一种电力物联网边缘物联代理高可信执行环境构建方法及系统

摘要

本发明涉及一种电力物联网边缘物联代理高可信执行环境构建方法及系统，实现高可信执行环境的构建，引入切换控制设计，针对内置引导程序的存储装置，实现存储装置择一与可信密码模块或代理控制模块进行连接，并结合所设计步骤顺序，由可信密码模块构成可信根，从操作系统引导程序开始进行可信度量，进一步验证操作系统、验证可信容器度量模块、验证容器镜像、验证容器中运行的电力物联网业务应用，从而构建信任链，通过信任链使运行中的边缘物联代理从固件到操作系统、到驱动程序到容器，最后到应用程序都是可信赖的，将信任关系扩展到系统的所有组件，从而建立起边缘物联代理自身抵御病毒攻击的免疫机制。

说明书

技术领域

本发明涉及一种电力物联网边缘物联代理高可信执行环境构建方法及系统，属于安全物联通信技术领域。

背景技术

随着物联网技术被广泛应用于智能电网发、输、变、配、用及调度等各环节，越来越多的边缘物联代理部署于电力物联网边缘侧，实现采集终端与物联管理平台之间的互联、边缘计算及区域自治等功能，使得电网的响应更高效，不仅提高了电力企业的生产效率和管理水平，而且为电力用户带来了更好的用电体验。

但是，大量的边缘物联代理部署于无人值守的台区、输电线路等低可信环境，无论在时间上还是空间上，都给了攻击者更多的机会，被替换和攻破的可能性大大增加。由于边缘物联代理对上连接物联管理平台，对下连接各种采集终端、汇聚终端，是电力物联网的核心设备，一旦恶意控制，攻击者就可能以合法的身份入侵电力企业的内部网络，造成信息泄露、内部网络瘫痪等后果，严重的甚至会导致全网崩溃。因此，需要加强对边缘物联代理的安全防护，确保边缘物联代理的可信。

发明内容

本发明所要解决的技术问题是提供一种电力物联网边缘物联代理高可信执行环境构建方法，能够加强对边缘物联代理的安全防护，确保边缘物联代理的可信，有效提高物联应用的安全性。

本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种电力物联网边缘物联代理高可信执行环境构建方法，用于实现物联管理平台与各终端采集装置之间高可信执行环境的构建，执行传感数据的采集；基于可信密码模块、代理控制模块、可信容器度量模块、内置引导程序和操作系统程序的存储装置、以及分别内置容器镜像与各电力物联网业务应用的各个容器，执行如下步骤：

步骤A. 可信密码模块初始化，并完成自检，然后进入步骤B；

步骤B. 控制连通可信密码模块与存储装置之间的通信链路，由可信密码模块读取存储装置中的引导程序，并计算获得引导程序的HASH值，然后进入步骤C；

步骤C. 由可信密码模块判断其内预置的标准HASH值是否与来自引导程序的HASH值相一致，是则表示通过引导程序完整性校验，并进入步骤D；否则高可信执行环境构建失败；

步骤D. 控制断开可信密码模块与存储装置之间的通信链路，并控制连通代理控制模块与存储装置之间的通信链路，由代理控制模块加载、并运行存储装置中的引导程序，然后进入步骤E；

步骤E. 代理控制模块调取存储装置中的操作系统程序，并由引导程序调用可信密码模块，针对操作系统程序进行验证，再由代理控制模块加载验证通过的操作系统程序，运行操作系统，并将控制权移交给操作系统，然后进入步骤F；

步骤F. 操作系统调用可信密码模块，计算获得可信容器度量模块的HASH值，并判断该HASH值是否与可信密码模块中预置的标准HASH值相一致，是则控制启动可信容器度量模块，并进入步骤G；否则高可信执行环境构建失败；

步骤G. 可信容器度量模块调用可信密码模块，验证各电力物联网业务应用，并运行验证通过的各电力物联网业务应用，并进入步骤H；

步骤H. 代理控制模块基于操作系统、通过各电力物联网业务应用控制各终端采集装置工作获得相应采集数据，并将相应采集数据转发至物联管理平台。

作为本发明的一种优选技术方案，所述步骤E包括如下步骤：

步骤E1. 代理控制模块调取存储装置中的操作系统程序，并由引导程序调用可信密码模块，计算获得操作系统程序中操作系统引导程序的HASH值，并判断该HASH值是否与可信密码模块中预置的标准HASH值相一致，是则将控制权移交给操作系统引导程序，并进入步骤E2，否则高可信执行环境构建失败；

步骤E2. 操作系统引导程序调用可信密码模块，计算获得操作系统程序中操作系统镜像文件的HASH值，并判断该HASH值是否与可信密码模块中预置的标准HASH值相一致，是则由代理控制模块加载验证通过的操作系统程序，运行操作系统，并将控制权移交给操作系统，然后进入步骤F；否则高可信执行环境构建失败。

作为本发明的一种优选技术方案：所述各电力物联网业务应用分设于各个容器中，且各个容器分别内置容器镜像，所述步骤G包括如下步骤：

步骤G1. 分别针对各个容器，由可信容器度量模块调用可信密码模块，计算获得容器中容器镜像的HASH值，并判断该HASH值是否与可信密码模块中预置的标准HASH值相一致，是则启动该容器，否则该容器无法启动；

待针对各个容器均完成上述操作后，判断是否存在启动的容器，是则进入步骤G2；否则高可信执行环境构建失败；

步骤G2. 各个启动的容器分别调用可信密码模块，计算获得其内置各电力物联网业务应用分别所对应的HASH值，分别判断该各个HASH值是否与可信密码模块中预置的标准HASH值相一致，并运行其中相一致HASH值所对应的电力物联网业务应用，然后进入步骤H。

作为本发明的一种优选技术方案：所述存储装置包括引导存储器和系统存储器，所述引导程序置于引导存储器中，所述操作系统程序置于系统存储器中；

所述步骤B中，控制连通可信密码模块与引导存储器之间的通信链路，由可信密码模块读取引导存储器中的引导程序；

所述步骤D中，控制断开可信密码模块与引导存储器之间的通信链路，并控制连通代理控制模块与引导存储器之间的通信链路，由代理控制模块加载、并运行引导存储器中的引导程序，然后进入步骤E；

所述步骤E中，代理控制模块调取系统存储器中的操作系统程序。

与上述相对应，本发明设计了执行电力物联网边缘物联代理高可信执行环境构建方法的系统，逻辑置于物联管理平台与各终端采集装置之间，实现高可信执行环境的构建，能够加强对边缘物联代理的安全防护，确保边缘物联代理的可信，有效提高物联应用的安全性。

本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种执行电力物联网边缘物联代理高可信执行环境构建方法的系统，包括可信硬件层、可信系统层、可信容器层，其中，所述可信密码模块、代理控制模块、内置引导程序和操作系统程序的存储装置均设置于可信硬件层中；

所述可信容器度量模块设置于可信系统层中，各个容器均设置于可信容器层中；

所述可信硬件层中还包括安全控制模块，安全控制模块用于控制可信密码模块与存储装置之间通信链路的连通或断开，以及安全控制模块用于控制代理控制模块与存储装置之间通信链路的连通或断开；同时代理控制模块分别与可信密码模块、存储装置、可信容器度量模块、以及各个容器相连接通信。

作为本发明的一种优选技术方案：所述可信硬件层中还包括闪存RAM，所述代理控制模块与闪存RAM相连接。

作为本发明的一种优选技术方案：所述存储装置包括内置引导程序的引导存储器、以及内置操作系统程序的系统存储器；所述安全控制模块用于控制可信密码模块与引导存储器之间通信链路的连通或断开，以及所述安全控制模块用于控制代理控制模块与引导存储器之间通信链路的连通或断开；所述代理控制模块与系统存储器相连接通信。

作为本发明的一种优选技术方案：所述可信密码模块内置SM2引擎、SM3引擎、SM4引擎、HMAC引擎、执行引擎、随机数产生器、非易失性存储器、易失性存储器以及I/O部件；

其中，SM2引擎：负责产生非对称密钥对、执行非对称加解密和签名运算；

SM3引擎：负责执行HASH运算；

SM4引擎：负责执行对称加解密运算；

HMAC引擎：负责计算消息认证码；

执行引擎：运算执行单元；

非易失性存储器：存储永久数据；

易失性存储器：TCM运算时临时数据的存储；

随机数产生器：生成随机数；

I/O：输入输出硬件接口。

本发明所述一种电力物联网边缘物联代理高可信执行环境构建方法及系统，采用以上技术方案与现有技术相比，具有以下技术效果：

本发明所设计一种电力物联网边缘物联代理高可信执行环境构建方法及系统，针对物联管理平台与各终端采集装置之间进行设计，实现高可信执行环境的构建，其中引入切换控制设计，针对内置引导程序的存储装置，实现存储装置择一与可信密码模块或代理控制模块进行连接，并结合所设计步骤顺序，由可信密码模块构成可信根，从操作系统引导程序开始进行可信度量，进一步验证操作系统、验证可信容器度量模块、验证容器镜像、验证容器中运行的电力物联网业务应用，从而构建信任链，通过信任链使运行中的边缘物联代理从固件到操作系统、到驱动程序到容器，最后到应用程序都是可信赖的，将信任关系扩展到系统的所有组件，从而建立起边缘物联代理自身抵御病毒攻击的免疫机制。

附图说明

图1是本发明所设计电力物联网边缘物联代理高可信执行环境构建方法的流程意图；

图2是本发明所设计电力物联网边缘物联代理高可信执行环境构建方法中信任链建立示意图；

图3是本发明所设计执行电力物联网边缘物联代理高可信执行环境构建方法的系统示意图；

图4是AIK证书的申请过程。

具体实施方式

下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。

本发明设计以可信平台模块（Trusted Platform Module，TPM）为基础，密码技术为支持，安全操作系统为核心，增强现有PC终端的安全性。

基于上述设计思想，本发明具体设计了一种电力物联网边缘物联代理高可信执行环境构建方法，用于实现物联管理平台与各终端采集装置之间高可信执行环境的构建，执行传感数据的采集；实际应用当中，基于可信密码模块（TCM）、代理控制模块、可信容器度量模块、内置引导程序和操作系统程序的存储装置（ROM）、以及分别内置容器镜像与各电力物联网业务应用的各个容器，实际应用当中，如图1和图2所示，具体执行如下步骤A至步骤H。

步骤A. 可信密码模块（TCM）初始化，并完成自检，然后进入步骤B。

步骤B. 控制连通可信密码模块（TCM）与存储装置（ROM）之间的通信链路，由可信密码模块（TCM）读取存储装置（ROM）中的引导程序，并计算获得引导程序的HASH值，然后进入步骤C。

步骤C. 由可信密码模块（TCM）判断其内预置的标准HASH值是否与来自引导程序的HASH值相一致，是则表示通过引导程序完整性校验，并进入步骤D；否则高可信执行环境构建失败。

步骤D. 控制断开可信密码模块（TCM）与存储装置（ROM）之间的通信链路，并控制连通代理控制模块与存储装置（ROM）之间的通信链路，由代理控制模块加载、并运行存储装置（ROM）中的引导程序，然后进入步骤E。

步骤E. 代理控制模块调取存储装置（ROM）中的操作系统程序，并由引导程序调用可信密码模块（TCM），针对操作系统程序进行验证，再由代理控制模块加载验证通过的操作系统程序，运行操作系统，并将控制权移交给操作系统，然后进入步骤F。

上述步骤E在实际应用当中，具体设计包括如下步骤E1至步骤E2。

步骤E1. 代理控制模块调取存储装置（ROM）中的操作系统程序，并由引导程序调用可信密码模块（TCM），计算获得操作系统程序中操作系统引导程序的HASH值，并判断该HASH值是否与可信密码模块（TCM）中预置的标准HASH值相一致，是则将控制权移交给操作系统引导程序，并进入步骤E2，否则高可信执行环境构建失败。

步骤E2. 操作系统引导程序调用可信密码模块（TCM），计算获得操作系统程序中操作系统镜像文件的HASH值，并判断该HASH值是否与可信密码模块（TCM）中预置的标准HASH值相一致，是则由代理控制模块加载验证通过的操作系统程序，运行操作系统，并将控制权移交给操作系统，然后进入步骤F；否则高可信执行环境构建失败。

步骤F. 操作系统调用可信密码模块（TCM），计算获得可信容器度量模块的HASH值，并判断该HASH值是否与可信密码模块（TCM）中预置的标准HASH值相一致，是则控制启动可信容器度量模块，并进入步骤G；否则高可信执行环境构建失败。

步骤G. 可信容器度量模块调用可信密码模块（TCM），验证各电力物联网业务应用，并运行验证通过的各电力物联网业务应用，并进入步骤H。

实际应用当中，这里进一步设计引入容器概念，即设计各电力物联网业务应用分设于各个容器中，且各个容器分别内置容器镜像，所述步骤G具体设计包括如下步骤G1至步骤G2。

步骤G1. 分别针对各个容器，由可信容器度量模块调用可信密码模块（TCM），计算获得容器中容器镜像的HASH值，并判断该HASH值是否与可信密码模块（TCM）中预置的标准HASH值相一致，是则启动该容器，否则该容器无法启动。

待针对各个容器均完成上述操作后，判断是否存在启动的容器，是则进入步骤G2；否则高可信执行环境构建失败。

步骤G2. 各个启动的容器分别调用可信密码模块（TCM），计算获得其内置各电力物联网业务应用分别所对应的HASH值，分别判断该各个HASH值是否与可信密码模块（TCM）中预置的标准HASH值相一致，并运行其中相一致HASH值所对应的电力物联网业务应用，即实现了容器、以及容器中电力物联网业务应用的可信运行，然后进入步骤H。

步骤H. 代理控制模块基于操作系统、通过各电力物联网业务应用控制各终端采集装置工作获得相应采集数据，并将相应采集数据转发至物联管理平台。

针对上述所设计电力物联网边缘物联代理高可信执行环境构建方法，在实际应用当中，针对内置引导程序和操作系统程序的存储装置（ROM），进一步设计存储装置（ROM）包括引导存储器（ROM）和系统存储器（ROM），所述引导程序置于引导存储器（ROM）中，所述操作系统程序置于系统存储器（ROM）中，则基于引导程序和操作系统程序的位置分设，上述所执行一系列步骤中，所述步骤B中，控制连通可信密码模块（TCM）与引导存储器（ROM）之间的通信链路，由可信密码模块（TCM）读取引导存储器（ROM）中的引导程序；所述步骤D中，控制断开可信密码模块（TCM）与引导存储器（ROM）之间的通信链路，并控制连通代理控制模块与引导存储器（ROM）之间的通信链路，由代理控制模块加载、并运行引导存储器（ROM）中的引导程序，然后进入步骤E；所述步骤E中，代理控制模块调取系统存储器（ROM）中的操作系统程序。

实际应用当中，与上述相对应，本发明设计了执行电力物联网边缘物联代理高可信执行环境构建方法的系统，诸如对它定义为边缘物联代理模块，即如图3所示，针对该边缘物联代理模块，具体设计包括可信硬件层、可信系统层、可信容器层，其中，所述可信密码模块（TCM）、代理控制模块、内置引导程序和操作系统程序的存储装置（ROM）均设置于可信硬件层中。

所述可信容器度量模块设置于可信系统层中，各个容器均设置于可信容器层中。

所述可信硬件层中还包括安全控制模块（Secure Control Module，SCM）、闪存RAM，安全控制模块（SCM）用于控制可信密码模块（TCM）与存储装置（ROM）之间通信链路的连通或断开，以及安全控制模块（SCM）用于控制代理控制模块与存储装置（ROM）之间通信链路的连通或断开；同时代理控制模块分别与可信密码模块（TCM）、存储装置（ROM）、可信容器度量模块、闪存RAM、以及各个容器相连接通信。

并且针对上述关于存储装置（ROM）应用引导存储器（ROM）与系统存储器（ROM）的设计，所述安全控制模块（SCM）用于控制可信密码模块（TCM）与引导存储器（ROM）之间通信链路的连通或断开，以及所述安全控制模块（SCM）用于控制代理控制模块与引导存储器（ROM）之间通信链路的连通或断开；所述代理控制模块与系统存储器（ROM）相连接通信；如此即由安全控制模块（SCM）实现了这里引导存储器（ROM）分别与可信密码模块（TCM）、代理控制模块的择一选择通信控制。

并且在实际应用当中，针对可信密码模块（TCM），具体设计其内置SM2引擎、SM3引擎、SM4引擎、HMAC引擎、执行引擎、随机数产生器（RNG）、非易失性存储器（ROM）、易失性存储器（RAM）以及I/O部件。

其中，SM2引擎：负责产生非对称密钥对、执行非对称加解密和签名运算；

SM3引擎：负责执行HASH运算；

SM4引擎：负责执行对称加解密运算；

HMAC引擎：负责计算消息认证码；

执行引擎：运算执行单元；

非易失性存储器（ROM）：存储永久数据；

易失性存储器（RAM）：TCM运算时临时数据的存储；

随机数产生器（RNG）：生成随机数；

I/O：输入输出硬件接口。

在实际应用中，可信密码模块（TCM）与配套的软件可以提供三大功能：

（1）数据保护功能：提供存放敏感数据的存储区，该存储区只能通过可信密码模块（TCM）提供的唯一一组许可命令进行操作，以此来保护和报告完整性度量。

（2）完整性度量功能：系统所有软硬件组件都被纳入保护范围，提供对所有组件的静态完整性度量。

（3）认证功能：可信密码模块（TCM） 能够证明信息的真实性，在网络通信中，可信密码模块（TCM）可协助完成终端之间的身份认证，同时通过PCR实现终端身份与平台软硬件配置的相互绑定，保证终端运行环境的可信，实现了可信的网络通信。

上述本发明所设计一种电力物联网边缘物联代理高可信执行环境构建方法及系统，针对物联管理平台与各终端采集装置之间进行设计，实现高可信执行环境的构建，其中引入切换控制设计，针对内置引导程序的存储装置，实现存储装置择一与可信密码模块或代理控制模块进行连接，并结合所设计步骤顺序，由可信密码模块构成可信根，从操作系统引导程序开始进行可信度量，进一步验证操作系统、验证可信容器度量模块、验证容器镜像、验证容器中运行的电力物联网业务应用（如配电APP、营销APP等），从而构建信任链，通过信任链使运行中的边缘物联代理从固件到操作系统、到驱动程序到容器，最后到应用程序都是可信赖的，将信任关系扩展到系统的所有组件，从而建立起边缘物联代理自身抵御病毒攻击的免疫机制。

综合所述，本发明所设计电力物联网边缘物联代理高可信执行环境构建方法及系统，解决了如下几方面的关键问题。

（1）基于可信密码模块（TCM）实现的可信身份标识

1）基于硬件标识终端的身份。通过在可信硬件模块TCM内创建一对非对称密钥EK和AIK，标识终端身份。签署密钥（EK）为不可迁移的私钥，用于解密和验证签名。身份认证密钥（AIK）为公钥，用于对TCM产生的数据进行签名。

2）通过可信CA为终端颁发证书实现终端身份的可信。通过向可信CA申请AIK证书，使终端身份合法化，实现终端身份的可信。AIK证书的申请过程如图4所示。

终端使用TCM中的密钥产生器产生EK和AIK密钥对，并将私钥EK存放在TCM中的安全位置；

k 终端将TCM的唯一标识

ƒ PCA验证终端提交的信息的合法性，验证通过后，生成一个使用PCA私钥签名的AIK证书；

m PCA将AIK证书颁发给终端。获取证书后，终端将证书存放到TCM中，供以后通信使用。

实际应用中，每个终端都需向PCA申请AIK证书，用来在网络通信中证实自己的身份。AIK私钥存放在TCM中进行保护，防止被盗取。证书的申请采用离线方式。

（2）恶意软件防护

通过构建信任链，确保边缘物联代理只运行授权的OS、软件、固件，有效防范恶意软件。每次终端启动，从BIOS的POST上电自检模块出发，建立信任链，按照边缘物联代理系统的整个运行时序路径，对每一个即将启动运行的程序模块都要在可信硬件模块支持下先进行完整性度量和校验，只有当完整性没有受到破坏的程序代码才能运行，否则就不允许启动运行，对被破坏的程序模块进行隔离、修复。其中每个程序代码的完整性基准值实现存储在一个受可信硬件模块保护的安全区内。通过信任链可以使运行中的边缘物联代理从固件到操作系统到驱动程序到容器，最后到应用程序都是可信赖的，从而建立起边缘物联代理自身抵御病毒攻击的免疫机制，如图2所示。

（1）通过完整性度量，建立终端信任链。以可信密码模块（TCM）作为可信度量根，逐级认证操作系统引导程序、操作系统、可信容器度量模块、容器镜像、应用程序的完整性，防止操作系统、容器镜像和应用程序被恶意篡改。

（2）可信容器度量模块用于实时监控容器和应用程序的运行，通过实时度量，防止未经许可的容器和应用程序的安装和启动。

（3） 敏感数据保护

通过数据绑定和数据封装保护终端的密钥数据、配置数据、传输数据等敏感数据。

1）数据绑定：确保采用可信密码模块（TCM）加密的数据只能由该可信密码模块（TCM）才能解密，防止敏感数据的泄露。

2）数据封装：数据解密前，必须确认平台的当前配置状态与平台的测量值相符，即只有平台运行于一个非常确定的已知配置的状态下，加密的信息才能被解密。

上面结合附图对本发明的实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。