基于龍芯處理器的嵌入式可信解決方案

易 平，莊 毅

(南京航空航天大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106)

0 引 言

隨著嵌入式系統(tǒng)功能的日益強大，嵌入式系統(tǒng)已廣泛應(yīng)用于航空航天、國防電子等諸多安全關(guān)鍵領(lǐng)域中。而我國在包括CPU芯片的核心芯片和基礎(chǔ)軟件方面主要依賴國外產(chǎn)品，這給嵌入式系統(tǒng)在國防領(lǐng)域的應(yīng)用帶來了諸多安全隱患和限制。近幾年來，隨著國產(chǎn)化處理器在嵌入式領(lǐng)域的成功應(yīng)用，針對國產(chǎn)化平臺的安全控制機制的研究越來越重要。

傳統(tǒng)的嵌入式設(shè)計較少考慮系統(tǒng)安全的問題，這是由于嵌入式系統(tǒng)的硬件和軟件都是固化的，而隨著嵌入式系統(tǒng)在國防軍事領(lǐng)域的廣泛應(yīng)用，對嵌入式硬件的可靠性、應(yīng)用軟件和操作系統(tǒng)的健壯性提出了更高、更全面的要求。目前破壞嵌入式系統(tǒng)安全的攻擊技術(shù)主要分為三類：硬件攻擊、軟件攻擊和物理攻擊[1]。其中針對硬件系統(tǒng)的攻擊通常是通過內(nèi)核工具集完成的，包括讀寫主板和外圍設(shè)備的BIOS(basic input output system)中存儲器的內(nèi)容，并進行病毒的注入。最早的硬件病毒就是出現(xiàn)在主板上BIOS的存儲器中，設(shè)想當(dāng)硬件病毒注入了一個使用嵌入式實時操作系統(tǒng)的防空雷達的flash ROM，那么該硬件病毒就擁有了訪問系統(tǒng)總線的權(quán)限，可以過濾掉指定類型的事件信號數(shù)據(jù)，致使雷達不能檢測到攻擊者的攻擊。軟件是嵌入式系統(tǒng)乃至計算機系統(tǒng)安全問題的最主要來源，針對個人計算機的防御方式如防火墻、入侵檢測系統(tǒng)等可部分借鑒，但是在研究嵌入式系統(tǒng)安全機制時應(yīng)充分結(jié)合嵌入式系統(tǒng)的設(shè)計特點，從嵌入式系統(tǒng)的硬件和軟件的底層采取安全措施，從體系結(jié)構(gòu)上提高終端安全性，降低系統(tǒng)的安全風(fēng)險[2]?？尚庞嬎憬M織(trusted computing group，TCG)提出可信計算的概念并將其應(yīng)用到PC平臺，受此啟發(fā)，國內(nèi)外研究工作者將可信計算技術(shù)引入到嵌入式領(lǐng)域，需從硬件架構(gòu)、操作系統(tǒng)安全和應(yīng)用程序多維度采取一定措施，確保整個系統(tǒng)的安全。

在研究TCG相關(guān)規(guī)范的基礎(chǔ)上，針對嵌入式安全關(guān)鍵系統(tǒng)存在的諸多問題，提出一種基于虛擬技術(shù)的嵌入式平臺可信解決方案，深入對體系結(jié)構(gòu)、信任根設(shè)計、信任鏈傳遞模型的研究，設(shè)計并實現(xiàn)嵌入式可信計算平臺。

1 相關(guān)研究

可信計算方面的顯著貢獻來自TCG，其定義可信計算的基本思想是：在計算機系統(tǒng)中構(gòu)建一個信任根，信任根作為可信第三方最先獲得系統(tǒng)的控制權(quán)，并在啟動運行過程中把這種信任擴展到整個計算機系統(tǒng)，從而確保整個系統(tǒng)環(huán)境的可信性[3]。

TCG給出的可信計算定義中，可信環(huán)境是建立在信任根的基礎(chǔ)上,同時也是可信啟動的基石。信任根通常由第三方片上系統(tǒng)可信平臺模塊(trusted platform module，TPM)承擔(dān)。TPM是符合TCG規(guī)范的一個小型片上系統(tǒng)?？尚庞嬎闩c傳統(tǒng)的基于USB密鑰、智能卡等安全系統(tǒng)不同，TCG規(guī)范中將TPM通過總線直接與被關(guān)心的軟硬件組件相連接，嵌于計算平臺內(nèi)部的安全子系統(tǒng)，與計算平臺直接物理連接，是確定的一對一的關(guān)系?？山鉀Q傳統(tǒng)方法易受攻擊等安全隱患，提高系統(tǒng)的安全性。根據(jù)采用處理器芯片的數(shù)量可以分為兩類：一類是多芯片架構(gòu)，另一類是單芯片架構(gòu)[4]。

TCG給出的可信計算框架即屬于多芯片架構(gòu)[5]。針對移動平臺，TCG給出了移動平臺參考架構(gòu)、移動可信計算模塊規(guī)范等系列規(guī)范。武漢大學(xué)張煥國教授等[4]通過在原有TPM基礎(chǔ)上增加總線仲裁模塊、對稱密碼引擎和備份恢復(fù)模塊，設(shè)計了一款嵌入式可信平臺模塊[6](embedded TPM,ETPM)。德國的AISEC研究所基于耦合AHB接口的leon3開源軟核處理器(SPARC V8指令集)，使其中一個處理器作為應(yīng)用處理器，另一個作為“安全”的協(xié)處理器，將應(yīng)用處理器與只讀存儲器引導(dǎo)合成為度量的靜態(tài)根。以上兩種方法保障了信任根的安全性，但是增加了終端的硬件成本、系統(tǒng)功耗和設(shè)計難度。

單芯片架構(gòu)是指將可信模塊相關(guān)功能集成到主處理器內(nèi)部。相關(guān)研究成果有：ARM公司的TrustZone技術(shù)[7]、美國麻省理工學(xué)院的安全處理器技術(shù)AEGIS[8]、美國斯坦福大學(xué)的XOM(execute only memory)技術(shù)[9]。ARM公司提出的TrustZone技術(shù)[10]將安全功能內(nèi)置入處理器內(nèi)部，可以有效保護內(nèi)存、加密塊、鍵盤和屏幕等外設(shè)，確保它們免遭軟件攻擊，但其僅適用于ARM系列處理器。AEGIS是MIT計算機與人工智能實驗室設(shè)計的一個單芯片架構(gòu)的安全處理器。TrustZone通過增強CPU架構(gòu)和內(nèi)存子系統(tǒng)的硬件設(shè)計，引入安全區(qū)的概念[11]，增加一個S位，以指明當(dāng)前系統(tǒng)所處的安全狀態(tài)。而目前針對單芯片架構(gòu)的研究都是基于特定處理器，不具普適性。

目前國內(nèi)使用的國產(chǎn)處理器的嵌入式系統(tǒng)主要集中在軍用領(lǐng)域，其對軟硬件可靠性及系統(tǒng)的性能有著更加嚴(yán)格的要求。在此基礎(chǔ)上結(jié)合可信計算技術(shù)研究嵌入式系統(tǒng)的安全問題，需從硬件架構(gòu)、操作系統(tǒng)安全和應(yīng)用程序多維度采取一定措施，確保整個系統(tǒng)的安全[2]。

2 嵌入式可信計算平臺框架結(jié)構(gòu)

虛擬技術(shù)是通過單個硬件模擬多個同類設(shè)備的復(fù)用技術(shù)。該技術(shù)的核心實現(xiàn)是“虛擬機”，目的在于提高設(shè)備利用率、降低能耗并支持多個操作系統(tǒng)或應(yīng)用程序的并行執(zhí)行，而虛擬機管理程序?qū)⑻摂M機與主機分離。從系統(tǒng)安全的角度思考，虛擬技術(shù)可為操作系統(tǒng)或應(yīng)用程序提供運行時的隔離機制，有效防止外界對系統(tǒng)或程序的侵?jǐn)_[3]。

將可信計算技術(shù)與虛擬技術(shù)相結(jié)合，有利于充分發(fā)揮它們的技術(shù)優(yōu)勢，從而構(gòu)建出安全執(zhí)行環(huán)境的重要技術(shù)途徑[12]：可信計算技術(shù)可以在系統(tǒng)啟動時建立信任鏈，提供安全存儲和完整性存儲報告功能，而虛擬技術(shù)可以在系統(tǒng)啟動運行時將需要保護的系統(tǒng)組件進行隔離保護，細(xì)化了可信環(huán)境的保護粒度，增強了可信環(huán)境的動態(tài)性和可擴展性?？梢哉f虛擬技術(shù)彌補了現(xiàn)有可信技術(shù)體系中尚未滿足可信計算理念的一些不足。TCG提出了通用的虛擬平臺可信架構(gòu)[13]：硬件層的安全芯片為VMM(virtual machine manager)層提供可信支持，VMM層利用其內(nèi)部的虛擬平臺管理器(vPlatform manager)為上層的每個虛擬機都提供一個虛擬可信平臺模塊。劍橋大學(xué)的研究人員提出了基于XEN的虛擬化可信平臺構(gòu)建方案[14]，該方案基于硬件TPM為VMM層提供可信計算服務(wù)，通過實例化vTPM為上層的多個虛擬機構(gòu)建可信計算環(huán)境。后來很多國內(nèi)外學(xué)者基于該架構(gòu)進行了較為深入的研究。

文中基于虛擬技術(shù)的分層內(nèi)核架構(gòu)設(shè)計的嵌入式可信計算環(huán)境結(jié)構(gòu)如圖1所示。

圖1 嵌入式可信計算平臺框架

該框架的信任根CRTM由可信引導(dǎo)程序(trusted-bootloader,TBL)及可信內(nèi)核TK(trusted kernel，TK)組成。系統(tǒng)上電啟動后，TBL作為第一個啟動實體，然后逐步構(gòu)建一個可信的啟動信任鏈：CRTM→User Kernel。

文中對bootloader進行了改造，使其具備完整性度量功能，改造后的bootloader稱為可信引導(dǎo)程序。TK是一個內(nèi)嵌vTPM的精簡操作系統(tǒng)，具備存儲器管理、中斷管理、I/O管理、進程管理等功能。vTPM是一個采用軟件實現(xiàn)TPM功能的模擬器，實現(xiàn)TPM的必備功能，vTPM主要包含：I/O接口、執(zhí)行部件、密鑰生成器、HMAC引擎、選項部件、非易失存儲器、電源檢測、隨機數(shù)產(chǎn)生器、SHA-1引擎、密碼協(xié)處理器、易失存儲器部分。TPM通過可信軟件協(xié)議棧(TCG software stack,TSS)為可信計算平臺上的應(yīng)用程序提供完整性度量、存儲和報告，密鑰管理，數(shù)據(jù)保護和遠(yuǎn)程證明4大核心功能。用戶內(nèi)核(user kernel,UK)是經(jīng)過設(shè)計裁剪的嵌入式操作系統(tǒng)，運行在虛擬機上。

2.1 信任根設(shè)計

在TCG的可信計算平臺中，可信度量根是系統(tǒng)啟動時首先最先執(zhí)行的一段代碼，可信存儲根是可信平臺模塊芯片組中的一組平臺配置寄存器(platform configuration register,PCR)。龍芯處理器是中國科學(xué)院計算技術(shù)研究所研制的一款兼容MIPS指令系統(tǒng)的高性能低功耗處理器，采用PMON作為引導(dǎo)加載程序。PMON是一款基于MIPS體系結(jié)構(gòu)的引導(dǎo)加載程序，存儲在引導(dǎo)FLASH中。文中基于龍芯處理器架構(gòu)，設(shè)計了嵌入式平臺的可信度量根。

將PMON啟動過程分為三個階段：

第一階段是匯編代碼部分(start.S)，在NOR FLASH中運行。此階段主要完成處理器運行環(huán)境配置、cache及存儲控制器的初始化、南北橋的部分信號的初始化等。隨后將PMON的二進制文件拷至內(nèi)存，設(shè)置相關(guān)堆棧，解壓后跳轉(zhuǎn)到第二階段C代碼部分繼續(xù)執(zhí)行。

第二階段是C代碼部分(tgt_machdep.c)，在內(nèi)存中運行。主要完成環(huán)境變量和基本數(shù)據(jù)結(jié)構(gòu)的初始化、PCI總線掃描和設(shè)備初始化，顯卡初始化、網(wǎng)絡(luò)協(xié)議和設(shè)備初始化等。

第三階段仍在內(nèi)存中執(zhí)行，完成從FLASH加載內(nèi)核文件至內(nèi)存并執(zhí)行，此時將系統(tǒng)的控制權(quán)交給操作系統(tǒng)。

在充分利用嵌入式軟硬件資源的基礎(chǔ)上，對PMON進行改造，增加安全散列算法(SHA-1)引擎。該算法以任意長度小于264位的消息或者文件作為輸入，迭代計算輸出長度為160位元的消息摘要值。當(dāng)再次接收到此消息時，通過重新計算消息的摘要值并與已存儲的摘要進行比較，可以度量接收到消息的完整性。安全散列算法簇根據(jù)計算輸出摘要長度分為SHA-1、SHA-256、SHA-384和SHA-512。

由于TK是一個僅保留基礎(chǔ)功能的精簡操作系統(tǒng)，經(jīng)編譯鏈接生成的二進制模塊容量較小，因此將引導(dǎo)FLASH劃分為兩部分，低地址部分存放TBL及TK的鏡像文件，高地址部分?jǐn)U充為平臺配置寄存器，用來存儲信任根的完整性度量值。這樣做的好處有：

(1)操作系統(tǒng)的分層架構(gòu)增強了上層應(yīng)用對系統(tǒng)的訪問控制，而將可信內(nèi)核從內(nèi)存中分離出來符合隔離性原則，通過虛擬機安全機制將操作系統(tǒng)從用戶空間中隔離出來，保護其免遭惡意應(yīng)用的侵入和篡改，保證了其完整性。

(2)內(nèi)存執(zhí)行環(huán)境配置完成后，對TBL、TK兩個模塊的鏡像文件進行聯(lián)合度量，將度量值進行擴展后存入平臺配置寄存器中，不僅減少了讀寫引導(dǎo)FLASH中PCR的次數(shù)，同時避免兩次度量操作，縮短了系統(tǒng)啟動時間，減少了可信啟動對系統(tǒng)帶來的性能開銷。

(3)縮短了信任鏈的長度(在下一小節(jié)給出詳細(xì)解釋)。

系統(tǒng)轉(zhuǎn)入內(nèi)存執(zhí)行時，將PMON及TK的二進制文件拷至內(nèi)存后先進行完整性校驗，若校驗通過，則開始執(zhí)行PMON，系統(tǒng)正常啟動。若校驗未通過，則跳轉(zhuǎn)到PMON交互界面，并給出系統(tǒng)不可信提示并停止執(zhí)行。具體的可信啟動流程如圖2所示。

圖2 可信引導(dǎo)流程

2.2 用戶內(nèi)核設(shè)計

用戶內(nèi)核是一個經(jīng)設(shè)計裁剪的嵌入式操作系統(tǒng)，集成了vTPM設(shè)備驅(qū)動TDD(TPM device driver，TDD)及可信軟件棧。TDD讀取TCG設(shè)備驅(qū)動庫(TCG device driver library，TDDL)上的字節(jié)流信息發(fā)送給vTPM，并接收反饋信息給TDDL。TSS為上層應(yīng)用提供調(diào)用vTPM的接口函數(shù)，實現(xiàn)對vTPM的訪問，同時對vTPM進行統(tǒng)一對象管理、密鑰管理、證書管理等。此外，TSS還提供了位于用戶模式的應(yīng)用程序訪問vTPM的標(biāo)準(zhǔn)接口TDDL。

用戶內(nèi)核架構(gòu)如圖3所示。

圖3 用戶內(nèi)核架構(gòu)

2.3 信任鏈傳遞模型

信任鏈以文中設(shè)計的信任根為起點，調(diào)用SHA-1算法對TBL及TK兩個模塊的內(nèi)容進行完整性校驗。通過對度量值進行擴展操作后，與存儲在FLASH的預(yù)期累計度量值進行比較，若兩者不一致，則校驗未通過并發(fā)出警告。校驗通過后，信任鏈傳遞至TK，系統(tǒng)控制權(quán)轉(zhuǎn)交給可信內(nèi)核，接著調(diào)用vTPM中的SHA-1引擎對用戶內(nèi)核的部分模塊進行度量，與存儲在vTPM的平臺配置寄存器中的結(jié)果進行比較。通過后完成UK的加載，信任邊界擴展到UK。最后，由UK負(fù)責(zé)度量每個待加載的應(yīng)用，將信任擴展到整個系統(tǒng)。

文中設(shè)計的信任鏈的傳遞均由CPU承擔(dān)，相較片上系統(tǒng)大大降低了系統(tǒng)啟動運行的時間。同時，鏈?zhǔn)絺鬟f模型的問題在于信任的逐級遞減[3]，將TBL與TK模塊采取聯(lián)合度量的方式縮短了信任鏈的長度。可信內(nèi)核獲得系統(tǒng)控制權(quán)后同時初始化vTPM模塊，信任鏈傳遞過程中無需額外硬件。保證了從固件FLASH到內(nèi)核的每一個部件的完整性，即完成了整個啟動過程完整的信任傳遞。

3 實驗結(jié)果與分析

實驗環(huán)境搭建的硬件平臺是基于龍芯3A-2000處理器的嵌入式開發(fā)平臺；軟件平臺以嵌入式Linux操作系統(tǒng)及Qemu虛擬機為基礎(chǔ)搭建。龍芯3A2000是一個配置為單節(jié)點4核的處理器，采用65 nm工藝制造，最高工作主頻為1 GHz，片內(nèi)集成4 MB的分體共享二級Cache?；谏鲜鰧嶒炂脚_對可信度量根和可信引導(dǎo)策略的功能和性能進行驗證和結(jié)果分析。

固件存儲于一片16MKB的NorFLASH芯片，其中0x0F00_0000～0x0FFF_FFFF為固件保留的16M地址空間，低地址部分用于存放PMON及TK的二進制鏡像及相關(guān)的環(huán)境變量(配置數(shù)據(jù))，高地址部分用于模擬TPM中的平臺配置寄存器，存儲由PMON及TK構(gòu)成的信任根的SHA-1散列值。

TK是經(jīng)剪裁的Linux-2.6.36內(nèi)核，嵌入TPM模擬器，二者編譯成一個二進制鏡像?？尚艃?nèi)核啟動后將加載一個Qemu虛擬機，為UK內(nèi)核的虛擬運行平臺，UK采用內(nèi)嵌可信協(xié)議棧TrouSerS的Linux操作系統(tǒng)。

系統(tǒng)的可信啟動實驗結(jié)果如圖4所示，表示當(dāng)引導(dǎo)加載程序及可信內(nèi)核成功加載時的度量結(jié)果，可查看FLASH中擴展信任根聯(lián)合度量PMON和TK二進制文件的度量值，見圖中PCR00標(biāo)志位中的結(jié)果為“82884131f17ea4e37bfcb04c0ca9f35349c909”。

圖4 引導(dǎo)加載程序及可信內(nèi)核聯(lián)合度量結(jié)果

改寫可信內(nèi)核模塊并燒入FLASH，此時系統(tǒng)處于不可信狀態(tài)。重新啟動系統(tǒng)，加載度量引導(dǎo)加載程序及可信內(nèi)核時停止執(zhí)行并給出警示，圖5顯示信任根度量結(jié)果，并提示PCR擴展操作失敗。

圖5 非可信內(nèi)核聯(lián)合度量結(jié)果

校驗通過后，系統(tǒng)同時度量并加載用戶內(nèi)核，利用TPM Manager工具查看vTPM中存儲度量后的摘要值，如圖6所示。其中PCR的1號寄存器中存儲的是用戶內(nèi)核的摘要值。同時嵌入在可信內(nèi)核中的vTPM可為上層系統(tǒng)提供對稱/非對稱加密、安全存儲和簽名認(rèn)證等功能[15]。

圖6 用戶內(nèi)核度量結(jié)果

經(jīng)測試，該方案在現(xiàn)有的硬件和軟件資源的嵌入式應(yīng)用中無需額外的硬件，并且適用于基于PMON的MIPS架構(gòu)的嵌入式可信計算解決方案，在此基礎(chǔ)上做些簡單的移植工作即可。通過實驗驗證了所構(gòu)建的嵌入式可信平臺功能的完整性，實驗結(jié)果達到了預(yù)期的效果。

4 結(jié)束語

文中設(shè)計實現(xiàn)了一種基于龍芯處理器的嵌入式可信計算平臺，采用國產(chǎn)龍芯處理器等核心硬件，解決了后門隱患問題。基于分層內(nèi)核架構(gòu)，將經(jīng)改造和裁剪的bootloader及可信內(nèi)核作為信任根，采用聯(lián)合度量方式對bootloader及可信內(nèi)核進行完整性校驗，能夠主動對BIOS、操作系統(tǒng)內(nèi)核進行完整性度量。該方法無需增加額外的硬件，確保啟動實體的完整性和來源的真實性，為應(yīng)用程序搭建可信的執(zhí)行環(huán)境。后續(xù)研究工作將從完整性度量方法著手，考慮更加科學(xué)的內(nèi)核度量方法并減少可信啟動過程中帶給系統(tǒng)的性能開銷。

參考文獻：

[1] 王中波.基于軟硬件協(xié)同技術(shù)的嵌入式平臺的可信性研究[D].濟南:山東大學(xué),2013.

[2] 張煥國,趙 波.可信計算[M].武漢:武漢大學(xué)出版社,2011.

[3] 沈昌祥,張煥國,王懷民,等.可信計算的研究與發(fā)展[J].中國科學(xué):信息科學(xué),2010(2):139-166.

[4] 張煥國,李 晶,潘丹鈴,等.嵌入式系統(tǒng)可信平臺模塊研究[J].計算機研究與發(fā)展,2011,48(7):1269-1278.

[5] 陳建勛,侯方勇,李 磊.可信計算研究[J].計算機技術(shù)與發(fā)展,2010,20(9):1-4.

[6] Inter. Trusted execution technology software development guide[EB/OL].2016.http://www.intel.com/content/www/us/en/software-developers/intel-txt-software-development-guide.html.

[7] ALVES T,FELTON D.TrustZone:integrated hardware and software security (enabling trusted computing in embedded systems)[J].Information Quarterly,2004,3(4):18-24.

[8] SUH G E,O’DONNELL C W,DEVADAS S.AEGIS:A single-chip secure processor[J].Information Security Technical Report,2005,10(2):63-73.

[9] CHHABRA S,YAN S,LAL R,et al.An analysis of secure processor architectures[M]//Transactions on computational science VII.Berlin:Springer,2010:101-121.

[10] KONG X,CHEN Y,CHEN X.A method to construct dual-kernel trusted computing environment on embedded system[J].International Journal of Security & Its Applications,2014,8(5):265-276.

[11] ZHAO B,ZHANG H,LI Z.A trusted start-up based on embedded system[C]//Ninth IEEE international conference on computer and information technology.Washington DC,USA:IEEE Computer Society,2009:242-246.

[12] 馮登國.可信計算理論與實踐:第一屆中國可信計算理論與實踐學(xué)術(shù)會議論文集[C].北京:清華大學(xué)出版社,2009.

[13] SANGSTER P,WILSON L.Virtualized trusted platform architecture specification version 1.0,revision 26[EB/OL].2012.https://trustedcomputinggroup.org/Virtualized-trusted-platform-architecture-specification/.

[14] BERGER S,CACERES R,GOLDMAN K,et al.Security for the cloud infrastructure:trusted virtual data center implementation[J].IBM Journal of Research & Development,2009,53(4):560-571.

[15] GUO J,LI B.Research on credible start-up and I/O access control of embedded Linux based on trusted computing[C]//International conference on mechatronics and automation.[s.l.]:[s.n.],2011:2338-2342.