一種高性能可信平臺(tái)控制模塊的設(shè)計(jì)和實(shí)現(xiàn)

００引言可信平臺(tái)控制模塊(TrustedPlatformControlModule,TPCM)的前身可信平臺(tái)模塊(TrustedPlatformModule,TPM)是一種基于可信計(jì)算技術(shù)的硬件設(shè)備。模塊與宿主機(jī)相連，用于驗(yàn)證用戶、硬件、系統(tǒng)的身份信息，并處理宿主機(jī)可信計(jì)算相關(guān)的業(yè)務(wù)請求?？尚庞?jì)算聯(lián)盟(TrustedComputingGroup,TCG)提出的可信平臺(tái)模型的可信度量根是可信啟動(dòng)代碼，可信模塊受宿主機(jī)支配，屬于被動(dòng)度量。模塊無法保證宿主機(jī)啟動(dòng)代碼和處理器啟動(dòng)時(shí)的可信狀態(tài)。如果啟動(dòng)代碼遭到篡改，可以使宿主機(jī)繞過可信平臺(tái)模塊運(yùn)行而不受控制，可信功能完全失效?，F(xiàn)在以BIOS（BasicInputOutputSystem,基本輸入輸出系統(tǒng)）、UEFI（UnifiedExtensibleFirmwareInterface,統(tǒng)一可擴(kuò)展固件接口）等啟動(dòng)代碼為目標(biāo)的攻擊越來越多，TPM不足以應(yīng)對(duì)這類威脅。我國在可信計(jì)算技術(shù)領(lǐng)域上居于世界先進(jìn)水平，提出了將可信模塊作為可信根的主動(dòng)度量技術(shù)。模塊在開機(jī)后中斷主機(jī)的啟動(dòng)操作，度量認(rèn)證啟動(dòng)代碼，認(rèn)證通過后解除控制，主機(jī)正常啟動(dòng)。近年來出現(xiàn)了很多關(guān)于TPCM實(shí)現(xiàn)啟動(dòng)代碼度量技術(shù)的研究成果。這些方法實(shí)現(xiàn)了計(jì)算機(jī)啟動(dòng)控制和啟動(dòng)代碼度量認(rèn)證，為可信應(yīng)用提供了更好的支撐。目前主要有兩種啟動(dòng)代碼度量的方式：一種思路是控制電源電路，先度量啟動(dòng)代碼，然后讓主板上電；另一種思路是控制CPU的復(fù)位信號(hào)暫緩CPU的啟動(dòng)，在啟動(dòng)代碼度量通過后讓CPU讀取啟動(dòng)代碼。兩種主動(dòng)度量實(shí)現(xiàn)方式都不可避免地需要在主板上集成控制電路和啟動(dòng)代碼，必須修改主板硬件。前者需要修改主機(jī)的電源電路和主板兩部分硬件，還需要加裝電源控制模塊。后者需要在主板上實(shí)現(xiàn)控制電路，工作量也比較大。本文基于上述第二種思路，提出一種優(yōu)化方案,將可信BIOS放置在TPCM內(nèi)部，TPCM在上電自檢時(shí)對(duì)BIOS的度量認(rèn)證，之后使能CPU完成BIOS的啟動(dòng)。通過這種方式可進(jìn)一步減少主板的改動(dòng)，增強(qiáng)平臺(tái)的安全性。同時(shí)由于采用了PCIe接口作為業(yè)務(wù)接口，密碼服務(wù)速率高，可以承擔(dān)更多應(yīng)用。01可信平臺(tái)控制模塊1.1技術(shù)背景和發(fā)展隨著社會(huì)生活日益信息化網(wǎng)絡(luò)化，對(duì)計(jì)算機(jī)的攻擊日益增加。例如WANNACRY勒索病毒，僅一次攻擊就涉及150個(gè)國家的上百萬臺(tái)計(jì)算機(jī)，造成多個(gè)國家政府部門和大企業(yè)信息系統(tǒng)癱瘓，影響了社會(huì)運(yùn)轉(zhuǎn)并導(dǎo)致了巨大經(jīng)濟(jì)損失。而傳統(tǒng)的安全防護(hù)措施（殺毒軟件、防火墻、入侵檢測等）過于被動(dòng),只能根據(jù)既定策略對(duì)網(wǎng)絡(luò)攻擊進(jìn)行探測和阻斷，導(dǎo)致在新型攻擊發(fā)生時(shí)，無法及時(shí)研制新對(duì)策并部署實(shí)施，攻擊被中止或結(jié)束時(shí)，已產(chǎn)生較大損害。可信計(jì)算技術(shù)作為一種采用主動(dòng)防御機(jī)制可較好的解決以上問題。通過在計(jì)算機(jī)內(nèi)安裝專用硬件可信模塊，并注入確認(rèn)安全的軟硬件預(yù)期值信息，在開機(jī)后使用度量認(rèn)證方式對(duì)軟硬件進(jìn)行檢測，與模塊內(nèi)置預(yù)期狀態(tài)相同時(shí)判斷為可信，可以加載運(yùn)行，所有與預(yù)期狀態(tài)不同的均不能運(yùn)行，從而及時(shí)有效地防止了病毒、木馬、篡改軟件等非法攻擊，保證計(jì)算機(jī)運(yùn)行于可信狀態(tài)。國際上的可信計(jì)算聯(lián)盟在1999年提出了可信平臺(tái)模塊（TPM）的概念，并制定大量標(biāo)準(zhǔn)規(guī)范，TPM實(shí)現(xiàn)了計(jì)算機(jī)本機(jī)可信的主要功能，標(biāo)志著可信計(jì)算技術(shù)進(jìn)入產(chǎn)業(yè)化階段，但仍存在著兩個(gè)較大問題：（1）模塊加密采用非對(duì)稱加密，速率較低；（2）可信BIOS作為度量可信根，可信模塊處于被動(dòng)地位，安全性較低。我國在可信技術(shù)研究領(lǐng)域位于國際領(lǐng)先水平。我國成立的中關(guān)村可信產(chǎn)業(yè)聯(lián)盟提出了可信平臺(tái)控制模塊（TPCM）及其相關(guān)標(biāo)準(zhǔn)。TPCM大量采用對(duì)稱加密方式完成業(yè)務(wù)，提升了業(yè)務(wù)工作效率，模塊采用主動(dòng)度量技術(shù)，模塊作為度量信任根，在主機(jī)啟動(dòng)時(shí)先度量BIOS,提升了可信體系的可靠性。近年來，我國推出了大量基于國產(chǎn)密碼體制的可信計(jì)算芯片，有效地支持了可信計(jì)算產(chǎn)業(yè)的研究和發(fā)展。1.2TPCM和主動(dòng)度量根據(jù)2016年中關(guān)村可信產(chǎn)業(yè)聯(lián)盟發(fā)布的相關(guān)標(biāo)準(zhǔn),TPCM的工作流程如圖1所示。圖1TPCM工作流程計(jì)算機(jī)順利啟動(dòng)的流程步驟如下：（1）電源啟動(dòng)后，TPCM±電，阻止啟動(dòng)代碼加載。（2）TPCM執(zhí)行狀態(tài)自檢。（3）自檢通過后，TPCM對(duì)啟動(dòng)代碼進(jìn)行度量。（4）如果啟動(dòng)代碼度量結(jié)果正確，TPCM結(jié)束控制，啟動(dòng)代碼加載執(zhí)行。（5）啟動(dòng)代碼根據(jù)用戶預(yù)設(shè)策略調(diào)用TPCM對(duì)計(jì)算機(jī)硬件信息進(jìn)行度量認(rèn)證。（6）計(jì)算機(jī)硬件可信，則先后度量操作系統(tǒng)加載代碼和內(nèi)核代碼。（7）度量認(rèn)證通過后計(jì)算機(jī)加載操作系統(tǒng)，計(jì)算機(jī)工作于可信狀態(tài)下，計(jì)算機(jī)系統(tǒng)和軟件可以繼續(xù)使用TPCM進(jìn)行用戶身份認(rèn)證、軟硬件認(rèn)證和數(shù)據(jù)加密等密碼應(yīng)用。一旦上述自檢或度量認(rèn)證過程中出現(xiàn)失敗，TPCM控制計(jì)算機(jī)進(jìn)入異常處理流程，根據(jù)預(yù)制策略，計(jì)算機(jī)可能關(guān)機(jī)、重啟或掛起，或在策略允許的情況下讓步運(yùn)行于非可信狀態(tài)。目前TPCM的實(shí)現(xiàn)主要是采用專用可信嵌入式芯片作為核心實(shí)現(xiàn)可信認(rèn)證流程和密碼服務(wù)。主要的區(qū)別是如何實(shí)現(xiàn)TPCM對(duì)計(jì)算機(jī)啟動(dòng)流程的控制，尤其是如何控制啟動(dòng)代碼加載。目前主流的啟動(dòng)代碼控制機(jī)制有電源控制法和處理器控制法兩種。（1）電源控制法在計(jì)算機(jī)內(nèi)增加由TPCM控制的主板電源控制電路和啟動(dòng)代碼讀取電路。TPCM在上電后控制通過主板電源控制電路控制計(jì)算機(jī)電源暫緩對(duì)主板上電，通過啟動(dòng)代碼讀出電路對(duì)主板上的BIOS芯片上電并度量其內(nèi)部代碼。度量通過后，解除電源控制，使主板上電，BIOS正常啟動(dòng)。其系統(tǒng)框圖如圖2所示。

圖2通過電源控制實(shí)現(xiàn)可信啟動(dòng)（2）處理器控制法在計(jì)算機(jī)主板上增加由TPCM主導(dǎo)的啟動(dòng)控制電路，主要實(shí)現(xiàn)對(duì)處理器的復(fù)位控制和BIOS總線開關(guān)兩項(xiàng)功能。TPCM同主板一同上電，立即控制CPU的復(fù)位信號(hào)阻止其讀取BIOSo之后TPCM先讀取并度量BIOS,完成認(rèn)證后再使處理器讀取啟動(dòng)代碼，并正常啟動(dòng)。其系統(tǒng)框圖如圖3所示。

圖3通過控制處理器實(shí)現(xiàn)可信啟動(dòng)以上兩種方法均不可避免地涉及計(jì)算機(jī)電路改動(dòng)。尤其是電源控制法，增加電源控制電路的同時(shí)還需要修改主板的BIOS芯片電路，否則TPCM無法讀取BIOS,處理器控制法則需要在主板上增加了一個(gè)邏輯開關(guān)電路，改造工作量也比較大。這兩種改造方法增加了TPCM的適配難度，影響了可信計(jì)算技術(shù)的普及速度。這兩種模式下BIOS都位于主板的存儲(chǔ)芯片上，容易被讀出，同時(shí)計(jì)算機(jī)啟動(dòng)時(shí)，TPCM還需要先讀取BIOS,度量后再啟動(dòng)計(jì)算機(jī)，也延長了開機(jī)時(shí)間。0２模塊設(shè)計(jì)2.1需求分析目前國內(nèi)實(shí)現(xiàn)的一些可信模塊普遍存在適配工作量大，安全性不高，啟動(dòng)時(shí)間過長的問題。同時(shí)因?yàn)樾酒夹g(shù)的制約，早期的可信芯片性能較低，運(yùn)算處理慢，進(jìn)一步地延長了度量認(rèn)證和數(shù)據(jù)加密等具體功能的時(shí)間，無法應(yīng)用于數(shù)據(jù)量較高的環(huán)境,影響了可信計(jì)算技術(shù)的拓展，限制了整個(gè)產(chǎn)業(yè)的發(fā)展。為解決以上問題，我們需要設(shè)計(jì)一種適配簡單,性能強(qiáng)大的TPCMO隨著最近幾年我國廠商推出一批高性能可信安全芯片，采用高集成度設(shè)計(jì)，大幅減少了對(duì)外圍電路芯片的需求，同時(shí)釆用PCIe等高速接口作為業(yè)務(wù)處理接口，密碼處理能力有了很大提高。使得設(shè)計(jì)和實(shí)現(xiàn)性能強(qiáng)大的TPCM有了技術(shù)基礎(chǔ)。釆用高性能TCM芯片研制的模塊安裝在視頻處理和網(wǎng)絡(luò)設(shè)備上，不僅可以實(shí)現(xiàn)對(duì)設(shè)備本身的可信保護(hù)，還可以利用模塊的高性能加密能力對(duì)其業(yè)務(wù)數(shù)據(jù)實(shí)現(xiàn)加密保護(hù)。但如何減少硬件適配工作量仍需要重點(diǎn)研究。2.2架構(gòu)設(shè)計(jì)結(jié)合需求分析，本文以國產(chǎn)高性能可信芯片為核心設(shè)計(jì)并實(shí)現(xiàn)了一款PCIe可信平臺(tái)控制模塊(下文簡稱一體化TPCM)。該設(shè)計(jì)是通過將可信BIOS放置于TPCM內(nèi)部，在完成對(duì)BIOS的可信度量的同時(shí)減少BIOS度量的處理時(shí)間。利用PCIe總線接口的預(yù)制保留管腳引入CPU。PCIe模塊的總體架構(gòu)如圖4所示。圖4一體化TPCM架構(gòu)模塊以國產(chǎn)TCM芯片為核心，搭配少量電源芯片、晶體和接口連接器等外圍電路構(gòu)成模塊硬件,為簡單起見，圖中省略了與本文工作關(guān)系不大的電路。TCM芯片內(nèi)置算法資源、控制單元、物理接口以及存儲(chǔ)空間。存儲(chǔ)空間內(nèi)置嵌入式軟件(固件)和可信BIOSo采用該架構(gòu)設(shè)計(jì)的一體化TPCM與傳統(tǒng)的通過復(fù)位控制啟動(dòng)的模塊相比主要區(qū)別是將可信BIOS存儲(chǔ)于TPCM模塊中，這樣設(shè)計(jì)主要有以下三個(gè)優(yōu)點(diǎn)：(1)可信BIOS存儲(chǔ)于TPCM模塊的TCM芯片中，受芯片安全機(jī)制保護(hù)，抵御外界攻擊的能力更高，提升平臺(tái)的安全性。(2)模塊在上電自檢時(shí)即可對(duì)BIOS進(jìn)行度量認(rèn)證，省去了原來從主板上讀取BIOS的步驟，減少了啟動(dòng)時(shí)間。(3)BIOS的啟動(dòng)控制機(jī)制可以在模塊內(nèi)實(shí)現(xiàn),不需要在主板上實(shí)現(xiàn)開關(guān)電路。僅需從主板引出BIOS總線信號(hào)和CPU的復(fù)位信號(hào)到模塊上。2.3平臺(tái)度量流程計(jì)算機(jī)安裝一體化TPCM(這里默認(rèn)模塊已寫入可信BIOS和預(yù)期值)后啟動(dòng)電源，平臺(tái)的度量流程如下：(1)TPCM上電自檢，關(guān)閉模塊SPI接口，拉起CPU復(fù)位信號(hào)。(2)

自檢完成后TPCM度量BIOS。(3)BIOS通過度量確認(rèn)可信后，TPCM配置SPI接口為從模式，取消對(duì)CPU的復(fù)位，CPU加載BIOS并啟動(dòng)。(4)根據(jù)BIOS的策略依次度量硬件信息、操作系統(tǒng)加載代碼和內(nèi)核代碼，信任鏈延伸到操作系統(tǒng)啟動(dòng)階段。(5)進(jìn)入操作系統(tǒng)后，TPCM對(duì)用戶行為和軟硬件安裝、運(yùn)行繼續(xù)進(jìn)行監(jiān)控。0３模塊測試3.1可信度量功能測試一體化TPCM在X86、龍芯、飛騰等平臺(tái)均進(jìn)行了試用。使用篡改BIOS,更換內(nèi)存及硬盤，安裝未經(jīng)認(rèn)證的USB存儲(chǔ)設(shè)備等惡意操作驗(yàn)證TPCM模塊和平臺(tái)的可信認(rèn)證功能。首先完成TPCM的初始化，將正確的預(yù)期值信息和可信BIOS寫入TPCM中，在計(jì)算機(jī)上安裝TPCM驅(qū)動(dòng)和上層軟件。正常啟動(dòng)計(jì)算機(jī)，保證計(jì)算機(jī)的狀態(tài)不變，計(jì)算機(jī)順利通過各項(xiàng)度量認(rèn)證，順利進(jìn)入操作系統(tǒng)。以此驗(yàn)證了可信平臺(tái)可正常啟動(dòng)。之后進(jìn)行攻擊測試，在計(jì)算機(jī)啟動(dòng)前分別進(jìn)行以下惡意操作：對(duì)TPCM導(dǎo)入普通BIOS(不修改預(yù)期值)；更換計(jì)算機(jī)上的硬件，改裝同型號(hào)，不同物理編號(hào)的內(nèi)存條、硬盤和U盤；修改操作系統(tǒng)加載代碼等。之后啟動(dòng)計(jì)算機(jī)，計(jì)算機(jī)均不能正常啟動(dòng)。其具體現(xiàn)象如表１所示。表１惡意操作以及平臺(tái)反應(yīng)通過對(duì)類平臺(tái)的多種處理器平臺(tái)的試驗(yàn)，驗(yàn)證了TPCM模塊對(duì)各類惡意操作做出反制，對(duì)平臺(tái)實(shí)現(xiàn)了保護(hù)功能。3.2開機(jī)時(shí)間測試采用相同處理器平臺(tái)、硬件設(shè)備配置和操作系統(tǒng)的計(jì)算機(jī)，分別在使用被動(dòng)度量機(jī)制啟動(dòng)、使用TPCM控制啟動(dòng)，使用一體化TPCM啟動(dòng)的情況下測試其進(jìn)入操作系統(tǒng)登錄界面的時(shí)間。通過在多類平臺(tái)的多次測試證明使用傳統(tǒng)TPCM明顯慢于被動(dòng)度量機(jī)制啟動(dòng)，采用一體化TPCM與使用被動(dòng)度量相近。3.3密碼服務(wù)性能測試在應(yīng)用層