魏占禎，李 偉，池亞平，方 勇

（1.北京電子科技學(xué)院通信工程系，北京100070；2.西安電子科技大學(xué)通信工程學(xué)院，西安710071）

可信計(jì)算能夠?yàn)檠b有可信平臺(tái)密碼模塊的平臺(tái)提供基于硬件的安全保障，因此已成為當(dāng)前信息安全領(lǐng)域的研究熱點(diǎn)［1－2］?？尚欧庋b存儲(chǔ)［3］是可信計(jì)算提供的一個(gè)重要功能，它將要封裝的數(shù)據(jù)指定到特定的平臺(tái)度量值上，實(shí)現(xiàn)了數(shù)據(jù)與數(shù)據(jù)產(chǎn)生者的綁定。通常對(duì)數(shù)據(jù)進(jìn)行封裝的方法是選擇與平臺(tái)配置相關(guān)的一組平臺(tái)配置寄存器（Platform configuration register，PCR），同時(shí)生成一個(gè)對(duì)稱密鑰，使用對(duì)稱密鑰加密消息，然后再生成一個(gè)非對(duì)稱密鑰加密PCR值和對(duì)稱密鑰［4］。在解封時(shí)，只有當(dāng)平臺(tái)配置與封裝時(shí)指定的PCR值相匹配的時(shí)候，帶有非對(duì)稱密鑰的可信平臺(tái)密碼模塊才可以解密對(duì)稱密鑰，實(shí)現(xiàn)解封操作。如果非法用戶或病毒將此數(shù)據(jù)復(fù)制到其他計(jì)算平臺(tái)上，其他計(jì)算平臺(tái)由于軟硬件配置不同從而導(dǎo)致PCR值不同，無(wú)法解封裝數(shù)據(jù)；如果有入侵者或病毒非法更改了系統(tǒng)的軟件程序或插入惡意代碼，那么該受感染的系統(tǒng)由于PCR值的變化也無(wú)法讀取此數(shù)據(jù)，這樣便實(shí)現(xiàn)了對(duì)數(shù)據(jù)的保護(hù)。

本文先分析了現(xiàn)有的封裝存儲(chǔ)及其實(shí)現(xiàn)方案，針對(duì)其缺點(diǎn)，提出了一種新的能在應(yīng)用層多任務(wù)環(huán)境下實(shí)現(xiàn)數(shù)據(jù)的異步解封裝存儲(chǔ)方案。

1 現(xiàn)有封裝存儲(chǔ)分析

TPM含有一系列的PCR，PCR所存儲(chǔ)的是系統(tǒng)平臺(tái)開(kāi)機(jī)時(shí)對(duì)軟硬件組件的度量值，該值在系統(tǒng)重啟或復(fù)位時(shí)將會(huì)被重置。PCR值的計(jì)算方法如下式：

PCR［n］〈-SHA-1（PCR［n］｜｜度量數(shù)據(jù)）（1）式中：PCR［n］表示第n個(gè)PCR里的度量值。

可信計(jì)算規(guī)范［4］所給出的封裝存儲(chǔ)的機(jī)制描述如下：當(dāng)用戶對(duì)一組數(shù)據(jù)封裝存儲(chǔ)時(shí)，用戶首先選擇該數(shù)據(jù)所要綁定的平臺(tái)配置值，即選擇某些PCR中的度量值作為綁定信息，所選擇的PCR用pcrSelection表示。然后對(duì)這些度量值進(jìn)行雜湊運(yùn)算，再把待封裝數(shù)據(jù)與此雜湊值作為一個(gè)整體進(jìn)行加密后存儲(chǔ)（封裝）。當(dāng)需要打開(kāi)（解封）數(shù)據(jù)時(shí)，先根據(jù)pcrSelection讀取當(dāng)前軟硬件配置下PCR中的度量值，并計(jì)算雜湊值，只有與數(shù)據(jù)封裝在一起的雜湊值一致時(shí)才允許解封裝數(shù)據(jù)。

從上面的封裝、解封裝過(guò)程可知，封裝時(shí)是把PCR集合的hash值作為密文的一部分存儲(chǔ)到外部介質(zhì)上，但是每當(dāng)有新的應(yīng)用程序運(yùn)行，都要把相關(guān)組件的值度量擴(kuò)展到記錄平臺(tái)應(yīng)用層軟件配置的PCR中。這就使得在解封時(shí)相關(guān)PCR中的值與封裝時(shí)不同，不能夠?qū)崿F(xiàn)解封操作［5－6］，如圖1、圖2所示。

圖1 封裝過(guò)程Fig.1 Sealing process

圖2 新應(yīng)用程序打開(kāi)后解封裝問(wèn)題Fig.2 Error of unsealing when new applications are running

設(shè)pcr Info＝｛i，j，k｝，應(yīng)用程序共同使用PCR［k］。在應(yīng)用程序1運(yùn)行時(shí)執(zhí)行數(shù)據(jù)封裝，應(yīng)用程序1的度量數(shù)據(jù)為M1，平臺(tái)運(yùn)行應(yīng)用程序1之前PCR［k］里的度量值記為H，運(yùn)行應(yīng)用程序1之后PCR［k］里的度量值記為H1，則應(yīng)用程序1的度量值首先被擴(kuò)展到PCR中，擴(kuò)展方式如下：

設(shè)應(yīng)用程序2的度量數(shù)據(jù)為M2。當(dāng)關(guān)閉應(yīng)用程序1并打開(kāi)應(yīng)用程序2時(shí)，應(yīng)用程序2的度量值也會(huì)被擴(kuò)展到PCR中，此時(shí)PCR的選擇信息已經(jīng)包含了這個(gè)變化了的PCR，設(shè)關(guān)閉應(yīng)用程序1打開(kāi)應(yīng)用程序2后PCR［k］里的度量值為H2，則擴(kuò)展過(guò)程如下式：

若關(guān)閉應(yīng)用程序1接著再打開(kāi)應(yīng)用程序1，設(shè)再次打開(kāi)應(yīng)用程序1之后的PCR［k］里的度量值為H3，則擴(kuò)展過(guò)程如下式：

封裝數(shù)據(jù)時(shí)，記PCR［pcrInfo］為PCRs，SHA-1（PCRs）值為P1，則有：

解封時(shí)，在第一種情況下，SHA－1（PCRs）值記為P2，則有：

在第二種情況下，記SHA-1（PCRs）值為P3，則有：

由于P1≠P2，P1≠P3，TPM內(nèi)部就會(huì)因?yàn)槠脚_(tái)配置度量值的改變而產(chǎn)生平臺(tái)配置錯(cuò)誤信息，所以不能夠進(jìn)行解封操作。

文獻(xiàn)［5-7］都提出了基于屬性的數(shù)據(jù)封裝存儲(chǔ)及其實(shí)現(xiàn)方案，采用平臺(tái)的安全屬性代替代碼的二進(jìn)制度量表示平臺(tái)的狀態(tài)，解決了平臺(tái)配置更新導(dǎo)致（主要是系統(tǒng)啟動(dòng)和操作系統(tǒng)的更新）的數(shù)據(jù)無(wú)法解封裝問(wèn)題。但基于平臺(tái)安全屬性的狀態(tài)描述存在一些普遍的缺陷。首先，平臺(tái)的安全屬性與TCG的二進(jìn)制度量方案相比細(xì)粒度不夠；其次，安全屬性的標(biāo)識(shí)需要第三方來(lái)實(shí)現(xiàn)，增加了系統(tǒng)的復(fù)雜性；第三，平臺(tái)配置（例如，TPM的型號(hào)、操作系統(tǒng)的種類、BIOS、驅(qū)動(dòng)程序、軟件等）千差萬(wàn)別，根據(jù)這些配置抽象安全屬性十分困難。本文針對(duì)應(yīng)用層軟件運(yùn)行特點(diǎn)，提出PCR的可逆向擴(kuò)展方案，該方案能在應(yīng)用層多任務(wù)環(huán)境下實(shí)現(xiàn)數(shù)據(jù)的異步解封裝。

2 多任務(wù)環(huán)境下可信存儲(chǔ)方案

數(shù)據(jù)解封裝的兩個(gè)條件是：平臺(tái)環(huán)境可信以及平臺(tái)狀態(tài)一致。從現(xiàn)有存儲(chǔ)方案分析可以看出，在多任務(wù)環(huán)境下，任務(wù)之間不能進(jìn)行異步封裝解封操作，主要原因是PCR的擴(kuò)展是單向的，各應(yīng)用程序運(yùn)行的先后順序和運(yùn)行次數(shù)的不同都會(huì)產(chǎn)生不可逆的PCR擴(kuò)展值?，F(xiàn)有的平臺(tái)狀態(tài)是靠PCR值表征，PCR值變化，表示平臺(tái)狀態(tài)的改變，因而在多任務(wù)環(huán)境下依靠現(xiàn)有的對(duì)比PCR值進(jìn)行的解封裝操作基本不具備可行性［8］。

2.1 可逆向擴(kuò)展和可信報(bào)告根

根據(jù)式（1）分析可知，PCR值的擴(kuò)展是單向的，由此帶來(lái)的好處是PCR不但表征了平臺(tái)當(dāng)前的狀態(tài)，而且還記錄了平臺(tái)的操作歷史。任何一個(gè)PCR值都是由一系列歷史操作得到，且操作的順序是唯一的［9］。這種擴(kuò)展可以保證平臺(tái)系統(tǒng)啟動(dòng)嚴(yán)格按順序執(zhí)行，防止惡意攻擊者對(duì)平臺(tái)系統(tǒng)的非法改動(dòng)。而PCR的單向擴(kuò)展對(duì)于應(yīng)用層則存在不足，與系統(tǒng)啟動(dòng)過(guò)程的嚴(yán)格順序不同，應(yīng)用層是多任務(wù)環(huán)境。例如T1時(shí)刻程序P打開(kāi)，此時(shí)PCR值是m，T2時(shí)刻程序P先關(guān)閉再打開(kāi)，此時(shí)PCR值是m′。按照TCG擴(kuò)展規(guī)則可以得出m≠m′，但是顯然T1與T2時(shí)刻的平臺(tái)狀態(tài)是一致的。在實(shí)際應(yīng)用中，不可避免地要在多任務(wù)環(huán)境下對(duì)數(shù)據(jù)進(jìn)行封裝以及解封，因此原有的單向擴(kuò)展方案的局限性日益凸顯。

針對(duì)PCR擴(kuò)展在應(yīng)用層的不足，本文提出一種可逆向的應(yīng)用層可信擴(kuò)展方案。采用應(yīng)用層各程序度量值的異或的擴(kuò)展模式替代程序度量值與原有的PCR值拼接后再進(jìn)行雜湊運(yùn)算的擴(kuò)展模式，并且在應(yīng)用程序打開(kāi)和關(guān)閉時(shí)各進(jìn)行一次擴(kuò)展。

假設(shè)當(dāng)前應(yīng)用層的PCR值為H0，一個(gè)新的應(yīng)用程序P的度量值為mp。程序P打開(kāi)時(shí)，新的PCR值：

在P關(guān)閉時(shí)再次將P的度量值擴(kuò)展到PCR：

可以看出，同一個(gè)程序無(wú)論打開(kāi)、關(guān)閉多少次，其PCR值都相同，這符合平臺(tái)狀態(tài)沒(méi)有變化的客觀事實(shí)。

假設(shè)有3個(gè)應(yīng)用程序a、b、c，度量值分別為ma、mb、mc，平臺(tái)在按a、b、c依次打開(kāi)時(shí)的PCR值為Habc，則按可逆向的擴(kuò)展規(guī)則有：

而按c、a、b的順序依次打開(kāi)后的PCR值Hcab，則按可逆向的擴(kuò)展規(guī)則有：

顯然有：

可以看出，相同的多個(gè)應(yīng)用程序，無(wú)論打開(kāi)的順序如何，其PCR值都相同，這符合平臺(tái)狀態(tài)沒(méi)有變化的客觀事實(shí)。

假設(shè)應(yīng)用程序d的度量值為md，打開(kāi)程序d兩次，擴(kuò)展后的PCR值為

但是打開(kāi)程序d兩次后的平臺(tái)狀態(tài)明顯發(fā)生了改變。為了防止這種情況發(fā)生，在對(duì)某一程序p的度量值擴(kuò)展時(shí)引入一個(gè)參數(shù)n，代表系統(tǒng)進(jìn)程列表中已經(jīng)在運(yùn)行的該程序的實(shí)例數(shù)。n由Windows系統(tǒng)的PSAPI庫(kù)中的函數(shù)實(shí)時(shí)地提供。

當(dāng)打開(kāi)程序時(shí)，新擴(kuò)展的值為

當(dāng)關(guān)閉程序時(shí)，新擴(kuò)展的值為

繼續(xù)考慮應(yīng)用程序d打開(kāi)兩次的問(wèn)題，假設(shè)T1時(shí)刻d第一次打開(kāi)，系統(tǒng)掃描進(jìn)程列表中已經(jīng)運(yùn)行的d的實(shí)例數(shù)n，此時(shí)n為0，則擴(kuò)展值為

T2時(shí)刻d第二次打開(kāi)，系統(tǒng)掃描進(jìn)程列表中已經(jīng)運(yùn)行的d的實(shí)例數(shù)n，此時(shí)n為1，擴(kuò)展值為

T2時(shí)刻的PCR值為

可以看出，H0與H2不同，符合程序d打開(kāi)2次后平臺(tái)狀態(tài)發(fā)生變化的客觀事實(shí)。這樣就防止了同一程序同時(shí)運(yùn)行兩個(gè)實(shí)例導(dǎo)致的度量值復(fù)原情況。

假設(shè)T3時(shí)刻d關(guān)閉一次，系統(tǒng)掃描進(jìn)程列表中已經(jīng)運(yùn)行的d的實(shí)例數(shù)n，此時(shí)n為2，擴(kuò)展值為

T4時(shí)刻d又關(guān)閉一次，系統(tǒng)掃描進(jìn)程列表中已經(jīng)運(yùn)行的d的實(shí)例數(shù)n，此時(shí)n為1，擴(kuò)展值為

T4時(shí)刻的PCR值為

可以看出，H4與H0相同，符合程序d打開(kāi)兩次又關(guān)閉兩次后平臺(tái)狀態(tài)沒(méi)有發(fā)生變化的客觀事實(shí)。

由上可知，可逆向的應(yīng)用層可信擴(kuò)展方案相比原有的單向擴(kuò)展方案能夠更好地適用于多任務(wù)環(huán)境下的平臺(tái)狀態(tài)的判定。

可信報(bào)告根RTR用于驗(yàn)證基于可信平臺(tái)標(biāo)識(shí)符的存儲(chǔ)值的真實(shí)性；存儲(chǔ)度量日志用于存儲(chǔ)相關(guān)度量值的序列。在任何時(shí)刻，平臺(tái)都可以通過(guò)可信報(bào)告根從存儲(chǔ)度量日志中讀取度量序列，重新計(jì)算度量值，從而能實(shí)時(shí)地判斷平臺(tái)是否處于可信狀態(tài)［10］。

2.2 本文提出的數(shù)據(jù)存儲(chǔ)方案

假設(shè)在應(yīng)用程序1中封裝數(shù)據(jù)，為了能在情況1和情況2狀態(tài)下解封裝數(shù)據(jù)，提出將PCR＿R寄存器作為PCRs中的一個(gè)元素，用于可逆向的度量值擴(kuò)展以保證應(yīng)用層的狀態(tài)一致。再利用可信報(bào)告根提供的SML判斷當(dāng)前平臺(tái)的可信狀態(tài)，從而對(duì)數(shù)據(jù)進(jìn)行解封裝。

本文方案把PCRs的值加密后存儲(chǔ)到硬盤(pán)上，即不是把PCRs的hash值加密后存儲(chǔ)，而是把PCR選擇參數(shù)［7］，即pcrInfo值加密后存儲(chǔ)到硬盤(pán)上。當(dāng)進(jìn)行解封時(shí)，依據(jù)pcrInfo值選擇與當(dāng)前平臺(tái)相應(yīng)的PCRs值，并對(duì)其進(jìn)行hash計(jì)算得到hash（PCRs），然后通過(guò)RTR在SML中收集相應(yīng)的PCRs值，對(duì)其進(jìn)行hash計(jì)算得到hash（PCRs）′，通過(guò)對(duì)hash（PCRs）與hash（PCRs）′的比較可以判斷平臺(tái)狀態(tài)是否與封裝前一致。如果平臺(tái)受到非授權(quán)更改，其PCRs集合的信息將改變，此時(shí)PCRs集合的hash值與SML里面的收集的PCRs集合的hash值不一致，從而證明平臺(tái)處于不可信狀態(tài)，不能對(duì)數(shù)據(jù)進(jìn)行解封。

封裝解封數(shù)據(jù)的流程如圖3所示。

圖3 改進(jìn)的封裝解封存儲(chǔ)流程圖Fig.3 Flow chart of improved sealing and unsealing

對(duì)數(shù)據(jù)進(jìn)行封裝的具體步驟如下：

首先計(jì)算Data的雜湊值為Storted Digest，計(jì)算方法如下：

計(jì)算待加密數(shù)據(jù)m，計(jì)算方法如下：

使用對(duì)稱密鑰K對(duì)待加密數(shù)據(jù)m進(jìn)行對(duì)稱加密，得到加密數(shù)據(jù)c，計(jì)算公式如下：

依據(jù)pcr Info選擇相應(yīng)的平臺(tái)配置寄存器度量值（PCR值），并計(jì)算它們的雜湊值hash（PCRs），計(jì)算方法如下：

把pcrInfo和對(duì)稱密鑰K組合成附加明文m′，組合公式如下：

然后用非對(duì)稱密鑰中的公鑰對(duì)附加明文m′進(jìn)行加密，得到附加密文c′，計(jì)算方法如下：

對(duì)加密數(shù)據(jù)和附加密文進(jìn)行整體封裝［7］，得到封裝數(shù)據(jù)C；最后把封裝數(shù)據(jù)C存儲(chǔ)到硬盤(pán)上。

對(duì)數(shù)據(jù)進(jìn)行解封的具體步驟如下：

準(zhǔn)備封裝數(shù)據(jù)C，將其拆分成加密數(shù)據(jù)c和附加密文c′，使用非對(duì)稱密鑰的私鑰對(duì)附加密文c′進(jìn)行解密得到附加明文m′，計(jì)算公式如下：

從而得到對(duì)稱密鑰K和pcr Info的值。依據(jù)pcrInfo選擇與當(dāng)前平臺(tái)相應(yīng)的PCR集合PCRs，計(jì)算其雜湊值得到hash（PCRs），計(jì)算公式同式（25）。通過(guò)RTR從SML中收集相應(yīng)的PCR值，對(duì)其進(jìn)行雜湊運(yùn)算得到hash（PCRs）′，對(duì)比hash（PCRs）與hash（PCRs）′是否一致，若不一致則返回平臺(tái)配置錯(cuò)誤信息；若一致則使用對(duì)稱密鑰K對(duì)加密數(shù)據(jù)進(jìn)行解密，計(jì)算公式如下：

從而得到Data、tpmProof和authData。檢查tpmProof是否與平臺(tái)的唯一標(biāo)識(shí)符一致，若不一致，則返回平臺(tái)標(biāo)識(shí)錯(cuò)誤信息，解封失敗。若一致則檢查auth Data與當(dāng)前平臺(tái)的auth Data是否一致，若不一致則返回授權(quán)錯(cuò)誤信息，解封失敗。若一致則計(jì)算Data的雜湊值Storted Digest′，計(jì)算公式同式（22），檢查StortedDigest′是否與Storted Digest一致，若不一致則返回?cái)?shù)據(jù)完整性錯(cuò)誤，解封失敗。若一致則返回Data，解封成功。

3 方案實(shí)現(xiàn)

實(shí)驗(yàn)環(huán)境：聯(lián)想PC，CPU Intel（R）Core（TM）2 Duo E7300（2.66GHz），內(nèi)存2GB，TCM（SSX44）。

SSX44可信密碼模塊（TCM）芯片是nationz－TC可信計(jì)算解決方案的基礎(chǔ)和支持部分，采用硬件和固件一體化設(shè)計(jì)，它是一個(gè)完整的SOC（System on Chip）芯片，對(duì)外提供平臺(tái)身份證明，完整性度量、存儲(chǔ)和報(bào)告服務(wù)及數(shù)據(jù)加密、訪問(wèn)授權(quán)等密碼學(xué)服務(wù)。

用TCM芯片的非易失性內(nèi)存當(dāng)作PCR＿R，實(shí)現(xiàn)可逆向的應(yīng)用層狀態(tài)寄存器。TCM采用國(guó)標(biāo)SM3雜湊算法，雜湊值長(zhǎng)度是256位。

Dectect.exe為實(shí)時(shí)進(jìn)程監(jiān)控程序，用于檢測(cè)應(yīng)用層進(jìn)程的打開(kāi)和關(guān)閉。

第1步：采用TCG封裝，PCR［16］，封裝完后運(yùn)行nvp1.exe，再關(guān)閉nvp1.exe。打開(kāi)nvp1. exe時(shí)nvp1.exe的度量值將擴(kuò)展到PCR［16］，然后再運(yùn)行EncDataSeal.exe，接著進(jìn)行解封裝操作。由于PCR［16］值發(fā)生改變，解封裝操作中斷。如圖4所示。

圖4 TCG封裝方案由于新進(jìn)程的打開(kāi)導(dǎo)致的解封失敗實(shí)例Fig.4 Example of TCG scheme failed because of a new process

第2步：程序IPMSG.exe運(yùn)行時(shí)，其度量值按TCG規(guī)則擴(kuò)展到PCR［16］，同時(shí)按可逆向擴(kuò)展方案將其度量值也往NV中的PCR＿R擴(kuò)展，分別在IPMSG.exe打開(kāi)和關(guān)閉時(shí)進(jìn)行可逆向擴(kuò)展。表1顯示了IPMSG.exe運(yùn)行前后PCR值和PCR＿R值的變化情況。

第3步：利用本文方案將數(shù)據(jù)封裝時(shí)綁定NV的一段存儲(chǔ)區(qū)，這段存儲(chǔ)區(qū)用于擴(kuò)展應(yīng)用層度量值，且采用可逆向的度量值擴(kuò)展方式。首先運(yùn)行NV＿Enc DataSeal.exe，數(shù)據(jù)按文中改進(jìn)的方案進(jìn)行封裝。然后運(yùn)行nvp1.exe，再關(guān)閉nvp1. exe。這個(gè)過(guò)程中，NV的PCR＿R會(huì)進(jìn)行兩次操作，nvp 1.exe打開(kāi)時(shí)擴(kuò)展nvpexe的度量值，nvp1.exe關(guān)閉時(shí)再次擴(kuò)展nvp1.exe的度量值。經(jīng)過(guò)兩次擴(kuò)展，PCR＿S依然保持不變。接著NV＿EncDataSeal.exe繼續(xù)進(jìn)行解封裝操作。由于PCR＿R的值與封裝時(shí)的值相同，數(shù)據(jù)成功解封裝。如圖5所示。

表1 程序運(yùn)行前后PCR和PCR＿R的變化Table 1 Changes of PCR and PCR＿R before and after program running

圖5 本文提出的改進(jìn)方案解封成功實(shí)例Fig.5 Example of improved scheme does unsealing successfully

第4步：針對(duì)多任務(wù)環(huán)境下封裝存在的兩種情況，本文實(shí)驗(yàn)結(jié)果如下：

情況1：數(shù)據(jù)在P1運(yùn)行是封裝，P1進(jìn)程關(guān)閉，P1進(jìn)程再次打開(kāi)，數(shù)據(jù)的解封裝結(jié)果如表2。

情況2：數(shù)據(jù)在P1運(yùn)行是封裝，P2進(jìn)程打開(kāi)，P2進(jìn)程關(guān)閉，數(shù)據(jù)的解封裝結(jié)果如表3。

表2 進(jìn)程關(guān)閉再打開(kāi)的解封裝結(jié)果Table 2 Unsealing result of closing and running a process

表3 新進(jìn)程打開(kāi)再關(guān)閉的解封結(jié)果Table 3 Unsealing result of closing and running a new process

由以上實(shí)驗(yàn)可知，采用本文方案可以在應(yīng)用層多任務(wù)環(huán)境下實(shí)現(xiàn)數(shù)據(jù)的異步解封裝。相比于TCG的解封裝方案，本文方案具有靈活和實(shí)用的特點(diǎn)，同時(shí)通過(guò)可報(bào)告根收集平臺(tái)的SML度量值，也保證了本文方案的安全性。

4 結(jié)束語(yǔ)

提出了改進(jìn)的可信封裝存儲(chǔ)方案。在應(yīng)用層采用了可逆向的度量值擴(kuò)展方案，用于判定平臺(tái)應(yīng)用層的狀態(tài)，同時(shí)引入了可信報(bào)告根（RTR）和存儲(chǔ)度量日志（SML），能夠?qū)崿F(xiàn)實(shí)時(shí)的平臺(tái)狀態(tài)可信的證明，克服了在單一的PCR單向度量值擴(kuò)展的不足，在多任務(wù)環(huán)境下實(shí)現(xiàn)了異步的封裝解封操作。由于實(shí)驗(yàn)中采用的是TCM成品，本文的PCR＿R寄存器只是采用NV實(shí)現(xiàn)。從安全角度來(lái)看，PCR＿R應(yīng)該向普通PCR一樣是獨(dú)立專用的寄存器。

［1］沈昌祥，張煥國(guó)，馮登國(guó)，等.信息安全綜述［J］.中國(guó)科學(xué)E輯：信息科學(xué)，2007，37（2）：129-155.

Shen Chang-xiang，Zhang Huan-guo，F(xiàn)eng Dengguo，et al.Survey on information security［J］.Science in China（Series E：Information Sciences），2007，37（2）：129-155.

［2］張煥國(guó)，羅捷，金剛，等.可信計(jì)算研究進(jìn)展［J］.武漢大學(xué)學(xué)報(bào)：理學(xué)版，2006，52（5）：513-518.

Zhang Huan-guo，Luo Jie，Jin Gang，et al.Development of trusted computing research［J］.Journal of Wuhan University（Natural Science Edition），2006，52（5）：513-518.

［3］Trusted Computing Group.TCG specification architecture overview specification.Revision 1.4.［EB／OL］.［2010-07-27］.http：／／www.trustedco-mputinggroup.org.

［4］Trusted Computing Group.TPM main part 3 com-mands，specification version 1.2，Level 2 Revision 103［EB／OL］.［2010-07-27］.http：／／www.trustedcomputinggroup.org.

［5］Ulrich Kuhn，Marcel Selhorst，Christian Stuble. Realizing property-based attestation and sealing with commonly available hard-and software［C］∥Proceeding of the 2007 ACM Workshop on Scalable Trusted Computing，Alexandria，Virginia，USA，2007：50-57.

［6］Wang Dan，F(xiàn)eng Deng－guo.A hypervisor-based secure storage scheme［C］∥Proceeding of the Second International Conference on Networks Security，Wireless Communications and Trusted Computing，Wuhan，Hubei，China，2010：81-86.

［7］Elior Vila，Plamenka Borovska.Data protection utilizing trusted platform module［C］∥Proceedings of the 9th International Conference on Computer Systems and Technologies and Workshop for PhD Students in Computing，Gabrovo，Bulgaria，2008：1- 6.

［8］Emanuele Cesena，Gianluca Ramunno，Davide Vernizzi.Secure storage using a sealing proxy［C］∥Proceedings of the ACM SIGOPS European Workshop on System Security（EUROSEC），Glasgow，Scotland，2008：27-34.

［9］趙波，張煥國(guó)，李晶，等.可信PDA計(jì)算平臺(tái)系統(tǒng)結(jié)構(gòu)與安全機(jī)制［J］.計(jì)算機(jī)學(xué)報(bào)，2010，33（1）：82-92.

Zhao Bo，Zhang Huan-guo，Li Jing，et al.The system architecture and security structure of trusted PDA［J］.Chinese Journal of Computers，2010，33（1）：82-92.

［10］劉孜文，馮登國(guó).基于可信計(jì)算的動(dòng)態(tài)完整性度量架構(gòu)［J］.電子與信息學(xué)報(bào)，2010，32（4）：875-879.

Liu Zi-wen，F(xiàn)eng Deng－guo.TPM-based dynamic integrity measurement architecture［J］.Journal of Electronics ＆Information Technology，2010，32（4）：875-879.