《计算机学报》2010年第1期,33卷1期可信PDA计算平台系统结构与安全机制赵波1,2张焕国1,2李晶1,2陈璐1,2文松1,21(武汉大学计算机学院湖北武汉430079)2(空天信息安全与可信计算教育部重点实验室湖北武汉430079)TheSystemarchitectureandSecuritystructureofTrustedPDABoZhao1,2HuanguoZhang1,2LiJing1,2ChenLu1,2Wensong1,21(ComputerSchool,WuhanUniversity,Hubei,China)2(StateKeyLabofSoftwareEngineering,WuhanUniversity,Hubei,China)E-mail:zhaobo@whu.edu.cn摘要:PDA作为一种手持设备,面临着众多的安全问题。本文介绍利用可信计算思想构造了可信PDA的体系结构与安全机制。文中提出了一种带数据恢复功能的星型信任结构,其在安全性、效率及可靠性等方面较TCG的链式信任结构都有很大提升。在此基础上,进一步使用总线仲裁等技术构造了可信PDA的体系结构模型。文中还提出并实现了针对可信PDA嵌入式操作系统的安全增强、基于可信PDA平台的可信网络连接(TNC)以及SD卡全盘加密等新的安全技术与方法。在此基础上,研制出我国第一款可信PDA的原型系统。经过实验验证,这款可信PDA在各方面都达到了可信计算平台的技术要求。关键词:可信计算;可信计算平台;可信PDA;星型信任结构AbstractPDAasahandhelddevice,facedwithanumberofsecurityissues.ThisarticledescribestheTrustedPDAarchitectureandsecuritymechanismbyusingthemethodofTrustedComputing.Thispaperproposesa“star-style”chainoftrustedstructurewithdatarecoveryfunctions,anditownsmoresafety,efficiencyandreliabilitythantheTCGtruststructure.Onthisbasis,thefurtheruseoftechnologiessuchasbusarbitrationsystemconstructedatrustedstructuralmodelofPDA.ThepaperalsoproposedandimplementedasecurityenhancedembeddedoperatingsystemforthetrustedPDA.Basedontrustedplatform,TrustedNetworkConnect(TNC),aswellasSDcardsfull-diskencryptionandothernewsecuritytechnologiesandmethodscanbesolved.Onthisbasis,wedevelopedthefirsttrustedPDA-prototypesysteminChina.Afterexperimentalverification,thisPDAhasreachedallaspectsofthetechnicalrequirementsoftheTrustedComputingPlatform.Keywords:trustedcomputing,trustedcomputingplatform,trustedPDA,star-stylechainoftrustedstructure中图分类号:TP309文献标识码:A0、引言长期以来,很多人认为PDA系统的软件是固化在硬件芯片里面的,不存在被攻击的可能性,因此对于PDA系统的安全问题,业界并没有给予重视和研究。然而,随着PDA的技术发展与广泛应用,PDA也面临着项目支持:国家自然科学基金(60673071,60970115)和国家863计划项目(2006AA01Z442,2007AA01Z411)作者简介:赵波(1972-),男,博士,副教授,主要研究方向为可信计算、张焕国(1945-),男,教授,主要研究方面:信息安全、可信计算;《计算机学报》2010年第1期,33卷1期巨大的安全威胁:首先,PDA是一种手持移动设备,容易丢失,由此可能被冒用,造成信息泄露;其次,由于存储器技术的发展,PDA的存储器越来越多的采用可编程FLASH器件。因此病毒等恶意代码完全可以攻击PDA系统;再其次,PDA的主要通信方式为无线通信,因此会产生电磁辐射,极易造成通信信息的泄露。目前,对PDA设备及嵌入式系统安全增强的方法,大部分还是采用诸如SD卡加密等对敏感数据进行保护的传统安全技术。这种安全保护并没有从体系结构和操作系统等软硬件底层提供根本性的安全保障。可信计算技术是近年来出现的一种新的信息系统安全技术,目前已在世界范围形成了热潮。它是提高计算机系统安全性的行之有效的新技术,因此也是解决PDA安全问题的有效途径。国内外众多研究机构、学者已经对该领域开展了许多研究工作,并取得了一定的成果:可信计算组织TCG已经提出了用于解决移动平台的安全规范[1],[2]和设想,但是尚未有任何具体的实现理论和技术的说明;Intel,IBM,NTT等公司提出了可信移动平台(trustedmobileplatform,TMP)项目,以TCG的可信平台模块(trustedplatformmodule,TPM)为基础,提出了可信移动平台的软件、硬件体系结构和协议规范[3],[4],[5],[6],但同样缺乏具体的实现方案;国内的其他学者[7],[8],[9],[10]也提出了利用该TPM模块与嵌入式CPU进行通信,以改善嵌入式系统安全水平的方法,这些平台构建方案都是基于TPM模块,现有TPM模块是针对PC终端设计的,并不能满足移动平台特有的属性和应用需求,也没有解决TPM和嵌入式CPU的双CPU结构对系统的控制等问题。目前,基于TCG的规范标准,已经有了比较成熟的可信PC产品,TCG对可信PC[12]的链式信任关系的定义和实现值得研究可信嵌入式平台借鉴。本文描述的可信PDA在理论上提出了适合嵌入式系统的带数据恢复功能的星型信任结构,并使用总线仲裁等新技术来管理TPM和嵌入式CPU,解决了安全控制和系统应用之间的矛盾,提高了嵌入式系统的可信性和工作效率。可信PDA还支持基于硬件的存储设备加密、基于硬件的外部设备安全管理等功能、操作系统安全增强和可信网络连接(TNC),基本实现了可信计算对嵌入式系统安全的期望。1、可信PDA的体系结构可信PDA除提供一般PDA的功能之外,更重要的是能为用户提供可信安全保障。可信PDA采用可信计算机制,利用可信平台模块(TPM)和信任链技术对系统安全性进行了增强,提高了PDA的安全性。可信PDA由S3c2410xARMCPU,Jetway2810安全芯片[13],FPGA、指纹识别模块、GPS、WLAN等控制芯片构成,并有TFT触摸屏、USB等外部输入输出设备,采用包含图形界面的嵌入式Linux作为操作系统,其基本结构如图1所示。除了保持传统PDA的特点之外,还根据可信≈可靠+安全的学术思想[26,27],从理论上完成了星型信任结构的设计,并从技术上实现了如下的安全特点:1、具有数据恢复功能的星型信任结构:信任链是保证计算机设备可信性的一个基本手段,可信PDA针对嵌入式系统的自身特点和可信PC链式信任结构的不足之处,设计了全新的星型信任结构,这种信任结构可以降低信任传递时的损耗,提高信任传递的效率、保护可信测量根CTRM的物理安全等。同时,信任结构还带有数据恢复功能,启动时如果发现软件部分不完整(包括人为的破坏和病毒的传染),则自动启动恢复功能,以备份软件覆盖受损内容,确保平台软件的完整性和可靠性。JetWay2810指纹模块(M620)ARM(S3C2410)FPGA(EP1C12)I2C数据总线控制总线DMA/中断信号GPS无线网卡控制总线IO控制总线UART数据总线NandFlashB(K9F2808)ETPM数据总线USBUARTNandFlashA(K9F2808)数据总线控制总线恢复控制总线图1可信PDA体系结构框图《计算机学报》2010年第1期,33卷1期2、包含总线仲裁模块的ETPM(EmbeddedSystem-TPM)新结构:以JetWay2810安全芯片为TPM核心芯片,FPGA以总线形式与JetWay2810相连,构成了包括总线仲裁和对称密码算法模块的完整ETPM(图1虚线部分),这是对TCG规范的一个改进。可信PDA上电伊始就以TPM为主控设备,用TPM[14]控制指纹模块对用户身份加以识别,之后对所有启动部分实施完整性度量,只有经完整性度量确认环境安全之后,才允许ARM平台启动。相对于目前可信PC的实现方案,更能确保TPM的主控地位,提高安全性。J2810芯片还通过FPGA对部分外设通信信道的硬件通断进行物理层控制,如USB设备(包括无线网卡和GPS)。这样就做到了既安全又可控,符合我国政府的信息安全政策。3、操作系统安全增强:在嵌入式操作系统上实现了包括加密文件系统、重要存储区域的隔离保护、日志系统、强制访问控制等安全功能,提供全面的操作系统安全保障,为上层应用软件安全提供了基础[15]。用户身份使用指纹进行识别,并结合本机硬件特征形成各类密钥,密钥存储于ETPM中,并受其物理级别的保护。NandFlash存储器中的信息,以密文形式存储,并结合密码算法硬件模块对SD卡实现全卡加密,被加密过的SD卡只能在本机使用,在其它设备上无法读取其内容,从而实现了软件和数据的防复制功能,可以防止可信PDA丢失后的冒用。4、可信网络连接:可信网络连接(TNC)是可信计算向网络领域扩展的一种重要技术。它将可信计算机制引入网络,把信任链从终端平台扩展到网络,使得网络成为一种可信的计算环境。在可信PDA中我们设计并实现了基于远程证明的可信网络接入(TNC)[16],即在使用网络功能之前,对要接入网络的设备进行完整性验证[17],以保证网络环境下应用的安全[18],[19],[20]。除此之外,可信PDA还配备了100M速率网卡,提供图形化的操作接口,实现了资源管理器、音频等实用功能,方便一般用户的日常工作与使用。2、星型的信任结构对于不同的实体,可以使用不同的组织方式来表示它们之间的相互信任关系,这种组织方式即为信任结构。对于各个实体,最直接的组织方式既为两两之间都有直接的信任关系。如图2所示[21]。这种相互信任结构可以非常方便地表示出各个实体之间的相互信任关系,但是,这种结构需要维护的关系表很多,如果实体数量较多,实现将非常困难。TCG提出了一种链式的信任结构来实现实体的信任关系,与相互信任结构相比,该结构更易于实现。根据TCG规范中的定义,信任传递呈一种链式结构,在可信平台的信任链传递过程中,各层可信代理之间层层传递信任关系[22]。TCG的链式信任结构存在着很多的不足之处:1)可信测量根CRTM置于TPM之外,不受TPM的物理保护,容易受到恶意攻击破坏;2)由于可信的测量值采用迭代的计算方法,因此如果在信任链形成后增加或者删除某个部件,或者软件的版本升级,都必须重新计算所有的信任值,增加了维护和管理的难度;3)根据信任理论,信任值在传递过程中会有损耗,传递的路径越长,则损耗越大[27]。由于链式信任结构的信任传递路径长,所以容易产生信任的损耗。2.1星型信任结构基于Dempster-Shafer原理的计算信任值的两条原则如下[23]:1243图2相互信任结构图《计算机学报》2010年第1期,33卷1期图3信任基本规则1,信任衰减原则如果节点A对节点B的信任值为T(A,B),节点B对节点C的信任值为T(B,C),TB(A,C)表示经由B点传递的