[发明专利]一种基于可信计算的物联网终端安全保护系统

权利要求书

1.一种基于可信计算的物联网终端安全保护系统，其特征在于：包括：

TCM可信计算模块（10），设置在物联网终端硬件平台中，作为物联网终端的可信根；其中，所述的TCM可信根包含：可信度量根、可信存储根和可信报告根；

平台完整性度量模块（20），用于对物联网终端硬件平台进行平台完整性度量；

所述平台完整性度量模块（20）包括：

基准值度量模块（201），用于在平台是可信的状态下，对平台的各个模块进行度量，将度量结果作为度量的基准值，其中：所述平台的各个模块包括：可信PMON、Linux内核和核心配置文件；

可信度量模块（202），用于通过TCM可信根依次对文件进行度量，并将度量值与基准值进行比较，比较一致则度量通过。

2.根据权利要求1所述的一种基于可信计算的物联网终端安全保护系统，其特征在于：还包括：

创建模块（30），用于创建平台身份秘钥；其中：所述的平台身份秘钥由背书密钥EK和证书认证中心联合生成，所述背书密钥EK存放在可信报告根中，与背书密钥EK对应的公钥证书公开；

身份认证模块（40），用于通过平台身份秘钥对平台进行身份认证。

3.根据权利要求1所述的一种基于可信计算的物联网终端安全保护系统，其特征在于：还包括：

加密模块（50），用于通过TCM可信根对平台待发送信息进行加密。

4.根据权利要求1所述的一种基于可信计算的物联网终端安全保护系统，其特征在于：还包括：

解密模块（60），用于通过TCM可信根对平台接收信息进行解密。

5.根据权利于要求1所述的一种基于可信计算的物联网终端安全保护系统，其特征在于：所述可信度量模块（202）包括：

可信PMON度量模块（2021），用于对可信PMON进行度量，度量通过则启动PMON；

操作系统度量模块（2022），用于对Linux内核和核心配置文件进行度量，度量通过则启动Linux系统；

可信应用度量模块（2023），用于对可信应用进行度量，度量通过以后，启动可信的应用程序；

存储模块（2024），用于记录当前平台状态为可信，并将该状态存入TCM可信根的可信存储根中，所述的可信存储根为PCR寄存器当中。

6.根据权利于要求3所述的一种基于可信计算的物联网终端安全保护系统，其特征在于：所述加密模块（50）包括：

将待加密数据和存储密钥的授权信息一同发送给TCM可信根；

TCM可信根对解密过程要使用的PCR值进行存储；

TCM可信根对待加密数据进行加密，并封装成数据块；

将加密后的数据块存储在外部存储空间中。

7.根据权利于要求3所述的一种基于可信计算的物联网终端安全保护系统，其特征在于：所述解密模块（60）包括：

TCM可信根接收经过加密后的数据块和存储密钥的授权信息；

TCM可信根使用存储密钥对加密的数据块进行解密，其中：解密后的数据块包含PCR值；

核对解密后的PCR值与当前平台的PCR值是否相同，相同，则返回解密后的数据，不同，则返回失败。

8.根据权利于要求1所述的一种基于可信计算的物联网终端安全保护系统，其特征在于：所述的TCM可信计算模块（10）包括型号为Z32H330的芯片。

9.根据权利于要求1所述的一种基于可信计算的物联网终端安全保护系统，其特征在于：所述物联网终端的嵌入式硬件平台中设置有TCM可信计算模块（10）的SPI驱动，所述TCM可信计算模块（10）与物联网终端之间通过SPI接口进行通信连接。