高可信嵌入式计算机多策略自毁方法.pdf

《高可信嵌入式计算机多策略自毁方法.pdf》由会员分享，可在线阅读，更多相关《高可信嵌入式计算机多策略自毁方法.pdf（11页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN102324003A43申请公布日20120118CN102324003ACN102324003A21申请号201110132632X22申请日20110520G06F21/0020060171申请人哈尔滨工业大学地址150001黑龙江省哈尔滨市南岗区西大直街92号72发明人刘宏伟舒燕君左德承董剑吴智博周海鹰罗丹彦张展温东新苗百利钱军李璟梁佼徐文芳林成74专利代理机构哈尔滨市松花江专利商标事务所23109代理人牟永林54发明名称高可信嵌入式计算机多策略自毁方法57摘要高可信嵌入式计算机多策略自毁方法，属于计算机安全技术领域。它解决了现有高可信嵌入式计算机的自毁策略会由于管理员。

2、的失误，造成不必要的自毁的问题。它包括以下步骤步骤一通过自毁模块获得计算机系统受到威胁的信息，并根据获得的计算机系统受到威胁的信息判断所受到威胁的等级，发送自毁控制指令；步骤二多策略自毁子系统根据接收到的自毁模块的控制指令，选择相应的控制策略，进行关键数据销毁。本发明适用于高可信嵌入式计算机的安全保护。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书6页附图2页CN102324015A1/2页21一种高可信嵌入式计算机多策略自毁方法，其特征在于它包括以下步骤步骤一通过自毁模块1获得计算机系统受到威胁的信息，并根据获得的计算机系统受到威胁的信息判断所受到威胁的等。

3、级，发送自毁控制指令；步骤二多策略自毁子系统2根据接收到的自毁模块1的控制指令，选择相应的控制策略，进行关键数据销毁。2根据权利要求1所述的高可信嵌入式计算机多策略自毁方法，其特征在于步骤二中多策略自毁子系统2根据接收到的自毁模块1的控制指令，选择相应的控制策略的具体过程为当自毁模块1的控制指令表明计算机系统受到初级威胁，多策略自毁子系统2选择数据自毁策略模块21进行关键数据销毁；当自毁模块1的控制指令表明计算机系统受到中级威胁，多策略自毁子系统2选择程序自毁策略模块22进行关键数据销毁；当自毁模块1的控制指令表明计算机系统受到高级威胁，多策略自毁子系统2选择电气自毁策略模块23进行关键数据销。

4、毁。3根据权利要求2所述的高可信嵌入式计算机多策略自毁方法，其特征在于所述数据自毁策略模块21进行关键数据销毁是指删除计算机系统中的用户信息、数据库及应用程序输出结果。4根据权利要求2所述的高可信嵌入式计算机多策略自毁方法，其特征在于所述程序自毁策略模块22进行关键数据销毁是指销毁计算机系统中的操作系统、应用程序及数据库程序。5根据权利要求2所述的高可信嵌入式计算机多策略自毁方法，其特征在于所述电气自毁策略模块23进行关键数据销毁是指控制电气自毁电路直接对目标芯片231进行物理破坏。6根据权利要求5所述的高可信嵌入式计算机多策略自毁方法，其特征在于所述电气自毁电路由信号转换芯片2321、VCC。

5、电源2322、继电器2323、直流电压芯片2324、电阻2325和电容2326组成，直流电压芯片2324的V脚连接VCC电源2322的正极连接端，VCC电源2322的负极连接端接电源地，VCC电源2322的负极连接端连接电容2326的一端，电容2326的另一端连接电阻2325的一端，电阻2325的另一端连接直流电压芯片2324的电源输出端VOUT，直流电压芯片2324的GND脚接电源地；VCC电源2322的正极连接端连接信号转换芯片2321的一端，信号转换芯片2321的另一端连接继电器2323的控制线圈的一端，继电器2323的控制线圈的另一端连接VCC电源2322的负极连接端；VCC电源232。

6、2的正极连接端连接继电器2323的单刀双掷开关的常闭触点，该单刀双掷开关的常开触点连接电阻2325的一端，该电阻2325的一端为该电阻2325与电容2326相连接的一端，该单刀双掷开关的动触点连接目标芯片231的电源供电端VCC1，目标芯片231的电源地端GND连接VCC电源2322的负极连接端；信号转换芯片2321用于在接收到自毁模块1的控制指令时在输出端输出5V电压。权利要求书CN102324003ACN102324015A2/2页37根据权利要求6所述的高可信嵌入式计算机多策略自毁方法，其特征在于信号转换芯片2321采用TPS2013芯片实现。8根据权利要求6所述的高可信嵌入式计算机多策。

7、略自毁方法，其特征在于继电器2323采用型号为HJR3FFSZ的单刀双掷继电器。权利要求书CN102324003ACN102324015A1/6页4高可信嵌入式计算机多策略自毁方法技术领域0001本发明涉及一种高可信嵌入式计算机多策略自毁方法，属于计算机安全技术领域。背景技术0002目前高可信嵌入式计算机应用的领域非常广泛，大量重要敏感的数据会根据需要存放于关键领域的高可信嵌入式计算机系统中，不希望被他人窃取或修改。例如应用在商业领域的高可信嵌入式计算机，一旦失控、丢失或失窃，势必造成数据泄密，给企业带来难以估量的损失，对企业发展带来很坏的影响。因此对计算机嵌入式系统应用自毁技术，实现自毁功能。

8、势在必行。高可信嵌入式计算机为保证机密性和安全性，需要在系统安全受到威胁，例如系统身份认证失败、系统被人为破坏时，通过安全自毁技术为实现上述安全属性提供最后的保障，防止有人试图反复尝试登录，使用暴力破解进入系统，窃取系统内部的重要数据。0003通常，计算机自毁策略的成本比较高，并且自毁设计会影响系统的使用，降低系统的可用性，因此选择适当的自毁时机及合理的自毁方式十分必要。若管理员无意识的错误触发系统不必要的自毁，则会造成系统毁灭性的损失，这种机制在实际应用中存在很大的隐患。因此自毁系统必须避免无意义的自毁，因为这种错误不仅影响我方对该系统的正常使用，同时当系统不慎落入敌方手中，也可能对我方造成。

9、严重且不可预知的损失。发明内容0004本发明的目的是解决现有高可信嵌入式计算机的自毁策略会由于管理员的失误，造成不必要的自毁的问题，提供一种高可信嵌入式计算机多策略自毁方法。0005本发明所述高可信嵌入式计算机多策略自毁方法包括以下步骤0006步骤一通过自毁模块获得计算机系统受到威胁的信息，并根据获得的计算机系统受到威胁的信息判断所受到威胁的等级，发送自毁控制指令；0007步骤二多策略自毁子系统根据接收到的自毁模块的控制指令，选择相应的控制策略，进行关键数据销毁。0008步骤二中多策略自毁子系统根据接收到的自毁模块的控制指令，选择相应的控制策略的具体过程为0009当自毁模块的控制指令表明计算机。

10、系统受到初级威胁，多策略自毁子系统选择数据自毁策略模块进行关键数据销毁；0010当自毁模块的控制指令表明计算机系统受到中级威胁，多策略自毁子系统选择程序自毁策略模块进行关键数据销毁；0011当自毁模块的控制指令表明计算机系统受到高级威胁，多策略自毁子系统选择电气自毁策略模块进行关键数据销毁。0012本发明的优点是本发明是一种对高可信嵌入式计算机中的关键信息数据进行多说明书CN102324003ACN102324015A2/6页5策略自毁的方法，本发明方法能够在没有管理员支配的情况下，根据计算机系统当前所处外界状况，自动确认是否受到威胁，并判断威胁等级，按照威胁等级的不同采取不同的自毁策略。它保。

11、证了计算机系统自毁的准确性、及时性以及可靠性，能够维护计算机系统的信息安全，避免其机密信息泄露造成严重损失。0013本发明有效保证了高可信嵌入式计算机在出现丢失、破坏及信息被窃取的情况时，系统关键数据的安全性。附图说明0014图1为本发明方法的流程图；0015图2为本发明电气自毁电路的电路结构图，图中信号转换芯片处的前头表示接收到的自毁信号；0016图3为本发明电气自毁电路的原理图。具体实施方式0017具体实施方式一下面结合图1说明本实施方式，本实施方式所述高可信嵌入式计算机多策略自毁方法，它包括以下步骤0018步骤一通过自毁模块1获得计算机系统受到威胁的信息，并根据获得的计算机系统受到威胁的。

12、信息判断所受到威胁的等级，发送自毁控制指令；0019步骤二多策略自毁子系统2根据接收到的自毁模块1的控制指令，选择相应的控制策略，进行关键数据销毁。0020本实施方式在高可信嵌入式计算机的关键数据信息受到威胁时，需要采用软硬件结合的方式，对关键信息或部件自毁，它保证了计算机系统在受到不同级别的威胁下采用不同的销毁策略，加大了系统的安全性和系统的销毁能力。0021具体实施方式二下面结合图1说明本实施方式，本实施方式为对实施方式一的进一步说明，步骤二中多策略自毁子系统2根据接收到的自毁模块1的控制指令，选择相应的控制策略的具体过程为0022当自毁模块1的控制指令表明计算机系统受到初级威胁，多策略自。

13、毁子系统2选择数据自毁策略模块21进行关键数据销毁；0023当自毁模块1的控制指令表明计算机系统受到中级威胁，多策略自毁子系统2选择程序自毁策略模块22进行关键数据销毁；0024当自毁模块1的控制指令表明计算机系统受到高级威胁，多策略自毁子系统2选择电气自毁策略模块23进行关键数据销毁。0025为了保证系统的高可靠性及安全性，嵌入式系统中一般会对管理员采用身份认证机制，本实施方式中的威胁等级根据系统的认证策略进行判断。本实施方式中的初级威胁指系统受到外来人员非法登录，中级威胁是指系统被非法使用，高级威胁是指系统在认证失效后遭受拆卸等恶意破坏等情况。0026自毁模块1是采用软件实现的，系统在受到。

14、不同程度的威胁时，会发送不同信号到自毁模块1，通过判断类型，触发不同的自毁方式包括数据自毁，程序自毁、电气自毁。0027当用户登录多次而失效的时候，自毁模块1得到相应信号，判定为初级威胁，既而说明书CN102324003ACN102324015A3/6页6采用数据自毁策略模块21进行数据自毁。0028当用户在执行操作时验证多次未通过，自毁模块1得到相应信号，判定为中级威胁，既而采用程序自毁策略模块22进行程序自毁。0029当系统通过感知器感觉到系统机箱被人破坏，自毁模块1得到相应信号，判定为高级威胁，既而采用电气自毁策略模块23进行电气自毁。0030具体实施方式三本实施方式为对实施方式二的进一。

15、步说明，所述数据自毁策略模块21进行关键数据销毁是指删除计算机系统中的用户信息、数据库及应用程序输出结果。0031在自毁模块1接收到计算机系统受到的威胁信息时，自动获知威胁等级，当系统受到初级威胁时，会选择数据自毁策略模块21来完成系统的关键数据销毁。0032所述计算系统采用可擦除的存储器来存放关键数据，在需要进行数据自毁的时候，通过编程来实现对可擦除的存储器芯片中的关键数据进行销毁。可以通过芯片关键数据区域擦除方式，或者采用系统函数对关键数据文件进行数据覆写后再删除文件的操作。0033下面基于以下系统来对本实施方式进行具体描述计算机系统的计算单板采用基于ARM7内核的嵌入式CPU。除处理器外。

16、，单板上还具有NORFLASHROM，SDRAM以及NANDFLASHROM。操作系统及应用程序存放在NORFLASHROM中，而数据文件及关键结果保存在NANDFLASHROM中。底板的主处理芯片选用的是ALTERA公司的CYCLONEII系列FPGA芯片EP2C35F672C8N，实现技术方案时采用了SOPC技术。每一块单板有自己独立的操作系统，运行相同的任务，并把任务结果通过专用总线送到底板进行表决，多策略的针对计算单板的关键数据实现销毁。0034数据自毁策略模块21的实现0035系统计算单板采用了8位的16M_8BIT的K9F2808芯片，用于扩展单板的存储空间，在此芯片中存放数据库、。

17、日志等关键数据内容。系统在数据自毁级别只需要对该芯片进行数据销毁。由于单板采用支持NANDFLASH的JFFS2文件系统，在开机启动时，自动将日志、数据库等文件加载到/MNT文件夹下，并且作为扩展存储芯片，计算得到的关键数据以文件的存储方式保存在该文件夹下。由于JFFS2文件系统支持文件的读写、压缩解缩服务，因此扩展数据文件是通过程序添加并对文件进行读写操作来进行数据更新的。操作系统对于文件的绝对地址是无法预知的，因此如果也采取擦除技术对整个芯片内部进行数据擦除得不偿失。因此采用通过底板发送自毁指令，单板接受命令后，对文件内容进行零数据写入，覆盖原有数据后再调用DELETE函数删除存放在/MN。

18、T文件夹下的所有关键数据文件。0036具体实施方式四本实施方式为对实施方式二或三的进一步说明，所述程序自毁策略模块22进行关键数据销毁是指销毁计算机系统中的操作系统、应用程序及数据库程序。0037本实施方式为在计算机系统受到中级威胁时，采用软件方式对系统采取程序自毁，来销毁系统中的关键程序，此方法不破坏芯片。与实施方式三中所述相同，程序存放在可擦除的存储芯片的固定区域内，当系统接收到程序自毁指令时，启动擦除程序，对存储芯片中程序的存储区域分别进行擦除，进而销毁关键的程序模块。0038单板中NORFLASHROM选用64MBIT8M_8BITINTELE28F128芯片，并将其映射到S3C44B。

19、0X的BANK0上，用作存储BOOTLOADER和LINUX系统镜像。在系统程序自毁策略中擦说明书CN102324003ACN102324015A4/6页7除该芯片中的所有信息，这个系统就将无法工作。根据E28F128数据手册所描述的，其指令集包括数组读取、读状态寄存器、清状态寄存器、写缓存、块清除、芯片配置、设置/清除块锁位等。因此该芯片的程序自毁操作可使用块擦除BLOCKERASE指令实现。擦除是按块进行的，也就是每次擦除的最小单位是块，通过向要擦除的块发送开始擦除和确认擦除命令来实现对关键数据的自毁。块擦除的具体流程为先向要进行擦除的块发送0X20H这个指令，地址线给出要擦拭块的地址，表。

20、示将要开始擦除；再发送0X0DH指令，地址线任意数据，确认擦除操作。此时，芯片E28F128开始自行擦除数据，该块中的数据全部会被写“1”。程序需要等待芯片工作完成后，才能继续擦除下一块数据。使用程序查询方式读取状态寄存器SR的值，判断芯片该块是否擦除完成。如果擦除完成，状态寄存器SR的值和0X80H进行“与”操作后的结果是零，表1详细的描述了如何擦除一个块。0039表1擦除NORFLASHROM芯片的操作00400041具体实施方式五下面结合图2和图3说明本实施方式，本实施方式为对实施方式二、三或四的进一步说明，所述电气自毁策略模块23进行关键数据销毁是指控制电气自毁电路直接对目标芯片231。

21、进行物理破坏。0042由于数据自毁与程序自毁的安全性仍然有一定的隐患，不能百分百地排除可能由于外界原因，造成芯片擦除不完全所导致自毁不完全情况发生的可能性。所以在系统被窃取或者系统信息受到高级威胁时，采用直接对芯片进行破坏的策略，采用硬件支持完成关键芯片的高压自毁，进行更彻底的自毁。在系统内部设置高压电路，与关键芯片、关键部件相连，系统自毁时接通高压，高压由逻辑开关控制，关键触发器触发开关的打开，破坏与高压相连接的存储芯片或部件，使得系统存储的关键数据和程序的彻底损毁，不可再生，系统摧毁。0043具体实施方式六下面结合图2和图3说明本实施方式，本实施方式为对实施方式五的进一步说明，所述电气自毁。

22、电路由信号转换芯片2321、VCC电源2322、继电器2323、直流电压芯片2324、电阻2325和电容2326组成，0044直流电压芯片2324的V脚连接VCC电源2322的正极连接端，VCC电源2322说明书CN102324003ACN102324015A5/6页8的负极连接端接电源地，VCC电源2322的负极连接端连接电容2326的一端，电容2326的另一端连接电阻2325的一端，电阻2325的另一端连接直流电压芯片2324的电源输出端VOUT，直流电压芯片2324的GND脚接电源地；0045VCC电源2322的正极连接端连接信号转换芯片2321的一端，信号转换芯片2321的另一端连接继。

23、电器2323的控制线圈的一端，继电器2323的控制线圈的另一端连接VCC电源2322的负极连接端；0046VCC电源2322的正极连接端连接继电器2323的单刀双掷开关的常闭触点，该单刀双掷开关的常开触点连接电阻2325的一端，该电阻2325的一端为该电阻2325与电容2326相连接的一端，该单刀双掷开关的动触点连接目标芯片231的电源供电端VCC1，目标芯片231的电源地端GND连接VCC电源2322的负极连接端；0047信号转换芯片2321用于在接收到自毁模块1的控制指令时在输出端输出5V电压。0048信号转换芯片2321输出的5V电压会使继电器2323的控制线圈通电，使得继电器2323的。

24、常闭触点断开，常开触点闭合，从而将目标芯片231的供电电源端与直流电压芯片2324的电源输出端连接，该直流电压芯片2324输出的电压高于目标芯片231能够承受的正常工作电压，因此该目标芯片231被高电压烧毁，进而实现芯片自毁。0049本实施方式所述的电气自毁通过在目标芯片231周围设计一个电气自毁电路来实现，具体电气自毁设计如图2。当自毁模块确认达到电气自毁门限值时，采用FPGA通过自定义管脚发送电气自毁信号至自毁系统的输入模块，使FPGA的输入模块产生一个输出信号，此FPGA的信号通过信号转换芯片2321转换成5V输出电压，该输出电压作为继电器2323的开关控制升压模块，使得升压芯片的高压输。

25、出可以作用到目标芯片231上，从而达到电气自毁的目的。0050所述的升压模块由电气自毁电路中的直流电压芯片2324、电阻2325和电容2326组成。0051具体实施方式七本实施方式为对实施方式六的进一步说明，信号转换芯片2321采用TPS2013芯片实现。0052继电器23230053由于升压模块是瞬间由33V的输入电压得到330V乃至更高的输出电压，为了保证机器正常工作时的安全性，在自毁电路中由继电器2323控制升压模块是否连接到电路中。由于升压模块和直流电压芯片2324都需要继电器2323的控制，所以这里继电器2323可选择天波的HJR3FFSZ单刀双掷继电器。0054升压模块0055升压。

26、模块可由数码相机升压电路板改装而来。模块中带一个日立引脚的330WV220UF闪光灯专用电容、一个东芝GT5G103的400V130AIGBT元件。模块满足输入电压32V5V时，输出电压为280V350V，电容参数330W220UF，充电时间约25秒，能满足瞬间高压击穿芯片的要求。0056目标芯片2310057为了很好的达到电气自毁可恢复性最小的目的，可以对NANDFLASH芯片以及NORFLASH芯片进行摧毁，从而达到全面的毁坏系统中的程序和数据的目的。说明书CN102324003ACN102324015A6/6页90058具体实施方式八本实施方式为对实施方式六或七的进一步说明，继电器2323采用型号为HJR3FFSZ的单刀双掷继电器。说明书CN102324003ACN102324015A1/2页10图1图2说明书附图CN102324003ACN102324015A2/2页11图3说明书附图CN102324003A。