一種高性能可信平臺控制模塊的設(shè)計和實現(xiàn)

００引言可信平臺控制模塊(TrustedPlatformControlModule,TPCM)的前身可信平臺模塊(TrustedPlatformModule,TPM)是一種基于可信計算技術(shù)的硬件設(shè)備。模塊與宿主機相連，用于驗證用戶、硬件、系統(tǒng)的身份信息，并處理宿主機可信計算相關(guān)的業(yè)務(wù)請求?？尚庞嬎懵?lián)盟(TrustedComputingGroup,TCG)提出的可信平臺模型的可信度量根是可信啟動代碼，可信模塊受宿主機支配，屬于被動度量。模塊無法保證宿主機啟動代碼和處理器啟動時的可信狀態(tài)。如果啟動代碼遭到篡改，可以使宿主機繞過可信平臺模塊運行而不受控制，可信功能完全失效。現(xiàn)在以BIOS（BasicInputOutputSystem,基本輸入輸出系統(tǒng)）、UEFI（UnifiedExtensibleFirmwareInterface,統(tǒng)一可擴展固件接口）等啟動代碼為目標(biāo)的攻擊越來越多，TPM不足以應(yīng)對這類威脅。我國在可信計算技術(shù)領(lǐng)域上居于世界先進(jìn)水平，提出了將可信模塊作為可信根的主動度量技術(shù)。模塊在開機后中斷主機的啟動操作，度量認(rèn)證啟動代碼，認(rèn)證通過后解除控制，主機正常啟動。近年來出現(xiàn)了很多關(guān)于TPCM實現(xiàn)啟動代碼度量技術(shù)的研究成果。這些方法實現(xiàn)了計算機啟動控制和啟動代碼度量認(rèn)證，為可信應(yīng)用提供了更好的支撐。目前主要有兩種啟動代碼度量的方式：一種思路是控制電源電路，先度量啟動代碼，然后讓主板上電；另一種思路是控制CPU的復(fù)位信號暫緩CPU的啟動，在啟動代碼度量通過后讓CPU讀取啟動代碼。兩種主動度量實現(xiàn)方式都不可避免地需要在主板上集成控制電路和啟動代碼，必須修改主板硬件。前者需要修改主機的電源電路和主板兩部分硬件，還需要加裝電源控制模塊。后者需要在主板上實現(xiàn)控制電路，工作量也比較大。本文基于上述第二種思路，提出一種優(yōu)化方案,將可信BIOS放置在TPCM內(nèi)部，TPCM在上電自檢時對BIOS的度量認(rèn)證，之后使能CPU完成BIOS的啟動。通過這種方式可進(jìn)一步減少主板的改動，增強平臺的安全性。同時由于采用了PCIe接口作為業(yè)務(wù)接口，密碼服務(wù)速率高，可以承擔(dān)更多應(yīng)用。01可信平臺控制模塊1.1技術(shù)背景和發(fā)展隨著社會生活日益信息化網(wǎng)絡(luò)化，對計算機的攻擊日益增加。例如WANNACRY勒索病毒，僅一次攻擊就涉及150個國家的上百萬臺計算機，造成多個國家政府部門和大企業(yè)信息系統(tǒng)癱瘓，影響了社會運轉(zhuǎn)并導(dǎo)致了巨大經(jīng)濟損失。而傳統(tǒng)的安全防護(hù)措施（殺毒軟件、防火墻、入侵檢測等）過于被動,只能根據(jù)既定策略對網(wǎng)絡(luò)攻擊進(jìn)行探測和阻斷，導(dǎo)致在新型攻擊發(fā)生時，無法及時研制新對策并部署實施，攻擊被中止或結(jié)束時，已產(chǎn)生較大損害?？尚庞嬎慵夹g(shù)作為一種采用主動防御機制可較好的解決以上問題。通過在計算機內(nèi)安裝專用硬件可信模塊，并注入確認(rèn)安全的軟硬件預(yù)期值信息，在開機后使用度量認(rèn)證方式對軟硬件進(jìn)行檢測，與模塊內(nèi)置預(yù)期狀態(tài)相同時判斷為可信，可以加載運行，所有與預(yù)期狀態(tài)不同的均不能運行，從而及時有效地防止了病毒、木馬、篡改軟件等非法攻擊，保證計算機運行于可信狀態(tài)。國際上的可信計算聯(lián)盟在1999年提出了可信平臺模塊（TPM）的概念，并制定大量標(biāo)準(zhǔn)規(guī)范，TPM實現(xiàn)了計算機本機可信的主要功能，標(biāo)志著可信計算技術(shù)進(jìn)入產(chǎn)業(yè)化階段，但仍存在著兩個較大問題：（1）模塊加密采用非對稱加密，速率較低；（2）可信BIOS作為度量可信根，可信模塊處于被動地位，安全性較低。我國在可信技術(shù)研究領(lǐng)域位于國際領(lǐng)先水平。我國成立的中關(guān)村可信產(chǎn)業(yè)聯(lián)盟提出了可信平臺控制模塊（TPCM）及其相關(guān)標(biāo)準(zhǔn)。TPCM大量采用對稱加密方式完成業(yè)務(wù)，提升了業(yè)務(wù)工作效率，模塊采用主動度量技術(shù)，模塊作為度量信任根，在主機啟動時先度量BIOS,提升了可信體系的可靠性。近年來，我國推出了大量基于國產(chǎn)密碼體制的可信計算芯片，有效地支持了可信計算產(chǎn)業(yè)的研究和發(fā)展。1.2TPCM和主動度量根據(jù)2016年中關(guān)村可信產(chǎn)業(yè)聯(lián)盟發(fā)布的相關(guān)標(biāo)準(zhǔn),TPCM的工作流程如圖1所示。圖1TPCM工作流程計算機順利啟動的流程步驟如下：（1）電源啟動后，TPCM±電，阻止啟動代碼加載。（2）TPCM執(zhí)行狀態(tài)自檢。（3）自檢通過后，TPCM對啟動代碼進(jìn)行度量。（4）如果啟動代碼度量結(jié)果正確，TPCM結(jié)束控制，啟動代碼加載執(zhí)行。（5）啟動代碼根據(jù)用戶預(yù)設(shè)策略調(diào)用TPCM對計算機硬件信息進(jìn)行度量認(rèn)證。（6）計算機硬件可信，則先后度量操作系統(tǒng)加載代碼和內(nèi)核代碼。（7）度量認(rèn)證通過后計算機加載操作系統(tǒng)，計算機工作于可信狀態(tài)下，計算機系統(tǒng)和軟件可以繼續(xù)使用TPCM進(jìn)行用戶身份認(rèn)證、軟硬件認(rèn)證和數(shù)據(jù)加密等密碼應(yīng)用。一旦上述自檢或度量認(rèn)證過程中出現(xiàn)失敗，TPCM控制計算機進(jìn)入異常處理流程，根據(jù)預(yù)制策略，計算機可能關(guān)機、重啟或掛起，或在策略允許的情況下讓步運行于非可信狀態(tài)。目前TPCM的實現(xiàn)主要是采用專用可信嵌入式芯片作為核心實現(xiàn)可信認(rèn)證流程和密碼服務(wù)。主要的區(qū)別是如何實現(xiàn)TPCM對計算機啟動流程的控制，尤其是如何控制啟動代碼加載。目前主流的啟動代碼控制機制有電源控制法和處理器控制法兩種。（1）電源控制法在計算機內(nèi)增加由TPCM控制的主板電源控制電路和啟動代碼讀取電路。TPCM在上電后控制通過主板電源控制電路控制計算機電源暫緩對主板上電，通過啟動代碼讀出電路對主板上的BIOS芯片上電并度量其內(nèi)部代碼。度量通過后，解除電源控制，使主板上電，BIOS正常啟動。其系統(tǒng)框圖如圖2所示。

圖2通過電源控制實現(xiàn)可信啟動（2）處理器控制法在計算機主板上增加由TPCM主導(dǎo)的啟動控制電路，主要實現(xiàn)對處理器的復(fù)位控制和BIOS總線開關(guān)兩項功能。TPCM同主板一同上電，立即控制CPU的復(fù)位信號阻止其讀取BIOSo之后TPCM先讀取并度量BIOS,完成認(rèn)證后再使處理器讀取啟動代碼，并正常啟動。其系統(tǒng)框圖如圖3所示。

圖3通過控制處理器實現(xiàn)可信啟動以上兩種方法均不可避免地涉及計算機電路改動。尤其是電源控制法，增加電源控制電路的同時還需要修改主板的BIOS芯片電路，否則TPCM無法讀取BIOS,處理器控制法則需要在主板上增加了一個邏輯開關(guān)電路，改造工作量也比較大。這兩種改造方法增加了TPCM的適配難度，影響了可信計算技術(shù)的普及速度。這兩種模式下BIOS都位于主板的存儲芯片上，容易被讀出，同時計算機啟動時，TPCM還需要先讀取BIOS,度量后再啟動計算機，也延長了開機時間。0２模塊設(shè)計2.1需求分析目前國內(nèi)實現(xiàn)的一些可信模塊普遍存在適配工作量大，安全性不高，啟動時間過長的問題。同時因為芯片技術(shù)的制約，早期的可信芯片性能較低，運算處理慢，進(jìn)一步地延長了度量認(rèn)證和數(shù)據(jù)加密等具體功能的時間，無法應(yīng)用于數(shù)據(jù)量較高的環(huán)境,影響了可信計算技術(shù)的拓展，限制了整個產(chǎn)業(yè)的發(fā)展。為解決以上問題，我們需要設(shè)計一種適配簡單,性能強大的TPCMO隨著最近幾年我國廠商推出一批高性能可信安全芯片，采用高集成度設(shè)計，大幅減少了對外圍電路芯片的需求，同時釆用PCIe等高速接口作為業(yè)務(wù)處理接口，密碼處理能力有了很大提高。使得設(shè)計和實現(xiàn)性能強大的TPCM有了技術(shù)基礎(chǔ)。釆用高性能TCM芯片研制的模塊安裝在視頻處理和網(wǎng)絡(luò)設(shè)備上，不僅可以實現(xiàn)對設(shè)備本身的可信保護(hù)，還可以利用模塊的高性能加密能力對其業(yè)務(wù)數(shù)據(jù)實現(xiàn)加密保護(hù)。但如何減少硬件適配工作量仍需要重點研究。2.2架構(gòu)設(shè)計結(jié)合需求分析，本文以國產(chǎn)高性能可信芯片為核心設(shè)計并實現(xiàn)了一款PCIe可信平臺控制模塊(下文簡稱一體化TPCM)。該設(shè)計是通過將可信BIOS放置于TPCM內(nèi)部，在完成對BIOS的可信度量的同時減少BIOS度量的處理時間。利用PCIe總線接口的預(yù)制保留管腳引入CPU。PCIe模塊的總體架構(gòu)如圖4所示。圖4一體化TPCM架構(gòu)模塊以國產(chǎn)TCM芯片為核心，搭配少量電源芯片、晶體和接口連接器等外圍電路構(gòu)成模塊硬件,為簡單起見，圖中省略了與本文工作關(guān)系不大的電路。TCM芯片內(nèi)置算法資源、控制單元、物理接口以及存儲空間。存儲空間內(nèi)置嵌入式軟件(固件)和可信BIOSo采用該架構(gòu)設(shè)計的一體化TPCM與傳統(tǒng)的通過復(fù)位控制啟動的模塊相比主要區(qū)別是將可信BIOS存儲于TPCM模塊中，這樣設(shè)計主要有以下三個優(yōu)點：(1)可信BIOS存儲于TPCM模塊的TCM芯片中，受芯片安全機制保護(hù)，抵御外界攻擊的能力更高，提升平臺的安全性。(2)模塊在上電自檢時即可對BIOS進(jìn)行度量認(rèn)證，省去了原來從主板上讀取BIOS的步驟，減少了啟動時間。(3)BIOS的啟動控制機制可以在模塊內(nèi)實現(xiàn),不需要在主板上實現(xiàn)開關(guān)電路。僅需從主板引出BIOS總線信號和CPU的復(fù)位信號到模塊上。2.3平臺度量流程計算機安裝一體化TPCM(這里默認(rèn)模塊已寫入可信BIOS和預(yù)期值)后啟動電源，平臺的度量流程如下：(1)TPCM上電自檢，關(guān)閉模塊SPI接口，拉起CPU復(fù)位信號。(2)

自檢完成后TPCM度量BIOS。(3)BIOS通過度量確認(rèn)可信后，TPCM配置SPI接口為從模式，取消對CPU的復(fù)位，CPU加載BIOS并啟動。(4)根據(jù)BIOS的策略依次度量硬件信息、操作系統(tǒng)加載代碼和內(nèi)核代碼，信任鏈延伸到操作系統(tǒng)啟動階段。(5)進(jìn)入操作系統(tǒng)后，TPCM對用戶行為和軟硬件安裝、運行繼續(xù)進(jìn)行監(jiān)控。0３模塊測試3.1可信度量功能測試一體化TPCM在X86、龍芯、飛騰等平臺均進(jìn)行了試用。使用篡改BIOS,更換內(nèi)存及硬盤，安裝未經(jīng)認(rèn)證的USB存儲設(shè)備等惡意操作驗證TPCM模塊和平臺的可信認(rèn)證功能。首先完成TPCM的初始化，將正確的預(yù)期值信息和可信BIOS寫入TPCM中，在計算機上安裝TPCM驅(qū)動和上層軟件。正常啟動計算機，保證計算機的狀態(tài)不變，計算機順利通過各項度量認(rèn)證，順利進(jìn)入操作系統(tǒng)。以此驗證了可信平臺可正常啟動。之后進(jìn)行攻擊測試，在計算機啟動前分別進(jìn)行以下惡意操作：對TPCM導(dǎo)入普通BIOS(不修改預(yù)期值)；更換計算機上的硬件，改裝同型號，不同物理編號的內(nèi)存條、硬盤和U盤；修改操作系統(tǒng)加載代碼等。之后啟動計算機，計算機均不能正常啟動。其具體現(xiàn)象如表１所示。表１惡意操作以及平臺反應(yīng)通過對類平臺的多種處理器平臺的試驗，驗證了TPCM模塊對各類惡意操作做出反制，對平臺實現(xiàn)了保護(hù)功能。3.2開機時間測試采用相同處理器平臺、硬件設(shè)備配置和操作系統(tǒng)的計算機，分別在使用被動度量機制啟動、使用TPCM控制啟動，使用一體化TPCM啟動的情況下測試其進(jìn)入操作系統(tǒng)登錄界面的時間。通過在多類平臺的多次測試證明使用傳統(tǒng)TPCM明顯慢于被動度量機制啟動，采用一體化TPCM與使用被動度量相近。3.3密碼服務(wù)性能測試在應(yīng)用層