[发明专利]一种基于TrustZone的物联网终端进程完整性度量方法

说明书

本发明公开一种基于TrustZone的物联网终端进程完整性度量方法，该方法用于度量物联网终端在运行阶段系统的完整性。在物联网终端开发阶段，将业务逻辑相关的可执行文件的代码段以页为单位划分，计算每个页的哈希值作为度量结果保存于认证服务器，作为系统运行阶段验证进程完整性的参考值。利用TrustZone的软件隔离机制，系统分为安全环境与普通环境，安全环境的度量模块采用轮询机制从内存中读取普通环境每个进程代码段的内存页，以同样的方法计算这些内存页的哈希值，获得进程完整性度量结果。安全环境的度量模块将度量结果用远程证明秘钥加密后，通过普通环境的数据转发模块发送给认证服务器，由认证服务器验证进程的完整性。

技术领域

本发明属于物联网智能终端安全领域，具体涉及在运行期间的一种基于TrustZone的物联网终端进程完整性度量方法。

背景技术

物联网在不同行业的广泛普及，促进了万物互联新时代的到来。但是，由于物联网安全标准滞后，物联网终端制造、集成或运营商缺乏安全意识和投入，以及用户的信息安全意识薄弱，使得物联网终端成为黑客的重点攻击目标。

在物联网终端系统启动后，攻击者会通过注入、修改程序代码等手段攻击运行时系统，这些攻击最终都将传递到程序执行阶段，并对系统造成实质性危害。通过程序执行阶段的完整性验证，可以覆盖上述针对运行时系统的攻击。因此，迫切的需要一种新的方案解决上述技术问题。

发明内容

本发明的目的在于解决现有技术中存在的不足，在支持TrustZone的开发板上提供基于内存分页机制的物联网终端进程完整性度量方法，保证物联网终端运行时系统的完整性。

为了实现上述目的，本发明的技术方案如下：本发明所述的一种基于内存分页机制的进程完整性度量方法，依次包括以下步骤：

(1)离线信息采集

在物联网终端开发阶段，将与物联网终端业务逻辑相关的可执行文件的代码段以页为单位划分，计算每个页的哈希值作为度量结果保存于认证服务器，作为系统运行阶段验证进程完整性的参考值；

(2)进程完整性度量

利用TrustZone的软件隔离机制，系统在运行时分为安全环境与普通环境。安全环境的度量模块采用轮询机制从内存中读取普通环境每个进程代码段的内存页，并以离线采集信息阶段同样的方法计算这些内存页的哈希值，获得进程完整性度量结果；

(3)进程完整性证明

在进程完整性度量结束后，安全环境的度量模块将度量结果用远程证明秘钥加密后，通过普通环境的数据转发模块发送给认证服务器，由认证服务器验证进程的完整性。

在步骤(1)中，物联网终端是基于Linux OS的，可执行文件指的是与物联网终端业务逻辑相关的可执行程序，程序头表(Program Header Table)是可执行文件中用以描述可执行文件到进程地址空间映射关系的一个数据结构，通过解析程序头表定位代码段，本发明中Linux OS的页大小为4KB，哈希算法使用SHA256算法。

在步骤(2)中，安全环境负责度量普通环境中的业务逻辑程序并且将度量结果加密，其完整性由TrustZone的软件隔离机制保证，；系统业务逻辑相关的程序在普通环境中运行，安全环境通过线性地址转换和页表的方式获得普通环境中进程代码段的内存页。

在步骤(3)中，远程证明秘钥为对称秘钥，用于加密步骤(2)中获得的度量结果，该秘钥的安全性由CAAM(Cryptographic Acceleration And Assurance Module)硬件保护。加密后的度量结果由安全环境发送至普通环境后，由普通环境发送至认证服务器。

与现有技术相比，本发明具有以下优点：