劉 莉 孟 杰 徐 寧

(中標(biāo)軟件有限公司 上海 200030)(上?；A(chǔ)軟件工程技術(shù)研究中心 上海 200030)(li.liu@cs2c.com.cn)

操作系統(tǒng)是對(duì)計(jì)算機(jī)軟件硬件資源(包括對(duì)處理器、存儲(chǔ)器、外設(shè)、文件和作業(yè)等)實(shí)施管理的系統(tǒng)軟件，是連接計(jì)算機(jī)硬件與上層軟件及用戶的橋梁，其安全性至關(guān)重要.伴隨互聯(lián)網(wǎng)高度普及，針對(duì)操作系統(tǒng)的攻擊和威脅，如篡改資源配置、惡意程序被植入執(zhí)行、利用緩沖區(qū)(棧)溢出攻擊、非法接管系統(tǒng)管理員權(quán)限等，呈現(xiàn)多樣化、復(fù)雜化趨勢(shì).

圖1 不帶特權(quán)虛擬機(jī)的虛擬化可信平臺(tái)

在此背景下，以保證系統(tǒng)資源機(jī)密性、完整性和可用性[1]為設(shè)計(jì)目標(biāo)的安全操作系統(tǒng)應(yīng)運(yùn)而生并快速發(fā)展.但其仍有較大提升空間，主要表現(xiàn)在：1)用戶體驗(yàn)方面.安全操作系統(tǒng)的使用和安全策略的配置缺乏靈活性和兼容性，影響易用性；由于采用大量安全技術(shù)，導(dǎo)致系統(tǒng)的性能和效率有所下降.2)安全技術(shù)方面.通過(guò)軟件方式實(shí)現(xiàn)的安全內(nèi)核越來(lái)越復(fù)雜和龐大，使得保證安全內(nèi)核自身正確性和完整性的難度不斷增加；惡意攻擊手段的升級(jí)，對(duì)操作系統(tǒng)自身文件、數(shù)據(jù)和配置信息造成威脅，使得保持操作系統(tǒng)的完整性面臨挑戰(zhàn)；操作系統(tǒng)運(yùn)行狀態(tài)的動(dòng)態(tài)性和安全策略的靜態(tài)性之間的矛盾，使得安全策略需要匹配更強(qiáng)適應(yīng)系統(tǒng)環(huán)境變化的能力等[2-3].這些問(wèn)題制約了安全操作系統(tǒng)的發(fā)展.

近年，可信計(jì)算作為新一代安全技術(shù)的重要組成，逐步融入安全操作系統(tǒng)發(fā)展，為實(shí)現(xiàn)操作系統(tǒng)自身的完整性、主體行為和客體數(shù)據(jù)的完整性以及優(yōu)化安全與性能之間的平衡提供有效途徑，也成為解決現(xiàn)實(shí)網(wǎng)絡(luò)安全威脅和支撐國(guó)產(chǎn)操作系統(tǒng)長(zhǎng)遠(yuǎn)發(fā)展的戰(zhàn)略舉措[4-5].

1 可信計(jì)算的應(yīng)用現(xiàn)狀及發(fā)展趨勢(shì)

可信計(jì)算是通過(guò)保持計(jì)算環(huán)境及計(jì)算邏輯的完整性，為計(jì)算平臺(tái)提供對(duì)惡意代碼、非法操作的自主免疫能力.該技術(shù)已經(jīng)在虛擬化、云計(jì)算、工業(yè)控制等領(lǐng)域應(yīng)用，并與嵌入式設(shè)備、物聯(lián)網(wǎng)及云端等技術(shù)方向加速融合.

1.1 可信計(jì)算技術(shù)的典型應(yīng)用

基于可信計(jì)算技術(shù)的應(yīng)用有很多，如通過(guò)與基于虛擬化的平臺(tái)進(jìn)行融合，保障虛擬化平臺(tái)的可信性；將可信從虛擬化擴(kuò)大至云平臺(tái)，對(duì)云計(jì)算環(huán)境的主機(jī)、虛擬機(jī)進(jìn)行可信度量，以及對(duì)虛擬機(jī)內(nèi)部數(shù)據(jù)的安全進(jìn)行管理，保障用戶能夠使用到合法的虛擬機(jī)及數(shù)據(jù)流向安全；基于可信網(wǎng)絡(luò)連接和遠(yuǎn)程證明等技術(shù)，實(shí)現(xiàn)工業(yè)控制系統(tǒng)等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全網(wǎng)絡(luò)數(shù)據(jù)傳送及平臺(tái)身份證明[6-7].

1) 虛擬化可信平臺(tái)

虛擬化可信平臺(tái)是基于虛擬安全隔離技術(shù)、通過(guò)與可信計(jì)算技術(shù)有機(jī)結(jié)合實(shí)現(xiàn)的系統(tǒng)平臺(tái)，使得每個(gè)虛擬機(jī)(virtual machine, VM)對(duì)應(yīng)一個(gè)虛擬可信平臺(tái)模塊(trusted platform module, TPM)，保證在虛擬TPM平臺(tái)之間共享物理TPM平臺(tái)資源的同時(shí)，實(shí)現(xiàn)虛擬TPM之間的特性.

虛擬化可信平臺(tái)的架構(gòu)分2種[8]：不帶特權(quán)虛擬機(jī)的平臺(tái)和帶特權(quán)虛擬機(jī)的平臺(tái).

① 不帶特權(quán)虛擬機(jī)的平臺(tái)

如圖1所示，不帶特權(quán)虛擬機(jī)的平臺(tái)是通過(guò)在物理平臺(tái)和虛擬機(jī)間增加1個(gè)或多個(gè)抽象層來(lái)實(shí)現(xiàn)虛擬化，以與傳統(tǒng)的非虛擬化架構(gòu)實(shí)現(xiàn)簡(jiǎn)單的兼容.

② 帶特權(quán)虛擬機(jī)的平臺(tái)架構(gòu)

如圖2所示，帶特權(quán)虛擬機(jī)的平臺(tái)架構(gòu)是使用特權(quán)虛擬機(jī)來(lái)代替虛擬機(jī)監(jiān)視器進(jìn)行更復(fù)雜或者更危險(xiǎn)的操作，以使核心的虛擬機(jī)監(jiān)視器更簡(jiǎn)單和安全.

2) 可信云

可信云是利用可信計(jì)算技術(shù)解決云計(jì)算安全的有效方案，其應(yīng)用主要集中在4個(gè)方面：

① 基于可信計(jì)算技術(shù)，對(duì)云計(jì)算環(huán)境的主機(jī)、虛擬機(jī)進(jìn)行可信度量，對(duì)虛擬機(jī)內(nèi)部數(shù)據(jù)的安全和虛擬機(jī)創(chuàng)建、遷移進(jìn)行管理，保障用戶能夠使用到合法的虛擬機(jī)及數(shù)據(jù)流向安全；

② 應(yīng)用可信計(jì)算的密鑰管理技術(shù)，對(duì)云計(jì)算環(huán)境的密鑰統(tǒng)一高強(qiáng)度管理，防止被盜；

③ 針對(duì)云平臺(tái)用戶終端的可信識(shí)別問(wèn)題，基于遠(yuǎn)程身份證明技術(shù)(openattestation, OAT)，研究云節(jié)點(diǎn)身份證明技術(shù)，建立統(tǒng)一、集中的驗(yàn)證系統(tǒng)，為網(wǎng)絡(luò)中的計(jì)算機(jī)終端提供可信的身份驗(yàn)證；

④ 針對(duì)虛擬機(jī)遷移問(wèn)題，研究基于可信度量的虛擬機(jī)遷移技術(shù)，保證云平臺(tái)的安全和可信等.

圖2 帶特權(quán)虛擬機(jī)的虛擬化可信平臺(tái)

如圖3所示，在可信云計(jì)算環(huán)境下，由基礎(chǔ)設(shè)施可信根出發(fā)，首先度量基礎(chǔ)設(shè)施、基礎(chǔ)計(jì)算平臺(tái)軟硬件的可信性；然后由基礎(chǔ)計(jì)算平臺(tái)創(chuàng)建虛擬計(jì)算環(huán)境，并度量虛擬計(jì)算資源的可信性；最后支持虛擬環(huán)境下應(yīng)用服務(wù)的可信性，并通過(guò)可信云管理平臺(tái)進(jìn)行管理.

圖3 可信計(jì)算在云計(jì)算環(huán)境下的應(yīng)用

可信云將主要實(shí)現(xiàn)以下功能：

① VM的安全防護(hù).虛擬機(jī)監(jiān)視器(virtual machine monitor, VMM)層對(duì)不同VM進(jìn)行動(dòng)態(tài)和靜態(tài)度量，并為每個(gè)VM提供虛擬的TPM；利用可信計(jì)算對(duì)云計(jì)算平臺(tái)中的數(shù)據(jù)進(jìn)行保護(hù)；對(duì)云計(jì)算節(jié)點(diǎn)和VM的運(yùn)行平臺(tái)進(jìn)行平臺(tái)身份證明，保證云計(jì)算節(jié)點(diǎn)和VM的可信性.

② 可信資源管理.形成通用云管理模塊，對(duì)云計(jì)算節(jié)點(diǎn)的物理可信芯片和為VM提供的虛擬化可信芯片提供的可信資源進(jìn)行管理.

③ VM可信創(chuàng)建和遷移.在對(duì)VM進(jìn)行操作時(shí)進(jìn)行可信的驗(yàn)證和管理，指定VM在可信的節(jié)點(diǎn)上創(chuàng)建或者只在可信的計(jì)算節(jié)點(diǎn)上進(jìn)行遷移.

④ 度量和安全策略管理.對(duì)云計(jì)算節(jié)點(diǎn)系統(tǒng)以及對(duì)VM的安全和度量策略進(jìn)行管理.

⑤ 網(wǎng)絡(luò)管理.依據(jù)VM的可信狀態(tài)對(duì)VM之間的網(wǎng)絡(luò)進(jìn)行管理，為處于不同可信狀態(tài)的VM分配相應(yīng)的虛擬網(wǎng)絡(luò)資源.

3) 工控領(lǐng)域的可信解決方案

如圖4所示，以系統(tǒng)內(nèi)主機(jī)為重點(diǎn)分層構(gòu)建可信計(jì)算體系，并建立可信的網(wǎng)絡(luò)連接機(jī)制.具體來(lái)說(shuō)，將系統(tǒng)內(nèi)的不同區(qū)域進(jìn)行安全等級(jí)劃分，實(shí)現(xiàn)分層次網(wǎng)絡(luò)訪問(wèn)；將不同終端進(jìn)行可信等級(jí)劃分，實(shí)現(xiàn)不同終端的訪問(wèn)權(quán)限控制；加入縱向加密認(rèn)證和橫向隔離訪問(wèn)控制機(jī)制，實(shí)現(xiàn)了網(wǎng)絡(luò)接入控制；通過(guò)可信網(wǎng)絡(luò)連接機(jī)制，可在不安裝病毒軟件的情況下，從源頭杜絕安全事件的發(fā)生，保障系統(tǒng)環(huán)境的安全，解決系統(tǒng)主機(jī)終端的防病毒問(wèn)題.同時(shí)，軟硬件投入少于傳統(tǒng)的安全加固手段，節(jié)約了成本.

圖4 可信計(jì)算技術(shù)在工控系統(tǒng)環(huán)境的應(yīng)用

1.2 可信計(jì)算技術(shù)發(fā)展趨勢(shì)

1) 可信計(jì)算技術(shù)在嵌入式設(shè)備的應(yīng)用

嵌入式技術(shù)的發(fā)展極大地豐富了終端設(shè)備接入網(wǎng)絡(luò)的方式，如GPRSCDMA，WLA，Bluetoot，HomeRF等無(wú)線接入技術(shù)為獲取信息提供便利，同時(shí)也對(duì)嵌入式設(shè)備的安全性提出更高要求.

目前，國(guó)際上，可信計(jì)算組織(Trusted Computing Group, TCG)已成立如移動(dòng)電話和PDA等專門的小組來(lái)制定嵌入式設(shè)備相關(guān)的可信標(biāo)準(zhǔn)規(guī)范[9]；Atmel推出嵌入式TPM；Infineon也致力于嵌入式可信計(jì)算平臺(tái)的研究，并推出可移動(dòng)的TPM；此外，Escrypt公司積極倡導(dǎo)嵌入式系統(tǒng)的安全性，針對(duì)汽車所面臨的危險(xiǎn)，如遭遇盜竊、車主自身的誤操作、下載軟件的安全性等，提出面向汽車領(lǐng)域的可信計(jì)算技術(shù)[10].在國(guó)內(nèi)，高可靠性嵌入式可信芯片、嵌入式實(shí)時(shí)操作系統(tǒng)的可信軟件基體系等方面也取得了部分研究成果[11-15].

2) 可信計(jì)算技術(shù)在物聯(lián)網(wǎng)的應(yīng)用

物聯(lián)網(wǎng)在接入互聯(lián)網(wǎng)時(shí)將面臨眾多安全威脅，可信計(jì)算技術(shù)可確保系統(tǒng)參與者返回的結(jié)果的真實(shí)性，為保障物聯(lián)網(wǎng)的信息安全提供有效途徑[16].如用于身份認(rèn)證的生物鑒別設(shè)備可使用可信計(jì)算技術(shù)，確保沒有間諜軟件安裝在電腦或小型計(jì)算設(shè)備上，防止敏感的生物識(shí)別信息被竊取，這對(duì)于物聯(lián)網(wǎng)中的傳感器或RFID標(biāo)簽的安全防控尤其重要.此外，對(duì)于有人類參與而非完全自動(dòng)通過(guò)傳感器和RFID標(biāo)簽采集數(shù)據(jù)的場(chǎng)景，特別是大型科學(xué)實(shí)驗(yàn)類的物聯(lián)網(wǎng)應(yīng)用，可信計(jì)算技術(shù)的支持更具有重要意義.

3) 可信計(jì)算技術(shù)在云端的應(yīng)用

可信計(jì)算技術(shù)已在國(guó)外公有云以及金融行業(yè)等有高安全要求的云計(jì)算系統(tǒng)中得到廣泛應(yīng)用，但在國(guó)內(nèi)還處于起步階段.業(yè)內(nèi)著名IT公司和高校研究力量，如中標(biāo)軟件有限公司(操作系統(tǒng)廠商)、國(guó)民技術(shù)(芯片廠商)、百敖軟件有限公司(BIOS廠商)、英特爾(半導(dǎo)體芯片制造商)以及武漢大學(xué)等，聯(lián)合推動(dòng)并實(shí)現(xiàn)了在TPM2.0標(biāo)準(zhǔn)版本上，中國(guó)商用密碼標(biāo)準(zhǔn)算法SM2，SM3，SM4在云計(jì)算中的實(shí)際應(yīng)用.

2 可信操作系統(tǒng)體系架構(gòu)和關(guān)鍵技術(shù)

2.1 可信操作系統(tǒng)概念及體系架構(gòu)

可信操作系統(tǒng)是可信計(jì)算技術(shù)在操作系統(tǒng)產(chǎn)品中應(yīng)用的成果，它以硬件或固件可信模塊為基礎(chǔ)，通過(guò)保證操作系統(tǒng)自身的完整性、主體行為，以預(yù)期的方式和意圖發(fā)生以及客體的數(shù)據(jù)完整、保密、可靠，同時(shí)支持多種安全策略來(lái)適應(yīng)計(jì)算機(jī)運(yùn)行環(huán)境變化，最終實(shí)現(xiàn)具有主動(dòng)防御能力的操作平臺(tái).

通常，可信操作系統(tǒng)的功能包括：可信引導(dǎo)、可信驗(yàn)證、可信存儲(chǔ)和可信管理等，體系架構(gòu)如圖5所示：

圖5 可信操作系統(tǒng)的體系架構(gòu)

2.2 可信操作系統(tǒng)關(guān)鍵技術(shù)

1) 系統(tǒng)可信啟動(dòng)

引導(dǎo)過(guò)程是實(shí)現(xiàn)可信計(jì)算平臺(tái)的基點(diǎn)，基于硬件安全模塊，例如TPMTCM或TPCM的可信引導(dǎo)，保證從BIOS、引導(dǎo)程序到操作系統(tǒng)內(nèi)核，每一個(gè)步驟中引導(dǎo)實(shí)體的完整性，建立1條從平臺(tái)加電到操作系統(tǒng)安全啟動(dòng)的可信鏈.即在系統(tǒng)的初始化開始就對(duì)要獲得控制權(quán)的代碼進(jìn)行可信驗(yàn)證，這樣就能保證啟動(dòng)后的操作系統(tǒng)是處于安全可信的狀態(tài).

2) 可信引導(dǎo)

Intel可信執(zhí)行技術(shù)(trusted execution technology，TXT)通過(guò)硬件內(nèi)核和子系統(tǒng)來(lái)控制被訪問(wèn)的計(jì)算機(jī)資源.諸如病毒、惡意代碼、間諜軟件和其他安全威脅將不會(huì)對(duì)計(jì)算機(jī)軟硬件資源構(gòu)成影響.可信引導(dǎo)(trusted boot, Tboot)利用TXT技術(shù)和TPM對(duì)系統(tǒng)內(nèi)核或者VMM執(zhí)行度量和認(rèn)證.Tboot主要包含6個(gè)功能：度量啟動(dòng)、度量環(huán)境的清除、數(shù)據(jù)重置保護(hù)、TXT內(nèi)存范圍的保護(hù)、TXT啟動(dòng)控制策略工具和認(rèn)證啟動(dòng)，可充分保證系統(tǒng)啟動(dòng)環(huán)境的可信.通過(guò)TXT，可實(shí)現(xiàn)操作系統(tǒng)在運(yùn)行時(shí)，對(duì)系統(tǒng)配置和應(yīng)用軟件的多次度量.

3) 可信內(nèi)核

可信內(nèi)核是指在原來(lái)安全內(nèi)核基礎(chǔ)上增加了可信度量模塊(CS2C trust measure module, CTMM)，可掃描和度量系統(tǒng)內(nèi)的所有文件，包括可執(zhí)行文件、普通文件、模塊ko文件、動(dòng)態(tài)鏈接庫(kù)文件等.CTMM在initrd中加載白名單策略，其中initrd將在grub階段被度量，保證此策略在加載之前不會(huì)被篡改.系統(tǒng)運(yùn)行過(guò)程中將可對(duì)所有訪問(wèn)到的普通文件進(jìn)行可信度量.如果度量失敗，文件的訪問(wèn)或者執(zhí)行將被拒絕.

一般地，可執(zhí)行文件在運(yùn)行前都會(huì)進(jìn)行動(dòng)態(tài)度量，主要包括2個(gè)部分：

① 當(dāng)啟動(dòng)和裝載可執(zhí)行程序時(shí)，在內(nèi)核將可執(zhí)行文件裝載到進(jìn)程中后，CTMM模塊會(huì)度量進(jìn)程的數(shù)據(jù)段和地址段內(nèi)容，并存儲(chǔ)度量值，用于和該程序下次運(yùn)行時(shí)的度量值進(jìn)行比較.

② 當(dāng)內(nèi)核在進(jìn)程調(diào)度時(shí)，CTMM模塊會(huì)對(duì)進(jìn)程的數(shù)據(jù)段和地址段進(jìn)行度量，以確保運(yùn)行時(shí)的度量值與裝載時(shí)的預(yù)期值是相同的.如果不同，CTMM將會(huì)終止進(jìn)程的運(yùn)行.

4) 可信身份認(rèn)證

針對(duì)傳統(tǒng)安全操作系統(tǒng)身份認(rèn)證機(jī)制的問(wèn)題，基于硬件可信芯片TPM，TCM或TPCM的身份認(rèn)證主要利用可信芯片提供的Hash算法功能模塊和安全信息存儲(chǔ)模塊，在登錄時(shí)對(duì)系統(tǒng)特權(quán)用戶進(jìn)行認(rèn)證.同時(shí)也支持在用戶登錄時(shí)利用可信芯片和IC卡結(jié)合的認(rèn)證接口對(duì)系統(tǒng)用戶進(jìn)行多因子可信身份認(rèn)證.

5) OAT遠(yuǎn)程證明

OAT作為遠(yuǎn)程身份驗(yàn)證的平臺(tái)，可為網(wǎng)絡(luò)中的計(jì)算機(jī)終端提供可信的身份驗(yàn)證，OAT由服務(wù)器端和客戶端這2部分組成.其中服務(wù)器端負(fù)責(zé)收集客戶端的身份驗(yàn)證數(shù)據(jù)，這些數(shù)據(jù)主要是從客戶端的PCR中采集.服務(wù)器端部署有CA證書，每個(gè)客戶端的身份證書都是基于這個(gè)CA證書頒發(fā)的.

OAT不僅可以對(duì)主機(jī)平臺(tái)的完整性進(jìn)行驗(yàn)證，還可以對(duì)云平臺(tái)中的虛擬機(jī)進(jìn)行身份驗(yàn)證，保證其可信.

6) 信任鏈在云平臺(tái)中的擴(kuò)展

在實(shí)現(xiàn)本機(jī)信任鏈的基礎(chǔ)上，為進(jìn)一步保證云平臺(tái)中虛擬機(jī)的安全性，可將信任鏈擴(kuò)展到虛擬機(jī)中.信任鏈的擴(kuò)展如圖6所示：

圖6 信任鏈在云平臺(tái)中的擴(kuò)展

首先從信任根開始，將BIOS和GRUB度量后開始執(zhí)行，然后進(jìn)入Tboot階段，執(zhí)行TXT Launch指令時(shí)，根據(jù)制定的策略對(duì)Tboot本身、虛擬機(jī)管理器或內(nèi)核以及SINIT的模塊等進(jìn)行測(cè)量，并把測(cè)量值擴(kuò)展到PCR，為后面對(duì)平臺(tái)運(yùn)行狀態(tài)的驗(yàn)證奠定了基礎(chǔ).

其中，Agent機(jī)制是為了實(shí)現(xiàn)可信鏈向虛擬機(jī)內(nèi)部傳遞而設(shè)計(jì)，主要包括2部分：客戶端和服務(wù)器端.客戶端負(fù)責(zé)幫助服務(wù)器端搜集宿主機(jī)和宿主機(jī)上虛擬機(jī)的狀態(tài)信息；服務(wù)器端則負(fù)責(zé)信息的匯總、解析和處理.

3 總 結(jié)

本文介紹了可信計(jì)算技術(shù)應(yīng)用在虛擬化、云計(jì)算、工業(yè)控制等領(lǐng)域的現(xiàn)狀及其融入嵌入式設(shè)備、物聯(lián)網(wǎng)及云端等技術(shù)方向的可能，重點(diǎn)闡述了可信操作系統(tǒng)(可信計(jì)算技術(shù)應(yīng)用于操作系統(tǒng)發(fā)展的產(chǎn)物)概念、體系架構(gòu)和涉及的關(guān)鍵技術(shù)，為增強(qiáng)操作系統(tǒng)自身安全、形成可信軟硬一體化解決方案、提升用戶體驗(yàn)進(jìn)行有益探索.

[1]鄭顯義, 史崗, 孟丹. 系統(tǒng)安全隔離技術(shù)研究綜述[J]. 計(jì)算機(jī)學(xué)報(bào), 2017, 40(5): 1057-1079

[2]石文昌. 安全操作系統(tǒng)開發(fā)方法的研究與實(shí)施[D]. 北京: 中國(guó)科學(xué)院軟件研究所, 2001

[3]梁洪亮. 支持多安全政策的安全操作系統(tǒng)的研究和實(shí)施[D]. 北京: 中國(guó)科學(xué)院軟件研究所, 2003

[4]沈昌祥. 把握操作系統(tǒng)發(fā)展契機(jī)[EB/OL]. (2014-07-23) [2017-12-10]. http://theory.people.com.cn/

[5]沈昌祥, 張大偉, 劉吉強(qiáng), 等. 可信3.0戰(zhàn)略: 可信計(jì)算的革命性演變[J]. 中國(guó)工程科學(xué), 2016, 18(6): 53-57

[6]Trusted Computing Group. TCG trusted network connect TNC architecture for interoperability[EB/OL]. (2012-05-03) [2017-12-10]. http://www.trustedcomputinggroup.org

[7] 譚勵(lì), 楊明華, 韓婉嬌, 等. 面向工控系統(tǒng)的安全可信技術(shù)[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2017, 38(1): 47-52

[8]Trusted Computing Group. TCG virtualized trusted platform white paper version 1.0[EB/OL]. (2007-10-23) [2017-12-10]. http://www.trustedcomputinggroup.org

[9]Trusted Computing Group. TCG applications[OL]. (2016-07-07) [2017-12-10]. http://www.trustedcomputinggroup.org/developers

[10]Trusted Computing Group. Secure embedded platforms with trusted computing: Automotive and other systems in the Internet of things must be protected[EB/OL]. (2012-06-01) [2017-12-10]. https://trustedcomputinggroup.org/secure-embedded-platforms-trusted-computing-automotive-systems-internet-things-must-protected/

[11]潘秋凡. 嵌入式可信計(jì)算平臺(tái)設(shè)計(jì)技術(shù)[D]. 西安: 西安電子科技大學(xué), 2014

[12]張心. 基于可信計(jì)算技術(shù)的嵌入式安全保護(hù)體系研究[D]. 武漢: 華中科技大學(xué), 2009

[13]李然. 基于TPM的可信嵌入式平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 哈爾濱: 哈爾濱工業(yè)大學(xué), 2012

[14]王博. 基于TPM的嵌入式可信終端的研究與設(shè)計(jì)[D]. 成都: 電子科技大學(xué), 2011

[15]徐明迪, 楊連嘉. 嵌入式實(shí)時(shí)操作系統(tǒng)可信技術(shù)研究[J]. 計(jì)算機(jī)工程, 2014, 40(1): 130-133

[16]吳振強(qiáng), 周彥偉, 馬建峰. 物聯(lián)網(wǎng)安全傳輸模型[J]. 計(jì)算機(jī)學(xué)報(bào), 2011, 34(8): 1351-1364