本發(fā)明公開(kāi)了基于Trustzone的工業(yè)可信計(jì)算雙體系架構(gòu)實(shí)現(xiàn)方法，針對(duì)將敏感應(yīng)用放入TEE對(duì)可信計(jì)算基帶來(lái)負(fù)擔(dān)的問(wèn)題、無(wú)法協(xié)同TEE主動(dòng)執(zhí)行與其帶來(lái)的TEE過(guò)久占用CPU的問(wèn)題以及REE與TEE之間消息和數(shù)據(jù)傳遞帶來(lái)的性能問(wèn)題，基于Trustzone結(jié)構(gòu)設(shè)計(jì)了可信雙體系架構(gòu)。基于本發(fā)明設(shè)計(jì)的架構(gòu)，設(shè)計(jì)了動(dòng)態(tài)度量機(jī)制和反向回退檢測(cè)機(jī)制。動(dòng)態(tài)度量機(jī)制對(duì)敏感應(yīng)用進(jìn)行安全度量，保障其運(yùn)行時(shí)刻的安全。同時(shí)，設(shè)計(jì)安全世界中的監(jiān)控模塊定期度量移至內(nèi)核的功能模塊，驗(yàn)證為可信的內(nèi)核功能模塊度量普通世界用戶(hù)態(tài)的功能模塊，保障功能模塊提供服務(wù)的安全。反向回退機(jī)制實(shí)施攻擊后的響應(yīng)，改變一旦遭受攻擊就重啟整個(gè)系統(tǒng)的做法，提高系統(tǒng)效率，更適合工控設(shè)備。

技術(shù)領(lǐng)域

本發(fā)明設(shè)計(jì)可信計(jì)算雙體系架構(gòu)技術(shù)領(lǐng)域中一種基于Trustzone的工業(yè)可信計(jì)算雙體系架構(gòu)實(shí)現(xiàn)方法。

背景技術(shù)

隨著計(jì)算機(jī)與通信技術(shù)的快速發(fā)展，嵌入式系統(tǒng)已廣泛應(yīng)用于工業(yè)控制環(huán)境。基于ARM的工控設(shè)備中的一些關(guān)鍵操作，如密碼計(jì)算，增加了對(duì)安全執(zhí)行環(huán)境的需求。工控設(shè)備中的敏感應(yīng)用在運(yùn)行期間，經(jīng)常遭受攻擊者的攻擊，如篡改敏感應(yīng)用位于內(nèi)核空間中的代碼段，造成敏感數(shù)據(jù)的泄露或敏感應(yīng)用的異常。這些攻擊的出現(xiàn)，對(duì)工控設(shè)備的安全構(gòu)成了極大的威脅，一旦遭受便會(huì)產(chǎn)生十分嚴(yán)重的后果。然而，只依靠被動(dòng)防御的防火墻技術(shù)和基于流量分析、無(wú)法干預(yù)、可靠性低、無(wú)法保證驗(yàn)證模塊自身可信的入侵檢測(cè)技術(shù)不能夠解決上述威脅。

面對(duì)層出不窮的攻擊，Trustzone技術(shù)的出現(xiàn)，在一定程度上保障了系統(tǒng)的安全。Trustzone技術(shù)將執(zhí)行環(huán)境分為通用執(zhí)行環(huán)境(Rich Execution Environment,REE)和可信執(zhí)行環(huán)境(Trusted Execution Environment,TEE)，并實(shí)現(xiàn)了兩個(gè)執(zhí)行環(huán)境在邏輯上的隔離。REE實(shí)現(xiàn)正常系統(tǒng)功能的部分；TEE為REE中的硬件和軟件提供安全保護(hù)。TEE可主動(dòng)訪(fǎng)問(wèn)REE，為其中的硬件和軟件提供安全保護(hù)，例如，對(duì)普通世界進(jìn)行度量工作。REE無(wú)法訪(fǎng)問(wèn)TEE，因此相較普通的軟件完整性保護(hù)方法,安全優(yōu)先架構(gòu)中的安全機(jī)制在TEE中運(yùn)行,與REE隔離,所以REE中的攻擊無(wú)法繞過(guò)安全機(jī)制。一個(gè)計(jì)算機(jī)系統(tǒng)中保護(hù)機(jī)制的全體稱(chēng)為可信計(jì)算基(Trusted Computing Base,TCB)，它們共同負(fù)責(zé)實(shí)施一個(gè)安全策略。因此，在TEE中設(shè)置安全機(jī)制，實(shí)施安全策略，對(duì)REE中的應(yīng)用進(jìn)行主動(dòng)的度量工作，在一定程度上可保證應(yīng)用的安全。一旦安全機(jī)制發(fā)現(xiàn)有攻擊發(fā)生，則用控制策略對(duì)其進(jìn)行干預(yù)，從而保證REE的安全。

但是Trustzone技術(shù)存在如下的問(wèn)題：首先，一些安全設(shè)備基于安全需求，將敏感應(yīng)用放入TEE內(nèi)部，對(duì)TCB帶來(lái)的負(fù)擔(dān)。隨著置入TEE中敏感應(yīng)用的增多，TCB的規(guī)模也會(huì)增大。而且，由于TEE缺乏應(yīng)用正常運(yùn)行所需要的操作系統(tǒng)服務(wù)，無(wú)論是重新編寫(xiě)敏感應(yīng)用的代碼還是在TEE中集成這些服務(wù)，TCB無(wú)疑都會(huì)承擔(dān)極大的負(fù)荷。其次，無(wú)法協(xié)同TEE主動(dòng)去執(zhí)行安全服務(wù)與其造成的TEE過(guò)久占用CPU的問(wèn)題。已有的Trustzone基礎(chǔ)安全服務(wù)大多以被動(dòng)執(zhí)行，若要提供主動(dòng)運(yùn)行能力，需設(shè)計(jì)復(fù)雜的REE-TEE切換機(jī)制，為T(mén)EE設(shè)置更高的優(yōu)先級(jí)，減少被REE中斷干擾。但與此同時(shí)，會(huì)產(chǎn)生TEE過(guò)久占用CPU，影響REE中進(jìn)程正常運(yùn)行的問(wèn)題。此外，REE與TEE之間的消息與數(shù)據(jù)傳輸，會(huì)帶來(lái)一定的性能問(wèn)題。兩個(gè)執(zhí)行環(huán)境間消息傳輸需要經(jīng)歷世界切換，數(shù)據(jù)傳輸需要?jiǎng)?chuàng)建銷(xiāo)毀共享內(nèi)存。一次度量工作的進(jìn)行，需要進(jìn)行多次世界切換、創(chuàng)建銷(xiāo)毀共享內(nèi)存操作，無(wú)疑為系統(tǒng)增加了一定的負(fù)擔(dān)。

綜上所述，本發(fā)明基于Trustzone技術(shù)的雙體系架構(gòu)可滿(mǎn)足工控設(shè)備對(duì)安全的需求的思想，針對(duì)Trustzone現(xiàn)存在的問(wèn)題，改變了原有的雙體系架構(gòu)，提出了新的想法與思路。因此，本發(fā)明提出了基于Trustzone的工業(yè)可信計(jì)算雙體系架構(gòu)實(shí)現(xiàn)方法。

發(fā)明內(nèi)容