[发明专利]由星型信任链支持的嵌入式平台安全引导机制

说明书

技术领域

本发明涉及一种遵循可信计算组织(Trusted Computing Group，TCG)[1]规范的星型信任链检测、用于嵌入式平台安全引导的机制。

背景技术

在计算机运行环境中，“信任”是一个复杂的概念，所有操作的进行过程和最终结果同合法操作者所预期的是一致的时候，则可以认为这个环境是可信的。在ISO/IEC 15408标准中，有如下定义：一个可信的组件、操作或过程的行为在任意操作条件下，其流程和结果总是可预测的，并能很好地抵御应用程序异常、病毒，以及一定程度上的物理干扰造成的破坏。

TCG致力于软件安全性和具有安全、信任能力的硬件运算平台，旨在从跨平台和操作系统的硬件组件和软件接口方面，促进与厂商独立的可信计算平台工作标准的制定。到目前为止，TCG制定的规范涉及个人电脑、网络、移动设备、软件栈等多个方面，最新的版本为Version1.2。

TCG规范要求一个可信平台至少要包含以下组件：1.至少一个完整性测量的可信计算根(Root of Trust for Measurement，RTM)；2.刚好一个完整性存储和报告可信根；3.至少一个可信平台度量存储；4.至少一个TCG确认数据；5.刚好一个可信平台代理。

可信计算根包含一个核心组件，核心和计算引擎以及其他对象是物理链接。可信根必须能提供对自身以及连接电路的物理保护，并能作为一个平台系统的可信权威，提供身份认证保护、重要数据加密和访问控制服务。

从可信计算根开始，所有测量过程中的信任都是可预料的，对于处于不适当环境中的平台，将否决其存取数据和运行程序的权利。可信计算根包含很多组件来提供这种水平的信任。

可信计算根测量某些平台特性，将测量数据记录入测量存储日记，并将最终的结果存入TPM(Trust Platform Module，可信平台模块，包含有可信计算根、可信存储根和可信报告根三类可信根)。

如果要进行信任传递，可信计算根在将平台控制权传递给第二个测量代理前，度量第二个代理的特征。当检测通过后，将该代理纳入可信边界，允许把平台控制权传递给该代理。第二个测量代理可能重复这一步骤：度量下一级代理的特征，存储测量数据和最终结果，并将控制权传递给该测量代理。以此类推。

TPM每一次测量的结果被保存在16个(或更多，允许根据需要扩展)PCR(PlatformConfiguration Register，平台配置寄存器)中。PCR是用于存储离散的完整性度量的160位的存储空间，所有的PCR寄存器都在TPM内一个受保护的位置。

平台上有许多完整性测量值，PCR被设计成在寄存器中保存无约束大小的度量，它通过使用密码hash把所有的更新散列到PCR中完成以上要求：

PCR[i]新值＝HASH(PCR[i]旧值添加值)

以此可以保证①排序：对PCR的更新是不可交换的。例如，测量A-＞B和测量B-＞A结果是不一样的；②单向性：通过给定的PCR值推测输入信息值计算上是不可能的。

现有PC机的安全引导方式有两种：①BIOS或操作系统启动之后，以纯软件方式进行安全度量；②将可信部件集成到主板上，作为外部设备的一种使用。这两种方式都没有使用独立硬件、以TPM为主控制部件来实现可信机制。又由于PC机操作系统有着频繁的修改和升级，增大了PC机安全存储体系和完整性可信度量的难度，这一点与嵌入式平台操作系统较为稳定的特性也有所不同。因此对于嵌入式平台，有必要研制不同于PC机的、新型安全引导机制。

发明内容

本发明所要解决的技术问题是：开发一种符合TCG规范，同时又适合嵌入式平台特性的由星型信任链结构支持的嵌入式平台安全引导机制。可信根为整个系统(包括控制平台TPM和工作平台嵌入式平台)唯一可信实体，它与其他部件之间的信任关系呈星型结构，简化了启动过程中的信任层次关系，有效避免了信任传递造成的信任衰减，整个系统有更好的信任强度。

本发明解决其技术问题所采用的技术方案是：设有独立硬件TPM，作为整个嵌入式平台的可信测量和控制器，嵌入式平台作为从机，TPM使用硬连线控制嵌入式平台的运行；TPM内部采用物理方式集成有可信计算根与可信存储和可信报告根，对其自身以及连接电路有良好的物理保护；嵌入式平台启动之前，TPM利用可信计算组织规范的星型信任链对Bootloader(嵌入式平台启动引导程序)、OS(操作系统)分别进行完整性测量，并将该次完整性测量结果的报告与TPM中预先存储的完整性测量报告比较后，决定是否允许其代码在嵌入式平台上执行。