技術領域

本發明屬于數據安全技術領域，尤其涉及一種嵌入式車載數據采集終端。

背景技術

可信啟動和完整性度量是安全終端實現的關鍵部分，啟動加載程序是系統上電后最先開始運行的位置。為了保證可信啟動，啟動加載程序必須存放在只讀存儲器中，以防止惡意程序借助軟件漏洞對系統的啟動過程進行更改。

啟動加載程序是信任鏈的起點，其安全性關系到整個可信計算系統的安全，通常的做法是把整個啟動加載程序存放在在只讀存儲器中，這樣固然能保證信任鏈的起點不被破壞，但是當系統硬件平臺發生變動或軟件需要升級時，不得不更換或使用專用設備重寫ROM芯片，成本較高。

數據傳輸終端常常包含用戶的敏感信息，比如開機口令、用戶隱私、生物特征信息等，傳統的方案是使用軟件進行加密，使用一種加密算法和加密密鑰對用戶信息運算生成密文，將密鑰和密文存儲在Flash中。由于現代密碼技術公開化和標準化的特點，加密算法不是秘密，密鑰才是真正的秘密，而操作系統難免存在漏洞，攻擊者可以突破操作系統的限制獲取密鑰，因此單純的軟件方法不能保障密鑰的安全性。

終端具有強大的網絡連接、數據上傳、設備操控、遠程監控等功能，在授權操作方面，傳統方法是通過IP地址、MAC地址等信息確認遠程終端的身份，而這些身份極易被偽造，從而導致攻擊事件的發生。

發明內容

本發明提供了一種嵌入式車載數據采集終端，旨在解決目前數據傳輸終端中的整個啟動加載程序通常存放在在只讀存儲器中，當系統硬件平臺發生變動或軟件需要升級時，不得不更換或使用專用設備重寫ROM芯片，成本較高，以及傳統的數據傳輸終端是使用軟件進行加密，使用一種加密算法和加密密鑰對用戶信息運算生成密文，將密鑰和密文存儲在Flash中，而操作系統難免存在漏洞，攻擊者可突破操作系統的限制獲取密鑰，單純的軟件方法不能保障密鑰的安全性的問題。

本發明的目的在于提供一種嵌入式車載數據采集終端，該車載數據采集終端將TPM初始化代碼嵌入到啟動加載程序執行階段一的代碼，并存放于只讀存儲器(ROM)中，啟動加載程序的執行階段二的代碼存放于閃存(Flash)中，同時該車載數據采集終端使用TPM對密鑰進行密封，并綁定平臺配置信息操作。

進一步，車載數據采集終端從0x00地址處嚴格按照可信計算的流程進行加載和啟動，啟動加載程序階段一中的代碼只與CPU有關，只要CPU不更換，只讀存儲器中的ROM芯片就不需更換、重寫。

進一步，啟動加載程序階段一中的代碼會在TPM輔助下對階段二的代碼進行度量，同時階段二的代碼可在可信狀態下隨時更新。

進一步，平臺配置信息是TPM對啟動加載程序、操作系統內核、文件系統進行完整性度量生成的信息摘要，該信息摘要存放于TPM芯片內部的平臺配置寄存器(PCR)中，對TPM芯片的任何操作從外部無法獲取該信息摘要，此信息摘要僅供TPM芯片的內部使用。

進一步，當包括用戶信息、用戶口令在內的敏感信息需要加密時，對密鑰使用TPM進行密封，密封操作將該密鑰與啟動度量結果綁定。

進一步，若車載數據采集終端的操作系統正常啟動，TPM芯片中的PCR值與密封操作的綁定值相同，TPM芯片會對用戶信息進行解封并釋放出該密鑰，如果操作系統被非法篡改，則操作系統啟動后TPM會拒絕釋放密鑰。

進一步，該車載數據采集終端首先向服務器證明自己的身份，然后才建立連接。

進一步，在遠程證明通過的基礎上，服務器可通過車載數據采集終端對車輛進行遠程操控、查看車載視頻監控的操作。

進一步，所述的車載數據采集終端的可信引導過程-代碼度量過程為：

CPU從ROM的0x00地址處開始執行指令；

CPU在階段一代碼控制下，把階段二代碼讀入TPM芯片；

TPM將當前PCR值與階段二的代碼連接后執行SHA-1散列運算，結果存入PCR，此時的PCR值如果與預期相同，說明階段二代碼未被破壞，CPU控制權交給階段二代碼；

CPU在階段二代碼控制下，把當前PCR值與內核代碼連接；

對連接后的值執行SHA-1散列運算，結果存入PCR；此時的PCR值如果與預期相同，說明系統沒有被破壞，階段二代碼將控制權交給內核，操作系統內核引導完成；

第一次代碼度量由于內存未完全初始化，CPU沒有足夠的資執行SHA-1散列運算，此步驟由TPM完成；第二次度量時系統資源完全初始化，CPU能夠自主執行SHA-1散列運算；可信引導的關鍵在于，階段一代碼存儲于ROM中，無法更改，保證了系統嚴格按照信任鏈邊度量邊啟動。