（计算机应用技术专业论文）可信嵌入式系统启动研究.pdf

摘要 目前，传统的信息安全手段( 防火墙、入侵检测和杀毒软件等) 在信息安全领域逐 渐表现出其局限性，比如病毒库越来越大、只能被动防范等等。可信计算是解决这一问 题的新方案，已经成为信息安全领域的研究热点。可信计算以加密算法为基础，以t p m 模块为核心，对计算机系统从启动到应用，进行完整性测量、存储和报告可信计算通 过可信计算平台( t 蹦模块) 建立一个完整的测量体系结构和信任的传递模式，通过这 个测量体系结构和传递模式有力地保证了计算机的安全性。其主要思想就是通过测量手 段来保证平台的完整性以及应用的安全往。 本文在深入研究可信计算和系统启动过程的基础上，以嵌入式领域中流行的启动加 载程序蹦o n 为基础，并且结合了软件t p m 模拟器，为基于国产龙芯2 e 处理嚣的计算机 设计和实现了一个轻量型可信嵌入式启动加载程序t p m o n ( t r u s t e dp m o n ) ，并进行了实 验评估。由于现有硬件条件的限制，验证过程是在结合软件t p m 模拟器的条件下进行的。 本文在t p m o n 的设计中充分考虑了启动过程的复杂性和测量数据的多样性，不仅测量了 p m 叫代码和操作系统内核，而且还测量了系统重要的配置文件。本文设计实现的t p m o n 系统完全遵循t c g 组织的规范要求。对于国产龙芯处理器应用于可信计算领域有较好的 应用价值。 关键词：可信计算；p m o n ；t p m ；龙芯；t p m 模拟器 b o o o o a dr e s e a r c ho ft r u s t e de m b e d d e ds y s t e m x uh u a ( c o m p u t e ra p p l i c a t i o nt e c h n o l o g y ) d i r e c t e db yp r o f e s s o rl iz o n g m i n a s s o c i a t ep r o f e s s o rw u s h a o g a n g a b s t r a e t a tp r e s e n t , t h et r a d i t i o n a lm e a n so fi n f o r m a t i o ns e c u d t y ( f i r e w a l l ，i n t r u s i o nd e t e c t i o n a n d 盟垃一v i r e ss o f t w 霉e ，e t e ) i nt h ef i e l do fi n f o r m a t i o ns e c u r i t yg r a d u a l l ys h o wt h e i r l i m i t a t i o n s t m s t o dc o m p u t i n gi san e ws o l u t i o na n di sb e c o m i n gah o tr e s e a r c ht o p i ci nt h e f i e l do fi n f o r m a t i o ns e c u r i t y t r u s t e dc o m p u t i n gi sb a s e do nh a s ha r i t h m e t i ca n di sf o c u s0 1 1 o p e r a t i n gt p m m o d u l e i nt h ep r o c e s sf r o mb o o t i n gt or u n n i n ga p p l i c a t i o n , t h ei n t e g r i t yo f c o m p u t e rs y s t e mc a l lb em e a s u r e d , s t o r e da n dr e p o r t e db yt r u s t e dc o m p u t i n gt e c h o n o l g y t h ek e r n e lo f t r u s t e dc o m p u t i n gi st h et r u s t e dc o m p u t i n gp l a t f o r m ( t p mm o d u l e ) t r u s t e d c o m p u t i n ge a r lb u i l da ne f f e c t i v eg u a r a n t e eo ft h ec o m p u t e rs a f e t yb yac e r t i f i c a t i o ns y s t e m f o rs t r u c t u r a li n t e g r i t ya n dt r a n s m i s s i o nm o d e 。t h em a i ni d e ao ft r u s t e dc o m p u t i n gi st o e n f o r c et h ei n t r g r i t yo f s y s t e m sa n dt h es e c u r i t yo f a p p l i c a t i o n s b a s e do ft h ed e p t hr e s e a r c ho ft r u s t e dc o m p u t i n g ，p r o c e s so fs y s t e mb o o t i n g ，a n dt h e p o p u l a rb o o t l o a d e rp m o no fl o o n g s o nc o m p u t e r , t h i sp a p e rd e s i g n e dal i g h t w e i g h t e m b e d d e db o o t l o a d e r , n a m e dm i s t e dp m o n ( t p m o n ) b e c a u s eo ft h el i m i t a t i o no fe x i s t e d h a r d w a r ec o n d i t i o n s ，t h ef u n c t i o n a lv e r t i f i c a t i o np r o c e s so f t p m o ni sc a r r i e do nt h es o f t w a r e t p me m u l a t o r i n o r d e rt om e e tt h en e e do fc o m p l e x i t ya n dv a r i e t yo fm e a s u r e m e n td a t a , t h e t p m o nn o to n l ym e a s u r e st h es e l fc o d e so ft p m o na n dt h ek e r n e l ，b u ta l s ot h ei m p o r t a n t c o n f i g u r ef i l e si nt h eo ss y s t e m b a s e do nt h e r p me m u l a t o r , t h et p m o n i sf u l lc o m p a t i b l e w i t ht h ea g r e e m e n to ft h et c gt h ew o r ko ft h i sp a p e ri sg o o dg u i d ef o rt h ea p p l i c a t i o n so f l o o n g s o np r o c e s s o ri nt h e l u s t e dc o m p u t i n g f i e l d k e y w o r d s ：t r u s t e dc o m p u t i n g ；p m o n ；t p m ；l o o n g s o n ；t p m e m u l a t o r 关于学位论文的独创性声明 本人郑重声明：所呈交的论文是本人在指导教师指导下独立进行研究工作所取得的 成果，论文中有关资料和数据是实事求是的。尽我所知，除文中已经加以标注和致谢外， 本论文不包含其他人已经发表或撰写的研究成果，也不包含本人或他人为获得中国石油 大学( 华东) 或其它教育机构的学位或学历证书而使用过的材料。与我一同工作的同志 对研究所做的任何贡献均己在论文中作出了明确的说明。 若有不实之处，本人愿意承担相关法律责任。 学位论文作者签名：蜀l 扯 日期：1 口由年o n 2 日 学位论文使用授权书 本人完全同意中国石油大学( 华东) 有权使用本学位论文( 包括但不限于其印刷版 和电子版) ，使用方式包括但不限于：保留学位论文，按规定向国家有关部门( 机构) 送交学位论文，以学术交流为目的赠送和交换学位论文，允许学位论文被查阅、借阅和 复印，将学位论文的全部或部分内容编入有关数据库进行检索，采用影印、缩印或其他 复制手段保存学位论文。 保密学位论文在解密后的使用授权同上。 学位论文作者签名：登翌 指导教师签名： 星坚i 础 日期：如p 7 年7 矿月日 日期：唧午力月 日 中国石油大学( 华东) 硕士学位论文 第一章前言 1 1 课题的提出、研究的目的及意义 目前传统的信息安全技术虽然防范能力都在逐渐提高，但是随之而来的是反病毒系 统的病毒库越来越庞大。由于传统的信息安全技术采用被动地防范措施，并以防外为重 点，而忽略了来自内部的安全威胁，在信息安全领域逐渐显现出它的不足。可信计算技 术则可以解决了来自内部的安全威胁。可信计算的思想是把以计算机系统为基础，从系 统启动过程开始认证，一级认证一级，一级信任一级，建立一个信息的信任传递模式， 从而把这种信任扩展到整个计算机系统。可信计算从源头解决人与程序之间、人与机器 之间的信息安全传递。可信计算已经成为目前信息安全领域的研究新热点。 所谓可信，简单的理解就是系统提供可信赖的服务的能力，同时这种可信赖性是可 以得到证明的。概括的说，可信实际上就是可用性、安全性和可靠性的结合体。一个完 整的可信计算机应该包括可信启动、可信硬件、可信操作系统、可信网络、可信应用程 序和可信i 0 等。可信计算机要求从计算机系统的底层软件入手，加入对可信平台的软 件支持，使用户只能按照规定的权限和访问控制规则进行操作。通过在计算机系统内部 嵌入一个可抵制篡改的可信计算架构，使非法用户无法对其内部的数据进行更改，确保 了数据的完整性，提高了计算机的安全等级。可信平台可以防止篡改，其核心芯片保存 着与芯片及芯片所在平台相关的信息摘要和重要内容。即使当用户的计算机丢失时，一 些重要内容也不会被窃取。 国产龙芯处理器是我国自主研制的高性能通用处理器，围绕龙芯处理嚣构建可信计 算机系统对于我国信息安全具有重要意义。目前，龙芯处理器的产品多以p m o n “1 作为 启动程序，本文旨在为龙芯处理器在可信计算领域的应用设计实现一个可信启动程序 一t p m o n ( t r u s t e dp m o n ) 。可倍蹦0 n 将可以作为龙芯处理器产品安全性和可靠性测量 的信任根，然后从这个信任根到硬件平台，再到操作系统，乃至各种应用，最后把信 任扩展到整个计算机系统。可信p w o n 将是龙芯处理器在各个安全应用领域的基础，例 如：唯一身份识别、系统登录加密、文件加密、网络通讯加密等等。 1 2 国内外研究现状 可信这个概念首先是由国外学者提出。发展到目前，可信计算已涉及到了计算机的 多个层面，包括可信网络、可信启动、可信硬件、可信操作系统和体系结构、应用程序 等。可信计算技术已经有了很广泛的研究和应用。 第一章前言 2 0 0 0 年1 2 月美国卡内基梅隆大学( c m u ) 与美国国家宇航总署( n a s a ) 的a m e s 研究中 心牵头成立了高可信计算联盟，十几家大公司和著名大学参加了该联盟。2 0 0 2 年1 月 比尔盖茨提出可信计算( t r u s t w o r t h yc o m p u t i n g ) 的概念，用通讯方式发送给微软所 有员工。现在。由微软、荚特尔以及1 9 0 家公司参加的可信计算平台联盟( t c p a ) 都在致 力于研究数据安全的可信计算，包括研制密码芯片、特殊的c p u 、主板、操作系统安全 内核等等。 2 0 0 2 年，t c p a 发布了一个可信计算的规范v 1 1 “1 ，同年微软独自公布了代号为 p a l l a d i u m ( 智慧女神) 的“可信赖计算”计划，其目标也是建立一个可防数据非法泄 露的额一代安全电脑架构。p a l l a d i u m 计划在p c 硬件中增加安全芯片，在w i n d o w s 操 作系统核心中增加新的安全模块，构建出与今天p c 不同的“安全p c ”。 2 0 0 2 年底，i b m 发布了一款带有嵌入式安全子系统e s s ( e m b e d d e ds e c u r i t y s u b s y s t e m ) 的笔记本电脑，e s s 依靠安全子系统保存的密钥进行数据保护，只有通过 身份认证，例如输入密码或通过认证设备的用户才可以解密文件。 2 0 0 5 年，t c g 公布了第二个可信计算的规范v 1 2 。埘“。同年i n t e l 推出了 a m t ( a c t i v em a n a g e m e n tt e c h n o l o g y ，活动管理技术) ，i t 部门利用这种技术甚至可以 对关机的计算机进行控制。同年，微软的l o n g h o r n 增加了s e c u r es t a r t u p 功能，这是 一种基于t 蹦的方法，可防止装载不必要的程序。到2 0 0 7 年，i n t e l 和a m d 的c p u 都 将包含硬件虚拟技术，这种技术旨在不安全的应用周围建立安全区域，最终将包含 w i n d o w s 操作系统。 不过目前使用t p m 或加密软件的用户仍然不多，其部分原因是因为这项技术还没有 准备好，早期的芯片速度明显慢于p e n t i u m 或a t h l o n 芯片，而且以前推出的许多芯片 不符合现在的标准t p m l 2 。最新的版本进行了改进，最重要的改进是它可以在另一个 t p m 上对一些私人密钥进行备份。虽然微软已经开始开发p a l l a d i u m ，但是耳前还没有 任何产品问世，预计微软在以后推出的新版w i n d o w s 产品中将包括对本地t p m 的支持， 但是原计划的多数特性在p a l l a d i u m 中都没有包含。微软拟将p a l l a d i u m 更名为 n g s c b ( n e x tg e n e r a t i o ns e c u r ec o m p u t i n gb a s e ，下一代安全计算基础) ，并计划在两 个主要方面超越t p m ，即程序隔离和i o 加密。加密过的i 0 将需要新的硬件并通过 n e x u s 接入，其中n e x u s 是一种与w i n d o w s 一起运行的操作系统 我国在可信计算研究方面起步比较晚，虽然尚未出台一个统一的标准，但是进步却 很快。2 0 0 4 年4 月天融信公司在业界率先推出了可信网络架构t n a 。t n a 是信息安全新 2 中国石油大学( 华东) 硕士学位论文 理念，旨在提出一个面向用户业务的、体系化的安全解决方案。t n h 通过完善可以和安 全管理系统、可信网络接入认证系统、网络行为与内容的监管体系以及信息的可信交换 平台等进行协同与融合，是我国在可信网络及其关键技术方面的突破。 国内的其他厂商如兆日、联想、同方等已经加盟了t c g 组织，这标志着国内可信技 术正与国际接轨。在产品开发方面，联想、同方等公司均己推出或正在推出符合t c g 国 际标准的安全p c ，其核心的可信计算安全芯片除了采用p c 厂商自主研发的安全芯片( 如 联想) 之外，通常与产业链上游芯片厂商进行合作。国产符合t c gt p m l 2 标准的可信 计算安全芯片有望发展成为一种新型的信息产业。北京兆日科技公司的s s x 3 5 安全芯片 已经与若干国内p c 厂商实现了安全p c 的应用合作。 在国内学术界，我国已召开了两届“可信计算与信息安全学术会议”主要讨论了可 信计算与信息安全问题，其中涉及到可信体系结构、可信硬件、可信软件等。 1 3 研究内容和思路 通过阅读国内外文献，本文在深入研究t g r u b 翰和可信计算及其规范的基础上，基 于国产龙芯2 e 平台，将可信计算与目前流行的嵌入式启动程序p m o n 鳓相结合，设计 与实现一个可信p i o n ( 即t p m o n ) 系统。 可信p m 洲的设计思路是在启动加载程序p m o n 中添加对哈希算法s h a l m 鲫的支持， 结合软件t p m 模拟器唧，实现对p m o n 代码、操作系统内核和操作系统的重要配置文件 进行完整性的测量“”等功能。 设计原理是在p m 洲中实现对s h a l 算法的支持，用来对p m o n 代码和操作系统内核 生成信息摘要，并把摘要用作系统启动的k e y 文件，然后用这个k e y 文件与期望的值比 较，如果比较的结果不一致，系统就会重新启动，如果比较的结果一致，那么p m o n 就 把控制权交给操作系统，接着就是实现由t p m 模拟器对系统重要配置文件进行完整性测 量。如果比较结果不一致，通过给北桥寄存器赋值，使c p u 产生复位信号，系统重新启 动。如果比较结果相同，操作系统就会启动到操作系统的登录界面，由此完成t p m o n 对 计算机系统的可信引导。 1 。4 课题的创新点 本课题的创新点主要有以下几个方面： ( 1 ) 结合龙芯2 e 处理器的结构特点，通过对龙芯嵌入式平台系统的启动过程和可 信计算的研宄，设计了一个可信的嵌入式启动加载程序t p m o n 。在t p m o n 的实现过程中， 3 第一章前言 虽然受到了硬件条件的限制，但是通过结合软件t p m 模拟器，本文验证了t p m o n 在测量 启动加载程序自身、操作系统内核和d e b i a nl i n u x 操作系统的主要配置文俘的完整性 功能； ( 2 ) 启动加载程序p m o n 尽管应用很广泛，但是本文第一次提出可信功能增强的思 想。并进行了实现。而其本文的工作为龙芯处理器应用于可信嵌入式系统领域建立一个 通用的可信启动程序框架； ( 3 ) p m o n 功能增强。通过对p m o n 源代码和s h a i 算法的深入分析，将s b a i 算法 移植到p m o n 中，进一步完善了p m o n 的功能，使p m o n 具有可验证完整性的功能； ( 4 ) t p m 模拟器增强。经过移植和优化，使t p m 模拟器可以应用于龙芯计算平台， 而且增强了t p m 模拟器对操作系统的配置文件进行完整性测量的功能。 1 5 课题的主题思路与组织结构 本文主要分为如下六部分： 第一章前言。介绍了本文的研究目的、国内外研究现状及本文的主要研究内容和 思路，阐明本文的研究价值。 第二章基于龙芯2 e 平台启动加载程序p m o n 的介绍。主要介绍了龙芯处理器，特 别是龙芯2 e 的特点及其应用；介绍了p m o n 的启动流程、功能及其架构。 第三章可信计算。主要介绍了可信计算的定义和可信计算平台的思想及其应用， 还介绍了国内外在信息安全领域的等级划分，同时分析了可信p m o n 所处的等级。 第四章t p m 模块。重点阐述了t p m 模块和t p m 模拟器的概念及其功能和工作流程， 并且在此基础上根据龙芯2 e 平台运行的操作系统的特点进行了改进。 第五章t p m o n 的研究与实现。可信p m o n 的最终实现是以可信计算规范为根本，以 龙芯2 e 处理器为平台，依照p m o n 的架构和软件t p m 模拟器的特点设计实现了一个可信 p m o n 系统，并对t p m o n 的实验结果进彳亍了分析。 第六章结束语。对研究工作进行了总结，归纳了研究所取得成果和创新，并给出 了有待进一步研究解决的问题。 4 中国石油大学( 华东) 硕士学位论文 第二章龙芯2 e 平台的启动加载程序p m o n 介绍 2 1 龙芯处理器介绍 龙芯处理器( 英文名字l o o n g s o n g o d s o n ) 由我国自主研发的一款高性能通用微处 理器。龙芯处理器采用了m i p s 体系结构1 。目前龙芯处理器主要包括龙芯l 号系列、 龙芯2 号系列，以及正在研发的龙芯3 号( 如图2 - 1 “2 3 ) 。 性t | 黯。警 翻、! l 一 0 = 二= _ = 二二= ：一一= = 二一_ 二二：二= + i ，mi o 图2 1 龙芯处理器路线图 f i g2 - 1t h er o u t eo f l o n g s o n 龙芯1 号处理器采用定点3 2 位、浮点6 4 位结构，实现了国际上处理器设计的大量 先进技术，如指令流水线、指令动态调度、猜测执行、高速缓存、精确中断等，可以广 泛应用于汽车电子、数字机项盒、安全网关与智能网卡、身份指纹识别系统、网络计算 机、工业控制计算机等嵌入式应用领域。 龙芯2 号处理器系列包括l o o n g s o n2 b 、l o o n g s o n2 c 、l o o n g s o n2 d 、l o o n g s o n2 e 、 l o o n g s o n2 f 。龙芯2 号采用了全6 4 位设计，7 1 0 级流水线，四发射结构，最多可以 有6 4 条指令乱序执行。龙芯2 号处理器经过不断的性能改进和多次的流片，目前性能 稳定，安全可靠。龙芯2 号处理器支持完整的6 4 位中文d e b i a nl i n u x 操作系统，全功 能的m o z i l l a 浏览器、多媒体播放器和o p e n o f f i c e 办公软件，可应用于高端瘦客户机、 金融智能机具、高端机项盒、p c 桌面应用、网络防火墙、安全服务器等领域。 龙芯3 号处理器将在龙芯2 号处理器的体系结构的基础上，采用更先进的s m t ( 同 时多线程) 和c m p ( 片内多处理器) 结构技术，采用更先进的生产工艺。预计龙芯3 号 处理器将达到与国外同期高端处理器性能相当的水平。未来的龙芯3 号处理器将面向支 持大规模科学和工程计算的高端应用领域。 5 髓旦 掰善 誓一 ， 黯墨争” 髓- ) 黯 一 一 一 ； 第二章龙芯2 e 平台的启动加载程序p m o n 介绍 在产业化应用方面，龙芯1 号系列和早期的龙芯2 c 主要定位在嵌入式应用领域， 例如税控机和一些s o c 等。最新的龙芯2 e 2 f 处理器将主要应用在高端嵌入式和中低端 桌面计算领域。比如推出的龙芯p c n c 计算机。龙芯3 号系列处理器则定位于服务器和 高性能机应用。龙芯处理器的优势体现在低成本、低功耗和高安全性 2 2 龙芯2 e 处理器的应用 在龙芯处理器的系列中，目前龙芯2 e 的应用最为广泛。龙芯2 e ( 即龙芯2 号增强型 处理器) 是一款6 4 位m i p s i 指令集的通用r i s c 处理器“”。它采用超流水线以及4 发射结 构，在转移猜测、寄存器重命名、动态调度、以及c a c h e 结构设计等方面都达到国际先 进水平。对龙芯2 e 的s p e c 2 0 0 0 基准程序测试表明，1 g h z 主频的龙芯2 e 处理器，定点分值 为5 0 3 ，浮点分值也为5 0 3 ，其性能与1 3 g h z 的p e n t i u mi v 处理器相当。 龙芯2 e 处理器的前端总线( 6 4 b i ts y s a d ) 最快支持1 3 3 m h z 。片内集成d d r 控制器。 龙芯2 e 功耗只有4 w 左右，是国内首款6 4 位高性能通用c p u 芯片。由于龙芯处理器采 用类m i p s 指令系统，软件移植工作量大大减少，目前支持主流的6 4 位d e b i a nl i n u x 操作系统和x - w i n d o w 视窗系统。在龙芯2 e 系统上可以流畅地支持桌面办公软件 o p e n o f f i c e 、全功能m o z i l l a 浏览器、多媒体播放器( 已经能支持多种格式) 和许多游 戏等应用。 目前龙芯2 e 处理器已应用于多种电子产品，主要例如低成本个人电脑( 例如福珑 迷你电脑) 、网络计算机( 例如脉珑网络计算机) 和龙芯笔记本计算机等，并且初步形 成了产业链。龙芯2 e 的应用如下： ( 1 ) 基于龙芯2 e 的个人计算机 福珑迷你电脑采用最新的6 4 位龙芯2 e 处理器，主频6 0 0 m i t z - 8 0 0 m h z ，集成d d r 控 制器，自主设计配套北桥芯片组，支持电视输出，在成本、功耗、体积、性能等方面与 普通桌面p c 相比有一定的优势。福珑迷你电脑支持基于d e b i a nl i n u x 平台的桌面计算 应用，具有计算能力强、移动便携、廉价实用等特点，可广泛应用于新农村信息化、政 府办公、高校教育、金融证券、厂矿生产监测、高端机顶盒、多媒体教室、涌店信息化、 多媒体信息亭等桌面计算领域。 ( 2 ) 基于龙芯2 e 的网络机 脉珑网络计算机采用最新的6 4 位龙芯2 e 处理器，支持无盘和d o c 盘两种存储方案， 是一种应网络时代要求的新型计算机系统。与传统p c 机和普通网络计算机不同的是，它 6 中国石油大学( 华东) 硕士学位论文 的运行能力不仅可以通过高速网络环境从后端服务器获得，而且对于强度大的多媒体计 算则由本地高性能龙芯c p u 直接支持，由于网络计算机具有易管理、易操作、易维护、 安全性好等特点，可广泛应用于中小学教育信息化、中小企业信息化和行业信息化等领 域。 ( 3 ) 基于龙芯2 e 的笔记本计算机 龙芯笔记本计算机采用最新的6 4 位龙芯2 e 处理器，主频6 6 0 m h z 一8 0 0 删z ，集成光驱、 无线网络，具有低功耗、高性能、移动便携、廉价实用等特点。龙芯笔记本计算机采用 了开源可定制的d e b i a nl i n u x 以及瓶华华镭1 i n u x 等国产操作系统，具有高度自主知识 产权，填补了国内自主知识产权笔记本计算机的空白，可以广泛应用于低成本信息化领 域和国防信息安全领域。 目前龙芯2 e 处理器已经在上述产品中得到了较好的应用，龙芯2 e 处理器的稳定性和 可靠性，也已经得到了很好的实践证明。在龙芯2 e 平台上做可信p m o n 是完全可行的，而 且有很好的应用价值。 2 3 启动加载程序p n o n 简单的说，p m o n 是一种颇为流行的b o o t l o a d e r ( 启动加载程序) ，也就是在操作 系统内核运行之前运行的一段程序。通过b o o t l o a d e r 程序可以完成初始化堆栈设置、 初始化相关的硬件设备和建立内存空间的映射图，从而将系统的软硬件环境引导到一个 合适的状态，然后加载内核，以便为最终调用操作系统内核准备好正确的环境。p m o n 除了具有b o o t l o a d e r 这些功能外，p m o n 还提供对e l f 格式文件进行调试的功能。 经过移植和优化后，龙芯版本的p m o n 已经作了多种功能完善，例如测试功能、设 置功能等。同时添加了对硬盘、u s b 协议、e x t 2 文件系统以及通用显卡的支持，修复了 d e b u g 功能，添加一些新的交互命令，并增加了系统的启动方式，包括u 盘、u s b 硬盘、 t f t p 服务器和硬盘等，扩展性也得到提高，具有作为产品的稳定性和可靠性。 基于龙芯2 e 平台上，p m o n 的启动加载过程是这样的：在p m o n 上电时，c p u 将从 o x b f c 0 0 0 0 0 取指令开始执行，而f l a s h 在系统中的地址就是从该地址开始的。p m o n 的功 能就是完成对c p u 运行环境的建立，板级相关的初始化( 包含对主板北桥、南桥及其 i o 功能的设置) 和堆栈的建立，对外围硬件设备的检测，以及对系统p c i 总线资源进 行分配；同时可以以不同的方式下载内核到内存中，比如从本地硬盘、u 盘、u s b 硬盘 和光盘上，或者基于网络从t f t p 服务器上加载内核。然后运行内核，并且根据 7 第二章龙芯2 e 平台的启动加载程序p m o n 介绍 r o o t = d e y s d a l 或者r o o t = d e v h d a l 来选择启动可选的操作系统，最后直至将系统控 制权交给操作系统。表2 - i 描述了嘲o n 的功能。 表2 - 1p m o n 的功能及其描述 1 h b k2 - lf h n o t i o na n dd e s c r i f i o no f p m o n 功能项操作描述 硬件初始 初始化c p u 寄存器 把c p o 的寄存器清0 ，设置堆栈。 化 清t l b t l b 清0 ，调用t l b i n i t 初始化t l b 表。 初始化北桥寄存器初始化北桥p c l 0 和p c i l 的i o 。g e m 寄存 器。把高地址寄存器清0 。 串口初始化设置波特率 s d r a m 初始化 写配置信息，读r o m 内容。 初始化c a c h e初始化i 级和i i 级c a c h e ，设置c p o 的 c o n f i g 寄存器。 拷贝p m o n 代码把p m 渊代码从f l a s h 拷贝到r a m 中。 跳转到i n i m i p s 从汇编跳转到与体系结构无关的c 代码。 分配p c i 空间为p c i 设备分配g e n 和i o 空间。 初始化显卡模拟器x 8 6 指令，初始化显卡。 下载内核本地硬盘l o a d d e v f s e x l 2a w d o b o o t v m l i u x gc o n s o l c 吲yr o o t = d e v h d a l u 盘 l o a d d e v f s e x t 2 u s b o b o o f f v m l i n u x gc o n s o l e = t r yr o o t = d e v s d a lr o o t d e l a y = l o 移动硬盘 l o a d d e v f s e x t 2 u s b o b o o t v m l i n u x gc o n s o l e = t r yr o o t = i d e v l s d a l r o o t e d e l a y 2 2 0 t f t p 服务器 l o a dt f l p x x x x v m l i n u x gc o n s o l e = r ym o l = - d e v h d a l 光盘 1 0 a dj s 0 9 6 6 0 u s b o b o o t v m l i n u x gc o n s o l e = t t yr o o t = d e v h d a l 可运行的龙芯版p m o n 可以有两种方式制作：一种方式是采用交叉编译，例如在x 8 6 8 中国石油大学( 华东) 硕士学位论文 平台上，通过交叉编译工具m i p s - e l f - g c c 编译完成；另一种方式是本地直接编译，例 如在福珑电脑上直接通过l o o n g s o nd e b i a nl i n u x 的g c c 编译器完成。相比较而言，由 于x 8 6 平台速度快，所以采用交叉编译的速度会快一些。p m o n 编译完成后，生成一个 g z r o m b i n 的压缩文件，然后把g z r o m b i n 烧写到f l a s h 中。当机器上电后，首先运行 的就是这个可执行的二进制文件。 在p m o n 系统结构中，主要包括两个模块，即s t a r t s 和t g t _ m a c h d e p c 。其中 s t a r t s 是与龙芯2 e 处理器体系结构相关的汇编部分，是在t g t _ m a c h d e p c 运行之前 的需要运行的代码，也是整个p m o n 运行的起点；t g t _ m a c h d e p c 是一段c 代码，它是 与板级相关的一段代码。s t a r t s 和t g t _ m a c h d e p c 共同实现了如表2 一l 中p 姗n 的初 始化和相关的操作。p m o n 初始化流程图，如图2 - 2 所示。 图2 - 2p m o n 的架构 飚2 - 2f r a m eo f p m o n 由于p m o n 的移植性比较好，功能比较强大，结构化清晰，所以基于p m o n 实现龙芯 平台上的可信嵌入式启动加载程序是可行和有价值的。 9 第二三章可信计算 第三章可信计算 3 1 可信计算 可信计算的概念由t c g ( t r u s t e dc o m p u t i n gg r o u p ，可信计算组织，它的前身是 t c p a ，即可信计算联盟) 于2 0 0 1 年提出。可信计算是信息安全技术的一种，但是它又 不同于传统的信息安全技术。可信计算没有一个统一的定义，不过t c g 组织从可信行为 的角度来定义了可信计算：一个实体是可信的，如果它的行为总是以所期望的方式，朝 着预期的目标。也就是说一个系统所提供的服务可以论证是可以信赖的。操作系统所提 供的服务是用户可感知的一种行为，而用户则是能与之交互的另一个系统( 用户或者物 理的系统) ，计算机系统的可信性应包括可用性、可靠性、可维护性、安全性、健壮性、 可测试性、可维护性”1 等多个方面。 如果根据可信计算的定义，似乎可信计算将成为一个无限可信的概念。但是事实上 完全的、绝对的可信是不可能实现的，也是没有必要的。因此，计算中的可信标准、可 信等级、可信区间及可信度的定义将成为可信计算工程实现的关键内容。值得说明的 是，可信计算是从一个新的视点解决计算的安全问题，不同于传统的安全概念，它具有 双向安全的含义，即： ( 1 ) 保证计算机系统用户本身的利益； ( 2 ) 维护外来应用的运行。 3 1 1 传统的信息安全技术 ”计算机信息安全应包括三个方面，。唧保密性i 完整性和可靠性；保密性指的是防止 非授权泄密；完整性指的是防止非授权修改；可靠性指的是防止非授权存取。但计算机 操作系统本身固有的脆弱性和信息安全技术的局限性影响到计算机信息系统的不安全。 计算机信息的脆弱性主要表现在硬件、软件和数据三个方面。硬件方面表现在存储介质 的损坏或丢失会造成信息的丢失，成为危及信息安全的重要因素。软件方面表现在只要 掌握一定的软件知识，就可通过各种软件非法调用重要信息，窃取机密，或者制造病毒 来攻击系统。数据方面表现在由于信息系统具有开放性和资源共享的特点，极易受到各 种非法入侵行为的潜在威胁，特别是在网络环境下，这种潜在威胁就更加难以预料。 传统的信息安全技术主要包括放火墙、入侵检测和杀毒软件( 又称老三样) ，虽然 这些传统的信息安全技术每时每刻都在不断的完善和更新，但是他们只能被动地防范， 而且只能以防外为主。当计算机内部出了问题，就没有更好的办法。同时这些传统的安 l o 中国石油大学( 华东) 硕上学位论文 全技术也变得越来越臃肿，受恶意攻击层出不穷，病毒种类花样翻新，还有一些驻存于 电脑硬盘中恶意程序向网络上肆意传播更让人防不胜防。 通常信息系统包括三层服务器、网络和计算机终端，现有的信息安全技术对他们的 保护手段是逐层递减的，这说明人们往往把过多的注意力放在对服务器和网络的保护 上，而忽略了对终端的保护，这显然是不合理的。这是因为，首先，终端往往是创建和 存放重要数据的源头；其次，绝大多数的攻击事件都是从终端发起的。这恰恰是人们对 待信息安全闯题上的一个误区。究其根源，都是终端体系结构和操作系统的不安全所引 起的。如果从终端操作平台实施高等级的安全防范，这些不安全因素将从终端源头被控 制。可信计算的出现正是为了解决计算机终端的安全问题，可信计算不同于传统的信息 安全技术，其核心是t p m ( t r u s t e dp l a t f o r mm o d u l e s ) 模块芯片“州”1 ，所有文件的测 量、存储和报告，都是基于这个芯片。可信计算和传统的安全技术主要的区别在于可信 计算能够主动去测量任意一个文件，并且以防内为主。 3 1 2 可信计算平台的基本思想 可信计算技术是信息安全主流技术从非对称计算技术、密码保护技术的阶段性延 伸，由此也使信息安全产品的发展从被动防御向积极防御和可信计算递升，安全方案从 外网安全向内网安全，再到应用方案的不断深入。 在各种信息安全技术措施中，硬件结构的安全和操作系统的安全是基础，密码。州、 网络安全等技术是关键。只有从整体上采取措施，特别是从底层采取措施，才能比较有 效地解决信息安全问题。要想提高计算机的安全性。一只有从芯片。主板等硬件结构和 b i o s 、操作系统等底层软件做起，通过软件和硬件的结合测，综合采取措施，才能比较 有效地提高计算机系统的安全性。 可信计算技术的核心是r t m ( r o o to fm e a s u r e m e n t ) 和t p m 模块安全芯片。r t m 是 一种可信度的根。”，即信任链的源头。t p m 实际上是一个含有密码运算部件和存储部件 的芯片，以t p m 为基础的可信计算可以从几个方面来理解：用户的身份认证，这是对使 用者的信任；平台软硬件配置的正确性，这体现了使用者对平台运行环境的信任；应用 程序的完整性和合法性，体现了应用程序运行的可信；以及平台之间的可验证性，网络 平台之间的相互信任。 可信计算平台嘲是采用可信计算技术的终端平台架构。它从计算的硬件平台出发， 配合软件支持，对现有的计算机体系进行改进，从信任层次上看待信息安全问题，以行 为安全为目的，主要解决平台身份证明和数据的安全存储等安全的基础问题。如果从一 第三章可信计算 个初始的“信任根”出发，在平台计算环境的每一次转换时，这种信任状态可以通过传 递的方式保持下去不被破坏，那么平台上的计算环境始终是可信的，在可信环境下的各 种操作也不会破坏平台的可信，平台本身的完整性得到了保证，终端安全自然也得到了 保证，这就是信任链的传递机制。图3 一l 表示了基于龙芯2 e 平台的t p m o n 的可信任链。 可信的机制主要从以下三个方面体现：可信的测量指的是任何将要获得控制权的实体， 都需要先对该实体进行度量，主要是指完整性值的计算。从平台加电开始，真到运行环 境的建立，这个过程就一直在进行；度量的存储指的是所有度量值将形成一个序列，并 保存在t p m 中，同时还包括度量过程日志的存储；度量的报告指的是对平台是否可信的 询问正是通过“报告”机制来完成的，任何需要知道平台状态的实体需要让t p m 报告它 这些度量值和相关日志信息，这个过程需要询问实体和平台之间进行双向的认证。如果 平台的可信环境被破坏了，询问者有权拒绝与该平台的交互或向该平台提供服务。 图3 - 1 基于龙芯2 e 平台的t p m o n 可信任链 r i g3 - 1t r u s t e dc h a i no fb a s e dl o n g s o n 2 et p m o n 根据图3 1 所示，可信计算首先建立一个可信任根。可信任根的可信性是基于硬件 并由物理安全和管理安全确保，然后再建立一条信任链，从信任根开始到硬件平台，到 操作系统，再到各种应用，一级认证一级，一级信任一级，从而把这种信任扩展到整个 计算机系统，确保计算机系统的可信性。同时，在这一个过程中，可信计算系统完成了 可信测量、存储和报告等事务。 3 1 3 可信计算平台的价值 可信计算以及相似概念之所以备受推崇，究其根本源自于日益复杂的计算环境中层 出不穷的安全威胁，传统的安全保护方法无论从构架还是从强度上来看已经力有未逮。 目前业内的安全解决方案往往侧重于先防外后防内，先防服务设施后防终端设施，而 可信计算则反其道而行之，首先保证所有终端的安全性，即透过确保安全的组件来组建 更大的安全系统。 可信计算平台体系结构( 如图3 - 2 。”) 在更底层进行更高级别的防护，通过可信赖的 硬件对软件层次的攻击进行保护可以使用户获得更强的保护能力和选择空间。传统的安 全保护基本是以软件为基础附以密钥技术，事实证明这种保护并不是非常可靠而且存在 着被篡改的可能性。 1 2 中国石油大学( 华东) 硕士学位论文 安全应用方案( 如电子商务) 蜜夸应用 + 安全数据库系统| 安全欺件，接口 、毫，千 撵 w n a a 孵 l 安拿i n 呲 作 安全加圉 2 磊 ii 镜 pt 弋。7 乇， 安全管理起 i f 2、 t8 b o o t l e a d e r c p u 揣 7千 芯片组匾悟 安全芯片 j e 安全l 帕 l 1 图3 - 2 可信平台体系结构 f i 9 3 - 2 a r c h i t e c t u r e o f t r u s t e d 可信计算平台将认证、加密和解密等基本的安全功能写入硬件芯片，并确保芯片 中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除， 否则理论上是无法突破这层防护的，这也是构建可信的计算机设备以及建立可信的计算 机通信的基础。在硬件层执行保护的另外一个优势是能够获得独立于软件环境的安全保 护，这使锝可以设计出具有更高安全限制