可信環(huán)境創(chuàng)建方法和裝置及基站異?����;謴头椒ê脱b置的制造方法
【技術領域】
[0001]本發(fā)明涉及無線通信領域���,尤其涉及一種可信環(huán)境創(chuàng)建方法和裝置及基站異常恢復方法和裝置����。
【背景技術】
[0002]當前網(wǎng)絡安全成為迫切需要解決的問題,特別是移動通信網(wǎng)絡因為在現(xiàn)代社會生活�����、生產(chǎn)中發(fā)揮了不可替代的作用����,其安全性值得關注。通信基站是移動通信網(wǎng)絡的組成部分��,具有數(shù)量多�、分布廣、工作環(huán)境復雜等特點�,尤其是戶外通信基站��,因為物理安全防護相對較為薄弱且往往缺乏主動安全防御能力���,是整個通信網(wǎng)絡中容易遭受安全攻擊的一個環(huán)節(jié)。
[0003]同時�����,通信基站是提供通信服務的基礎設施�����,對其工作可用性的要求也是極為嚴苛的�����。而通信基站在運行過程中��,面臨硬件失效�、軟件失效、人為失效��、可信度量失效等復雜的風險����,各種失效風險的特征及應對措施也不盡相同��。如果基站能夠識別各種失效風險�����,進行綜合分析����,利用可信計算環(huán)境的數(shù)據(jù)恢復機制�,提供自行從異常中恢復的能力�����,將極大提高基站的可用性水平���,對提升通信用戶體驗及提高通信運營商效益均有幫助��。
[0004]現(xiàn)代通信基站一般是嵌入式的計算機系統(tǒng)���,使用可信計算(TC,TrustedComputing)技術可以為通信基站提供主動安全防御能力�����。與傳統(tǒng)的由防火墻、入侵監(jiān)測��、病毒防范等組成的被動安全防御系統(tǒng)相比�,使用可信平臺模塊(TPM, Trusted PlatformModules)為底層固件的安全系統(tǒng)通過在計算系統(tǒng)中構建信任源點,利用密碼機制建立信任鏈�����,構建可信計算環(huán)境���,使得從根本上解決安全問題成為可能�,并且具有較好的系統(tǒng)擴展性�����。
[0005]可信計算技術的發(fā)展非常迅猛�����,許多國外科技公司�,例如Atmel、Broadcom等都推出了符合可信計算規(guī)范的TPM���、安全PC等產(chǎn)品����。但是這類產(chǎn)品一般側重于以硬件為基礎的計算平臺,包括安全協(xié)處理器�、個人令牌、密碼加速器及多功能器件等����。這些實例的目標是保證數(shù)據(jù)的真實性、數(shù)據(jù)機密性�����、數(shù)據(jù)保護���。但是這些產(chǎn)品更側重從硬件平臺層面提供基礎可信計算服務,還不能提供軟件系統(tǒng)�、服務的綜合可信服務。
[0006]Verisign���、Phoenix Technologies���、Microsoft 等公司也推出了可以提供管理文件、信息傳遞���、密鑰傳遞����、智能簽名等功能的TPM應用軟件、操作系統(tǒng)�,但是單純的軟件服務因為存在被篡改可能性從而影響其應用的可靠性。并且因為這些軟件系統(tǒng)���,一般是集成或者基于桌面級硬件平臺����,或者依賴于操作系統(tǒng)的重量級系統(tǒng)��,在基站這類嵌入式系統(tǒng)中的應用受到限制���。
[0007]現(xiàn)有使用可信技術應用于通信基站的技術方案����,一般側重于實現(xiàn)可信環(huán)境的建立����,對基站運行中面臨的各種失效風險缺乏綜合分析,也缺乏系統(tǒng)可信數(shù)據(jù)的備份機制,在檢測到異常后僅僅簡單實現(xiàn)系統(tǒng)復位����,并不具備有效的數(shù)據(jù)恢復方法,要么不能有效地從異常狀態(tài)恢復到正常通信狀態(tài)����,要么需要其他第三方系統(tǒng)干預才能恢復,但恢復時間明顯延長���。
[0008]綜上所述��,現(xiàn)有應用于通信基站的可信計算技術方案�,在嵌入式計算系統(tǒng)有限資源條件下應用受到限制��,且不能提供適應基站運行要求的可信數(shù)據(jù)備份機制以及各種失效風險的綜合分析���,從而無法為基站提供可靠的對異常進行主動恢復的功能。
【發(fā)明內容】
[0009]本發(fā)明提供了一種可信環(huán)境創(chuàng)建方法和裝置及基站異?;謴头椒ê脱b置,解決了現(xiàn)有可信計算技術方案為基站提供可靠的異?�;謴凸δ艿膯栴}���。
[0010]一種基站異?���;謴头椒ǎ?
[0011]在基站首次上電后����,運行預寫入所述基站的可信平臺模塊(TPM)硬件的基本B1S代碼,將可信環(huán)境控制權轉移給基本B1S ����;
[0012]所述基本B1S控制進行安全操作系統(tǒng)的加載,將所述可信環(huán)境控制權轉移至所述安全操作系統(tǒng)��;
[0013]所述安全操作系統(tǒng)加載軟件環(huán)境��,創(chuàng)建可信環(huán)境���。
[0014]優(yōu)選的����,在基站首次上電后�����,運行預寫入所述基站的TPM硬件的基本B1S代碼,將可信環(huán)境控制權轉移給基本B1S的步驟之前���,還包括:
[0015]在所述基站出廠前進行對該基站的所述TPM硬件和非易失存儲進行初始化���,所述非易失存儲包括數(shù)據(jù)保護區(qū)和文件系統(tǒng)數(shù)據(jù)區(qū),具體包括:
[0016]向所述數(shù)據(jù)保護區(qū)及所述文件系統(tǒng)數(shù)據(jù)區(qū)均寫入版本切換標識及基站預裝版本��,所述基站預裝版本包括可信的Boot Loader代碼����、BOOT代碼、安全操作系統(tǒng)的映像���、可信網(wǎng)絡軟件庫���、應用軟件和權值數(shù)據(jù),
[0017]將與所述基站預裝版本使用配套的密鑰集���、所述基本B1S代碼寫入所述TPM硬件,所述密鑰集包含多個密鑰����。
[0018]優(yōu)選的,所述基本B1S控制進行安全操作系統(tǒng)的加載,將所述可信環(huán)境控制權轉移至所述安全操作系統(tǒng)包括:
[0019]所述基本B1S在硬件自檢結束后����,對所述基站的數(shù)據(jù)保護區(qū)中存儲的數(shù)據(jù)的可信度進行檢查;
[0020]所述基本B1S在所述數(shù)據(jù)保護區(qū)中存儲的數(shù)據(jù)的可信度檢查通過后�����,通過所述Boot Loader代碼加載預寫入所述數(shù)據(jù)保護區(qū)中的所述基站預裝版本��;
[0021]啟動執(zhí)行所述BOOT代碼���,對所述基站的嵌入式系統(tǒng)進行硬件初始化����,創(chuàng)建文件系統(tǒng)�����,并對文件系統(tǒng)進行可信認證���;
[0022]在完成對所述文件系統(tǒng)的可信認證后�,從所述基站預裝版本中提取并加載安全操作系統(tǒng)映像��,將可信環(huán)境控制權傳遞至安全操作系統(tǒng)。
[0023]優(yōu)選的�����,所述基本B1S在硬件自檢結束后�����,對所述基站的數(shù)據(jù)保護區(qū)中存儲的數(shù)據(jù)的可信度進行檢查的步驟之后����,還包括:
[0024]所述基本B1S在所述數(shù)據(jù)保護區(qū)中存儲的數(shù)據(jù)的可信度檢查未通過時,觸發(fā)基站重啟復位����。
[0025]優(yōu)選的,在完成對所述文件系統(tǒng)的可信認證后�����,從所述基站預裝版本中提取安全操作系統(tǒng)的映像��,將可信環(huán)境控制權傳遞至安全操作系統(tǒng)包括:
[0026]根據(jù)所述版本切換標識��,確定基站預裝版本���,從所述基站預裝版本中提取安全操作系統(tǒng)的映像�����;
[0027]對所述安全操作系統(tǒng)的映像進行可信認證�;
[0028]在所述安全操作系統(tǒng)的映像通過可信認證后����,加載該安全操作系統(tǒng)的映像,將可信環(huán)境控制權傳遞至所述安全操作系統(tǒng)���。
[0029]優(yōu)選的�����,根據(jù)所述版本切換標識��,確定基站預裝版本����,從所述基站預裝版本中提取安全操作系統(tǒng)的映像包括:
[0030]在所述版本切換標識指示所述文件系統(tǒng)數(shù)據(jù)區(qū)中的基站預裝版本時����,直接從所述版本切換標識指示的基站預裝版本中提取對應的安全操作系統(tǒng)映像���;
[0031]在所述版本切換標識指示所述數(shù)據(jù)保護區(qū)中的基站預裝版本時,將該基站預裝版本恢復至所述文件系統(tǒng)數(shù)據(jù)區(qū)����,再從所述文件系統(tǒng)數(shù)據(jù)區(qū)的基站預裝版本中提取安全操作系統(tǒng)映像。
[0032]優(yōu)選的�,對所述安全操作系統(tǒng)的映像進行可信認證的步驟之后,還包括:
[0033]在所述安全操作系統(tǒng)的映像未通過可信認證后���,觸發(fā)基站重啟復位����,將所述版本切換標識的數(shù)值強制置位為指示其他基站預裝版本��,所述其他基站預裝版本存儲于所述文件系統(tǒng)數(shù)據(jù)區(qū)或數(shù)據(jù)保護區(qū)����。
[0034]優(yōu)選的,所述安全操作系統(tǒng)加載軟件環(huán)境�����,創(chuàng)建可信環(huán)境包括:
[0035]啟動所述安全操作系統(tǒng),從所述基站預裝版本中提取并加載所述應用軟件���,掛接所述可信網(wǎng)絡軟件庫�����。
[0036]優(yōu)選的,該方法還包括:
[0037]在所述安全操作系統(tǒng)啟動后���,所述基站向遠程控制端請求認證����;
[0038]所述基站在通過所述遠程控制端認證后��,接收該遠程控制端下發(fā)的新的基站預裝版本及配套密鑰集���;
[0039]所述基站將所述新的基站預裝版本寫入所述數(shù)據(jù)保護區(qū)及所述文件系統(tǒng)數(shù)據(jù)區(qū)���,并將所述配套密鑰集寫入該基站的TPM硬件;
[0040]所述基站更改版本切換標識的值為指示所述新的基站預裝版本�,并發(fā)起復位,在復位后加載所述新的基站預裝版本�。
[0041]本發(fā)明還提供了一種基站異常恢復方法��,包括:
[0042]在基站的可信環(huán)境中,對所述基站進行可信風險度檢查�����;
[0043]在可信風險度檢查中發(fā)現(xiàn)基站異常時�����,將所述基站復位并恢復至可信的基站預裝版本�。
[0044]優(yōu)選的,所述基站的可信環(huán)境由運行于該基站的安全操作系統(tǒng)�����、可信的服務軟件庫和可信的網(wǎng)絡服務系統(tǒng)構成��,該方法還包括:
[0045]預先向所述基站的非易失存儲的數(shù)據(jù)保護區(qū)和文件系統(tǒng)數(shù)據(jù)區(qū)均寫入版本切換標識及基站預裝版本����,所述基站預裝版本包括可信的Boot Loader代碼、BOOT代碼�����、安全操作系統(tǒng)的映像、可信網(wǎng)絡軟件庫和應用軟件�;
[0046]預先向所述基站的TPM硬件中寫入與所述基站預裝版本使用配套的密鑰集和基本B1S代碼。
[0047]優(yōu)選的����,所述在基站的可信環(huán)境中,對所述基站進行可信風險度檢查�����,對所述基站進行可信風險度檢查包括:
[0048]所述安全操作系統(tǒng)與所述應用軟件����、可信網(wǎng)絡軟件庫相配合����,周期性的對系統(tǒng)硬件、存儲系統(tǒng)�、網(wǎng)絡通信、軟件行為進行自檢����;
[0049]對自檢識別得到的數(shù)據(jù)進行風險評估決策,判定是否發(fā)生基站異常�����。
[0050]優(yōu)選的,所述安全操作系統(tǒng)與所述應用軟件�����、可信網(wǎng)絡軟件庫相配合��,周期性的對系統(tǒng)硬件���、存儲系統(tǒng)�����、網(wǎng)絡通信�、軟件行為進行自檢包括:
[0051]所述安全操作系統(tǒng)與所述應用軟件相配合��,周期性對所述基站的系統(tǒng)硬件��、存儲系統(tǒng)進行自檢�,收集靜態(tài)可信性評估數(shù)據(jù),所述靜態(tài)可信性評估數(shù)據(jù)至少包含以下任一或任意多個基站異常事件的數(shù)據(jù):
[0052]識別硬件失效�,版本非法更換;
[0053]通過所述可信網(wǎng)絡軟件庫的基礎服務功能�,實時對網(wǎng)絡通信進行認證����,通過應用軟件周期性向操作系統(tǒng)認證�����,收集系統(tǒng)動態(tài)可信性評估數(shù)據(jù)�����,所述系統(tǒng)動態(tài)可信性評估數(shù)據(jù)至少包含以下任一或任意多個基站異常事件的數(shù)據(jù):
[0054]網(wǎng)絡非授權訪問�����,網(wǎng)絡劫持��;
[0055]通過所述應用軟件收到的業(yè)務指令類別進行外部指令集中度數(shù)據(jù)檢查����,收集非授權行為特征的數(shù)據(jù)���,所述非授權行為特征數(shù)據(jù)至少包含以下任一或任意多個基站異常事件的數(shù)據(jù):
[0056]文件非授權刪除�,文件非授權拷貝����,嚴重危及設備安全的非授權操作��。
[0057]優(yōu)選的��,對自檢識別得到的風險進行評估決策