龍興剛， 謝小賦， 龐飛， 葉曉

（1海軍計算技術研究所，北京100841；2中國電子科技集團公司第三十研究所，四川成都610041）

一種自主可控可信計算平臺解決方案

龍興剛1， 謝小賦2， 龐飛2， 葉曉2

（1海軍計算技術研究所，北京100841；2中國電子科技集團公司第三十研究所，四川成都610041）

本文針對TCG可信計算規(guī)范中X86架構的可信計算平臺存在被動可信度量、操作系統(tǒng)安全增強機制不完備和認證體制復雜等問題，提出一種基于國產處理器和國產操作系統(tǒng)的自主可控可信計算平臺解決方案，設計了國產操作系統(tǒng)可信安全增強策略和框架，給出了基于可信平臺控制模塊的主動可信度量和基于身份標識平臺身份認證等關鏈技術實現途徑。

可信計算；主動度量；主可控

0 引言

隨著信息技術不斷發(fā)展，信息系統(tǒng)面臨的安全問題越來越嚴峻，傳統(tǒng)的堵漏洞、筑高墻、防外攻等“老三樣”的防御技術難有大的突破，必須從計算平臺自身出發(fā)才能更好地解決信息系統(tǒng)的安全問題。“可信計算”提出通過硬件安全芯片及其支撐軟件所構成的可信計算平臺作為解決計算平臺安全問題的根本措施。通過在硬件平臺內部引入可信平臺模塊（TPM，Trusted platform module）作為信任根，利用密碼機制建立起信任鏈，從而把信任擴展到整個計算機系統(tǒng)，為建立安全可信的計算環(huán)境提供途徑［1-4］。當前可信計算平臺的具體實現大多是對通用計算機的簡單改造，即在主板上插上一個可信平臺模塊［5］。上述解決方案在一定程度上增強計算平臺的可信能力，是一種適應商用計算平臺和非國產操作系統(tǒng)的過渡解決方案。隨著我國國產計算平臺和操作系統(tǒng)的發(fā)展，需要提出一種適應自主可控計算平臺和操作系統(tǒng)的可信計算平臺解決方案。

1 存在的主要問題

1.1 X86架構可信平臺采用被動可信度量機制

在TCG（Trusted Computing Group，可信計算組織）規(guī)范中，X86架構可信計算平臺的信任鏈建立過程是以BIOS和TPM共同作為信任根。首先由BIOS度量硬件、Option ROM和OS Loader，并向TPM存儲度量結果；再由OS Loader度量OS kernel并向TPM報告。TPM綜合度量結果并向OS報告BIOS、硬件、Option ROM、OS Loader的完整性狀況，一直延伸到應用層面。通過上述過程，建立信任鏈關系，由信任鏈關系來確保計算機平臺的可信賴性。其過程如圖1所示。

圖1 信任鏈傳遞

由于X86架構可信計算平臺是基于BIOS最先發(fā)起可信度量，無法從根本上保證BIOS的安全性。在上述建立信任鏈的過程中，TPM不能驗證BIOS以控制CPU的啟動，從而無法驗證BIOS的安全性，一旦BIOS被篡改，后續(xù)啟動無法正確建立信任鏈，因此這種被動可信度量機制不能從根本上確保計算平臺的可信。

1.2 主流操作系統(tǒng)上的安全增強難以實現自主可控

現有安全防護技術主要在操作系統(tǒng)上進行安全增強，而當前計算機、移動設備［6-7］上所采用的主流操作系統(tǒng)的安全性往往難以令人放心。尤其是Windows操作系統(tǒng)本身不是開源的，很難搞清楚其核心代碼是否安全，操作系統(tǒng)內是否存在各種后門，即使其進行了安全增強，也很難證明和驗證其本身的安全性；

1.3 PKI認證體制復雜導致可信計算應用系統(tǒng)性能降低

TPM在使用過程中會創(chuàng)建種類繁多、關系復雜的大量證書，包括出廠背書證書（EK證書），一致性證書、平臺證書和在應用中需要的AIK證書等［8］。此外可信計算平臺可能還需要其他證書，比如：SKAE（subject key attestation evidence）證書、確認（validation）證書和DAA（direct anonymous attesta2tion）證書。

而公鑰證書本身不能表明用戶身份，只能用第三方證明的方式實現身份和公鑰的綁定，使用證書將引出第三方通信量增大的問題。驗證方接收到公鑰證書后需要在線查詢公開目錄以確定證書是否作廢，還要驗證頒發(fā)此證書的CA或CA鏈的簽名以確定證書是否有效。

2 解決方案

2.1 自主可控安全計算平臺系統(tǒng)設計

自主可信安全計算平臺由可信硬件平臺、可信軟件系統(tǒng)和安全管理系統(tǒng)組成?？尚跑浖到y(tǒng)包括：可信操作系統(tǒng)和可信應用系統(tǒng)。整個系統(tǒng)的組成結構如圖2所示。

圖2 自主可信安全計算平臺體系結構

可信硬件平臺中最重要的是可信根，它是安全可信計算平臺的核心部件?？尚庞布脚_沿用通用的PC架構，采用國產龍芯處理器和自主可信BIOS，設計自主可控的可信平臺控制模塊（TPCM）作為可信硬件基，以實現主動可信度量和確保硬件平臺的自主可控。

可信操作系統(tǒng)是在國產中標麒膦操作系統(tǒng)的基礎上，進行可信安全增強后實現，具備完善的可信服務軟件協(xié)議棧（TSS），提供豐富的可信服務軟件接口，供可信應用系統(tǒng)調用。

可信應用系統(tǒng)利用可信操作系統(tǒng)提供的密碼信服務，實現數據加解密、簽名驗簽等功能。

2.2 可信硬件平臺

采用國產處理器設計的專用可信硬件平臺，可構建具有完全自主知識產權的可信硬件整機系統(tǒng)，其組成結構如圖3所示：

圖3 龍芯專用主板架構圖

采用國產CPU可以解決Intel X86架構CPU無法驗證其微碼是否可信的問題。如圖3所示，主機上電后控制權首先在TPCM上，TPCM上電驗證BIOS通過之后，交由CPU執(zhí)行BIOS代碼，完成后續(xù)的系統(tǒng)設備啟動。

2.3 可信軟件系統(tǒng)

可信軟件系統(tǒng)由操作系統(tǒng)、可信設備驅動（TDD）、可信設備驅動接口庫（TDDL）、可信軟件棧（TSS）、操作系統(tǒng)可信安全增強，及若干應用軟件組成，其組成結構如圖4所示：

圖4 可信軟件系統(tǒng)組成

（1）操作系統(tǒng)

操作系統(tǒng)采用國產中標麒膦操作系統(tǒng)，它是以Linux安全內核為核心開發(fā)的自主操作系統(tǒng)，支持多種外設和接口（如：網口、串口、并口、IDE/SCSI接口、USB等等），提供多種應用軟件、軟件開發(fā)工具和友好的圖形/文本操作界面。

（2）可信軟件棧（TSS）

圖5 TSS結構示意圖可信軟件系統(tǒng)組成

TSS結構如圖5所示，包括TSP、TCS、TDDL和TDD等部分。TSP以鏈接庫（包括動態(tài)庫和靜態(tài)庫）的形式供各類應用調用。內核層接口以內核動態(tài)庫的形式供各類內核應用調用。TCS以系統(tǒng)服務的形式存在，為TSP和內核層接口提供功能接口，TCS通過調用設備驅動接口庫（TDDL）向可信密碼模塊發(fā)送功能調用指令，而功能調用指令通過可信設備驅動（TDD）傳送到可信密碼模塊進行各種處理。

（3）操作系統(tǒng)安全增強

以中標麒膦操作系統(tǒng)提供的Linux安全摸塊（LSM）框架為基礎，結合TPCM的安全服務功能，設計了一種具有強制訪問控制（MAC）策略、工作在操作系統(tǒng)內核模式下的可信安全增強模塊，達到操作系統(tǒng)安全增強的目的，進一步提升操作系統(tǒng)的安全等級。該模塊主要由：安全操作集、策略實施、策略仲裁、可信度量、安全策略接口、安全審計接口、配置管理接口等功能子模塊組成，每個模塊承擔不同的功能。其結構如圖6所示：

圖6 可信安全增強模塊結構

可信安全增強模塊由七個子模塊組成，其中策略實施、策略仲裁子模塊是最為重要的組成部分，系統(tǒng)中所有和強制訪問控制有關的決策和實施都在這部分實現；安全操作集是內核增強模塊的入口鉤子函數集，通過這些嵌入到各個對象的訪問請求的鉤子集函數截獲訪問請求，在訪問請求的流程中加入可信驗證和安全訪問控制處理；可信度量封裝了與TPCM交互的命令函數集，通過該接口調用TPCM為內核提供的各種可信安全服務功能；安全策略接口是實現策略仲裁與策略庫交互的中間接口，策略的查詢、維護和結果信息都是通過該接口封裝轉發(fā)的；安全審計子模塊的主要功能是對強制訪問控制處理過程中發(fā)現的非正常情況，進行事件記錄、報警或其他相關處理；配置管理接口通過解析用戶下發(fā)的配置管理命令，實現安全管理員對訪問控制信息的管理。

3 關鍵技術

3.1 TPCM主動度量

當系統(tǒng)啟動時，TPCM作為計算平臺的度量起始根，首先驗證BIOS、再將度量主動權交BIOS，由它度量其它硬件部件，操作系統(tǒng)加載模塊和操作系統(tǒng)核心文件，最后再由操作系統(tǒng)接管度量控制權，實現對應用程序的完整性度量，從而保證計算平臺的完整性。系統(tǒng)啟動完成后，便建立起了一條以TPCM為根的信任鏈。TPCM主動度量過程如圖7所示：

圖7 TPCM主動可信度量流程

3.2 基干TPCM的自主操作系統(tǒng)可信安全增強

在國產自主操作系統(tǒng)內核中，主要的安全功能處理流程插入到每一個和安全相關的系統(tǒng)調用中構成策略實施部件。它與安全策略無關，負責實時地截獲系統(tǒng)核心事件并進行相應的處理，再分發(fā)給策略判定部件，從而在內核中形成不可旁路的細粒度安全控制。通過TPCM提供的信任根，確保可信機制在具體安全功能實施過程中的行為可預期。內核處理流程的客體可以是文件、目錄、設備、IPC和Socket等對象，因此處理流程能夠覆蓋包括網絡訪問控制控在內的所有安全功能。自主操作系統(tǒng)可信安全增強的處理過程如圖8所示：

圖8 可信安全增強內核處理過程

3.3 基干IBE的平臺身份認證

PKI（Public Key Infrastructure）是利用基于證書的公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術能夠有效地解決實際應用中的真實性、完整性和不可否認性等安全問題。但由于證書數量的增加，PKI中的證書管理也面臨著一些問題，如證書的撒銷、保存、發(fā)布和驗證就需要占用較多的資源，且管理復雜。為了減輕公鑰證書的管理開銷，采用基于身份標識（IBE，I-dentity-Based Encryption）的公鑰密碼體制，來解決可信平臺身份認證問題。IBE密碼體制的安全性是來源于密鑰的生成過程，也就是：私鑰=f（主密鑰，公鑰），其中主密鑰是由可信中心（TA）擁有的，公鑰是用戶的個人身份信息。TA根據主密鑰和用戶的公鑰能夠計算出私鑰。而除去TA以外的人只有公鑰，是無法計算出私鑰的。另外，公鑰既然是密鑰生成過程的輸入，那么任意的比特串都可以用來做公鑰。因此，用戶的身份信息也可作為公鑰，而且能大大減少公鑰認證的復雜性。這也正是基于身份的密碼體制的理論依據。基于IBE的平臺身分認證過程如圖9所示。

圖9 平臺身份認證

平臺身份認證過程描述如下：

1）平臺1向平臺2發(fā)送驗證請求；

2）平臺2向平臺1請求所需要的PCR值；

3）平臺1使用AIK（Attestation Identity Key）私鑰對平臺2需要的PCR值簽名；

4）平臺1將PCR的簽名值與AIK標識一起發(fā)送給平臺2；

5）平臺2的校驗者通過平臺1的身份標識驗證PCR的簽名值確認平臺1的身份，并評估其可信程度。

基于標識的平臺身份認證主要優(yōu)點在于不需要公鑰證書，避免了公鑰證書發(fā)放、保存、交換、驗證和撒銷等問題。認證過程簡單，通信量小，在特定專用網絡中易于實現集中控制。

4 結語

針對當前X86架構可信計算平臺存在的諸多問題，提出了一種國產化自主可控的可信計算平臺解決方案。本文創(chuàng)新性主要體現在：（1）能夠建立起從可信根到硬件平臺到操作系統(tǒng)的信任鏈，確保計算平臺的安全可信；（2）解決了主動可信度量問題；（3）解決了國產自主操作系統(tǒng)可信安全增強的問題；（4）解決了可信計算環(huán)境中高效身份認證問題。本文提出的方案可以滿足我國軍隊和地方對高安全等級計算機平臺的使用需求，具有較好的應用前景。

［1］ 郝平，何恩.可信計算的安全防護機制及其在高可信網絡中的應用［J］.中國電子科學研究院學報，2008，3（1）：14-19.

［2］ Trusted Computing Group TCG Specification Architecture O-verview v1.2.200.

［3］ Challener D，Yoder K，Cat Herman R，et al.A Pratical GuidetoTrustedComputing［M］.NewYork：IBM Press，2007.

［4］ 谷偉，朱學永.基于可信計算和HIP的Web數據庫安全模型［J］.計算機工程，2013，39（3）：63-66.

［5］ 宗濤.基于可信計算的結構性安全模型設計與實現［J］.計算機工程，2012，38（20）：89-96.

［6］ 談劍峰.可信計算技術研究與應用［J］.信息安全與通信保密，2014（3）：116-119.

［7］ 劉巍然，劉建偉.Android操作系統(tǒng)可信計算平臺架構［J］.武漢大學學報（理學版），2014，59（2）：159-164.

［8］ 卿斯?jié)h，周啟明，杜虹.可信計算研究進展分析［J］.電信科學，2011（1）：11-15.作者簡介：

龍興剛（1974—），男，碩士，高級工程師，主要研究方向為信息安全；

謝小賦（1973—），男，碩士，高級工程師，主要研究方向為網絡安全與通信保密

龐 飛（1974—），男，碩士，工程師，主要研究方向為信息安全與可信計算。

葉 曉（1981—），男，學士，助理工程師，研究方向為計算機應用■

An Independent Controllable Scheme of Trusted Computing Platform

LONG Xing-gang1，XIE Xiao-fu2，PANG Fei2，YE Xiao2
（1Computing Technology Research Institute of Navy，Beijing 100141，China；2No.30 Institute of CETC，Chengdu Sichuan 610041，China）

Aiming at passive trusted measurement，incomplete operation system security enhancement mechanism and complicated authentication mechanism，X86-based trusted computing platform in TCG trusted computing sepcifications，an independent controllable scheme of trusted computing platform based on domestic processors and operating systems is proposed.Trusted security enhancement strategy and frame of domestic operating system is designed，and implementations of some key technologies，such as active trusted measurement based on control module of trusted platform and identity authentication based on identity platform are described in this paper.

trusted computing；active measurement；independent controllable

TP91

A

1009-8054（2015）10-0123-04

2015-05-22