本實用新型屬于信息安全和可信計算領域,尤其涉及一種基于可信計算的移動裝置。
背景技術:
計算機和通信技術的發展使得信息安全問題受到越來越多的關注,實現計算的可信是構建信息安全的基礎。基于可信計算理論構建的可信計算平臺、可信平臺模塊等標準和規范,在以通用計算機為主的計算機安全中發揮了重要作用。
嵌入式系統是一種分布廣泛的計算系統,其數量以及應用范圍正在不斷的擴大。嵌入式系統在架構上與通用計算機系統相近,因此目前嵌入式系統多采用可信PC設計。但是,嵌入式系統控制器處理速度比通用計算機的CPU慢,若像可信PC那樣將可信計算相關的部分計算放到主控制器中去完成,將會影響嵌入式系統性能。同時,在可信PC中,可信計算信任根的三個核心部件在硬件上處于分離狀態且采用軟件實現的方式,嵌入式系統采用此架構將增加硬件體積,同時留下安全隱患。因此,研發一種基于可信計算的移動裝置,提高嵌入式移動終端的自主性和安全性已成為一個迫切的需求。
技術實現要素:
本實用新型所要解決的技術問題是針對背景技術的不足提供了一種基于可信計算的移動裝置。
本實用新型為解決上述技術問題采用以下技術方案
一種基于可信計算的移動裝置,包含嵌入式處理器、現場可編程門陣列FPGA和Nand-Flash存儲器,所述現場可編程門陣列FPGA分別與嵌入式處理器、Nand-Flash存儲器導線連接。
作為本實用新型一種基于可信計算的移動裝置的進一步優選方案,所述現場可編程門陣列FPGA包括NVCM模塊、總線仲裁模塊和F-TCM可信平臺模塊,所述總線仲裁模塊分別與F-TCM可信平臺模塊、NVCM模塊通過數字邏輯電路連接。
作為本實用新型一種基于可信計算的移動裝置的進一步優選方案,所述嵌入式處理器的芯片型號為ARM Cortex-A9。
作為本實用新型一種基于可信計算的移動裝置的進一步優選方案,所述現場可編程門陣列FPGA的芯片型號為ICE5LP4K。
作為本實用新型一種基于可信計算的移動裝置的進一步優選方案,所述NVCM模塊采用FPGA內置的非易失性存儲器。
作為本實用新型一種基于可信計算的移動裝置的進一步優選方案,所述總線仲裁模塊包括Nand-Flash緩沖模塊、總線仲裁控制邏輯器、Nand-Flash控制器模塊、Hash模塊和寄存器模塊。
作為本實用新型一種基于可信計算的移動裝置的進一步優選方案,所述F-TCM可信平臺模塊包括多端口FIFO、I2C配置模塊、UART控制模塊、非對稱密碼引擎、對稱密碼引擎、HMAC引擎、密鑰生成器、隨機數生成器和非易失性存儲器。
本實用新型采用以上技術方案與現有技術相比,具有以下技術效果:
1、本實用新型采用ARM+FPGA架構,在FPGA上實現了可信計算信任根的設計,以解決現有嵌入式移動終端架構單一,安全性低,擴展性差等問題;
2、本實用新型完成了可信計算平臺的設計,采用FPGA作為協處理器設計可信計算信任根,并由其對嵌入式處理器ARM進行授權控制,從硬件底層上保證了系統的安全性。同時,利用FPGA設計F-TCM可信平臺,包含了對稱密碼引擎模塊,能夠加強數據加密體系中外部存儲器的數據安全,建立了一種存儲的硬件安全機制。
附圖說明
圖1為本實用新型系統組成框圖;
圖2為本實用新型的總線仲裁模塊結構圖;
圖3為本實用新型的F-TCM可信平臺模塊結構圖。
具體實施方式
下面結合附圖對本實用新型的技術方案做進一步的詳細說明:
如圖1所示,如圖1,一種基于可信計算的移動裝置,包括嵌入式處理器、現場可編程門陣列FPGA和Nand-Flash存儲器;現場可編程門陣列FPGA與嵌入式處理器、Nand-Flash存儲器導線連接; Nand-Flash存儲器用于存儲系統平臺底層軟件,包括操作系統、硬件驅動等。FPGA為協處理處,主要完成可信計算平臺信任根的設計,包括NVCM模塊、總線仲裁模塊和F-TCM可信平臺模塊;系統上電后,FPGA中的F-TCM模塊開始運行并獲得Nand-Flash存儲器讀寫的總線控制權,通過總線仲裁模塊對Nand-Flash存儲器中的可執行代碼進行完整性驗證,驗證通過后F-TCM模塊將外部存儲器Nand-Flash讀寫的權力賦予嵌入式處理器ARM,讓其啟動。同時,將可執行代碼存儲于NVCM模塊中進行備份存儲。
如圖2,總線仲裁模塊包括Nand-Flash緩沖模塊、總線仲裁控制邏輯器、Nand-Flash控制器模塊、Hash模塊和寄存器模塊。
F-TCM模塊通過總線仲裁模塊中的寄存器模塊和Nand-Flash控制器完成對Nand-Flash存儲器中的可執行代碼讀取,經過Hash模塊對其進行完整性度量。處理通過后F-TCM模塊將外部存儲器讀寫的總線控制權授予嵌入式處理器ARM,允許其對Nand-Flash存儲器進行讀寫操作。若處理不通過,則提示可信嵌入式底層軟件被更改,終止系統運行,或通過NVCM模塊使嵌入式平臺恢復到某個保存過的正常狀態。
如圖3,F-TCM可信平臺模塊包括多端口FIFO、I2C配置模塊、UART控制模塊、非對稱密碼引擎、對稱密碼引擎、HMAC引擎、密鑰生成器、隨機數生成器和非易失性存儲器。
多端口FIFO是利用FPGA的片上資源開辟8個FIFO緩存,將SDRAM的數據端口仿真成八個虛擬端口(四個讀端口+四個寫端口),其中每個端口的數據寬度都設置為16位,深度設成256個字。
I2C配置模塊完成對嵌入式處理器ARM的內部參數和外部參數進行標定。
UART控制模塊為異步收發傳輸器UART的驅動,實現FPGA與ARM間高速信息傳輸。
操作系統層的加密程序可通過軟件接口調用的方式實現對外部存儲器中的大量數據利用對稱密碼引擎進行加密。
隨機數發生器用于產生隨機數,供密碼算法使用。
非易失性存儲器用于存儲Hash數據庫、安全狀態數據庫、業務狀態數據庫、系統軟件、COS文件、授權碼等掉電需要保存的數據。
本實用新型采用ARM+FPGA架構,在FPGA上實現了可信計算信任根的設計。嵌入式系統啟動后,FPGA中的F-TCM模塊開始運行并獲得外部存儲器讀寫的總線控制權,通過總線仲裁模塊中的寄存器模塊和Nand-Flash控制器完成對Nand-Flash存儲器中的可執行代碼讀取,經過Hash模塊對其進行完整性度量。處理通過后F-TCM模塊將外部存儲器讀寫的總線控制權授予嵌入式處理器ARM,允許其對Nand-Flash存儲器進行讀寫操作,并啟動系統。與現有嵌入式移動終端相比,本實用新型完成了可信計算平臺的設計,采用FPGA作為協處理器設計可信計算信任根,并由其對嵌入式處理器ARM進行授權控制,從硬件底層上保證了系統的安全性。同時,利用FPGA設計F-TCM可信平臺,包含了對稱密碼引擎模塊,能夠加強數據加密體系中外部存儲器的數據安全,建立了一種存儲的硬件安全機制。