黃堅會， 沈昌祥

(1. 北京工業(yè)大學(xué) 信息學(xué)部 北京 100124； 2. 華大半導(dǎo)體有限公司 上海 201203)

0 引言

隨著網(wǎng)絡(luò)互連、大數(shù)據(jù)、資源共享、智慧城市、智能工廠的發(fā)展，數(shù)據(jù)中心的規(guī)模和數(shù)量都在迅速增長，同時，數(shù)據(jù)中心處理和存儲的數(shù)據(jù)的私密性和安全性越來越受到人們的重視.數(shù)據(jù)中心主要由大量服務(wù)器構(gòu)成，面對層出不窮的網(wǎng)絡(luò)和軟硬件漏洞攻擊，如何保證服務(wù)器基礎(chǔ)平臺及數(shù)據(jù)訪問安全顯得尤其重要.

為了解決服務(wù)器基礎(chǔ)平臺的安全防護(hù)問題，本文基于三階三路安全可信平臺防護(hù)架構(gòu)，設(shè)計了服務(wù)器從待機(jī)、啟動、運行直到關(guān)機(jī)移除電源的工作全過程可信計算環(huán)境保護(hù)機(jī)制.防護(hù)系統(tǒng)以TPCM芯片為信任根源，從服務(wù)器CPU指令執(zhí)行及其執(zhí)行環(huán)境開始建立可信系統(tǒng)，在計算機(jī)初始化過程中防止病毒入侵及使用經(jīng)篡改的設(shè)備來構(gòu)建可信運行環(huán)境，并且在系統(tǒng)運行全程進(jìn)行動態(tài)實時防御，確保服務(wù)器基礎(chǔ)平臺在“計算+防護(hù)”的雙體系結(jié)構(gòu)中，受到可信防護(hù)系統(tǒng)時間和空間上的全方位保護(hù).

本文方案有以下功能特點：

1) 使用完全中國自主主動防御TPCM模塊作為信任根.

2) 利用服務(wù)器電源系統(tǒng)給TPCM模塊供電，無須增加額外電源模塊.

3) 只需要一片TPCM模塊即可對底板管理控制器(baseboard management controller, BMC)及BIOS代碼進(jìn)行分級度量控制.

4) 物理信號接口完全兼容國際可信平臺模塊(trusted platform module, TPM)，既滿足了安全高等級TPCM使用要求，又可替換使用TPM，滿足國際通用市場需求.

5) 基于服務(wù)器的原有架構(gòu)，通過少許邏輯控制增強(qiáng)即可完成TPCM對服務(wù)器電源時序的控制.

6) 可以對服務(wù)器系統(tǒng)平臺從上電到電源移除整個生命周期進(jìn)行主動、動態(tài)的安全防護(hù).

1 TPCM服務(wù)器基礎(chǔ)平臺防護(hù)架構(gòu)

1.1 三階三路服務(wù)器防護(hù)思路介紹

本設(shè)計采用三階三路[1]架構(gòu)方案，使得服務(wù)器系統(tǒng)平臺整個啟動運行過程中具備防御免疫能力.整個設(shè)計過程既充分考慮了安全防護(hù)的嚴(yán)密性，又照顧到了工程實現(xiàn)的成本和安裝的簡易性.基于該方案設(shè)計的服務(wù)器從市電接入到應(yīng)用的3個階段都得到了相應(yīng)防護(hù)及信任承接和擴(kuò)展[2].

1.2 可信服務(wù)器架構(gòu)設(shè)計

1.2.1防護(hù)框架方案 TPCM是整個服務(wù)器唯一的信任源點，同時也是服務(wù)器平臺的安全防護(hù)管理控制中心.TPCM的防護(hù)策略由用戶管理人員通過專屬管理軟件和安全通道進(jìn)行下發(fā)，一旦TPCM接收到策略及防護(hù)激活指令，則TPCM將自主地對服務(wù)器進(jìn)行可信環(huán)境度量監(jiān)控，不受控于服務(wù)器計算單元.實現(xiàn)計算和防護(hù)系統(tǒng)分離的雙體系結(jié)構(gòu).系統(tǒng)連接如圖1所示.

圖1 TPCM可信服務(wù)器系統(tǒng)連接圖Fig.1 Trusted server system connection diagram of TPCM

1.2.2電源域及時序控制設(shè)計 服務(wù)器平臺電源域劃分為3部分：1) TPCM+復(fù)雜可編程邏輯器件(complex programmable logic device，CPLD)+flash供電域,簡稱A域. 2) BMC及周邊電路域，簡稱B域. 3)主計算系統(tǒng)工作域，簡稱C域.

A域：通過TPCM對BIOS及BMC代碼進(jìn)行度量檢查，確定有無異常和入侵攻擊.如果發(fā)現(xiàn)BMC代碼或BIOS啟動代碼底層固件被篡改替換，則啟動安全防范策略，阻止后續(xù)系統(tǒng)上電，或在寬松安全策略下進(jìn)入非可信運行環(huán)境，同時發(fā)出非安全環(huán)境警告.當(dāng)代碼環(huán)境正常，則TPCM控制系統(tǒng)打開B域電源.

B域：BMC開始工作，通過與TPCM的認(rèn)證交互，BMC系統(tǒng)環(huán)境處于可信狀態(tài)，包括管理控制器BMC本身.當(dāng)確認(rèn)BMC系統(tǒng)執(zhí)行環(huán)境安全可信時，開啟C域電源.否則同理進(jìn)入非可信環(huán)境或阻止C域電源上電服務(wù)器開機(jī).

C域：服務(wù)器計算CPU正式開始執(zhí)行指令，同理TPCM將對服務(wù)器主系統(tǒng)的執(zhí)行環(huán)境進(jìn)行識別確認(rèn)，包括CPU本身.同樣，當(dāng)確認(rèn)主計算系統(tǒng)環(huán)境安全可信后，允許服務(wù)器自檢并向后啟動.否則同理進(jìn)入非可信環(huán)境或直接關(guān)閉服務(wù)器電源，阻止計算機(jī)上電開機(jī).

服務(wù)器首先A域供電，CPLD通過TPCM的在位信號探測TPCM是否存在或關(guān)閉.如果TPCM存在且有效，CPLD切斷服務(wù)器主控系統(tǒng)的總線，允許TPCM主控總線與BMC Flash和BIOS Flash連通，關(guān)閉B域和C域電源，等待TPCM指令.TPCM上電后自檢，確定自身完整安全后，根據(jù)用戶預(yù)設(shè)策略通過主控總線對BMC代碼和BIOS代碼進(jìn)行分段及按安全等級要求進(jìn)行逐一檢查確認(rèn).任何病毒代碼入侵或非授權(quán)數(shù)據(jù)(如平臺參數(shù)設(shè)置或系統(tǒng)配置值)發(fā)生變化將會立刻引起TPCM告警，甚至阻斷服務(wù)器主電源供電、關(guān)閉通訊端口等.當(dāng)TPCM確認(rèn)BMC代碼和BIOS 代碼可信的情況下，通知CPLD依次打開B域和C域電源，通過總線進(jìn)行后續(xù)可信執(zhí)行環(huán)境檢查.

2 系統(tǒng)實現(xiàn)

本文的TPCM三階三路防護(hù)方案并不局限于特定的服務(wù)器平臺及領(lǐng)域.下文以Intel至強(qiáng)服務(wù)器Xeon Scalable處理器族Skylake-SP基礎(chǔ)平臺為例進(jìn)行實現(xiàn)及測試說明.

防御系統(tǒng)及模塊組成如圖2所示. 防御系統(tǒng)主要由主動度量模塊、平臺度量模塊、動態(tài)度量模塊和控制部分組成.TPCM首先對啟動代碼進(jìn)行度量確認(rèn)，然后通過可信啟動代碼逐步擴(kuò)展可信鏈到達(dá)可信軟件基(trusted software base, TSB)操作系統(tǒng).最后通過動態(tài)度量模塊支撐，保持宿主系統(tǒng)的安全可信運行狀態(tài).可見，TPCM模塊組完全是獨立的度量控制系統(tǒng)，并行于服務(wù)器計算系統(tǒng).

圖2 防御系統(tǒng)對服務(wù)器平臺的保護(hù)Fig.2 Defense system for server platform

圖3 TPCM接口設(shè)計Fig.3 Interface design for TPCM

2.1 服務(wù)器主板物理接口實現(xiàn)

根據(jù)服務(wù)器主板及TPCM功能特點，本設(shè)計采用PCIE+TPCM connector 的設(shè)計方案實現(xiàn)物理通路連接(圖3).該方案的優(yōu)點有：

1) 設(shè)計方面.增加低速接口，高速通路采用原有通用PCIE插槽，實現(xiàn)高速與低速通道分離，互不干擾，兼容性好.

2) 使用方面.兩通道可根據(jù)設(shè)計要求，既可以單獨使用，又可以合并形成高低速配合使用.

3) 結(jié)構(gòu)方面.完全不改變原有主板PCIE物理結(jié)構(gòu)、接口信號定義、物理通道用途,使得服務(wù)器組件及結(jié)構(gòu)沒有發(fā)生任何變化.

4) 成本方面.高速通道利用原有服務(wù)器主板總線接口，低速通道則采用簡單的連接件實現(xiàn)，實現(xiàn)成本非常低廉.

5) 該物理接口設(shè)計能兼容TPM模塊[3-4]信號要求，使得該設(shè)計服務(wù)器既可以接插TPCM主動防御模塊，又可以替換成TPM模塊.

2.2 待機(jī)階段度量保護(hù)實現(xiàn)

當(dāng)計算機(jī)接通市電時，CPLD控制邏輯阻止待機(jī)電源為TPCM、閃存及高速開關(guān)以外的設(shè)備提供電能.通過可信根TPCM確認(rèn)啟動代碼可信性，然后宿主系統(tǒng)在TPCM的控制下上電開機(jī)[5].

無須獨立電源供電,服務(wù)器待機(jī)電源為TPCM提供電能上電，通過控制模塊主導(dǎo)計算機(jī)電源控制系統(tǒng)，度量確認(rèn)啟動代碼及關(guān)鍵數(shù)據(jù)的可信性和完整性[6].串行外設(shè)接口(serial peripheral interface, SPI)控制器配置成為主控設(shè)備，同時通過CPLD關(guān)斷閃存與計算CPU單元間的通路，TPCM作為唯一的主控設(shè)備對閃存中BIOS、BMC代碼數(shù)據(jù)進(jìn)行讀取.通過SM3、SHA256[7-8]硬件邏輯處理單元完成特征及代碼數(shù)據(jù)摘要提取.將特征及摘要與基準(zhǔn)值相比對，若安全可信，則向控制單元發(fā)送上電信號.這里代碼數(shù)據(jù)可根據(jù)用戶防護(hù)策略選擇為存儲在閃存中的關(guān)鍵代碼(如用于控制各硬件上電的代碼，涉及系統(tǒng)安全性的代碼或名單數(shù)據(jù)等).特征則包含閃存特征及服務(wù)配置信息、管理引擎(management engine, ME)代碼特征、網(wǎng)絡(luò)控制器代碼特征等.

2.3 啟動過程BIOS可信功能實現(xiàn)

當(dāng)啟動代碼特征及代碼數(shù)據(jù)確認(rèn)可信安全后，TPCM通過CPLD允許服務(wù)器計算單元上電，并同時打開啟動代碼閃存通路，服務(wù)器CPU作為主控設(shè)備獲取啟動代碼,進(jìn)行系統(tǒng)的初始化啟動過程.此時，TPCM SPI控制器保持總線的主動監(jiān)控能力.通過統(tǒng)一可擴(kuò)展固件接口(unified extensible firmware interface, UEFI) 架構(gòu)BIOS中植入的驅(qū)動及保護(hù)策略，在受控BIOS代碼的協(xié)同下對啟動環(huán)境進(jìn)行檢查確認(rèn)[9]，TPCM將整個服務(wù)器硬件系統(tǒng)及組件進(jìn)行掃描，確認(rèn)其計算主系統(tǒng)部件及執(zhí)行環(huán)境的可靠可信安全.

2.4 運行階段操作系統(tǒng)可信環(huán)境保護(hù)實現(xiàn)

可信操作加載后，在內(nèi)核中嵌入的可信安全防護(hù)內(nèi)核程序?qū)患せ钸\行.該內(nèi)核管理程序進(jìn)程將在防御系統(tǒng)TSB的策略要求下，通過TPCM的度量單元提供實時宿主系統(tǒng)計算執(zhí)行環(huán)境的相關(guān)信息. 防御系統(tǒng)將動態(tài)對相關(guān)信息進(jìn)行安全評估后，自主進(jìn)行系統(tǒng)控制.有任何超出預(yù)期的異常行為，TPCM將根據(jù)保護(hù)策略進(jìn)行上報，甚至切斷其物理接口或電源，實時保護(hù)系統(tǒng)的可信執(zhí)行環(huán)境.

3 測試

測試設(shè)備包括： Intel至強(qiáng)服務(wù)器、M2服務(wù)器硬盤、CentOS-7操作系統(tǒng)、TPCM主動防御可信模塊、鼠標(biāo)、鍵盤、顯示器等電腦外設(shè).

從服務(wù)器連接電源開始記錄整個防御過程.

第一次服務(wù)器啟動，管理者進(jìn)入管理軟件人機(jī)界面，獲取Admin權(quán)限，進(jìn)行防護(hù)范圍及防御策略配置并下發(fā)到TPCM，要求重新啟動服務(wù)器.

第二次服務(wù)器啟動，TPCM根據(jù)配置策略要求錄入可信服務(wù)器特征信息.在待機(jī)電源支持下，可信平臺控制模塊自檢通過后，主動讀取BIOS、BMC代碼及載體閃存的物理特征，進(jìn)行識別和可信認(rèn)證.檢驗通過后，控制計算機(jī)主板上電.服務(wù)器啟動過程中，TPCM錄入可信平臺的設(shè)備及操作系統(tǒng)加載代碼檢測信息，并保存于可信平臺控制模塊中.

第三次服務(wù)器啟動時，服務(wù)器已處在受TPCM保護(hù)狀態(tài).此后執(zhí)行的重復(fù)開機(jī)，服務(wù)器都在整機(jī)啟動環(huán)境、核心芯片、外圍設(shè)備、加載代碼及操作系統(tǒng)代碼受監(jiān)控的前提下工作.

接下來嘗試進(jìn)行模擬惡意替換設(shè)備或篡改設(shè)備固件測試.在服務(wù)器上電工作前，人為地替換相同型號的不同設(shè)備，如內(nèi)存、硬盤、外設(shè)組件高速互連標(biāo)準(zhǔn)(peripheral component interconnect express, PCIE)設(shè)備.另外，對操作系統(tǒng)加載代碼進(jìn)行植入木馬病毒.可信平臺控制模塊在計算機(jī)啟動過程中立刻捕捉到周邊設(shè)備及加載代碼的變化，阻止服務(wù)器啟動并及時關(guān)閉電源.服務(wù)器運行時，通過外接USB設(shè)備進(jìn)行實時惡意病毒攻擊實驗.步驟如下：利用配置管理軟件設(shè)定防護(hù)策略并向TPCM下發(fā)平臺動態(tài)防護(hù)指令.TPCM驗證指令的合法性后，激活動態(tài)防護(hù)模塊，使之處于監(jiān)控狀態(tài).此時，使用未經(jīng)授權(quán)USB設(shè)備入侵該服務(wù)器系統(tǒng)，企圖注入木馬病毒，獲取服務(wù)器數(shù)據(jù).動態(tài)防護(hù)模塊迅速發(fā)現(xiàn)異常，根據(jù)防護(hù)策略報告TSB和后臺系統(tǒng)，并及時斷開USB物理通道，完全物理隔離入侵設(shè)備與服務(wù)器的連接.

實驗還進(jìn)行了用戶識別和權(quán)限管理測試. 當(dāng)Admin為用戶建立賬戶并綁定可信環(huán)境時，用戶現(xiàn)場環(huán)境必須符合可信環(huán)境要求，否則系統(tǒng)將拒絕用戶的登錄或根據(jù)策略進(jìn)入非可信執(zhí)行環(huán)境并提示遠(yuǎn)程管理系統(tǒng).當(dāng)用戶信息確認(rèn)，TPCM將根據(jù)預(yù)設(shè)權(quán)限進(jìn)行配置管理，比如某用戶只能使用計算機(jī)系統(tǒng)，不能進(jìn)行對外端口操作，甚至通過TSB配合限定網(wǎng)絡(luò)訪問范圍等.

以上測試防護(hù)效果明顯并且不影響服務(wù)器原有功能執(zhí)行.需要說明的是，此類防護(hù)管控完全由TPCM芯片自主獨立的物理單元完成，與服務(wù)器計算單元沒有直接關(guān)系.TPCM防御系統(tǒng)獨立于計算單元，根據(jù)測試預(yù)設(shè)的防護(hù)強(qiáng)度所要求執(zhí)行的防御對計算單元性能的影響非常小，基本上可以忽略.

4 結(jié)果分析

基于主動防御TPCM設(shè)計的可信服務(wù)器模型測出的結(jié)果與TPM可信模塊進(jìn)行功能和防御效果分析見表1和表2.TPM是現(xiàn)今使用最為廣泛的可信模塊，由國際可信計算組織 (trusted computing group, TCG)制定標(biāo)準(zhǔn)[3-4]，在可信計算領(lǐng)域具有代表性.

表1 TPCM與TPM功能比較Tab.1 Functional comparison between TPCM and TPM

表2 TPCM與TPM防御效果比較Tab.2 Comparison of defense effectiveness between TPCM and TPM

通過以上測試實驗，不難得出以下結(jié)論：

1) TPCM不是計算系統(tǒng)的附屬部件，它對平臺的防護(hù)建立在雙體系架構(gòu)之上，與計算部件并行的可信安全模塊具有完整的軟硬件組成，包括軟件系統(tǒng)、處理器和總線接口.TPCM有完全獨立自主的防控能力，對平臺系統(tǒng)能實現(xiàn)主動度量、主動控制及可信管理，是計算機(jī)運行全過程中的系統(tǒng)信任基礎(chǔ).

2) TPCM在計算機(jī)的待機(jī)階段，主動對啟動代碼及環(huán)境進(jìn)行度量確認(rèn)；在計算機(jī)的啟動過程中，主動對計算機(jī)計算單元、所有外設(shè)設(shè)備及操作系統(tǒng)內(nèi)核代碼發(fā)起驗證；在軟件運行階段，TPCM在已有可信執(zhí)行環(huán)境基礎(chǔ)上，動態(tài)對其可信環(huán)境進(jìn)行維護(hù)，直至系統(tǒng)關(guān)閉電源.以上度量檢測如果不通過，則TPCM自主實時地干預(yù)計算機(jī)啟動流程，甚至剝奪計算機(jī)控制權(quán).

5 結(jié)語

計算機(jī)在設(shè)計初期沒有考慮到當(dāng)今計算機(jī)網(wǎng)絡(luò)及計算機(jī)智能化發(fā)展，也沒有考慮到安全防護(hù)問題.后來雖然出現(xiàn)了一些修補(bǔ)增強(qiáng)措施，比如TrustZone、TPM等技術(shù)，但始終無法擺脫早期計算機(jī)架構(gòu)的束縛.中國專家提出的雙體系架構(gòu)[10]，即防御+計算并行體系，是從架構(gòu)上改變現(xiàn)有計算機(jī)模型，使得計算機(jī)具有自主免疫能力.通過主動防御技術(shù)保護(hù)計算機(jī)自身基礎(chǔ)平臺，進(jìn)而為架構(gòu)安全可靠的網(wǎng)絡(luò)空間提供可信任、可依賴的平臺節(jié)點.TPCM可信根芯片是雙系統(tǒng)中防御系統(tǒng)的基礎(chǔ)支撐芯片，是計算機(jī)平臺的信任根源，是網(wǎng)絡(luò)交互的身份識別依據(jù)，必須保證其安全性及節(jié)點系統(tǒng)唯一性，而且其技術(shù)及標(biāo)準(zhǔn)必須自主掌握.

最后需要指出的是，可信平臺控制模塊主動防御可信技術(shù)是完全自主創(chuàng)新、安全可信的底層基礎(chǔ)防護(hù)技術(shù).設(shè)計和實現(xiàn)需要不斷地在實踐中優(yōu)化改進(jìn)，最終形成穩(wěn)定完善的安全可信解決方案.