一种高性能可信平台控制模块的设计和实现.pdfVIP

０

引言

可信平台控制模块(TrustedPlatformControlModule,TPCM)的前

身可信平台模块(TrustedPlatformModule,TPM)是一种基于可信计算技

术的硬件设备。模块与宿主机相连，用于验证用户、硬件、系统的身份信

息，并处理宿主机可信计算相关的业务请求。

可信计算联盟(TrustedComputingGroup,TCG)提出的可信平台模

型的可信度量根是可信启动代码，可信模块受宿主机支配，属于被动度量。

模块无法保证宿主机启动代码和处理器启动时的可信状态。如果启动代码

遭到篡改，可以使宿主机绕过可信平台模块运行而不受控制，可信功能完

全失效。现在以BIOS（BasicInputOutputSystem,基本输入输出系

统）、UEFI（UnifiedExtensibleFirmwareInterface,统一可扩展固件

接口）等启动代码为目标的攻击越来越多，TPM不足以应对这类威胁。

我国在可信计算技术领域上居于世界先进水平，提出了将可信模块作

为可信根的主动度量技术。模块在开机后中断主机的启动操作，度量认证

启动代码，认证通过后解除控制，主机正常启动。近年来出现了很多关于

TPCM实现启动代码度量技术的研究成果。这些方法实现了计算机启动控

制和启动代码度量认证，为可信应用提供了更好的支撑。

目前主要有两种启动代码度量的方式：一种思路是控制电源电路，先

度量启动代码，然后让主板上电；另一种思路是控制CPU的复位信号暂缓

CPU的启动，在启动代码度量通过后让CPU读取启动代码。两种主动度量

实现方式都不可避免地需要在主板上集成控制电路和启动代码，必须修改

主板硬件。前者需要修改主机的电源电路和主板两部分硬件，还需要加装

电源控制模块。后者需要在主板上实现控制电路，工作量也比较大。

本文基于上述第二种思路，提出一种优化方案,将可信BIOS放置在

TPCM内部，TPCM在上电自检时对BIOS的度量认证，之后使能CPU完

成BIOS的启动。通过这种方式可进一步减少主板的改动，增强平台的安

全性。同时由于采用了PCIe接口作为业务接口，密码服务速率高，可以承

担更多应用。

01

可信平台控制模块

1.1技术背景和发展

随着社会生活日益信息化网络化，对计算机的攻击日益增加。例如

WANNACRY勒索病毒，仅一次攻击就涉及150个国家的上百万台计算机，

造成多个国家政府部门和大企业信息系统瘫痪，影响了社会运转并导致

了巨大经济损失。而传统的安全防护措施（杀毒软件、防火墙、入侵检测

等）过于被动,只能根据既定策略对网络攻击进行探测和阻断，导致在新型

攻击发生时，无法及时研制新对策并部署实施，攻击被中止或结束时，已

产生较大损害。可信计算技术作为一种采用主动防御机制可较好的解决以

上问题。

通过在计算机内安装专用硬件可信模块，并注入确认安全的软硬件预

期值信息，在开机后使用度量认证方式对软硬件进行检测，与模块内置预

期状态相同时判断为可信，可以加载运行，所有与预期状态不同的均不能

运行，从而及时有效地防止了病毒、木马、篡改软件等非法攻击，保证计

算机运行于可信状态。

国际上的可信计算联盟在1999年提出了可信平台模块（TPM）的概

念，并制定大量标准规范，TPM实现了计算机本机可信的主要功能，标志

着可信计算技术进入产业化阶段，但仍存在着两个较大问题：（1）模块

加密采用非对称加密，速率较低；（2）可信BIOS作为度量可信根，可信

模块处于被动地位，安全性较低。

我国在可信技术研究领域位于国际领先水平。我国成立的中关村可信

产业联盟提出了可信平台控制模块（TPCM）及其相关标准。TPCM大量

采用对称加密方式完成业务，提升了业务工作效率，模块采用主动度量技

术，模块作为度量信任根，在主机启动时