（计算机系统结构专业论文）基于可信计算技术的嵌入式安全终端的研究与实现.pdf

华东师范大学硕士毕业论文 论文摘要 论文摘要 网络在我们的生活中扮演着重要角色。网络连接起来的设备和应用程序越来越多，不 仅仅包括各种服务器、台式计算机、笔记本电脑，还包括我们的手机、掌上电脑和各式各 样的嵌入式设备。虽然网络为计算机业的发展带来了无穷的机遇和发展空间，但我们不得 不面对一个很严峻的问题：这些连接在网络中的设备极有可能会受到攻击。在这样一个网 络互连的时代，信息交互如此频繁，如何保护存储或传输的信息不被窃取或篡改? 如何保 证我们的系统和应用程序能正常安全的运行? 这些问题日益引起人们的关注。 人们很早就开始着手网络安全技术和台式计算机安全技术的研究，而且也取得了一定 的成就i 然而对于嵌入式系统来说，由于其系统资源有限、处理能力不强，在增强嵌入式 安全性方面的研究才刚刚起步。 到目前为止，大多数实现嵌入式安全方案的措施都集中在为操作系统构建安全特性。 然而操作系统是开放定义，且非常复杂的软件系统，因此仅仅基于o s 来提供可靠的安全 性是很困难的。 另一种选择是增加硬件安全性模块。纯粹通过硬件方案解决，在c p u 设计中加入安全 性能的方案显然不够灵活，不能针对新的安全功能进行调整，而且会增加设计的生产成本， 对功耗产生不利的影响；若通过增加片外硬件，如存储器或协处理器，这种方法同样会增 加成本和复杂性，而且不能保证片外器件的信号完整性硬件可能被移除或被干扰“。 正因为缺乏跨平台的公共安全单元，嵌入式安全措施的实现一直以来成本很高，至今 没有一种标准的安全解决方案。 本文旨在研究基于可信计算技术的嵌入式安全解决方案，在现有解决方案的基础上构 建一种嵌入式安全终端，并利用该安全终端实现具体应用系统一网络多媒体安全播控系 统来验证安全终端的可用性。 本文首先分析了在嵌入式系统中增加安全性的必要性和重要性，然后具体介绍目前基 于可信计算技术的嵌入式安全解决方案，对其实现原理和特性作一定的分析和对比。接着 本文在上述研究工作的基础上，提出嵌入式终端上公共安全架构的设计方案。最后利用构 建的安全终端实现网络多媒体安全播控系统，利用安全终端实现媒体文件的播放和存储， 以及和媒体服务器之间的交互。安全播控系统的设计参考o m ad r m2 0 标准，主要功能 有客户端身份认证、媒体内容保护和存储，以及播放监控等。利用该安全播控系统的实现 来证明嵌入式安全终端的正确性和可用性。 华东师范大学硕士毕业论文 论文摘要 本文的主要贡献有： 1 对几种基于可信计算技术的嵌入式安全解决方案作了深入的分析和研究，可供业界参 考。 2 基于a r m 的t r u s t z o n e 技术构建出嵌入式安全终端，给出了该安全终端的系统架构、 具体设计和参考实现。 3 设计和实现了网络多媒体播放系统，包括该系统的认证流程，媒体保护措施和内容存 储管理。为如何构建具有安全性的网络多媒体播放系统，提供了一种可行的方案。 论文的结果在一定程度上可为相关科研项目或者相关领域的应用提供参考解决方案。 关键词：可信计算、嵌入式安全、数字版权管理、网络多媒体播放 华东师范大学硕士毕业论文 a b s t r a c t n e t w o r ki sp l a y i n gar e m a r k a b l ei m p o r t a n tr o l ei no 哪l i f e t h ed c v i c aa n da p p l i c a t i o n s c o n n e c t e db yn e t w o r ki n c r e a s ed r a m a t i c a l l y , i n c l u d i n gn o to n l ya e s k t o l , c o m p u t e r , l a o t o pa n d r 嘴，b u ta l s oe e l l p h o n e s , p d a sm a dv a r i o u se m b e d d e dd e v i c e s w h j 】ew c 跚j o yt h e o p p o r t u n i t i e sa n dd e v e l o ps p a c eb r o u g h ti nb yn e t w o r k , w eh a v et of a c eas e r i o u sp r o b l e m a l l t h ed e v i c e si nt h en e t w o r km i g h tb ea t t a c k e d i ns u c hae o l m e e t e da g e ，t h ei n f o r m a t i o ni s e x c h a n g e ds of r e q u e n t l yt l l a t h a v et oe o m i d e rh o wt op r o t e c tt h ei n f o r m a t i o nw h e ni t i s s t o r e do r 姐】n s m i t t e d , a n dh o wt om a k es u l t t h a to u rs y s t e r ma n dt h ea p p l i c a t i o n s 锄t u n s e r i o u s l y t h e p r o b l e m sa t l l a c tn l o l ea n dm o 坤a t t e n t i o n p e o p l eb e g a nt or e s e a r c ht h es e c u r i t ys t r a t e g yo f n e t w o r ka n dc o m p u t e rl o n gb e f o r ea n dh a d a l r e a d ya c h i e v e dc e r t a i na c c o m p l i s h m e n t h o w e v e r , a sf o re m b e d d e ds y s t e m ，s i n c et h es y s t e m “络o u i sl i m i t e da n dt h el x l w e l - i sw e a k , i ti sm u c hm o l ed i 矗i e u l tt oa d ds e c t t r i t ys t r a t e g yt o e m b e d d e ds y s t e m u pt on o w , m u c ho f t h ee f f o r tt o w a r d si m p l e m e n t i n ge m b e d d e ds e c u r i t ys o l u t i o n sh a sb e e n f o c u s e do l lb u i l d i n g 蛳u r i t yf e a t u r e si n t oo p e r a t i n gs y s t e m s ( o s ) h o w e v e r , t h ef a c t t h a to sa 坞 b yd e f i n i t i o no p c n ，a n de x t r e m e l yc o m p l e xs o f t w a r es y s t e m s ，m a k e si td i f f i c u l tt op r o v i d er o b u s t s e c u r i t ys o l u t i o n sb a s e d0 1 1t h eo sa l o n e 。 o n eo p t i o ni st oa d dah a r d w a r es e c u r i t ym o d u l et ot h ed e s i g n t h i sa p p r o a c hs u f f e r sf r o m a l lo f 恤r e s t r i c t i o n si n h e r e n t i na n yp u r eh a l d w a l es o l u t i o n p u r eh a r d w a r es o l u t i o n s 黜 i n f l e x i b l e ；t h e ye a r m o te a s i l yb ea d a p t e dt oe a t e rf o rn e ws e c u r i t yf u n c t i o n s a d d i t i o n a l l y , a d d i n g h a r d w a r ei pa d d sm a n u f a c t u r i n gc o s tt ot h ed e s i g na n dc h a v e 锄a d v e r s ea f f e c to np o w e r e o m u m p t i o n o f f - e h i ph l l l d w a l e ，s u c h 鼬c o - p r o c e s s o r sa n ds t o r a g e ，o f f e r sa n o t h e ra p p r o a c ht oe m b e d d e d s e c u r i t y , e n a b l i n gt h ea c c e l e r a t i o no f d e m a n d i n gc r y p t o g r a p h ya l g o r i t h m s ，f o re x a m p l e h o w e v e r , a d d i n gas e c o n dp t o c e $ s o l rt ot h es y s t e ma d d st ot h ec o s t , c o m p l e x i t ya n dp o w e rb u d g e t a d d i t i o n a l l y , i tm a y n o tb ep o s s i b l e 甜t h ec p ud e v i c et oa s c e r t a i nt h ei n t e 两t yo f t l a eo f f - - c h i p d e v i c e i tm a yb er e m o v e da n di n t e r f e r e dw i t h t h el a c ko fc o m m o ns e c u r i t ye l e m e n t sa c r o s sd i f f e r e n tp l a t f o r m si so b s t r u e l 日n gt h e d e v e l o p m e n to fi n t e g r a t e ds e c u r i t ys o l u t i o n s w i t hn os t a n d a r d si np l a c e ，i m p l e m e n t a t i o no f m 华东师范大学硕士毕业论文a b s n b 妞 e m b e d d e ds e c u r i t ym e a s u l sh a sb e e n 矗：哩加e 嘶d c o s t l y t h em a i np 1 r p o s eo f t h i st h e s i si st ob r i n gu pam e t h o dt ob u i l de m b e d d e ds e c 嘣t yc l i e n t a n dt h e na p # yt h i s 辩a | r i l yc l i e n ti n t oas e c u r i t yn e t w o r km u l t i m e d i ab r o a d c a s ts y s t e mi no r d e r t op r o v et h es e c u r i t yc l i e n t sf e a s i b i l i t y n 出t h e s i sb e g i n sw i t ha n a _ l y z m gt h ei m p o r t a n c ea n dn c c c s s i t yo fe d d i n gp c o r i t yt o e m b e d d e ds y s t e m s e c o n d ，i ti n t r o d l w , e ss e v e r a le = 】【i s - t i n gs e c u r i t ys t r a t e g yo fe m b e d d e ds y s t e m a n dc o m p a r et h e i rm a i nf e a t u r e sa n dp r i n c i p l e b a s e do nt h ea b o v ew o r k i tp r o p o s e san e w m e t h o dt ob u i l de m b e d d e ds e c u r i t yc l i e n ta n dg i v e st h es i m p l ei m p l e m e n t a t i o no ft h i sm e t h o d t h j 5m e t h o dm a i n l yt a k e st h ea d v a n t a g eo f a r mt m s t z o n et e c h n o l o g y a tl a s t , i td e s i g n sa n d i m p l e m e n t st h es e c u r i t yn e t w o r km u l t i m e d i ab r o a d c a s ts y s t e m , w h i c hm a k e su s eo f t h es e c u r i t y c l i e n t t h es e c l l r i t yn e t w o r km u l t i m e d i ab r o a d c a s ts y s t e mr e f e r st oo m a d r m2 0s t a n d a r d t h e s y s t e mi n c l u d e sc l i e n ta u t h e n t i c a t i o n , m e d i ap r o t e c t i o n , m e d i as t o r a g e ，p l a yc o n t r o la n ds oo n n l em a i nc o n m b u t i o n so f t h i st h e s i sc a nb ec o n c l u d e d 罄f o l l o w i n g ： 1 d oad e 印r e s e a r c ha n da n a l y s i so f e x i s t i n ge m b e d d e ds e c u r i t ys t r a t e g i e sa n dt h er e s u l t sc a r l b er e f e r r e dj no t h e rp r o j e c t so f a c a d e m i a 2 p u tf o r w a r dan e wm e t h o dt ob u i l de m b e d d e ds e c u r i t yc l i e n tb a s e do na r mt r u s t z o n e t e c h n o l o g y g i v et h e r e f e r e n c ed e s i g no f s e c u r i t yc l i e n ta n di m p l e m e n t a t i o r l 3 d e s i g na n di m p l e m e n tt h es e c u r i t yn e t w o r km u l t i m e d i ab r o a d c a s ts y s t e m , i n c l u d i n gc l i e n t a u t h e n t i c a t i o n , m e d i ap r o t e c t i o na n dm e d i as t o r a g e t h i ss y s t e mo f f e r saf e a s i b l ew a yt o p r o t e c tt h em u l t i m e d i ab r o a d c a s ts y s t 口n t kr e s u l t so ft h i st h e s i sc a nb er e f e r r e da sas o l u t i o ni nc o r r e l a t i v es c i e n t i f i cr e s e a r c ho r a p p l i c a t i o np r o j e 睨 k e yw o r d ：t r u s tc o m p u t i n g ，s e c u r i t y , d i g i t a lr i g h t sm a n a g e m e n t , m u l t i m e d i ab r o a d c a s ts y s t e m i v 学位论文独创性声明 本人所呈交的学位论文是我在导师的指导下进行的研究工作及 取得的研究成果据我所知，除文中已经注明引用的内容外，本论 文不包含其他个人已经发表或撰写过的研究成果对本文的研究做 出重要贡献的个人和集体，均已在文中作了明确说明并表示谢意 作者签名：表垂日期：兰丑：兰：2 学位论文授权使用声明 本人完全了解华东师范大学有关保留、使用学位论文的规定， 学校有权保留学位论文并向国家主管部门或其指定机构送交论文的 电子版和纸质版有权将学位论文用于非赢利目的的少量复制并允 许论文进入学校图书馆被查阅有权将学位论文的内容编入有关数 据库进行检索有权将学位论文的标题和摘要汇编出版保密的学 位论文在解密后适用本规定 学位论文作者签名：袁墨导师签名：孙时 l 华东师范大学硕士毕业论文第1 章引言 1 1 研究背景 第1 章引言 网络，出现频率极高的一个词，无论是我们的工作学习，还是日常的生活娱乐都越来 越依赖网络。网络改变着我们的生活，同时网络也带来了人们以前从未预料到的问题。 在过去的年代里，计算机都是各自独立工作的，很少会有相互间的信息交互。那时人 们不用特别考虑安全的问题，因为你所能做的事情最多就是自己攻击自己的机器。只要计 算机能正确地完成指定功能，很少有人会去考虑安全【2 】。可现在网络改变了一切，几乎所 有的计算机都是连在网络中，不仅包括各式各样的服务器、台式计算机或是笔记本电脑， 还包括各种移动设备、掌上电脑和嵌入式设备。这也就意味着这些连接到网络中的设备都 有可能受到恶意攻击。 从w i n d o w s 系统的冲击波、振荡波攻击，到公司内部网络被入侵造成信息泄露，再到 我们日常生活中的银行账号或密码被盗，可以说这些都是由于计算机系统或网络的安全漏 洞造成的。安全问题带来的损失大大超过了人们的意料，人们不得不采取各种措施来提高 网络和系统的安全性。 对于网络和传统计算机上的安全问题，人们已经做了大量的研究工作，并且也取得了 一定的成就，比如主要用于w e b 的安全传输协议s s l ( s e c u r es o c k e t l a y e r ) 协议，在 网络层提供i p 安全性的协议口s e x ( s e c u r i t ya r c h i t e c t u r ef o ri pn e t w o r k ) 协议，利用 公钥理论和技术建立的提供安全服务的基础设施p l ( i ( p u b l i ek e yi n 矗a s t u c t u r e ) 技术， 用于身份认证的x 5 0 9 协议等等【3 】。人们利用这些技术已经能够构建出一个比较强壮安全 的服务器端和网络传输通道。 然而现在很多攻击反而是从终端设备开始的。终端设备的安全性相对较弱，而且终端 上往往保存着很多重要的用户信息。构建强健的终端设备，加强对终端设备的保护，才是 实现计算机系统安全的关键。 对于嵌入式系统来说，构建一个安全的终端设备更为重要。嵌入式系统的处理能力和 存储能力日益增强，无线网络技术也逐渐普及，很多新的应用功能被加载在嵌入式设备上， 比如移动设备上数据下载服务、电子付费服务等等。可是因为嵌入式系统易受攻击、安全 性差，造成了严重的损失，损失范围扩展到各种应用程序和工业范围内，除了直接的经济 华东师范大学硕士毕业论文第1 章引言 损失外还包括丢失各种盈利机会1 4 】。正是由于这些实际应用和经济利益的驱动嵌入式设 备上的安全问题越来越引起人们的重视，人们迫切的需要构建一个安全的嵌入式终端设备。 到目前为止，大多数实现嵌入式安全方案的措施都集中在操作系统中构建安全特性。 然恧操作系统是定义开放的，且是非常复杂的软件系统，因此仅仅基于o s 来提供可靠的 安全性是很困难的。 另一种选择是增加硬件安全性模块。纯粹通过硬件方案解决，在c p u 设计中加入安全 性能的方案显然不够灵活，不能针对新的安全功能进行调整，而且会增加设计的生产成本， 对功耗产生不利的影响；若通过增加片外硬件，如存储器或协处理器，这种方法同样会增 加成本和复杂性，而且不能保证片外器件的信号完整性硬件可能被移除或被干扰【“。 正因为缺乏跨平台的公共安全单元，嵌入式安全措施的实现一直以来成本很高，至今 没有一种安全解决方案的标准 本文深入研究了基于可信计算技术的嵌入式安全方案，然后在a r m 公司提出的 t r u s t z o n e 技术的基础上设计出嵌入式终端的公共安全架构，并利用该架构实现了网络多媒 体安全播控系统。 1 2 论文主要研究工作 本文主要研究了基于可信计算技术的嵌入式安全解决方案。在深入研究的基础上构建 了嵌入式终端的公共安全架构，然后利用构建的架构实现网络多媒体安全播控系统，以此 来验证公共安全架构的正确性和可用性。其中安全播控系统的设计参考了o m a ( o p e n m o b i l ea l l i a n c e ) 组织提出的d r m ( d i 套i t a lm g h t sm a n a g e m e n t ) 2 0 标准。主要工作包括以下 几个方面： 1 对基于可信计算技术的嵌入式安全解决方案进行深入的研究。 主要包括t o g ( t r u s t e dc o m p u t i n gc , r o u p ) 组织提出的t p m ( t r u s t e dp l a t f o r mm o d u l e ) 技 术；i n t e l 、m m 和n t t d o c o m o 公司联合推出的t m p ( t r u s t e d m o b i l e p l a t f o r m ) 技术； 由a r m 公司设计推出的t r u s t z o n e 技术。对这些技术的实现原理和特点做出一定分析、 说明和对比。 2 提出基于t r u s t z o n e 技术的嵌入式终端公共安全架构 在深入研究t r u s t z o n e 技术的基础上，提出嵌入式终端公共安全架构的参考设计模型。 详细描述了该架构的层次结构，设计思想，并给出部分接口的定义。 2 华东师范大学硕士毕业论文 第1 章引言 3 实现网络多媒体安全播控系统 首先对o m a 组织提出的d r a m2 0 标准作简单的介绍，然后提出基于该标准的网络多 媒体安全播控系统的整体架构。安全播控系统包括媒体管理、媒体下载、服务器和播 放终端之间的认证等部分。其中播放终端的实现利用嵌入式终端的公共安全架构来保 护媒体和用户关键信息。通过系统的实现来证明公共安全架构的正确性和可用性。 1 3 论文组织结构 本文总体分为5 大部分进行论述，各部分的组织结构如下： 第一部分即第一章，分析了在嵌入式设备上引入安全特性的重要性，简单介绍了嵌入 式系统上安全解决方案的现状。 第二部分即第二章，分析背景技术。介绍了基于可信技术的嵌入式系统安全解决方案， 描述各个安全解决方案的系统架构，分析其安全性的原理和特点。其中重点分析a r m 公 司提出的t m s t z o n e ，阐述t r u s t z _ , o n e 的关键技术和特点，为下文嵌入式安全终端的设计模 型提供基础。 第三部分即第三章，提出了基于t r u s t z o n e 技术的嵌入式终端公共安全架构的设计模 型。详细描述了模型的层次结构，并给出主要接口函数的参考定义，最后总结模型的特点 和优势。 第四部分包括第四章和第五章，这部分是本文的重点。参考o m a 组织的d r m2 0 标 准，设计并实现了网络多媒体安全播控系统。系统的播放终端应用了本文设计的嵌入式终 端公共安全架构，验证了该嵌入式终端公共安全架构的正确性和可用性。 第五部分即第六章，总结全文，并提出需要改善和进一步开展的工作。 1 4 小结 本章介绍了嵌入式系统上引入安全特性的重要性和嵌入式安全解决方案的现状，然后 介绍了论文的主要研究内容和组织结构。 3 华东师范大学硕士毕业论文第2 章基于可信计算技术的嵌入式系统安全解决方案 第2 章基于可信计算技术的嵌入式安全解决方案 2 1 可信计算技术概述 2 1 1 可信计算的发展历史 上个世纪7 0 年代初期，a n d e r s o njp 首次提出可信系统( t r u s t e ds y s t e m ) 的概念，由此 开始了人们对可信系统的研究较早期学者对可信系统研究( 包括系统评估) 的内容主要 集中在操作系统自身安全机制和支撑它的硬件环境，此时的可信计算被称为d e p e n d a b l e c 姐p u t i n g ，与容错计算( f a u l t - t o l e r a n tc o m p u t i n g ) 领域的研究密切相关。人们关注元件随 机故障、生产过程缺陷、定时或数值的不一致、随机外界干扰、环境压力等物理故障、设 计错误、交互错误、恶意的推理、暗藏的入侵等人为故障造成的不同系统失效状况。设计 出许多集成了故障检测技术，冗余备份系统的高可用性容错计算机。这一阶段研发出的许 多容错技术已被用于目前普通计算机的设计与生产嘲。 1 9 8 3 年美国国防部推出了。可信计算机系统评价标准( t c s e c ，t r u s t e d c o m p u t e r s y s t e m e v a u a t i o nc r i t e r i a ) ”( 亦称橙皮书) 其中对可信计算系统( t c b ，t r u s t e dc o m p u t i n gs y s t e m ) 进行了定义。这些研究成果主要是通过保持最小可信组件集合及对数据的访问权限进行控 制来实现系统的安全从而达到系统可信的目的悯。 1 9 9 9 年1 0 月，由h 髓l ，c o m p a q 、l i p 、i b m 以及m i c r o s o f t 发起成立了一个“可信计 算平台联盟t c p a ( t m s t e dc o m p u t i o gp l a t f o r ma l l i a n c e ) ”。该组织致力于促成新一代具有安 全、信任能力的硬件运算平台。截至2 0 0 2 年7 月，已经有1 8 0 多家硬件及软件制造商加入 t c p a 。2 0 0 3 年4 月8 日，t c p a 重组为“可信计算组”t c g ( t r u s u e d c o m p u t i n g g r o u p ) 。 t c g 在原t c p a 强调安全硬件平台构建的宗旨之外，更进一步增加了对软件安全性的关注， 旨在从跨平台和操作环境的硬件组件和软件接口两方面，促进与厂商独立的可信计算平台 工作标准的制定。我国的联想集团就是该组织的重要成员。 在对可信计算3 0 多年的研究过程中，可信计算的含义不断地拓展，由侧重于硬件的可 靠性、可用性到针对硬件平台、软件系统、服务的综合可信，适应了i n t e r n e t 上应用不断 拓展的发展需要。随着全球信息化时代的到来，网格计算与w e b 服务等分布式计算将成 为未来的主流计算模式，同时，无线网络的迅速发展与广泛应用使得其必将成为今后的主 4 华东师范大学硕士毕业论文第2 章基于可信计算技术的嵌入式系统安全解决方案 流网络形式。因此，未来的可信计算研究将面向在分布式与无线网络环境下的安全与可信。 2 1 2 可信计算的概念 构建新一代适应信息发展需求的可信计算环境已经成为信息科学技术领域最重要的课 题之一。那如何理解可信计算的含义呢? 怎样的系统才是“可信”的呢? 在i s o i e c1 5 4 0 8 标准中给出了以下定义：一个可信( t r u s t e d ) 的组件、操作或过程的行 为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干 扰造成的破坏啊。根据此定义，可信计算将成为无限可信的概念。事实上完全的、绝对的 可信是不可能实现的，也是没有必要的。因此，计算中的可信标准，可信等级，可信区间 及可信度的定义将成为可信计算工程实现的关键内容。 同时，可信计算( t r u s t e dc o m p u t i n g ) 从一个新的视点解决计算的安全问题t 不同于传统 的安全的概念，它具有双向安全的含义，即： 保证计算机系统用户本身的利益； 能维护外来应用的运行。 一个典型的例子是数字版权管理d r m ( d i s t a lm g h t sm a n a g e m e n t ) ，平台必须确保内容 提供者所施加的版权保护策略能够有效贯彻，同时，又要防范用户的利益被不正当地侵害 ( 如外部提供者滥用d r m 策略收集用户隐私信息) 。这两方面的要求既是相互矛盾的，又体 现出很强的互补性，因此实现可信计算必须在计算机系统的各个方面取得一个恰当的平衡。 相对应地，用于实现可信计算的平台组成结构和执行机制，也必须具备不同于传统计算机 系统的特征。 当前，可信计算中居于领先地位的是可信计算组织( t r u s t e dc o m p u 血培g r o u p ，t c g ) 提出的“可信计算平台规范”标准以及微软所提出的下一代安全计算机n g s c b ( n e 砒 g e n e r a t i o ns e c u r ec o m p u t i n gb a s e ) 。t c g 和微软是可信计算领域内两个有代表性的倡导、 研究与实施机构。下面具体介绍这两个组织对可信计算概念的定义。 2 1 2 it c g 的可信计算概念及相关规范 除了通过各种硬件技术来实现计算机的高可用性，目前在计算机系统中已经采用了多 种基于软件的安全技术用于实现系统以及数据的安全，如x 5 0 9 数字证书、s s l 、i p s e c 、 v p n 以及各种访问控制机制等。但是l a t e r n a t 的发展在使得计算机系统成为灵活、开放、 5 华东师范大学硕士毕业论文第2 章基于可信计算技术的嵌入式系统安全解决方案 动态的系统的同时，也带来了计算机系统安全问题的增多和可信度自争下降。t c p a 自成立 后经过一年多的努力推出了可信计算平台的标准实旅规范。 在t c p a 制定的规范中定义了可信计算的三个属性： 鉴别：计算机系统的用户可以确定与他们进行通信的对象身份； 完整性：用户确保信息能被正确传输； 私有性：用户相信系统能保证信息的私有性。 t c p a 所制定的”t c p am a i ns p e c i f i c a t i o n ”是用于确立名为t p m ( t r u s t e dp l a t f o r m m o d u l e ) 的硬件级安全架构的标准。在m 开发的安全技术的基础上，t c p a 于2 0 0 1 年l o 月公布了该标准的1 o 版本，在2 0 0 2 年2 月公布了其版本1 1b ，并先后推出了相关规范： t c p a p c s p e c i f i c i m p l e m e n t a t i o n s p e c i f i c a t i o n l 0 以及t c p a t p m p r o t e c t i o n p r o f i l e v l 9 7 2 0 0 3 年l o 月，重组后的t c g 发布了其最新版本t p m1 2 标准。t p m 除了具有生成加密 密钥的功能外，还可以高速进行数据加密和还原。另外。它也可以作为保护b i o s 和o s 不被修改的辅助处理器来使用。在这方面i b m 先行一步，该公司已将集成有密钥数据和加 密处理功能的、符合t c g 标准的t im 芯片，作为“安全芯片”集成到了个人电脑中，并 已开始供货嘲。 2 0 0 3 年8 月，t c g 发布了一份新的标准：t s s ( t c gs o r w a r es t a c k ) 规范1 1 。t s s 是t p m 平台上的支持软件，以为t p m 应用提供入口点、实现对t p m 的同步访问、管理 及发布1 1 p m 资源为基本设计目标。t c g 正试图通过t s s 与t p m 的结合来构建跨平台与 软硬件系统的可信计算体系结构，从而在b i o s 、硬件、系统软件、操作系统各个层次上 全面增强系统的可信性。 2 。1 。2 。2 微软的可信计算概念 2 0 0 2 年1 月1 5 日，比尔盖茨在致微软全体员工的一封信中称，公司未来的工作重点 将从致力于产品的功能和特性转移为侧重解决安全问题，并进而提出了微软公司的新“可 信计算”( t n 】s t w o r t h yc o m p u t i n g ) 战略。 2 0 0 2 年5 月，微软从未来计算机系统发展的趋势出发，提出了新的可信计算 ( t r u s t w o r t h yc o m p u t i n g ) 概念，发布了“可信计算”白皮书，随后对其做了进一步修订。 该白皮书从实施( e x e c u t i o n ) 、手段( m e a n s ) 、目标( g o a l s ) - - 个角度对可信计算进行了概要性 的阐释。其目标包括四个方面： 6 华东师范大学硕士毕业论文 第2 章基于可信计算技术的嵌入式系统安全解决方案 安全性( s e c u r i l y ) , 即客户希望系统对攻击具有恢复能力，而且系统及其数据的机密性、 完整性和可用性得到保护； 私密性( p r i v a c y ) ：即客户能够控制与自己相关的数据；并按照信息平等原则使用数据； 可靠性( r e l i a b i l i 哆) ：即客户可在任何需要服务的时刻即时得到服务； 商务完整性( b u s i n e s sh l 蛔画劝：强调服务提供者以快速响应的方式提供负责任的服务。 其中私密性这个目标是在白皮书的修订版中提出的，微软对于系统和数据的私密性非 常重视，并于2 0 0 4 年5 月发布了其相关文档“t h e p r i v a c y s o u r c e g u i d e ”，该文档从技术、 行业、政府、用户等各个角度阐述了如何实施私密性嘲 微软的可信计算含义远不止包括计算机的安全问题，它不是修补系统漏洞那么简单， 而是涵盖了整个计算生态系统。从单个计算机芯片到全球i n t e r n e t 服务，包括了方方面面。 在嵌入式领域中，可信计算技术同样受到重视。目前主要由两种基于可信计算的标准： 一是基于t i m 技术的可信移动平台；另一个是a r m 公司提出的t n m z o n e 。 2 2 可信移动平台 2 2 1 可信移动平台规范概述 可信移动平台t m p ( t r u s 钯dm o b i l ep l a t f o r m ) 主要是由i b m 、i n t e l 和n r rd o c o m o 联 合开发的。t m p 为移动无线设备定义了一个全面的端到端安全架构，目的是为高端的移动 设备或应用提供安全保证，使其能抵御病毒和其他安全威胁的侵害。t m p 规范基于t c g 组织提出的t p m 技术，将t p m 技术和系统的硬件软件结合起来，定义了一个可提供不同 安全级别的可信执行环境。此外， i m p 规范还定义了一组协议，允许网络中所有的设备能 够共享某一设备的安全状态，使得设备级的可信性可以扩展到整个网络嗍。 t m p 规范主要包括三个部分； 硬件结构规范：主要定义了构建移动平台所必须的硬件组件，该移动平台能够支持多 种加强平台可信性的服务。 软件结构规范：主要定义了软件协议栈中与安全相关的组件，这些软件组件负责与底 层的安全硬件交互，同时在符合硬件结构规范的平台上具有通用性。 协议栈规范：主要定义了一组协议，保证符合 i m p 规范的移动平台能够安全的与其 它平台进行通讯。 7 华东师范大学硕士毕业论文 第2 章基于可信计算技术的嵌入式系统安全解决方案 下面重点分析t m p 规范的硬件结构规范和软件结构规范。 2 2 2t m p 的硬件结构 2 2 2 1 硬件平台整体架构 t m p 定义的可信移动设备3 2 v l i x t r u s t e dm o b i l ed e v i c e ) 的硬件结构主要由以下部件组 成：c p u 、f l a s h 、r a m ，存储控制器，d m a 控制器，中断控制器。与无线通讯协议( 如 蓝牙和i $ 0 1 4 4 4 3 协议) 的通讯接口，。各类逻辑电路。其中c p u 控制硬件平台，运行操作 系统和各种应用软件，管理用户与存储器和外设之间的通信，同时支持与安全协议之间的 通信通道。t m d 支持单c p u 的系统结构，同时也支持双c p u 的复杂系统结构，其中第二 个c p u 专门负责管理通信通道和无线接1 2 1 ”。 除了以上的部分之外，g s m 的手机还包括与s i m 的接口。s i m 主要为用户识别和信 道安全提供服务，同时也提供安全存储。 为了提高t m d 的安全性，硬件平台上必须包含t c g 组织定义的t im 硬件模块或是 同类模块。t p m 模块保证设备上电后的启动过程是安全的，这样才能保证t m d 在一个安 全的环境下执行。t m d 单c p u 的硬件结构图见图2 - 1 。 围2 一 t m d 的单c p u 硬件结构圉 8 华东师范大学硕士毕业论文 第2 章基于可信计算技术的嵌入式系统安全解决方案 图中红色外框内的所有部件组成了平台的核心硬件体系结构，是一个独立的可信移动 设备必须包含的组件，其中用红色加重的组件为硬件平台提供安全特性。 c p u 是t m d 中最关键的组件。当系统上电启动时，c p u 首先要执行一段可信启动程 序；启动完成后，c p u 就开始运行各种应用程序，当执行可信应用程序时，c p u 必须为可 信应用程序的数据提供隔离保护，防止被其他进程修改；此外，c p u 还要负责与多种安全 外设交互，如t p m 模块、s i m 卡等。c p u 必须要提供的、最重要的安全机制就是要将可 信应用程序及其数据与一般的应用程序隔离开。 t m d 启动时，首先运行一段可信启动程序，检查平台的完整性和有效性。这段代码是 信任体系中的核心根，称为c r t m ( c o r e r o o t o f t r u s t f o r m e e s u r e m e n t ) 。c r l m 必须存储在 一次性写入的存储空间内，不允许其他代码重写c r t m ，同时必须保证每次系统上电启动 时c r t m 都会被执行。如果有方法能绕开c r t m ，那就不能保证平台的可信性 除了c r t m 的存储空间需要受到保护，一些可信应用程序的代码和一些秘密数据也必 须受到保护。在可信应用程序运行时，其他进程无法访问可信应用程序的内存空间。秘密 数据在存储之前必须通过伸m 加密，而不是直接明文存储。 在t m d 的最高安全等级第三级中，d m a 存取外部数据时，必须受到可信安全内 核的控制，以保证一般应用程序或不可信的操作系统无法访问受保护的存储区域。 2 2 2 2 硬件平台中的安全模块t p m t m d 硬件系统中一个很重要的安全组件就是由t c g 组织定义的1 1 p m 模块。t p m 在 内部处理秘密信息，保证信息不被窃取，为整个系统提供了一个受保护的执行环境；能保 护和存储关键数据；同时在检查平台软件的完整性和有效性时，t p m 可以提供加密引擎。 t p m 是一款s o c ( s y s t e m - o n - c h i p ) 芯片，内部集成了c p u 核、r a m 、r o m ，f l a s h 、 加密算法协处理器、随机数生成器等模块。c o s 系统和配套的应用软件，主要用于完成计 算机平台可靠性认证、用户身份认证，数字签名等功能f 1 0 】。其硬件结构描述如图2 - 2 所示。 9 华东师范大学硕士毕业论文第2 章基于可信计算技术的嵌入式系