嵌入式装置可信执行控制方法、装置、介质及嵌入式装置制造方法及图纸

本发明专利技术公开了工控安全技术领域的一种嵌入式装置可信执行控制方法，该方法基于可信执行环境便于在嵌入式芯片上通过软硬件方式实现，可以针对嵌入式自动化装置进行部署，实施方式便捷。该方法基于安全标记分类方法，将系统内程序文件关联安全标记后加入白名单，为执行控制提供标记支持。该方法将哈希值基准库和白名单模块存储于硬件可信根的非易失性存储空间中，保障安全策略的完整性和机密性。该方法实现的决策执行控制模块，区分二进制程序、内核模块和动态链接库进行执行控制，细粒度高。高。高。

【技术实现步骤摘要】
嵌入式装置可信执行控制方法、装置、介质及嵌入式装置


[0001]本专利技术属于工控安全
，具体涉及一种嵌入式装置可信执行控制方法、装置、介质及嵌入式装置。

技术介绍

[0002]强制执行控制的含义是对某程序(进程)定义一个可执行的程序文件的集合，并强制性地限制此程序的进程只能执行集合中所包含的程序文件，实现的目标是对进程运行行为进行限制，防止进程在运行过程中因故意或他意造成的非法操作行为的发生。
[0003]针对嵌入式装置软件的执行控制方法，首先为业务程序配置可执行的程序文件集合，即安全策略。在业务程序(进程)运行过程中调用其他程序时进行安全策略裁决。首先检查被调用的程序文件是否在安全策略中，同时对被调用程序(进程)进行度量。一旦检查发现异常，即刻阻止非法程序的运行。一方面，安全策略存储于主系统中，容易被攻击者发现和篡改，影响执行控制结果的准确性。另一方面，不区分程序类别进行安全策略裁决，属于粗粒度执行控制，容易干扰程序正常运行或对恶意软件行为产生误判。。

技术实现思路

[0004]为解决现有技术中的不足，本专利技术提供一种嵌入式装置可信执行控制方法，解决了变电站嵌入式装置进行执行控制时安全策略易泄露，裁决不精细的技术问题。
[0005]为达到上述目的，本专利技术所采用的技术方案是：一种基于TEE的变电站嵌入式装置可信执行控制方法，在变电站嵌入式装置上部署可信执行环境，可信执行环境的内核中包含白名单模块、决策执行控制模块、完整性度量模块和哈希值基准库模块，装置富执行环境中包含白名单配置管理模块和smc指令集；白名单模块用于存储与二进制程序、内核模块和动态链接库关联的安全标记，所述安全标记依据设定的安全标记分类方法确定；白名单配置管理模块用于对可信执行环境中的白名单模块进行配置和管理；哈希值基准库模块用于存储根据哈希算法计算的二进制程序、内核模块和动态链接库的哈希值；在二进制程序运行、内核模块加载与卸载、动态链接库加载之前，通过smc指令集切换安全监控模式，启动可信执行环境内核中的决策执行控制模块；所述方法由决策执行控制模块执行，包括：读取完整性度量模块，其中，所述完整性度量模块对读取的当前执行流进行基于哈希值基准库的完整性度量，并返回完整性度量结果；响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果。
[0006]结合第一方面，对读取的当前执行流进行基于哈希值基准库的完整性度量，包括：利用哈希算法，计算当前执行流中程序和文件的哈希值，并与存储于硬件可信根的非易失性存储空间中的哈希值基准库中存储的哈希值比对，哈希值相同则完整性度量成功，哈希值不同，则完整性度量失败，并返回完整性度量结果。
[0007]结合第一方面，所述安全标记分类方法，包括：将随操作系统原始安装的系统程序的安全标记设置为S；将经过软件安装工具安装的已验证合法性的外来程序的安全标记设
置为V；将未经软件安装工具安装的其他外来程序的安全标记设置为U；将安全标记为S或V的程序，添加进防卸载列表中。
[0008]结合第一方面，完整性度量结果包括完整性度量失败或完整性度量成功；响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果，包括：在当前执行流为二进制程序时：响应于完整性度量成功，若二进制程序请求执行权限或写权限，则对当前执行流进行基于安全标记分类的安全标记校验，并执行控制，返回控制结果；响应于完整性度量成功，若二进制程序未请求读权限，则允许程序访问，结束流程。
[0009]结合第一方面，响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果，还包括：响应于完整性度量失败，禁止二进制程序访问，结束流程。
[0010]结合第一方面，若二进制程序请求执行权限或写权限，则对当前执行流进行基于安全标记分类的安全标记校验，并执行控制，返回控制结果，具体为：响应于二进制程序请求执行权限，访问白名单模块中二进制程序的安全标记，若安全标记为U，则禁止二进制程序访问，结束流程；否则，允许程序访问，结束流程；响应于二进制程序请求写权限，访问二进制程序的安全标记，若安全标记为S，则禁止二进制程序访问，结束流程；否则，修改文件标记为U，允许程序访问，结束流程。
[0011]结合第一方面，完整性度量结果包括完整性度量失败或完整性度量成功；响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果，包括：在当前执行流为内核模块时：响应于完整性度量成功，加载内核模块时，允许加载白名单模块中安全标记不为U的内核模块，禁止加载白名单模块中安全标记为U的内核模块；卸载内核模块时，遍历白名单模块中的防卸载列表，若待卸载模块不在防卸载列表中，允许加载，否则不允许加载。
[0012]结合第一方面，响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果，还包括：响应于完整性度量失败，禁止内核模块加载，结束流程。
[0013]结合第一方面，完整性度量结果包括完整性度量失败或完整性度量成功；响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果，包括：在当前执行流为加载动态链接库时；响应于完整性度量成功，若需要加载动态链接库的程序请求动态链接库文件提供匿名或共享映射时，允许程序加载动态链接库，结束流程；若需要加载动态链接库的程序未请求执行权限，允许程序加载动态链接库，结束流程；若需要加载动态链接库的程序请求执行权限，则对当前执行流进行基于安全标记分类的安全标记校验，并执行控制，返回控制结果。
[0014]结合第一方面，若需要加载动态链接库的程序请求执行权限，则对当前执行流进行基于安全标记分类的安全标记校验，并执行控制，返回控制结果，具体为：响应于需要加载动态链接库的程序请求执行权限，访问白名单模块中动态链接库文件的安全标记，若安全标记为U，则禁止程序加载动态链接库，结束流程；否则，允许程序加载动态链接库，结束流程。
[0015]结合第一方面，响应于完整性度量结果，对当前执行流区分二进制程序、内核模块
和动态链接库进行执行控制，并返回控制结果，还包括：响应于完整性度量失败，禁止程序加载动态链接库，结束流程。
[0016]第二方面，提供一种基于TEE的变电站嵌入式装置可信执行控制装置，在变电站嵌入式装置上部署可信执行环境，可信执行环境的内核中包含白名单模块、决策执行控制模块、完整性度量模块和哈希值基准库模块，装置富执行环境中包含白名单配置管理模块和smc指令集；白名单模块用于存储与二进制程序、内核模块和动态链接库关联的安全标记，所述安全标记依据设定的安全标记分类方法确定；白名单配置管理模块用于对可信执行环境中的白名单模块进行配置和管理；哈希值基准库模块用于存储根据哈希算法计算的二进制程序、内核模块和动态链接库的哈希值；在二进制程序运行、内核模块加载与卸本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于TEE的变电站嵌入式装置可信执行控制方法，其特征在于，在变电站嵌入式装置上部署可信执行环境，可信执行环境的内核中包含白名单模块、决策执行控制模块、完整性度量模块和哈希值基准库模块，装置富执行环境中包含白名单配置管理模块和smc指令集；白名单模块用于存储与二进制程序、内核模块和动态链接库关联的安全标记，所述安全标记依据设定的安全标记分类方法确定；白名单配置管理模块用于对可信执行环境中的白名单模块进行配置和管理；哈希值基准库模块用于存储根据哈希算法计算的二进制程序、内核模块和动态链接库的哈希值；在二进制程序运行、内核模块加载与卸载、动态链接库加载之前，通过smc指令集切换安全监控模式，启动可信执行环境内核中的决策执行控制模块；所述方法由决策执行控制模块执行，包括：读取完整性度量模块，其中，所述完整性度量模块对读取的当前执行流进行基于哈希值基准库的完整性度量，并返回完整性度量结果；响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果。2.根据权利要求1所述的基于TEE的变电站嵌入式装置可信执行控制方法，其特征在于，对读取的当前执行流进行基于哈希值基准库的完整性度量，包括：利用哈希算法，计算当前执行流中程序和文件的哈希值，并与存储于硬件可信根的非易失性存储空间中的哈希值基准库中存储的哈希值比对，哈希值相同则完整性度量成功，哈希值不同，则完整性度量失败，并返回完整性度量结果。3.根据权利要求1所述的基于TEE的变电站嵌入式装置可信执行控制方法，其特征在于，所述安全标记分类方法，包括：将随操作系统原始安装的系统程序的安全标记设置为S；将经过软件安装工具安装的已验证合法性的外来程序的安全标记设置为V；将未经软件安装工具安装的其他外来程序的安全标记设置为U；将安全标记为S或V的程序，添加进防卸载列表中。4.根据权利要求1或3所述的基于TEE的变电站嵌入式装置可信执行控制方法，其特征在于，完整性度量结果包括完整性度量失败或完整性度量成功；响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果，包括：在当前执行流为二进制程序时：响应于完整性度量成功，若二进制程序请求执行权限或写权限，则对当前执行流进行基于安全标记分类的安全标记校验，并执行控制，返回控制结果；响应于完整性度量成功，若二进制程序未请求读权限，则允许程序访问，结束流程。5.根据权利要求4所述的基于TEE的变电站嵌入式装置可信执行控制方法，其特征在于，响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果，还包括：响应于完整性度量失败，禁止二进制程序访问，结束流程。
6.根据权利要求4所述的基于TEE的变电站嵌入式装置可信执行控制方法，其特征在于，若二进制程序请求执行权限或写权限，则对当前执行流进行基于安全标记分类的安全标记校验，并执行控制，返回控制结果，具体为：响应于二进制程序请求执行权限，访问白名单模块中二进制程序的安全标记，若安全标记为U，则禁止二进制程序访问，结束流程；否则，允许程序访问，结束流程；响应于二进制程序请求写权限，访问二进制程序的安全标记，若安全标记为S，则禁止二进制程序访问，结束流程；否则，修改文件标记为U，允许程序访问，结束流程。7.根据权利要求1或3所述的基于TEE的变电站嵌入式装置可信执行控制方法，其特征在于，完整性度量结果包括完整性度量失败或完整性度量成功；响应于完整性度量结果，对当前执行流区分二进制程序、内核模块和动态链接库进行执行控制，并返回控制结果，包括：在当前执行流为内核模块时：响应于完整性度量成功，加载内核模块时，允许加载白名单模块中安全标记不为U的内核模块，禁止加载白名单模块中安全标记为U的内核模块；卸载内核模块时，遍历白名单模块中的防卸载列表，若待卸载模块不在防卸载列表中，允许加载，否则不允许加载。8.根据权利要求7所述的基于TEE的变电站嵌入式装置可信执行控制方法，其特征...

【专利技术属性】
技术研发人员：刘苇，祁龙云，孙柏颜，犹锋，焦建林，李向南，张晓，魏兴慎，杨维永，刘寅，孙连文，杨康乐，徐志超，于希娟，
申请(专利权)人：国网电力科学研究院有限公司国网北京市电力公司国家电网有限公司，
类型：发明
国别省市：