技术领域
[0001] 本
发明涉及可信技术领域,具体而言,涉及一种基于可信技术的应用加载方法及装置。
背景技术
[0002] 随着智能化和网络化技术在工业领域的普及,工业设备中的嵌入式控制
软件越来越复杂,也越来越庞大,而且暴露在网络上,不仅极易遭到攻击,也很有可能无法觉察到攻击或篡改,因此工业设备的嵌入式软件系统的安全隐患日益突出,尤其对关系到重要行业关键设备软件的威胁
风险极大。
[0003] 为了避免风险,目前的应对措施主要有:采用与外部物理隔离的内网系统,通过网关或
防火墙与外部隔离。
[0004] 物理隔离系统:该方法虽然能够避免网络攻击,但是也失去了从外网监控内网运行状态的便利,同时对来自网络内部的攻击无能为
力。
[0005] 网关隔离系统:网关隔离的效果不能保证完全杜绝,也同样对内部攻击毫无办法。
[0006] 基于上述的问题,亟需一种可以保证嵌入式控制软件在加载启动时的安全性的方法。
发明内容
[0007] 有鉴于此,本发明的目的在于提供一种基于可信技术的应用加载方法及装置。
[0008] 为了实现上述目的,本发明
实施例采用的技术方案如下:
[0009] 第一方面,本发明实施例提供一种基于可信技术的应用加载方法,应用于一工业设备嵌入式软件,包括:
[0010] 对嵌入系统启动加载程序进行安全校验;
[0011] 当所述嵌入系统启动加载程序校验成功时,通过所述嵌入系统启动加载程序调用可信量度程序对待加载应用程序进行校验;所述可信量度程序用于检测所述待加载应用程序是否被篡改;
[0012] 当所述待加载应用程序校验成功时,执行所述待加载应用程序。
[0013] 在可选的实施方式中,所述对嵌入系统启动加载程序进行安全校验的步骤,包括:
[0014] 运行所述嵌入系统启动加载程序中的可信度量根核心程序以初始化所述可信量度程序;
[0015] 所述可信度量根核心程序向所述可信量度程序发送第一校验指令;
[0016] 所述可信量度程序根据所述第一校验指令对所述嵌入系统启动加载程序的完整性进行校验;
[0017] 当所述嵌入系统启动加载程序的完整性满足校验条件时,则确定所述嵌入系统启动加载程序校验成功;
[0018] 当所述嵌入系统启动加载程序的完整性不满足校验条件时,则确定所述嵌入系统启动加载程序校验失败。
[0019] 在可选的实施方式中,所述可信量度程序根据所述第一校验指令对所述嵌入系统启动加载程序的完整性进行校验的步骤,包括:
[0020] 计算所述嵌入系统启动加载程序的第一
摘要值;所述第一摘要值表征所述嵌入系统启动加载程序的当前摘要值;
[0021] 将所述第一摘要值与预存储在所述可信量度程序中的第二摘要值进行比对;所述第二摘要值表征所述嵌入系统启动加载程序的标准摘要值;
[0022] 若一致,则所述嵌入系统启动加载程序校验成功;
[0023] 若不一致,则所述嵌入系统启动加载程序校验失败。
[0024] 在可选的实施方式中,通过所述嵌入系统启动加载程序调用可信量度程序对待加载应用程序进行校验的步骤,包括:
[0025] 运行所述嵌入系统启动加载程序中的可信度量根核心程序以初始化所述可信量度程序;
[0026] 所述可信度量根核心程序向所述可信量度程序发送第二校验指令;
[0027] 所述可信量度程序根据所述第二校验指令对所述待加载应用程序的完整性进行校验;
[0028] 当所述待加载应用程序的完整性满足校验条件时,则确定所述待加载应用程序校验成功;
[0029] 当所述待加载应用程序的完整性不满足校验条件时,则确定所述待加载应用程序校验失败。
[0030] 在可选的实施方式中,所述可信量度程序根据所述第二校验指令对所述待加载应用程序的完整性进行校验的步骤,包括:
[0031] 计算所述待加载应用程序的第三摘要值;所述第三摘要值表征所述待加载应用程序的当前摘要值;
[0032] 将所述第三摘要值与预存储在所述可信量度程序中的第四摘要值进行比对;所述第四摘要值表征所述待加载应用程序的标准摘要值;
[0033] 若一致,则所述待加载应用程序校验成功;
[0034] 若不一致,则所述待加载应用程序校验失败。
[0035] 第二方面,本发明实施例提供一种基于可信技术的应用加载装置,应用于一工业设备嵌入式软件,包括:
[0036] 校验模
块,用于对嵌入系统启动加载程序进行安全校验;
[0037] 以及还用于当所述嵌入系统启动加载程序校验成功时,通过所述嵌入系统启动加载程序调用可信量度程序对待加载应用程序进行校验;所述可信量度程序用于检测所述待加载应用程序是否被篡改;
[0038] 执行模块,用于当所述待加载应用程序校验成功时,执行所述待加载应用程序。
[0039] 在可选的实施方式中,所述执行模块,还用于运行所述嵌入系统启动加载程序中的可信度量根核心程序以初始化所述可信量度程序;
[0040] 以及还用于向所述可信量度程序发送第一校验指令;
[0041] 所述校验模块,还用于根据所述第一校验指令对所述嵌入系统启动加载程序的完整性进行校验;
[0042] 以及还用于当所述嵌入系统启动加载程序的完整性满足校验条件时,则确定所述嵌入系统启动加载程序校验成功;
[0043] 以及还用于当所述嵌入系统启动加载程序的完整性不满足校验条件时,则确定所述嵌入系统启动加载程序校验失败。
[0044] 在可选的实施方式中,还包括比对模块;
[0045] 所述校验模块,还用于计算所述嵌入系统启动加载程序的第一摘要值;所述第一摘要值表征所述嵌入系统启动加载程序的当前摘要值;
[0046] 所述比对模块,用于将所述第一摘要值与预存储在所述可信量度程序中的第二摘要值进行比对;所述第二摘要值表征所述嵌入系统启动加载程序的标准摘要值;
[0047] 若一致,则所述嵌入系统启动加载程序校验成功;
[0048] 若不一致,则所述嵌入系统启动加载程序校验失败。
[0049] 在可选的实施方式中,所述执行模块,还用于运行所述嵌入系统启动加载程序中的可信度量根核心程序以初始化所述可信量度程序;
[0050] 以及还用于向所述可信量度程序发送第二校验指令;
[0051] 所述校验模块,还用于当所述待加载应用程序的完整性满足校验条件时,则确定所述待加载应用程序校验成功;
[0052] 以及还用于当所述待加载应用程序的完整性不满足校验条件时,则确定所述待加载应用程序校验失败。
[0053] 在可选的实施方式中,还包括比对模块;
[0054] 所述校验模块,还用于计算所述待加载应用程序的第三摘要值;所述第三摘要值表征所述待加载应用程序的当前摘要值;
[0055] 所述比对模块,用于将所述第三摘要值与预存储在所述可信量度程序中的第四摘要值进行比对;所述第四摘要值表征所述待加载应用程序的标准摘要值;
[0056] 若一致,则所述待加载应用程序校验成功;
[0057] 若不一致,则所述待加载应用程序校验失败。
[0058] 本发明实施例提供的基于可信技术的应用加载方法及装置,对嵌入系统启动加载程序进行安全校验,当嵌入系统启动加载程序校验成功后,再通过嵌入系统启动加载程序调用可信量度程序对待加载应用程序进行校验,以检测待加载应用程序是否被篡改,当待加载应用程序校验成功后,执行待加载应用程序;通过可信技术对嵌入系统启动加载程序和待加载应用程序进行安全校验,能够达到本质安全的可信密码模块实现工业设备的安全启动,从根本上杜绝工业设备程序的任何恶意
修改,保证了工业设备的安全启动和运行。
[0059] 为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附
附图,作详细说明如下。
附图说明
[0060] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0061] 图1示出了本发明实施例提供的一种基于可信技术的应用加载方法的流程示意图。
[0062] 图2示出了本发明实施例提供的另一种基于可信技术的应用加载方法的流程示意图。
[0063] 图3示出了本发明实施例提供的一种基于可信技术的应用加载装置的功能模块图。
[0064] 图标:100-基于可信技术的应用加载装置;110-校验模块;120-执行模块;130-比对模块。
具体实施方式
[0065] 下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
[0066] 因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的
选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0067] 需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0068] 在工业4.0的普及之下,最新出现的工业设备一般都具有联网功能,在提高智能化和网络化的同时也带来了较大的安全隐患。最新的工业设备
接口种类繁多,功能类型丰富,开放程度很高,经常造成一些被攻击后的安全问题。
[0069] 因此,要解决工业设备软件的安全问题需要从设备本身入手,通过可信技术对工业设备软件进行加固设计是一种很有前景的解决办法。采用可信技术能够从根本上解决工业控制设备嵌入式软件的安全问题,软件程序在启动加载的第一时间进行可信检查,启动程序有任何恶意修改都能够在启动的第一时间被检测到,然后程序自动拒绝进一步的任何操作,能够杜绝任何对正常程序的恶意修改。针对工业设备中存在的安全问题,本发明提出一种基于可信技术构建的工业设备软件的应用加载方法,保证嵌入式软件在加载启动时的安全性。
[0070] 请参照图1,为本发明实施例提供的一种基于可信技术的应用加载方法的流程示意图。
[0071] 步骤101,对嵌入系统启动加载程序进行安全校验。
[0072] 步骤102,当嵌入系统启动加载程序校验成功时,通过嵌入系统启动加载程序调用可信量度程序对待加载应用程序进行校验。
[0073] 步骤103,当待加载应用程序校验成功时,执行待加载应用程序。
[0074] 首先,对嵌入系统启动加载程序进行安全校验;当嵌入系统启动加载程序校验成功时,通过嵌入系统启动加载程序调用可信量度程序(Trusted Cryptography Module,TCM);对待加载应用程序进行校验;当待加载应用程序校验成功时,执行待加载应用程序。通过可信技术对嵌入系统启动加载程序和待加载应用程序进行安全校验,从根本上杜绝工业设备程序的任何恶意修改,保证了工业设备的安全启动和运行。
[0075] 需要说明的是,嵌入系统启动加载程序为Bootloader也可以是uboot,此处不做限制;其中uboot是Bootloader的一种,在后文中均以Bootloader为例进行说明。
[0076] 在图1的
基础上,下面给出一种完整方案可能的实现方式,具体的,请参照图2,为本实施例提供的另一种基于可信技术的应用加载方法的流程示意图。
[0077] 步骤101,对嵌入系统启动加载程序进行安全校验。
[0078] 需要说明的是,步骤101包括三个子步骤,本步骤中未提及之处将在其子步骤中进行详细的阐述。
[0079] 步骤101-1,运行嵌入系统启动加载程序中的可信度量根核心程序以初始化可信量度程序。
[0080] 运行Bootloader中的可信度量根核心程序(Core root of trust for measurement,CRTM)以初始化TCM。
[0081] 工业设备上电之后,根据该工业设备的
硬件设置,首先运行Bootloader程序段。硬件设置保证上电后只能由Bootloader作为起始运行程序,必须先进行Bootloader中的CRTM程序段。此过程的目的是:为工业设备系统中的后续
应用软件程序提供初始化环境。
[0082] 步骤101-2,可信度量根核心程序向可信量度程序发送第一校验指令。
[0083] 在对Bootloader的安全校验中,CRTM程序段向TCM发送第一校验指令,第一校验指令为对Bootloader的安全校验指令,用于触发TCM对Bootloader的安全校验。
[0084] 步骤101-3,可信量度程序根据所述第一校验指令对所述嵌入系统启动加载程序的完整性进行校验。
[0085] 需要说明的是,步骤101-3包括三个子步骤,本步骤中未提及之处将在其子步骤中进行详细的阐述。
[0086] 步骤101-3-1,计算所述嵌入系统启动加载程序的第一摘要值。
[0087] 第一摘要值表征嵌入系统启动加载程序的当前摘要值。
[0088] 由TCM对Bootloader进行摘要值检查,具体的,TCM根据具体的
算法得到Bootloader的摘要值,该算法可以是
哈希算法、MD5算法等,此处并不限定。
[0089] 步骤101-3-2,将第一摘要值与预存储在可信量度程序中的第二摘要值进行比对。
[0090] 若一致,则执行步骤101-3-4;若不一致,则步骤101-3-3。
[0091] 第二摘要值表征嵌入系统启动加载程序的标准摘要值。
[0092] 步骤101-3-3,若不一致,嵌入系统启动加载程序校验失败。
[0093] 若Bootloader校验失败,则说明Bootloader已经被篡改,存在危险,需要立即控制工业设备停止运行。
[0094] 步骤101-3-4,若一致,嵌入系统启动加载程序校验成功。
[0095] 若Bootloader校验成功,则执行步骤102。
[0096] Bootloader校验成功,则Bootloader未被篡改,
嵌入式系统当前运行安全,可以执行后续的应用程序。
[0097] 步骤102,当嵌入系统启动加载程序校验成功时,通过嵌入系统启动加载程序调用可信量度程序对待加载应用程序进行校验。
[0098] 需要说明的是,步骤102包括三个子步骤,本步骤中未提及之处将在其子步骤中进行详细的阐述。
[0099] 步骤102-1,运行嵌入系统启动加载程序中的可信度量根核心程序以初始化可信量度程序。
[0100] 步骤102-2,可信度量根核心程序向可信量度程序发送第二校验指令。
[0101] 在对待加载应用程序的安全校验中,CRTM程序段向TCM发送第二校验指令,第二校验指令为对待加载应用程序的安全校验指令,用于触发TCM对待加载应用程序的安全校验。
[0102] 步骤102-3,可信量度程序根据第二校验指令对待加载应用程序的完整性进行校验。
[0103] 需要说明的是,步骤102-3包括三个子步骤,本步骤中未提及之处将在其子步骤中进行详细的阐述。
[0104] 步骤102-3-1,计算待加载应用程序的第三摘要值。
[0105] 第三摘要值表征待加载应用程序的当前摘要值。
[0106] 由TCM对待加载应用程序进行摘要值检查,具体的,TCM根据具体的算法得到待加载应用程序的摘要值,该算法可以是哈希算法、MD5算法等,此处并不限定。
[0107] 步骤102-3-2,将第三摘要值与预存储在所述可信量度程序中的第四摘要值进行比对。
[0108] 若一致,则执行步骤102-3-4;若不一致,则步骤102-3-3。
[0109] 第四摘要值表征待加载应用程序的标准摘要值。
[0110] 步骤102-3-3,若不一致,待加载应用程序校验失败。
[0111] 若待加载应用程序校验失败,则说明待加载应用程序已经被篡改,存在危险,需要立即控制工业设备停止运行。
[0112] 步骤102-3-4,若一致,待加载应用程序校验成功。
[0113] 待加载应用程序校验成功,则待加载应用程序未被篡改,嵌入式系统当前运行安全。
[0114] 步骤103,当待加载应用程序校验成功时,执行待加载应用程序。
[0115] 从执行Bootloader跳转到执行当前应用程序,当前应用程序正常执行后,则应用程序加载成功。
[0116] 为了执行上述实施例及各个可能的方式中的相应步骤,下面给出一种基于可信技术的应用加载装置的实现方式。进一步地,请参阅图3,图3为本发明实施例提供的一种基于可信技术的应用加载装置的功能模块图。需要说明的是,本实施例所提供的基于可信技术的应用加载装置,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。该基于可信技术的应用加载装置100包括:校验模块110、执行模块120以及比对模块130。
[0117] 可以理解的,在一种实施例中,校验模块110用于执行步骤101以及步骤102。
[0118] 可以理解的,在一种实施例中,执行模块120用于执行步骤101-1、步骤101-2以及步骤103。
[0119] 可以理解的,在一种实施例中,比对模块130用于执行步骤101-3-2以及步骤102-3-2。
[0120] 综上所述,本发明实施例提供的基于可信技术的应用加载方法及装置,对嵌入系统启动加载程序进行安全校验,当嵌入系统启动加载程序校验成功后,再通过嵌入系统启动加载程序调用可信量度程序对待加载应用程序进行校验,以检测待加载应用程序是否被篡改,当待加载应用程序校验成功后,执行待加载应用程序;通过可信技术对嵌入系统启动加载程序和待加载应用程序进行安全校验,能够达到本质安全的可信密码模块实现工业设备的安全启动,从根本上杜绝工业设备程序的任何恶意修改,保证了工业设备的安全启动和运行。
[0121] 在本
申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的
流程图和
框图显示了根据本发明的多个实施例的装置、方法和
计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0122] 另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
[0123] 所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对
现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,
服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动
硬盘、只读
存储器(ROM,Read-Only Memory)、
随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0124] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
