CN117610025B - 一种基于电力智能终端的嵌入式操作系统安全引导方法 - Google Patents
一种基于电力智能终端的嵌入式操作系统安全引导方法 Download PDFInfo
- Publication number
- CN117610025B CN117610025B CN202410077262.1A CN202410077262A CN117610025B CN 117610025 B CN117610025 B CN 117610025B CN 202410077262 A CN202410077262 A CN 202410077262A CN 117610025 B CN117610025 B CN 117610025B
- Authority
- CN
- China
- Prior art keywords
- execution environment
- operating system
- environment
- trusted
- intelligent terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000002955 isolation Methods 0.000 claims abstract description 85
- 238000012795 verification Methods 0.000 claims description 43
- 238000005259 measurement Methods 0.000 claims description 19
- 230000007246 mechanism Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000006854 communication Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于电力智能终端的嵌入式操作系统安全引导方法,包括以下步骤:在电力智能终端建立可信执行环境、普通执行环境和安全隔离环境;分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度;在安全隔离环境通过安全加载模块将操作系统程序包加载到随机存取存储器,在操作系统程序包运行阶段,通过安全防火墙保护操作系统程序包的启动和运行;在可信执行环境中加载电力智能终端的嵌入式操作系统的引导程序,通过数字签名来验证引导程序的完整性和真实性;便于根据嵌入式操作系统的引导程序在不同环境的可信度,选择合适的环境运行操作系统引导程序。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种基于电力智能终端的嵌入式操作系统安全引导方法。
背景技术
基于电力智能终端的嵌入式操作系统安全引导方法是一种保障电力智能终端系统在启动过程中安全性的技术方法。这种引导方法主要针对电力智能终端中的嵌入式操作系统引导阶段进行安全保护,确保系统的引导过程安全可靠。通过安全启动环境,提供一个受信任的执行环境,将引导程序加载到该环境中。这个环境通常由硬件或者固件提供,具有安全启动功能,可以确保引导程序在没有被篡改的情况下执行。这种基于电力智能终端的嵌入式操作系统安全引导方法可以提供一定的安全保障,保证电力智能终端在启动过程中免受恶意攻击和篡改的影响,确保系统的安全性和稳定性。
现有的电力智能终端的嵌入式操作系统安全引导技术,难以根据嵌入式操作系统的引导程序在不同环境的可信度,选择合适的环境运行操作系统引导程序。
发明内容
本发明的目的在于提供一种基于电力智能终端的嵌入式操作系统安全引导方法,解决以下技术问题:
现有的电力智能终端的嵌入式操作系统安全引导技术,难以根据嵌入式操作系统的引导程序在不同环境的可信度,选择合适的环境运行操作系统引导程序。
本发明的目的可以通过以下技术方案实现:
一种基于电力智能终端的嵌入式操作系统安全引导方法,包括以下步骤:
在电力智能终端建立可信执行环境、普通执行环境和安全隔离环境;
分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度;
在安全隔离环境通过安全加载模块将操作系统程序包加载到随机存取存储器,在操作系统程序包运行阶段,通过安全防火墙保护操作系统程序包的启动和运行;
在可信执行环境中加载电力智能终端的嵌入式操作系统的引导程序,通过数字签名来验证引导程序的完整性和真实性;
根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序;
通过安全协议,为远程控制访问提供加密和认证功能,并限制访问者的权限;
数字签名来验证操作系统映像的完整性和真实性,并通过引导程序引导启动操作系统。
作为本发明进一步的方案:分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度,包括以下步骤:
在电力智能终端的嵌入式操作系统加载可信执行环境,通过分级验证法验证可信执行环境的可信度;
在可信执行环境验证通过后,加载普通执行环境和安全隔离环境,并通过可信平台模块验证普通执行环境和安全隔离环境的可信度。
作为本发明进一步的方案:在电力智能终端的嵌入式操作系统加载可信执行环境,通过分级验证法验证可信执行环境的可信度,包括以下步骤:
在电力智能终端的嵌入式操作系统加载可信执行环境后,通过验证哈希值进行一级验证,并通过在电力智能终端部署可信平台模块TPM芯片,进行二级验证。
作为本发明进一步的方案:一级验证包括以下步骤:
在可信执行环境中对于电力智能终端的操作系统镜像,并计算可信执行环境中电力智能终端的操作系统的哈希值;
在启动过程中,将电力智能终端的操作系统镜像的哈希值与预计算的哈希值进行比对;
若哈希值匹配,则操作系统镜像未被篡改,可信执行环境一级验证通过,否则,一级验证不通过,电力智能终端的操作系统在可信执行环境是不可信的。
作为本发明进一步的方案:二级验证包括以下步骤:
在电力智能终端部署可信平台模块TPM芯片,并将其正确配置和初始化;
通过可信平台模块TPM芯片的相关接口和功能将操作系统和关键组件的度量结果记录到可信平台模块日志中;
通过读取可信平台模块日志中可信执行环境的运行日志,并与预期的度量结果进行比对;
若度量结果与预期一致,则通过二级验证,电力智能终端的操作系统在可信执行环境中是可信的,否则,电力智能终端的操作系统在可信执行环境是不可信的。
作为本发明进一步的方案:通过可信平台模块验证普通执行环境和安全隔离环境的可信度,包括以下步骤:
在操作系统启动后,使用可信平台模块TPM芯片的相关接口和功能将操作系统和关键组件的度量结果记录到可信平台模块日志中;
通过读取可信平台模块日志中普通执行环境和安全隔离环境的运行日志,并与预期的度量结果进行比对;
若度量结果与预期一致,则操作系统在普通执行环境和安全隔离环境下是可信的。
作为本发明进一步的方案:根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序,包括以下步骤:
在所述可信执行环境中分别建立与普通执行环境和安全隔离环境的安全通道;
在所述普通执行环境和安全隔离环境分别建立安全通道的加密入口点;其中所述加密入口点为加密的接口或API,并为加密入口点设置对应的密钥、认证和加密机制;
在可信执行环境中,分别建立与普通执行环境和安全隔离环境的加密入口点相对应的出口点,可信执行环境的出口点与普通执行环境和安全隔离环境的对应安全通道的加密入口点进行通信;其中,可信执行环境的出口点与对应的加密入口点使用相同的密钥、认证和加密机制;
读取可信执行环境中的电力智能终端的嵌入式操作系统的引导程序,根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,在验证为可信的环境中,选择可信执行环境、普通执行环境或安全隔离环境中对应环境的操作系统引导程序;
若调用可信执行环境中的操作系统引导程序,直接运行可信执行环境中的电力智能终端的嵌入式操作系统的引导程序;
若调用普通执行环境中的操作系统引导程序,在普通执行环境中通过调用安全通道的加密入口点,向可信执行环境发送获取操作系统引导程序请求,并通过安全通道的加密入口点接收可信执行环境发送的操作系统引导程序,并运行;
若调用安全隔离环境中的操作系统引导程序,在安全隔离环境中通过调用安全通道的加密入口点,向可信执行环境发送获取操作系统引导程序请求,并通过安全通道的加密入口点接收可信执行环境发送的操作系统引导程序,并运行。
作为本发明进一步的方案:安全通道的加密入口点:用于在所述普通执行环境和安全隔离环境中,通过调用安全通道的加密入口点,向可信执行环境发送请求或数据;
安全通道的出口点:用于在可信执行环境中,通过安全通道的出口点接收并处理来自普通执行环境的请求或数据。
本发明的有益效果:
本发明通过建立电力智能终端的可信执行环境、普通执行环境和安全隔离环境,通过分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度;根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序,便于根据嵌入式操作系统的引导程序在不同环境的可信度,选择合适的环境运行操作系统引导程序。
本发明通过在可信执行环境中加载电力智能终端的嵌入式操作系统的引导程序,通过数字签名来验证引导程序的完整性和真实性;电力智能终端的嵌入式操作系统大多安装在可信执行环境中,直接将嵌入式操作系统的引导程序加载到可信执行环境中,便于后期快速引导嵌入式操作系统的运行。同时,可信执行环境是一个受保护的环境,其硬件和软件组件都经过严格的验证和审计;在这个环境中启动和加载引导程序,可以有效降低恶意软件和攻击的风险。
附图说明
下面结合附图对本发明作进一步的说明。
图1是本发明的方法流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种基于电力智能终端的嵌入式操作系统安全引导方法,包括以下步骤:
在电力智能终端建立可信执行环境、普通执行环境和安全隔离环境;
分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度;
在安全隔离环境通过安全加载模块将操作系统程序包加载到随机存取存储器,在操作系统程序包运行阶段,通过安全防火墙保护操作系统程序包的启动和运行;
在可信执行环境中加载电力智能终端的嵌入式操作系统的引导程序,通过数字签名来验证引导程序的完整性和真实性;
根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序;
通过安全协议,为远程控制访问提供加密和认证功能,并限制访问者的权限;
数字签名来验证操作系统映像的完整性和真实性,并通过引导程序引导启动操作系统。
具体的,在本实施例中通过建立电力智能终端的可信执行环境、普通执行环境和安全隔离环境,并在嵌入式操作系统的引导过程中进行安全引导,确保电力智能终端的操作系统和关键组件的完整性和可信性,从而提高系统的安全性和防护能力。通过分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度;根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序,便于根据嵌入式操作系统的引导程序在不同环境的可信度,选择合适的环境运行操作系统引导程序。
通过在安全隔离环境通过安全加载模块将操作系统程序包加载到随机存取存储器,在操作系统程序包运行阶段,通过安全防火墙保护操作系统程序包的启动和运行;安全隔离环境中使用安全加载模块将操作系统程序包加载到随机存取存储器,并通过安全防火墙保护其启动和运行过程中的安全性。这样可以提供更高的系统安全性,减少潜在的攻击面和威胁。具体的实施将依赖于具体的安全隔离环境和安全防火墙技术。
通过在可信执行环境中加载电力智能终端的嵌入式操作系统的引导程序,通过数字签名来验证引导程序的完整性和真实性;电力智能终端的嵌入式操作系统大多安装在可信执行环境中,直接将嵌入式操作系统的引导程序加载到可信执行环境中,便于后期快速引导嵌入式操作系统的运行。同时,可信执行环境是一个受保护的环境,其硬件和软件组件都经过严格的验证和审计。在这个环境中启动和加载引导程序,可以有效降低恶意软件和攻击的风险。可信执行环境提供了硬件级的安全保护,如隔离和身份验证机制,能够识别和阻止未经授权的访问或恶意代码的执行。引导程序在可信执行环境中加载,能够减少系统启动过程中的错误和故障。可信执行环境提供了严格的验证和检查机制,确保引导程序的完整性和正确性。这样可以防止因恶意软件、数据损坏或其他问题而导致的系统崩溃或故障,提高了系统的可靠性和稳定性。在可信执行环境中加载引导程序可以简化系统管理和维护的流程。可信执行环境通常提供了更多的管理和监控功能,可以帮助管理员更好地管理和控制系统。此外,由于可信执行环境具有更高的安全性和可靠性,系统管理人员可以更方便地进行远程管理和升级操作,减少了对物理接触的需求,降低了维护成本和风险。
在本发明其中一个实施例中,分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度,包括以下步骤:
在电力智能终端的嵌入式操作系统加载可信执行环境,通过分级验证法验证可信执行环境的可信度;
在可信执行环境验证通过后,加载普通执行环境和安全隔离环境,并通过可信平台模块验证普通执行环境和安全隔离环境的可信度。
具体的,通过分级验证法验证可信执行环境的可信度,确保操作系统在可信执行环境的完整性和完全性。通过可信执行环境TPM验证普通执行环境,确保操作系统没有被篡改,并且与事先定义的可信度量结果一致,通过使用两种验证方法,可以增强电力智能终端的安全性和可信性。
在本发明其中一个实施例中,在电力智能终端的嵌入式操作系统加载可信执行环境,通过分级验证法验证可信执行环境的可信度,包括以下步骤:
在电力智能终端的嵌入式操作系统加载可信执行环境后,通过验证哈希值进行一级验证,并通过在电力智能终端部署可信平台模块TPM芯片,进行二级验证。
具体的,通过将验证分为一级验证和二级验证两个层次,通过验证哈希值进行一级验证,通过在电力智能终端部署可信平台模块TPM芯片,进行二级验证。在可信平台模块TPM验证中,使用硬件隔离和TPM进行更严格的验证和监控,以确保操作系统的可信执行环境。在使用哈希算法验证中,验证操作系统的完整性和防止未经授权的加载。这样的分级验证方案可以为可信执行环境提供更高级别的安全性和可信性保障。
在本发明其中一个实施例中,一级验证包括以下步骤:
在可信执行环境中对于电力智能终端的操作系统镜像,并计算可信执行环境中电力智能终端的操作系统的哈希值;
在启动过程中,将电力智能终端的操作系统镜像的哈希值与预计算的哈希值进行比对;
若哈希值匹配,则操作系统镜像未被篡改,可信执行环境一级验证通过,否则,一级验证不通过,电力智能终端的操作系统在可信执行环境是不可信的。
在本发明其中一个实施例中,二级验证包括以下步骤:
在电力智能终端部署可信平台模块TPM芯片,并将其正确配置和初始化;
通过可信平台模块TPM芯片的相关接口和功能将操作系统和关键组件的度量结果记录到可信平台模块日志中;
通过读取可信平台模块日志中可信执行环境的运行日志,并与预期的度量结果进行比对;
若度量结果与预期一致,则通过二级验证,电力智能终端的操作系统在可信执行环境中是可信的,否则,电力智能终端的操作系统在可信执行环境是不可信的。
在本发明其中一个实施例中,通过可信平台模块验证普通执行环境和安全隔离环境的可信度,包括以下步骤:
在操作系统启动后,使用可信平台模块TPM芯片的相关接口和功能将操作系统和关键组件的度量结果记录到可信平台模块日志中;
通过读取可信平台模块日志中普通执行环境和安全隔离环境的运行日志,并与预期的度量结果进行比对;
若度量结果与预期一致,则操作系统在普通执行环境和安全隔离环境下是可信的。
在本发明其中一个实施例中,根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序,包括以下步骤:
在可信执行环境中分别建立与普通执行环境和安全隔离环境的安全通道;
在普通执行环境和安全隔离环境分别建立安全通道的加密入口点;其中加密入口点为加密的接口或API,并为加密入口点设置对应的密钥、认证和加密机制;
在可信执行环境中,分别建立与普通执行环境和安全隔离环境的加密入口点相对应的出口点,可信执行环境的出口点与普通执行环境和安全隔离环境的对应安全通道的加密入口点进行通信;其中,可信执行环境的出口点与对应的加密入口点使用相同的密钥、认证和加密机制;
读取可信执行环境中的电力智能终端的嵌入式操作系统的引导程序,根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,在验证为可信的环境中,选择可信执行环境、普通执行环境或安全隔离环境中对应环境的操作系统引导程序;
若调用可信执行环境中的操作系统引导程序,直接运行可信执行环境中的电力智能终端的嵌入式操作系统的引导程序;
若调用普通执行环境中的操作系统引导程序,在普通执行环境中通过调用安全通道的加密入口点,向可信执行环境发送获取操作系统引导程序请求,并通过安全通道的加密入口点接收可信执行环境发送的操作系统引导程序,并运行;
若调用安全隔离环境中的操作系统引导程序,在安全隔离环境中通过调用安全通道的加密入口点,向可信执行环境发送获取操作系统引导程序请求,并通过安全通道的加密入口点接收可信执行环境发送的操作系统引导程序,并运行。
具体的,在本实施例中,通过可信执行环境与普通执行环境和安全隔离环境中的操作系统之间可以建立安全通道,用于双向通信和数据传输。通过读取可信执行环境中的电力智能终端的嵌入式操作系统的引导程序,根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,在验证为可信的环境中,选择对应环境的操作系统引导程序,将电力智能终端的嵌入式操作系统的引导程序存储在可信执行环境这样可以确保通信的机密性、完整性和安全性,防止恶意攻击或数据泄露,通过建立安全通道,也便于在多种环境中选择合适的环境运行操作系统引导程序。
在本发明其中一个实施例中,安全通道的加密入口点:用于在普通执行环境和安全隔离环境中,通过调用安全通道的加密入口点,向可信执行环境发送请求或数据;
安全通道的出口点:用于在可信执行环境中,通过安全通道的出口点接收并处理来自普通执行环境的请求或数据。
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。
Claims (6)
1.一种基于电力智能终端的嵌入式操作系统安全引导方法,其特征在于,包括以下步骤:
在电力智能终端建立可信执行环境、普通执行环境和安全隔离环境;
分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度;
在安全隔离环境通过安全加载模块将操作系统程序包加载到随机存取存储器,在操作系统程序包运行阶段,通过安全防火墙保护操作系统程序包的启动和运行;
在可信执行环境中加载电力智能终端的嵌入式操作系统的引导程序,通过数字签名来验证引导程序的完整性和真实性;
根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序,并引导启动操作系统;
分别验证电力智能终端的嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度,包括以下步骤:
在电力智能终端的嵌入式操作系统加载可信执行环境,通过分级验证法验证可信执行环境的可信度;
在可信执行环境验证通过后,加载普通执行环境和安全隔离环境,并通过可信平台模块验证普通执行环境和安全隔离环境的可信度;
通过可信平台模块验证普通执行环境和安全隔离环境的可信度,包括以下步骤:
在操作系统启动后,使用可信平台模块TPM芯片的相关接口和功能将操作系统和关键组件的度量结果记录到可信平台模块日志中;
通过读取可信平台模块日志中普通执行环境和安全隔离环境的运行日志,并与预期的度量结果进行比对;
若度量结果与预期一致,则操作系统在普通执行环境和安全隔离环境下是可信的;
根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序,包括以下步骤:
在所述可信执行环境中分别建立与普通执行环境和安全隔离环境的安全通道;
在所述普通执行环境和安全隔离环境分别建立安全通道的加密入口点;其中所述加密入口点为加密的接口或API,并为加密入口点设置对应的密钥、认证和加密机制;
在可信执行环境中,分别建立与普通执行环境和安全隔离环境的加密入口点相对应的出口点,可信执行环境的出口点与普通执行环境和安全隔离环境的对应安全通道的加密入口点进行通信;其中,可信执行环境的出口点与对应的加密入口点使用相同的密钥、认证和加密机制;
读取可信执行环境中的电力智能终端的嵌入式操作系统的引导程序,根据嵌入式操作系统的引导程序在可信执行环境、普通执行环境和安全隔离环境的可信度和嵌入式操作系统类型,在验证为可信的环境中,选择可信执行环境、普通执行环境或安全隔离环境中对应环境的操作系统引导程序;
若调用可信执行环境中的操作系统引导程序,直接运行可信执行环境中的电力智能终端的嵌入式操作系统的引导程序;
若调用普通执行环境中的操作系统引导程序,在普通执行环境中通过调用安全通道的加密入口点,向可信执行环境发送获取操作系统引导程序请求,并通过安全通道的加密入口点接收可信执行环境发送的操作系统引导程序,并运行;
若调用安全隔离环境中的操作系统引导程序,在安全隔离环境中通过调用安全通道的加密入口点,向可信执行环境发送获取操作系统引导程序请求,并通过安全通道的加密入口点接收可信执行环境发送的操作系统引导程序,并运行。
2.根据权利要求1所述的一种基于电力智能终端的嵌入式操作系统安全引导方法,其特征在于,调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序,并引导启动操作系统,包括以下步骤:
调用可信执行环境、普通执行环境或安全隔离环境中对应的操作系统引导程序,通过安全协议,为远程控制访问提供加密和认证功能,并限制访问者的权限;
通过数字签名来验证操作系统映像的完整性和真实性,并通过引导程序引导启动操作系统。
3.根据权利要求1所述的一种基于电力智能终端的嵌入式操作系统安全引导方法,其特征在于,在电力智能终端的嵌入式操作系统加载可信执行环境,通过分级验证法验证可信执行环境的可信度,包括以下步骤:
在电力智能终端的嵌入式操作系统加载可信执行环境后,通过验证哈希值进行一级验证,并通过在电力智能终端部署可信平台模块TPM芯片,进行二级验证。
4.根据权利要求3所述的一种基于电力智能终端的嵌入式操作系统安全引导方法,其特征在于,一级验证包括以下步骤:
在可信执行环境中对于电力智能终端的操作系统镜像,并计算可信执行环境中电力智能终端的操作系统的哈希值;
在启动过程中,将电力智能终端的操作系统镜像的哈希值与预计算的哈希值进行比对;
若哈希值匹配,则操作系统镜像未被篡改,可信执行环境一级验证通过,否则,一级验证不通过,电力智能终端的操作系统在可信执行环境是不可信的。
5.根据权利要求3所述的一种基于电力智能终端的嵌入式操作系统安全引导方法,其特征在于,二级验证包括以下步骤:
在电力智能终端部署可信平台模块TPM芯片,并将其正确配置和初始化;
通过可信平台模块TPM芯片的相关接口和功能将操作系统和关键组件的度量结果记录到可信平台模块日志中;
通过读取可信平台模块日志中可信执行环境的运行日志,并与预期的度量结果进行比对;
若度量结果与预期一致,则通过二级验证,电力智能终端的操作系统在可信执行环境中是可信的,否则,电力智能终端的操作系统在可信执行环境是不可信的。
6.根据权利要求1所述的一种基于电力智能终端的嵌入式操作系统安全引导方法,其特征在于,安全通道的加密入口点:用于在所述普通执行环境和安全隔离环境中,通过调用安全通道的加密入口点,向可信执行环境发送请求或数据;
安全通道的出口点:用于在可信执行环境中,通过安全通道的出口点接收并处理来自普通执行环境的请求或数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410077262.1A CN117610025B (zh) | 2024-01-19 | 2024-01-19 | 一种基于电力智能终端的嵌入式操作系统安全引导方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410077262.1A CN117610025B (zh) | 2024-01-19 | 2024-01-19 | 一种基于电力智能终端的嵌入式操作系统安全引导方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117610025A CN117610025A (zh) | 2024-02-27 |
| CN117610025B true CN117610025B (zh) | 2024-04-05 |
Family
ID=89954793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410077262.1A Active CN117610025B (zh) | 2024-01-19 | 2024-01-19 | 一种基于电力智能终端的嵌入式操作系统安全引导方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117610025B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107729743A (zh) * | 2016-08-10 | 2018-02-23 | 中国电信股份有限公司 | 用于实现移动终端安全启动的方法、设备和系统 |
| CN110998578A (zh) * | 2017-08-23 | 2020-04-10 | 高通股份有限公司 | 用于在异构存储器环境内进行引导的系统和方法 |
| CN112446033A (zh) * | 2020-12-11 | 2021-03-05 | 中国科学院信息工程研究所 | 软件可信启动方法、装置、电子设备和存储介质 |
| WO2021197040A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 可信度量方法及相关装置 |
| CN113946375A (zh) * | 2021-10-19 | 2022-01-18 | 珠海全志科技股份有限公司 | 嵌入式系统快速安全启动方法、装置及电子设备 |
| CN113961939A (zh) * | 2021-12-20 | 2022-01-21 | 北京智芯微电子科技有限公司 | 嵌入式操作系统安全的防护方法和系统 |
| CN115130106A (zh) * | 2021-03-26 | 2022-09-30 | 华为技术有限公司 | 一种通过fTPM实现可信启动的方法及相关装置 |
| CN116340243A (zh) * | 2023-03-29 | 2023-06-27 | 广东工业大学 | 一种双核可信执行的安全芯片架构 |
| CN116956298A (zh) * | 2022-04-14 | 2023-10-27 | 腾讯科技(深圳)有限公司 | 应用运行环境检测方法和装置 |
-
2024
- 2024-01-19 CN CN202410077262.1A patent/CN117610025B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107729743A (zh) * | 2016-08-10 | 2018-02-23 | 中国电信股份有限公司 | 用于实现移动终端安全启动的方法、设备和系统 |
| CN110998578A (zh) * | 2017-08-23 | 2020-04-10 | 高通股份有限公司 | 用于在异构存储器环境内进行引导的系统和方法 |
| WO2021197040A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 可信度量方法及相关装置 |
| CN112446033A (zh) * | 2020-12-11 | 2021-03-05 | 中国科学院信息工程研究所 | 软件可信启动方法、装置、电子设备和存储介质 |
| CN115130106A (zh) * | 2021-03-26 | 2022-09-30 | 华为技术有限公司 | 一种通过fTPM实现可信启动的方法及相关装置 |
| CN113946375A (zh) * | 2021-10-19 | 2022-01-18 | 珠海全志科技股份有限公司 | 嵌入式系统快速安全启动方法、装置及电子设备 |
| CN113961939A (zh) * | 2021-12-20 | 2022-01-21 | 北京智芯微电子科技有限公司 | 嵌入式操作系统安全的防护方法和系统 |
| CN116956298A (zh) * | 2022-04-14 | 2023-10-27 | 腾讯科技(深圳)有限公司 | 应用运行环境检测方法和装置 |
| CN116340243A (zh) * | 2023-03-29 | 2023-06-27 | 广东工业大学 | 一种双核可信执行的安全芯片架构 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117610025A (zh) | 2024-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11093258B2 (en) | Method for trusted booting of PLC based on measurement mechanism | |
| JP4796340B2 (ja) | 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法 | |
| US8863290B2 (en) | Methods and devices for improving the reliability of communication between an aircraft and a remote system | |
| US20070118646A1 (en) | Preventing the installation of rootkits on a standalone computer | |
| US20160078212A1 (en) | Hypervisor and virtual machine protection | |
| CN106295350B (zh) | 一种可信执行环境的身份验证方法、装置及终端 | |
| WO2007041699A1 (en) | Preventing the installation of rootkits using a master computer | |
| CN111143808B (zh) | 系统安全认证方法、装置及计算设备、存储介质 | |
| CN113127873A (zh) | 堡垒机的可信度量系统及电子设备 | |
| CN111291425B (zh) | 芯片保护方法、装置、存储介质及车载芯片 | |
| CN113111342A (zh) | 一种控制方法、电子设备和控制装置 | |
| EP3706387B1 (en) | Vehicle control device, vehicle control device start-up method, and recording medium | |
| US11520595B2 (en) | Industrial internet of things gateway boot methods | |
| CN110348180B (zh) | 一种应用程序启动控制方法和装置 | |
| CN115357908B (zh) | 一种网络设备内核可信度量与自动修复方法 | |
| CN117610025B (zh) | 一种基于电力智能终端的嵌入式操作系统安全引导方法 | |
| CN111858114B (zh) | 设备启动异常处理,设备启动控制方法、装置及系统 | |
| KR20150089696A (ko) | 접근제어와 우선순위기반 무결성 검증 시스템 및 그 방법 | |
| Msgna et al. | Secure application execution in mobile devices | |
| CN115879087A (zh) | 一种面向电力终端的安全可信启动方法及系统 | |
| CN113111336A (zh) | 一种基于安全计算机的认证方法 | |
| CN116436681B (zh) | 一种基于TrustZone的安全隔离系统、方法、终端及存储介质 | |
| CN117411644B (zh) | 一种数字签名验证方法、装置、电子设备及存储介质 | |
| CN117494232B (zh) | 固件的执行方法和装置、系统、存储介质及电子设备 | |
| Surendrababu | System Integrity–A Cautionary Tale |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |