嵌入式TPM及信任鏈的研究與實現(xiàn)

吳 悠，李 光，劉紹方，張 鵬

（華北計算技術研究所，北京100083）

0 引 言

相比普通PC，嵌入式系統(tǒng)在研發(fā)過程中對安全設計的重視不夠充分，安全性較差、易受攻擊的特點使其所面臨的硬件和軟件攻擊與日俱增。隨著可信計算技術的發(fā)展，將可信計算理念引入嵌入式領域成為增強嵌入式系統(tǒng)可信與安全的研究方向之一，已經(jīng)有較多學者在該領域展開研究并取得一定的成果。與PC可信平臺一樣，嵌入式可信平臺的關鍵在于信任根和信任鏈。在已有研究中嵌入式信任根通常采用現(xiàn)有的TPM（trusted platform module）芯片或TCM（trusted cryptography module）芯片，而信任鏈則大多為鏈式結構，部分研究采用了我國學者提出的星型結構。由于依賴現(xiàn)有的芯片，嵌入式信任根在功能與物理接口的靈活性上存在一定限制，而鏈式和星型的信任結構也分別存在信任損失較大和嵌入式信任根負擔較重的缺點。

本文對嵌入式信任根和信任鏈結構的設計進行討論，在此基礎上構建并實現(xiàn)了一種嵌入式可信平臺，該平臺基于Intel的Xscale處理器PXA270和Linux操作系統(tǒng)，以FPGA（field－programmable gate array）實現(xiàn)的嵌入式 TPM作為平臺的信任根，并在其中內(nèi)置可信度量核心根CRTM（core root of trust for measurement）； 嵌 入 式 TPM 與PXA270間通過FPGA內(nèi)的雙端口RAM地址空間進行通信；信任鏈采用了結合鏈式和星型結構的混合式結構。嵌入式可信平臺通過對引導程序、操作系統(tǒng)和應用程序的完整性度量、驗證和執(zhí)行控制，實現(xiàn)完整的信任關系傳遞，從而提高嵌入式系統(tǒng)的可信與安全。

1 可信計算基本思想

對于信息系統(tǒng)而言，大多數(shù)安全隱患來自于終端?？尚庞嬎慵夹g作為近年發(fā)展起來的一種信息系統(tǒng)安全新技術，將解決信息安全問題的思路轉移到解決終端安全問題上來［1］，從終端計算平臺的體系結構入手，結合底層硬件和軟件，在整體上采取安全措施以保證信息系統(tǒng)的可信與安全，通過提高終端安全性從源頭上加強對不安全因素的控制。

可信計算的兩個基本要素是信任根和信任鏈，其基本思想是首先在計算機系統(tǒng)中建立一個信任根，信任根的可信性由物理安全、技術安全和管理安全共同確保；然后建立一條信任鏈，從信任根開始到硬件平臺、操作系統(tǒng)、再到應用，一級測量認證一級，一級信任一級，最終把這種信任擴展到整個計算機系統(tǒng)［2］。在可信計算組織TCG（trusted computing group）的可信計算體系中，信任根作為計算平臺的信任基礎，被定義為可信平臺模塊TPM，為平臺身份提供唯一性標識。在TPM 1.2規(guī)范［3］中，建議TPM是一個包含有多種密碼運算部件并具備存儲功能的安全芯片，能夠在其內(nèi)部存儲密鑰，并進行加解密操作，其主要功能包括數(shù)字摘要、簽名與認證、密鑰與隨機數(shù)生成、存儲保護和安全審計，并具有可信啟動和自檢功能。TCG的信任度量采用的是鏈式結構，信任關系的建立和傳遞主要基于對系統(tǒng)組件的完整性度量與驗證，信任鏈上的每個組件都必須通過驗證才被允許加載和運行，以此來確保系統(tǒng)從啟動到運行的整個過程的可信性。

2 嵌入式可信平臺體系結構

嵌入式可信平臺采用嵌入式TPM作為信任根，結合信任鏈技術增強嵌入式系統(tǒng)的安全性，其硬件基本結構如圖1所示。整個系統(tǒng)在硬件上主要分為嵌入式系統(tǒng)主板和嵌入式TPM兩部分。嵌入式系統(tǒng)主板以Intel的Xscale處理器PXA270為核心，除SDRAM、Flash等外圍設備外，還包括Micro SD、觸摸屏、USB等外部輸入輸出設備。嵌入式TPM則基于SOPC架構，采用大規(guī)模高端FPGA－Stratix器件，結合嵌入式微處理器軟核Nios II、Avalon總線交換結構及各種系統(tǒng)外設IP核（SDRAM控制器、雙端口RAM、Flash總線控制器等）構成。Avalon交換總線作為內(nèi)部總線，實現(xiàn)嵌入式TPM內(nèi)Nios II軟核與各個功能模塊之間的數(shù)據(jù)、控制信號的互連互通。FPGA內(nèi)部集成了多個硬件算法功能模塊，包括非對稱加密算法RSA、對稱加密算法AES和散列算法SHA－1，而真隨機數(shù)則從外置的WNG5物理噪聲源芯片中獲取。

圖1 嵌入式可信平臺硬件體系結構框架

在PC可信平臺中，TPM芯片通常采用LPC（Low Pin Count）總線接口實現(xiàn)與CPU之間的命令和數(shù)據(jù)傳輸，但嵌入式設備大多不具備LPC接口，因此本文方案中，F(xiàn)P－GA提供了與嵌入式CPU的總線接口，直接掛載在嵌入式CPU上，并在FPGA內(nèi)部設計了雙端口RAM作為輸入輸出緩沖區(qū)，配合通信協(xié)議實現(xiàn)嵌入式TPM與嵌入式CPU之間的信息交互。

3 帶數(shù)據(jù)恢復功能的混合式信任結構

TCG的信任傳遞采用的是一種鏈式結構，在PC可信平臺上，信任關系沿著CRTM、BIOS、OSLoader、OS、應用程序逐級傳遞，信任邊界的每一次擴展都須先進行目標代碼的度量，然后轉移執(zhí)行控制權［4］。這種鏈式結構的優(yōu)點是實現(xiàn)了可信計算的基本思想，與現(xiàn)有計算機有較好的兼容性，并且實現(xiàn)簡單；而其缺點一是信任鏈較長導致的信任損失，二是由于采用了迭代計算方式來獲得完整性度量值，系統(tǒng)任何軟件組件的變化都會導致重新計算［2］，在實現(xiàn)和使用上會比較麻煩。

我國學者提出了一種帶數(shù)據(jù)恢復功能的星型信任結構并在嵌入式系統(tǒng)中進行了研究和應用［5－6］，相比TCG的鏈式結構，星型信任結構沒有多級信任傳遞，信任損失小，而數(shù)據(jù)恢復功能也使其安全性和可靠性更高。但由于所有的完整性度量工作都由內(nèi)置在TPM中的CRTM來完成，使得TPM的負擔會比較重。

本文方案結合鏈式和星型信任結構，基于Linux操作系統(tǒng)提出并實現(xiàn)了一種帶數(shù)據(jù)恢復功能的混合式信任結構，其信任關系傳遞和軟件組件啟動順序參見圖2。在這種信任結構中，CRTM內(nèi)置于嵌入式TPM中，系統(tǒng)加電后首先由CRTM分別對引導程序Bootloader和操作系統(tǒng)內(nèi)核OS Kernel進行完整性驗證，并保存驗證結果；隨后嵌入式CPU在啟動過程中依次從嵌入式TPM獲取Bootloader和OS Kernel的驗證結果，根據(jù)驗證結果判斷是否加載和運行；應用程序的完整性驗證則由操作系統(tǒng)進行。在軟件組件（包括系統(tǒng)軟件和應用程序）的啟動過程中，當發(fā)現(xiàn)完整性度量值與保存的基準值不一致時可以利用恢復功能進行修復。

圖2 嵌入式可信平臺信任傳遞示意

CRTM是可信計算平臺加電后最先啟動的部分，由其發(fā)起信任狀態(tài)的傳遞，是整個信任鏈的起點。因為不會再有其他組件來驗證CRTM的可信性，因此它被系統(tǒng)默認為是絕對可信的。在TCG可信平臺中，CRTM并不明確，大多數(shù)PC可信平臺的實際實現(xiàn)是以BIOS的Boot Block或整個BIOS作為CRTM［7］。但在嵌入式平臺中，這種方式有其不足之處：首先，PC平臺的CPU架構較為單一，而嵌入式CPU的種類繁多，所以CRTM的跨平臺性在實現(xiàn)上會較為困難；其次，PC可信平臺的CRTM從外部不太容易直接訪問，故安全性較高，但對于嵌入式平臺，利用各種嵌入式工具可以很容易的修改燒寫在Flash中的引導程序和操作系統(tǒng)等軟件組件，這使得CRTM自身的安全性存在隱患［8］。將CRTM放置在嵌入式TPM內(nèi)部則能夠較好的避免這些問題，CRTM的實現(xiàn)無需考慮CPU架構的差異性，與此同時TPM也能為CRTM提供物理保護。

嵌入式可信平臺在系統(tǒng)啟動時用星型結構驗證Bootloader和OS Kernel的完整性，而應用程序的完整性驗證由操作系統(tǒng)進行，因此這部分的信任傳遞仍然是鏈式的。這主要是考慮到嵌入式TPM的性能。TPM能夠提供硬件級密碼學計算功能，但其本身資源有限，在計算平臺中并不是作為一個高性能器件而存在的。完全的星型信任結構能最大限度的降低信任傳遞所帶來的損耗，但TPM需要完成所有的完整性度量及驗證工作，計算壓力比較大，可能會造成平臺工作效率的降低。在嵌入式Linux系統(tǒng)中，Bootloader和OS Kernel通常較小，且不同的嵌入式設備中這兩個組件的尺寸差異不大，而應用程序依據(jù)嵌入式設備的實際功能往往有很大差別，因此在本文方案中，Bootloader和OS Kernel由CRTM進行完整性度量，降低信任傳遞的損耗，而應用程序的完整性度量由資源更豐富、計算能力更強的嵌入式CPU和操作系統(tǒng)完成，盡量減少完整性驗證過程對系統(tǒng)運行效率的影響。

嵌入式可信平臺的啟動過程如圖3所示。

系統(tǒng)加電后，嵌入式TPM首先通過復位信號控制嵌入式CPU進入復位狀態(tài)，并完成自身的初始化和自檢，隨后CRTM程序啟動，依次從存儲器讀取Bootloader和OS Kernel進行完整性驗證并記錄驗證結果。如果驗證都成功，嵌入式TPM釋放復位信號使嵌入式CPU正常啟動，而自己則進入就緒狀態(tài)等待命令；如果發(fā)現(xiàn)Bootloader驗證失敗，會認為其完整性已被破壞，此時嵌入式TPM會對Bootloader進行修復，并以一定方式（如指示燈）給用戶相應提示。嵌入式CPU啟動后，系統(tǒng)首先加載運行Bootloader，隨后由Bootloader從嵌入式TPM獲取OS Kernel的完整性驗證結果，只有確認驗證通過時才進一步加載OS Kernel并轉移控制權。

完整性度量與驗證的意義在于發(fā)現(xiàn)系統(tǒng)軟件組件本身的數(shù)據(jù)完整性是否被破壞，如果已經(jīng)被破壞，那么可信計算平臺除了要阻止其繼續(xù)運行外，還需要能夠提供一種機制將其恢復到正常狀態(tài)。嵌入式TPM在內(nèi)部構建了一個備份恢復存儲區(qū)，用來保存Bootloader、OS Kernel等希望保護的軟件組件備份代碼，如果在系統(tǒng)啟動時發(fā)現(xiàn)完整性驗證失敗，可由嵌入式TPM啟動恢復功能。嵌入式TPM會從備份恢復區(qū)讀出指定的備份代碼（Bootloade或OS Kernel等），并將其覆蓋到嵌入式主板啟動Flash（圖1中Flash－1）的特定位置，從而恢復系統(tǒng)軟件的完整性，最后嵌入式CPU加載和運行恢復后的代碼，系統(tǒng)繼續(xù)啟動。因為Bootloader、OS Kernel是系統(tǒng)的核心軟件組件，所以嵌入式TPM在恢復前同樣會驗證備份代碼本身的完整性，以確?；謴统晒Α４送?，Bootloader的恢復操作在嵌入式TPM的啟動過程中進行，能夠確保嵌入式CPU上運行的整個軟件系統(tǒng)是從可信狀態(tài)開始啟動的。

圖3 Bootloader與OS Kernel的啟動驗證流程

4 嵌入式TPM的片上系統(tǒng)

嵌入式TPM的軟件系統(tǒng)一個片內(nèi)操作系統(tǒng)（chip operating system，COS），運行在Nios II軟核上，負責TPM 中所有硬件模塊的初始化與管理，同時接收和處理來自外界的命令，完成TPM的各種功能。TPM COS的體系結構參見圖4，主要分為系統(tǒng)層和應用層兩部分，系統(tǒng)層負責嵌入式TPM內(nèi)部各硬件模塊的管理，屏蔽硬件細節(jié)，并向應用層提供統(tǒng)一的訪問接口；應用層則負責完成嵌入式TPM的各種可信功能模塊，包括CRTM與數(shù)據(jù)備份恢復功能。

在系統(tǒng)層中，RAM、Flash、GPIO等通用外設的驅動由硬件抽象層（hardware abstraction layer，HAL）提供。HAL是一個輕量級、類UNIX的C/C＋＋運行環(huán)境，由Nios II IDE或 Nios II軟件生成工具根據(jù)特定的SOPC硬件系統(tǒng)自動生成。HAL作為Nios II處理器系統(tǒng)的設備驅動軟件包，為系統(tǒng)中的各種外設提供驅動程序及相應的接口，同時也提供main函數(shù)運行前的系統(tǒng)和設備初始化服務，HAL應用程序接口（HAL API）則負責向應用層提供統(tǒng)一的外設訪問接口。

圖4 TPM COS體系結構

4.1 TPM可信功能模塊

TPM COS的應用層實現(xiàn)了包括CRTM在內(nèi)的TPM可信功能，是嵌入式TPM功能的核心部分之一。本文方案中以軟件仿真器TPM－Emulator作為應用層部分的原型。TPM－Emulator最初是Linux平臺上的一個TPM軟件仿真器［9］，目前其最新版本已可以在Linux、OpenBSD、Windows和Darwin（Mac OS X）多種平臺上運行。TPM－Emulator遵循TPM 1.2規(guī)范，同時也提供了對移動可信模塊MTM（mobile trusted module）的仿真。

TPM－Emulator的基本結構如圖5所示。TPM設備驅動庫（TPM device driver library，TDDL）是符合TSS規(guī)范的單線程接口模塊，位于TCS（TSS Core Services，TSS核心服務）和TPM底層驅動之間，正常情況下應用程序發(fā)往TPM的命令請求以及從TPM返回的應答信息都經(jīng)由TD－DL接收和轉發(fā)。TPMD（TPM Daemon）是以后臺方式運行在用戶空間的守護進程，實現(xiàn)TPM的各種功能模塊。tpm＿dev是內(nèi)核模塊，為實現(xiàn)TPM設備驅動的底層兼容性提供了一個字符設備/dev/tpm。在 Linux平臺上，TPMD和TDDL之間采用Socket套接字實現(xiàn)雙向通信，而在Windows平臺則通過Named pipe命名管道進行。

圖5 TPM－Emulator基本結構

密碼學功能模塊是TPM其他所有軟件功能模塊的基礎，TPM－Emulator 提 供 包 括 RSA、SHA－1、RC4、HMAC在內(nèi)的多種密碼學計算功能，其中涉及的大數(shù)運算需要使用大數(shù)庫 GMP（GNU multiple precision arithmetic library）［10］，不過GMP只提供了數(shù)學運算功能，并沒有密碼學相關的高級功能，所以這部分的流程和處理需由TPM－Emulator自己完成。此外隨機數(shù)生成器也是TPM中的基礎功能部件之一，在Linux平臺下TPM－Emulator采用了/dev/urandom虛擬設備作為可信平臺的隨機數(shù)源［11］，而在 Windows平臺下則需要微軟CSP（cryptographic service provider）的支持，通過調(diào)用CryptGenRandom來獲得。

TPM－Emulator在運行過程中需要保存各種信息，其中包括EK、AIK、PCR等密鑰信息以及TPM－Emulator運行相關的配置信息，缺省狀態(tài)下這些內(nèi)部數(shù)據(jù)會在TPMD關閉時以文件形式保存，在下次啟動時從該文件中讀取并對TPM－Emulator進行初始化。

嵌入式TPM軟件系統(tǒng)的應用層在TPM－Emulator的TPM可信功能模塊（圖5中TPM Emulator Engine）基礎上增加CRTM和數(shù)據(jù)備份恢復模塊，并基于TPM接口規(guī)范擴展自定義命令集實現(xiàn)相應的命令接口。

4.2 雙端口RAM數(shù)據(jù)通信

嵌入式TPM在設計中需要著重考慮的一個問題就是與嵌入式CPU間的物理接口。目前的TPM產(chǎn)品多數(shù)針對PC平臺，采用的是LPC總線接口，LPC總線具有容易跨接入南北橋芯片、支持優(yōu)先啟動等特點［12］，被TCG作為TPM的標準接口。但是嵌入式設備大多不具備LPC接口，因此需要考慮其他接口方式。不同的學者在嵌入式平臺上嘗試了不同的設計方案。文獻 ［13］使用嵌入式CPU的GPIO模擬LPC接口與TPM芯片連接；文獻 ［14］中的TPM芯片使用的是SMBus總線，因此在嵌入式CPU一側通過I2C總線模擬，在驅動代碼中對I2C總線的時序、協(xié)議和操作模式等參數(shù)進行修改，將I2C的信號模擬成符合TPM芯片時序要求的SMBus總線；文獻 ［15］中的TPM芯片通過TWI總線進行通信，該總線接口時序與I2C總線兼容，故直接采用了I2C接口，上層應用通過I2C設備驅動實現(xiàn)對TPM芯片的訪問。

由于采用FPGA實現(xiàn)嵌入式TPM，故本文方案中嵌入式TPM與嵌入式CPU間的接口設計可以更為靈活。嵌入式可信平臺選擇在FPGA內(nèi)部設計一塊雙端口RAM作為輸入輸出緩沖區(qū)，通過數(shù)據(jù)地址總線與嵌入式CPU相連，同時配合通信協(xié)議來實現(xiàn)嵌入式TPM與嵌入式CPU間的信息交互。雙端口RAM有兩個讀寫控制端口，一個與FPGA內(nèi)部的Avalon交換總線相連，另一個連接到嵌入式CPU的數(shù)據(jù)地址總線，所有發(fā)往嵌入式TPM或者從嵌入式TPM取回的TPM命令包都被封裝在雙端口RAM通信協(xié)議中傳送。

一旦嵌入式CPU啟動，嵌入式TPM就成為一個從設備被動等待來自外部的命令，并按照命令工作和應答，因此雙端口RAM數(shù)據(jù)通信協(xié)議的基本流程是由嵌入式CPU通過驅動將TPM命令寫入雙端口RAM的指定地址，TPM COS從該地址中讀取命令并進行處理，完成后將應答信息送回該地址。雙端口RAM的前8個字節(jié)是通信協(xié)議的Header，因為通信雙方需要訪問同一段地址空間，所以設置了Flag字段作為互斥信號。數(shù)據(jù)通信協(xié)議的流程簡要描述如下：

（1）初始化。系統(tǒng)加電后，由TPM COS負責雙端口RAM的初始化，并在完成后將Flag置為INITIALIZED，表示雙端口RAM已經(jīng)準備就緒；

（2）嵌入式CPU發(fā)送命令。嵌入式CPU通過驅動將命令請求包寫入Data段，并將Flag置為CMD＿REQ，表示命令發(fā)送完成，隨后等待嵌入式TPM的響應；

（3）嵌入式TPM讀取命令。TPM COS根據(jù)Flag狀態(tài)判斷命令已經(jīng)發(fā)送完成，于是從Data段讀出命令請求包送入TPM命令處理模塊進行解析、執(zhí)行，并構建應答包；

（4）嵌入式TPM發(fā)送應答包。待命令執(zhí)行完成后，TPM COS將應答包寫入Data段，并將Flag置為CMD＿ACK，表示嵌入式TPM已經(jīng)處理完畢；

（5）嵌入式CPU接收應答包。嵌入式CPU從Data段取出應答包，最后將Flag字段恢復為INITIALIZED（初始化狀態(tài)）。

5 應用程序的可信驗證與恢復

嵌入式可信平臺在啟動時對系統(tǒng)的軟件組件進行完整性度量、驗證和恢復（必要時），以此確保系統(tǒng)在啟動前的靜態(tài)條件下軟件組件的完整性受到監(jiān)控和保護，但這一過程無法保證系統(tǒng)在啟動后的運行過程中完整性都不被破壞。尤其對于系統(tǒng)運行過程中可能會多次啟動的應用程序而言，確認其可信需要兩個條件，一是系統(tǒng)建立了完整的信任鏈，二是在應用程序運行時進行了完整性驗證［16］。前者確保系統(tǒng)初始運行環(huán)境的完整性，后者則在應用程序每次啟動時都確保其完整性不被破壞，而驗證失敗時的恢復操作也是保證應用程序可信啟動的重要環(huán)節(jié)。

在帶有圖形界面的Linux嵌入式系統(tǒng)中，應用程序可通過Shell命令行和圖形界面點擊兩種方式執(zhí)行。嵌入式可信平臺對Shell和桌面系統(tǒng)進行了修改，并配合運行在后臺的可信服務程序實現(xiàn)對應用程序的啟動攔截、完整性驗證及恢復。當通過輸入命令行或桌面點擊執(zhí)行準備啟動應用程序時，系統(tǒng)會首先發(fā)送消息給可信服務程序，該消息中包含了該應用程序的路徑、名稱等信息，可信服務程序根據(jù)這些信息從磁盤中讀取到應用程序文件，計算其散列值，并與嵌入式TPM中保存的基準值進行比較。如果相同，則認為該文件的完整性沒有被破壞，從而允許其正常啟動；如果應用程序的完整性發(fā)生變化，系統(tǒng)將通過對話框提示用戶，交由用戶來選擇。由于嵌入式可信平臺在應用程序在第一次可信啟動時對其進行了備份，所以用戶可以選擇禁止運行，也可以啟動恢復功能將該文件恢復到上一次可信啟動時的版本，另外在確認安全的情況下可以認可此次應用程序完整性的變化，允許其正常啟動，同時對備份代碼和完整性基準值進行更新。圖6顯示了應用程序的啟動驗證過程。

圖6 應用程序的可信驗證過程

需要注意的是此處應用程序的可信驗證仍然是基于靜態(tài)完整性，它只能確保應用程序在啟動時代碼本身的完整性沒有發(fā)生變化，但無法保證應用程序啟動后的行為是否可信。

6 結束語

本文針對嵌入式系統(tǒng)的特點，對嵌入式TPM和信任鏈的設計進行了討論，結合鏈式和星型信任結構，提出了一種帶數(shù)據(jù)恢復功能的混合式信任結構，這種信任結構綜合考慮了嵌入式平臺上可信計算功能的實現(xiàn)及其對平臺性能的影響，在降低鏈式結構信任損失的同時，減少星型信任結構對嵌入式TPM的依賴。在此基礎上，基于PXA270處理器和Linux操作系統(tǒng)構建并實現(xiàn)了一種嵌入式可信平臺，該平臺采用FPGA實現(xiàn)了內(nèi)置CRTM的嵌入式TPM，并通過FPGA內(nèi)的雙端口RAM實現(xiàn)嵌入式TPM與PXA270處理器間的雙向通信。嵌入式可信平臺在啟動過程中對引導程序和操作系統(tǒng)內(nèi)核進行完整性度量、驗證、恢復和執(zhí)行控制，并且通過捕捉應用程序啟動命令，對應用程序的啟動進行動態(tài)攔截，度量、驗證和恢復應用程序的完整性，保證應用程序的可信啟動，從而實現(xiàn)完整的信任關系傳遞。對嵌入式可信平臺原理樣機的測試表明，該平臺能夠有效保證嵌入式系統(tǒng)軟件組件的完整性和可信啟動，當被保護的系統(tǒng)軟件或應用程序被修改后，能夠及時發(fā)現(xiàn)并根據(jù)用戶的選擇進行恢復，提高了嵌入式系統(tǒng)的可信與安全。

［1］LIU Weipeng，HU Jun，F(xiàn)ANG Yanxiang，et al.Research and development on the secure architecture of terminal based on trusted computing ［J］.Computer Science，2007，34（10）：257－259（in Chinese）.［劉威鵬，胡俊，方艷湘，等.基于可信計算的終端安全體系結構研究與進展 ［J］.計算機科學，2007，34（10）：257－259.］

［2］SHEN Changxiang，ZHANG Huanguo，WANG Huaiming，et al.Research and development of trusted computing ［J］.Science China：Information Sciences，2010，40（2）：139－166（in Chinese）.［沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展 ［J］.中國科學：信息科學，2010，40（2）：139－166.］

［3］TPM main specification level 2Version1.2 ［EB/OL］.https：//www.trustedcomputinggroup.org/resources/tpm＿main＿specification，2011.

［4］TCG specification architecture overview revision 1.4 ［EB/OL］. http：//www.trustedcomputinggroup.org/files/resource ＿files/AC652DE1－1D09－3519－ADA026A0C05CFAC2/TCG＿1＿4＿Architecture＿Overview.pdf，2011.

［5］ZHAO Bo，ZHANG Huanguo，LI Jing，et al.The system architecture and security structure of trusted PDA ［J］.Chinese Journal of Computers，2010，33（1）：82－92（in Chinese）.［趙波，張煥國，李晶，等.可信PDA計算平臺系統(tǒng)結構與安全機制 ［J］.計算機學報，2010，33（1）：82－92.］

［6］CHEN Nanyang.Study on construction technology of embedded trusted platform ［J］.Information Security and Communications Privacy，2010，32（11）：56－58（in Chinese）.［陳南洋.嵌入式可信平臺構建技術研究 ［J］.信息安全與通信保密，2010，32（11）：56－58.］

［7］GUO Linger，JIANG Zhixiang.Design and implementation of hardware platform for trusted computing ［J］.Computer Engineering and Design，2011，32（2）：501－504（in Chinese）.［郭靈兒，蔣志翔.可信硬件平臺的設計與實現(xiàn) ［J］.計算機工程與設計，2011，32（2）：501－504.］

［8］LIN Xiaocha，LI Guang，JIN Shuang.Study of embedded trusted computer ［J］.Computer Engineering and Design，2009，30（16）：3730－3734（in Chinese）.［林小茶，李光，金爽.嵌入式可信計算機研究 ［J］.計算機工程與設計，2009，30（16）：3730－3734.］

［9］Mario Strasser.Software－based TPM emulator ［EB/OL］.http：//tpm－emulator.berlios.de，2011.

［10］The GNU multiple precision arithmetic library ［EB/OL］.http：//gmplib.org/，2011.

［11］LIU Changping，F(xiàn)AN Mingwang，WANG Guangwei.ESWTPM：An enhanced software－based TPM ［C］.Progress of Computer Technology and Application 2008（II）.Hefei：U－niversity of Science and Technology of China Press，2008：1187－1191（in Chinese）.［劉昌平，范明枉，王光衛(wèi).ESWTPM：一種改進的TPM軟件仿真器 ［C］.計算機技術與應用進展2008（下冊）.合肥：中國科學技術大學出版社，2008：1187－1191.］

［12］YE Bin.Reliability enhancement of TPM ［J］.China Information Security，2009，31（7）：53－55（in Chinese）.［葉 賓.增強可信計算平臺模塊的可信度 ［J］.信息安全與通信保密，2009，31（7）：53－55.］

［13］WANG Yu，WANG Zhenyu，YAO Lining.Design and implementation of TPM extension and trusted bootstrap on embedded platform ［J］.Computer Engineering and Design，2009，30（9）：2089－2090（in Chinese）.［王禹，王震宇，姚立寧.嵌入式平臺TPM擴展及可信引導設計與實現(xiàn) ［J］.計算機工程與設計，2009，30（9）：2089－2090.］

［14］LIU Hailei，WANG Zhenyu，MA Mingjin，et al.Research and implementation of trusted embedded terminal TPM interface ［J］.Computer Engineering and Design，2008，29（13）：3317－3318（in Chinese）.［劉海雷，王震宇，馬鳴錦，等.嵌入式可信終端TPM接口的研究與實現(xiàn) ［J］.計算機工程與設計，2008，29（13）：3317－3318.］

［15］WANG Bo，LI Bo，GAO Zhentie，et al.Embedded trusted computing platform based on TPM ［J］.Microcontrollers ＆Embedded Systems，2011，11（1）：13－16（in Chinese）.［王博，李波，高振鐵，等.基于TPM的嵌入式可信計算平臺設計 ［J］.單片機與嵌入式系統(tǒng)應用，2011，11（1）：13－16.］

［16］CHEN Lin，LIN Honggong，HUANG Yuanfei.Research on mechanism of resisting malicious code based on trusted computing ［J］.Application Research of Computers，2008，25（12）：3713－3715（in Chinese）.［陳麟，林宏剛，黃元飛.基于可信計算的惡意代碼防御機制研究 ［J］.計算機應用研究，2008，25（12）：3713－3715.］