基于安全芯片的可信平臺設計與實現

(1.中國科學院 計算技術研究所， 北京 100080; 2.中國科學院 研究生院， 北京 100049; 3.聯想研究院， 北京 100085)

摘 要：基于可信計算聯盟的規范，設計并實現了一個能夠進行系統完整性數據收集與度量的可信終端系統，在不明顯降低系統效率的前提下，獲得了更高的安全保障，為進一步建立可信網絡環境提供了基礎。

關鍵詞：可信計算; 可信平臺模塊（TPM）; 完整性度量

中圖法分類號：TP309文獻標識碼：A

文章編號：1001-3695(2006)08-0117-03



Design and Implementation of Trusted Platform Based on Secure Chip

XU Na 1，2， WEI Wei1，3

(1.Institute of Computing Technology， Chinese Academy of Sciences， Beijing 100080， China; 2.Graduate School， Chinese Academy of Sciences， Beijing 100049， China; 3.Lenovo Research Development Corp.， Beijing 100085， China)

Abstract:Based on the standards of the trusted computing group， a trusted platform has been designed and implemented， which has the ability to collect and attest the integrity status of the system. Higher assurance of system security has been gained without degrading the performance notably， thus the basis for building the trusted network environment has been provided.

Key words:Trusted Computing; Trusted Platform Module（TPM）; Attestation of Integrity

1引言

Internet飛速發展，各行各業的信息化不斷深入，電子商務、電子政務的應用日趨廣泛，它的開放性與互聯性帶來的眾多安全問題是始料未及的?，F有的應用模式中，服務器端作為安全的焦點采取了較為嚴密的安全措施，而對客戶端卻缺乏足夠的重視，形成易被攻擊者利用的弱點。

對于一些安全需求較高的應用，為了保證客戶端安全，通常采用封閉平臺，功能固定，使用嵌入式的硬件設備進行安全計算，如ATM機、POS機等。這類系統的功能相對單一、具備專用性。為了滿足多樣化的需求，開放性平臺成了眾多應用的首選，許多原來基于封閉性平臺的應用目前也逐漸轉向開放式平臺，如視訊終端設備。開放平臺可以提供通用的平臺環境，方便在上面運行眾多的應用，滿足不同需求，因此使用十分廣泛。但正是這樣的靈活性，對惡意程序也敞開了門戶，使系統的安全性大打折扣。對于一個遠程的訪問者而言，它不能也不應該對與其通信的另一端作出任何安全性假設。

單純依靠軟件來構筑系統的安全性是遠遠不夠的，這一點早已被業界所認知。可信計算[1]的興起正是以此為出發點，它是一種軟硬件相結合的技術，通過在平臺內部引入可信硬件設備作為可信根，為建立安全可靠的終端環境提供有效途徑。從解決終端的安全問題入手，無疑為網絡安全的發展提供了新思路。

基于上述描述，提出可信[2]的概念：一個實體是可信的，是指它按預定目的總是實施可以預知的行為。具備了可信屬性的平臺稱之為可信平臺，它旨在兼顧前述兩種平臺的優點，既提供應用的多樣性，又保證系統的高安全性。由此可見，可信計算平臺必將擁有廣闊的發展前景。

2相關的技術和研究現狀

AEGIS[3]是一個在FreeBSD系統上實現了從系統加電到應用程序層逐級安全驗證的原型系統。它將系統啟動的過程分為五個級別，BIOS的核心代碼構成了第零級別，這部分代碼被安全存放并被無條件信任。按照系統啟動的流程，在將控制傳遞到下一個級別代碼前，首先對代碼進行完整性驗證，驗證通過才能將控制向下傳遞，依此類推。若某一個環節的驗證失敗，則強制通過預先的備份數據進行恢復。由于在啟動中和啟動后實施了嚴格的驗證，系統可以在預先設定的狀態中執行，有效杜絕了惡意程序對系統造成的破壞。該系統的實現需要添加擴展的ROM，并且驗證失敗時恢復策略帶有強制性。作為一個原型系統，思想是值得借鑒的。

1999年由Compaq，HP，IBM，Intel和Microsoft牽頭組成了TCPA聯盟，專注于從計算平臺體系結構上增強其安全性，2003年3月改組為TCG[1]。TCG規范提倡采用一個單獨的安全模塊作為信任根，這是一個軟硬件相結合的子系統。該子系統被設計成能夠度量、存儲和報告系統可信賴屬性的模塊，是建立信任鏈的起始點。TCG規范旨在提供開放的、平臺無關的標準，從而被應用到不同的平臺設備中。TCG中的信任模型是以TPM（Trusted Platform Module）硬件模塊為基礎的，TCG只為系統引導階段建立初始信任過程中參數的度量和報告制定了標準，但對于如何保證系統運行時的可信，把信任鏈從引導階段延伸到操作系統的動態執行環境以及支持系統實時度量均未作探討。

NGSCB[5]是微軟新一代系統Longhorn中的技術，它基于TCG的標準。區別在于：TCG所提供的更側重于硬件平臺規范，是與廠商無關的；而NGSCB是微軟專有的基于可信計算的平臺規范，它的硬件基礎依賴于TPM，提供基于可信根的完整的系統解決方案。

IBM基于TCG規范在Linux系統下實現了一個完整性度量的體系架構[4]。通過修改Linux系統，在操作系統和上層應用加載運行前對其進行完整性驗證，從而將TCG規范中的信任關系從BIOS層延伸到了應用程序層。

關于可信計算的各方面研究都在積極展開，作為信息安全領域一個新的主戰場，獨立研究并掌握可信計算的關鍵技術具有重要意義。

3安全終端的架構和實現

3．1前提與假定

平臺中已嵌入符合TCG規范的TPM芯片，同時實現了支持其上層應用的TSS(Trusted Software Stack)組件。假定芯片提供的Sha1算法是安全的，能夠抵抗軟件攻擊和一定的物理攻擊。這樣，終端中的可信第三方就具備了“可信”的屬性。

3．2基本架構描述

本文所設計與實現的安全終端基于TCG規范，借鑒AEGIS系統中信任傳遞的思想，在現有Windows平臺上初步完成了從系統加電啟動到上層應用環境完整信任鏈的建立過程。在這個過程中，以TPM硬件模塊為核心的子系統作為安全終端內的可信第三方，實時地、客觀地完成系統狀態信息的收集和安全存儲，使用這些狀態信息既可以實現終端自身的度量，保證終端運行環境的安全可信；更進一步還可以為網絡環境中實體之間的相互度量提供依據，保障可信網絡環境的建立。

信任的建立包括完整性狀態信息的收集，本地及遠程的完整性度量。整體結構如圖1所示。安全終端負責自身完整性信息的收集與度量，最終實現圖1中網絡環境下遠程度量。五個步驟簡要描述如下：

（1）客戶端請求接入服務端某項服務，進行初始連接請求；

（2）服務器端產生隨機數值nonce，要求客戶端提交收集的系統完整性值；

（3）客戶端通過完整性收集代理從安全存儲和PCR中獲取完整性值，連同nonce值一并進行簽名；

（4）客戶端通過完整性度量代理將上步得到的數據發送到服務器端；

（5）服務器端根據數據庫對客戶端進行完整性度量，同時根據驗證結果判定其可信狀態，并給予應答。

實現以上網絡環境下的度量，首先要在客戶端實現數據的收集與安全存儲。完整性數據的存儲分為兩部分，即度量列表和鏈接哈希值。它們分別存放于安全存儲和TPM內部的PCR寄存器中。其中，安全存儲通過磁盤上特殊的分區來實現，存放對受保護的操作系統和應用程序各個模塊收集到的完整性度量值。為了保護度量列表自身內容的完整性，還要存儲它們的鏈接值。這里使用的PCR(Platform Configuration Register)屬于易失性存儲，目前TPM支持16個，每次開機時均復位零。伴隨系統的啟動和控制權的逐級傳遞，采用TPM提供的Sha1度量各個模塊保存完整性值，同時調用TPM內部命令Extend把度量結果寫入相應PCR。Extend操作把當前PCR值和新計算的值進行鏈接后再調用Sha1，用輸出的值更新PCR，運算過程如下：Sha1 (Sha1(Sha1(0‖ m 1)‖m 2)‖m i)。 這種方式可以實時準確地記錄系統的狀態信息，防止偽造度量列表項的數據。各PCR的用途如圖2所示。

上述描述的完整性數據的構成具備很好的靈活性和擴展性。TCG規范中僅提供了PCR形式的度量數據的存儲，如果只根據PCR值進行系統可信狀態的判定，對于開放式的系統平臺將很難具備可行性，因為操作系統本身的配置不是唯一性的，在其上運行的應用也靈活多樣，加載的次序問題也不固定，因此不應該對各種組合形成的PCR值作簡單的唯一性限定，這將喪失我們所希望保持的開放性平臺的靈活性。所以我們增加了度量列表的內容，對列表項對應的每個模塊分別驗證完整性，而PCR中的值用來保證列表本身的完整性不被破壞。如此，既可避免嚴格限定又保證收集的數據的安全可信。

實現完整性數據收集需要在系統控制權傳遞的每個環節中插入度量點。這些環節除了在TCG規范中詳細描述的引導階段外，我們需要重點實現的插入部分位于操作系統加載前和應用程序加載前。對于前者，當引導模塊獲得控制權即將加載系統模塊時，將切換到一個小的專用系統，該系統專門負責要加載的操作系統模塊的完整性數據收集與驗證。執行完該過程后，控制權才返回引導模塊，執行加載過程。對于后者，處于操作系統運行中，需要截獲可執行文件的運行行為，在運行前收集要執行文件的完整性數據。兩種情況插入的度量點，除了收集數據并存儲外，均可結合終端安全存放的備份數據，執行自身度量，根據結果按照定制的策略進行相關恢復或更新操作。完整的信任鏈建立過程如圖3所示。

3．3系統實現

基于上述完整架構的描述，目前我們已在終端系統上實現了完整性數據的收集、度量與恢復系統。對于遠程度量的實現還需要完成的只多了數據傳輸和交互部分，度量的過程與本地進行是完全類似的，因而不涉及核心內容，不再贅述。

根據系統配置，操作系統模塊的加載順序相對固定，除非系統重啟，度量的過程只執行一次，因而操作方式相對簡單，只需依次度量各個模塊并執行相應策略既可。系統啟動后，對于應用程序的度量相對比較復雜：①運行具有隨機特性；②同一程序的運行具有反復特性。對于問題①，沒有固定度量次序，需要準確獲取度量時機，為了實現這一目的，利用文件過濾捕獲對系統文件和可執行文件的讀寫操作；對于問題②，同一程序的反復度量，加上應用眾多，勢必影響系統運行效率，需要更高效的解決方式，采用標志位Dirty來提高效率。當以寫方式打開文件時將其置位，這樣下次執行前檢查后執行度量；否則可省略。實現描述如圖4所示。

4安全性與效率分析與小結

由于不考慮物理方式對硬件的攻擊，詳細的度量數據列表存于隱蔽的磁盤分區上，同時對度量列表各數據項以及鏈接哈希值的計算均在TPM芯片內部完成，并且鏈接哈希值存放在PCR中，保證了收集和度量數據的高可靠性。芯片提供的Sha1算法本身可以保證不同模塊對應度量表項的唯一性。測試表明：當被保護的系統模塊和應用程序被竄改后，系統可以及時發現并請求執行策略，然后進行修復或更新；發現系統模塊被刪除后，會自動執行恢復；當發現不可信程序即將運行時，會請求用戶選擇策略然后按策略執行。

測試在配有安全芯片的Pentium4 2.0GHz機器上進行。加載操作系統前，使用TPM芯片對不同大小操作系統受保護模塊進行度量所需的平均時間如表1所示。

系統啟動之后，對應用程序的度量由于設置了標志位，效率比對系統的度量更高些，不會明顯感到程序的啟動速度降低。測試結果顯示，實現完整性數據的收集與度量所帶來的效率損失基本呈線性增長，在原有系統上只需以較小的效率損失就可得到更高的安全性。

實現系統完整性狀態的收集與度量是提高端點安全性的首要步驟，它更重要的意義在于為網絡環境下眾多的應用提供更加安全可信的環境，因此將度量機制同現有的各種安全協議進行有機結合和擴展是下一步的研究內容；同時現有的度量仍是基于單純的哈希算法，它根本上仍是基于對二進制代碼靜態方式的度量來獲得對程序運行行為的保證，缺乏足夠的靈活性和表現能力。如何實現動態的，在編程語言一級基于語義、類型等屬性對程序的運行行為進行更為可靠的度量也是需要深入研究的內容。

參考文獻：

[1]Trusted Computing Group[EB/OL]. http://www.trustedcomputinggroup.org， 2001.

[2]ISO/IEC. Information Technology Open Systems Interconnection Evaluation Criteria for Information Technology[S]. Standard ISO/IEC 15408， 1999.

[3]W A Arbaugh， D J Farber， J M Smith. A Secure and Reliable Bootstrap Architecture[C]. Proceedings of the IEEE Symposium on Security and Privacy， 1997.

[4]R Sailer， X Zhang， T Jaeger，et al.Design and Implementation of a TCG based Integrity Measurement Architecture[C]. The 13th Usenix Security Symposium， 2004.

[5]Microsoft Next Generation Secure Computing Base Technical[EB/OL].http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/%news/NGSCB.asp， 2003.

[6]M Abadi， T Wobber. A Logical Account of NGSCB[C]. Madrid: Proceedings of Formal Techniques for Networked and Distributed Systems FORTE 2004， 2004.1-12.

作者簡介：徐娜（1980-），女，碩士研究生，主要研究方向為信息安全；韋衛（1964-），男，高級工程師，碩士生導師，博士，主要研究方向為網絡安全和密碼協議。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。