技術領域

本發(fā)明涉及一種動態(tài)可信度量方法及安全嵌入式系統(tǒng)，屬于工業(yè)控制安全技術領域。

背景技術

??一直以來，信息安全的主要技術是防火墻、入侵檢測和殺毒軟件。傳統(tǒng)的這三種信息安全技術是以“防外”為重點，與目前的信息安全問題主要源自內(nèi)部（用戶行為等）的實際情況不相適應,尤其是工業(yè)控制系統(tǒng)，其更嚴重的攻擊來自內(nèi)部物理層的攻擊，傳統(tǒng)的信息安全手段對這類攻擊的預防已無能為力；另外，人們應對信息安全問題的注意力主要集中在對服務器和網(wǎng)絡設備的保護上，都是被動的封堵的辦法，忽略了對終端的主動的保護，這就造成了執(zhí)行代碼的可被修改，病毒程序的可被植入并運行；超級用戶權限的可被竊取；私密信息的可被讀取等漏洞。而近年來，嵌入式系統(tǒng)被廣泛應用在工業(yè)領域中，但是嵌入式系統(tǒng)在最初的設計時沒有過多地考慮其安全特性，使得現(xiàn)有的安全方案大多基于軟件，缺乏硬件層面的支持。

因此，越來越多的研究開始轉(zhuǎn)向基于硬件的安全方案，其中，比較多的是在硬件平臺上引入安全芯片（可信平臺模塊TPM）來提高終端系統(tǒng)的安全性，即可信計算技術。可信嵌入式系統(tǒng)設計的目標是使系統(tǒng)運行的各種固件和軟件具有可信賴性，全子系統(tǒng)從一個硬件組成的信任根源開始，從系統(tǒng)上電到操作系統(tǒng)上層軟件的運行形成信任鏈，每一個環(huán)節(jié)都具有完整性檢測、存儲保護和狀態(tài)報告等機制，以確保系統(tǒng)運行的軟件實體在該環(huán)節(jié)中不被非法改變。

現(xiàn)有的TCG（可信計算組織）度量方法僅提供程序裝載時的度量，不能響應實時運行攻擊。現(xiàn)在有不少研究機構和大學對可信度量技術進行了研究，從多個角度對可信度量進行探索，如IMA度量架構、基于信息流的度量（PRIMA）。IMA在操作系統(tǒng)載入到內(nèi)存時，對程序文件進行度量，但由于它在系統(tǒng)調(diào)用中插入了度量點，因而會產(chǎn)生大量冗余；PRIMA對此進行了改進，與SELinux結(jié)合，使用了策略規(guī)約的方法減少了冗余度，但IMA和PRIMA從本質(zhì)說，仍然是靜態(tài)度量系統(tǒng)；LKIM等人研究基于內(nèi)核的上下文檢查的度量方法，它采用靜態(tài)度量加上狀態(tài)變量的方式，但并沒有實現(xiàn)真正的動態(tài)度量，而且它度量針對的linux內(nèi)核，對普通的進程無能為力；基于屬性的度量不同于此前基于二進制的度量，其度量方式不再是對被度量對象的二進制代碼進行哈希運算得到的摘要，而是確定被度量對象是否滿足需要的安全屬性，但缺點是，屬性一般依賴于應用程序和其運行環(huán)境，可擴展性比較差。這些方法要求監(jiān)測的應用程序的源代碼被限定在特定的運行環(huán)境中，在動態(tài)性和實時性方面都有很大缺陷，缺乏靈活性，不能有效阻止或探測實時攻擊。

????目前大多數(shù)商用操作系統(tǒng)將內(nèi)核程序設計成擁有超級用戶權限，而且內(nèi)核程序使用共享線性內(nèi)存以便提高系統(tǒng)效率，這導致了僅僅提供軟件加載驗證的TCG結(jié)構容易遭受TOCTOU攻擊，該攻擊利用程序度量和程序使用這個時間差，對程序的內(nèi)存進行篡改，導致TPM所提供的平臺信息無法反映出實際的運行情況（采用內(nèi)存監(jiān)控機制，發(fā)現(xiàn)內(nèi)存被修改，攻擊事件記錄，通知度量模塊進行響應）。目前出現(xiàn)了一種新的實時攻擊，即被稱為返回導向編程攻擊技術，它不需要注入新的代碼，而是使用已經(jīng)存在進程內(nèi)存空間的代碼；這種新的攻擊能夠覆蓋堆棧中的返回地址，指向程序或系統(tǒng)庫中的現(xiàn)有的代碼片段，現(xiàn)有的保護機制如數(shù)據(jù)執(zhí)行保護（DEP）已經(jīng)無能為力。這些實時攻擊使得信息系統(tǒng)面臨這極大的威脅，特別是工業(yè)控制系統(tǒng)，這些攻擊可能造成更嚴重的財產(chǎn)和生命安全，目前還沒有完善的解決方案。

發(fā)明內(nèi)容

本發(fā)明的目的在于，提供一種動態(tài)可信度量方法及安全嵌入式系統(tǒng)，能有效地探測和防御復雜實時攻擊。并且能夠主動探測和防御內(nèi)部物理層的攻擊，實現(xiàn)安全嵌入式系統(tǒng)平臺。

為解決上述技術問題，本發(fā)明采用如下的技術方案：一種動態(tài)可信度量方法，包括以下步驟：

S1，硬件層通過TPM芯片和傳統(tǒng)硬件重新設計可信BIOS，信任鏈從TPM安全芯片、可信BIOS、可信OS內(nèi)核、嵌入式軟件棧傳遞到應用程序，實現(xiàn)動態(tài)可信度量模塊DTM的可信啟動；也可以將CRTM（CRTM是平臺執(zhí)行RTM的執(zhí)行代碼，在一個可信平臺中有三個可信根：度量可信根RTM、存儲可信根RTS、報告可信根RTR）集成到TPM中，使得CRTM不直接與嵌入式設備的主處理器進行交互，避免了平臺異構性對CRTM帶來的影響；