黃堅(jiān)會(huì)， 沈昌祥

(1. 北京工業(yè)大學(xué) 信息學(xué)部 北京 100124； 2. 華大半導(dǎo)體有限公司 上海 201203)

0 引言

隨著網(wǎng)絡(luò)互連、大數(shù)據(jù)、資源共享、智慧城市、智能工廠(chǎng)的發(fā)展，數(shù)據(jù)中心的規(guī)模和數(shù)量都在迅速增長(zhǎng)，同時(shí)，數(shù)據(jù)中心處理和存儲(chǔ)的數(shù)據(jù)的私密性和安全性越來(lái)越受到人們的重視.數(shù)據(jù)中心主要由大量服務(wù)器構(gòu)成，面對(duì)層出不窮的網(wǎng)絡(luò)和軟硬件漏洞攻擊，如何保證服務(wù)器基礎(chǔ)平臺(tái)及數(shù)據(jù)訪(fǎng)問(wèn)安全顯得尤其重要.

為了解決服務(wù)器基礎(chǔ)平臺(tái)的安全防護(hù)問(wèn)題，本文基于三階三路安全可信平臺(tái)防護(hù)架構(gòu)，設(shè)計(jì)了服務(wù)器從待機(jī)、啟動(dòng)、運(yùn)行直到關(guān)機(jī)移除電源的工作全過(guò)程可信計(jì)算環(huán)境保護(hù)機(jī)制.防護(hù)系統(tǒng)以TPCM芯片為信任根源，從服務(wù)器CPU指令執(zhí)行及其執(zhí)行環(huán)境開(kāi)始建立可信系統(tǒng)，在計(jì)算機(jī)初始化過(guò)程中防止病毒入侵及使用經(jīng)篡改的設(shè)備來(lái)構(gòu)建可信運(yùn)行環(huán)境，并且在系統(tǒng)運(yùn)行全程進(jìn)行動(dòng)態(tài)實(shí)時(shí)防御，確保服務(wù)器基礎(chǔ)平臺(tái)在“計(jì)算+防護(hù)”的雙體系結(jié)構(gòu)中，受到可信防護(hù)系統(tǒng)時(shí)間和空間上的全方位保護(hù).

本文方案有以下功能特點(diǎn)：

1) 使用完全中國(guó)自主主動(dòng)防御TPCM模塊作為信任根.

2) 利用服務(wù)器電源系統(tǒng)給TPCM模塊供電，無(wú)須增加額外電源模塊.

3) 只需要一片TPCM模塊即可對(duì)底板管理控制器(baseboard management controller, BMC)及BIOS代碼進(jìn)行分級(jí)度量控制.

4) 物理信號(hào)接口完全兼容國(guó)際可信平臺(tái)模塊(trusted platform module, TPM)，既滿(mǎn)足了安全高等級(jí)TPCM使用要求，又可替換使用TPM，滿(mǎn)足國(guó)際通用市場(chǎng)需求.

5) 基于服務(wù)器的原有架構(gòu)，通過(guò)少許邏輯控制增強(qiáng)即可完成TPCM對(duì)服務(wù)器電源時(shí)序的控制.

6) 可以對(duì)服務(wù)器系統(tǒng)平臺(tái)從上電到電源移除整個(gè)生命周期進(jìn)行主動(dòng)、動(dòng)態(tài)的安全防護(hù).

1 TPCM服務(wù)器基礎(chǔ)平臺(tái)防護(hù)架構(gòu)

1.1 三階三路服務(wù)器防護(hù)思路介紹

本設(shè)計(jì)采用三階三路[1]架構(gòu)方案，使得服務(wù)器系統(tǒng)平臺(tái)整個(gè)啟動(dòng)運(yùn)行過(guò)程中具備防御免疫能力.整個(gè)設(shè)計(jì)過(guò)程既充分考慮了安全防護(hù)的嚴(yán)密性，又照顧到了工程實(shí)現(xiàn)的成本和安裝的簡(jiǎn)易性.基于該方案設(shè)計(jì)的服務(wù)器從市電接入到應(yīng)用的3個(gè)階段都得到了相應(yīng)防護(hù)及信任承接和擴(kuò)展[2].

1.2 可信服務(wù)器架構(gòu)設(shè)計(jì)

1.2.1防護(hù)框架方案 TPCM是整個(gè)服務(wù)器唯一的信任源點(diǎn)，同時(shí)也是服務(wù)器平臺(tái)的安全防護(hù)管理控制中心.TPCM的防護(hù)策略由用戶(hù)管理人員通過(guò)專(zhuān)屬管理軟件和安全通道進(jìn)行下發(fā)，一旦TPCM接收到策略及防護(hù)激活指令，則TPCM將自主地對(duì)服務(wù)器進(jìn)行可信環(huán)境度量監(jiān)控，不受控于服務(wù)器計(jì)算單元.實(shí)現(xiàn)計(jì)算和防護(hù)系統(tǒng)分離的雙體系結(jié)構(gòu).系統(tǒng)連接如圖1所示.

圖1 TPCM可信服務(wù)器系統(tǒng)連接圖Fig.1 Trusted server system connection diagram of TPCM

1.2.2電源域及時(shí)序控制設(shè)計(jì) 服務(wù)器平臺(tái)電源域劃分為3部分：1) TPCM+復(fù)雜可編程邏輯器件(complex programmable logic device，CPLD)+flash供電域,簡(jiǎn)稱(chēng)A域. 2) BMC及周邊電路域，簡(jiǎn)稱(chēng)B域. 3)主計(jì)算系統(tǒng)工作域，簡(jiǎn)稱(chēng)C域.

A域：通過(guò)TPCM對(duì)BIOS及BMC代碼進(jìn)行度量檢查，確定有無(wú)異常和入侵攻擊.如果發(fā)現(xiàn)BMC代碼或BIOS啟動(dòng)代碼底層固件被篡改替換，則啟動(dòng)安全防范策略，阻止后續(xù)系統(tǒng)上電，或在寬松安全策略下進(jìn)入非可信運(yùn)行環(huán)境，同時(shí)發(fā)出非安全環(huán)境警告.當(dāng)代碼環(huán)境正常，則TPCM控制系統(tǒng)打開(kāi)B域電源.

B域：BMC開(kāi)始工作，通過(guò)與TPCM的認(rèn)證交互，BMC系統(tǒng)環(huán)境處于可信狀態(tài)，包括管理控制器BMC本身.當(dāng)確認(rèn)BMC系統(tǒng)執(zhí)行環(huán)境安全可信時(shí)，開(kāi)啟C域電源.否則同理進(jìn)入非可信環(huán)境或阻止C域電源上電服務(wù)器開(kāi)機(jī).

C域：服務(wù)器計(jì)算CPU正式開(kāi)始執(zhí)行指令，同理TPCM將對(duì)服務(wù)器主系統(tǒng)的執(zhí)行環(huán)境進(jìn)行識(shí)別確認(rèn)，包括CPU本身.同樣，當(dāng)確認(rèn)主計(jì)算系統(tǒng)環(huán)境安全可信后，允許服務(wù)器自檢并向后啟動(dòng).否則同理進(jìn)入非可信環(huán)境或直接關(guān)閉服務(wù)器電源，阻止計(jì)算機(jī)上電開(kāi)機(jī).

服務(wù)器首先A域供電，CPLD通過(guò)TPCM的在位信號(hào)探測(cè)TPCM是否存在或關(guān)閉.如果TPCM存在且有效，CPLD切斷服務(wù)器主控系統(tǒng)的總線(xiàn)，允許TPCM主控總線(xiàn)與BMC Flash和BIOS Flash連通，關(guān)閉B域和C域電源，等待TPCM指令.TPCM上電后自檢，確定自身完整安全后，根據(jù)用戶(hù)預(yù)設(shè)策略通過(guò)主控總線(xiàn)對(duì)BMC代碼和BIOS代碼進(jìn)行分段及按安全等級(jí)要求進(jìn)行逐一檢查確認(rèn).任何病毒代碼入侵或非授權(quán)數(shù)據(jù)(如平臺(tái)參數(shù)設(shè)置或系統(tǒng)配置值)發(fā)生變化將會(huì)立刻引起TPCM告警，甚至阻斷服務(wù)器主電源供電、關(guān)閉通訊端口等.當(dāng)TPCM確認(rèn)BMC代碼和BIOS 代碼可信的情況下，通知CPLD依次打開(kāi)B域和C域電源，通過(guò)總線(xiàn)進(jìn)行后續(xù)可信執(zhí)行環(huán)境檢查.

2 系統(tǒng)實(shí)現(xiàn)

本文的TPCM三階三路防護(hù)方案并不局限于特定的服務(wù)器平臺(tái)及領(lǐng)域.下文以Intel至強(qiáng)服務(wù)器Xeon Scalable處理器族Skylake-SP基礎(chǔ)平臺(tái)為例進(jìn)行實(shí)現(xiàn)及測(cè)試說(shuō)明.

防御系統(tǒng)及模塊組成如圖2所示. 防御系統(tǒng)主要由主動(dòng)度量模塊、平臺(tái)度量模塊、動(dòng)態(tài)度量模塊和控制部分組成.TPCM首先對(duì)啟動(dòng)代碼進(jìn)行度量確認(rèn)，然后通過(guò)可信啟動(dòng)代碼逐步擴(kuò)展可信鏈到達(dá)可信軟件基(trusted software base, TSB)操作系統(tǒng).最后通過(guò)動(dòng)態(tài)度量模塊支撐，保持宿主系統(tǒng)的安全可信運(yùn)行狀態(tài).可見(jiàn)，TPCM模塊組完全是獨(dú)立的度量控制系統(tǒng)，并行于服務(wù)器計(jì)算系統(tǒng).

圖2 防御系統(tǒng)對(duì)服務(wù)器平臺(tái)的保護(hù)Fig.2 Defense system for server platform

圖3 TPCM接口設(shè)計(jì)Fig.3 Interface design for TPCM

2.1 服務(wù)器主板物理接口實(shí)現(xiàn)

根據(jù)服務(wù)器主板及TPCM功能特點(diǎn)，本設(shè)計(jì)采用PCIE+TPCM connector 的設(shè)計(jì)方案實(shí)現(xiàn)物理通路連接(圖3).該方案的優(yōu)點(diǎn)有：

1) 設(shè)計(jì)方面.增加低速接口，高速通路采用原有通用PCIE插槽，實(shí)現(xiàn)高速與低速通道分離，互不干擾，兼容性好.

2) 使用方面.兩通道可根據(jù)設(shè)計(jì)要求，既可以單獨(dú)使用，又可以合并形成高低速配合使用.

3) 結(jié)構(gòu)方面.完全不改變?cè)兄靼錚CIE物理結(jié)構(gòu)、接口信號(hào)定義、物理通道用途,使得服務(wù)器組件及結(jié)構(gòu)沒(méi)有發(fā)生任何變化.

4) 成本方面.高速通道利用原有服務(wù)器主板總線(xiàn)接口，低速通道則采用簡(jiǎn)單的連接件實(shí)現(xiàn)，實(shí)現(xiàn)成本非常低廉.

5) 該物理接口設(shè)計(jì)能兼容TPM模塊[3-4]信號(hào)要求，使得該設(shè)計(jì)服務(wù)器既可以接插TPCM主動(dòng)防御模塊，又可以替換成TPM模塊.

2.2 待機(jī)階段度量保護(hù)實(shí)現(xiàn)

當(dāng)計(jì)算機(jī)接通市電時(shí)，CPLD控制邏輯阻止待機(jī)電源為T(mén)PCM、閃存及高速開(kāi)關(guān)以外的設(shè)備提供電能.通過(guò)可信根TPCM確認(rèn)啟動(dòng)代碼可信性，然后宿主系統(tǒng)在TPCM的控制下上電開(kāi)機(jī)[5].

無(wú)須獨(dú)立電源供電,服務(wù)器待機(jī)電源為T(mén)PCM提供電能上電，通過(guò)控制模塊主導(dǎo)計(jì)算機(jī)電源控制系統(tǒng)，度量確認(rèn)啟動(dòng)代碼及關(guān)鍵數(shù)據(jù)的可信性和完整性[6].串行外設(shè)接口(serial peripheral interface, SPI)控制器配置成為主控設(shè)備，同時(shí)通過(guò)CPLD關(guān)斷閃存與計(jì)算CPU單元間的通路，TPCM作為唯一的主控設(shè)備對(duì)閃存中BIOS、BMC代碼數(shù)據(jù)進(jìn)行讀取.通過(guò)SM3、SHA256[7-8]硬件邏輯處理單元完成特征及代碼數(shù)據(jù)摘要提取.將特征及摘要與基準(zhǔn)值相比對(duì)，若安全可信，則向控制單元發(fā)送上電信號(hào).這里代碼數(shù)據(jù)可根據(jù)用戶(hù)防護(hù)策略選擇為存儲(chǔ)在閃存中的關(guān)鍵代碼(如用于控制各硬件上電的代碼，涉及系統(tǒng)安全性的代碼或名單數(shù)據(jù)等).特征則包含閃存特征及服務(wù)配置信息、管理引擎(management engine, ME)代碼特征、網(wǎng)絡(luò)控制器代碼特征等.

2.3 啟動(dòng)過(guò)程BIOS可信功能實(shí)現(xiàn)

當(dāng)啟動(dòng)代碼特征及代碼數(shù)據(jù)確認(rèn)可信安全后，TPCM通過(guò)CPLD允許服務(wù)器計(jì)算單元上電，并同時(shí)打開(kāi)啟動(dòng)代碼閃存通路，服務(wù)器CPU作為主控設(shè)備獲取啟動(dòng)代碼,進(jìn)行系統(tǒng)的初始化啟動(dòng)過(guò)程.此時(shí)，TPCM SPI控制器保持總線(xiàn)的主動(dòng)監(jiān)控能力.通過(guò)統(tǒng)一可擴(kuò)展固件接口(unified extensible firmware interface, UEFI) 架構(gòu)BIOS中植入的驅(qū)動(dòng)及保護(hù)策略，在受控BIOS代碼的協(xié)同下對(duì)啟動(dòng)環(huán)境進(jìn)行檢查確認(rèn)[9]，TPCM將整個(gè)服務(wù)器硬件系統(tǒng)及組件進(jìn)行掃描，確認(rèn)其計(jì)算主系統(tǒng)部件及執(zhí)行環(huán)境的可靠可信安全.

2.4 運(yùn)行階段操作系統(tǒng)可信環(huán)境保護(hù)實(shí)現(xiàn)

可信操作加載后，在內(nèi)核中嵌入的可信安全防護(hù)內(nèi)核程序?qū)?huì)被激活運(yùn)行.該內(nèi)核管理程序進(jìn)程將在防御系統(tǒng)TSB的策略要求下，通過(guò)TPCM的度量單元提供實(shí)時(shí)宿主系統(tǒng)計(jì)算執(zhí)行環(huán)境的相關(guān)信息. 防御系統(tǒng)將動(dòng)態(tài)對(duì)相關(guān)信息進(jìn)行安全評(píng)估后，自主進(jìn)行系統(tǒng)控制.有任何超出預(yù)期的異常行為，TPCM將根據(jù)保護(hù)策略進(jìn)行上報(bào)，甚至切斷其物理接口或電源，實(shí)時(shí)保護(hù)系統(tǒng)的可信執(zhí)行環(huán)境.

3 測(cè)試

測(cè)試設(shè)備包括： Intel至強(qiáng)服務(wù)器、M2服務(wù)器硬盤(pán)、CentOS-7操作系統(tǒng)、TPCM主動(dòng)防御可信模塊、鼠標(biāo)、鍵盤(pán)、顯示器等電腦外設(shè).

從服務(wù)器連接電源開(kāi)始記錄整個(gè)防御過(guò)程.

第一次服務(wù)器啟動(dòng)，管理者進(jìn)入管理軟件人機(jī)界面，獲取Admin權(quán)限，進(jìn)行防護(hù)范圍及防御策略配置并下發(fā)到TPCM，要求重新啟動(dòng)服務(wù)器.

第二次服務(wù)器啟動(dòng)，TPCM根據(jù)配置策略要求錄入可信服務(wù)器特征信息.在待機(jī)電源支持下，可信平臺(tái)控制模塊自檢通過(guò)后，主動(dòng)讀取BIOS、BMC代碼及載體閃存的物理特征，進(jìn)行識(shí)別和可信認(rèn)證.檢驗(yàn)通過(guò)后，控制計(jì)算機(jī)主板上電.服務(wù)器啟動(dòng)過(guò)程中，TPCM錄入可信平臺(tái)的設(shè)備及操作系統(tǒng)加載代碼檢測(cè)信息，并保存于可信平臺(tái)控制模塊中.

第三次服務(wù)器啟動(dòng)時(shí)，服務(wù)器已處在受TPCM保護(hù)狀態(tài).此后執(zhí)行的重復(fù)開(kāi)機(jī)，服務(wù)器都在整機(jī)啟動(dòng)環(huán)境、核心芯片、外圍設(shè)備、加載代碼及操作系統(tǒng)代碼受監(jiān)控的前提下工作.

接下來(lái)嘗試進(jìn)行模擬惡意替換設(shè)備或篡改設(shè)備固件測(cè)試.在服務(wù)器上電工作前，人為地替換相同型號(hào)的不同設(shè)備，如內(nèi)存、硬盤(pán)、外設(shè)組件高速互連標(biāo)準(zhǔn)(peripheral component interconnect express, PCIE)設(shè)備.另外，對(duì)操作系統(tǒng)加載代碼進(jìn)行植入木馬病毒.可信平臺(tái)控制模塊在計(jì)算機(jī)啟動(dòng)過(guò)程中立刻捕捉到周邊設(shè)備及加載代碼的變化，阻止服務(wù)器啟動(dòng)并及時(shí)關(guān)閉電源.服務(wù)器運(yùn)行時(shí)，通過(guò)外接USB設(shè)備進(jìn)行實(shí)時(shí)惡意病毒攻擊實(shí)驗(yàn).步驟如下：利用配置管理軟件設(shè)定防護(hù)策略并向TPCM下發(fā)平臺(tái)動(dòng)態(tài)防護(hù)指令.TPCM驗(yàn)證指令的合法性后，激活動(dòng)態(tài)防護(hù)模塊，使之處于監(jiān)控狀態(tài).此時(shí)，使用未經(jīng)授權(quán)USB設(shè)備入侵該服務(wù)器系統(tǒng)，企圖注入木馬病毒，獲取服務(wù)器數(shù)據(jù).動(dòng)態(tài)防護(hù)模塊迅速發(fā)現(xiàn)異常，根據(jù)防護(hù)策略報(bào)告TSB和后臺(tái)系統(tǒng)，并及時(shí)斷開(kāi)USB物理通道，完全物理隔離入侵設(shè)備與服務(wù)器的連接.

實(shí)驗(yàn)還進(jìn)行了用戶(hù)識(shí)別和權(quán)限管理測(cè)試. 當(dāng)Admin為用戶(hù)建立賬戶(hù)并綁定可信環(huán)境時(shí)，用戶(hù)現(xiàn)場(chǎng)環(huán)境必須符合可信環(huán)境要求，否則系統(tǒng)將拒絕用戶(hù)的登錄或根據(jù)策略進(jìn)入非可信執(zhí)行環(huán)境并提示遠(yuǎn)程管理系統(tǒng).當(dāng)用戶(hù)信息確認(rèn)，TPCM將根據(jù)預(yù)設(shè)權(quán)限進(jìn)行配置管理，比如某用戶(hù)只能使用計(jì)算機(jī)系統(tǒng)，不能進(jìn)行對(duì)外端口操作，甚至通過(guò)TSB配合限定網(wǎng)絡(luò)訪(fǎng)問(wèn)范圍等.

以上測(cè)試防護(hù)效果明顯并且不影響服務(wù)器原有功能執(zhí)行.需要說(shuō)明的是，此類(lèi)防護(hù)管控完全由TPCM芯片自主獨(dú)立的物理單元完成，與服務(wù)器計(jì)算單元沒(méi)有直接關(guān)系.TPCM防御系統(tǒng)獨(dú)立于計(jì)算單元，根據(jù)測(cè)試預(yù)設(shè)的防護(hù)強(qiáng)度所要求執(zhí)行的防御對(duì)計(jì)算單元性能的影響非常小，基本上可以忽略.

4 結(jié)果分析

基于主動(dòng)防御TPCM設(shè)計(jì)的可信服務(wù)器模型測(cè)出的結(jié)果與TPM可信模塊進(jìn)行功能和防御效果分析見(jiàn)表1和表2.TPM是現(xiàn)今使用最為廣泛的可信模塊，由國(guó)際可信計(jì)算組織 (trusted computing group, TCG)制定標(biāo)準(zhǔn)[3-4]，在可信計(jì)算領(lǐng)域具有代表性.

表1 TPCM與TPM功能比較Tab.1 Functional comparison between TPCM and TPM

表2 TPCM與TPM防御效果比較Tab.2 Comparison of defense effectiveness between TPCM and TPM

通過(guò)以上測(cè)試實(shí)驗(yàn)，不難得出以下結(jié)論：

1) TPCM不是計(jì)算系統(tǒng)的附屬部件，它對(duì)平臺(tái)的防護(hù)建立在雙體系架構(gòu)之上，與計(jì)算部件并行的可信安全模塊具有完整的軟硬件組成，包括軟件系統(tǒng)、處理器和總線(xiàn)接口.TPCM有完全獨(dú)立自主的防控能力，對(duì)平臺(tái)系統(tǒng)能實(shí)現(xiàn)主動(dòng)度量、主動(dòng)控制及可信管理，是計(jì)算機(jī)運(yùn)行全過(guò)程中的系統(tǒng)信任基礎(chǔ).

2) TPCM在計(jì)算機(jī)的待機(jī)階段，主動(dòng)對(duì)啟動(dòng)代碼及環(huán)境進(jìn)行度量確認(rèn)；在計(jì)算機(jī)的啟動(dòng)過(guò)程中，主動(dòng)對(duì)計(jì)算機(jī)計(jì)算單元、所有外設(shè)設(shè)備及操作系統(tǒng)內(nèi)核代碼發(fā)起驗(yàn)證；在軟件運(yùn)行階段，TPCM在已有可信執(zhí)行環(huán)境基礎(chǔ)上，動(dòng)態(tài)對(duì)其可信環(huán)境進(jìn)行維護(hù)，直至系統(tǒng)關(guān)閉電源.以上度量檢測(cè)如果不通過(guò)，則TPCM自主實(shí)時(shí)地干預(yù)計(jì)算機(jī)啟動(dòng)流程，甚至剝奪計(jì)算機(jī)控制權(quán).

5 結(jié)語(yǔ)

計(jì)算機(jī)在設(shè)計(jì)初期沒(méi)有考慮到當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)及計(jì)算機(jī)智能化發(fā)展，也沒(méi)有考慮到安全防護(hù)問(wèn)題.后來(lái)雖然出現(xiàn)了一些修補(bǔ)增強(qiáng)措施，比如TrustZone、TPM等技術(shù)，但始終無(wú)法擺脫早期計(jì)算機(jī)架構(gòu)的束縛.中國(guó)專(zhuān)家提出的雙體系架構(gòu)[10]，即防御+計(jì)算并行體系，是從架構(gòu)上改變現(xiàn)有計(jì)算機(jī)模型，使得計(jì)算機(jī)具有自主免疫能力.通過(guò)主動(dòng)防御技術(shù)保護(hù)計(jì)算機(jī)自身基礎(chǔ)平臺(tái)，進(jìn)而為架構(gòu)安全可靠的網(wǎng)絡(luò)空間提供可信任、可依賴(lài)的平臺(tái)節(jié)點(diǎn).TPCM可信根芯片是雙系統(tǒng)中防御系統(tǒng)的基礎(chǔ)支撐芯片，是計(jì)算機(jī)平臺(tái)的信任根源，是網(wǎng)絡(luò)交互的身份識(shí)別依據(jù)，必須保證其安全性及節(jié)點(diǎn)系統(tǒng)唯一性，而且其技術(shù)及標(biāo)準(zhǔn)必須自主掌握.

最后需要指出的是，可信平臺(tái)控制模塊主動(dòng)防御可信技術(shù)是完全自主創(chuàng)新、安全可信的底層基礎(chǔ)防護(hù)技術(shù).設(shè)計(jì)和實(shí)現(xiàn)需要不斷地在實(shí)踐中優(yōu)化改進(jìn)，最終形成穩(wěn)定完善的安全可信解決方案.