一种电力嵌入式终端设备的可信防护优化方法和装置制造方法及图纸

本发明专利技术涉及一种电力嵌入式终端设备的可信防护优化方法和装置，其中，方法包括：基于TESAM的可信度量对增量电力终端进行启动，基于软件可信根方式的可信度量对存量电力终端进行启动；利用TESAM或软件可信根完成对电力终端的操作系统内核可信升级流程、系统关键组件可信升级流程以及应用程序可信升级流程；将首次启动的可信度量结果上送至电力自动化主站完成闭环管控。装置包括可信启动模块、可信升级模块以及闭环管控模块。本发明专利技术能够降低可信防护技术的实施难度，有效提升电力终端设备的本体安全防护水平。的本体安全防护水平。的本体安全防护水平。

【技术实现步骤摘要】
一种电力嵌入式终端设备的可信防护优化方法和装置


[0001]本专利技术涉及配电自动化与网络安全防护
，特别是涉及一种电力嵌入式终端设备的可信防护优化方法和装置。

技术介绍

[0002]近年来，全球恶性网络攻击事件不断，随着全球电力能源业不断推进数字化、信息化、智能化转型，网络攻击已经成为电力能源行业面临的重大挑战之一。全球信用评级巨头标普全球公司发布的最新报告显示：过去5年，电网遭受攻击事件占所有网络安全事件的四分之一。电力是国家能源支柱和经济命脉，其安全稳定运行关系着国家安全和经济发展，一旦遭受数据偷窃、非法控制等攻击，尤其是集团式攻击，轻则导致国家、行业敏感经营数据泄露，重则造成电力系统崩溃或瘫痪，直接导致大范围停电事件。在严峻的网络安全形势下，黑客的攻击手段复杂度高、隐蔽性强、更新速度快，导致电力系统面临持续的安全威胁。
[0003]作为电力系统的重要组成部分，配电网直接面向用户供电，是物理设备与信息系统深度融合的复杂系统，分布广泛、设备众多、环境复杂，遭受攻击的风险极高，而户外运行、量大面广的终端设备往往是攻击者入侵配电网的首选突破口，而设备运行业务所需的各类接口为黑客开展探测、注入攻击提供了便利。
[0004]可信计算以密码算法为基础，通过保护软硬件系统的完整性来达到免疫攻击行为的目的，可以作为配电终端安全加固的主要技术手段。而现有的标准化可信计算技术（依据《信息安全技术 可信计算规范可信平台控制模块》（GB/T 40650
‑
2021）、《可信计算 可信密码模块接口规范》（GM/T 0012））在硬件接口及操作系统标准化程度高的服务器设备中较易推广应用，但在配电终端等电力嵌入式终端应用方面，由于受到设备数量巨大、硬件体系结构多样、计算资源有限以及经济性方面的制约，标准化可信计算技术面临着巨大的工程可实施性挑战。具体体现在：以配电终端为例，设备型号繁多，生产厂商涉及300余家，软硬件架构多样，操作系统覆盖Linux、VxWorks、FreeRtos、MQX等20余大类70小类（计及不同厂家对操作系统的差异化裁剪情况），主控芯片启动方式包括SPI Flash、EMMC、NAND/NOR Flash等多种，标准化程度低，传统可信计算技术需要开展大量的适配工作，终端设备厂商也面临着修改硬件电路、部件上电顺序、MCU上电方式等巨大的工作量，实施难度较大。
[0005]目前针对上述情况采用基于TPCM技术的设备端可信防护技术，例如现有专利文献CN104778141A，该技术将标准的TPCM技术直接应用于电力终端设备中，虽然可以解决部分终端的本体可信问题，但在海量异构终端设备的推广应用方面，仍存在以下不足和局限性：（1）现有技术在适配Linux等开源操作系统的终端设备方面有较好的可实施性，对于采用单片机（无操作系统），以及MQX、FreeROTS、ucos等轻量化实时操作系统的终端设备，无法有效应用此技术。而“三遥”FTU、“三遥”DTU，以及智能分布式馈线自动化终端等兼具保护功能的配电终端由于保护动作的高实时性要求，往往采用实时操作系统或不装操作系统，导致标准化TPCM技术难以直接应用。（2）现有技术需修改配电终端各部件的上电顺序，并要求终端主控芯片支持特定的启动方式（如SPI Flash、EMMC），而实际中，配电终端设备
硬件标准化程度低，MCU的启动方式涉及NAND/NOR、SPI Flash等多类，导致标准化TPCM技术在异构嵌入式终端设备中的应用面临较大的工程实现难题。

技术实现思路

[0006]本专利技术所要解决的技术问题是提供一种电力嵌入式终端设备的可信防护优化方法和装置，能够降低可信防护技术的实施难度，有效提升电力终端设备的本体安全防护水平。
[0007]本专利技术解决其技术问题所采用的技术方案是：提供一种电力嵌入式终端设备的可信防护优化方法，包括以下步骤：基于TESAM的可信度量对增量电力终端进行启动，基于软件可信根方式的可信度量对存量电力终端进行启动；利用TESAM或软件可信根完成对电力终端的操作系统内核升级流程、系统关键组件升级流程以及应用程序升级流程；将首次启动的可信度量结果上送至电力自动化主站完成闭环管控；其中，所述TESAM为通过修改电力终端内部的集成嵌入式安全模块的片内操作系统，增加可信验签证书以及可信基准值存储区域得到的具备可信功能的TESAM。
[0008]所述基于TESAM的可信度量对增量电力终端进行启动，具体包括：运行引导程序，对操作系统内核代码进行哈希运算，调用所述TESAM对所述操作系统内核代码的哈希运算结果进行所述操作系统内核的可信度量；当所述操作系统内核的可信度量通过时，启动所述操作系统内核，对关键系统组件进行哈希运算，然后调用所述TESAM对关键系统组件的哈希运算结果进行所述关键系统组件的可信度量；当所述关键系统组件的可信度量通过时，启动操作系统，在启动操作系统时，首先启动所述增量电力终端的可信度量软件，通过所述可信度量软件对所述引导程序进行反向度量；当所述引导程序的反向度量成功时，所述可信度量软件对后续启动的应用程序进行度量，并在度量通过后允许所述应用程序启动，否则阻止所述应用程序启动；在度量过程中调用所述TESAM验证所述应用程序的哈希值的签名结果。
[0009]当所述操作系统内核的可信度量未通过时，所述引导程序将备份内核覆盖主核，再次重启尝试进入恢复后的内核；若恢复后的内核依然不能通过可信度量，则终止启动；或者，当所述关键系统组件的可信度量未通过时，判断是否存在备份，若备份存在则恢复关键系统组件；若备份不存在，则停止启动操作系统；或者，当所述引导程序的反向度量失败时，则度量备份引导程序，若所述备份引导程序度量成功，使用所述备份引导程序进行覆盖，然后重启所述增量电力终端；若所述备份引导程序度量失败，则终止启动。
[0010]所述基于软件可信根方式的可信度量对存量电力终端进行启动，具体包括：运行引导程序，对操作系统内核代码进行哈希运算，使用预置的数字证书对所述操作系统内核代码的哈希运算结果的签名进行验证，实现对所述操作系统内核的可信度量；
当所述操作系统内核的可信度量通过时，启动所述操作系统内核，对关键系统组件进行哈希运算，使用预置的数字证书对所述关键系统组件的哈希运算结果的签名进行验证，实现对所述关键系统组件的可信度量；当所述关键系统组件的可信度量通过时，启动操作系统，在启动操作系统时，首先启动所述存量电力终端的可信度量软件，通过所述可信度量软件对后续启动的应用程序进行度量，并在度量通过后允许所述应用程序启动，否则阻止所述应用程序启动；在度量过程中使用预置的数字证书验证所述应用程序的哈希值的签名结果。
[0011]当所述操作系统内核的可信度量未通过时，所述引导程序将备份内核覆盖主核，再次重启尝试进入恢复后的内核；若恢复后的内核依然不能通过可信度量，则终止启动；或者，当所述关键系统组件的可信度量未通过时，判断是否存在备份，若备份存在则恢复关键系统组件；若备份不存在，则停止启动操作系统。
...

【技术保护点】

【技术特征摘要】
1.一种电力嵌入式终端设备的可信防护优化方法，其特征在于，包括以下步骤：基于TESAM的可信度量对增量电力终端进行启动，基于软件可信根方式的可信度量对存量电力终端进行启动；利用TESAM或软件可信根完成对电力终端的操作系统内核升级流程、系统关键组件升级流程以及应用程序升级流程；将首次启动的可信度量结果上送至电力自动化主站完成闭环管控；其中，所述TESAM为通过修改电力终端内部的集成嵌入式安全模块的片内操作系统，增加可信验签证书以及可信基准值存储区域得到的具备可信功能的TESAM。2.根据权利要求1所述的电力嵌入式终端设备的可信防护优化方法，其特征在于，所述基于TESAM的可信度量对增量电力终端进行启动，具体包括：运行引导程序，对操作系统内核代码进行哈希运算，调用所述TESAM对所述操作系统内核代码的哈希运算结果进行所述操作系统内核的可信度量；当所述操作系统内核的可信度量通过时，启动所述操作系统内核，对关键系统组件进行哈希运算，然后调用所述TESAM对关键系统组件的哈希运算结果进行所述关键系统组件的可信度量；当所述关键系统组件的可信度量通过时，启动操作系统，在启动操作系统时，首先启动所述增量电力终端的可信度量软件，通过所述可信度量软件对所述引导程序进行反向度量；当所述引导程序的反向度量成功时，所述可信度量软件对后续启动的应用程序进行度量，并在度量通过后允许所述应用程序启动，否则阻止所述应用程序启动；在度量过程中调用所述TESAM验证所述应用程序的哈希值的签名结果。3.根据权利要求2所述的电力嵌入式终端设备的可信防护优化方法，其特征在于，当所述操作系统内核的可信度量未通过时，所述引导程序将备份内核覆盖主核，再次重启尝试进入恢复后的内核；若恢复后的内核依然不能通过可信度量，则终止启动；或者，当所述关键系统组件的可信度量未通过时，判断是否存在备份，若备份存在则恢复关键系统组件；若备份不存在，则停止启动操作系统；或者，当所述引导程序的反向度量失败时，则度量备份引导程序，若所述备份引导程序度量成功，使用所述备份引导程序进行覆盖，然后重启所述增量电力终端；若所述备份引导程序度量失败，则终止启动。4.根据权利要求1所述的电力嵌入式终端设备的可信防护优化方法，其特征在于，所述基于软件可信根方式的可信度量对存量电力终端进行启动，具体包括：运行引导程序，对操作系统内核代码进行哈希运算，使用预置的数字证书对所述操作系统内核代码的哈希运算结果的签名进行验证，实现对所述操作系统内核的可信度量；当所述操作系统内核的可信度量通过时，启动所述操作系统内核，对关键系统组件进行哈希运算，使用预置的数字证书对所述关键系统组件的哈希运算结果的签名进行验证，实现对所述关键系统组件的可信度量；当所述关键系统组件的可信度量通过时，启动操作系统，在启动操作系统时，首先启动所述存量电力终端的可信度量软件，通过所述可信度量软件对后续启动的应用程序进行度量，并在度量通过后允许所述应用程序启动，否则阻止所述应用程序启动；在度量过程中使
用预置的数字证书验证所述应用程序的哈希值的签名结果。5.根据权利要求4所述的电力嵌入式终端设备的可信防护优化方法，其特征在于，当所述操作系统内核的可信度量未通过时，所述引导程序将备份内核覆盖主核，再次重启尝试进入恢复后的内核；若恢复后的内核依然不能通过可信度量，则终止启动；或者，当所述关键系统组件的可信度量未通过时，判断是否存在备份，若备份存在则恢复关键系统组件；若备份不存在，则停止启动操作系统。6.根据权利要求1所述的电力嵌入式终端设备的可信防护优化方法，其特征在于，所述电力终端为增量电力终端时，采用所述TESAM对所述操作系统内核进行升级；所述电力终端为存量电力终端时，采用所述可信根软件对所述操作系统内核进行升级；所述TESAM和所述可信根软件中存储有主内核度量值和备份内核...

【专利技术属性】
技术研发人员：亢超群，朱克琪，李玉凌，李二霞，刘海涛，吕广宪，孙国齐，许保平，刘芸杉，韩子龙，吴殿亮，王利，杜金陵，樊勇华，周振华，孔令达，
申请(专利权)人：国网上海能源互联网研究院有限公司，
类型：发明
国别省市：