[发明专利]一种基于TrustZone的物联网终端进程完整性度量方法

权利要求书

1.一种基于TrustZone的物联网终端进程完整性度量方法，其特征在于：所述方法依次包括以下步骤：

(1)离线信息采集：

在物联网终端开发阶段，将与物联网终端业务逻辑相关的可执行文件的代码段以页为单位划分，计算每个页的哈希值作为度量结果保存于认证服务器，作为系统运行阶段验证进程完整性的参考值；物联网终端是基于Linux OS的,可执行文件指的是与物联网终端业务逻辑相关的可执行程序，程序头表Program Header Table是可执行文件中用以描述可执行文件到进程地址空间映射关系的一个数组结构，通过解析程序头表定位代码段；LinuxOS的页大小为4KB，哈希算法使用SHA256算法；

(2)进程完整性度量：

利用TrustZone的软件隔离机制，系统在运行时分为安全环境与普通环境，安全环境的度量模块采用轮询机制从内存中读取普通环境每个进程代码段的内存页，并以离线信息采集阶段同样的方法计算这些内存页的哈希值，获得进程完整性度量结果；安全环境负责度量普通环境中的业务逻辑程序并且将度量结果加密，其完整性由TrustZone的软件隔离机制保证，系统业务逻辑相关的程序在普通环境中运行；安全环境通过线性地址转换和页表的方式获得普通环境中进程代码段的内存页；

(3)进程完整性证明：

在进程完整性度量结束后，安全环境的度量模块将度量结果用远程证明密钥加密后，通过普通环境的数据转发模块发送给认证服务器，由认证服务器验证进程的完整性；远程证明密钥为对称密钥，用于加密步骤(2)中获得的度量结果，该密钥的安全性由CAAM(Cryptographic Acceleration And Assurance Module)硬件保护，加密后的度量结果由安全环境发送至普通环境后，由普通环境发送至认证服务器；具体如下：

步骤1：可信物联网终端向验证模块请求Nonce，普通环境的数据转发模块与验证模块建立SSL加密连接，向验证模块请求一个Nonce后通过共享内存的方式将Nonce传递给安全环境的度量模块，度量模块将Nonce拷贝到安全环境的内存，

步骤2：度量模块读取第i个进程代码段的内存页，并计算获得进程的度量结果M_i；

步骤3：度量模块对远程证明信息加密，度量模块用可信启动远程证明阶段获得的远程证明密钥K对度量结果M_i和Nonce加密，得到密文E_i，E_i＝AES-128-CBC(Nonce||M_i,K)；

步骤4：度量模块通过共享内存的方式将密文E_i传递给普通环境的数据转发模块，度量模块根据当前进程task_struct结构体中的tasks成员，计算下一个进程task_struct结构体的物理地址，当tasks成员指向的下一个进程为0号进程时，即表明进程度量结束，转为步骤5，否则转为步骤2；

步骤5：数据转发模块将所有进程的密文集合E＝{E₁,E₂…E_n}，通过SSL加密连接发送给验证模块；

步骤6：验证模块用已保存的远程证明密钥解密所有进程的密文集合E＝{E₁,E₂…E_n}获得Nonce和每个进程的度量结果M_i，验证模块首先验证Nonce，在Nonce验证通过后，将度量结果M_i恢复成{进程名，页哈希}结构，然后通过哈希查找算法在哈希表中查找每个{进程名，页哈希}结构，如果可以找到，即证明当前内存页完整性验证通过；如果没有找到，则在哈希表中顺序查找当前{进程名，页哈希}结构中的进程名，如果进程名在哈希表中，则表明是内置程序被篡改，如果进程名不在哈希表中，则表明出现新的恶意程序，当且仅当所有进程的内存页都验证通过，才表明进程完整性验证通过。