一種高性能可信平臺(tái)控制模塊的設(shè)計(jì)和實(shí)現(xiàn)*

郝 嘉，咸 凜

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

可信平臺(tái)控制模塊（Trusted Platform Control Module，TPCM）的前身可信平臺(tái)模塊（Trusted Platform Module，TPM）是一種基于可信計(jì)算技術(shù)的硬件設(shè)備[1]。模塊與宿主機(jī)相連，用于驗(yàn)證用戶、硬件、系統(tǒng)的身份信息，并處理宿主機(jī)可信計(jì)算相關(guān)的業(yè)務(wù)請(qǐng)求。

可信計(jì)算聯(lián)盟（Trusted Computing Group，TCG）提出的可信平臺(tái)模型的可信度量根是可信啟動(dòng)代碼，可信模塊受宿主機(jī)支配，屬于被動(dòng)度量。模塊無(wú)法保證宿主機(jī)啟動(dòng)代碼和處理器啟動(dòng)時(shí)的可信狀態(tài)。如果啟動(dòng)代碼遭到篡改，可以使宿主機(jī)繞過(guò)可信平臺(tái)模塊運(yùn)行而不受控制，可信功能完全失效。現(xiàn)在以BIOS（Basic Input Output System，基本輸入輸出系統(tǒng)）、UEFI（Unified Extensible Firmware Interface，統(tǒng)一可擴(kuò)展固件接口）等啟動(dòng)代碼為目標(biāo)的攻擊越來(lái)越多，TPM不足以應(yīng)對(duì)這類威脅。

我國(guó)在可信計(jì)算技術(shù)領(lǐng)域上居于世界先進(jìn)水平，提出了將可信模塊作為可信根的主動(dòng)度量技術(shù)。模塊在開機(jī)后中斷主機(jī)的啟動(dòng)操作，度量認(rèn)證啟動(dòng)代碼，認(rèn)證通過(guò)后解除控制，主機(jī)正常啟動(dòng)。近年來(lái)出現(xiàn)了很多關(guān)于TPCM實(shí)現(xiàn)啟動(dòng)代碼度量技術(shù)的研究成果。這些方法實(shí)現(xiàn)了計(jì)算機(jī)啟動(dòng)控制和啟動(dòng)代碼度量認(rèn)證，為可信應(yīng)用提供了更好的支撐。

目前主要有兩種啟動(dòng)代碼度量的方式：一種思路是控制電源電路，先度量啟動(dòng)代碼，然后讓主板上電；另一種思路是控制CPU的復(fù)位信號(hào)暫緩CPU的啟動(dòng)，在啟動(dòng)代碼度量通過(guò)后讓CPU讀取啟動(dòng)代碼。兩種主動(dòng)度量實(shí)現(xiàn)方式都不可避免地需要在主板上集成控制電路和啟動(dòng)代碼，必須修改主板硬件。前者需要修改主機(jī)的電源電路和主板兩部分硬件，還需要加裝電源控制模塊。后者需要在主板上實(shí)現(xiàn)控制電路，工作量也比較大。

本文基于上述第二種思路，提出一種優(yōu)化方案，將可信BIOS放置在TPCM內(nèi)部，TPCM在上電自檢時(shí)對(duì)BIOS的度量認(rèn)證，之后使能CPU完成BIOS的啟動(dòng)。通過(guò)這種方式可進(jìn)一步減少主板的改動(dòng)，增強(qiáng)平臺(tái)的安全性。同時(shí)由于采用了PCIe接口作為業(yè)務(wù)接口，密碼服務(wù)速率高，可以承擔(dān)更多應(yīng)用。

1 可信平臺(tái)控制模塊

1.1 技術(shù)背景和發(fā)展

隨著社會(huì)生活日益信息化網(wǎng)絡(luò)化，對(duì)計(jì)算機(jī)的攻擊日益增加。例如WANNACRY勒索病毒，僅一次攻擊就涉及150個(gè)國(guó)家的上百萬(wàn)臺(tái)計(jì)算機(jī)，造成多個(gè)國(guó)家政府部門和大企業(yè)信息系統(tǒng)癱瘓，影響了社會(huì)運(yùn)轉(zhuǎn)并導(dǎo)致了巨大經(jīng)濟(jì)損失。而傳統(tǒng)的安全防護(hù)措施（殺毒軟件、防火墻、入侵檢測(cè)等）過(guò)于被動(dòng)，只能根據(jù)既定策略對(duì)網(wǎng)絡(luò)攻擊進(jìn)行探測(cè)和阻斷，導(dǎo)致在新型攻擊發(fā)生時(shí)，無(wú)法及時(shí)研制新對(duì)策并部署實(shí)施，攻擊被中止或結(jié)束時(shí)，已產(chǎn)生較大損害[2-3]。可信計(jì)算技術(shù)作為一種采用主動(dòng)防御機(jī)制可較好的解決以上問(wèn)題。通過(guò)在計(jì)算機(jī)內(nèi)安裝專用硬件可信模塊，并注入確認(rèn)安全的軟硬件預(yù)期值信息，在開機(jī)后使用度量認(rèn)證方式對(duì)軟硬件進(jìn)行檢測(cè)，與模塊內(nèi)置預(yù)期狀態(tài)相同時(shí)判斷為可信，可以加載運(yùn)行，所有與預(yù)期狀態(tài)不同的均不能運(yùn)行，從而及時(shí)有效地防止了病毒、木馬、篡改軟件等非法攻擊，保證計(jì)算機(jī)運(yùn)行于可信狀態(tài)。

國(guó)際上的可信計(jì)算聯(lián)盟在1999年提出了可信平臺(tái)模塊（TPM）的概念，并制定大量標(biāo)準(zhǔn)規(guī)范，TPM實(shí)現(xiàn)了計(jì)算機(jī)本機(jī)可信的主要功能，標(biāo)志著可信計(jì)算技術(shù)進(jìn)入產(chǎn)業(yè)化階段，但仍存在著兩個(gè)較大問(wèn)題：（1）模塊加密采用非對(duì)稱加密，速率較低；（2）可信BIOS作為度量可信根，可信模塊處于被動(dòng)地位，安全性較低。我國(guó)在可信技術(shù)研究領(lǐng)域位于國(guó)際領(lǐng)先水平。我國(guó)成立的中關(guān)村可信產(chǎn)業(yè)聯(lián)盟提出了可信平臺(tái)控制模塊（TPCM）及其相關(guān)標(biāo)準(zhǔn)。TPCM大量采用對(duì)稱加密方式完成業(yè)務(wù)，提升了業(yè)務(wù)工作效率，模塊采用主動(dòng)度量技術(shù)，模塊作為度量信任根，在主機(jī)啟動(dòng)時(shí)先度量BIOS，提升了可信體系的可靠性。近年來(lái)，我國(guó)推出了大量基于國(guó)產(chǎn)密碼體制的可信計(jì)算芯片，有效地支持了可行計(jì)算產(chǎn)業(yè)的研究和發(fā)展[3]。

1.2 TPCM和主動(dòng)度量

根據(jù)2016年中關(guān)村可信產(chǎn)業(yè)聯(lián)盟發(fā)布的相關(guān)標(biāo)準(zhǔn)[4]，TPCM的工作流程如圖1所示。

圖1 TPCM工作流程

計(jì)算機(jī)順利啟動(dòng)的流程步驟如下：

（1）電源啟動(dòng)后，TPCM上電，阻止啟動(dòng)代碼加載。

（2）TPCM執(zhí)行狀態(tài)自檢。

（3）自檢通過(guò)后，TPCM對(duì)啟動(dòng)代碼進(jìn)行度量。

（4）如果啟動(dòng)代碼度量結(jié)果正確，TPCM結(jié)束控制，啟動(dòng)代碼加載執(zhí)行。

（5）啟動(dòng)代碼根據(jù)用戶預(yù)設(shè)策略調(diào)用TPCM對(duì)計(jì)算機(jī)硬件信息進(jìn)行度量認(rèn)證。

（6）計(jì)算機(jī)硬件可信，則先后度量操作系統(tǒng)加載代碼和內(nèi)核代碼。

（7）度量認(rèn)證通過(guò)后計(jì)算機(jī)加載操作系統(tǒng)，計(jì)算機(jī)工作于可信狀態(tài)下，計(jì)算機(jī)系統(tǒng)和軟件可以繼續(xù)使用TPCM進(jìn)行用戶身份認(rèn)證、軟硬件認(rèn)證和數(shù)據(jù)加密等密碼應(yīng)用。

一旦上述自檢或度量認(rèn)證過(guò)程中出現(xiàn)失敗，TPCM控制計(jì)算機(jī)進(jìn)入異常處理流程，根據(jù)預(yù)制策略，計(jì)算機(jī)可能關(guān)機(jī)、重啟或掛起，或在策略允許的情況下讓步運(yùn)行于非可信狀態(tài)。目前TPCM的實(shí)現(xiàn)主要是采用專用可信嵌入式芯片作為核心實(shí)現(xiàn)可信認(rèn)證流程和密碼服務(wù)。主要的區(qū)別是如何實(shí)現(xiàn)TPCM對(duì)計(jì)算機(jī)啟動(dòng)流程的控制，尤其是如何控制啟動(dòng)代碼加載。目前主流的啟動(dòng)代碼控制機(jī)制有電源控制法和處理器控制法兩種。

（1）電源控制法

在計(jì)算機(jī)內(nèi)增加由TPCM控制的主板電源控制電路和啟動(dòng)代碼讀取電路。TPCM在上電后控制通過(guò)主板電源控制電路控制計(jì)算機(jī)電源暫緩對(duì)主板上電，通過(guò)啟動(dòng)代碼讀出電路對(duì)主板上的BIOS芯片上電并度量其內(nèi)部代碼。度量通過(guò)后，解除電源控制，使主板上電，BIOS正常啟動(dòng)[4]。其系統(tǒng)框圖如圖2所示。

圖2 通過(guò)電源控制實(shí)現(xiàn)可信啟動(dòng)

（2）處理器控制法

在計(jì)算機(jī)主板上增加由TPCM主導(dǎo)的啟動(dòng)控制電路，主要實(shí)現(xiàn)對(duì)處理器的復(fù)位控制和BIOS總線開關(guān)兩項(xiàng)功能。TPCM同主板一同上電，立即控制CPU的復(fù)位信號(hào)阻止其讀取BIOS。之后TPCM先讀取并度量BIOS，完成認(rèn)證后再使處理器讀取啟動(dòng)代碼，并正常啟動(dòng)[5]。其系統(tǒng)框圖如圖3所示。

圖3 通過(guò)控制處理器實(shí)現(xiàn)可信啟動(dòng)

以上兩種方法均不可避免地涉及計(jì)算機(jī)電路改動(dòng)。尤其是電源控制法，增加電源控制電路的同時(shí)還需要修改主板的BIOS芯片電路，否則TPCM無(wú)法讀取BIOS，處理器控制法則需要在主板上增加了一個(gè)邏輯開關(guān)電路，改造工作量也比較大。這兩種改造方法增加了TPCM的適配難度，影響了可信計(jì)算技術(shù)的普及速度。這兩種模式下BIOS都位于主板的存儲(chǔ)芯片上，容易被讀出，同時(shí)計(jì)算機(jī)啟動(dòng)時(shí)，TPCM還需要先讀取BIOS，度量后再啟動(dòng)計(jì)算機(jī)，也延長(zhǎng)了開機(jī)時(shí)間。

2 模塊設(shè)計(jì)

2.1 需求分析

目前國(guó)內(nèi)實(shí)現(xiàn)的一些可信模塊普遍存在適配工作量大，安全性不高，啟動(dòng)時(shí)間過(guò)長(zhǎng)的問(wèn)題。同時(shí)因?yàn)樾酒夹g(shù)的制約，早期的可信芯片性能較低，運(yùn)算處理慢，進(jìn)一步地延長(zhǎng)了度量認(rèn)證和數(shù)據(jù)加密等具體功能的時(shí)間，無(wú)法應(yīng)用于數(shù)據(jù)量較高的環(huán)境，影響了可信計(jì)算技術(shù)的拓展，限制了整個(gè)產(chǎn)業(yè)的發(fā)展。為解決以上問(wèn)題，我們需要設(shè)計(jì)一種適配簡(jiǎn)單，性能強(qiáng)大的TPCM。

隨著最近幾年我國(guó)廠商推出一批高性能可信安全芯片，采用高集成度設(shè)計(jì)，大幅減少了對(duì)外圍電路芯片的需求，同時(shí)采用PCIe等高速接口作為業(yè)務(wù)處理接口，密碼處理能力有了很大提高。使得設(shè)計(jì)和實(shí)現(xiàn)性能強(qiáng)大的TPCM有了技術(shù)基礎(chǔ)。采用高性能TCM芯片研制的模塊安裝在視頻處理和網(wǎng)絡(luò)設(shè)備上，不僅可以實(shí)現(xiàn)對(duì)設(shè)備本身的可信保護(hù)，還可以利用模塊的高性能加密能力對(duì)其業(yè)務(wù)數(shù)據(jù)實(shí)現(xiàn)加密保護(hù)。但如何減少硬件適配工作量仍需要重點(diǎn)研究。

2.2 架構(gòu)設(shè)計(jì)

結(jié)合需求分析，本文以國(guó)產(chǎn)高性能可信芯片為核心設(shè)計(jì)并實(shí)現(xiàn)了一款PCIe可信平臺(tái)控制模塊（下文簡(jiǎn)稱一體化TPCM）。該設(shè)計(jì)是通過(guò)將可信BIOS放置于TPCM內(nèi)部，在完成對(duì)BIOS的可信度量的同時(shí)減少BIOS度量的處理時(shí)間。利用PCIe總線接口的預(yù)制保留管腳引入CPU[6]。

PCIe模塊的總體架構(gòu)如圖4所示。

圖4 一體化TPCM架構(gòu)

模塊以國(guó)產(chǎn)TCM芯片為核心，搭配少量電源芯片、晶體和接口連接器等外圍電路構(gòu)成模塊硬件，為簡(jiǎn)單起見，圖中省略了與本文工作關(guān)系不大的電路。TCM芯片內(nèi)置算法資源、控制單元、物理接口以及存儲(chǔ)空間。存儲(chǔ)空間內(nèi)置嵌入式軟件（固件）和可信BIOS。

采用該架構(gòu)設(shè)計(jì)的一體化TPCM與傳統(tǒng)的通過(guò)復(fù)位控制啟動(dòng)的模塊相比主要區(qū)別是將可信BIOS存儲(chǔ)于TPCM模塊中，這樣設(shè)計(jì)主要有以下三個(gè)優(yōu)點(diǎn)：

（1）可信BIOS存儲(chǔ)于TPCM模塊的TCM芯片中，受芯片安全機(jī)制保護(hù)，抵御外界攻擊的能力更高，提升平臺(tái)的安全性。

（2）模塊在上電自檢時(shí)即可對(duì)BIOS進(jìn)行度量認(rèn)證，省去了原來(lái)從主板上讀取BIOS的步驟，減少了啟動(dòng)時(shí)間。

（3）BIOS的啟動(dòng)控制機(jī)制可以在模塊內(nèi)實(shí)現(xiàn)，不需要在主板上實(shí)現(xiàn)開關(guān)電路。僅需從主板引出BIOS總線信號(hào)和CPU的復(fù)位信號(hào)到模塊上。

2.3 平臺(tái)度量流程

計(jì)算機(jī)安裝一體化TPCM（這里默認(rèn)模塊已寫入可信BIOS和預(yù)期值）后啟動(dòng)電源，平臺(tái)的度量流程如下：

（1）TPCM上電自檢，關(guān)閉模塊SPI接口，拉起CPU復(fù)位信號(hào)。

（2）自檢完成后TPCM度量BIOS。

（3）BIOS通過(guò)度量確認(rèn)可信后，TPCM配置SPI接口為從模式，取消對(duì)CPU的復(fù)位，CPU加載BIOS并啟動(dòng)。

（4）根據(jù)BIOS的策略依次度量硬件信息、操作系統(tǒng)加載代碼和內(nèi)核代碼，信任鏈延伸到操作系統(tǒng)啟動(dòng)階段。

（5）進(jìn)入操作系統(tǒng)后，TPCM對(duì)用戶行為和軟硬件安裝、運(yùn)行繼續(xù)進(jìn)行監(jiān)控。

3 模塊測(cè)試

3.1 可信度量功能測(cè)試

一體化TPCM在X86、龍芯、飛騰等平臺(tái)均進(jìn)行了試用。使用篡改BIOS，更換內(nèi)存及硬盤，安裝未經(jīng)認(rèn)證的USB存儲(chǔ)設(shè)備等惡意操作驗(yàn)證TPCM模塊和平臺(tái)的可信認(rèn)證功能。

首先完成TPCM的初始化，將正確的預(yù)期值信息和可信BIOS寫入TPCM中，在計(jì)算機(jī)上安裝TPCM驅(qū)動(dòng)和上層軟件。正常啟動(dòng)計(jì)算機(jī)，保證計(jì)算機(jī)的狀態(tài)不變，計(jì)算機(jī)順利通過(guò)各項(xiàng)度量認(rèn)證，順利進(jìn)入操作系統(tǒng)。以此驗(yàn)證了可信平臺(tái)可正常啟動(dòng)。

之后進(jìn)行攻擊測(cè)試，在計(jì)算機(jī)啟動(dòng)前分別進(jìn)行以下惡意操作：對(duì)TPCM導(dǎo)入普通BIOS（不修改預(yù)期值）；更換計(jì)算機(jī)上的硬件，改裝同型號(hào)，不同物理編號(hào)的內(nèi)存條、硬盤和U盤；修改操作系統(tǒng)加載代碼等。之后啟動(dòng)計(jì)算機(jī)，計(jì)算機(jī)均不能正常啟動(dòng)。其具體現(xiàn)象如表1所示。

表1 惡意操作及平臺(tái)反應(yīng)

通過(guò)對(duì)類平臺(tái)的多種處理器平臺(tái)的試驗(yàn)，驗(yàn)證了TPCM模塊對(duì)各類惡意操作做出反制，對(duì)平臺(tái)實(shí)現(xiàn)了保護(hù)功能。

3.2 開機(jī)時(shí)間測(cè)試

采用相同處理器平臺(tái)、硬件設(shè)備配置和操作系統(tǒng)的計(jì)算機(jī)，分別在使用被動(dòng)度量機(jī)制啟動(dòng)、使用TPCM控制啟動(dòng)，使用一體化TPCM啟動(dòng)的情況下測(cè)試其進(jìn)入操作系統(tǒng)登錄界面的時(shí)間。通過(guò)在多類平臺(tái)的多次測(cè)試證明使用傳統(tǒng)TPCM明顯慢于被動(dòng)度量機(jī)制啟動(dòng)，采用一體化TPCM與使用被動(dòng)度量相近。

3.3 密碼服務(wù)性能測(cè)試

在應(yīng)用層分別測(cè)試了TPCM的對(duì)稱加密、雜湊、簽名等密碼算法的速率，獲得了理想數(shù)據(jù)。一體化TPCM的密碼算法性能較好地利用了PCIe接口的帶寬。具備較高的密碼服務(wù)能力。

4 結(jié) 語(yǔ)

采用本方案實(shí)現(xiàn)的一體化PCIe可信平臺(tái)控制模塊，已通過(guò)技術(shù)驗(yàn)證并投入使用，可安裝于臺(tái)式計(jì)算機(jī)等具備PCIe總線接口的設(shè)備上。在實(shí)踐中還進(jìn)行了小型化，研制了一款Mini PCIe可信平臺(tái)控制模塊，用于筆記本、工控機(jī)等安裝空間更小的平臺(tái)。在未來(lái)的研究中，計(jì)劃進(jìn)一步簡(jiǎn)化主板改造工作，提升可信模塊的泛用性。