嵌入式系统安全防护架构体系的制作方法

本发明涉及嵌入式系统技术领域，具体涉及针对嵌入式系统的安全防护架构体系。

背景技术：

随着嵌入式系统在军事、工业、航空航天等安全重要领域中的广泛应用，它们越来越多的被非法入侵和破坏，重要情报资料被窃密等问题已经造成巨大的经济损失，甚至威胁到国家安全。对于系统硬件，存在硬件木马、侧信道攻击、硬件逆向工程等安全问题；对于系统软件，存在代码完整性攻击、应用软件攻击、隐私数据窃取攻击等安全问题。因此，如何保证嵌入式系统的安全成为关注的热点问题。

当前人们已经意识到了安全的重要性，并采取了一定的措施进行防护。如intel、微软、ibm等牵头成立了“可信计算平台联盟(tcpa，trustedcomputingplatformalliance)”，采用“可信计算”技术构建通用的终端硬件平台，同时，设计了可信平台模块tpm(trustedplatformmodule)作为整个计算平台的信任根，达到增强计算机安全性的目的。在软件方面，安全操作系统、多级安全(mls，multilevelsecurity)、安全系统模型(blp,bell&lapadula)等概念和技术的提出，为保护系统软件提供了有效的方法和手段。

当前，对于系统安全的研究大多聚焦在防止硬件失效和软件错误所带来的危害，即注重实现系统的防危性。随着嵌入式系统的网络化和智能化，安全入侵和网络攻击成为新的攻击形式，对系统的正常运行造成威胁。因此，防止系统关键功能和数据遭受未经授权的访问、使用、篡改和泄漏，作为防危性实现的前提，成为嵌入式系统安全防护架构设计所考虑的重点问题。

技术实现要素：

本发明公开了一种嵌入式系统安全防护架构体系，用于解决上述现有技术的问题。

本发明一种嵌入式系统安全防护架构体系，其中，包括：flash安全存储芯片、rtc芯片、sram以及fpga；fpga芯片集成通信模块、pcieip接口、嵌入式cpu以及算法模块；算法模块提供sm2、sm3以及sm4三类算法ip核，用于提供签名、验签、对称算法、杂凑运算以及对称加解密密码运算；pcieip接口，对外提供pcie快速通道；通信模块包括管理通道以及算法通道，管理通道用于实现数据包在信号通道中的传输管理；算法通道在fpga内部为算法模块中支持的算法分配相互独立的逻辑资源及高速缓冲区，以实现算法的并行执行。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，还包括：实时时钟芯片，用于为系统应用提供时钟信号。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，fpga芯片与实时时钟芯片间使用i2c总线方式通讯，通过fpga芯片的gpio引脚扩展实现。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，flash安全存储芯片包括norflash和nandflash两类芯片。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，还包括：fpga接口转换部件，用于安全控制模块与主处理器板之间的快速通信。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，fpga接口转换部件采用pci-ehardip核实现高速数据交换时的时序逻辑控制。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，还包括：可信引导层，可信引导层包括tcm模块设备驱动、身份认证模块、关键软硬件度量模块和基准值管理模块；tcm模块设备驱动是与高性能嵌入式安全控制模块和引导程序中其它可信服务模块进行通信和交互的部件，进行底层总线访问、可信报文协议解析处理和可信计算服务功能；身份认证模块提供基于口令的身份认证，通过获取登录用户的信息，并调用tcm模块的用户身份认证接口对用户信息进行校验；关键软硬件度量模块包括硬件完整性度量和软件完整性度量两部分；基准值管理模块是系统管理员对基准值进行管理配置的功能模块，通过调用tcm模块驱动提供的功能服务接口进行基准值的采集、存储、更新和管理。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，硬件度量范围包括度量硬盘序列号、网卡mac地址、pci设备型号、外设扩展rom执行代码等，软件完整性度量内容包括操作系统内核、tcm驱动模块以及可信访问控制模块的核心文件。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，还包括：系统管理分区，用于对客户分区的生命周期和安全健康进行管理操作；设备服务分区，用于提供专门的设备服务和统一的设备部署。

根据本发明的嵌入式系统安全防护架构体系的一实施例，其中，在fpga内部分别为非对称、对称、杂凑等三类算法分配相互独立的逻辑资源及高速缓冲区以支持并行执行，实现算法及算法通道的相互独立。

在嵌入式系统网络化、智能化的发展趋势下，针对现有安全防护措施的不足，以嵌入式系统为研究对象，设计一种嵌入式系统安全防护架构体系。以嵌入式系统的安全理论研究为基础，从底层安全防护硬件层、到可信引导层，再到安全操作系统层以及应用层，形成一套完整的嵌入式系统安全防护架构体系，为保证系统的安全运行提供方法引导和技术支撑。

可信计算组织注重计算时的安全特性，提出以安全芯片tpm(trustedplatformmodule)作为硬件安全保证计算机安全的思想。我国已经研制出具有自主知识产权的tpm，并将其功能进行扩展后称为tcm。tcm本身提供了非易失性存储、sha-1引擎、密钥生成器、随机数生成器等功能。遵循tcm标准设计高性能安全控制模块以保证系统硬件的安全性。

附图说明

图1是本发明嵌入式系统安全防护架构体系构建方法的主流程图；

图2所示为高性能安全控制模块结构图；

图3为多类算法相互独立架构图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图1是本发明嵌入式系统安全防护架构体系构建方法的主流程图，图2所示为高性能安全控制模块结构图，如图1以及图2所示，本发明提出的嵌入式系统安全防护架构体系包括：flash安全存储芯片、rtc芯片、sram、以及fpga。

如图2所示，fpga芯片集成通信模块、pcieip接口、嵌入式cpu以及算法模块。算法模块提供sm2、sm3、sm4三类算法ip核，用于提供签名、验签、对称算法、杂凑运算、对称加解密密码运算。集成pcieip核，对外提供pcie快速通道。通信模块包括管理通道以及算法通道。管理通道用于实现数据包在信号通道中的传输管理；算法通道则在fpga内部为算法模块中支持的不同算法分配相互独立的逻辑资源及高速缓冲区，以实现算法的并行执行。嵌入式cpu是系统运行的核心部件，是嵌入式系统的性能体现。

如图2所示，搭建软核环境microblaze，为软件运行提供平台环境；软核内运行可信软件，实现平台的接入认证、密码资源管理、完整性度量、数据加解密、数据的安全存储、安全审计等可信服务。

如图2所示，实时时钟芯片(rtc芯片)为系统应用提供时钟信号(年、月、日、时、分、秒)。考虑fpga芯片接口扩展要求，采用串行通讯方式的时钟芯片进行设计。fpga芯片与实时时钟芯片间使用i2c总线方式通讯，通过fpga芯片的gpio引脚扩展来实现。

如图2所示，flash安全存储模块，连接fpga，实现非易失性存储需求。flash器件包括norflash和nandflash两类，具体采用norflash存储fpga配置文件和软件启动代码。

如图2所示，为了提高fpga内部软件的运行速度，在芯片外部增加了ddr内存颗粒，作为程序运行的扩展内存空间。

如图2所示，fpga接口转换部件的主要功能是提供pcie通道，用于安全控制模块与主处理器板之间的快速通信，采用pci-ehardip核实现高速数据交换时的时序逻辑控制。基于ip核的设计，可以根据需求灵活设计面向事物层接口电路，支持pciegen1×1，×2，×4，具有低功耗、集成低成本的高速收发器，pcie通信速率最高可达2.5gbps。该设计方便接入特定功能，如内部总线连接、实现dma传输等，便于产品开发设计的重利用，有利于大幅提升产品性能。

图3为多类算法相互独立架构图，如图1至图3所示，构建可信引导层包括：

可信引导层为可信引导程序的各种可信计算和可信存储提供驱动支持，主要包括tcm模块设备驱动、身份认证模块、关键软硬件度量模块和基准值管理模块等内容。

(1)tcm模块设备驱动是与高性能嵌入式安全控制模块和引导程序中其它可信服务模块进行通信和交互的部件，进行底层总线访问、可信报文协议解析处理和可信计算服务功能封装等诸多操作。

(2)身份认证模块提供基于口令的身份认证，通过获取登录用户的信息，并调用tcm模块的用户身份认证接口对用户信息进行校验，保证登录用户的身份安全。

(3)关键软硬件度量模块是可信引导程序的核心模块，包括硬件完整性度量和软件完整性度量两部分。硬件度量范围包括度量硬盘序列号、网卡mac地址、pci设备型号、外设扩展rom执行代码等，软件完整性度量内容包括操作系统内核、tcm驱动模块、可信访问控制模块等核心文件。

(4)基准值管理模块是系统管理员对基准值进行管理配置的功能模块，通过调用tcm模块驱动提供的功能服务接口进行基准值的采集、存储、更新和管理。

嵌入式系统安全防护软件平台包括：

基于多重独立安全等级(multipleindependentlevelsofsecurity，mils)架构的思想，设计嵌入式系统安全防护软件平台。

(1)可信分离内核

可信分离内核作为mils架构的基础，其基本功能是时间、空间隔离，为上层系统提供多级安全信息隔离，在处理器上为不同安全等级的多个任务建立相互隔离的独立运行环境。

平台采用嵌入式虚拟化技术为不同安全等级应用和数据提供隔离的执行和存储环境；采用blp安全模型进行客户系统之间的安全数据通信管理；采用轻量级的强制访问控制技术确保可信分离内核的安全性；建立综合实时调度机制设计确保强实时任务的实时性；建立多级审计机制。

(2)分区运行环境

框架所提供的多个分离的执行环境，称为“分区”，分区按照不同的安全等级分为：核心(ts)、重要(s)、一般(c)和不涉及(u)4个级别。不同安全等级的应用程序、中间件，以及其他软件运行于用户模式下被隔离的分区中。

根据应用的安全级别为各分区指定不同的安全等级，每个分离区域可以独立安装、运行不同安全等级的应用及其操作系统，称之为“客户”。在mils架构中，多个嵌入式os可以作为“客户”os运行在可信分离内核之上，并且每个“客户”os运行在分离的执行环境中，不受其它分区的影响。

在可信分离内核的基础上，建立系统管理分区对客户分区的生命周期和安全健康进行管理操作；同时建立设备服务分区提供专门的设备服务和统一的设备部署；此外，为安全关键和实时关键任务提供资源分级管理技术，确保高安全/实时关键任务的安全性/实时性。

安全控制模块表现为独占设备，所有对设备的访问请求都在设备驱动层或更高层进行了串行化处理，只能根据优先调用策略或先到先服务的策略获取服务机会。该方式将直接导致系统启动慢、应用程序执行速度下降。对整机性能的影响非常大，不能满足嵌入式系统实时性的要求。针对该问题，本发明研究高性能的密码服务，从模块整体架构设计出发，设计一款各类算法相互独立、管理通道与算法通道相互独立、各类算法通道之间相互独立的基于fpga的多通道高速安全控制模块，如图2所示。其中，在fpga内部分别为非对称、对称、杂凑等三类算法分配相互独立的逻辑资源及高速缓冲区以支持并行执行，实现算法及算法通道的相互独立，如图3所示(对应于图2中的红色框部分)。由于非对称加密算法非常占用资源，对cpu消耗也大，因此，该算法需要fpga为其提供软核cpu及存储ram，其它算法则可以直接通过算法通道基于fifo(先到先服务)的策略与总线进行交互；在该机制下，三类算法具有各自独立的数据缓冲区和处理引擎，不存在共享资源和竞争资源问题，可接受上层应用对三类密码服务的同时处理。基于fpga多通道安全控制模块独立并行机制的设计，能够为上层密码服务请求提供可并行执行的能力，极大提高模块的密码运算处理能力，降低密码运算对整机性能的影响，不仅为嵌入式系统提供了硬件级的安全性保障措施，同时也将其对实时性的影响降到最低，满足用户对安全性、实时性的同时需要。

针对嵌入式系统硬件防护，本发明设计了基于fpga的高性能安全控制模块，为硬件平台的安全运行提供可信存储、度量等服务。当前市场上主流的密码芯片具有算法固定、对外通信接口固定等特点，缺乏灵活性和普适性。因此，设计一款基于fpga的高性能安全控制模块，集成算法模块和通信模块，以支持密码芯片算法的灵活配置和动态裁剪，支持对外通信接口的灵活配置，提高安全控制模块的普遍适应性。

本发明设计了一种嵌入式系统安全防护架构体系的构建方法。首先通过嵌入式系统安全理论研究，为系统安全设计奠定理论基础；其次，设计基于fpga的安全控制硬件模块、可信引导层及基于mils架构的系统安全防护软件平台，实现了从理论到实现，从底层硬件到上层软件的一套完整的嵌入式系统安全防护架构体系。本发明能够有效的提高嵌入式系统安全防护能力，提高系统运行的安全性。本发明实现简单有效，达到了应用的要求。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。