基于混合加密的远程安全嵌入式0TA升级方法研究

引言

近年来,随着云技术在嵌入式系统开发中的广泛应用,云计算等IT技术加快了嵌入式软件的开发、部署和升级。针对传统嵌入式应用升级方式存在的成本高、便捷性差、实时性差等问题,空中下载技术(Over—the—Air,OTA)[1—3]可以实现分布式环境下的嵌入式软件远程升级。在OTA系统中,嵌入式终端用户可以从OTA服务器上下载最新版本的系统软件升级包并安装,远程实现软件升级、应用开通和漏洞修复等功能[4—5]。这种远程升级方式实现了应用的敏捷在线升级,加快了应用的更新迭代速度,将需求快速落实到嵌入式系统中。

然而,嵌入式OTA升级过程面临着诸多安全威胁。在嵌入式终端从OTA服务器下载升级包的过程中,如果通信前不对OTA服务器和嵌入式终端的身份信息进行验证,通信时采用不安全的通信协议或者直接明文通信,攻击者就极有可能发起身份伪造、动态劫持、数据窃听、数据篡改等攻击[6],窃取升级包中的私密数据,篡改、伪造升级包并发送给终端,导致终端更新修复系统失败,造成升级信息错误、升级包泄露、拒绝服务等安全风险。

近年来,一些学者致力于研究OTA安全升级问题。Petri等人[7]在2016年提出了一种针对车载软件的安全OTA协议,该协议使用可信平台模块来保存加密密钥,但是算法开销非常大;Steger等人[8]在2018年设计了基于区块链技术的车载OTA系统安全方案,当

任何部件提出升级请求时,所有其他部件都要同意响应该请求;Asokan等人[9]在2018年提出了一个OTA固件安全升级框架,可以实现端到端的身份验证和密钥保护,但是不能抵御通信过程中的窃听和篡改攻击。

本文根据国密SM系列算法,提出了一种基于混合加密算法的OTA安全传输方法,使用SM2算法和SM4算法进行升级包数据加解密,使用SM3算法和SM2算法进行数字签名和身份认证,确保OTA升级包的加密和传输过程具有足够高的安全性和有效性。

1 SM密码学算法介绍

近年来,随着各行业对信息安全需求的增加,国家密码管理局颁布了国内商业加密标准并推出了一系列加密算法,例如SM2[10]、SM3[11]、SM4[12]等。与国际流行加密算法相比,国密算法具有安全性能高、计算量小、存储成本低、计算速度快等优势。

SM2算法是一种非对称密钥算法,与国际标准非对称公钥算法RSA相比具有安全性高、存储空间小等优点。SM2算法采用ECC椭圆曲线加密机制,所使用的椭圆曲线方程为y2=x3+ax+b。SM2标准由一般规则、数字签名算法、公钥加密算法和密钥交换协议四个部分组成,使用SM2公钥加密和私钥解密可以实现公钥加密算法,使用SM2私钥加密和公钥解密可以实现数字签名算法。

SM3算法是一种哈希算法,与SHA—256算法相比,SM3算法在压缩函数中添加了消息双字插入和P替换,能够抵抗强碰撞差分分析和弱碰撞线性分析等攻击。SM3算法可以将消息输出为256比特的哈希值。SM3哈希过程如下:假设消息m的长度为l位,首先在消息末位添加比特1,再填充k个0使得l+1+k三448(mod 512);然后添加一个64位的字符串,该字符串为长度l的二进制表示,填充后的消息m/长度为512的倍数;将消息m/按512位分组,m/=B0||B1||…||Bn—1,其中n=(l+k+65)/512;对分组进行n轮迭代运算,vi+1=CF(vi,Bi),其中CF为压缩函数,i∈[0,n—1],v0为初始值,Bi为填充后的消息分组,vn为256位迭代压缩结果。

SM4算法是一种分组对称加密算法,具有安全性高、加密速度快的优点。SM4算法的分组长度为128位,密钥长度为128位。SM4的加解密流程分为两部分,32轮非线性迭代运算和1轮R字节反序列转换。SM4加密过程如下:设加密输入为长度为128位的明文D,将D分为四组,D=(D0,D1,D2,D3);非线性迭代运算输入密钥为rki∈(GF(232))4,非线性迭代运算公式为Di+4=Di田P(Di+1,Di+2,Di+3,rki),其中非线性迭代运算P为先非线性变化后线性变化的复合运算;32轮非线性迭代运算后对结果进行R反序列变换,(X35,X34,X33,X32)=R(X32,X33,X34,X35)。SM4解密过程的线性变化与加密流程类似,只是轮密钥顺序与加密相反。

2基于混合加密的安全OTA升级方法

本文使用SM3加密哈希算法和SM2数字签名算法对OTA服务器和嵌入式终端进行数字签名和身份认证,以保证升级包数据的完整性和不可否认性。签名过程描述如下:在发送数据之前,数据发送方首先使用SM3算法获取升级包的哈希值,使用发送方的SM2私钥和SM2加密算法对哈希值进行加密,获取升级包的数字签名,连同加密数据一并发送给接收方。接收方收到发送方发来的加密数据和数字签名,需要验证数字签名以确保数据来自正确的发送方且没有被篡改。签名验证过程描述如下:接收方通过解密算法获得升级包数据后,将升级包数据作为SM3算法的输入得到一个哈希值,用发送方的SM2公钥解密数字签名得到另一个哈希值,比较这两个哈希值,如果二者一致则意味着签名验证通过,接收到的消息是正确的,否则签名验证失败。

本文使用SM2公钥加密算法和SM4分组加密算法对升级包数据进行加解密,以保证升级包数据的机密性。加密过程描述如下:发送方生成SM4随机密钥,该密钥仅由发送方持有,通过接收方的公钥分配机制获得接收方的SM2公钥;发送方使用SM4加密算法和SM4密钥对升级包进行加密,得到密文升级包;然后使用公钥加密算法SM2和接收方的SM2公钥对SM4密钥进行加密,得到加密密钥;发送方将两个密文打包作为最终密文发送给接收方。解密过程描述如下:接收方收到加密升级包和加密密钥后,用接收方的SM2私钥解密获得SM4密钥,然后使用SM4密钥解密密文升级包,获取明文升级包。

假设升级包的发送方为OTA服务器A,接收方为嵌入式终端B,明文升级包为Data,OTA服务器的SM2公钥为keypubA、SM2私钥为keypriA,嵌入式终端的SM2公钥为keypubB、SM2私钥为keypriB。图1为基于混合加密的安全OTA升级包加密过程图。

具体过程描述如下:

(1)OTA服务器使用SM3算法获取升级包Data的哈希值HA(Data);

(2)OTA服务器将升级包哈希值HA(Data)作为数字签名算法SM2的输入,使用OTA服务器的SM2私钥keypriA对其进行加密,得到升级包数据的数字签名Digitalsig,得到签名后的升级包Data/;

(3)OTA服务器使用随机函数生成一个16字节的SM4随机密钥keyrand,该密钥仅由OTA服务器持有,随后使用keyrand对签名后的升级包Data/执行SM4算法,生成加密升级包Data*;

(4)OTA服务器使用公钥加密算法SM2和嵌入式终端的公钥keypubB对SM4密钥keyrand加密,生成加密密钥keyrand*;

(5)OTA服务器打包步骤(3)和(4)生成的加密升级包Data*和加密密钥keyrand*,作为最终密文Cipher*发送给嵌入式终端。

嵌入式终端B接收到OTA服务器A发送的最终密文,为正确地执行升级包,嵌入式终端B需要使用相应的解密算法对接收到的密文进行解密,获得原始的升级包。图2为基于混合加密的安全OTA升级包解密过程图。

具体过程描述如下:

(1)嵌入式终端将最终密文cipher*分割为加密升

级包Data*和加密密钥keyrand*两部分;

(2)嵌入式终端使用自身的SM2私钥keypriB对加密

密钥keyrand*进行解密,获得SM4密钥keyrand;

(3)嵌入式终端使用SM4密钥keyrand对加密升级包Data*进行解密,获取明文升级包Data;

(4)将解密得到的明文升级包Data作为SM3算法

的输入,得到明文升级包的哈希值HB(Data);

(5)使用OTA服务器的SM2公钥keypubA,解密数字签名Digitalsig,得到哈希值HA~(Data);

(6)比较步骤(4)和步骤(5)得到的哈希值HA

(Data)和HB(Data),如果它们一致表示数字签名验证通过,接收到的消息是正确的,否则表示验证失败,丢弃该升级包。

3实时性和安全性分析

建立嵌入式OTA系统仿真实验平台进行验证,发送方节点和接收方节点之间安全通信的时间开销为:

在上述仿真实验平台中,基于国密混合算法的一次加密通信时间约为276 ms,可以满足嵌入式系统对安全升级的实时要求。

本文设计的基于混合算法的远程安全嵌入式OTA升级方法具备以下安全性:

(1)双向身份验证。OTA服务器使用SM2私钥对SM3算法得到的哈希值进行数字签名,又使用随机生成的SM4密钥对签名后的升级包进行加密,嵌入式终端使用OTA服务器的SM2公钥进行数字签名验证,又使用SM2私钥解密得到SM4密钥,能有效防止非法用户接收OTA服务器发送的升级包,同时防止嵌入式终端接收非法用户发送的升级包。

(2)升级包机密性和完整性。OTA服务器使用SM4分组加密算法对升级包进行加密,在SM4算法的加密过程中生成一个128位的随机密钥,每次通信的加密密钥相互独立,进一步使用SM2公钥加密算法对SM4随机密钥进行加密,确保OTA升级包在传输过程中具有足够高的机密性。同时使用SM3生成哈希值和数字签名值对升级包进行完整性校验,保证OTA升级包在传输过程中的完整性。

(3)升级包不可否认性。OTA服务器和嵌入式终端在传输升级包过程中,使用基于SM2算法的数字签名技术,利用公私钥对传输升级包进行数字签名和验证,保证OTA升级包在传输过程中的不可否认性。

4结束语

本文针对嵌入式软件OTA升级包在传输过程中存在被恶意入侵、窃听和篡改的安全隐患,分析了国密SM2、SM3、SM4算法的基本原理,利用SM系列算法安全性能高、计算量小、存储成本低、计算速度快等特点,提出了一种基于混合加密算法的嵌入式OTA升级包安全传输方法,使用SM2算法和SM4算法对升级包数据进行加解密传输,使用SM3算法和SM2算法对OTA服务器和嵌入式终端进行数字签名和双向身份认证,保证嵌入式OTA系统升级包在传输过程中的完整性、机密性和不可否认性。