为该对象的验证基准值;以完整性信任模块的一个密钥作为消息认证码密钥,生成验证基准值的HMAC。
在本实施方式中,星载计算系统在完成度量之后即可进行星载本地验证。在安全环境下对原始星载计算系统部件进行哈希计算,生成验证基准值,为了保证基准值在星载系统上不被篡改,使用完整性信任模块的第一密钥作为消息认证码MAC(MessageAuthentication Code,消息认证码)密钥,生成基准值的HMAC(Hash-based MAC,基于哈希的消息认证码)。
在一种优选实施方式中,当地面系统向星载计算系统发送任务时,地面系统可主动向星载计算系统发起远程验证请求,确认远程星载计算系统的身份和平台状态配置信息是否可信,并报告包括系统各部件可信度量值和相关的日志信息。远程验证的过程包括:
步骤S21,地面系统向星载计算系统发送含有随机数的请求消息。
步骤S22,星载计算系统收到请求消息后,基于完整性信任模块的根密钥和随机数生成身份密钥并申请相应的数字证书。星载计算系统完整性信任模块拥有唯一的根密钥及相应的数字证书。为保护隐私需要,星载计算系统基于根密钥生成对应的身份密钥,并申请相应的数字证书。星载计算系统的完整性信任模块可生成多个身份密钥和证书,在不同的场合使用不同的身份密钥,以达到保护隐私的目的。
步骤S23,通过身份密钥对完整性信任模块的配置寄存器值进行签。
步骤S24,星载计算系统将配置寄存器值的签名、度量日志、身份密钥和数字证书发送给地面系统。完整性信任模块相关配置寄存器值通过身份密钥签名后和相应的度量日志与身份密钥证书一并发送给地面系统。星载计算系统需将所有度量日志发送给地面系统。
步骤S25,地面系统收到消息后,先验证身份密钥和数字证书的正确性,若身份密钥和数字证书正确,验证配置寄存器值签名的正确性,若配置寄存器值签名正确,再确认度量日志是否被篡改,若度量日志未被篡改,认为远程验证通过;若身份密钥和数字证书不正确、配置寄存器值签名不正确或度量日志被篡改三种情况中至少存在一种情况,则认为远程验证不通过。
在本实施方式中,验证签名正确性和确认度量日志是否被篡改的方法可采用现有的方法,在此不再赘述。
在本实施方式中,优选的,当远程验证不通过时,还包括通过对星载计算系统进行完整性信任恢复的步骤。优选的,完整性信任恢复过程可读取星载计算系统所有对象的备份文件并加载或替换。
在本实施方式中,优选的,用身份密钥对配置寄存器值进行签名的公式为:
σ=Sign(PCR||Nonce,IKey);其中,σ表示配置寄存器值的签名,PCR表示配置寄存器值,IKey表示身份密钥,Nonce表示随机数,Sign(·)表示符号函数。
本发明还公开了一种星载计算系统,在一种优选实施方式中,该系统包括:
信任链建立模块,以完整性信任模块为可信根,在星载计算系统的整个启动序列中通过信任传递机制建立信任链,信任传递机制为:以完整性信任模块为起点,在信任当前对象的前提下,由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证,当本地验证通过后,认为下一对象可信,当本地验证不通过,对下一对象进行信任恢复,再将对完整性信任模块的控制权转交给下一对象,依次向后推进直到整个启动序列中的对象完成本地验证,信任链建立完成。完整性度量可通过完整性模块实现,本地验证通过本地验证模块实现。
动态度量模块,在星载计算系统运行过程中,以应用进程为最小单位对内存中的数据进行完整性度量和本地验证。完整性度量可通过完整性模块实现,本地验证通过本地验证模块实现。
完整性度量模块,对度量对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为度量值并扩展到完整性信任模块的配置寄存器中,记录度量日志。优选的,完整性度量模块将每个度量对象的所有完整性度量值扩展到完整性信任模块的配置寄存器中,为每个度量对象记录链式度量日志,同时将所有度量对象扩展后的配置寄存器值构造成树形度量日志。进一步优选的,完整性度量模块同一个度量对象不同时间的度量值采用哈希链接的方式扩展到同一个配置寄存器中。
本地验证模块,获取度量对象的HMAC,对度量对象的HMAC进行解密获得度量对象的验证基准值;将度量对象在完整性度量中获得的度量值与度量对象的验证基准值比较,若两者相同,认为本地验证通过,若两者不相同,认为本地验证不通过。本地验证模块建立度量对象的HMAC的过程为:在安全环境下,对于原始星载计算系统中每个对象,对所述对象的特征代码和数据进行哈希计算,将哈希计算结果作为验证基准值;以完整性信任模块的第一密钥作为消息认证码密钥,生成验证基准值的HMAC。
远程验证模块,当地面系统向星载计算系统发送任务时,用于验证星载计算系统是否可信。远程验证模块具体执行以下步骤:步骤S21,地面系统向星载计算系统发送含有随机数的请求消息;步骤S22,星载计算系统收到请求消息后,基于完整性信任模块的根密钥和随机数生成身份密钥并申请相应的数字证书;步骤S23,通过身份密钥对完整性信任模块相关的配置寄存器值进行签名;步骤S24,星载计算系统将签名后的配置寄存器值、相应的度量日志、身份密钥和数字证书发送给地面系统;步骤S25,地面系统收到消息后,先验证身份密钥和数字证书的正确性,若身份密钥和数字证书正确,验证配置寄存器值签名的正确性,若配置寄存器值签名正确,再确认度量日志是否被篡改,若度量日志未被篡改,认为远程验证通过;若身份密钥和数字证书不正确、配置寄存器值签名不正确或度量日志被篡改三种情况中至少存在一种情况,则认为远程验证不通过,通过动态恢复方式对星载计算系统进行完整性信任恢复。
在一种优选实施方式中,如图5所示,完整性信任模块包括:I/O接口单元,完成总线协议的编码与译码,并实现完整性信任模块内各单元与外部的信息交换;密码运算单元,实现加密、解密、签名和验证签名的硬件加速单元;密钥产生单元,负责创建非对称密钥对和对称密钥;HMAC运算单元,用于通过HASH算法生成消息摘要;随机数生成单元,负责产生各种运算所需要的随机数;HASH引擎单元,用于完成HASH运算;选项控制单元,对完整性信任模块进行功能开启、关闭、使能、失能、激活、去激活的机制;非易失性存储单元,保存永久身份信息,包含多个配置寄存器;易失性存储单元,保存与可信对象相关联的状态。
在本实施方式中,完整性信任模块具有密码运算和存储功能,是星载计算系统建立安全完整性信任体系的基础保证,主要体现在以下两个作用:第一是能够提供可信身份标识,衡量在星载计算系统中的各运行部件的安全状态,并且能够提供状态报告信息,保证报告的真实性和完整性。从而使其他系统可以据此判断该系统环境的安全状态是否可接受,是否可以与此系统执行交互。第二是确保敏感数据使用的安全性。该模块将部分敏感数据如根密钥等存储在芯片内部的屏蔽区域,系统的其他敏感数据通过与特定密钥及平台状态绑定在一起,加密封装后存储到存储设备上,通过硬件级保护,确保敏感数据安全。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
Claims (10)
1.一种星载计算系统的信息完整性度量验证方法,其特征在于,包括:
步骤S1,以完整性信任模块为可信根,在星载计算系统的整个启动序列中通过信任传递机制建立信任链;
所述信任传递机制为:以完整性信任模块为起点,在信任当前对象的前提下,由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证,当本地验证通过后,认为下一对象可信,当本地验证不通过,对下一对象进行信任恢复,再将对完整性信任模块的控制权转交给下一对象,依次向后推进直到整个启动序列中的对象完成本地验证,信任链建立完成;
步骤S2,在星载计算系统运行过程中,以应用进程为最小单位对内存中的数据进行完整性度量和本地验证;
当地面系统向星载计算系统发送任务时,首先进行远程验证,远程验证通过后再进行数据传输。
2.如权利要求1所述的星载计算系统的信息完整性度量验证方法,其特征在于,所述完整性度量的过程包括:
对度量对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为度量值并扩展到完整性信任模块的配置寄存器中,记录度量日志。
3.如权利要求2所述的星载计算系统的信息完整性度量验证方法,其特征在于,度量对象与完整性信任模块的配置寄存器一一对应,将每个度量对象的所有完整性度量值扩展到对应的配置寄存器中,为每个度量对象记录链式度量日志,同时将所有度量对象的配置寄存器值构造成树形度量日志。
4.如权利要求3所述的星载计算系统的信息完整性度量验证方法,其特征在于,同一个度量对象不同时间的度量值采用哈希链接的方式扩展到同一个配置寄存器中构成链式度量日志,哈希链接计算公式为:
5.如权利要求1所述的星载计算系统的信息完整性度量验证方法,其特征在于,所述本地验证的过程包括:
获取度量对象的HMAC,对度量对象的HMAC进行解密获得度量对象的验证基准值;将度量对象在完整性度量中获得的度量值与所述度量对象的验证基准值比较,若两者相同,认为本地验证通过,若两者不相同,认为本地验证不通过;
所述度量对象的HMAC的建立过程为:在安全环境下,对星载计算系统中每个对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为所述对象的验证基准值;以完整性信任模块的一个密钥作为消息认证码密钥,生成验证基准值的HMAC。
6.如权利要求1-5之一所述的星载计算系统的信息完整性度量验证方法,其特征在于,所述远程验证的过程包括:
步骤S21,地面系统向星载计算系统发送含有随机数的请求消息;
步骤S22,星载计算系统收到请求消息后,基于完整性信任模块的根密钥和随机数生成身份密钥并申请相应的数字证书;
步骤S23,通过身份密钥对完整性信任模块的配置寄存器值进行签名;
步骤S24,星载计算系统将配置寄存器值的签名、度量日志、身份密钥和数字证书发送给地面系统;
步骤S25,地面系统收到消息后,先验证身份密钥和数字证书的正确性,若身份密钥和数字证书正确,验证配置寄存器值签名的正确性,若配置寄存器值签名正确,再确认度量日志是否被篡改,若度量日志未被篡改,认为远程验证通过;若身份密钥和数字证书不正确、配置寄存器值签名不正确或度量日志被篡改三种情况中至少存在一种情况,则认为远程验证不通过。
7.如权利要求6所述的星载计算系统的信息完整性度量验证方法,其特征在于,当远程验证不通过时,还包括通过对星载计算系统进行完整性信任恢复的步骤。
8.如权利要求6所述的星载计算系统的信息完整性度量验证方法,其特征在于,用身份密钥对配置寄存器值进行签名的公式为:
σ=Sign(PCR||Nonce,IKey);其中,σ表示配置寄存器值的签名,PCR表示配置寄存器值,IKey表示身份密钥,Nonce表示随机数。
9.一种星载计算系统,其特征在于,包括:
信任链建立模块,以完整性信任模块为可信根,在星载计算系统的整个启动序列中通过信任传递机制建立信任链,所述信任传递机制为:以完整性信任模块为起点,在信任当前对象的前提下,由当前对象控制完整性信任模块对启动序列中下一对象进行完整性度量和本地验证,当本地验证通过后,认为下一对象可信,当本地验证不通过,对下一对象进行信任恢复,再将对完整性信任模块的控制权转交给下一对象,依次向后推进直到整个启动序列中的对象完成本地验证,信任链建立完成;
动态度量模块,在星载计算系统运行过程中,以应用进程为最小单位对内存中的数据进行完整性度量和本地验证;
完整性度量模块,对度量对象的特征代码和/或数据进行哈希计算,将哈希计算结果作为度量值并扩展到完整性信任模块的配置寄存器中,记录度量日志;
本地验证模块,获取度量对象的HMAC,对度量对象的HMAC进行解密获得度量对象的验证基准值;将度量对象在完整性度量中获得的度量值与所述度量对象的验证基准值比较,若两者相同,认为本地验证通过,若两者不相同,认为本地验证不通过;
远程验证模块,当地面系统向星载计算系统发送任务时,用于验证星载计算系统是否可信。
10.如权利要求9所述的星载计算系统,其特征在于,所述完整性信任模块包括:
I/O接口单元,完成总线协议的编码与译码,并实现完整性信任模块内各单元与外部的信息交换;
密码运算单元,实现加密、解密、签名和验证签名的硬件加速单元;
密钥产生单元,负责创建非对称密钥对和对称密钥;
HMAC运算单元,用于通过HASH算法生成消息摘要;
随机数生成单元,负责产生各种运算所需要的随机数;
HASH引擎单元,用于完成HASH运算;
选项控制单元,对完整性信任模块进行功能开启、关闭、使能、失能、激活、去激活的机制;
非易失性存储单元,保存永久身份信息,包含多个配置寄存器;
易失性存储单元,保存与可信对象相关联的状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010472306.2A CN111783097A (zh) | 2020-05-28 | 2020-05-28 | 一种星载计算系统的信息完整性度量验证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010472306.2A CN111783097A (zh) | 2020-05-28 | 2020-05-28 | 一种星载计算系统的信息完整性度量验证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111783097A true CN111783097A (zh) | 2020-10-16 |
Family
ID=72754530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010472306.2A Pending CN111783097A (zh) | 2020-05-28 | 2020-05-28 | 一种星载计算系统的信息完整性度量验证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111783097A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112258170A (zh) * | 2020-11-17 | 2021-01-22 | 深圳华数云计算技术有限公司 | 基于pki的并行签名系统和方法 |
| CN112258169A (zh) * | 2020-11-17 | 2021-01-22 | 深圳华数云计算技术有限公司 | 基于密钥生成的并行签名系统和方法 |
| CN112668026A (zh) * | 2020-12-31 | 2021-04-16 | 兴唐通信科技有限公司 | 一种抗辐照星载tcm装置 |
| CN113486399A (zh) * | 2021-07-14 | 2021-10-08 | 上海瓶钵信息科技有限公司 | 基于risc-v架构的数据存储方法及系统 |
| CN113536317A (zh) * | 2021-06-17 | 2021-10-22 | 杭州加速科技有限公司 | 一种加强ate测试机台安全性的方法和系统 |
| CN113824683A (zh) * | 2021-08-13 | 2021-12-21 | 中国光大银行股份有限公司 | 可信域的建立方法、装置及数据系统 |
| CN114301590A (zh) * | 2021-12-28 | 2022-04-08 | 西安电子科技大学 | 基于tpm的无人机机载控制系统的可信启动方法及系统 |
| CN114444423A (zh) * | 2022-04-02 | 2022-05-06 | 北京得瑞领新科技有限公司 | 基于验证平台的数据处理方法、系统及电子设备 |
| WO2022199190A1 (zh) * | 2021-03-25 | 2022-09-29 | 华为技术有限公司 | 一种安全启动的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154256A (zh) * | 2006-09-26 | 2008-04-02 | 英特尔公司 | 启动可信共存环境的方法和装置 |
| CN103634796A (zh) * | 2013-12-06 | 2014-03-12 | 北京航空航天大学 | 一种空天信息网络漫游可信安全接入方法 |
| CN103795717A (zh) * | 2014-01-23 | 2014-05-14 | 中国科学院计算技术研究所 | 一种云计算平台完整性证明方法及其系统 |
| CN109586920A (zh) * | 2018-12-05 | 2019-04-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信验证方法及装置 |
| CN109951276A (zh) * | 2019-03-04 | 2019-06-28 | 北京工业大学 | 基于tpm的嵌入式设备远程身份认证方法 |
| CN111143850A (zh) * | 2019-11-22 | 2020-05-12 | 航天恒星科技有限公司 | 一种卫星数据分布式虚拟化存储的安全防护系统和方法 |
-
2020
- 2020-05-28 CN CN202010472306.2A patent/CN111783097A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154256A (zh) * | 2006-09-26 | 2008-04-02 | 英特尔公司 | 启动可信共存环境的方法和装置 |
| CN103634796A (zh) * | 2013-12-06 | 2014-03-12 | 北京航空航天大学 | 一种空天信息网络漫游可信安全接入方法 |
| CN103795717A (zh) * | 2014-01-23 | 2014-05-14 | 中国科学院计算技术研究所 | 一种云计算平台完整性证明方法及其系统 |
| CN109586920A (zh) * | 2018-12-05 | 2019-04-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信验证方法及装置 |
| CN109951276A (zh) * | 2019-03-04 | 2019-06-28 | 北京工业大学 | 基于tpm的嵌入式设备远程身份认证方法 |
| CN111143850A (zh) * | 2019-11-22 | 2020-05-12 | 航天恒星科技有限公司 | 一种卫星数据分布式虚拟化存储的安全防护系统和方法 |
Non-Patent Citations (3)
| Title |
|---|
| 徐日: "可信计算平台完整性度量机制的研究与应用", 中国优秀硕士学位论文全文数据库 信息科技辑 * |
| 李新明; 李小将; 李艺; 刘东: "分布式卫星嵌入式计算机系统结构设计方法", 中国空间科学技术 * |
| 黄秀文: "基于可信计算的远程证明的研究", 武汉纺织大学学报 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112258170A (zh) * | 2020-11-17 | 2021-01-22 | 深圳华数云计算技术有限公司 | 基于pki的并行签名系统和方法 |
| CN112258169A (zh) * | 2020-11-17 | 2021-01-22 | 深圳华数云计算技术有限公司 | 基于密钥生成的并行签名系统和方法 |
| CN112668026A (zh) * | 2020-12-31 | 2021-04-16 | 兴唐通信科技有限公司 | 一种抗辐照星载tcm装置 |
| CN112668026B (zh) * | 2020-12-31 | 2023-12-22 | 兴唐通信科技有限公司 | 一种抗辐照星载tcm装置 |
| WO2022199190A1 (zh) * | 2021-03-25 | 2022-09-29 | 华为技术有限公司 | 一种安全启动的方法及装置 |
| CN113536317A (zh) * | 2021-06-17 | 2021-10-22 | 杭州加速科技有限公司 | 一种加强ate测试机台安全性的方法和系统 |
| CN113486399A (zh) * | 2021-07-14 | 2021-10-08 | 上海瓶钵信息科技有限公司 | 基于risc-v架构的数据存储方法及系统 |
| CN113486399B (zh) * | 2021-07-14 | 2023-03-24 | 上海瓶钵信息科技有限公司 | 基于risc-v架构的数据存储方法及系统 |
| CN113824683A (zh) * | 2021-08-13 | 2021-12-21 | 中国光大银行股份有限公司 | 可信域的建立方法、装置及数据系统 |
| CN114301590A (zh) * | 2021-12-28 | 2022-04-08 | 西安电子科技大学 | 基于tpm的无人机机载控制系统的可信启动方法及系统 |
| CN114444423A (zh) * | 2022-04-02 | 2022-05-06 | 北京得瑞领新科技有限公司 | 基于验证平台的数据处理方法、系统及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111783097A (zh) | 一种星载计算系统的信息完整性度量验证方法及系统 | |
| CN110532735B (zh) | 固件升级方法 | |
| US9652320B2 (en) | Device validation, distress indication, and remediation | |
| US8464347B2 (en) | Software updating apparatus, software updating system, alteration verification method and alteration verification program | |
| US20040093505A1 (en) | Open generic tamper resistant CPU and application system thereof | |
| US20100175061A1 (en) | Software updating apparatus, software updating system, invalidation method, and invalidation program | |
| CN110795126A (zh) | 一种固件安全升级系统 | |
| US20070277038A1 (en) | Method for authentication of software within a product | |
| CN109492352B (zh) | 一种设备标识组合引擎的实现方法及装置 | |
| JP6712538B2 (ja) | 改竄検知システム | |
| Tan et al. | A remote attestation protocol with Trusted Platform Modules (TPMs) in wireless sensor networks. | |
| JP6387908B2 (ja) | 認証システム | |
| Petri et al. | Evaluation of lightweight TPMs for automotive software updates over the air | |
| CN112511306A (zh) | 一种基于混合信任模型的安全运行环境构建方法 | |
| Kim et al. | Integrity assurance of OTA software update in smart vehicles | |
| CN117610083A (zh) | 文件校验方法、装置、电子设备及计算机存储介质 | |
| CN115357908B (zh) | 一种网络设备内核可信度量与自动修复方法 | |
| CN112417422A (zh) | 安全芯片升级方法及计算机可读存储介质 | |
| KR20190058302A (ko) | 반도체 장치, 인증 시스템 및 인증 방법 | |
| Qin et al. | RIPTE: runtime integrity protection based on trusted execution for IoT device | |
| CN113872986A (zh) | 配电终端认证方法、系统、装置、计算机设备和存储介质 | |
| Ferreira et al. | Software-based security approach for networked embedded devices | |
| CN114297679B (zh) | 一种镜像加密传输与升级的方法 | |
| KR101296229B1 (ko) | 인증된 부트와 개선된 티피엠을 활용한 차량 애드 혹 네트워크의 보안 시스템 및 그 방법 | |
| CN115694790B (zh) | 基于量子安全的数字资产存证方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 401123 39-1, Building 1, No. 64, Middle Huangshan Avenue, Yubei District, Chongqing Applicant after: China Star Network Application Co.,Ltd. Address before: 618 Liangjiang Avenue, Longxing Town, Yubei District, Chongqing Applicant before: Dongfanghong Satellite Mobile Communication Co.,Ltd. |