一种变电站嵌入式装置的可信启动度量的方法和系统与流程

本发明属于变电站，具体地涉及一种变电站嵌入式装置的可信启动度量的方法和系统。

背景技术：

1、随着可信计算的推广和普及，变电站的各类嵌入式装置已经开始进行可信验证的试点工作，变电站的嵌入式装置包括保护装置，测控装置，智能终端，合并单元，故障录波器，电量采集，网关机，规约转换机，在线监测，网络安全监测装置等。

2、可信启动从可信平台控制模块即tpcm开始，此时cpu强制处于复位状态，在tpcm完成对引导加载程序的度量后，cpu才能开始启动。可见，对引导加载程序的度量成功与否将会直接决定cpu能否启动，对于变电站内的关键设备如保护测控装置，装置的可用性是非常重要的，一旦装置无法启动，将无法实现其对电力系统的保护作用，可能对国家关键基础设置造成严重的影响。

3、另一方面，ser(soft error rate，软错误率)问题也长期困扰着嵌入式设备的运行。软错误影响存储器和时序元件的数据状态，由陆地环境自然发生的随机辐射事件所引起，有一定概率会损坏所存储的数据或所涉电路的状态。一旦启动芯片遭受ser问题导致无法通过启动度量，将直接影响装置的功能。

4、有关可信启动度量的现有技术主要有：

5、中国专利申请cn103049293b，公开了一种嵌入式可信系统的启动方法，所述方法包括：通过应用微程序控制器(mcu)启动前的授权过程程序(保存在可信芯片内部的保护区)上载到应用mcu的ram中检查内存映射，获得内存的边界地址和内容特征值，并锁定内存区，这样既可提供可信启动有可信的入口又可以在启动期间使内存不能被篡改和仿冒，对系统bootloader的度量，验证bootloader是否是可信，最后由bootloader对操作系统和软件栈进行度量，实现整个嵌入式系统启动过程的可信。但该方法启动过程比较繁琐，虽然避免可信芯片与嵌入式系统的环境过多耦合，但未考虑到可信芯片遭受到损坏时，也不易修改，导致装置在由各种环境自然发生的随机辐射事件等，且损坏所存储的数据或所涉电路的状态时不能启动。

6、中国专利申请cn109669734b，公开了一种用于启动设备的方法和装置，所述方法包括：可信启动设备，并将可信启动度量扩展存储至可信平台模块的平台配置寄存器，其中，可信启动度量是可信启动设备的完整性度量；加载预设内存保护区域，并将内存保护区域度量扩展存储至平台配置寄存器，其中，内存保护区域度量是预设内存保护区域的完整性度量；基于可信平台模块，向验证服务器发起对预设内存保护区域的远程认证；响应于接收到验证服务器发来的远程认证通过信息，检测加载其他内存保护区域的操作；响应于检测到加载其他内存保护区域的操作，基于预设内存保护区域对其他内存保护区域进行本地认证。但该方法主要保护设备的远程认证过程，所述设备要包含网络设备、服务器设备才能进行远程认证，对于没有网络设备、服务器设备的装置则不能用该方法，且远程认证容易遭受到环境或者人为的影响导致网络信号差，装置不能正常启动。

7、现有的嵌入式装置的可信启动过程中，采用的信任链模型都是嵌入式可信芯片直接对bootloader、操作系统内核、应用等进行度量或完整性度量，没有进行可信根的建立过程，这样的可信启动会导致可信芯片设计复杂度提高，并且与平台、操作系统、应用深度耦合，通用性差，难以广泛应用。

技术实现思路

1、为解决现有技术中存在的不足，本发明提供一种变电站嵌入式装置的可信启动度量的方法和系统，通过将启动芯片中的引导加载程序及其度量结果备份在tpcm中进行备份，并周期对备份的内容进行度量，从而达到了对启动芯片中和tpcm中的引导加载程序相互校验的效果，并在启动度量失败时采用备份程序进行覆盖，避免了现场因存储器软错误率问题而导致可信启动失败的问题，并极大的提高了装置的可用性。

2、本发明采用如下的技术方案。

3、本发明的第一方面提供一种变电站嵌入式装置的可信启动度量的方法，包括以下步骤：

4、步骤1，对tpcm初始化，并从启动芯片中读取引导加载程序，进行静态度量并将度量结果和引导加载程序备份；步骤2，变电站的各类嵌入式装置的操作系统启动前，所述装置的cpu中的可信管理模块定时读取备份的引导加载程序，进行静态度量，若度量失败，则将启动芯片中的引导加载程序覆盖备份的引导加载程序，重复步骤2，若度量成功，所述装置的cpu开始启动；

5、步骤3，所述装置的cpu启动后，启动操作系统，可信管理模块从启动芯片中读取引导加载程序，进行静态度量，若度量失败，则将备份的引导加载程序还原到启动芯片，重复步骤3，若度量成功，所述装置的操作系统启动运行。

6、优选的，步骤1中，以固化引导加载程序的flash作为启动芯片，引导加载程序包括系统引导加载器即bootloader以及基本输入输出系统即bios。

7、优选的，步骤1中，静态度量是指通过tpcm内置的密码引擎对所读取的引导加载程序进行哈希计算，计算的结果即度量结果。

8、优选的，步骤1中，将度量结果和所读取的引导加载程序存储到tpcm模块中的存储器中。

9、优选的，步骤2中，对备份的引导加载程序进行静态度量所得到的度量结果和tpcm中所备份的度量结果不同就是度量失败，若相同则度量成功。

10、优选的，步骤2中，若在操作系统运行阶段或操作系统未启动状态对引导加载程序进行了升级，则必须在下一次重启操作系统前完成备份操作。

11、优选地，步骤2中，升级操作结束后，重启cpu和操作系统并重复步骤1。

12、优选地，步骤1-步骤3中，任何一次的度量失败都将产生告警日志，告警日志存放在tpcm中，待操作系统运行后由可信管理模块读取并产生告警。

13、更进一步地，告警方式可采取简单网络管理协议即snmp或系统日志方式即syslog。

14、本发明的第二方面提供了一种变电站嵌入式装置的可信启动度量的系统，运行实施一种变电站嵌入式装置的可信启动度量的方法，包括：

15、tpcm备份模块，cpu启动模块，操作系统启动模块；

16、tpcm备份模块用于对tpcm初始化，并从启动芯片中读取引导加载程序，进行静态度量并将度量结果和引导加载程序备份；

17、cpu启动模块用于使各类变电站嵌入式装置的cpu中的可信管理模块定时读取备份的引导加载程序，进行静态度量，若度量失败，则将启动芯片中的引导加载程序覆盖备份的引导加载程序，若度量成功，所述装置的cpu正常启动；

18、操作系统启动模块用于使可信管理模块从启动芯片中读取引导加载程序，进行静态度量，若度量失败，则将备份的引导加载程序还原到启动芯片，若度量成功，所述装置的操作系统启动运行。

19、本发明的有益效果在于，与现有技术相比，本发明增加了正常完整引导加载程序的备份，同时将该备份程序和实际运行时的程序进行周期性的校验；通过在装置的正常运行阶段对引导加载程序进行定期的检查，在检查到引导加载程序遭到损坏即人为无意、恶意的修改或存储器软错误率问题等，使用备份程序对其进行恢复，以确保装置可以继续正常运行，从而大大提高了装置可信启动的成功率，降低了由于存储器软错误或其他硬件故障导致的系统崩溃风险；本发明能够提升变电站嵌入式装置可信启动度量的成功率，提高了变电站嵌入式装置的可用性，避免因系统故障而造成的生产力损失和维修费用，从而降低了变电站的运维成本。总之，通过对引导加载程序进行定期检查和备份，以及在发现问题后进行恢复，本发明显著提高了各类变电站嵌入式装置可信启动的成功率。