[发明专利]一种动态可信度量方法及安全嵌入式系统

说明书

技术领域

本发明涉及一种动态可信度量方法及安全嵌入式系统，属于工业控制安全技术领域。

背景技术

  一直以来，信息安全的主要技术是防火墙、入侵检测和杀毒软件。传统的这三种信息安全技术是以“防外”为重点，与目前的信息安全问题主要源自内部（用户行为等）的实际情况不相适应,尤其是工业控制系统，其更严重的攻击来自内部物理层的攻击，传统的信息安全手段对这类攻击的预防已无能为力；另外，人们应对信息安全问题的注意力主要集中在对服务器和网络设备的保护上，都是被动的封堵的办法，忽略了对终端的主动的保护，这就造成了执行代码的可被修改，病毒程序的可被植入并运行；超级用户权限的可被窃取；私密信息的可被读取等漏洞。而近年来，嵌入式系统被广泛应用在工业领域中，但是嵌入式系统在最初的设计时没有过多地考虑其安全特性，使得现有的安全方案大多基于软件，缺乏硬件层面的支持。

因此，越来越多的研究开始转向基于硬件的安全方案，其中，比较多的是在硬件平台上引入安全芯片（可信平台模块TPM）来提高终端系统的安全性，即可信计算技术。可信嵌入式系统设计的目标是使系统运行的各种固件和软件具有可信赖性，全子系统从一个硬件组成的信任根源开始，从系统上电到操作系统上层软件的运行形成信任链，每一个环节都具有完整性检测、存储保护和状态报告等机制，以确保系统运行的软件实体在该环节中不被非法改变。

现有的TCG（可信计算组织）度量方法仅提供程序装载时的度量，不能响应实时运行攻击。现在有不少研究机构和大学对可信度量技术进行了研究，从多个角度对可信度量进行探索，如IMA度量架构、基于信息流的度量（PRIMA）。IMA在操作系统载入到内存时，对程序文件进行度量，但由于它在系统调用中插入了度量点，因而会产生大量冗余；PRIMA对此进行了改进，与SELinux结合，使用了策略规约的方法减少了冗余度，但IMA和PRIMA从本质说，仍然是静态度量系统；LKIM等人研究基于内核的上下文检查的度量方法，它采用静态度量加上状态变量的方式，但并没有实现真正的动态度量，而且它度量针对的linux内核，对普通的进程无能为力；基于属性的度量不同于此前基于二进制的度量，其度量方式不再是对被度量对象的二进制代码进行哈希运算得到的摘要，而是确定被度量对象是否满足需要的安全属性，但缺点是，属性一般依赖于应用程序和其运行环境，可扩展性比较差。这些方法要求监测的应用程序的源代码被限定在特定的运行环境中，在动态性和实时性方面都有很大缺陷，缺乏灵活性，不能有效阻止或探测实时攻击。

    目前大多数商用操作系统将内核程序设计成拥有超级用户权限，而且内核程序使用共享线性内存以便提高系统效率，这导致了仅仅提供软件加载验证的TCG结构容易遭受TOCTOU攻击，该攻击利用程序度量和程序使用这个时间差，对程序的内存进行篡改，导致TPM所提供的平台信息无法反映出实际的运行情况（采用内存监控机制，发现内存被修改，攻击事件记录，通知度量模块进行响应）。目前出现了一种新的实时攻击，即被称为返回导向编程攻击技术，它不需要注入新的代码，而是使用已经存在进程内存空间的代码；这种新的攻击能够覆盖堆栈中的返回地址，指向程序或系统库中的现有的代码片段，现有的保护机制如数据执行保护（DEP）已经无能为力。这些实时攻击使得信息系统面临这极大的威胁，特别是工业控制系统，这些攻击可能造成更严重的财产和生命安全，目前还没有完善的解决方案。

发明内容

本发明的目的在于，提供一种动态可信度量方法及安全嵌入式系统，能有效地探测和防御复杂实时攻击。并且能够主动探测和防御内部物理层的攻击，实现安全嵌入式系统平台。

为解决上述技术问题，本发明采用如下的技术方案：一种动态可信度量方法，包括以下步骤：

S1，硬件层通过TPM芯片和传统硬件重新设计可信BIOS，信任链从TPM安全芯片、可信BIOS、可信OS内核、嵌入式软件栈传递到应用程序，实现动态可信度量模块DTM的可信启动；也可以将CRTM（CRTM是平台执行RTM的执行代码，在一个可信平台中有三个可信根：度量可信根RTM、存储可信根RTS、报告可信根RTR）集成到TPM中，使得CRTM不直接与嵌入式设备的主处理器进行交互，避免了平台异构性对CRTM带来的影响；