劉建偉　程東旭　李妍

摘要：針對移動(dòng)終端日益增長的高安全等級業(yè)務(wù)需求，提出一種基于可信賴平臺(tái)模塊（TPM）芯片的面向移動(dòng)終端的高安全、高可信計(jì)算平臺(tái)架構(gòu)?；诋?dāng)前多種移動(dòng)終端可信功能拓展架構(gòu)，提出了TPM芯片在移動(dòng)終端可信鏈路中發(fā)揮核心作用的軟硬件集成方案；進(jìn)一步設(shè)計(jì)了集成TPM芯片的原型平臺(tái)，對移動(dòng)終端的高安全可信屬性進(jìn)行原理驗(yàn)證，并對此可信計(jì)算平臺(tái)進(jìn)行了要點(diǎn)分析。

關(guān)鍵詞： 可信計(jì)算；集成式可信賴平臺(tái)模塊；移動(dòng)終端

目前，隨著移動(dòng)終端互聯(lián)的發(fā)展，各種無線移動(dòng)數(shù)據(jù)業(yè)務(wù)持續(xù)增長，尤其是智能手機(jī)、平板電腦、PDA等手持設(shè)備成為了個(gè)人信息終端，一類高安全等級業(yè)務(wù)如手機(jī)支付、電子轉(zhuǎn)賬匯款、移動(dòng)電子商務(wù)、移動(dòng)電子政務(wù)等方興未艾。但是，病毒、木馬、黑客攻擊等各種安全威脅層出不窮，對移動(dòng)終端面向高安全等級的應(yīng)用帶來了嚴(yán)重威脅[1]。在信息安全領(lǐng)域，可信計(jì)算組（TCG）提出了一整套可信計(jì)算概念[2-3]，要求可信平臺(tái)中集成可信賴平臺(tái)模塊（TPM）芯片，作為整個(gè)系統(tǒng)可信度量的根，再逐級構(gòu)建可信鏈路，將信任關(guān)系擴(kuò)展到整個(gè)PC系統(tǒng)。目前，基于TPM芯片擴(kuò)展移動(dòng)終端、嵌入式終端以及計(jì)算機(jī)網(wǎng)絡(luò)的可信概念也被提出來[4-5]，用于解決信息安全領(lǐng)域日益增加的可信計(jì)算需求。因此，基于TPM芯片構(gòu)建面向身份的可信計(jì)算平臺(tái)架構(gòu)，是移動(dòng)終端用來安全等級的有效途徑。

1 移動(dòng)終端各種可信增強(qiáng)

架構(gòu)對比

人們?yōu)榱私鉀Q移動(dòng)終端安全可信問題，提出了多種可信增強(qiáng)方案，大多數(shù)方案都以軟硬件相結(jié)合的方式提高系統(tǒng)的安全性

1.1 嵌入式處理器內(nèi)嵌可信分區(qū)架構(gòu)

方案1為嵌入式處理器內(nèi)嵌可信分區(qū)架構(gòu)?；贏RM單芯片應(yīng)用處理器內(nèi)核的嵌入式處理器在移動(dòng)終端設(shè)備中應(yīng)用廣泛，為了提升ARM處理器的安全可信性能，ARM公司在某些Cortex系列處理器核中設(shè)計(jì)了內(nèi)嵌可信分區(qū)的TrustZone架構(gòu)[6]，該架構(gòu)隔離了單芯片系統(tǒng)（SoC）硬件和軟件資源，構(gòu)成安全子系統(tǒng)分區(qū)和普通存儲(chǔ)分區(qū)，為利用TrustZone技術(shù)的移動(dòng)設(shè)備提供了一個(gè)可信執(zhí)行環(huán)境。

但是，為了追求最佳性能，ARM處理器核的結(jié)構(gòu)非常復(fù)雜，致使其通常不具備芯片級安全防護(hù)能力，也不具備證書認(rèn)證、數(shù)據(jù)加密等安全應(yīng)用所需密碼算法引擎。并且基于TrustZone架構(gòu)的可信應(yīng)用難以移植到其他嵌入式處理器環(huán)境中，使得可信應(yīng)用十分受限。

1.2 便攜式TPM架構(gòu)

方案2為便攜式TPM架構(gòu)。TCG組織制訂的可信PC平臺(tái)規(guī)范[7-9]，要求TPM芯片集成在PC主板上，通過改造主板BIOS，構(gòu)造TPM可信鏈路，但是，集成式TPM可信平臺(tái)方案初期成本高，用戶可選余地少。因此，Intel于2002年提出了便攜式TPM的概念，便攜式TPM也具有可信根安全存儲(chǔ)、各種密鑰生成以及數(shù)字簽名驗(yàn)證等功能，便攜式TPM最初設(shè)想是通過USB接口或PC卡接口與PC連接，構(gòu)建靈活的可信PC平臺(tái)。因?yàn)镻C平臺(tái)可信規(guī)范不適用于移動(dòng)終端設(shè)備環(huán)境，為了解決移動(dòng)終端安全可信問題，人們將便攜式TPM方案移植到了移動(dòng)終端中[10]?；诒銛y式TPM的移動(dòng)終端可信架構(gòu)如圖1所示。

該方案中，移動(dòng)終端上電后，引導(dǎo)程序（Bootloader）加載嵌入式操作系統(tǒng)代碼，系統(tǒng)啟動(dòng)并加載可信升級管理部件，開始調(diào)用設(shè)備驅(qū)動(dòng)程序訪問便攜式TPM模塊，便攜式TPM與嵌入式操作系統(tǒng)之間需要執(zhí)行安全認(rèn)證協(xié)議，構(gòu)建可信計(jì)算環(huán)境。

由于移動(dòng)終端啟動(dòng)過程中，嵌入式操作系統(tǒng)需要主動(dòng)發(fā)起可信服務(wù)，而便攜式TPM處于被動(dòng)調(diào)用地位，理論上該方案僅能構(gòu)建有限安全的可信環(huán)境，不適用于需要高安全可信的移動(dòng)終端應(yīng)用場景。

1.3 移植PC可信TPM應(yīng)用架構(gòu)

方案3為移植PC可信TPM應(yīng)用架構(gòu)。移動(dòng)終端設(shè)備借用PC平臺(tái)可信架構(gòu)實(shí)現(xiàn)可信應(yīng)用是很自然的推廣[11]。移植PC可信TPM應(yīng)用架構(gòu)如圖2所示。圖2給出了TPM芯片集成到移動(dòng)終端電路系統(tǒng)中的原理框圖，嵌入式處理器通過低引腳數(shù)（LPC）接口、內(nèi)部集成電路（I2C）或者串行外設(shè)接口（SPI）低速總線接口與TPM芯片連接，嵌入式處理器與系統(tǒng)其他組件的連接關(guān)系保持不變。

此架構(gòu)需要嵌入式處理器支持Bootloader代碼通過LPC、I2C或SPI等低速總線被直接讀出，需要改造Bootloader，使其支持可信度量操作。移動(dòng)終端上電后，TPM芯片對Bootloader代碼進(jìn)行度量，并將度量值報(bào)告給TPM。隨后，TPM將控制權(quán)移交給Bootloader，由它對嵌入式操作系統(tǒng)代碼進(jìn)行度量并將度量值報(bào)告給TPM。隨后，逐級進(jìn)行可信度量，直到可信鏈擴(kuò)展到整個(gè)嵌入式系統(tǒng)。

移動(dòng)終端與PC平臺(tái)相比，安全風(fēng)險(xiǎn)更高。如手機(jī)移動(dòng)終端，丟失風(fēng)險(xiǎn)大；經(jīng)常升級系統(tǒng)和安全應(yīng)用程序，甚至更新Bootloader；手機(jī)故障維修時(shí)，甚至?xí)桓鼡Q手機(jī)主板芯片，任意讀取手機(jī)閃存（Flash）中的敏感數(shù)據(jù)等。鑒于移動(dòng)終端安全應(yīng)用風(fēng)險(xiǎn)更高，本文基于TPM芯片提出了更加安全可信的“方案4”移動(dòng)終端計(jì)算平臺(tái)架構(gòu)。

1.4 高安全可信移動(dòng)終端計(jì)算平臺(tái)

架構(gòu)

方案4為高安全可信移動(dòng)終端計(jì)算平臺(tái)架構(gòu)。方案4要求TPM芯片對移動(dòng)終端電路系統(tǒng)擁有絕對的控制權(quán)，要求進(jìn)一步增強(qiáng)Bootloader的功能，Bootloader能夠?qū)PM芯片進(jìn)行身份認(rèn)證。對嵌入式處理器的部分功能和接口提出擴(kuò)展要求，如要求嵌入式處理器具有安全存儲(chǔ)區(qū)。與方案3相比較，顯著提升了移動(dòng)終端可信計(jì)算平臺(tái)的安全可信性能。

高安全可信移動(dòng)終端計(jì)算平臺(tái)架構(gòu)如圖3所示。移動(dòng)終端上電后，TPM獲得系統(tǒng)控制權(quán)，通過圖3中控制信號復(fù)位嵌入式處理器，通過數(shù)據(jù)讀取通道訪問Bootloader代碼，完成可信度量后，向TPM報(bào)告度量值。同時(shí)，釋放對嵌入式處理器的復(fù)位操作，Bootloader獲得控制權(quán)，通過認(rèn)證通道完成對TPM的身份認(rèn)證。接著，通過高速總線通道讀取嵌入式操作系統(tǒng)代碼進(jìn)行可信度量，并將度量值報(bào)告給TPM。隨后，加載嵌入式操作系統(tǒng)程序，并將控制權(quán)移交給它。最后，逐級進(jìn)行可信度量，直到可信鏈擴(kuò)展到整個(gè)嵌入式系統(tǒng)。

基于圖3架構(gòu)，本文提出了輕量級的Bootloader認(rèn)證TPM芯片的安全協(xié)議。在移動(dòng)終端設(shè)備生產(chǎn)初裝過程中，將配套TPM芯片的存儲(chǔ)根密鑰（SRK）哈希值寫入安全存儲(chǔ)區(qū)，并且該安全存儲(chǔ)區(qū)僅Bootloader代碼可以訪問。針對TPM的身份認(rèn)證過程非常簡潔高效，即TPM通過認(rèn)證通道將自身的SRK哈希值傳給Bootloader，Bootloader從安全存儲(chǔ)區(qū)讀回初裝的SRK哈希值，且比對一致后確認(rèn)TPM芯片身份可信（如未被非法替換）。此外，是能夠標(biāo)識TPM芯片唯一身份數(shù)據(jù)的哈希值都可以寫入安全存儲(chǔ)區(qū)，作為身份認(rèn)證過程的比對數(shù)據(jù)。

2 基于TPM芯片的移動(dòng)

終端高可信度量協(xié)議

TPM芯片是一款集成了密碼算法引擎，真隨機(jī)數(shù)發(fā)生器，能夠存放密鑰、可信度量值的非易失存儲(chǔ)器，具有抵抗各種物理攻擊能力的SoC芯片。本文通過在移動(dòng)終端硬件平臺(tái)上集成TPM芯片，以此作為移動(dòng)終端可信鏈的源頭，構(gòu)建移動(dòng)終端高安全可信度量協(xié)議，實(shí)現(xiàn)整個(gè)移動(dòng)系統(tǒng)軟硬件模塊逐級可信，為最終的高安全等級應(yīng)用提供可信的身份、安全的認(rèn)證證書以及密碼學(xué)相關(guān)應(yīng)用支持。

圖4所示為移動(dòng)終端在高安全可信計(jì)算平臺(tái)架構(gòu)下，系統(tǒng)上電后，移動(dòng)終端啟動(dòng)過程中，可信鏈的傳遞過程[12-13]。首先，在集成TPM芯片的移動(dòng)終端電路系統(tǒng)設(shè)計(jì)中，要求TPM芯片先上電，并使它擁有整個(gè)電路系統(tǒng)的控制權(quán)，具體操作步驟如下：步驟1。由TPM中的可信度量根的核心（CRTM）代碼讀取Bootloader代碼并進(jìn)行可信度量，將報(bào)告?zhèn)鹘oTPM，TPM將控制權(quán)轉(zhuǎn)移給Bootloader（操作a），在執(zhí)行步驟2之前，Bootloader執(zhí)行輕量級認(rèn)證程序，對TPM芯片進(jìn)行身份認(rèn)證（操作b），確認(rèn)TPM芯片未被摘除或非法替換。步驟2。Bootloader執(zhí)行嵌入式操作系統(tǒng)代碼的可信度量，并將度量值報(bào)告給TPM，然后加載嵌入式操作系統(tǒng)，并將控制權(quán)轉(zhuǎn)移給嵌入式操作系統(tǒng)（操作c）。步驟3。嵌入式操作系統(tǒng)完成可信服務(wù)管理程序的可信度量，將度量值報(bào)告給TPM，并啟動(dòng)可信服務(wù)管理程序（操作d）?？尚欧?wù)管理程序主要包括調(diào)用TPM密碼服務(wù)的驅(qū)動(dòng)程序以及可信服務(wù)應(yīng)用編程接口（API）接口程序，并負(fù)責(zé)度量其他需要可信認(rèn)證的應(yīng)用程序。步驟4?？尚欧?wù)管理程序完成多個(gè)需要可信認(rèn)證應(yīng)用的度量，并將度量值報(bào)告給TPM，TPM芯片內(nèi)部執(zhí)行可信軟件棧比對可信鏈路中的所有可信度量值，只有當(dāng)所有度量值都正確，才認(rèn)為完成了整個(gè)可信鏈路的逐級傳遞，使得來源于TPM的可信屬性逐級擴(kuò)展到整個(gè)移動(dòng)終端。

最后，可信服務(wù)管理程序駐留系統(tǒng)內(nèi)存中，執(zhí)行主動(dòng)度量功能[14-15]，即對運(yùn)行中需要可信認(rèn)證的應(yīng)用程序進(jìn)行不定時(shí)的可信度量，確保這些程序被木馬或病毒修改運(yùn)行代碼后能夠被及時(shí)發(fā)現(xiàn)，并執(zhí)行補(bǔ)救措施。因?yàn)樾枰L問其他可信應(yīng)用的程序運(yùn)行空間，要求嵌入式操作系統(tǒng)賦予可信服務(wù)管理程序足夠的特權(quán)等級。

3 構(gòu)建FPGA硬件平臺(tái)

進(jìn)行可信架構(gòu)原型驗(yàn)證

為了驗(yàn)證和評估高安全可信移動(dòng)終端計(jì)算平臺(tái)架構(gòu)的可行性和安全性，基于Altera公司的Stratix IV E系列的EP4SE530H40型現(xiàn)場可編程門陣列（FPGA）搭建了原型驗(yàn)證平臺(tái)。鑒于此款FPGA集成了超大容量邏輯單元（531200 Logic Elements），我們將TPM模塊和移動(dòng)終端主處理器系統(tǒng)都集成到該款FPGA中（嵌入式處理器選用32位精簡指令集（RISC）CPU——NiosII CPU軟核），如圖5所示。圖中虛線框部分為硬件模擬的TPM模塊，TPM模塊的隨機(jī)數(shù)發(fā)生器（RNG）采用M序列偽隨機(jī)數(shù)發(fā)生器來代替，非易失存儲(chǔ)器采用預(yù)先加載初始數(shù)據(jù)的靜態(tài)隨機(jī)存取存儲(chǔ)器（SRAM）知識產(chǎn)權(quán)（IP）核來代替，不影響仿真驗(yàn)證的真實(shí)性。

移動(dòng)終端主處理器系統(tǒng)中的安全存儲(chǔ)區(qū)也采用預(yù)先加載初始數(shù)據(jù)的SRAM IP核組件，訪問控制邏輯確保只有Bootloader程序能夠訪存安全存儲(chǔ)區(qū)。TPM模塊通過擴(kuò)展訪存接口能夠控制移動(dòng)終端主處理器系統(tǒng)的時(shí)鐘復(fù)位電路，能夠讀取Bootloader代碼，能夠與總線從設(shè)備接口模塊互通數(shù)據(jù)?；趫D5原型驗(yàn)證平臺(tái)我們實(shí)現(xiàn)了方案4的可信移動(dòng)終端電路基本功能，驗(yàn)證了基于TPM芯片的移動(dòng)終端高可信度量協(xié)議，實(shí)現(xiàn)了可信鏈的逐級傳遞，并擴(kuò)展到整個(gè)系統(tǒng)。如果進(jìn)一步采用基于FPGA的部分動(dòng)態(tài)重配置技術(shù)，能夠?qū)φ麄€(gè)移動(dòng)終端主處理器硬件系統(tǒng)進(jìn)行完全的可信度量[16]。

4 移動(dòng)終端高安全可信

計(jì)算平臺(tái)要點(diǎn)分析

關(guān)于移動(dòng)終端高安全可信計(jì)算平臺(tái)的設(shè)計(jì)和應(yīng)用要注意以下要點(diǎn)。

首先，設(shè)計(jì)上注意TPM芯片在上電初始必須首先運(yùn)行，必須控制移動(dòng)終端主嵌入式處理器的運(yùn)行。

其次，Bootloader必須對TPM芯片進(jìn)行身份認(rèn)證，因?yàn)門PM芯片存在被非法替換的風(fēng)險(xiǎn)。如果移動(dòng)終端是智能手機(jī)，現(xiàn)在專業(yè)的維修人員在對手機(jī)進(jìn)行硬件維修時(shí)，能夠輕易的更換手機(jī)主板上的芯片。

再次，關(guān)于高安全可信移動(dòng)終端計(jì)算平臺(tái)系統(tǒng)升級操作，需要保證安全可信并在用戶授權(quán)情況下穩(wěn)妥進(jìn)行。如果升級TPM芯片，需要經(jīng)過當(dāng)前TPM芯片的授權(quán)，再經(jīng)過Bootloader程序認(rèn)證，才能將新TPM芯片的平臺(tái)唯一標(biāo)識數(shù)據(jù)的哈希值寫入安全存儲(chǔ)區(qū)，隨后才能進(jìn)行TPM芯片的升級更換操作。如果升級Bootloader程序，須經(jīng)TPM授權(quán)，將要更新的Bootloader的度量值寫入TPM非易失存儲(chǔ)區(qū)，再由原Bootloader程序?qū)⒆陨砑虞d到主程序RAM，在主程序RAM獲得執(zhí)行后在線更新寫入新Bootloader代碼。再進(jìn)一步，如果升級嵌入式操作系統(tǒng)代碼，只需要經(jīng)過TPM授權(quán)，將其度量值寫入TPM的非易失存儲(chǔ)區(qū)，再執(zhí)行升級操作即可。

為了達(dá)到盡可能高的安全可信性能，移動(dòng)終端的嵌入式處理器需要進(jìn)行適當(dāng)?shù)目尚旁鰪?qiáng)改進(jìn)，面向移動(dòng)終端應(yīng)用的TPM芯片也需要小型化和低功耗設(shè)計(jì)。

最后，雖然移動(dòng)終端高可信設(shè)計(jì)初始階段成本較高，但是，一旦制訂并完善了移動(dòng)終端可信計(jì)算平臺(tái)行業(yè)規(guī)范，形成可信增強(qiáng)嵌入式處理器接口應(yīng)用標(biāo)準(zhǔn)，則整個(gè)高安全可信移動(dòng)終端計(jì)算平臺(tái)的成本就會(huì)大幅下降。另外，采用移動(dòng)終端集成TPM芯片的可信增強(qiáng)方案，也便于政府相關(guān)安全部門通過TPM芯片對可信安全業(yè)務(wù)進(jìn)行監(jiān)管。同時(shí)，政府相關(guān)安全部門作為可信的第三方，也便于安全可信認(rèn)證協(xié)議的實(shí)施。

5 結(jié)束語

本文在分析多種移動(dòng)終端可信增強(qiáng)架構(gòu)的基礎(chǔ)上，提出并驗(yàn)證了移動(dòng)終端高安全可信計(jì)算平臺(tái)架構(gòu)的軟硬件系統(tǒng)設(shè)計(jì)可行性，并給出了基于該架構(gòu)的可信鏈傳遞協(xié)議，確?；谠摷軜?gòu)具有足夠高的安全可信軟硬件基礎(chǔ)，在此基礎(chǔ)上構(gòu)建的可信應(yīng)用能夠很好滿足一類高安全等級業(yè)務(wù)需求。該架構(gòu)在具有多處理器核的移動(dòng)終端設(shè)備上的適用性需要進(jìn)一步的研究和完善，其上的主動(dòng)度量技術(shù)也是下一階段重點(diǎn)研究方向。

參考文獻(xiàn)

[1] 梁克非. 對智能移動(dòng)終端進(jìn)行信息安全等級保護(hù)可行性初探 [C]. 第二屆全國信息安全等級保護(hù)技術(shù)大會(huì)， 2013-06-21， 中國，安徽，合肥. 2013：135-137

[2] TCG Specification Architecture Overview [S]. Specification Revision 1.4， 2007

[3] TPM 2.0 Mobile Reference Architecture [S]. Level 00 Revision 142， 2014

[4] KIM M， JU H， KIM Y， PARK J， PARK Y. Design and Implementation of Mobile Trusted Module for Trusted Mobile Computing [J]. IEEE Transactions on Consumer Electronics， 2010， 56（1）：1254-1269

[5] LI M， LIU J， HAN L. A USB Flash Disk-Based Model of Mobile TPM with Mass Storage [C]//Proceedings of the Management and Service Science， 2009. MASS '09. International Conference. Sept. 20-22， 2009， Wuhan， China： IEEE， 2009： 1-3

[6] ARM. TrustZone Website [DB/OL]. [2015-01-31]. http：//www.arm.com/zh/products/processors/technologies/trustzone/index.php

[7] TPM Main Part 1 Design Principles [S]. Specification Version 1.2， Revision 116， 2011

[8] TPM Main Part 2 TPM Structures [S]. Specification version 1.2， Level 2 Revision 116， 2011

[9] TCG PC Client Specific TPM Interface Specification （TIS） [S]. Specification Version 1.3， 2013

[10] 菅驍翔， 高宏， 劉文煌. 基于便攜式TPM的可信計(jì)算機(jī)研究 [J]. 計(jì)算機(jī)工程與應(yīng)用， 2006，42（36）：70-71

[11] 劉海雷， 王震宇， 馬鳴錦， 劉鑫杰. 嵌入式可信終端TPM接口的研究與實(shí)現(xiàn) [J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2008， 29（13）：3316-3318

[12] TANG K， XU X， GUO C. The Secure Boot of Embedded System Based on Mobile Trusted Module [C]//Proceedings of the Second International Conference on Intelligent System Design and Engineering Application. Jan.6-7， 2012， Sanya， Hainan， China： IEEE， 2012： 1331-1334

[13] LI J， ZHANG H G， ZHAO B. Research of reliable trusted boot in embedded systems [C]//Proceedings of the 2011 International Conference on Computer Science and Network Technology. Dec. 24-26， 2011， Harbin， China： IEEE， 2011： 2033-2037

[14] LIU C， FAN M， FENG Y， WANG G. Dynamic Integrity Measurement Model Based on Trusted Computing [C]//Proceedings of the 2008 International Conference on Computational Intelligence and Security， Vol 1. Dec. 13-17， 2008， Suzhou， China： IEEE， 2008： 281-284

[15] 鄧銳， 陳左寧. 基于策略嵌入和可信計(jì)算的完整性主動(dòng)動(dòng)態(tài)度量架構(gòu) [J]. 計(jì)算機(jī)應(yīng)用研究， 2013， 30（1）：261-264

[16] GLAS B， KLIMM A， MULLER-GLASER K， BECKER J. Configuration Measurement for FPGA-based Trusted Platforms [C]//Proceedings of the 2009 IEEE/IFIP International Symposium on Rapid System Prototyping. June 23-26， 2009， Paris， France： IEEE， 2009：123-129