一種嵌入式可信計算平臺及其檢測方法
【專利摘要】本發(fā)明涉及一種嵌入式可信計算平臺及其檢測方法,平臺包括加密芯片模塊、可信芯片模塊、測控應(yīng)用系統(tǒng)模塊、手持終端應(yīng)用系統(tǒng)模塊、可信芯片子模塊、復(fù)位控制電路、測控應(yīng)用MCU最小系統(tǒng)模塊、GPIO、USB、電路原型區(qū)、以太網(wǎng)/WiFi、SD/CF卡、模擬IO、串口、電源/電池、LCD/鍵盤和音頻。方法包括:1)可信芯片與應(yīng)用MCU建立通信;2)驗證可信芯片與應(yīng)用MCU的控制接口;3)驗證可信芯片和應(yīng)用MCU的通訊接口;4)進(jìn)行檢測;5)進(jìn)行控制。本發(fā)明適用多種不同應(yīng)用環(huán)境開發(fā);可快速原型實現(xiàn);能控制應(yīng)用系統(tǒng)狀態(tài),實現(xiàn)主動可信防御;能檢測應(yīng)用系統(tǒng)狀態(tài),實現(xiàn)整個運行過程可信防御。
【專利說明】一種嵌入式可信計算平臺及其檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于電力可信硬件開發(fā)平臺,具體講涉及一種嵌入式可信計算平臺及其檢測方法。
【背景技術(shù)】
[0002]可信平臺中有可能有多種內(nèi)核MCU和OS,所以存在平臺需求要比PC可信平臺需求更靈活。為了明確MCU可信計算芯片需要搭建一個驗證平臺來測試驗證需求。
[0003]平臺使用I?2款具體有接口全面的MCU配合加密芯片來模擬可信芯片的功能和接口。在驗證中分別使用I?3種接口連接3?5常見MCU做驗證。
[0004]現(xiàn)有技術(shù)中,TPM只是一個被動的芯片并僅支持PC平臺,不能支持電力可信中復(fù)雜的主動要求和多種MCU的。沒有能支持嵌入式電力可信開發(fā)的平臺。
【發(fā)明內(nèi)容】
[0005]針對現(xiàn)有技術(shù)的不足,本發(fā)明提出一種嵌入式可信計算平臺及其檢測方法。本發(fā)明模塊化設(shè)計支持變化方案,支持多種通訊連接。能使用多種應(yīng)用MCU ;支持復(fù)位監(jiān)視、復(fù)位控制和可信通信的原理電路設(shè)計。支持主動式可信開發(fā)和驗證。
[0006]本發(fā)明的目的是采用下述技術(shù)方案實現(xiàn)的:
[0007]一種嵌入式可信計算平臺,其改進(jìn)之處在于,所述平臺包括加密芯片模塊、可信芯片模塊、測控應(yīng)用系統(tǒng)模塊、手持終端應(yīng)用系統(tǒng)模塊、可信芯片子模塊、復(fù)位控制電路、測控應(yīng)用MCU最小系統(tǒng)模塊、GPIO、USB、電路原型區(qū)、以太網(wǎng)/WiF1、SD/CF卡、模擬10、串口、電源/電池、IXD/鍵盤和音頻。
[0008]優(yōu)選的,所述最小系統(tǒng)包括MCU、晶振、復(fù)位電路/PoR/BoD、程序存儲器、通信接口和調(diào)試接口。
[0009]優(yōu)選的,所述可信芯片子模塊包括可信芯片模擬MCU、晶振、復(fù)位電路、存儲器、應(yīng)用MCU連接通信、控制接口、加密子模塊接口和調(diào)試接口。
[0010]進(jìn)一步地,所述可信芯片子模塊上能夠插接不同加密芯片子模塊,用于驗證加密算法。
[0011]本發(fā)明基于另一目的提供的一種嵌入式可信計算平臺檢測方法,其改進(jìn)之處在于,所述方法包括
[0012]I)可信芯片與應(yīng)用MCU建立通信;
[0013]2)驗證可信芯片與應(yīng)用MCU的控制接口 ;
[0014]3)驗證可信芯片和應(yīng)用MCU的通訊接口 ;
[0015]4)進(jìn)行檢測;
[0016]5)進(jìn)行控制。
[0017]優(yōu)選的,所述步驟(2)包括驗證可信芯片所需要的控制接口,用于控制應(yīng)用MCU的工作狀態(tài)的IO管腳,用于應(yīng)用MCU認(rèn)證時使應(yīng)用MCU無法正常工作。[0018]優(yōu)選的,所述控制接口包括偵測應(yīng)用MCU狀態(tài)的輸入部分、偵測應(yīng)用MCU狀態(tài)是否被竊取或模擬和控制MCU進(jìn)入無法工作狀態(tài)。
[0019]優(yōu)選的,所述步驟(3)包括驗證可信芯片和應(yīng)用MCU的通訊,并完成可信算法通信的通訊接口功能,其包括:應(yīng)用MCU的驗證通訊、應(yīng)用MCU運行狀態(tài)、可支持使用不同的通訊接口、偵測應(yīng)用MCU通訊狀態(tài)是否被竊取或模擬。
[0020]優(yōu)選的,所述步驟(4)包括進(jìn)行MCU復(fù)位狀態(tài)監(jiān)測、MCU系統(tǒng)片外存儲檢測和防范接口管腳物理攻擊檢測。
[0021]優(yōu)選的,所述步驟(5)包括對應(yīng)用MCU系統(tǒng)的強制控制、應(yīng)用系統(tǒng)中片外存儲的控制和應(yīng)用系統(tǒng)中通信的控制。
[0022]進(jìn)一步地,所述防范接口管腳物理攻擊檢測包括
[0023]( I)電路檢測應(yīng)用MCU復(fù)位電路中物理量;
[0024](2)電路檢測通信接口中物理量變化;
[0025](3)應(yīng)用MCU和可信芯片間連接有膠覆蓋/BGA封裝,用于安全集成時強制要求;
[0026](4)根據(jù)應(yīng)用MCU的Boot執(zhí)行情況,進(jìn)行度量。
[0027]與現(xiàn)有技術(shù)比,本發(fā)明的有益效果為:
[0028]1、本發(fā)明提供可信計算研發(fā)平臺,適用多種不同應(yīng)用環(huán)境開發(fā)。
[0029]2、本發(fā)明可快速原型實現(xiàn)。
[0030]3、本發(fā)明能控制應(yīng)用系統(tǒng)狀態(tài),實現(xiàn)主動可信防御。
[0031]4、本發(fā)明能檢測應(yīng)用系統(tǒng)狀態(tài),實現(xiàn)整個運行過程可信防御。
【專利附圖】
【附圖說明】
[0032]圖1為本發(fā)明提供的一種嵌入式可信計算平臺示意圖。
[0033]圖2為本發(fā)明提供的一種嵌入式可信計算平臺中可信芯片子模塊示意圖。
[0034]圖3為本發(fā)明提供的一種嵌入式可信計算平臺中加密芯片子模塊示意圖。
[0035]圖4為本發(fā)明提供的一種嵌入式可信計算平臺中應(yīng)用MCU系統(tǒng)的強制控制原理圖。
【具體實施方式】
[0036]本發(fā)明平臺使用I?2款具體有接口全面的MCU配合加密芯片來模擬可信芯片的功能和接口。在驗證中分別使用I?3種接口連接3?5常見MCU做驗證。
[0037]模擬MCU 具體有 GPIO,SPI Master7SPI Slave,UART,8 位總線,16 位總線;目前暫定應(yīng)用MCU包括:8051內(nèi)核、ARM9、ARM Cortex_M3 (其他型號根據(jù)用戶要求添加驗證)。應(yīng)用MCU模擬運行:Linix,uCLinux, uC/OS-1I以及無OS固件。
[0038]底板主要包括供電、外擴(kuò)10、擴(kuò)展存儲和通訊接口。
[0039]供電部分要滿足可能的Pad所需的IXD背光供電。
[0040]本發(fā)明平臺具體包括加密芯片模塊、可信芯片模塊、測控應(yīng)用系統(tǒng)模塊、手持終端應(yīng)用系統(tǒng)模塊、可信芯片子模塊、復(fù)位控制電路、測控應(yīng)用MCU最小系統(tǒng)模塊、GPIO、USB、電路原型區(qū)、以太網(wǎng)/WiF1、SD/CF卡、模擬10、串口、電源/電池、IXD/鍵盤和音頻。其中:[0041 ] 測控應(yīng)用MCU最小系統(tǒng)模塊[0042]最小系統(tǒng)包括MCU、晶振和復(fù)位電路/PoR (Power-on Reset)/BoD (Brown-outDetector)、程序存儲器、通信接口和調(diào)試接口。
[0043]模塊內(nèi)支持Linux和相應(yīng)通訊程序包。開發(fā)環(huán)境為GNU GCC工具鏈。
[0044]可信芯片模塊
[0045]可信芯片模塊在可信芯片沒有最終發(fā)布前可以使用模擬可信模塊??尚判酒l(fā)布后完成Pin-Pin兼容模塊直接替換。兩種模塊結(jié)構(gòu)一致。
[0046]可信芯片子模塊
[0047]可信芯片模擬MCU、晶振和復(fù)位電路、存儲器、和應(yīng)用MCU連接通信和控制接口、力口密子模塊接口和調(diào)試接口。
[0048]可信芯片模擬模塊上能夠插接不同加密芯片子模塊,以便驗證加密算法時使用。
[0049]加密芯片模塊
[0050]能夠使用現(xiàn)有若干種加密芯片,并插接于可信芯片模塊。通信接口使用目前加密芯片可以用接口,包括并口、SPI Master、SPI Slave、UART和并口。
[0051]可信芯片和應(yīng)用系統(tǒng)中,可信芯片管理應(yīng)用MCU的工作,所以可信芯片需要和應(yīng)用MCU建立通信,驗證應(yīng)用MCU的啟動權(quán)限和運行。
[0052]當(dāng)應(yīng)用MCU在啟動和運行中出現(xiàn)未知狀態(tài),可信芯片立即干預(yù)應(yīng)用系統(tǒng)運行,使之不能工作。
[0053]所以硬件接口上,可信芯片和應(yīng)用MCU包括兩類接口:通信接口和控制接口。
[0054]設(shè)計和驗證可信芯片所需要的控制接口,用于控制應(yīng)用MCU的工作狀態(tài)的10管腳,在對應(yīng)用MCU認(rèn)證的實效時候使應(yīng)用MCU不能正常工作。
[0055]控制接口功能應(yīng)包括:偵測應(yīng)用MCU狀態(tài)的輸入部分、偵測應(yīng)用MCU狀態(tài)是否被竊取或模擬和控制MCU進(jìn)入不能工作狀態(tài)。
[0056]用于可信芯片和應(yīng)用MCU的驗證通訊,并完成可信算法要求的通信的通訊接口功能應(yīng)包括:應(yīng)用MCU的驗證通訊、應(yīng)用M⑶運行狀態(tài)、可支持使用不同的通訊接口、偵測應(yīng)用MCU通訊狀態(tài)是否被竊取或模擬。
[0057]控制接口
[0058]檢測功能
[0059]MCU復(fù)位狀態(tài)監(jiān)測
[0060]通常MCU的復(fù)位為微秒級,所以檢測電路需要有低電壓脈寬測試功能。考慮到不同的應(yīng)用MCU中復(fù)位電壓和復(fù)位脈寬的變化。
[0061]因為可能要進(jìn)行多個芯片的的檢控,此功能應(yīng)有多個輸入。
[0062]MCU系統(tǒng)片外存儲檢測
[0063]通常片外SRAM會有電池供電(有部分片上MCU也有此功能)。對于Flash/SRAM在片外的應(yīng)用MCU。
[0064]防范接口管腳物理攻擊檢測
[0065]防范接口管腳物理攻擊檢測的內(nèi)容包括:
[0066]I)電路檢測應(yīng)用MCU復(fù)位電路中物理量(如:電流變化或者溫度變化)。驗證檢測范圍和應(yīng)用中保護(hù)效果;
[0067]2)電路檢測通信接口中物理量變化;[0068]3)應(yīng)用MCU和可信芯片間連接有膠(環(huán)氧樹脂)覆蓋/BGA封裝,安全集成時強制要求;
[0069]4)根據(jù)應(yīng)用MCU的Boot執(zhí)行情況,進(jìn)行度量??紤]Boot執(zhí)行時MCU內(nèi)部寄存器變化;偵測應(yīng)用MCU狀態(tài)是否被竊取或模擬。偵測電路的精度以及適用范圍。針對不同的通訊接口特性需要有相應(yīng)的保護(hù)辦法和電路。
[0070]對于總線:所有鏈接在PCB中間層,并且盡量短。
[0071]對于SP1:同總線要求。
[0072]對于復(fù)位電路:
[0073]此電路為控制檢測和控制雙重功用,需要重點監(jiān)測和控制。
[0074]使用多重物理量檢測,包括電壓、電流和線路溫度。
[0075]檢測電路包括電壓檢測、電流檢測(使用電壓檢測信號加入采樣電阻)、檢測電流輸入溫敏電阻檢測管腳的溫度變化。
[0076]對于電池供電:因為此輸入為供電輸入,標(biāo)準(zhǔn)電壓檢測即可。
[0077]控制功能
[0078]應(yīng)用MCU系統(tǒng)的強制控制
[0079]如圖4所述,可信芯片有數(shù)個Digital output處于可信狀態(tài),在驗簽后輸出設(shè)定的狀態(tài),否則控制應(yīng)用MCU reboot或者Reset狀態(tài)。
[0080]應(yīng)用系統(tǒng)中片外存儲的控制
[0081]在可信系統(tǒng)應(yīng)禁止未經(jīng)驗證的對片外存儲的操作,可信芯片使用DO控制應(yīng)用系統(tǒng)片外芯片的‘寫使能’。
[0082]控制部分與Reset控制相同。
[0083]應(yīng)用系統(tǒng)中通信的控制
[0084]在可信系統(tǒng)應(yīng)禁止未經(jīng)驗證的對片通信的操作,如系統(tǒng)中對外接口芯片有使能端。可信芯片使用DO控制應(yīng)用系統(tǒng)片外芯片的‘使能’。
[0085]對于可信要求高的系統(tǒng),可信芯片使用DO控制對外接口芯片中復(fù)位??尚判酒部稍趹?yīng)用MCU系統(tǒng)中控制對外接口芯片的復(fù)位。
[0086]對‘使能’和‘Reset’的控制同MCU的復(fù)位控制。
[0087]本地配置端口
[0088]根據(jù)國家可信計算標(biāo)準(zhǔn)草案,預(yù)留部分10和通訊接口做本地配置使用。
[0089]10可有可信芯片內(nèi)部固件配置作為DI使用,用于撥碼或者跳線。預(yù)留一部分本地配置通訊端口。建議USB OTG。
[0090]通信接口
[0091]典型通信接口的設(shè)計
[0092]不同通訊接口的基本通訊協(xié)議(并口、SP1、串口、I2C、IS07816),考慮到可信芯片未來使用的兼容性和擴(kuò)展,設(shè)計典型的通信接口。
[0093]典型使用SPI接口:
[0094]SPI,使用SPI Master,支持標(biāo)準(zhǔn)工作模式M`odeO和Mode3。
[0095]其中通信協(xié)議包括:命令字+長度+數(shù)據(jù)+校驗……,在開發(fā)平臺上實現(xiàn)典型接口MAC層協(xié)議。[0096]使用并口:
[0097]支持8位模式和支持16位模式,包括8位/16位數(shù)據(jù)線、若干數(shù)據(jù)線、片選、讀使能、寫使能。
[0098]使用I2C:
[0099]其中通信協(xié)議包括:命令字+長度+數(shù)據(jù)+校驗……。
[0100]使用IS07816 接口:
[0101]兼容7816協(xié)議。在其中擴(kuò)展相應(yīng)的命令字和保留字。
[0102]其中通信協(xié)議包括:命令字+長度+數(shù)據(jù)+校驗……。
[0103]最后應(yīng)當(dāng)說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制,盡管參照上述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明,所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:依然可以對本發(fā)明的【具體實施方式】進(jìn)行修改或者等同替換,而未脫離本發(fā)明精神和范圍的任何修改或者等同替換,其均應(yīng)涵蓋在本發(fā)`明的權(quán)利要求范圍當(dāng)中。
【權(quán)利要求】
1.一種嵌入式可信計算平臺,其特征在于,所述平臺包括加密芯片模塊、可信芯片模塊、測控應(yīng)用系統(tǒng)模塊、手持終端應(yīng)用系統(tǒng)模塊、可信芯片子模塊、復(fù)位控制電路、測控應(yīng)用MCU最小系統(tǒng)模塊、GPIO、USB、電路原型區(qū)、以太網(wǎng)/WiF1、SD/CF卡、模擬10、串口、電源/電池、IXD/鍵盤和音頻。
2.如權(quán)利要求1所述的一種嵌入式可信計算平臺,其特征在于,所述最小系統(tǒng)包括MCU、晶振、復(fù)位電路/PoR/BoD、程序存儲器、通信接口和調(diào)試接口。
3.如權(quán)利要求1所述的一種嵌入式可信計算平臺,其特征在于,所述可信芯片子模塊包括可信芯片模擬MCU、晶振、復(fù)位電路、存儲器、應(yīng)用MCU連接通信、控制接口、加密子模塊接口和調(diào)試接口。
4.如權(quán)利要求3所述的一種嵌入式可信計算平臺,其特征在于,所述可信芯片子模塊上能夠插接不同加密芯片子模塊,用于驗證加密算法。
5.一種嵌入式可信計算平臺檢測方法,其特征在于,所述方法包括 1)可信芯片與應(yīng)用MCU建立通信; 2)驗證可信芯片與應(yīng)用MCU的控制接口; 3)驗證可信芯片和應(yīng)用MCU的通訊接口; 4)進(jìn)行檢測; 5)進(jìn)行控制。
6.如權(quán)利要求5所述的一種嵌入式可信計算平臺檢測方法,其特征在于,所述步驟(2)包括驗證可信芯片所需要的控制接口,用于控制應(yīng)用MCU的工作狀態(tài)的IO管腳,用于應(yīng)用MCU認(rèn)證時使應(yīng)用MCU無法正常工作。
7.如權(quán)利要求5所述的一種嵌入式可信計算平臺檢測方法,其特征在于,所述控制接口包括偵測應(yīng)用MCU狀態(tài)的輸入部分、偵測應(yīng)用MCU狀態(tài)是否被竊取或模擬和控制MCU進(jìn)入無法工作狀態(tài)。
8.如權(quán)利要求5所述的一種嵌入式可信計算平臺檢測方法,其特征在于,所述步驟(3)包括驗證可信芯片和應(yīng)用MCU的通訊,并完成可信算法通信的通訊接口功能,其包括:應(yīng)用MCU的驗證通訊、應(yīng)用MCU運行狀態(tài)、可支持使用不同的通訊接口、偵測應(yīng)用MCU通訊狀態(tài)是否被竊取或模擬。
9.如權(quán)利要求5所述的一種嵌入式可信計算平臺檢測方法,其特征在于,所述步驟(4)包括進(jìn)行MCU復(fù)位狀態(tài)監(jiān)測、MCU系統(tǒng)片外存儲檢測和防范接口管腳物理攻擊檢測。
10.如權(quán)利要求5所述的一種嵌入式可信計算平臺檢測方法,其特征在于,所述步驟(5)包括對應(yīng)用MCU系統(tǒng)的強制控制、應(yīng)用系統(tǒng)中片外存儲的控制和應(yīng)用系統(tǒng)中通信的控制。
11.如權(quán)利要求9所述的一種嵌入式可信計算平臺檢測方法,其特征在于,所述防范接口管腳物理攻擊檢測包括 (1)電路檢測應(yīng)用MCU復(fù)位電路中物理量; (2)電路檢測通信接口中物理量變化; (3)應(yīng)用MCU和可信芯片間連接有膠覆蓋/BGA封裝,用于安全集成時強制要求; (4)根據(jù)應(yīng)用MCU的Boot執(zhí)行情況,進(jìn)行度量。
【文檔編號】G05B23/02GK103760892SQ201410031242
【公開日】2014年4月30日 申請日期:2014年1月23日 優(yōu)先權(quán)日:2014年1月23日
【發(fā)明者】王志皓, 趙保華, 劉楷, 顏立, 孫歆 申請人:國家電網(wǎng)公司, 中國電力科學(xué)研究院, 國網(wǎng)浙江省電力公司