基于ＥＦＩ和雙核處理器的ＤＲＭ ａｇｅｎｔ

(1.西南交通大學 信息安全與國家計算網格實驗室， 成都 610031；2.上海交通大學 計算機工程系， 上海 200240)

摘 要：提出一種基于EFI和雙核處理器的DRM終端平臺，該平臺能滿足大多數DRM系統的安全需求，特別是能夠防止版權加密密鑰和解密后的數字內容被泄露給用戶。在該架構下，給出了詳細的播放流程；同時，在半離散P2P網絡中，提出一種新的下載模式，防止不可信版權發行商獲得由內容提供商生成的數字版權中的敏感信息；最后，給出了EFI平臺與EFI平臺下AES算法執行效率的比較。該DRM終端平臺為DRM提供了一種新的實施方案。

關鍵詞：數字版權保護；數字版權代理；可擴展固件接口；雙核；可信計算

中圖分類號：TP309 文獻標志碼：A

文章編號：10013695(2009)01035204

DRM agent based on dualcore and EFI

DENG Zijian1，LAI Xuejia1，2，HE Dake1

(1.Laboratory of Information Security National Computing Grid， Southwest Jiaotong University ， Chengdu 610031， China;2.Dept. of Computer Science Engineering， Shanghai Jiaotong University， Shanghai 200240， China)

Abstract:This paper proposed a DRM terminal based on extensible firmware interface and dualcore.This platform could meet most security requirement of DRM， especially preventing the REK and decrypted content object bing leaked to consumer. Under the control of this architecture，shawed the detail of play process.Also gave a download model that protected the right issue from obtaining the sensitive information from the right object generated by content provider in semidistributed P2P network. Finally，compared a performance of AES between Linux platform and EFI platform. This DRM terminal is a new way to carry out the DRM strategy.

Key words:DRM；DRM agent；EFI；dualcore；trusted computing

0 引言

數字版權系統被內容提供商大量使用在數字內容服務中，如Apple公司等數字多媒體公司。數字版權管理的基本思想是用戶從內容分發商（CI）獲得加密的數字內容（CO），并根據用戶的購買需求從版權分發商（RI）下載相應的版權證書（RO），在用戶獲得了CO和RO后，工作在用戶端的DRM agent根據RO中的限制條件播放CO，從而對CO進行管理。數字版權系統主要從社會和技術兩方面來考慮和設計。在社會方面，滿足經濟利益的均衡和法律等方面的考慮；在技術上，嚴格限制解密后的CO被泄露給用戶和第三方用戶。因此，目前盜版技術的出現減弱了內容發行商和內容擁有者的利益。從技術角度來說，盜版技術也嚴重阻礙了數字版權的應用。技術不是DRM的全部，而是實現DRM的基礎，本文主要從技術角度來考慮DRM。

目前的DRM方案都是基于DRM agent是安全可信的這個安全模型來設計和實現，如OMA[1]標準等。DRM agent作為在本地端執行DRM策略的工具，在DRM中位于非?；A和重要的位置，一旦用戶或黑客軟件從DRM agent獲得解密后的CO，那么DRM的保護就無從談起。當前所使用的終端平臺，包括其軟件和硬件都是不可信的。操作系統本身的安全漏洞問題以及不能執行MAC[2]訪問控制策略，使得操作系統為盜版者提供了便利的條件。用戶可以使用黑客軟件從系統內存中輕而易舉獲得被DRM agent播放的數字內容。更糟糕的情況是病毒和盜版者通過訪問DRM agent進程獲得更多的敏感信息，如內容加密密鑰（CRK）、版權證書加密密鑰（REK）等。

EFI[3]是Intel公司提出的用來替代現行BIOS的一項技術，其全稱是extensible firmware interface（可擴展固件接口）。它定義了操作系統與平臺固件之間的接口模型。EFI主要由一系列包含平臺相關信息的數據表(data tables)和供操作系統引導程序、操作系統調用的啟動服務（boot service）和運行時服務(runtime service)構成。本文利用EFI和雙核處理器設計了一種新的運行在終端架構中的安全DRM agent來實現DRM策略。在該架構中，DRM agent工作在EFI的DXE階段，內容提供商擔當內容分發商的角色，版權分發商驗證終端平臺的安全性。

目前EFI相關的研究[4，5]均是利用TPM[6]加強其預期的安全性，如果僅僅是由EFI完成傳統BIOS功能，EFI的優勢沒有發揮；同時由于TPM并沒有大量裝備到計算機主板，在本文所述的安全模型下，不考慮TPM的應用，EFI也可以達到構建可信環境。該方案也考慮到在混合P2P網絡中，從經濟利益的角度出發，內容提供商作為CI，用戶在下載了CO后，將RO發送給距離用戶最近的RI發行商，由RI負責驗證用戶終端平臺的安全性。由于CI與RI是分離的，在目前的DRM方案中，均假設RI為可信方，但是要面對的另一個情況是，目前RI能夠獲得REK，如果RI不可信，那么RI可以在完成RI所做的工作的同時秘密獲得由內容提供商提供給用戶的版權加密密鑰，從而獲得解密后的CO，該RI有可能變為除盜版者外，另外一個新的盜版源。

本方案的設計目標如下：

a）DRM agent工作在EFI下，DRM agent公鑰/私鑰對、版權證書的加密密鑰以及其他敏感信息均不能被非法用戶和進程訪問；

b）當DRM agent操作CO和RO時，用戶不能獲得解密后的CO和RO；

c）EFI支持安全啟動，為DRM Agent提供可信的運行環境；

d）RI只負責平臺安全性檢測和分發RO，不能得到內容提供商提供給它的RO中的任何信息。

在設計目標中，EFI作為可信基（TCB）[7]運行在BSP，Linux系統運行在應用處理器（AP），并處于可信區域外。

方案的安全模型是：

a）攻擊者不能從主板上的總線得到任何信息；

b）攻擊者不能替換CPU、系統內存等其他硬件；

c）攻擊者可在操作系統上（本文為Linux）安裝任意軟件；

d）攻擊者對操作系統擁有完全的控制權；

e）攻擊者可以在操作系統中截獲EFI和對外的通信包；

f）攻擊者不能破解AES等密碼算法。

1 相關工作

TPM作為主板上的硬件，在整個計算機系統中，作為可信根使用。在防止信息泄漏的方案中[8]，TPM也有大量的應用，但是F.Reid等人[9]指出，現有的計算機操作系統架構下，即使使用TPM，也無法阻止敏感信息泄露。該類型的方案主要是由于DRM agent雖然工作在可信域中，但整個可信域均處于不可信的操作系統中，信息泄露無法避免。目前的可信硬件主要是用來保存密鑰，保證系統啟動安全。以使用數字版權保護技術的Apple公司的iTunes[10]為例，雖然iTunes是加密音頻文件，但是其無法解決安全存儲密鑰的問題，即使可以利用可信硬件來存放加密密鑰，攻擊者仍然可以借助操作系統，從系統內存中讀取解密后播放的音頻文件［11］。

K.Borders等人[12]提出了基于虛擬機的方案SVFS，以阻止機密文件泄露給未授權的第三方。該方案通過將系統上運行的多個虛擬機劃分為安全虛擬機和不安全虛擬機。前者管理viewonly文件，后者運行操作系統。該方案在用戶使用viewonly文件時，所有網絡設備均被禁止操作，從而阻止信息的泄露。方案的缺點是用戶在操作viewonly文件時，不能使用網絡服務，如email等操作；其次，用戶可以在安全虛擬機上安裝黑客軟件，在viewonly文件使用時，將明文保存下來，等待網絡恢復后，發送出去。

2 系統架構

系統架構如圖1所示，虛線內為可信邊界。在基于dual core的Intel CPU基礎上，一個core作為bootstrap processor（BSP），另一個core作為application processor（AP）。系統上電后，BSP最先啟動，EFI運行在該核上。當EFI啟動到DXE階段時，系統運行WakeUp.efi，喚醒AP，AP開始運行Linux操作系統。整個系統啟動后，計算機上運行兩個獨立的系統，即Linux和EFI。系統內存被劃分為EFI系統內存、Linux系統內存和共享內存三部分。系統的I／O資源由于不能同時供兩個系統同時使用，資源被分為兩部分：一部分供Linux使用；另一部分供EFI使用。在該框架下，雙系統啟動后，所有端口均提供給Linux系統。Linux系統中運行的EFI client和EFI下的通信模塊負責利用Linux的外設如網卡同外部以及Linux系統通信，因此，即使網卡沒有分配給EFI系統，該系統仍然可以通過EFI client和外部網絡通信。在Linux系統啟動時，系統資源報表中不包含EFI的內存資源，因此Linux系統除自己分配的內存和共享內存外，不能看到其他內存。Linux系統為不可信的操作系統，用戶可以安裝任意軟件；EFI系統為操作系統提供安全協處理功能，為系統可信TCB。EFI中的DRM agent負責文件的各種操作，DRM agent由四個模塊組成，即DRM播放模塊（DRM player module）、DRM密鑰管理模塊（DRM key management module）、用戶識別模塊（user authentication module）和平臺完整性檢測模塊（platform integrity module）。這四個模塊一起完成DRM agent的功能。

從用戶角度來看，系統GUI界面分為主界面和從界面。主界面是Linux系統顯示界面；從界面是EFI系統顯示界面是Mini GUI，類似于Windows系統中的一個窗口?？紤]到安全性，frame buffer為只寫，禁止Linux系統讀取frame buffer數據。CI、RI與EFI之間的通信信道是不安全的，因為Liunx下的惡意軟件可以截獲通信包，所以EFI與外界的通信內容全被通信會話密鑰加密。定義如下符號：CP為內容提供商，生成用戶加密的數字內容和相應的版權證書；CI為內容分發商，本方案中，內容分發商由內容提供商CP擔當該角色；CO為加密的數字內容，一般用內容加密密鑰CEK加密；CEK為內容加密密鑰，由于是對稱密碼體制，該加密密鑰也等同于解密密鑰；RO為數字版權證書，包含使用者姓名、使用次數、該證書對應的數字內容的加密密鑰等，為明文信息，其中的使用次數、內容加密密鑰等敏感信息由證書密鑰（REK）加密；REK為證書加密密鑰，由于是對稱密碼體制，該密鑰可以用來解密RO中的敏感信息； User為平臺使用者；PKX/SKX為X的公鑰和私鑰對；DA為DRM agent，代表圖1中的四個模塊；Rb為平臺啟動報告，EFI將啟動中從SEC階段開始測量的hash值保存下來，形成平臺啟動報告，可以用于檢查EFI的啟動流程；Ri為平臺完整性報告，用于報告EFI下的運行軟件是否由DXE驗證通過以及驗證DRM player的完整性。

21 基本下載模式

在圖2中，CO作為數字內容被數字內容加密密鑰CEK加密，RO是權利證書，包含CEK以及用戶使用條件，包括播放次數等；REK是權利證書加密密鑰，由（a，b）生成。REK的生成過程如下，首先生成a、b兩個隨機數，然后REK=hash(ga+b)，hash函數使用Sha256，G是計算DiffieHellman問題的困難群，g是群G的生成元。具體的下載流程如下：

a)用戶認證模塊認證用戶。

b)DA→CI:{UIDPPWD}PKCI

用戶選擇自己感興趣的數字內容，并向CI提供個人用戶名和口令。

c)CI→DA:CO，{ga}PKDA，sigCI(CO Pga)

個人身份認證通過后，CI生成CO、RO以及（ga，gb）。CI發送CO、ga給DRM密鑰管理模塊。當DRM agent獲得CO后，將其存儲于系統不安全的存儲區域，如硬盤等。

d)CI→RI:RO，gb

CI發送加密的RO，gb給RI；

e)DA→RI:{RBPRI，sigDA(RbP RI)} PKRI

DRM 管理模塊發送EFI平臺證書、啟動報告、EFI平臺完整性報告給RI。

f)RI→DA:RO，{gb}PKDA，sigRI(RO P gb)

RI檢查e)中的數據的有效性，通過驗證后，RI發送RO和gb給DRM密鑰管理模塊。

g)DRM密鑰管理模塊通過接收到的ga、gb，恢復出REK。REK被EFI公鑰加密后存儲。

在該基本下載流程中，可以看出，與傳統RI所不同的是，RI無法獲得RO的內容，即無法獲得版權證書中的內容加密密鑰。

22 基本播放模式

當用戶選擇下載后的CO并播放時，用戶識別模塊在驗證用戶的合法性后，下面的步驟實現了一個詳細的播放過程（圖3）：

a）DRM完整性模塊檢測DRM player的完整性，雖然DRM agent位于EFI代碼區域，但是為了防止DRM player被人竄改，因此有必要檢測DRM player的完整性。

b）如果第一步驗證通過，DRM密鑰管理模塊從不安全的存儲區域中讀取被EFI平臺公鑰加密的REK，利用EFI平臺私鑰解密后，獲得RO中的敏感信息，DRM密鑰管理模塊根據RO中解密后的信息，判斷用戶是否能夠播放該數字內容。

c）如果用戶能夠播放該數字內容，如RO中顯示的播放次數n＞1，DRM密鑰管理模塊從不安全的存儲區域中讀取用戶所購買的數字內容CO。

d）DRM密鑰管理模塊使用數字版權證書RO中解密后的內容解密密鑰CEK解密CO，將解密后的CO放置于EFI系統內存中。該內存空間與操作系統的內存空間物理上隔離，操作系統無法得知該區域，為安全內存空間。

e）DRM player從EFI內存中讀取解密后的CO，將其播放。

f）DRM player將解碼后的信息輸出到外設播放。

g）DRM密鑰管理模塊更新RO，用REK加密其中的敏感信息后，重新存放回不安全的存儲區域。

存儲在不安全存儲區域的CO和RO，可以被操作系統中的惡意軟件獲取，但由于缺乏相應的解密密鑰，惡意軟件不能得到其有意義的信息。需要指出的是，在對RO和CO解密后，CO中的明文信息被存放在可信內存區域中，保障了用戶安裝在操作系統上的惡意軟件無法獲取到相應的明文。

23 密碼運算協處理模式

由于EFI下的對稱加密運算較之于操作系統級的加解密運算具有速度上的優勢，工作在EFI下的DRM密鑰管理模塊可以為AP核上的操作系統提供密碼運算服務。在安全性要求不高的情況下，當操作系統上的應用程序需要對文件作加解密操作時，可以將這部分任務由DRM agent來完成，完成后通過共享內存發送給應用程序。在性能分析中，可以看到EFI與Linux系統在對AES加解密運算上的速度比較。

3 方案性能分析

31 安全性分析

完整的EFI系統在啟動上，采用分步啟動。SEC階段為系統上電后啟動的第一階段，SEC階段的代碼邏輯等價于BIOS框架的可信根的核心CRTM（core rootoftrust module）。但它又與傳統CRTM有所區別，其顯著特點是它包含了TCB和一些執行安全服務的組件，如安全審計等服務。在SEC階段向PEI階段過渡時，SEC會傳遞一個非空的PPI描述表給PEI核，并與PEI共享部分服務集。其中包括Security PPI和可信計算組織TCG PPI。這兩個PPI為CRTM提供支持，讓CRTM擁有足夠的安全函數來對PEI核進行鑒別，同時允許PEI核重用安全代碼。PEI階段在進入DXE階段時，會對DXE代碼的image進行認證。在DXE階段，DXE會加載一系列安全服務。其中包括：a) 支持啟動完整性服務BIS（boot integrity services）和可信計算組織TCG等標準的安全服務；b)安全體系架構協議；c)映像的簽名實現。因此可以看出，EFI系統在啟動的過程中，安全性較高。在同目前和以后的基于TPM的EFI啟動所不同的是，基于TPM的EFI啟動是為了將啟動流程記錄在TPM中，供操作系統使用和查看。本架構中EFI系統只啟動到DXE階段，所有的應用都是基于DXE階段中的應用開發，因此可以無須TPM的支持。本文的安全模型條件下，攻擊者不能修改主板flash信息，滿足安全性要求。

在下載過程中，RI由于缺乏ga，不能恢復出REK，從而不能得到相應的內容解密密鑰，防止了RI作為不可信的版權分發商，將RO發送給用戶的同時，私下獲取CEK，成為另一個盜版者。Liunx系統雖然無法獲得解密后的CO，但是可以獲取DRM agent和外部網絡的通信內容。從基本下載模式中可以看到，下載CO、RO均是密文信息，ga和gb在下載過程中，由DRM agent的公鑰加密。因此，Linux系統獲取的均是密文信息。

32 加解密運算測試

測試硬件平臺為Intel Lakeport開發平臺，CPU為Pentium (R) D 840(3.2 GHz)、1 GB DDR2 RAM，6.4 GB PATA硬盤，修改了EFI v1.10映像，使其能夠實現EFI和OS的同步啟動和獨立運行操作；軟件環境為Linux kernel 2.6.13。從圖４中，可以看出，EFI下AES加解密速度明顯快于Linux系統。

4 結束語

本文利用下一代BIOS技術EFI和目前普遍使用的雙核處理器技術設計出了一種新的DRM agent。該DRM agent工作在可信的EFI內，管理和播放數字媒體。即使用戶將購買的數字內容和相關信息保存在不安全的存儲區域，該DRM agent也可以對其安全管理。在針對混合P2P網絡中的數字版權中存在版權分發商有權查看由內容提供商提供的數字版權的安全隱患，本文也提出了一種解決方案。方案利用EFI下對稱密鑰加解密的優勢，設想了EFI下的DRM為操作系統提供加解密運算的服務。該新架構保障了數字內容的安全性，維護了用戶的合法權益和內容發行商的經濟利益。

參考文獻：

［1］Open Mobile Alliance [EB/OL].（20080321）.http:// www .openmobilealliance.org.

［2］STEPHEN P，REINHARDT B.An investigation into access control for MES[EB/OL].(20040305)(20080312).http://www.infosecsa.co.za/proceedings2004/035.pdf.

［3］Extensible firmware interface specification v1.10[EB/OL].(20080312).http://developer.intel.com/technology/efi/.

［4］周偉東，池亞平，方勇，等.一種基于信任根加強EFI BIOS自身安全的方案[J].信息安全與通信保密，2007(7):8788，91.

［5］章睿，劉吉強，彭雙和.基于EFI的信任鏈傳遞研究及實現[J].計算機應用，2007，27(9):21712176.

［6］Trusted Computing Group.Trusted platform module main specification， v12[EB/OL].(20080312).http://www.trustedcomputinggroup.org.

［7］HENDRICKS J，DOORN L L van.Secure bootstrap is not enough:shoring up the trusted computing base[C]//Proc of the 11th Workshop on ACM SIGOPS European Workshop.New York:ACM Press， 2004:1115.

［8］SANDHU R，RANGANATHAN K，ZHANG Xinwen.Secure information sharing enabled by trusted computing and PEI models [C]//Proc of ACM Symposium on Information， Computer and Communications Security.New York:ACM Press， 2006:212.

[9]REID J F，CAELLI W J.DRM，trusted computing and operation system architecture[C]//Proc ofAustralasian Workshop on Grid Computing and Eresearch. Darlinghurst， Australia: Australian Computer Society， 2005:127136.

[10]Apple Computer Inc. iTunes [EB/OL].(20070822).http://www.apple.com/itunes.

［11］WEN H，GOES J H.Behind atoms and apple to bring DRMfree music[EB/OL].(20070807).http://osdir.com/Article3823.phtml.

［12］BORDERS K，ZHAO Xin，PRAKASH A.Securing sensitive content in a viewonly file system[C]// Proc of ACM Workshop on Digital Rights Management. New York:ACM Press，2006:2736.