基于可信計算平臺的可信引導過程研究

摘要：基于可信計算聯盟的規范，設計了基于TPM的可信引導過程，并指出了該可信引導過程中亟待解決的問題。安全性分析表明，該可信引導過程可以使計算機獲得更高的安全保障，為進一步建立可信計算環境提供了基礎。關鍵詞：可信計算; 可信平臺模塊; 完整性度量

中圖分類號：TP311文獻標志碼：A

文章編號：1001－3695(2008)01－0232－03



操作系統的可信不是憑空而來的。可信性的建立從整個計算機系統加電引導開始直至操作系統運行環境最終的創建，對任意一次可能降低系統可信性的執行代碼操作都要進行一致性度量。分析一般的操作系統（如Linux[1，2]、Windows）的啟動過程可以看出，從操作系統的啟動到用戶通過應用進程對資源進行訪問，整個過程呈現出階段性特征。按照功能主要分為兩個部分：a)硬件平臺的引導。從終端加電開始BIOS運行到操作系統運行前的整個過程，此階段的特點是流程相對是固定的，引導按照一定的次序進行。b)操作系統的運行。當內核開始運行后，進入多任務的調度，執行過程沒有明顯的先后順序，但是內核會通過調度程序，在應用程序執行時將CPU控制權轉交給它。本文專注于討論操作系統的引導過程，只對引導過程中需要執行的程序進行完整性度量，因為它是操作系統動態執行環境可信的基礎。要保證操作系統的可信，就必須解決操作系統引導過程的可信；要解決引導過程可信，就必須解決初始信任的來源問題，并保證信任關系在這兩個階段中能夠逐層傳遞。那么初始信任源究竟是軟件還是硬件呢？單純依靠軟件來構筑系統的安全性是遠遠不夠的，這一點早已被業界所認知。可信計算[3]的興起正是以此為出發點，它是一種軟/硬件相結合的技術，通過在平臺內部引入可信硬件設備作為可信根，為建立可信計算環境提供有效途徑。

1相關技術和研究現狀

AEGIS[4]是一個在FreeBSD系統上實現從系統加電到應用程序層逐級安全驗證的原型系統。它將系統啟動的過程分為五個級別，BIOS的核心代碼構成了第零級別，這部分代碼被安全存放并被無條件信任。按照系統啟動的流程，在將控制傳遞到下一個級別代碼前，首先對代碼進行完整性驗證，驗證通過才能將控制向下傳遞，依此類推。若某一個環節的驗證失敗，則強制通過預先的備份數據抓進行恢復。由于在啟動中和啟動后實施了嚴格的驗證，系統可以在預先設定的狀態中執行，有效杜絕了惡意程序對系統造成的破壞。該系統的實現需要添加擴展的ROM，并且驗證失敗時恢復策略帶有強制性。作為一個原型系統，思想是值得借鑒的。文獻[5]已討論了類似的問題。

1999年由Compaq、HP、IBM、Intel和Microsoft牽頭組成了TCPA聯盟專注于從計算平臺體系結構上增強其安全性。2003年3月改組為TCG[5]，逐漸成為研究熱點[6~13]。TCG規范提倡采用一個單獨的安全模塊作為信任根，這是一個軟/硬件相結合的子系統。該子系統被設計成能夠度量、存儲和報告系統可信賴屬性的模塊，是建立信任鏈的起始點。TCG規范旨在提供開放的、平臺無關的標準，從而被應用到不同的平臺設備中。TCG中的信任模型是以TPM硬件模塊為基礎的。 TPM是一個可獨立進行密鑰生成、加/解密的裝置，內部擁有獨立的處理器和存儲單元，可存儲密鑰和敏感數據，為各種計算平臺提供完整性度量、數據安全保護和身份認證服務。但TCG只為系統引導階段建立初始信任過程中參數的度量和報告制定了標準，但對于如何實施未作探討。

2基于TPM的可信引導過程

可信引導過程必須保證以下三點：a）保證信任是逐層傳遞。當前一個可執行實體被度量并驗證是可信并執行后，其轉移控制權至下一個可執行實體之前，必須先對其進行度量，驗證可信后方可轉移控制權，信任從而傳遞至下一個執行實體。b）所有在可信鏈的建立過程中涉及到的度量和驗證方法不能采用軟件實現，而是依賴于TPM的實現。所有的度量和驗證調用將最終由TPM驗證模塊來完成。c）可信鏈是建立在逐層的度量和驗證基礎上的，這種驗證要求由TPM來保證重要秘密數據的完整性和保密性。在可信鏈傳遞過程中涉及的所有重要數據、需要預存的驗證碼都必須由TPM來保存，不能使用可移動的存儲裝置或PC機的系統內存，并且這些數據在使用過程中不能脫離TPM。TPM也不能提供訪問這些數據的外部調用接口，以保證這些重要數據的秘密和可信。

可信引導過程如圖1所示。信任鏈貫穿系統從加電啟動到操作系統動態執行環境的全過程。在信任鏈傳遞過程中，最低層是0層，0層包含TPM，這一層的完整性和可信性根據信任鏈模型被假設為總是受到保證的；1層則包含了BIOS引導代碼；2層是19號中斷程序；3層包含操作系統引導程序Boot；4層包括操作系統裝載程序Loader，它們駐留在可引導的設備上，并負責裝載操作系統內核；5層包含操作系統內核；6層包括操作系統的Init進程；再上層是可信應用程序。

整個可信引導過程總體來說應該分為兩個主要階段，即硬件平臺的引導階段和操作系統的啟動階段。硬件平臺的引導包括從平臺加電、BIOS運行到BIOS將控制權交給Boot之前。這期間主要是保證硬件環境的可信。操作系統的啟動階段從主引導區調入操作系統裝載程序一直到操作系統內核運行完畢，并運行Init進程之前。該階段主要保證系統的啟動過程和操作系統內核的可信。

2．1硬件平臺可信引導過程

硬件平臺的引導定義為從系統加電開始到BIOS運行完畢并將控制權交給主引導區之前。該階段應該保證整個硬件平臺加電引導過程的可信（圖2）。

具體過程如下：

a）用戶在可信硬件提供的USB接口中插入開機身份卡。

b）硬件平臺加電，TPM首先復位并進行初始化。

c）TPM對用戶的開機身份卡進行認證。如果通過開機身份認證，則進入可信引導過程；否則，停機或進入普通引導過程。

d）TPM從硬件平臺中取出BIOS自檢程序，TPM中的驗證程序對BIOS中的自檢程序進行驗證，并與存儲在TPM中的摘要值進行比較。如果摘要值匹配成功，則將控制權交給硬件平臺的CPU。

e）硬件平臺的CPU將CS段寄存器設置成FFFFH，清零所有其他寄存器，然后執行CS：IP（FFFF:0000地址也就是BIOS地址 F000：FFF0）處指令進入硬件平臺的自檢。

f）硬件平臺自檢成功后，并不立刻執行int19引導系統，而是將控制權轉移到TPM，由TPM負責對19號中斷程序進行驗證。如果通過驗證，立刻執行該中斷程序引導系統。根據CMOS中預設的順序到軟盤、硬盤、光盤等尋找引導扇區中的Boot程序。

g）找到Boot程序后，并不立刻將Boot讀到內存 0000：7c00h處引導操作系統啟動，而是由TPM中的驗證程序對Boot進行驗證。如果驗證成功，將Boot讀到內存 0000：7c00h處，再將控制權轉交給硬件平臺的CPU運行Boot程序，進入操作系統引導階段。

2．2操作系統的可信啟動過程

操作系統可信啟動階段被定義為從主引導區開始執行到Init進程開始執行之前。此過程包括主引導區的執行、操作系統裝載程序的執行、安全操作系統內核的裝載、內存模式設置程序的執行四個步驟。該階段應該保證操作系統本身啟動加載過程的可信。

在操作系統加載和啟動流程中，由于Boot已經被TPM認證過，主引導區在執行時已經是可信的，信任從它開始向后傳遞。圖3顯示了具體過程。

3可信引導過程中需解決的問題

從第2章的分析可以看出，由于在計算機硬件層引入了可信硬件TPM，與普通系統的引導流程相比，整個可信引導過程要復雜得多，如運行流程控制權的切換、完整性驗證等。可信引導過程要得以實現，需要解決以下問題：

a)主機CPU與TPM的運行模式是串行還是并行。啟動過程不是一個簡單的順序過程，不能采取簡單順序鏈的方式度量，其中有很多是并行過程。通過分析發現整個過程由兩種基本的模式組合而成：(a)單組件過程（single component procedure，SCP）。該過程最大的特點就是過程的行為僅與某一個組件（m）相關，如Boot。對于SCP過程，只需度量該過程惟一的組件的完整性即可。(b)多組件過程（multiple component procedure，MCP）。該過程由一系列組件(〈m1，m2，…，mn〉) 組成，每個組件按預先的順序獲得系統的控制權。整個過程的完整性不僅與該過程的所有組件完整性相關，也與組件獲得執行權的順序相關，如BIOS自檢程序、操作系統內核等。顯然，對多組件過程主機CPU與TPM采用并行方式可以提高啟動速度，并降低備份和恢復的粒度。

b)可信測量程序。啟動過程中，TPM需要完成對各個組件的完整性校驗，在此過程中需要設計可信測量程序，因此，需要考慮可信測量程序的體系結構和功能模塊。

c)備份和恢復。在進行完整性校驗的過程中，如果發現有被破壞的組件，則不能將運行控制權交給該模塊。正確的方法是用先前備份的模塊替換該模塊，該模塊才能被執行。

4安全性分析

從整個過程中可以看出，只有通過破壞計算機系統的物理安全，即對0層中TPM進行修改，才能破壞整個過程。這可通過增強物理安全和加大管理措施得以保障[14，15]。如果信任根的安全得到了保證，整個可信引導過程的安全性也就得到了保證。

信任根的安全體現在以下幾方面：

a）為了證明TPM的身份是合法的，可以用公鑰證書體系來增強整個驗證過程的安全性。將TPM和由CA簽署的身份證言證書綁定(也可以直接就是一個私鑰，稱為背書密鑰EK)，通過使用代表它身份的密鑰簽名數據來表明它自身是可信賴的。簽名密鑰只有TPM自己知道，并且是公鑰對中的私鑰。

b）要保證引導組件及其驗證碼在可信測量模塊中的存儲是安全的，那么驗證碼可以不僅是一個哈希值，而且是以證書C的形式存在，證書中包括一個惟一的部件標志符、一個過期日期和哈希值H。可信測量模塊用TPM的私鑰對C進行簽名存儲。當且僅當以下條件成立時，TPM才返回一個驗證通過的狀態標志：

證書C沒有過期；

C的簽名是有效的；

存儲在證書中哈希值H與引導組件的計算值相匹配。

當可信測量模塊在報告驗證碼和度量值時，是用代表它身份的私鑰對數據簽名，引導組件獲取數據后根據簽名可以判斷數據是否在傳送過程中被竄改；同時還可以通過該簽名來證明可信測量模塊的身份。

5結束語

可信計算是近年來信息安全界和系統結構領域關注的重點。進一步的工作包括：將該可信引導過程在相關操作系統平臺如Linux、UNIX上的實施；需要進一步研究操作系統動態執行環境的可信性。

參考文獻：

[1]程耕國， 劉先勇， 鮑考明.Linux 內核啟動過程分析[J].計算機工程與設計，2006，27(9):1528 1529.

[2]方艷湘，黃濤. Linux 可信啟動的設計與實現[J]. 計算機工程，2006，32(9):51－53.

[3]Trusted Computing Group[EB/OL]. (2001).http//www. trustedcomputinggroup.org.

[4]ARBAUGH W A， FARBERT D J， SMITH J M. A secure and reliable bootstrap architecture[C]//Proc of the IEEE Symposium on Security and Privacy. 1997.

[5]CAI Yi. Research on secure operating system for supporting trusted operating platform[D]. Wuhan:Naval University of Engineering，2005.

[6]沈昌祥. 構造積極防御綜合防護體系[J]. 信息安全與保密， 2004 (5):17 18.

[7]周明輝，梅宏.可信計算初探[J].計算機科學，2004，32(7):5－8.

[8]林闖， 彭雪梅. 可信網絡研究[J]. 計算機學報， 2005，28(25):751－758.

[9]侯方勇，周進， 王志英，等. 可信計算研究[J]. 計算機應用研究， 2004，21(12):1－4，22.

[10]陳鐘，劉鵬， 劉欣. 可信計算概論[J]. 信息安全與通信保密， 2003 (11):17 19.

[11]譚良， 周明天. CRL分段—過量發布新模型[J].電子學報， 2005，33(2):227－230.

[12]譚良， 周明天. CRL增量—過量發布新模型[J]. 計算機科學， 2005，32(4):133 136.

[13]鄭宇，何大可，何明星. 基于可信計算的移動終端用戶認證方案[J]. 計算機學報， 2006，29(8):1255 1264.

[14]QUISQUATER J J，SAMYDE D. Electromagnetic analysis(EMA):measures and countermeasures for smart cards [M]. [S.l.]: Sprin￣ger Verlag， 2001.

[15]BONEH D，DeMILLO R， LIPTON R.On the importance of checking cryptographic protocols for faults[M].[S.l.]:Springer Verlag，1997.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”