[发明专利]一种基于嵌入式信任根的智能设备安全代码更新方法

说明书

本发明公开了一种基于嵌入式信任根的智能设备安全代码更新方法，包括安全擦除：基于信任根密钥派生的伪随机数在更新前对智能设备可疑空间进行清理，确保更新前的安全；采用现代智能设备上普遍存在的硬件构建嵌入式信任根，为嵌入式系统维护一个小的可信执行环境和安全存储空间，确保更新时的安全；对更新代码安装后的嵌入式智能设备系统环境进行完整性证明，确保更新后的安全。本发明借鉴嵌入式信任根、安全擦除和远程证明技术，为嵌入式智能设备提供一个涵盖更新前、更新时和更新后全方位保护的安全代码更新方法。

技术领域

本发明属于可信物联网和嵌入式系统安全领域，具体涉及一种基于嵌入式信任根的智能设备安全代码更新方法。

背景技术

随着物联网、工业4.0、工业互联网的不断发展，各种各样的嵌入式智能设备已经被广泛应用到现实世界的各种场景中，如工业控制系统、智能家居、无线传感网等。但是，由于这些嵌入式智能设备缺少传统桌面机器的安全机制，容易遭受攻击。在很多情况下，存在漏洞或者被攻击的设备通常需要被召回，给设备厂商带来巨大的经济损失。例如，Dyn DNSDDoS攻击感染了大量物联网设备僵尸节点，很多存在该问题的网络摄像头都被厂家收回；随着无人驾驶技术的发展，汽车上也会被配置各种嵌入式传感器和智能功能，这也导致汽车漏洞和安全风险的增加，被召回的几率也更高。由于嵌入式智能设备深入各行各业，而且在很多场景是大规模部署，出现安全问题被召回的成本是厂家难以承受的。

为此，代码更新技术被提出，其可以远程修复嵌入式智能设备存在的漏洞，还可以远程增加新的特征或者系统功能，开启某个安全功能，禁用某个设备产品的脆弱性功能等，提升智能设备在其生命周期使用中的安全性和灵活性，降低返厂或者召回的经济损失，通过远程方式解决大部分设备存在的功能或者安全问题。但是，如果代码更新技术本身存在安全问题，其会被攻击者利用来破坏嵌入式智能设备的安全性，违背其设计初衷。

因此，为了设计安全可用的代码更新方法，需要深入考虑代码更新技术本身的安全性。代码更新并不只是简单的将最新版本的固件或者软件代码下载到智能嵌入式设备上，还应该考虑代码更新的各种安全属性，如新鲜性、完整性、认证性、机密性、可验证性、可恢复性、持续性等。于是，一些研究学者开始考虑部分安全属性，设计安全代码更新机制。2010年Perito等学者提出了PoSE(Proofs of Secure Erasure)的安全代码更新方案，在将安全代码下载到嵌入式智能设备之前，先通过安全擦除的方式在设备上创造一个纯净的环境；2016年Kohnhauser等学者基于硬件安全免疫环境和公钥密码算法为低端嵌入式设备设计了一个安全代码更新机制。

虽然这些方案能满足大部分安全属性，但存在明显的缺点：首先，它们依赖的硬件安全免疫环境在嵌入式智能设备上不一定存在，不具有普适性；其次，嵌入式智能设备可以利用的软硬件资源受限，使用公钥密码算法带来的性能和存储开销对很多嵌入式设备无法接受；第三，PoSE需要通过网络发送大量伪随机值对嵌入式智能设备多余内存空间进行填充，以擦除潜在的恶意代码，其造成的网络流量开销几乎无法应用于实际场景；最后，它们提供的安全机制通常只考虑了安全代码更新的一个部分，缺乏对整体更新流程的系统性安全构建。因此，需要考虑嵌入式设备本身软硬件环境的特性，设计更加实际可用的安全代码更新方法，满足更新前、更新时和更新后的更加完整和系统的安全代码更新要求。

发明内容

本发明的目的在于提供一种基于嵌入式信任根的智能设备安全代码更新方法，涵盖更新前、更新时和更新后全方位保护。安全擦除基于信任根密钥派生的伪随机数在更新前对智能设备可疑空间进行清理，确保更新前的安全；本发明解决了嵌入式物联网设备的信任问题，创新性地提出了一种在嵌入式设备上的安全代码更新方法，能够阻止不受信任方在设备代码更新时对嵌入式设备进行破坏。

本发明的目的通过以下技术方案实现：

一种基于嵌入式信任根的智能设备安全代码更新方法，其特征在于包括以下步骤：

(1)安全擦除：基于信任根密钥派生的伪随机数在更新前对智能设备可疑空间进行清理，确保更新前的安全；