龍興剛， 謝小賦， 龐飛， 葉曉

（1海軍計算技術(shù)研究所，北京100841；2中國電子科技集團公司第三十研究所，四川成都610041）

一種自主可控可信計算平臺解決方案

龍興剛1， 謝小賦2， 龐飛2， 葉曉2

（1海軍計算技術(shù)研究所，北京100841；2中國電子科技集團公司第三十研究所，四川成都610041）

本文針對TCG可信計算規(guī)范中X86架構(gòu)的可信計算平臺存在被動可信度量、操作系統(tǒng)安全增強機制不完備和認證體制復(fù)雜等問題，提出一種基于國產(chǎn)處理器和國產(chǎn)操作系統(tǒng)的自主可控可信計算平臺解決方案，設(shè)計了國產(chǎn)操作系統(tǒng)可信安全增強策略和框架，給出了基于可信平臺控制模塊的主動可信度量和基于身份標識平臺身份認證等關(guān)鏈技術(shù)實現(xiàn)途徑。

可信計算；主動度量；主可控

0 引言

隨著信息技術(shù)不斷發(fā)展，信息系統(tǒng)面臨的安全問題越來越嚴峻，傳統(tǒng)的堵漏洞、筑高墻、防外攻等“老三樣”的防御技術(shù)難有大的突破，必須從計算平臺自身出發(fā)才能更好地解決信息系統(tǒng)的安全問題?！翱尚庞嬎恪碧岢鐾ㄟ^硬件安全芯片及其支撐軟件所構(gòu)成的可信計算平臺作為解決計算平臺安全問題的根本措施。通過在硬件平臺內(nèi)部引入可信平臺模塊（TPM，Trusted platform module）作為信任根，利用密碼機制建立起信任鏈，從而把信任擴展到整個計算機系統(tǒng)，為建立安全可信的計算環(huán)境提供途徑［1-4］。當(dāng)前可信計算平臺的具體實現(xiàn)大多是對通用計算機的簡單改造，即在主板上插上一個可信平臺模塊［5］。上述解決方案在一定程度上增強計算平臺的可信能力，是一種適應(yīng)商用計算平臺和非國產(chǎn)操作系統(tǒng)的過渡解決方案。隨著我國國產(chǎn)計算平臺和操作系統(tǒng)的發(fā)展，需要提出一種適應(yīng)自主可控計算平臺和操作系統(tǒng)的可信計算平臺解決方案。

1 存在的主要問題

1.1 X86架構(gòu)可信平臺采用被動可信度量機制

在TCG（Trusted Computing Group，可信計算組織）規(guī)范中，X86架構(gòu)可信計算平臺的信任鏈建立過程是以BIOS和TPM共同作為信任根。首先由BIOS度量硬件、Option ROM和OS Loader，并向TPM存儲度量結(jié)果；再由OS Loader度量OS kernel并向TPM報告。TPM綜合度量結(jié)果并向OS報告BIOS、硬件、Option ROM、OS Loader的完整性狀況，一直延伸到應(yīng)用層面。通過上述過程，建立信任鏈關(guān)系，由信任鏈關(guān)系來確保計算機平臺的可信賴性。其過程如圖1所示。

圖1 信任鏈傳遞

由于X86架構(gòu)可信計算平臺是基于BIOS最先發(fā)起可信度量，無法從根本上保證BIOS的安全性。在上述建立信任鏈的過程中，TPM不能驗證BIOS以控制CPU的啟動，從而無法驗證BIOS的安全性，一旦BIOS被篡改，后續(xù)啟動無法正確建立信任鏈，因此這種被動可信度量機制不能從根本上確保計算平臺的可信。

1.2 主流操作系統(tǒng)上的安全增強難以實現(xiàn)自主可控

現(xiàn)有安全防護技術(shù)主要在操作系統(tǒng)上進行安全增強，而當(dāng)前計算機、移動設(shè)備［6-7］上所采用的主流操作系統(tǒng)的安全性往往難以令人放心。尤其是Windows操作系統(tǒng)本身不是開源的，很難搞清楚其核心代碼是否安全，操作系統(tǒng)內(nèi)是否存在各種后門，即使其進行了安全增強，也很難證明和驗證其本身的安全性；

1.3 PKI認證體制復(fù)雜導(dǎo)致可信計算應(yīng)用系統(tǒng)性能降低

TPM在使用過程中會創(chuàng)建種類繁多、關(guān)系復(fù)雜的大量證書，包括出廠背書證書（EK證書），一致性證書、平臺證書和在應(yīng)用中需要的AIK證書等［8］。此外可信計算平臺可能還需要其他證書，比如：SKAE（subject key attestation evidence）證書、確認（validation）證書和DAA（direct anonymous attesta2tion）證書。

而公鑰證書本身不能表明用戶身份，只能用第三方證明的方式實現(xiàn)身份和公鑰的綁定，使用證書將引出第三方通信量增大的問題。驗證方接收到公鑰證書后需要在線查詢公開目錄以確定證書是否作廢，還要驗證頒發(fā)此證書的CA或CA鏈的簽名以確定證書是否有效。

2 解決方案

2.1 自主可控安全計算平臺系統(tǒng)設(shè)計

自主可信安全計算平臺由可信硬件平臺、可信軟件系統(tǒng)和安全管理系統(tǒng)組成。可信軟件系統(tǒng)包括：可信操作系統(tǒng)和可信應(yīng)用系統(tǒng)。整個系統(tǒng)的組成結(jié)構(gòu)如圖2所示。

圖2 自主可信安全計算平臺體系結(jié)構(gòu)

可信硬件平臺中最重要的是可信根，它是安全可信計算平臺的核心部件。可信硬件平臺沿用通用的PC架構(gòu)，采用國產(chǎn)龍芯處理器和自主可信BIOS，設(shè)計自主可控的可信平臺控制模塊（TPCM）作為可信硬件基，以實現(xiàn)主動可信度量和確保硬件平臺的自主可控。

可信操作系統(tǒng)是在國產(chǎn)中標麒膦操作系統(tǒng)的基礎(chǔ)上，進行可信安全增強后實現(xiàn)，具備完善的可信服務(wù)軟件協(xié)議棧（TSS），提供豐富的可信服務(wù)軟件接口，供可信應(yīng)用系統(tǒng)調(diào)用。

可信應(yīng)用系統(tǒng)利用可信操作系統(tǒng)提供的密碼信服務(wù)，實現(xiàn)數(shù)據(jù)加解密、簽名驗簽等功能。

2.2 可信硬件平臺

采用國產(chǎn)處理器設(shè)計的專用可信硬件平臺，可構(gòu)建具有完全自主知識產(chǎn)權(quán)的可信硬件整機系統(tǒng)，其組成結(jié)構(gòu)如圖3所示：

圖3 龍芯專用主板架構(gòu)圖

采用國產(chǎn)CPU可以解決Intel X86架構(gòu)CPU無法驗證其微碼是否可信的問題。如圖3所示，主機上電后控制權(quán)首先在TPCM上，TPCM上電驗證BIOS通過之后，交由CPU執(zhí)行BIOS代碼，完成后續(xù)的系統(tǒng)設(shè)備啟動。

2.3 可信軟件系統(tǒng)

可信軟件系統(tǒng)由操作系統(tǒng)、可信設(shè)備驅(qū)動（TDD）、可信設(shè)備驅(qū)動接口庫（TDDL）、可信軟件棧（TSS）、操作系統(tǒng)可信安全增強，及若干應(yīng)用軟件組成，其組成結(jié)構(gòu)如圖4所示：

圖4 可信軟件系統(tǒng)組成

（1）操作系統(tǒng)

操作系統(tǒng)采用國產(chǎn)中標麒膦操作系統(tǒng)，它是以Linux安全內(nèi)核為核心開發(fā)的自主操作系統(tǒng)，支持多種外設(shè)和接口（如：網(wǎng)口、串口、并口、IDE/SCSI接口、USB等等），提供多種應(yīng)用軟件、軟件開發(fā)工具和友好的圖形/文本操作界面。

（2）可信軟件棧（TSS）

圖5 TSS結(jié)構(gòu)示意圖可信軟件系統(tǒng)組成

TSS結(jié)構(gòu)如圖5所示，包括TSP、TCS、TDDL和TDD等部分。TSP以鏈接庫（包括動態(tài)庫和靜態(tài)庫）的形式供各類應(yīng)用調(diào)用。內(nèi)核層接口以內(nèi)核動態(tài)庫的形式供各類內(nèi)核應(yīng)用調(diào)用。TCS以系統(tǒng)服務(wù)的形式存在，為TSP和內(nèi)核層接口提供功能接口，TCS通過調(diào)用設(shè)備驅(qū)動接口庫（TDDL）向可信密碼模塊發(fā)送功能調(diào)用指令，而功能調(diào)用指令通過可信設(shè)備驅(qū)動（TDD）傳送到可信密碼模塊進行各種處理。

（3）操作系統(tǒng)安全增強

以中標麒膦操作系統(tǒng)提供的Linux安全摸塊（LSM）框架為基礎(chǔ)，結(jié)合TPCM的安全服務(wù)功能，設(shè)計了一種具有強制訪問控制（MAC）策略、工作在操作系統(tǒng)內(nèi)核模式下的可信安全增強模塊，達到操作系統(tǒng)安全增強的目的，進一步提升操作系統(tǒng)的安全等級。該模塊主要由：安全操作集、策略實施、策略仲裁、可信度量、安全策略接口、安全審計接口、配置管理接口等功能子模塊組成，每個模塊承擔(dān)不同的功能。其結(jié)構(gòu)如圖6所示：

圖6 可信安全增強模塊結(jié)構(gòu)

可信安全增強模塊由七個子模塊組成，其中策略實施、策略仲裁子模塊是最為重要的組成部分，系統(tǒng)中所有和強制訪問控制有關(guān)的決策和實施都在這部分實現(xiàn)；安全操作集是內(nèi)核增強模塊的入口鉤子函數(shù)集，通過這些嵌入到各個對象的訪問請求的鉤子集函數(shù)截獲訪問請求，在訪問請求的流程中加入可信驗證和安全訪問控制處理；可信度量封裝了與TPCM交互的命令函數(shù)集，通過該接口調(diào)用TPCM為內(nèi)核提供的各種可信安全服務(wù)功能；安全策略接口是實現(xiàn)策略仲裁與策略庫交互的中間接口，策略的查詢、維護和結(jié)果信息都是通過該接口封裝轉(zhuǎn)發(fā)的；安全審計子模塊的主要功能是對強制訪問控制處理過程中發(fā)現(xiàn)的非正常情況，進行事件記錄、報警或其他相關(guān)處理；配置管理接口通過解析用戶下發(fā)的配置管理命令，實現(xiàn)安全管理員對訪問控制信息的管理。

3 關(guān)鍵技術(shù)

3.1 TPCM主動度量

當(dāng)系統(tǒng)啟動時，TPCM作為計算平臺的度量起始根，首先驗證BIOS、再將度量主動權(quán)交BIOS，由它度量其它硬件部件，操作系統(tǒng)加載模塊和操作系統(tǒng)核心文件，最后再由操作系統(tǒng)接管度量控制權(quán)，實現(xiàn)對應(yīng)用程序的完整性度量，從而保證計算平臺的完整性。系統(tǒng)啟動完成后，便建立起了一條以TPCM為根的信任鏈。TPCM主動度量過程如圖7所示：

圖7 TPCM主動可信度量流程

3.2 基干TPCM的自主操作系統(tǒng)可信安全增強

在國產(chǎn)自主操作系統(tǒng)內(nèi)核中，主要的安全功能處理流程插入到每一個和安全相關(guān)的系統(tǒng)調(diào)用中構(gòu)成策略實施部件。它與安全策略無關(guān)，負責(zé)實時地截獲系統(tǒng)核心事件并進行相應(yīng)的處理，再分發(fā)給策略判定部件，從而在內(nèi)核中形成不可旁路的細粒度安全控制。通過TPCM提供的信任根，確保可信機制在具體安全功能實施過程中的行為可預(yù)期。內(nèi)核處理流程的客體可以是文件、目錄、設(shè)備、IPC和Socket等對象，因此處理流程能夠覆蓋包括網(wǎng)絡(luò)訪問控制控在內(nèi)的所有安全功能。自主操作系統(tǒng)可信安全增強的處理過程如圖8所示：

圖8 可信安全增強內(nèi)核處理過程

3.3 基干IBE的平臺身份認證

PKI（Public Key Infrastructure）是利用基于證書的公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)能夠有效地解決實際應(yīng)用中的真實性、完整性和不可否認性等安全問題。但由于證書數(shù)量的增加，PKI中的證書管理也面臨著一些問題，如證書的撒銷、保存、發(fā)布和驗證就需要占用較多的資源，且管理復(fù)雜。為了減輕公鑰證書的管理開銷，采用基于身份標識（IBE，I-dentity-Based Encryption）的公鑰密碼體制，來解決可信平臺身份認證問題。IBE密碼體制的安全性是來源于密鑰的生成過程，也就是：私鑰=f（主密鑰，公鑰），其中主密鑰是由可信中心（TA）擁有的，公鑰是用戶的個人身份信息。TA根據(jù)主密鑰和用戶的公鑰能夠計算出私鑰。而除去TA以外的人只有公鑰，是無法計算出私鑰的。另外，公鑰既然是密鑰生成過程的輸入，那么任意的比特串都可以用來做公鑰。因此，用戶的身份信息也可作為公鑰，而且能大大減少公鑰認證的復(fù)雜性。這也正是基于身份的密碼體制的理論依據(jù)。基于IBE的平臺身分認證過程如圖9所示。

圖9 平臺身份認證

平臺身份認證過程描述如下：

1）平臺1向平臺2發(fā)送驗證請求；

2）平臺2向平臺1請求所需要的PCR值；

3）平臺1使用AIK（Attestation Identity Key）私鑰對平臺2需要的PCR值簽名；

4）平臺1將PCR的簽名值與AIK標識一起發(fā)送給平臺2；

5）平臺2的校驗者通過平臺1的身份標識驗證PCR的簽名值確認平臺1的身份，并評估其可信程度。

基于標識的平臺身份認證主要優(yōu)點在于不需要公鑰證書，避免了公鑰證書發(fā)放、保存、交換、驗證和撒銷等問題。認證過程簡單，通信量小，在特定專用網(wǎng)絡(luò)中易于實現(xiàn)集中控制。

4 結(jié)語

針對當(dāng)前X86架構(gòu)可信計算平臺存在的諸多問題，提出了一種國產(chǎn)化自主可控的可信計算平臺解決方案。本文創(chuàng)新性主要體現(xiàn)在：（1）能夠建立起從可信根到硬件平臺到操作系統(tǒng)的信任鏈，確保計算平臺的安全可信；（2）解決了主動可信度量問題；（3）解決了國產(chǎn)自主操作系統(tǒng)可信安全增強的問題；（4）解決了可信計算環(huán)境中高效身份認證問題。本文提出的方案可以滿足我國軍隊和地方對高安全等級計算機平臺的使用需求，具有較好的應(yīng)用前景。

［1］ 郝平，何恩.可信計算的安全防護機制及其在高可信網(wǎng)絡(luò)中的應(yīng)用［J］.中國電子科學(xué)研究院學(xué)報，2008，3（1）：14-19.

［2］ Trusted Computing Group TCG Specification Architecture O-verview v1.2.200.

［3］ Challener D，Yoder K，Cat Herman R，et al.A Pratical GuidetoTrustedComputing［M］.NewYork：IBM Press，2007.

［4］ 谷偉，朱學(xué)永.基于可信計算和HIP的Web數(shù)據(jù)庫安全模型［J］.計算機工程，2013，39（3）：63-66.

［5］ 宗濤.基于可信計算的結(jié)構(gòu)性安全模型設(shè)計與實現(xiàn)［J］.計算機工程，2012，38（20）：89-96.

［6］ 談劍峰.可信計算技術(shù)研究與應(yīng)用［J］.信息安全與通信保密，2014（3）：116-119.

［7］ 劉巍然，劉建偉.Android操作系統(tǒng)可信計算平臺架構(gòu)［J］.武漢大學(xué)學(xué)報（理學(xué)版），2014，59（2）：159-164.

［8］ 卿斯?jié)h，周啟明，杜虹.可信計算研究進展分析［J］.電信科學(xué)，2011（1）：11-15.作者簡介：

龍興剛（1974—），男，碩士，高級工程師，主要研究方向為信息安全；

謝小賦（1973—），男，碩士，高級工程師，主要研究方向為網(wǎng)絡(luò)安全與通信保密

龐 飛（1974—），男，碩士，工程師，主要研究方向為信息安全與可信計算。

葉 曉（1981—），男，學(xué)士，助理工程師，研究方向為計算機應(yīng)用■

An Independent Controllable Scheme of Trusted Computing Platform

LONG Xing-gang1，XIE Xiao-fu2，PANG Fei2，YE Xiao2
（1Computing Technology Research Institute of Navy，Beijing 100141，China；2No.30 Institute of CETC，Chengdu Sichuan 610041，China）

Aiming at passive trusted measurement，incomplete operation system security enhancement mechanism and complicated authentication mechanism，X86-based trusted computing platform in TCG trusted computing sepcifications，an independent controllable scheme of trusted computing platform based on domestic processors and operating systems is proposed.Trusted security enhancement strategy and frame of domestic operating system is designed，and implementations of some key technologies，such as active trusted measurement based on control module of trusted platform and identity authentication based on identity platform are described in this paper.

trusted computing；active measurement；independent controllable

TP91

A

1009-8054（2015）10-0123-04

2015-05-22