CN101122937A

CN101122937A - 由星型信任链支持的嵌入式平台安全引导机制

Info

Publication number: CN101122937A
Application number: CN 200710053331
Authority: CN
Inventors: 张焕国; 赵波; 郑鹏; 常彬; 俞婷; 战东元
Original assignee: Wuhan University WHU
Current assignee: Wuhan University WHU
Priority date: 2007-09-21
Filing date: 2007-09-21
Publication date: 2008-02-13
Anticipated expiration: 2027-09-21
Also published as: CN100504901C

Abstract

本发明公开了由星型信任链支持的嵌入式平台安全引导机制，设有独立硬件TPM，作为整个嵌入式平台的可信根和控制器，嵌入式平台作为从机，TPM使用硬连线控制嵌入式平台的运行；TPM内部采用物理方式集成有可信计算根、可信存储根和可信报告根，对其自身以及连接电路有良好的物理保护；嵌入式平台启动之前，TPM利用星型信任链对Bootloader、操作系统分别进行完整性测量，并将该次完整性测量结果的报告与TPM中预先存储的完整性测量报告比较后，以决定其是否可执行。本发明主要的优点是：TPM在嵌入式平台启动之前即开始工作，并始终处于主控地位；信任关系不在信任代理间传递，这样可以避免导致的信任强度减弱。

Description

由星型信任链支持的嵌入式平台安全引导机制

技术领域

本发明涉及一种遵循可信计算组织(Trusted Computing Group，TCG)[1]规范的星型信任链检测、用于嵌入式平台安全引导的机制。

背景技术

在计算机运行环境中，“信任”是一个复杂的概念，所有操作的进行过程和最终结果同合法操作者所预期的是一致的时候，则可以认为这个环境是可信的。在ISO/IEC 15408标准中，有如下定义：一个可信的组件、操作或过程的行为在任意操作条件下，其流程和结果总是可预测的，并能很好地抵御应用程序异常、病毒，以及一定程度上的物理干扰造成的破坏。

TCG致力于软件安全性和具有安全、信任能力的硬件运算平台，旨在从跨平台和操作系统的硬件组件和软件接口方面，促进与厂商独立的可信计算平台工作标准的制定。到目前为止，TCG制定的规范涉及个人电脑、网络、移动设备、软件栈等多个方面，最新的版本为Version1.2。

TCG规范要求一个可信平台至少要包含以下组件：1.至少一个完整性测量的可信计算根(Root of Trust for Measurement，RTM)；2.刚好一个完整性存储和报告可信根；3.至少一个可信平台度量存储；4.至少一个TCG确认数据；5.刚好一个可信平台代理。

可信计算根包含一个核心组件，核心和计算引擎以及其他对象是物理链接。可信根必须能提供对自身以及连接电路的物理保护，并能作为一个平台系统的可信权威，提供身份认证保护、重要数据加密和访问控制服务。

从可信计算根开始，所有测量过程中的信任都是可预料的，对于处于不适当环境中的平台，将否决其存取数据和运行程序的权利。可信计算根包含很多组件来提供这种水平的信任。

可信计算根测量某些平台特性，将测量数据记录入测量存储日记，并将最终的结果存入TPM(Trust Platform Module，可信平台模块，包含有可信计算根、可信存储根和可信报告根三类可信根)。

如果要进行信任传递，可信计算根在将平台控制权传递给第二个测量代理前，度量第二个代理的特征。当检测通过后，将该代理纳入可信边界，允许把平台控制权传递给该代理。第二个测量代理可能重复这一步骤：度量下一级代理的特征，存储测量数据和最终结果，并将控制权传递给该测量代理。以此类推。

TPM每一次测量的结果被保存在16个(或更多，允许根据需要扩展)PCR(PlatformConfiguration Register，平台配置寄存器)中。PCR是用于存储离散的完整性度量的160位的存储空间，所有的PCR寄存器都在TPM内一个受保护的位置。

平台上有许多完整性测量值，PCR被设计成在寄存器中保存无约束大小的度量，它通过使用密码hash把所有的更新散列到PCR中完成以上要求：

PCR[i]新值＝HASH(PCR[i]旧值添加值)

以此可以保证①排序：对PCR的更新是不可交换的。例如，测量A-＞B和测量B-＞A结果是不一样的；②单向性：通过给定的PCR值推测输入信息值计算上是不可能的。

现有PC机的安全引导方式有两种：①BIOS或操作系统启动之后，以纯软件方式进行安全度量；②将可信部件集成到主板上，作为外部设备的一种使用。这两种方式都没有使用独立硬件、以TPM为主控制部件来实现可信机制。又由于PC机操作系统有着频繁的修改和升级，增大了PC机安全存储体系和完整性可信度量的难度，这一点与嵌入式平台操作系统较为稳定的特性也有所不同。因此对于嵌入式平台，有必要研制不同于PC机的、新型安全引导机制。

发明内容

本发明所要解决的技术问题是：开发一种符合TCG规范，同时又适合嵌入式平台特性的由星型信任链结构支持的嵌入式平台安全引导机制。可信根为整个系统(包括控制平台TPM和工作平台嵌入式平台)唯一可信实体，它与其他部件之间的信任关系呈星型结构，简化了启动过程中的信任层次关系，有效避免了信任传递造成的信任衰减，整个系统有更好的信任强度。

本发明解决其技术问题所采用的技术方案是：设有独立硬件TPM，作为整个嵌入式平台的可信测量和控制器，嵌入式平台作为从机，TPM使用硬连线控制嵌入式平台的运行；TPM内部采用物理方式集成有可信计算根与可信存储和可信报告根，对其自身以及连接电路有良好的物理保护；嵌入式平台启动之前，TPM利用可信计算组织规范的星型信任链对Bootloader(嵌入式平台启动引导程序)、OS(操作系统)分别进行完整性测量，并将该次完整性测量结果的报告与TPM中预先存储的完整性测量报告比较后，决定是否允许其代码在嵌入式平台上执行。

本发明与现有技术相比具有以下的主要优点：

本发明针对嵌入式平台系统内核不会频繁改动的特点，使用硬件TPM，采用星型信任链结构。其优点是：1.独立的硬件TPM在嵌入式平台启动之前即开始工作，并始终处于主控地位；2.信任关系不在信任代理间传递，使信任链大大缩短，这样可以避免：在可信平台的信任链传递过程中，若使用链式结构，在各层可信代理之间，层层传递信任关系，会由于对平台系统的多层控制权转移，导致的信任强度减弱。

如果能解决PC机上操作系统频繁修改的问题，这种星型信任结构也可用于可信PC机(有TPM支持的PC机)。由于信任层次的简化，相对与嵌入式系统而言，星型信任结构不仅解决了信任强度衰减的问题，还可以提高可信PC的机工作性能。

附图说明

图1为链式信任链示意图。

图2为简单星型信任链示意图。

图3为本发明带TPM的星型信任链示意图，图中：实线表示本发明解决的信任链关系；虚线表示本发明没有解决的、涉及各种应用程序的信任链关系。

具体实施方式

本发明公开了一种由星型信任链支持的嵌入式平台安全引导机制，设有独立硬件TPM，作为整个嵌入式平台的可信测量和控制器，嵌入式平台作为从机，TPM使用硬连线控制嵌入式平台的运行；TPM内部采用物理方式集成有可信计算根与可信存储和可信报告根，对其自身以及连接电路有良好的物理保护；嵌入式平台启动之前，TPM利用可信计算组织规范的星型信任链对Bootloader、OS分别进行完整性测量，并将该次完整性测量结果的报告与TPM中预先存储的完整性测量报告比较后，决定APP是否执行。

与TPM中预先存储的完整性测量报告比较后，若两次值相同，则Bootloader或OS通过了可信根的完整性校验，可认为其是可信的，校验通过，TPM允许APP执行，即允许嵌入式平台的运行；若不相同，则认为Bootloader或OS的完整性受到了破坏，校验失败，TPM不允许APP执行，即禁止嵌入式平台的运行。

TPM禁止嵌入式平台运行的过程是：

1)TPM启动并嵌入式平台上电之后，TPM将读取存储在嵌入式平台存储器中的Bootloader和OS数据，此时嵌入式平台CPU处于空转状态；

2)TPM首先检测Bootloader部分的程序，如果通过完整性验证，则会继续检测OS部分；如果Bootloader没有通过验证，则TPM将禁止嵌入式平台的运行，并以某种方式提示使用者；仅当程序通过可信计算根的完整性测量时，才允许该程序被执行。

3)如果对OS部分的完整性验证也通过了，则认为当前的运行环境可信，TPM允许Bootloader、OS按照启动顺序相续在嵌入式平台上运行。

嵌入式平台在Bootloader和OS都通过TPM的完整性测量之后，再启动；因此，TPM对于Bootloader和OS的测量顺序不会影响嵌入式平台的可信度。TPM工作后，其工作日志存放在非可信存储空间中。

可信存储在物理上与嵌入式系统平台足隔离的。可信计算根与包括启动引导程序、操作系统在内的各部件之间的信任关系呈星型结构，由可信计算根直接测量各个部件。可信计算根不传递信任关系，因此没有次级测量代理产生，也不会产生信任传递损失。

下面会结合实施例子及附图对本发明作进一步说明，但不限定本发明。

本发明遵循可信计算理论的星型信任链检测、用于嵌入式平台安全引导的机制，其包括以下内容：

(1)可信计算根与可信存储和可信报告根在物理上集成于可信平台模块(TPM)内部；

(2)系统对于可信根的信任是无条件的；

(3)TPM作为整个嵌入式平台的可信测量和控制器，嵌入式平台作为从机，TPM使用硬连线控制嵌入式平台的运行与否；

(4)可信存储在物理上与嵌入式系统平台是隔离的；

(5)可信根与各部件(启动引导程序、操作系统等)之间的信任关系呈星型结构，可信根直接测量各个部件；

(6)可信根不传递信任关系，因此没有次级测量代理产生，也不会产生信任传递损失；

(7)合法用户通过身份验证之后，可信根将对要执行的程序进行检测，仅当程序通过可信根的完整性测量时，才允许该程序被执行。

1.信任链理论的论证

基于Dempster-Shafer原理[4]的计算信任值的两条原则：

①.信任衰减原则

如果实体A对实体B的信任值为T(A，B)，节点B对节点C的信任值为T(B，C)，由传递性可以推断出A和C之间的信任关系T_B(A，B)＝T(A，B)T(B，C)。

这里T_B(A，B)＜＝min(T(A，B)，T(B，C))。

②.信任聚合原则

节点A到节点D存在两条独立的路径，这两条路径分别给出它们的信任值T_B(A，B)和T_C(A，D)，由此可以判断出A和D之间的信任关系T(A，D)＝T_B(A，C)θ T_C(A，D)。

这里T(A，D)＞＝max(T_B(A，D)，T_C(A，D))。

不涉及Dempster-Shafer原理中专家权威因子，以上两条原则的使用不会导致悖论。

因此依照以上两条原则递推：

由链式结构，信任链经过节点：A-＞B-＞C-＞D...-＞L-＞M-＞N，则信任值有T(A，C)＝min(T(A，B)，T(B，C))，T(B，D)＝min(T(B，C)，T(C，D))，...，其最终信任值T1不会大于min(T(A，B)，T(B，C)，...，T(L，M)，T(M，N))，可参看附图1；并且，从节点A到节点N的路径上任何一个信任关系的破坏，都会完全破坏整个信任链。

如果依照星型信任链结构，节点A与节点N之间有多条直接路径：T₁(A，N)，T₂(A，N)，T₃(A，N)，...，T_n(A，N)；则最终信任值T2不会小于max(T₁(A，N)，T₂(A，N)，T₃(A，N)，...，T_n(A，N))，即总有T2＞＝T1(T2在最坏情况下等于T1在最好情况下的值)，可参看附图2；而且星型信任关系链较之前者健壮。

以此，由链式信任链和星型信任链信任的比较可以看出，星型信任结构优于链式信任结构。

2.实施方案

这里假设使用者已经通过了用户身份验证，并获得了平台的合法使用权。

完整性测量可信根对于不同平台存在差异，因为可信测度和测量方法的具体实现依赖于平台的种类，最终的实现程度与应用的要求也相关，所以这里过多不考虑平台细节。

本模型为四层，分别是TPM、平台引导程序(Bootloader)、操作系统(OS)和应用程序(APP)，其中可信计算根集成在TPM之中，对其自身以及连接电路有良好的物理保护。相关结构可参看附图3。下面的描述中，直接称作使用TPM进行可信测量。

要说明的是，对于很多计算机系统来说，特别是嵌入式系统，一些重要的可执行文件，如引导程序、操作系统，都不是存储在物理上的只读存储器(ROM)，而是用FLASH代替ROM，然后在体系结构和策略上实现只读(或控制存储)。因此，对这些程序进行完整性校验是必要的，也是必须的。

考虑到以下现实：①Bootloader和OS在保证系统安全方面的重要性；②与PC机不同，嵌入式系统的Bootloader和OS不需要时常修改；③应用程序的类型和行为多样、相关数据变化频繁，难以建立一个统一的模型。根据实现的可行性和效率问题，可以合理的认为，TPM只需要对Bootloader和OS做完整性测量，而不需要对应用程序进行相同的度量。相应的强制策略是，应用程序不能修改OS的内容，并且应用程序有独立的存储空间。

工作平台启动之前，TPM要对Bootloader、OS分别进行完整性测量，并将该次完整性测量结果的报告与TPM中预先存储的完整性测量报告相比较。若两次值相同，则Bootloader(或OS)通过了可信根的完整性校验，可认为其是可信的，校验通过；若不相同，则认为Bootloader(或OS)的完整性受到了破坏，校验失败。

3.具体实施流程

TPM只允许通过检测的工作平台启动。对于检测失败的工作平台，TPM将禁止工作平台的运行。具体过程如下：

1)TPM启动并工作平台上电之后，TPM将读取存储在工作平台存储器中的Bootloader和OS数据，此时工作平台CPU处于空转状态；

2)TPM首先检测Bootloader部分的程序，如果通过完整性验证，则会继续检测OS部分；如果Bootloader没有通过验证，则TPM将禁止平台的运行，并以某种方式提示使用者；

3)如果对OS部分的完整性验证也通过了，则允许Bootloader、OS依照启动顺序在平台上运行。

需要说明的是，只要使平台在Bootloader和OS在通过TPM的完整性测量之后再启动，对于Bootloader和OS的测量顺序不会影响平台的可信度，以上的完整性验证顺序只是为了描述方便而用。

根据TCG的建议，TPM的工作日志可以存放在非可信存储空间中。

参考文献：

[1]TCG Specification Architecture Overview(Version1.2)；

[2]ZHAO Bo，ZHANG Huanguo，HUANG Rui，A New Approach of TPM ConstructionBased，Wuhan University Journal of Natural Sciences，Vol.12 No.1 2007；

[3]方湘艳，黄涛，Linux可信启动的设计与实现，计算机工程，Vol.32 No 9，2006年5月。

[4]张京楣，金妍，基于对等网络的信任模型，济南大学学报(自然科学版)，2002年12月，第16卷第4期。

Claims

1.一种嵌入式平台安全引导的机制，其特征是以星型信任链结构为支持的嵌入式平台安全引导机制，设有独立硬件TPM，作为整个嵌入式平台的可信测量和控制器，嵌入式平台作为从机，TPM使用硬连线控制嵌入式平台的运行；TPM内部采用物理方式集成有可信计算根、可信存储根和可信报告根，对其自身以及连接电路有良好的物理保护；嵌入式平台启动之前，TPM利用可信计算组织规范的星型信任链对Bootloader、OS分别进行完整性测量，并将该次完整性测量结果的报告与TPM中预先存储的完整性测量报告比较后，决定其是否可信，只有被TPM判定为可信的代码才能在嵌入式平台上执行；TPM、Bootloader和OS分别是可信平台模块、嵌入式平台引导程序和操作系统的英文缩写。

2.根据权利要求1所述的嵌入式平台安全引导的机制，其特征是与TPM中预先存储的完整性测量报告比较后，若两次值相同，则Bootloader或OS通过了可信根的完整性校验，可认为其是可信的，校验通过，TPM允许APP执行，即允许嵌入式平台的运行；若不相同，则认为Bootloader或OS的完整性受到了破坏，校验失败，TPM不允许APP执行，即禁止嵌入式平台的运行。

3.根据权利要求2所述的嵌入式平台安全引导的机制，其特征是TPM禁止嵌入式平台运行的过程是：

2)TPM首先检测Bootloader部分的程序，如果通过完整性验证，则会继续检测OS部分；如果Bootloader没有通过验证，则TPM将禁止嵌入式平台的运行，并以某种方式提示使用者；

4.根据权利要求3所述的嵌入式平台安全引导的机制，其特征是合法用户通过身份验证之后，可信根将对要执行的程序进行检测，仅当程序通过可信根的完整性测量时，才允许该程序被执行。

5.根据权利要求2或3所述的嵌入式平台安全引导的机制，其特征是嵌入式平台在Bootloader和OS都通过TPM的完整性测量之后，再启动；因此，TPM对于Bootloader和OS的测量顺序不会影响嵌入式平台的可信度。

6.根据权利要求1或2或3或4所述的嵌入式平台安全引导的机制，其特征是TPM工作后，其工作日志存放在非可信存储空间中。

7.根据权利要求1所述的嵌入式平台安全引导的机制，其特征是可信存储在物理上与嵌入式系统平台是隔离的。

8.根据权利要求1所述的嵌入式平台安全引导的机制，其特征是可信根与包括启动引导程序、操作系统在内的各部件之间的信任关系呈星型结构，由可信根直接测量各个部件。

9.根据权利要求1所述的嵌入式平台安全引导的机制，其特征是可信根不传递信任关系，因此没有次级测量代理产生，也不会产生信任传递损失。