專利名稱:基于tpm的嵌入式系統(tǒng)恢復(fù)機(jī)制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種嵌入式系統(tǒng),特別是涉及一種基于TPM (可信平臺(tái)模塊)的嵌入式系統(tǒng)。
背景技術(shù):
在計(jì)算機(jī)運(yùn)行環(huán)境中,"信任"是一個(gè)復(fù)雜的概念,所有操作的進(jìn)行過(guò)程和最終結(jié)果同合 法操作者所預(yù)期的是一致的時(shí)候,則可以認(rèn)為這個(gè)環(huán)境是可信的。在ISO/IEC 15408標(biāo)準(zhǔn)中, 有如下定義 一個(gè)可信的組件、操作或過(guò)程的行為在任意操作條件下,其流程和結(jié)果總是可 預(yù)測(cè)的,并能很好地抵御應(yīng)用程序異常、病毒,以及一定程度上的物理干擾造成的破壞。
可信計(jì)算組織TCG (Trusted Computing Group)致力于軟件安全性和具有安全、信任能力 的硬件運(yùn)算平臺(tái)的研究。TCG旨在跨平臺(tái)和操作系統(tǒng)的硬件組件和軟件接口方面,促進(jìn)與廠商 獨(dú)立的可信計(jì)算平臺(tái)工作標(biāo)準(zhǔn)的制定。到目前為止,TCG制定的規(guī)范涉及個(gè)人電腦、網(wǎng)絡(luò)、 移動(dòng)設(shè)備、軟件棧等多個(gè)方面,最新的版本為Version1.2。
TCG規(guī)范要求一個(gè)可信平臺(tái)至少要包含以下組件l.一個(gè)完整性測(cè)量的可信計(jì)算根(Root ofTrust for Measurement,簡(jiǎn)稱RTM); 2.—個(gè)具有完整性存儲(chǔ)和報(bào)告功能的可信根;3.—個(gè)可 信平臺(tái)度量存儲(chǔ);4.一個(gè)TCG確認(rèn)數(shù)據(jù)組件;5.—個(gè)可信平臺(tái)代理。
可信計(jì)算根包含一個(gè)核心組件,核心和計(jì)算引擎以及其他對(duì)象是物理鏈接??尚鸥仨?能提供對(duì)自身以及連接電路的物理保護(hù),并能作為一個(gè)平臺(tái)系統(tǒng)的可信權(quán)威,提供身份認(rèn)證 保護(hù)、重要數(shù)據(jù)加密和訪問(wèn)控制服務(wù)。
從可信計(jì)算根開(kāi)始,所有測(cè)量過(guò)程中的信任都是可預(yù)料的,對(duì)于處于不適當(dāng)環(huán)境中的平 臺(tái),將否決其存取數(shù)據(jù)和運(yùn)行程序的權(quán)利??尚庞?jì)算根包含很多組件來(lái)提供這種水平的信任。
可信計(jì)算根測(cè)量某些平臺(tái)特性,將測(cè)量數(shù)據(jù)記錄入測(cè)量存儲(chǔ)日記,并將最終的結(jié)果存入 TPM (Trust Platform Module,即可信平臺(tái)模塊,包含有可信計(jì)算根、可信存儲(chǔ)根和可信報(bào)告 根三類可信根)。
總線仲裁技術(shù)即對(duì)總線使用權(quán)進(jìn)行裁決的技術(shù)。掛接在總線上的多個(gè)部件通過(guò)總線來(lái)進(jìn) 行通訊,當(dāng)不同設(shè)備同時(shí)產(chǎn)生傳輸請(qǐng)求時(shí),就會(huì)產(chǎn)生總線使用沖突。為了能使各部件可以有 效使用總線,必須對(duì)總線的使用權(quán)進(jìn)行裁決,判斷總線的使用權(quán)歸屬哪個(gè)設(shè)備,該部分由總 線仲裁技術(shù)實(shí)現(xiàn)。
現(xiàn)有的系統(tǒng)恢復(fù)技術(shù)一般分為兩類, 一類是基于網(wǎng)絡(luò)的多終端互聯(lián)冗余恢復(fù)方式,即利 用遠(yuǎn)程服務(wù)器完成系統(tǒng)恢復(fù);另一類是單個(gè)終端非受保護(hù)的軟件冗余恢復(fù)方式。
對(duì)于單個(gè)計(jì)算機(jī)終端系統(tǒng),始終缺乏一種安全、可靠的系統(tǒng)恢復(fù)機(jī)制。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種基于TPM的嵌入式系統(tǒng)恢復(fù)機(jī)制,該系統(tǒng)符合
TCG規(guī)范,結(jié)構(gòu)簡(jiǎn)單,能提供一種安全、可靠的系統(tǒng)恢復(fù)機(jī)制。
本發(fā)明的內(nèi)容是基于TPM的嵌入式系統(tǒng)恢復(fù)機(jī)制包括嵌入式平臺(tái)、TPM、非受保護(hù)存儲(chǔ)器,還包括備份存儲(chǔ)器和總線仲裁器,嵌入式平臺(tái)、TPM、備份存儲(chǔ)器和外部工作用存儲(chǔ)器均 和總線仲裁器相連。
其安全啟動(dòng)方法為
1) 在嵌入式系統(tǒng)上電后,TPM通過(guò)總線仲裁器獲取總線控制權(quán),暫時(shí)不允許嵌入式平臺(tái) 的CPU讀取非受保護(hù)存儲(chǔ)器中的啟動(dòng)引導(dǎo)程序和操作系統(tǒng)。
2) TPM發(fā)出信號(hào),讀取非受保護(hù)存儲(chǔ)器中的引導(dǎo)程序代碼及操作系統(tǒng)代碼,由TPM進(jìn)行 完整性校驗(yàn),TPM對(duì)該校驗(yàn)的結(jié)果進(jìn)行比對(duì),如果比對(duì)結(jié)果一致,跳轉(zhuǎn)到5),如果結(jié)果不一 致,則轉(zhuǎn)至步驟3)。
3) TPM對(duì)總線仲裁器發(fā)出命令,從備份存儲(chǔ)器中讀取備份的內(nèi)容,然后將數(shù)據(jù)經(jīng)過(guò)總線 仲裁器寫(xiě)入非受保護(hù)存儲(chǔ)器。
4) 若步驟3)的操作完成,TPM在設(shè)定的等待時(shí)間內(nèi)等待到恢復(fù)成功信號(hào)后,繼續(xù)對(duì)非 受保護(hù)存儲(chǔ)器中的內(nèi)容進(jìn)行完整性校驗(yàn),若檢驗(yàn)不成功,轉(zhuǎn)至步驟6),否則轉(zhuǎn)至步驟5);若 步驟3)操作未能成功,或TPM未在設(shè)定的等待時(shí)間內(nèi)等待到恢復(fù)成功信號(hào),也轉(zhuǎn)至步驟6)。
5) TPM發(fā)出控制信號(hào)給總線仲裁器,將總線使用權(quán)移交給嵌入式平臺(tái)的CPU,嵌入式平 臺(tái)先后讀取啟動(dòng)引導(dǎo)程序和操作系統(tǒng),執(zhí)行并啟動(dòng)。
6) 啟動(dòng)不成功,TPM發(fā)出啟動(dòng)不成功命令,系統(tǒng)無(wú)法正常啟動(dòng),轉(zhuǎn)異常處理。 本發(fā)明的優(yōu)點(diǎn)是
1) 在本發(fā)明中,備份數(shù)據(jù)文件是保存在受TPM保護(hù)的存儲(chǔ)器中,不能被更改,因此備份 數(shù)據(jù)在硬件層上與外部工作用的非受保護(hù)存儲(chǔ)器相隔離,整個(gè)系統(tǒng)的安全強(qiáng)度等價(jià)于TPM的安 全強(qiáng)度,可以更好地防止攻擊者的惡意篡改和破壞。
2) 因?yàn)橛脩糁匾獢?shù)據(jù)由TPM進(jìn)行安全存儲(chǔ),在進(jìn)行系統(tǒng)恢復(fù)后,用戶數(shù)據(jù)仍能被正常加 載和使用。
3) 在本發(fā)明中,系統(tǒng)恢復(fù)機(jī)制的運(yùn)行對(duì)用戶透明,即使用戶失去系統(tǒng)的物理?yè)碛袡?quán),恢 復(fù)機(jī)制仍然能有效運(yùn)行,能夠防止用戶信息的泄露。
本發(fā)明不是停留在軟件層面上的技術(shù),而是在硬件上、通過(guò)系統(tǒng)結(jié)構(gòu)的安全性改進(jìn)來(lái)完 成系統(tǒng)恢復(fù),能夠可以更好的保證系統(tǒng)的安全可信性。
圖l本發(fā)明的結(jié)構(gòu)框圖。
圖2是本發(fā)明的流程圖。
具體實(shí)施例方式
本發(fā)明公開(kāi)了一種基于TPM和總線仲裁技術(shù)的單終端嵌入式系統(tǒng)恢復(fù)機(jī)制。該嵌入式系 統(tǒng)包括嵌入式平臺(tái)、TPM、非受保護(hù)存儲(chǔ)器,還包括備份存儲(chǔ)器和總線仲裁器,嵌入式平臺(tái)、 TPM、備份存儲(chǔ)器和外部工作用存儲(chǔ)器均和總線仲裁器相連。備份存儲(chǔ)器可位于TPM內(nèi)部,是 TPM的內(nèi)部擴(kuò)展模塊。
非受保護(hù)存儲(chǔ)器中保存有嵌入式系統(tǒng)啟動(dòng)引導(dǎo)程序和操作系統(tǒng)。備份存儲(chǔ)器受到了保護(hù), 保存?zhèn)浞莸膯?dòng)引導(dǎo)程序和操作系統(tǒng),備份內(nèi)容不允許修改。在非受保護(hù)存儲(chǔ)器中的內(nèi)容被惡意破壞或修改后,可以使用備份存儲(chǔ)器實(shí)施系統(tǒng)恢復(fù)。
其中,總線仲裁器是總線仲裁技術(shù)的實(shí)現(xiàn),功能是進(jìn)行總線使用權(quán)的切換,總線仲裁器 的控制權(quán)始終由TPM持有。外部工作用存儲(chǔ)器處于TPM的保護(hù)邊界之外,所以也成為非受保 護(hù)存儲(chǔ)器,它有可能受到篡改等惡意攻擊。受保護(hù)的存儲(chǔ)器位于TPM保護(hù)邊界內(nèi),作為備份 存儲(chǔ)設(shè)備。
該機(jī)制運(yùn)行的流程是
1) 系統(tǒng)上電
在嵌入式系統(tǒng)上電后,TPM通過(guò)總線仲裁器獲取總線控制權(quán),暫時(shí)不允許嵌入式平臺(tái)CPU 讀取非受保護(hù)存儲(chǔ)器中的啟動(dòng)引導(dǎo)程序和操作系統(tǒng)。
2) 非受保護(hù)存儲(chǔ)器的完整性校驗(yàn)
TPM發(fā)出信號(hào),讀取非受保護(hù)存儲(chǔ)器中的引導(dǎo)程序代碼及操作系統(tǒng)代碼,由TPM進(jìn)行完 整性校驗(yàn),TPM對(duì)該校驗(yàn)的結(jié)果進(jìn)行比對(duì),如果比對(duì)結(jié)果一致,跳轉(zhuǎn)到5),如果結(jié)果不一致, 則轉(zhuǎn)至步驟3)。
3) 系統(tǒng)恢復(fù)
TPM對(duì)總線仲裁器發(fā)出命令,從備份存儲(chǔ)器中讀取備份的內(nèi)容,然后將數(shù)據(jù)經(jīng)過(guò)總線仲 裁器寫(xiě)入非受保護(hù)存儲(chǔ)器。
4) 進(jìn)一步的完整性檢驗(yàn)
若步驟3)的操作完成,TPM在設(shè)定的等待時(shí)間內(nèi)等待到恢復(fù)成功信號(hào)后,繼續(xù)對(duì)非受保 護(hù)存儲(chǔ)器中的內(nèi)容進(jìn)行完整性校驗(yàn),若檢驗(yàn)不成功,返回到步驟6),否則轉(zhuǎn)至步驟5)。若步 驟3)操作未能成功,或TPM未在設(shè)定的等待時(shí)間內(nèi)等待到恢復(fù)成功信號(hào),也轉(zhuǎn)至步驟6)
5) 可信嵌入式系統(tǒng)正常啟動(dòng)
TPM發(fā)出控制信號(hào)給總線仲裁器,將總線使用權(quán)移交給嵌入式平臺(tái)的CPU。嵌入式平臺(tái) 先后讀取啟動(dòng)引導(dǎo)程序和操作系統(tǒng),執(zhí)行并啟動(dòng)。
6) 啟動(dòng)不成功的處理
啟動(dòng)不成功,TPM發(fā)出啟動(dòng)不成功命令。系統(tǒng)無(wú)法正常啟動(dòng),轉(zhuǎn)異常處理。
權(quán)利要求
1.基于TPM的嵌入式系統(tǒng)恢復(fù)機(jī)制,包括嵌入式平臺(tái)、TPM、非受保護(hù)存儲(chǔ)器,其特征是還包括備份存儲(chǔ)器和總線仲裁器,嵌入式平臺(tái)、TPM、備份存儲(chǔ)器和外部工作用存儲(chǔ)器均和總線仲裁器相連。
2. 如權(quán)利要求1所述的基于TPM的嵌入式系統(tǒng)恢復(fù)機(jī)制,其特征是備份存儲(chǔ)器位于TPM 內(nèi)部,作為T(mén)PM的內(nèi)部擴(kuò)展模塊。
3. 如權(quán)利要求1或2所述的基于TPM的嵌入式系統(tǒng)恢復(fù)機(jī)制,其特征是其安全啟動(dòng)方法為1) 在嵌入式系統(tǒng)上電后,TPM通過(guò)總線仲裁器獲取總線控制權(quán),暫時(shí)不允許嵌入式平臺(tái) 的CPU讀取非受保護(hù)存儲(chǔ)器中的啟動(dòng)引導(dǎo)程序和操作系統(tǒng);2) TPM發(fā)出信號(hào),讀取非受保護(hù)存儲(chǔ)器中的引導(dǎo)程序代碼及操作系統(tǒng)代碼,由TPM進(jìn)行 完整性校驗(yàn),TPM對(duì)該校驗(yàn)的結(jié)果進(jìn)行比對(duì),如果比對(duì)結(jié)果一致,跳轉(zhuǎn)到5),如果結(jié)果不一 致,則轉(zhuǎn)至歩驟3);3) TPM對(duì)總線仲裁器發(fā)出命令,從備份存儲(chǔ)器中讀取備份的內(nèi)容,然后將數(shù)據(jù)經(jīng)過(guò)總線 仲裁器寫(xiě)入非受保護(hù)存儲(chǔ)器;4) 若步驟3)的操作完成,TPM在設(shè)定的等待時(shí)間內(nèi)等待到恢復(fù)成功信號(hào)后,繼續(xù)對(duì)非 受保護(hù)存儲(chǔ)器中的內(nèi)容進(jìn)行完整性校驗(yàn),若檢驗(yàn)不成功,轉(zhuǎn)至步驟6),否則轉(zhuǎn)至步驟5);若 步驟3)操作未能成功,或TPM未在設(shè)定的等待時(shí)間內(nèi)等待到恢復(fù)成功信號(hào),也轉(zhuǎn)至步驟6);5) TPM發(fā)出控制信號(hào)給總線仲裁器,將總線使用權(quán)移交給嵌入式平臺(tái)的CPU,嵌入式平 臺(tái)先后讀取啟動(dòng)引導(dǎo)程序和操作系統(tǒng),執(zhí)行并啟動(dòng);6) 啟動(dòng)不成功,TPM發(fā)出啟動(dòng)不成功命令,系統(tǒng)無(wú)法正常啟動(dòng),轉(zhuǎn)異常處理。
全文摘要
本發(fā)明提供了一種基于TPM的嵌入式系統(tǒng)恢復(fù)機(jī)制。該嵌入式系統(tǒng)包括嵌入式平臺(tái)、TPM、非受保護(hù)存儲(chǔ)器,還包括備份存儲(chǔ)器和總線仲裁器,嵌入式平臺(tái)、TPM、備份存儲(chǔ)器和外部工作用存儲(chǔ)器均和總線仲裁器相連。本發(fā)明在硬件上,通過(guò)系統(tǒng)結(jié)構(gòu)的安全性改進(jìn)來(lái)完成系統(tǒng)恢復(fù),可以更好的保證系統(tǒng)的安全可信性。
文檔編號(hào)G06F21/00GK101303716SQ200810048329
公開(kāi)日2008年11月12日 申請(qǐng)日期2008年7月8日 優(yōu)先權(quán)日2008年7月8日
發(fā)明者偉 宋, 張煥國(guó), 戰(zhàn)東元, 晶 李, 泉 熊, 波 趙, 鵬 鄭, 韓碧霞 申請(qǐng)人:武漢大學(xué)