CN113672973A

CN113672973A - 基于可信执行环境的risc-v架构的嵌入式设备的数据库系统

Info

Publication number: CN113672973A
Application number: CN202110819635.4A
Authority: CN
Inventors: 徐君; 郑嘉信; 伍楷舜
Original assignee: Shenzhen University
Current assignee: Shenzhen University
Priority date: 2021-07-20
Filing date: 2021-07-20
Publication date: 2021-11-19
Anticipated expiration: 2041-07-20
Also published as: CN113672973B

Abstract

本发明公开了一种基于可信执行环境的RISC‑V架构的嵌入式设备的数据库系统。该系统包括客户端和设备端，设备端包含基于可信执行环境的RISC‑V架构的嵌入式设备，其中，客户端和设备端之间通过远程认证建立安全的信息传输通道，向设备端的数据提交和接收通过该安全传输通道实现，数据处理过程在设备端的可信执行环境完成，数据处理的结果以密文的形式进行保存。利用本发明，保证了数据在物联网应用中嵌入式设备中静态存储以及动态处理的安全性。

Description

基于可信执行环境的RISC-V架构的嵌入式设备的数据库系统

技术领域

本发明涉及计算机技术领域，更具体地，涉及一种基于可信执行环境的RISC-V架构的嵌入式设备的数据库系统。

背景技术

物联网设备在当今时代愈来愈趋于智能化和专用化，以适应行业处理不同复杂场景和低成本的要求，因此物联网行业对于CPU的需求也变得更加多样化。在这种背景下，随着RISC-V架构和生态日趋成熟壮大，其极简，免费，开源等诸多特性也愈来愈受到市场青睐。

万物互联意味着对这些低成本设备的安全性提出了更高的要求，特别是在数据存储方面。在一个超大规模的万物互联系统中，一旦任何一个节点因为数据失窃被恶意利用，与其相互连接的设备也将意味着更大的风险。现有的物联网设备主要通过软件或者协处理器对数据进行加密，但这仅能保护静态存储中的数据不被窃取，而若需要动态地对数据进行处理，则数据需要被解密为明文的形式。如何使用户远程访问并动态处理嵌入式设备中的数据是目前该行业领域中亟待解决的问题。

经分析，在现有技术中，通过软件对嵌入式设备进行数据加密的方式容易受到恶意软件的攻击，一旦加密秘钥被窃取，数据保护形同虚设。基于加密处理器的保护机制如全盘加密(Full Disk Encryption，FDE)具有更强大的性能及安全性，但是该机制只能保护静态存储时数据的机密性，一旦数据需要被动态处理，那么需要对数据进行解密，从而导致无法保障数据处理过程的安全性。

发明内容

本发明的目的是克服上述现有技术的缺陷，提供一种基于可信执行环境的RISC-V架构的嵌入式设备的数据库系统，包括客户端和设备端，该设备端包含基于可信执行环境的RISC-V架构的嵌入式设备，其中，客户端和设备端之间通过远程认证建立安全的信息传输通道，向设备端的数据提交和接收通过该安全传输通道实现，数据处理过程在设备端的可信执行环境完成，数据处理的结果以密文的形式进行保存。

与现有技术相比，本发明的优点在于，所提供的基于RISCV的可信执行环境的数据库系统，保证了数据在物联网应用中嵌入式设备中静态存储以及动态处理的安全性。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

被结合在说明书中并构成说明书的一部分的附图示出了本发明的实施例，并且连同其说明一起用于解释本发明的原理。

图1是根据本发明一个实施例的基于RISC-V结构嵌入式设备的安全数据库存储系统示意图；

图2是根据本发明一个实施例的远程认证阶段流程图；

图3是根据本发明一个实施例的客户端远程数据操作流程图。

具体实施方式

现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有例子中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它例子可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

本发明提供了一种基于可信执行环境的RISC-V嵌入式设备的数据库系统，为用户远程访问及处理基于RISC-V架构的嵌入式设备中的数据提供了安全的保障。其中所涉及的用户远程访问及处理包括但不限于数据读取，写入，更新及修改等操作，并且基于RISC-V的嵌入式设备需要具备并启动可信执行环境(Trusted Execution Environment，以下简称TEE)。

简言之，本发明所提供的系统总体实现远程认证阶段和数据操作请求阶段。在远程认证阶段，客户端向嵌入式设备发出挑战请求，嵌入式中的TEE中的服务受到该请求后将公钥以及证书作为响应返回给客户端，客户端需要向第三方认证机构验证证书，以验证公钥的合法性。对于数据操作请求阶段，在公钥和证书验证通过后，客户端生成对称秘钥以及相应的数据操作请求，并使用嵌入式设备提供的公钥进行加密并生成对应协议的消息发送给嵌入式设备；嵌入式设备中的非安全应用程序解析该协议包，并将消息内容作为参数发送给TEE服务；TEE中的程序使用私钥对消息进行解密，得到对称秘钥以及数据操作请求；TEE中的数据库引擎根据该数据操作请求，并将最终的结果通过对称秘钥加密保存在非安全区域的磁盘文件中。

具体地，参见图1的基于RISC-V结构嵌入式设备的安全数据库存储系统，整体上包括客户端和启动TEE的基于RSIC-V架构的嵌入式设备(或称设备端)，该设备端进一步包括远程认证服务模块、远程认证请求处理模块、数据操作请求处理模块、数据库引擎和数据库文件系统，其中远程认证请求处理模块和数据操作请求处理模块可认为归属于不可信部分服务程序，远程认证服务和数据库引擎可认为归属于可信区域中的服务程序。此外，数据操作请求处理模块和数据库引擎之间采用非对称加密接口进行交互，数据库文件系统和数据库引擎之间采用对称加密接口。通过这种设计，非对称秘钥机制用于保护客户的消息请求，对称秘钥机制保证了数据库文件在嵌入式设备上的安全性。

综上，整个系统分为安全应用程序部分以及非安全应用服务程序。非安全应用部分的服务程序使用远程认证请求处理模块和数据操作请求处理模块两个服务模块处理从客户端发送过来的消息请求。远程认证请求处理模块用于处理客户端发送的远程认证的请求消息，并将对应的消息体发送至TEE的远程认证服务模块中进行进一步的处理。数据操作请求处理模块用于处理客户端的数据操作请求消息，并将消息内容发送至TEE的非对称加密接口作进一步的处理。

图2是用户发送挑战请求的相关流程，主要涉及客户端、设备端和第三方认证机构，其中第三方认证机构需要选择可信的权威的认证实体。具体包括以下步骤：

步骤S21，客户端向设备端发送挑战请求；

步骤S22，设备端收到挑战请求后，首先判断客户端是否有权限使用该设备；若客户端无权使用该设备，则返回失败响应，并告知客户端需要在后台服务器进行注册；若客户端已经注册成功，则请求有效，将公钥及相应的证书作为响应返回给客户端；

步骤S23，客户端收到响应后，将证书发送给第三方认证机构，由认证机构对该证书进行校验，并返回校验结果给客户端；若校验结果失败，客户端即可得知有冒充者在与自己通信，需及时与其断开连接；若验证通过，则进行下一步的数据操作请求。

图3是客户端发送操作请求消息的相关流程。具体包括以下步骤：

步骤S31，客户端首先在本地生成对称秘钥和数据操作消息请求，数据操作包括但不限于写入，读取，更新，删除等；

步骤S32，客户端使用远程认证阶段获得的公钥对消息进行加密，然后将其发送给设备端，设备端不可信部分服务程序中的数据操作请求处理模块对请求消息进行解析，然后将消息体发送给TEE；

步骤S33，TEE的非对称加密接口对消息体进行解密，得到正确的对称秘钥以及数据操作请求，进而实现数据处理过程。

具体地，TEE中的数据库引擎根据请求进行相应的操作：写入操作需要通过对称加密接口对数据进行解密后将其存储到非安全部分的磁盘中；读取操作通过数据库文件的索引值读入相应的密文，并由对称加密模块对其进行解密后再通过非对称加密接口进行加密返回给客户端，客户端使用相应的秘钥对其进行解密；更新操作需要先从数据库文件中读取对应的密文数据，然后通过对称加密接口对其进行解密，并由数据库引擎作进一步的处理后，再使用对称加密接口对处理结果进行加密，最后将其存入到非安全部分的磁盘中；删除操作直接根据索引值将数据库文件对应的密文直接删除即可。通过这种方式，由于数据处理的整个过程都在TEE中完成，即便是特权软件如操作系统或其他非安全区域中的不可信应用也无法窃取或篡改数据，保证了用户远程访问及处理数据的安全性。

应理解的是，在不违背本发明精神和范围的前提，可对上述系统进行扩展。例如，在客户端和设备端之间建立后台服务器，由后台服务器完成多设备管理。或者使用组签名技术来进一步保障设备的隐私信息。此外，在本文的描述中，客户端设备可以是任意芯片，包括但不限于直接选择在后台服务器进行系统的操作，在本地安装相应的软件操作，前端页面登录操作等。嵌入式设备包括但不限于智能物联网设备，医用设备和军用设备等。

经过上述处理，远程认证阶段可以使用户确信嵌入式设备中确实启动了TEE并且其中的服务程序没有被篡改。证书验证可以有效的防止冒充攻击。数据操作请求阶段中的数据操作请求以及对称秘钥只能通过TEE服务程序中对应的私钥进行解密，其他非安全区域攻击者即使观察到消息的内容也无法对其进行解密。TEE中的数据库引擎处理完数据之后，结果通过用户提供的秘钥进行加密，理论上只要用户的对称秘钥不暴露，那么保存在嵌入式设备中非安全区域的数据库文件就是安全的。

为进一步验证本发明的效果，在虚拟环境qemu中完成了整个系统的模拟，证明了在可信执行环境下，客户端在远程操作数据的安全性和有效性。

综上所述，本发明使用TEE基于RISC-V架构的嵌入式设备的数据存储及处理过程，在稍微损耗存储和读取性能的前提下，针对静态存储数据和动态处理数据均实现了安全性。

本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是但不限于电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++、Python等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本发明的各个方面。

这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。对于本领域技术人员来说公知的是，通过硬件方式实现、通过软件方式实现以及通过软件和硬件结合的方式实现都是等价的。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。本发明的范围由所附权利要求来限定。

Claims

1.一种基于可信执行环境的RISC-V架构的嵌入式设备的数据库系统，包括客户端和设备端，该设备端包含基于可信执行环境的RISC-V架构的嵌入式设备，其中，客户端和设备端之间通过远程认证建立安全的信息传输通道，向设备端的数据提交和接收通过该安全传输通道实现，数据处理过程在设备端的可信执行环境完成，数据处理的结果以密文的形式进行保存。

2.根据权利要求1所述的系统，其特征在于，所述设备端包括远程认证服务模块、远程认证请求处理模块、数据操作请求处理模块、数据库引擎和数据库文件系统，其中远程认证请求处理模块和数据操作请求处理模块设置在不可信区域，远程认证服务模块和数据库引擎设置在可信区域；数据操作请求处理模块和数据库引擎之间采用非对称加密接口进行交互，数据库文件系统和数据库引擎之间采用对称加密接口进行交互。

3.根据权利要求2所述的系统，其特征在于，根据以下步骤实现所述远程认证：

客户端向设备端的远程认证请求处理模块发送挑战请求，并转发至位于可信执行环境的远程认证服务模块；

响应于接收到挑战请求，远程认证服务模块将公钥和证书返回给客户端；

客户端将证书发送给第三方认证机构进行校验，并向客户端返回校验结果。

4.根据权利要求3所述的系统，其特征在于，还包括：设备端在收到挑战请求后，判断客户端是否有权限使用设备，若客户端无权使用该设备，则返回失败响应，并告知客户端需要在后台服务器进行注册。

5.根据权利要求3所述的系统，其特征在于，所述数据处理过程包括以下步骤：

客户端生成对称秘钥以及相应的数据操作请求，并使用设备端提供的公钥进行加密，生成对应协议的消息，发送至数据操作请求处理模块；

数据操作请求处理模块解析验证该协议包，并将消息内容作为参数发送至可信执行环境中的数据库引擎；

数据库引擎使用私钥对消息进行解密，得到对称秘钥以及数据操作请求内容；

数据库引擎根据解密出的数据操作请求，与数据库文件系统进行交互，并将相应的操作结果通过对称秘钥加密后保存在非安全区域的磁盘文件中。

6.根据权利要求5所述的系统，其特征在于，所述数据操作请求包括写入操作、读取操作、更新操作和删除操作。

7.根据权利要求6所述的系统，其特征在于，针对写入操作，通过对称加密接口对数据进行解密后将其存储到非安全区域的磁盘中；针对读取操作，通过数据库文件的索引值读入相应密文数据，并由对称加密接口对其进行解密后，再通过非对称加密接口进行加密，返回给客户端，以供客户端使用相应的秘钥进行解密；针对更新操作，首先从数据库文件中读取对应的密文数据，然后通过对称加密接口对其进行解密，并由数据库引擎进行更新处理后，使用对称加密接口对处理结果进行加密，最后将更新数据存入到非安全区域的磁盘中；针对删除操作，直接根据数据库文件的索引值将数据库文件对应的密文删除。

8.根据权利要求1所述的系统，其特征在于，所述嵌入式设备包括智能物联网设备，医用设备或军用设备。

9.根据权利要求5所述的系统，其特征在于，该系统还包括：当数据存储至设定数量后，客户端使用同态加密和多方安全计算对数据进行处理，并且当客户端判断对称秘钥泄露后，备份相关数据并将其销毁。

10.根据权利要求1所述的系统，其特征在于，设备端的可信执行环境中的服务程序使用签名技术保存数据文件。