龍興剛， 謝小賦， 龐飛， 葉曉

（1海軍計(jì)算技術(shù)研究所，北京100841；2中國電子科技集團(tuán)公司第三十研究所，四川成都610041）

一種自主可控可信計(jì)算平臺解決方案

龍興剛1， 謝小賦2， 龐飛2， 葉曉2

（1海軍計(jì)算技術(shù)研究所，北京100841；2中國電子科技集團(tuán)公司第三十研究所，四川成都610041）

本文針對TCG可信計(jì)算規(guī)范中X86架構(gòu)的可信計(jì)算平臺存在被動可信度量、操作系統(tǒng)安全增強(qiáng)機(jī)制不完備和認(rèn)證體制復(fù)雜等問題，提出一種基于國產(chǎn)處理器和國產(chǎn)操作系統(tǒng)的自主可控可信計(jì)算平臺解決方案，設(shè)計(jì)了國產(chǎn)操作系統(tǒng)可信安全增強(qiáng)策略和框架，給出了基于可信平臺控制模塊的主動可信度量和基于身份標(biāo)識平臺身份認(rèn)證等關(guān)鏈技術(shù)實(shí)現(xiàn)途徑。

可信計(jì)算；主動度量；主可控

0 引言

隨著信息技術(shù)不斷發(fā)展，信息系統(tǒng)面臨的安全問題越來越嚴(yán)峻，傳統(tǒng)的堵漏洞、筑高墻、防外攻等“老三樣”的防御技術(shù)難有大的突破，必須從計(jì)算平臺自身出發(fā)才能更好地解決信息系統(tǒng)的安全問題?！翱尚庞?jì)算”提出通過硬件安全芯片及其支撐軟件所構(gòu)成的可信計(jì)算平臺作為解決計(jì)算平臺安全問題的根本措施。通過在硬件平臺內(nèi)部引入可信平臺模塊（TPM，Trusted platform module）作為信任根，利用密碼機(jī)制建立起信任鏈，從而把信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)，為建立安全可信的計(jì)算環(huán)境提供途徑［1-4］。當(dāng)前可信計(jì)算平臺的具體實(shí)現(xiàn)大多是對通用計(jì)算機(jī)的簡單改造，即在主板上插上一個(gè)可信平臺模塊［5］。上述解決方案在一定程度上增強(qiáng)計(jì)算平臺的可信能力，是一種適應(yīng)商用計(jì)算平臺和非國產(chǎn)操作系統(tǒng)的過渡解決方案。隨著我國國產(chǎn)計(jì)算平臺和操作系統(tǒng)的發(fā)展，需要提出一種適應(yīng)自主可控計(jì)算平臺和操作系統(tǒng)的可信計(jì)算平臺解決方案。

1 存在的主要問題

1.1 X86架構(gòu)可信平臺采用被動可信度量機(jī)制

在TCG（Trusted Computing Group，可信計(jì)算組織）規(guī)范中，X86架構(gòu)可信計(jì)算平臺的信任鏈建立過程是以BIOS和TPM共同作為信任根。首先由BIOS度量硬件、Option ROM和OS Loader，并向TPM存儲度量結(jié)果；再由OS Loader度量OS kernel并向TPM報(bào)告。TPM綜合度量結(jié)果并向OS報(bào)告BIOS、硬件、Option ROM、OS Loader的完整性狀況，一直延伸到應(yīng)用層面。通過上述過程，建立信任鏈關(guān)系，由信任鏈關(guān)系來確保計(jì)算機(jī)平臺的可信賴性。其過程如圖1所示。

圖1 信任鏈傳遞

由于X86架構(gòu)可信計(jì)算平臺是基于BIOS最先發(fā)起可信度量，無法從根本上保證BIOS的安全性。在上述建立信任鏈的過程中，TPM不能驗(yàn)證BIOS以控制CPU的啟動，從而無法驗(yàn)證BIOS的安全性，一旦BIOS被篡改，后續(xù)啟動無法正確建立信任鏈，因此這種被動可信度量機(jī)制不能從根本上確保計(jì)算平臺的可信。

1.2 主流操作系統(tǒng)上的安全增強(qiáng)難以實(shí)現(xiàn)自主可控

現(xiàn)有安全防護(hù)技術(shù)主要在操作系統(tǒng)上進(jìn)行安全增強(qiáng)，而當(dāng)前計(jì)算機(jī)、移動設(shè)備［6-7］上所采用的主流操作系統(tǒng)的安全性往往難以令人放心。尤其是Windows操作系統(tǒng)本身不是開源的，很難搞清楚其核心代碼是否安全，操作系統(tǒng)內(nèi)是否存在各種后門，即使其進(jìn)行了安全增強(qiáng)，也很難證明和驗(yàn)證其本身的安全性；

1.3 PKI認(rèn)證體制復(fù)雜導(dǎo)致可信計(jì)算應(yīng)用系統(tǒng)性能降低

TPM在使用過程中會創(chuàng)建種類繁多、關(guān)系復(fù)雜的大量證書，包括出廠背書證書（EK證書），一致性證書、平臺證書和在應(yīng)用中需要的AIK證書等［8］。此外可信計(jì)算平臺可能還需要其他證書，比如：SKAE（subject key attestation evidence）證書、確認(rèn)（validation）證書和DAA（direct anonymous attesta2tion）證書。

而公鑰證書本身不能表明用戶身份，只能用第三方證明的方式實(shí)現(xiàn)身份和公鑰的綁定，使用證書將引出第三方通信量增大的問題。驗(yàn)證方接收到公鑰證書后需要在線查詢公開目錄以確定證書是否作廢，還要驗(yàn)證頒發(fā)此證書的CA或CA鏈的簽名以確定證書是否有效。

2 解決方案

2.1 自主可控安全計(jì)算平臺系統(tǒng)設(shè)計(jì)

自主可信安全計(jì)算平臺由可信硬件平臺、可信軟件系統(tǒng)和安全管理系統(tǒng)組成。可信軟件系統(tǒng)包括：可信操作系統(tǒng)和可信應(yīng)用系統(tǒng)。整個(gè)系統(tǒng)的組成結(jié)構(gòu)如圖2所示。

圖2 自主可信安全計(jì)算平臺體系結(jié)構(gòu)

可信硬件平臺中最重要的是可信根，它是安全可信計(jì)算平臺的核心部件?？尚庞布脚_沿用通用的PC架構(gòu)，采用國產(chǎn)龍芯處理器和自主可信BIOS，設(shè)計(jì)自主可控的可信平臺控制模塊（TPCM）作為可信硬件基，以實(shí)現(xiàn)主動可信度量和確保硬件平臺的自主可控。

可信操作系統(tǒng)是在國產(chǎn)中標(biāo)麒膦操作系統(tǒng)的基礎(chǔ)上，進(jìn)行可信安全增強(qiáng)后實(shí)現(xiàn)，具備完善的可信服務(wù)軟件協(xié)議棧（TSS），提供豐富的可信服務(wù)軟件接口，供可信應(yīng)用系統(tǒng)調(diào)用。

可信應(yīng)用系統(tǒng)利用可信操作系統(tǒng)提供的密碼信服務(wù)，實(shí)現(xiàn)數(shù)據(jù)加解密、簽名驗(yàn)簽等功能。

2.2 可信硬件平臺

采用國產(chǎn)處理器設(shè)計(jì)的專用可信硬件平臺，可構(gòu)建具有完全自主知識產(chǎn)權(quán)的可信硬件整機(jī)系統(tǒng)，其組成結(jié)構(gòu)如圖3所示：

圖3 龍芯專用主板架構(gòu)圖

采用國產(chǎn)CPU可以解決Intel X86架構(gòu)CPU無法驗(yàn)證其微碼是否可信的問題。如圖3所示，主機(jī)上電后控制權(quán)首先在TPCM上，TPCM上電驗(yàn)證BIOS通過之后，交由CPU執(zhí)行BIOS代碼，完成后續(xù)的系統(tǒng)設(shè)備啟動。

2.3 可信軟件系統(tǒng)

可信軟件系統(tǒng)由操作系統(tǒng)、可信設(shè)備驅(qū)動（TDD）、可信設(shè)備驅(qū)動接口庫（TDDL）、可信軟件棧（TSS）、操作系統(tǒng)可信安全增強(qiáng)，及若干應(yīng)用軟件組成，其組成結(jié)構(gòu)如圖4所示：

圖4 可信軟件系統(tǒng)組成

（1）操作系統(tǒng)

操作系統(tǒng)采用國產(chǎn)中標(biāo)麒膦操作系統(tǒng)，它是以Linux安全內(nèi)核為核心開發(fā)的自主操作系統(tǒng)，支持多種外設(shè)和接口（如：網(wǎng)口、串口、并口、IDE/SCSI接口、USB等等），提供多種應(yīng)用軟件、軟件開發(fā)工具和友好的圖形/文本操作界面。

（2）可信軟件棧（TSS）

圖5 TSS結(jié)構(gòu)示意圖可信軟件系統(tǒng)組成

TSS結(jié)構(gòu)如圖5所示，包括TSP、TCS、TDDL和TDD等部分。TSP以鏈接庫（包括動態(tài)庫和靜態(tài)庫）的形式供各類應(yīng)用調(diào)用。內(nèi)核層接口以內(nèi)核動態(tài)庫的形式供各類內(nèi)核應(yīng)用調(diào)用。TCS以系統(tǒng)服務(wù)的形式存在，為TSP和內(nèi)核層接口提供功能接口，TCS通過調(diào)用設(shè)備驅(qū)動接口庫（TDDL）向可信密碼模塊發(fā)送功能調(diào)用指令，而功能調(diào)用指令通過可信設(shè)備驅(qū)動（TDD）傳送到可信密碼模塊進(jìn)行各種處理。

（3）操作系統(tǒng)安全增強(qiáng)

以中標(biāo)麒膦操作系統(tǒng)提供的Linux安全摸塊（LSM）框架為基礎(chǔ)，結(jié)合TPCM的安全服務(wù)功能，設(shè)計(jì)了一種具有強(qiáng)制訪問控制（MAC）策略、工作在操作系統(tǒng)內(nèi)核模式下的可信安全增強(qiáng)模塊，達(dá)到操作系統(tǒng)安全增強(qiáng)的目的，進(jìn)一步提升操作系統(tǒng)的安全等級。該模塊主要由：安全操作集、策略實(shí)施、策略仲裁、可信度量、安全策略接口、安全審計(jì)接口、配置管理接口等功能子模塊組成，每個(gè)模塊承擔(dān)不同的功能。其結(jié)構(gòu)如圖6所示：

圖6 可信安全增強(qiáng)模塊結(jié)構(gòu)

可信安全增強(qiáng)模塊由七個(gè)子模塊組成，其中策略實(shí)施、策略仲裁子模塊是最為重要的組成部分，系統(tǒng)中所有和強(qiáng)制訪問控制有關(guān)的決策和實(shí)施都在這部分實(shí)現(xiàn)；安全操作集是內(nèi)核增強(qiáng)模塊的入口鉤子函數(shù)集，通過這些嵌入到各個(gè)對象的訪問請求的鉤子集函數(shù)截獲訪問請求，在訪問請求的流程中加入可信驗(yàn)證和安全訪問控制處理；可信度量封裝了與TPCM交互的命令函數(shù)集，通過該接口調(diào)用TPCM為內(nèi)核提供的各種可信安全服務(wù)功能；安全策略接口是實(shí)現(xiàn)策略仲裁與策略庫交互的中間接口，策略的查詢、維護(hù)和結(jié)果信息都是通過該接口封裝轉(zhuǎn)發(fā)的；安全審計(jì)子模塊的主要功能是對強(qiáng)制訪問控制處理過程中發(fā)現(xiàn)的非正常情況，進(jìn)行事件記錄、報(bào)警或其他相關(guān)處理；配置管理接口通過解析用戶下發(fā)的配置管理命令，實(shí)現(xiàn)安全管理員對訪問控制信息的管理。

3 關(guān)鍵技術(shù)

3.1 TPCM主動度量

當(dāng)系統(tǒng)啟動時(shí)，TPCM作為計(jì)算平臺的度量起始根，首先驗(yàn)證BIOS、再將度量主動權(quán)交BIOS，由它度量其它硬件部件，操作系統(tǒng)加載模塊和操作系統(tǒng)核心文件，最后再由操作系統(tǒng)接管度量控制權(quán)，實(shí)現(xiàn)對應(yīng)用程序的完整性度量，從而保證計(jì)算平臺的完整性。系統(tǒng)啟動完成后，便建立起了一條以TPCM為根的信任鏈。TPCM主動度量過程如圖7所示：

圖7 TPCM主動可信度量流程

3.2 基干TPCM的自主操作系統(tǒng)可信安全增強(qiáng)

在國產(chǎn)自主操作系統(tǒng)內(nèi)核中，主要的安全功能處理流程插入到每一個(gè)和安全相關(guān)的系統(tǒng)調(diào)用中構(gòu)成策略實(shí)施部件。它與安全策略無關(guān)，負(fù)責(zé)實(shí)時(shí)地截獲系統(tǒng)核心事件并進(jìn)行相應(yīng)的處理，再分發(fā)給策略判定部件，從而在內(nèi)核中形成不可旁路的細(xì)粒度安全控制。通過TPCM提供的信任根，確保可信機(jī)制在具體安全功能實(shí)施過程中的行為可預(yù)期。內(nèi)核處理流程的客體可以是文件、目錄、設(shè)備、IPC和Socket等對象，因此處理流程能夠覆蓋包括網(wǎng)絡(luò)訪問控制控在內(nèi)的所有安全功能。自主操作系統(tǒng)可信安全增強(qiáng)的處理過程如圖8所示：

圖8 可信安全增強(qiáng)內(nèi)核處理過程

3.3 基干IBE的平臺身份認(rèn)證

PKI（Public Key Infrastructure）是利用基于證書的公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)能夠有效地解決實(shí)際應(yīng)用中的真實(shí)性、完整性和不可否認(rèn)性等安全問題。但由于證書數(shù)量的增加，PKI中的證書管理也面臨著一些問題，如證書的撒銷、保存、發(fā)布和驗(yàn)證就需要占用較多的資源，且管理復(fù)雜。為了減輕公鑰證書的管理開銷，采用基于身份標(biāo)識（IBE，I-dentity-Based Encryption）的公鑰密碼體制，來解決可信平臺身份認(rèn)證問題。IBE密碼體制的安全性是來源于密鑰的生成過程，也就是：私鑰=f（主密鑰，公鑰），其中主密鑰是由可信中心（TA）擁有的，公鑰是用戶的個(gè)人身份信息。TA根據(jù)主密鑰和用戶的公鑰能夠計(jì)算出私鑰。而除去TA以外的人只有公鑰，是無法計(jì)算出私鑰的。另外，公鑰既然是密鑰生成過程的輸入，那么任意的比特串都可以用來做公鑰。因此，用戶的身份信息也可作為公鑰，而且能大大減少公鑰認(rèn)證的復(fù)雜性。這也正是基于身份的密碼體制的理論依據(jù)。基于IBE的平臺身分認(rèn)證過程如圖9所示。

圖9 平臺身份認(rèn)證

平臺身份認(rèn)證過程描述如下：

1）平臺1向平臺2發(fā)送驗(yàn)證請求；

2）平臺2向平臺1請求所需要的PCR值；

3）平臺1使用AIK（Attestation Identity Key）私鑰對平臺2需要的PCR值簽名；

4）平臺1將PCR的簽名值與AIK標(biāo)識一起發(fā)送給平臺2；

5）平臺2的校驗(yàn)者通過平臺1的身份標(biāo)識驗(yàn)證PCR的簽名值確認(rèn)平臺1的身份，并評估其可信程度。

基于標(biāo)識的平臺身份認(rèn)證主要優(yōu)點(diǎn)在于不需要公鑰證書，避免了公鑰證書發(fā)放、保存、交換、驗(yàn)證和撒銷等問題。認(rèn)證過程簡單，通信量小，在特定專用網(wǎng)絡(luò)中易于實(shí)現(xiàn)集中控制。

4 結(jié)語

針對當(dāng)前X86架構(gòu)可信計(jì)算平臺存在的諸多問題，提出了一種國產(chǎn)化自主可控的可信計(jì)算平臺解決方案。本文創(chuàng)新性主要體現(xiàn)在：（1）能夠建立起從可信根到硬件平臺到操作系統(tǒng)的信任鏈，確保計(jì)算平臺的安全可信；（2）解決了主動可信度量問題；（3）解決了國產(chǎn)自主操作系統(tǒng)可信安全增強(qiáng)的問題；（4）解決了可信計(jì)算環(huán)境中高效身份認(rèn)證問題。本文提出的方案可以滿足我國軍隊(duì)和地方對高安全等級計(jì)算機(jī)平臺的使用需求，具有較好的應(yīng)用前景。

［1］ 郝平，何恩.可信計(jì)算的安全防護(hù)機(jī)制及其在高可信網(wǎng)絡(luò)中的應(yīng)用［J］.中國電子科學(xué)研究院學(xué)報(bào)，2008，3（1）：14-19.

［2］ Trusted Computing Group TCG Specification Architecture O-verview v1.2.200.

［3］ Challener D，Yoder K，Cat Herman R，et al.A Pratical GuidetoTrustedComputing［M］.NewYork：IBM Press，2007.

［4］ 谷偉，朱學(xué)永.基于可信計(jì)算和HIP的Web數(shù)據(jù)庫安全模型［J］.計(jì)算機(jī)工程，2013，39（3）：63-66.

［5］ 宗濤.基于可信計(jì)算的結(jié)構(gòu)性安全模型設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程，2012，38（20）：89-96.

［6］ 談劍峰.可信計(jì)算技術(shù)研究與應(yīng)用［J］.信息安全與通信保密，2014（3）：116-119.

［7］ 劉巍然，劉建偉.Android操作系統(tǒng)可信計(jì)算平臺架構(gòu)［J］.武漢大學(xué)學(xué)報(bào)（理學(xué)版），2014，59（2）：159-164.

［8］ 卿斯?jié)h，周啟明，杜虹.可信計(jì)算研究進(jìn)展分析［J］.電信科學(xué)，2011（1）：11-15.作者簡介：

龍興剛（1974—），男，碩士，高級工程師，主要研究方向?yàn)樾畔踩?/p>

謝小賦（1973—），男，碩士，高級工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與通信保密

龐 飛（1974—），男，碩士，工程師，主要研究方向?yàn)樾畔踩c可信計(jì)算。

葉 曉（1981—），男，學(xué)士，助理工程師，研究方向?yàn)橛?jì)算機(jī)應(yīng)用■

An Independent Controllable Scheme of Trusted Computing Platform

LONG Xing-gang1，XIE Xiao-fu2，PANG Fei2，YE Xiao2
（1Computing Technology Research Institute of Navy，Beijing 100141，China；2No.30 Institute of CETC，Chengdu Sichuan 610041，China）

Aiming at passive trusted measurement，incomplete operation system security enhancement mechanism and complicated authentication mechanism，X86-based trusted computing platform in TCG trusted computing sepcifications，an independent controllable scheme of trusted computing platform based on domestic processors and operating systems is proposed.Trusted security enhancement strategy and frame of domestic operating system is designed，and implementations of some key technologies，such as active trusted measurement based on control module of trusted platform and identity authentication based on identity platform are described in this paper.

trusted computing；active measurement；independent controllable

TP91

A

1009-8054（2015）10-0123-04

2015-05-22