WO2019056761A1

WO2019056761A1 - 一种基于tpm的工业控制可信嵌入式平台的启动方法

Info

Publication number: WO2019056761A1
Application number: PCT/CN2018/085765
Authority: WO
Inventors: 于海斌; 曾鹏; 尚文利; 赵剑明; 刘贤达; 尹隆; 陈春雨
Original assignee: 中国科学院沈阳自动化研究所
Priority date: 2017-09-19
Filing date: 2018-05-07
Publication date: 2019-03-28
Also published as: CN109522721A; US20200042711A1

Abstract

一种基于TPM的工业控制可信嵌入式平台的启动方法，该方法包括：嵌入式平台加电后，可信根CRTM作为信任链的源头并执行；进行BIOS的可信度量，度量通过后启动BIOS；BIOS度量Bootloader，并将度量值扩展到TPM对应的PCR中，度量通过后，将控制执行权移交给Bootloader；Bootloader度量Os kernel启动过程，将其度量值记录在TPM的PCR中，度量通过后执行Os的启动流程。该方法在启动过程的每一部分启动之前都得到了度量，度量值也保存在了TPM对应的PCR中，当启动过程被攻击者篡改，完整性度量机制将终止程序的执行，从而保证了嵌入式平台的安全。

Description

一种基于TPM的工业控制可信嵌入式平台的启动方法

技术领域

本发明涉及一种基于TPM的工业控制可信嵌入式平台的启动方法，其能确保工业嵌入式平台的安全可信，属于工业系统的信息安全技术领域。

背景技术

由于信息化技术的快速发展，信息化推动工业化进程的加快，越来越多的网络通信技术、计算机技术以及嵌入式技术应用于工业控制系统中。这些高新技术应用的同时，也随之带来了工业控制系统的安全问题，比如信息泄露和篡改、病毒等等。2010年9月14日，伊朗核设施突然受到“超级病毒”震网病毒攻击，导致其核设施不能正常运转。至此，工业控制系统信息安全引起工业界的高度关注。

工业控制系统信息的安全威胁主要来自内部的终端安全威胁和外部的网络安全威胁。内部的终端安全威胁主要表现在平台的脆弱性：工业控制系统的脆弱性通常由系统缺陷、错误配置或对设备平台(包括硬件、操作系统和工业控制系统应用程序)的错误操作使用引起，缺乏恰当的密码管理机制，使用不合理的访问控制机制等等；外部的网络安全威胁表现为工业控制系统网络脆弱性：工业控制系统网络和与之相连的其他的网络缺陷、错误配置或不完善的网络管理过程可能导致工业控制系统的脆弱性。BIOS启动计算机的过程分为硬件启动和操作系统启动两个阶段。BIOS启动和初始化硬件的过程是相对封闭和安全的，而启动操作系统的阶段则相对复杂和多样，使用者可选择从硬盘、软盘或从其他介质启动操作系统等。操作系统启动的多样性，给计算机的数据安全和访问控制带来很多风险，系统容易受到非授权的篡改或破坏。

可信计算有着广泛的发展前景，国内外学者在可信计算应用于工业领域开展了大量的研究工作，但对于工业测控系统的特殊应用需求，需要提高更加满足工业信息领域复杂特征的可信计算方法。因此要保证可编程嵌入式电子设备的安全，就要保证嵌入式平台的完整性，即确保信息不能在外部通过软件被截获以及恶意代码不能在启动序列的某一个环节上截获控制权。可信启动的目的是保证操作系统启动过程的完整性。在系统启动过程中，可信平台模块(TPM)依次度量引导加载程序、操作系统内核、系统配置文件等的完整性，并建立信任链。在加载下一环节之前先度量其完整性。当某一环节的完整性遭到破坏时，系统将无法启动。

发明内容

针对上述技术不足，本发明的目的是一种基于TPM的工业控制可信嵌入式平台的启动方法和系统，本发明以集成XC7Z015芯片的开发板作为嵌入式平台，重点研究了如何将可信计算技术应用于工业嵌入式系统，以构建安全可信的嵌入式开发环境。

本发明解决其技术问题所采用的技术方案是：一种基于TPM的工业控制可信嵌入式平台的启动方法，包括以下步骤：

第一步：嵌入式平台加电后，可信根CRTM作为信任链的源头并执行；

第二步：进行BIOS的可信度量，度量通过后启动BIOS；

第三步：BIOS度量Bootloader，并将度量值扩展到TPM对应的PCR中，度量通过后，将控制执行权移交给Bootloader；

第四步：Bootloader度量Os kernel启动过程，将其度量值记录在TPM的PCR中，度量通过后执行Os的启动流程。

将BIOS作为可信根CRTM。

CRTM把引导加载程序Bootloader的配置信息写入度量日志中。

所述度量通过SHA-1算法实现。

所述度量值为采用SHA-1算法得到的哈希值，存储于TPM内的平台状态寄存器中。

所述度量值为一个固定长度的散列值。

所述度量值为一个160比特的散列值。

所述度量通过具体为度量值与PCR中反映的度量值一致。

一种基于TPM的工业控制可信嵌入式平台的启动系统，包括：

可信度量根模块，用于嵌入式平台加电后，可信根CRTM作为信任链的源头并执行；

可信平台模块(TPM)，用于进行BIOS的可信度量，度量通过后启动BIOS；BIOS度量Bootloader，并将度量值扩展到TPM对应的PCR中，度量通过后，将控制执行权移交给Bootloader；Bootloader度量Os kernel启动过程，将其度量值记录在TPM的PCR中，度量通过后执行Os的启动流程。

本发明具有以下有益效果及优点：

1.本发明在启动过程的每一部分在启动之前都得到了度量，度量值也保存在了TPM对应的PCR中。当启动过程被攻击者篡改，完整性度量机制将终止程序的执行，从而保证了嵌入式平台的安全。

2.本发明在不改变现有硬件设备架构的前提下，结合嵌入式设备自身特点，利用可信计算技术，实现了一套嵌入式平台的安全启动机制。

附图说明

图1为本发明的基于TPM的嵌入式平台主板结构示意图。

图2为本发明的基于TPM的可信嵌入式平台功能框图。

图3为本发明的基于TPM的嵌入式可信平台信任链传递过程示意图。

图4为本发明的基于TPM的可信嵌入式平台的启动过程完整性验证流程图。

具体实施方式

下面结合实施例对本发明做进一步的详细说明。

本发明提供了一种基于TPM的工业控制可信嵌入式平台的设计方法,该方法在可信计算技术基础上，设计了基于可信平台模块TPM的嵌入式可信计算平台，并从软件结构和硬件结构，分析了可信平台模块和信任链的传递机制。该方法主要通过三个可信根实现可信机制：可信度量根RTM(Root of Trust for Measurement)、可信存储根RTS(Root of Trust for Storage)、可信报告根RTR(Root of Trust for Reporting)。最后本方法在ZYNQ硬件平台上进行可信验证，通过内核伪造攻击测试，验证了该设计方法的正确性，从而确保工业嵌入式平台的安全可信。

该方法通过三个可信根实现，RTM是可信度量的起点，在度量过程中建立信任链。RTS是一个准确的记录完整度量的摘要值和顺序计算引擎，是一个能进行可靠加密的存储单元。RTR是一个可靠报告RTS的计算引擎，能可靠报告信息并标识平台身份的可信性。TPM对启动序列进行评估的核心是信任链机制。具体实现过程如下：

第一步：嵌入式平台加电后，可信根CTRM作为信任链的源头，系统会最先执行可信根CTRM的代码。

第二步：系统从可信根开始，首先进行BIOS的可信度量，度量通过后启动BIOS。

第三步：BIOS度量Bootloader，并将度量值扩展到TPM对应的PCR中，BIOS完成对Boot loader的度量且度量通过后，将控制执行权移交给Bootloader。

第四步：Bootloader度量Os kernel启动过程，将其度量值记录在TPM的PCR中，度量通过后执行Os(操作系统)的启动流程。

信任链，就是在信任当前某一环节的前提下，由该环节去评估下一环节的安全性，确定下一个环节可信之后，再将控制权移交给下一个环节，从而扩展至整个嵌入式平台。

在系统启动过程中，序列中的每一个执行程序在执行之前的度量摘要值都将存储于PCR中

平台状态信息是以日志的形式放置在TPM外部的度量日志文件中。

平台状态寄存器能够存储160比特的信息，存放的是使用SHA-1算法得到的哈希值。SHA-1对于任何长度的输入消息都生成一个固定长度(160比特)的输出结果(散列值)。

如图4所示，本发明包括：

1)初始化阶段：系统启动过程中，CRTM初始化系统启动后的执行程序并引导TPM。

2)度量阶段：CRTM把引导加载程序Bootloader的配置信息写入度量日志中，然后对BootLoader进行度量，之后将度量值扩展到TPM对应的PCR中。

3)若度量日志与PCR中反映的度量值相印证，证明Bootloader可信，控制权将被移交给Booloader，并进行下一阶段的度量；若度量失败，返回2)进行重新度量。

所述TPM可看作是一个完整的计算机，包括处理器、协处理器、存储单元和操作系统等等。TPM具备四个主要功能：对称/非对称加密、安全存储、完整性度量、和签名认证。数据的非对称加密和签名认证是通过RSA算法来实现的；完整性度量则是通过高效的SHA-1散列算法来完成。

结合ZYNQ XC7Z015可动态重配置的特点以及TCG组织提出的TPM架构，以软IP核的形式封装所有模块的功能，同时通过AXI4总线以及LMB总线实现逻辑IP与ZYNQ无缝迁移，最终构成一个完整的可信嵌入式SOC系统。其基本组成单元包括处理器、协处理器、存储单元、I/O等。

PCR值，引导序列中的配置信息的散列值被存储到芯片中的平台配置寄存器PCR中。一旦平台启动，数据就在当时PCR值的情况下被密封，仅当PCR值与数据被密封的值相同时才能被解封。如果启动一个非正常系统，由于PCR值的无法匹配，则不能解封，从而保护数据的安全。

针对工业测控系统的信息安全防护需求，突破可编程嵌入式电子设备开发与运行阶段的安全防护关键技术，提升可编程嵌入式电子设备的安全性，本发明提供了一种基于TPM的工业控制可信嵌入式平台的设计方法。参见图1，示出了本发明基于TPM的可信嵌入式平台的主板结构。参见图2，示出了本方法的基本模型流程图及结构，本发明的方法在具体实施时，工作主要流程如下：

步骤一：将BIOS作为信任度量核心根(Core Root of Trust Measurement，CRTM)，可信度量根(CRTM)和可信平台模块(TPM)共同构成了可信构件块，这样不仅保护了CRTM，也解决了CPU体系的差异性导致的问题。

步骤二：以软IP核的形式封装TPM所有模块的功能，参见图2，同时通过AXI4总线以及LMB总线实现逻辑IP与ZYNQ处理器无缝迁移，最终构成一个完整的可信嵌入式SOC系统。其基本组成单元包括处理器、协处理器、存储单元、I/O等。

步骤三：TPM依次度量BIOS、引导程序、操作系统内核、应用程序等的完整性，并建立信任链。参见图3，在加载下一个环节之前，先度量其完整性。当某一个环节的完整性遭到破坏时，系统将返回上一级重新度量。

若伪造了一个与安全合法内核相似的非可信内核。该内核非法篡改合法启动内核的强制访问控制功能，来达到任意破坏操作系统内核代码和数据的完整性。XC7Z015嵌入式平台启动过程中，在Bootloader将控制权移交给Os kernel之前能够及时发现Os kernel遭到了篡改，即Os kernel的度量值与标准的PCR值不同，从而判断其完整性遭到破坏，并自动终止系统的启动。

Claims

一种基于TPM的工业控制可信嵌入式平台的启动方法，其特征在于，包括以下步骤：

第一步：嵌入式平台加电后，可信根CRTM作为信任链的源头并执行；

第二步：进行BIOS的可信度量，度量通过后启动BIOS；

第三步：BIOS度量Bootloader，并将度量值扩展到TPM对应的PCR中，度量通过后，将控制执行权移交给Bootloader；

第四步：Bootloader度量Os kernel启动过程，将其度量值记录在TPM的PCR中，度量通过后执行Os的启动流程。
根据权利要求1所述的一种基于TPM的工业控制可信嵌入式平台的启动方法，其特征在于：将BIOS作为可信根CRTM。
根据权利要求1所述的一种基于TPM的工业控制可信嵌入式平台的启动方法，其特征在于：CRTM把引导加载程序Bootloader的配置信息写入度量日志中。
根据权利要求1所述的一种基于TPM的工业控制可信嵌入式平台的启动方法，其特征在于所述度量通过SHA-1算法实现。
根据权利要求1所述的一种基于TPM的工业控制可信嵌入式平台的启动方法，其特征在于所述度量值为采用SHA-1算法得到的哈希值，存储于TPM内的平台状态寄存器中。
根据权利要求1所述的一种基于TPM的工业控制可信嵌入式平台的启动方法，其特征在于所述度量值为一个固定长度的散列值。
根据权利要求1所述的一种基于TPM的工业控制可信嵌入式平台的启动方法，其特征在于所述度量值为一个160比特的散列值。
根据权利要求1所述的一种基于TPM的工业控制可信嵌入式平台的启动方法，其特征在于所述度量通过具体为度量值与PCR中反映的度量值一致。
一种基于TPM的工业控制可信嵌入式平台的启动系统，其特征在于包括：

可信度量根模块，用于嵌入式平台加电后，可信根CRTM作为信任链的源头并执行；

可信平台模块，用于进行BIOS的可信度量，度量通过后启动BIOS；BIOS度量Bootloader，并将度量值扩展到TPM对应的PCR中，度量通过后，将控制执行权移交给Bootloader；Bootloader度量Os kernel启动过程，将其度量值记录在TPM的PCR中，度量通过后执行Os的启动流程。