【文章內(nèi)容簡介】 移動平臺?？尚乓苿悠脚_規(guī)范定義了可以運行不同安全級別的移動計算環(huán)境，以硬件安全芯片及其上的支撐軟件外加一些功能組件構(gòu)建而成的，它是一個在硬件和操作系統(tǒng)之上可被本地使用者和遠程實體信任的平臺。圖2．2描述了雙處理器的可信移動平臺的參考硬件體系結(jié)構(gòu)，這也是未來智能終端的主流發(fā)展方向。 可信移動平臺的硬件參考體系與安全相關(guān)的部件主要有可信平臺模塊、應用處理器、內(nèi)存控制器、DMA(Direct Memory Access)控制器和USIM(Universal Subscribe Identity Module)等關(guān)鍵器件組成，它們是構(gòu)成平臺安全的主要核心硬件。在移動平臺參考體系中，CRTM是在移動平臺啟動時必須被首先執(zhí)行的代碼，以保證平臺的完整性和有效性。由于CRTM的安全性決定了整個平臺的可信性，因此，在保證系統(tǒng)啟動時作為首先被執(zhí)行的組件外，它還不能被其它程序訪問或篡改，一般保存在一次性的ROM中。在平臺上電初始化的過程中，CRTM和TPM一起完成對平臺其它部分的完整性校驗[2，17]?？尚鸥荰MP中重要的組成部件，包括三個可信根：可信度量根(Root of Trust for Measurement，RTM)，可信存儲根(Root of Trust for Storage，RTS)，可信報告根(Root of Trust for Reporting．RTR)。這三個信任根分別用于完整性度量、存儲保護、完整性報告?？尚庞嬎闫脚_對請求訪問自身的實體進行可信度量，并將度量結(jié)果進行存儲，實體詢問時再由平臺提供報告，具體如圖2．3所示[23]。 可度量、存儲、報告機制正如TCG規(guī)范要求的那樣，在可信引導時，可信根要完成對各個系統(tǒng)部件的完整性度量、報告和日志功能，通過完整性度量與報告機制建立一條信任鏈，以建立系統(tǒng)的可信環(huán)境，從而對運行在平臺上的應用程序提供保護。 可信平臺模塊TPM TPM結(jié)構(gòu)可信計算的核心是被稱為可信平臺模塊(TPM)的安全芯片，它主要完成密碼計算及數(shù)據(jù)、密鑰的安全存儲和使用，實現(xiàn)對環(huán)境度量信息的簽名和報告，是數(shù)據(jù)存儲和信息報告信任的初始點。TPM作為可以抵制防攻擊的硬件安全模塊，既保證了內(nèi)部信息的高安全性，又可以完成身份認證和實現(xiàn)外部數(shù)據(jù)的加密。TPM實質(zhì)上是一個可提供密碼操作、完整性管理、密鑰管理、安全存儲、遠程證明等安全功能的小型片上系統(tǒng)SOC(System on Chip)，而且它應當是物理可信的[25]。 TPM結(jié)構(gòu)示意圖可信平臺模塊TPM是一個可信硬件模塊，內(nèi)部結(jié)構(gòu)如圖2．4所示，主要由密碼處理器Cryptographic Co．Processor、密鑰產(chǎn)生器Key Generation、哈希引擎SHA1 Engine、散列消息認證碼HMAC Engine等組件構(gòu)成?？尚牌脚_模塊TPM可以完成多種加密算法，其中基本的算法有：哈希、散列消息認證碼、RSA三種，但是不同的標準或器件也可以包含其它算法，如ECC等(中國的TCM標準中使用ECC算法)。不同的加密算法分別由TPM中不同的加密引擎完成，例如，哈希算法用來生成報文的摘要，其中SHA1引擎負責完成對哈希的一系列運算，HMAC引擎主要用于散列消息認證碼的相關(guān)操作，它們都屬于哈希算法的范疇。RSA運算由RSA引擎執(zhí)行，在傳輸會話中加密授權(quán)信息保證會話的機密性，它還能提供對內(nèi)外的數(shù)字簽名等功能。這些功能對外只提供了IO接口，并且任何外部組件不能干預內(nèi)部密碼的運算。在圖2．4中所示的TPM模塊架構(gòu)中，各重要組件的功能介紹如下[26，29]：(1)IO部件，輸入輸出控制部件，管理總線上的信息流，負責外部與內(nèi)部傳輸信道上的信息編譯碼工作，并將信息傳送到適當?shù)慕M件上。(2)密碼協(xié)處理器，負責實施TPM內(nèi)部的密碼運算，包括RSA的非對稱密鑰發(fā)生器，RSA非對稱加解密等。RSA運算由該部件內(nèi)RSA引擎執(zhí)行，它還包含一個對稱加密引擎，能在傳輸會話中加密授權(quán)信息保證會話的機密性，它還能提供對內(nèi)外的數(shù)字簽名、安全存儲和使用密鑰等功能。(3)密鑰生成器，用于產(chǎn)生數(shù)字簽名密鑰與數(shù)據(jù)存儲密鑰等密鑰，以RSA算法的密鑰生成過程為例，Key Generation通過RNG隨機產(chǎn)生隨機數(shù)，并自行完成對該隨機數(shù)的大素數(shù)測試。(4)HMAC，HMAC引擎用于確認與TPM交互的報文數(shù)據(jù)是否正確，為了保證數(shù)據(jù)和命令消息的完整性，HMAC提供消息認證碼和數(shù)據(jù)認證碼兩部分信息，并且能夠發(fā)現(xiàn)數(shù)據(jù)或命令發(fā)生的錯誤。另外該引擎僅提供運算功能，沒有提供傳輸數(shù)據(jù)的命令和機制。(5)隨機數(shù)發(fā)生器，是TPM內(nèi)部的隨機源，負責產(chǎn)生各種密鑰生成和簽名中所需要的隨機數(shù)，它將一個不可預測的輸入，如嗓音、時鐘、溫度等，通過一個內(nèi)部的狀態(tài)機和單向數(shù)列變成32字節(jié)長度的隨機數(shù)，該數(shù)據(jù)源對外不可見，以保證外部無法重現(xiàn)該部件隨機數(shù)的產(chǎn)生過程。(6)SHA．1哈希引擎，主要負責消息報文摘要的產(chǎn)生，在可信度量中采用此算法完成對平臺組件的度量任務。(7)電源監(jiān)測模塊，在關(guān)聯(lián)平臺電源狀態(tài)的同時管理TPM電源狀態(tài)，一旦平臺的電源發(fā)生變動，TPM根據(jù)應對機制馬上做出響應，及時采取措施并保存數(shù)據(jù)等，保證TPM的安全特性和平臺的重要信息不會被破壞。(8)分支選擇器，是一組選項開關(guān)，根據(jù)TCG的策略可以開啟或關(guān)閉TPM內(nèi)部的某些功能，具體通過改變一些標志位來控制TPM的內(nèi)部功能，但是必須經(jīng)過TPM所有者的授權(quán)才能實現(xiàn)，它不允許被遠程設置。(9)執(zhí)行引擎，主要運行傳送給TPM的一系列命令，包括TPM的初始化和檢測操作等，由于該組件至關(guān)重要，因此當命令執(zhí)行時，必須確保執(zhí)行環(huán)境的安全，同時受保護的區(qū)域已得到保護。(1 O)易失性存儲器，用來存儲平臺配置信息PCR(Platform Configuration Register)和身份證實密鑰AIK(Attestation Identity Key)等，存儲在Volatile Memory中的數(shù)據(jù)具有掉電易失性。PCR保存了平臺的配置信息，AIK用于在進行遠程認證時確保通信的對方是一個支持TPM的平臺。(11)非易失性存儲器，主要保存了認可密鑰EK(Endorsement Key)和存儲根密鑰SRK(Storage Root Key)，存儲在N—Volatile Memory中的數(shù)據(jù)可以被永久保存且掉電或平臺重啟均不受影響。 TPM工作流程TPM通常有三種工作狀態(tài)：初始化狀態(tài)、操作狀態(tài)和自檢狀態(tài)，詳細如圖2．5所示。首先，TPM上電后進入初始化狀態(tài)，對TPM內(nèi)部的某些功能進行初始化，并完成由用戶設定的某些功能。其次，TPM對自身的狀態(tài)進行完整性檢測，確保TPM模塊能夠正確地執(zhí)行與安全相關(guān)的所有可信操作。最后進入操作狀態(tài)，但是必須在對初始過程和自檢過程正常完成的前提條件下，TPM才可以執(zhí)行相關(guān)的操作，操作狀態(tài)有兩種模式，分別是管理員模式和完全操作模式，可以通過TPM的不同操作來分別執(zhí)行不同的功能。 TPM工作狀態(tài)轉(zhuǎn)換圖 平臺配置寄存器PCR平臺配置寄存器是TPM模塊的重要組成部分，由于TPM的高安全性，因此它可以存儲重要的信息并保證其安全，一般情況下存儲了平臺的完整性度量值，它代表了當前平臺的配置狀態(tài)。TPM內(nèi)部至少包含一組不可篡改的平臺配置寄存器(PCR)，可在易失性存儲器或非易失性存儲器中實現(xiàn)。PCR作為可以存儲在度量過程中生成摘要的寄存器，可分為靜態(tài)和動態(tài)兩種，其中0～1 5為靜態(tài)寄存器，在TPM重新啟動時是不會改變的，不同的寄存器保存著不同的信息，而保留的寄存器可以擴展；其它PCR寄存器為動態(tài)寄存器，TPM重新啟動時則發(fā)生改變。每一個PCR有1 60比特，與一般的寄存器不同的是PCR寄存器不能被任意擦寫，只能被擴展，新獲取的度量值不能直接存儲在PCR中，必須通過與舊的哈希值相級聯(lián)，然后再進行一次哈希運算，將新的哈希值擴展到PCR中，具體運算公式如(2．1)所示：New PCRk+1=SHA1(Old PCRk|| new measurement) (2．1)采用以上公式運算后的散列值，就分別對應了不同的組件，為了在PCR中容易定位不可信的組件，TCG針對平臺的不同組件做了以下分配，具體如表2．1所示，PCR采用了如式2．1所示雜湊值擴展的方法來保障平臺的完整性[30]。 TPM的物理PCR分配表PCR IndexPCR Usage0保存CRTM、BIOS的度量值及平臺擴展1保存平臺的配置信息2保存ROM中代碼的度量值3保存ROM配置信息和數(shù)據(jù)的度量值4保存IPL(Initial Program Loader)代碼的度量值5保存IPL配置信息和數(shù)據(jù)的度量值6保存與狀態(tài)轉(zhuǎn)換和喚醒事件相關(guān)的事件的度量值7暫時保留，以后使用815系統(tǒng)和應用程序自定義使用1623動態(tài)接入的外部設備使用 可信軟件棧TSS可信平臺支持服務(Trusted Platform Support Service，TSS)是對可信計算平臺提供支撐作用的模塊，為應用程序使用TPM提供接口的軟件組件，TSS簡化了使用TPM的復雜性，開發(fā)組只需要了解TPM的基本概念和TSS向上層提供的接口，就可以在可信終端平臺上開發(fā)基于TPM的安全應用程序。它的設計目標是對使用TPM功能的應用層軟件提供一個方便的統(tǒng)一使用標準，提供對TPM的同步訪問，管理TPM的資源等。TSS為操作系統(tǒng)與TPM間的通信進程提供標準的安全接口API，并通過這些API接口處理操作系統(tǒng)和應用程序的安全交互。TSS作為使用TPM的切入點，開發(fā)者只需了解TSS的使用規(guī)范，通過與TSS的交互就可以開發(fā)各類應用。在TCG規(guī)范中，TSS的結(jié)構(gòu)分三個層面：內(nèi)核、系統(tǒng)服務、用戶程序，各層次關(guān)系如圖2．6所示[29]。各個層次的功能描述如下：1．TDD：TPM驅(qū)動程序?qū)覶DD位于操作系統(tǒng)的核心層，是核模式組件，它和TPM在物理層進行通信，通過把TDDL傳送的字節(jié)流進行解析來操作TPM或根據(jù)TPM的響應與上層進行交互。2．TDDL：TPM驅(qū)動程序庫TDDL提供了一個由TPM制造商提供的用戶態(tài)接口，位于TCS和TDD之間，以確保TSS的不同應用與任何種類TPM都能進行通信。它是起媒介作用的標準接口模塊，很容易實現(xiàn)TCS在不同平臺上移植。3．TCS：TPM核心服務層在一個平臺操作系統(tǒng)上具有唯一的TCS，TPM不支持多線程操作，TCS接口被用來控制和請求TPM服務，以協(xié)調(diào)多個應用程序?qū)PM的同步訪問。4．TSP：TPM服務提供層該模塊位于TSS的最上層，提供高級的TCG函數(shù)。TSP為應用程序提供TPM服務，并且與應用程序在同一進程空間，因此為兩者之間的數(shù)據(jù)傳遞提供了安全保障。 TSS結(jié)構(gòu)體系圖 可信移動平臺的安全特性可信計算提供一系列的安全特性，這些安全特性是基于硬件對用戶和移動平臺實現(xiàn)保護的，為移動終端的安全可信提供了強有力的支持。根據(jù)可信移動平臺的結(jié)構(gòu)，可信機制的構(gòu)建以及整個平臺的功能，可將可信移動平臺的主要安全性能歸納如下。 完整性檢驗完整性檢驗可以實現(xiàn)移動設備的可信啟動，還可以檢測出受病毒或惡意程序攻擊的部分，基于硬件TPM和CRTM實現(xiàn)的。可信移動設備(Trusted Mobile Device，TMD)在啟動時必須檢驗TCB的完整性和有效性，檢驗與信任或安全相關(guān)的硬件的完整性。完整性校驗將計算終端的結(jié)構(gòu)進行層次劃分，從而引入不同層次間的完整性驗證機制來實現(xiàn)系統(tǒng)的完整性。完整性校驗具體包含的內(nèi)容非常廣，可以分為三大方面：用戶方面，用戶數(shù)據(jù)完整性以及身份的合法性；平臺方面，平臺軟硬件配置的完整性以及平臺之間的可驗證性；應用程序方面，應用程序的完整性和合法性。可信移動設備通過完整性檢驗可實現(xiàn)平臺的安全可信并提供以下重要的安全特性[31]。 可信啟動TMD的可信啟動基于TCG定義的信任傳遞機制。TMD上都內(nèi)建了核心可信度量根CRTM，保證CRTM作為平臺的第一個啟動程序，并與存儲和加密的模塊(TPM)一同作為平臺的核心根，從而度量平臺的完整性，負責在初始化時對平臺的可信性進行驗證。任何將要獲得控制權(quán)的實體，都需要先對該實體進行度量，從平臺加電，直到運行環(huán)境的建立，這個過程就一直在進行。平臺上電后，CRTM首先會被立即調(diào)用，開始依次執(zhí)行可信的啟動過程。首先CRTM借助TPM計算TCB中其它元件軟件代碼的完整性度量值，并將度量結(jié)果存放在TPM的PCR中，可信度量主要采用哈希運算，最終獲得160比特的哈希值。然后由驗證實體(Validation Entity，VE)提供的認證基準值(Reference Integrity Metrics，RIM)進行比較，如果是處于可信的狀態(tài)，則該組件將控制權(quán)轉(zhuǎn)移到下一組件，依次類推，直到操作系統(tǒng)、應用程序成功校驗。其實現(xiàn)過程是依照順序鏈式進行的，具體模型如圖2．7示。 TMD的可信啟動過程 實時完整性度量移動設備畢竟不同于PC，作為一種通信工具，經(jīng)常處于開機的狀態(tài)，因此由可信啟動所帶來的安全環(huán)境不能長久保持。在長時間處于開機狀態(tài)的過程中，移動設備進行很多不同的操作，包括可信和不可信的，因此，要進行實時完整性校驗才能確保平臺長久的安全可信。TMD啟動過程中，存儲日志將按照式(2．1)的方式依次記錄發(fā)生的事件并進行安全的存儲，TMD將會記錄很多事件及其完整性度量值，TCG規(guī)范中定義了兩種進行完整性操作的方法[2]：一是當平臺需要驗證自身可信性時，只需對一些特殊軟件或完成一項操作必須使用的軟件進行度量。使用該策略之前應對平臺進行復位，通過復位終止平臺上的一切進程并重新激活可信啟動，在度量其完整性并與VE提供的參考值進行比較，來判斷該應用程序是否可信。二是當平臺向遠程證實自身狀態(tài)時，允許VE提供平臺完整性度量結(jié)果。通常有兩種模型：Push Mode和Pull Mode，具體如圖2．8和2．9所示。 Push模式Push模式中用于TMP和VE之間，即平臺主動從VE獲取完整性矩陣當前值的合法數(shù)據(jù)證書，獲得該證書之后，