嵌入式系统可信平台模块研究

嵌入式系统可信平台模块研究
作者：庞天丙
来源：《电子技术与软件工程》2013年第18期
摘要：在当今的科学化信息社会，嵌入式系统的安全性问题已经成为了一个热点和难点。

根据相关资料表明，在嵌入式系统中，信息系统的安全性取决于可信平台模块。

可是，在现有的可信平台模块中，只能满足个人计算机，而对嵌入式系统的应用需求却无法满足。

就这一问题，工作人员为嵌入式系统的环境设计了一种新型可信平台模块。

它的出现，对嵌入式系统的可靠性和安全性都进行了提高，同时还提高了嵌入式系统的运算效率，并且该设计在实际中已经进行了验证，表明了嵌入式系统可信平台模块是高效、可靠、实用的。

【关键词】嵌入式系统信息安全可信平台模块可信计算对称密码
随着我国经济社会的不断提高，电力科技的应用得到了飞跃的发展，尤其是嵌入式系统的发展得到了广大市民的认可。

在现实生活中，无论是电子手表和家用电器，还是汽车、飞机甚至是火箭，都应用到了嵌入式系统。

这足以说明嵌入式系统无论在经济和教育方面得到了应用，同时它也在科技和军事方面得到了发展。

而在经济和军事中，如果应用到嵌入式系统，那么就会出现货币的交易和战争胜负的现象，这就要对嵌入式系统的安全性进行深入研究。

在嵌入式系统的安全问题中，只有应用可信计算技术才能解决，而该种技术的主要解决思想是通过可信根和信任链的建立，从而将嵌入式系统的完整性和安全性进行提高。

所以，本文就先对嵌入式系统中的可信平台模块所存在的问题进行分析，然后根据分析结果设计出一种嵌入式环境下的可信平台模块，最后并通过实际的应用，分析相应的特点，从而证明该种可信平台模块是嵌入式系统中高效、安全的。

1 嵌入式环境下的可信平台模块（TPM）存在的问题
在当今的社会，通用计算机中，可信计算组织（TCG）对可信计算平台模块的标准已经制定好了。

在该标准中，其主要就规定了逻辑结构和功能。

所以，在诸多学者们对可信平台模块的结构进行深入研究之后，为弥补可信计算组织规范中的可信平台模块的不足之处，提出了一种新的可信平台架构。

将嵌入式系统和普通的计算机平台相对照，则嵌入式系统本身会有很多特点，主要体现在：将应用作为中心，并拥有特定的应用场景；在嵌入式系统中，和普通计算机的软件设计相比，嵌入式系统的硬件设计显得比较自由化；软件和硬件设计也比较敏捷，使得嵌入式的系统拥有了可裁剪性；最后，嵌入式系统相对通用计算机平台，对功能和成本以及可靠性等性能的要求都非常严格。

所以，在嵌入式系统的快速发展中，可信平台模块早已经不能再满足嵌入式系统的需求了，这就使可信平台模块的研究也产生了新的挑战。

1.1 可信平台模块缺少主动操纵能力
在当今的信息社会，TPM作为可信平台模块的信息安全芯片。

它的主要工作原理是通过主机和主板接口连接在一起，然后成为了可信平台的一个信任根。

但是在正常的工作中，为了将就现有的系统资源和工作环境，则TPM就会通过特定的接口而直接插在主板上，这时就会把它用作一个计算机平台的从设备，换一句话说，它就是作为一个安全协处理器而存在计算机中，如果主机需要服务，它就会提供该服务，而如果主机不需要TPM提供服务时，它就不能参加平台的一切安全管理工作。

在通用的计算机平台中，都会拥有一个处理能力和调度能力都较强的处理器，在这种情况下，只需要传统的TPM就足以能满足通用计算机的要求。

但是，在嵌入式系统中，它的处理器的处理能力和调度能力都相对较弱，对于复杂的处理和调度工作都不能实现，所以对整个可信平台模块的度量和扩展过程都难以掌控。

但是，在嵌入式系统中，由于软件和硬件都具有可裁剪性，这就为可信平台模块提供了一个较大的突破点。

如果在嵌入式的系统开发和测试中，根据实际的工作环境而对软件和硬件进行稍微改动，然后增加必要的模块，同时还要删除不需要的模块，这样就能提升整个系统的安全可靠性。

而这些变化，是要通过嵌入式系统可信平台完整性的度量才能完成的，这时就对嵌入式系统的处理器加大了处理能力的包袱。

而如果在嵌入式系统中，TPM的控制和处理能力都较强，并且还能对嵌入式平台的整个度量过程都能进行控制，则会为嵌入式系统可信平台的工作效率与灵活性提升一个较大的层次。

综上所述，在嵌入式系统可信平台模块中，其系统自由变化的环境和TPM的主动控制能力之间的冲突，使得TPM面临着一个新的挑战：在嵌入式系统中的TPM，必须对平台的控制和处理能力进行加强，并同时还能从一个通用计算机的协处理器的身份变成主控设备，从而对嵌入式系统中完整性的度量和扩展进行控制。

1.2 可信平台模块没有明确的密码机制
TPM的结构在可信计算组织标准中只设定了公钥密码，而没有设定明确的对称密码机制。

尽人皆晓，公钥密码与对称密码都拥有着相应的优点和缺点，而在应用中，如果利用两种密码进行配合使用，就会产生更好的安全作用。

所以，在可信计算组织标准中，对TPM只设定公钥密码，而没有设对称密码，明显存在着缺点。

另外，可信计算组织标准中，虽然对TPM没有设置对称密码，但却在对密钥进行设置时而进行了对称密码密钥的设定。

所以，在这种情况下，用户就只有通过软件的方式才能将对称密码实现，这也就使得对称密码的加解密度进行了降低。

在通用的计算机中，其拥有了一个处理能力和运算速度都非常快的处理器，使得能对种类非常多的TPM密钥进行了实现，而平台的正常运行都不会受到这些的影响。

但是，在嵌入式
系统中，其处理器的处理能力和运算速度都不是很高，要想实现对称密码的加解密工作，就会影响到整个系统的效率，从而使得整个系统不能正常工作。

综上所述，在嵌入式系统，传统的可信平台模块又面临着一个新的挑战：只有嵌入式系统的TPM能使用硬件实现对称密码加解密，这样才能对整个系统的密码运算率进行提高。

2 嵌入式系统可信平台模块
利用嵌入式系统的现有特点，本文设计出了一种新型的嵌入式系统可信平台模块（ETPM），该种模块是仿照传统的可信平台模块，在其基础之上又加了一些改进，它的出现，不仅解决了嵌入式环境下的可信平台模块面对的新挑战，同时也对嵌入式系统的安全性和可靠性进行了提高，并减少了整个信息传输过程中的信任损失。

对于新型可信平台模块中，在传统的TPM基础之上增添了对称密码引擎、总线仲裁以及备份恢复模块。

其利用对称密码引擎是为了加强利用硬件来实现对称密码的加解密功能；而利用总线仲裁模块是为了能使可信平台模块的主控制能力有所提高；则备份恢复模块是为了使整个嵌入式系统的安全性和可靠性进行提高。

该种设计的逻辑结果如下图所示。

2.1 对对称密码引擎进行分析
在新型可信平台模块中设置对称密码引擎，使其既能拥有对称密码的加解密能力，又能拥有非对称密码的加解密能力，这样，在整个系统的运行过程中，就可以将两种密码进行合理配合，并创造出更好的可靠性和安全性；同时也弥补了传统可信平台模块中没有设置对称密码的不足之处。

在新型可信平台模块中，所使用的对称密码算法是SMS4算法。

它是一个轮换型的分组算法，其分组长度和密钥长度都是128h，同时加密算法采用的是32轮非线性结构，而密钥扩展算法也为32轮非线性结构，但其使用轮密钥的顺序是完全相反的，这就使得解密轮密钥和加密轮密钥是一对逆序的过程。

在整个嵌入式系统的工作过程中，我们根据SMS4算法的相应特点，又将加密引擎分为了三个模块进行了设计，分别为系统接口模块和缓冲区模块以及密码算法模块。

所谓系统接口模块，它是作为桥梁，而使得利用加密引擎中所存在的主要寄存器来实现嵌入式系统和机密引擎之间的通信功能，而只有在系统接口模块中才能实现对这些寄存器的控制。

其所存在的寄存器主要有：控制寄存器、输入与输出寄存器以及状态寄存器。

所谓缓冲区模块，它是为了提高整个系统的加解密效率，从而对系统的传输速度和密码算法的处理速度之间的误差进行屏蔽。

输入、输出缓冲区分别负责输入前的密钥或加解密数据和加解密后的数据的缓冲处理问题。

而密码算法模块就是利用硬件来实现的算法，在该算法中，使用的是分组密码算法，这样就能使得整个系统拥有较高的运算速率。

2.2 对总线仲裁进行分析
在新型可信平台模块中，利用总线仲裁模块，主要是负责整个系统的启动控制问题以及存储器之间的互斥访问问题。

在该设计中，分别了定义了控制寄存器（CR）和状态寄存器（SR），以便能实现系统的快速启动和总线仲裁，其中都是用0～7代表控制信号。

在控制寄存器中，其中0代表复位信号，低位的是有效信号；1代表嵌入式系统进入启动状态；2代表仲裁信号；3代表嵌入式系统从外部存储器读数据的开始；4代表校验完成；5代表嵌入式系统向外部存储器写数据的开始；6代表嵌入式系统启动失败，7代表保留状态。

在状态寄存器中，其控制信号4、5、6、7都代表保留状态，0代表校验数据的刚准备好时刻；1代表嵌入式系统从外部存储器读数据的结束；2代表校验开始；3代表嵌入式系统向外部存储器写数据的结束。

2.3 对备份恢复模块进行分析
在新型可信平台模块中，对备份恢复模块的加入，不仅使得整个系统的安全性和可靠性都有所提高，同时也使得在系统启动时，增加了防止系统被篡改的功能。

该技术与传统的技术相比，新型可信平台模块可以为整个系统进行完整性校验以及为备份存储器创造一个安全可靠的存储环境的特点。

在该设计中，对新型可信平台模块加入以上三种模块，使得该种模块更能适合嵌入式系统的灵活变化环境了，使得整个嵌入式系统的安全性和可靠性以及处理速度都有所提高。

3 新型可信平台模块的度量模型
对于传统的可信平台模块中，它只能使用链式信任的度量模型，而在新型的设计中，不仅能适用上一种模型，同时还能支持星型信任的度量模型。

3.1 链式信任的度量模型
所谓链式信任的度量模型，所体现出来的就是从第一节点开始，逐一向下一级进行信任并度量，最后达到整个模块都可信的效果。

其模型如下图所示：
从上图我们可以总结出该种度量模型所存在的缺点：第一，如果该链式信任度量模型在已经形成的情况下，对节点进行增加、删除或者是系统升级更新时，都必须要对其所有节点的信任值都进行重新计算，这样就对系统的维护和管理工作带来了麻烦；第二，单纯考虑到信任
值，信任值的损耗和传递的路线成正比，当传递的路线过长时，损失的信任值就会越大，这样就间接的降低了可信平台的工作效率。

3.2 星型信任的度量模型
从上图我们可以看出，该度量模型中，每个节点都是通过根节点A而进行度量的，而对前一节点没有依赖性。

这样，如果对节点进行增加或删除操作时，直接从根节点出发进行度量就可以，而且也不需要重新计算其他信任值。

并且由根节点直接引出，进而减少了信任传递的路线，使得信任传递的损耗大大减少。

综上所述，该模型可以对信任损耗进行降低，并同时还能对信任链的灵活增删能力进行提高。

但对于此模型，也存在着不足之处，由于根节点是整个模型的核心，而在整个嵌入式系统可信平台模块中，TPM是核心部分，同时它也是根节点，这样就要要求TPM对各节点的度量和信任值进行不断的判断，使得TPM的控制能力和计算能力要不断增强。

3.3 新型可信平台模块的星型度量模型
根据上述的两种度量模型，我们总结出了在嵌入式系统的正常运行情况下，TPM再一次面临了新的挑战。

而ETPM的出现，使得这些问题又迎刃而解了，ETPM拥有着较强的控制和计算能力，同时新型可信平台模块的星型度量模型也为嵌入式系统的灵活多变环境带来了有力的支撑。

该模型图如下图所示：
从上图我们可以看出该度量模型所存在的优点：
（1）该设计的内部是通过可信计算根（RTM）和可信存储根（RTS）以及可信报告根（RTR）三种，然后利用物理方式而进行集成的，这样就增加整个系统的安全性；
（2）该设计对系统中的每个部分都承担着启动控制和总线仲裁，使得系统能够正常启动；
（3）该设计拥有着备份恢复的能力，使得整个系统的可靠性进行了有效地增加；
（4）该设计在每个部件中，不存在多级之间的信任，使得信任损耗降低；
（5）该设计还灵活地进行增加和删除工作，对嵌入式系统的环境更适合。

4 实例分析
在实际的工作中，瑞达公司引用了新型可信平台模块，生产出了Jet Way2810安全芯片，该芯片不仅完成传统可信平台模块的所有功能，同时它以总线的形式与扩展模块相连接，完成了整个系统的备份恢复功能。

在Jet Way2810安全芯片中，拥有了启动控制灵活、信任损失小以及可靠性高的全部特点，同时它的执行效率也得到了提高。

例如在整个系统中，启动整个流程的时间还不到0.1s就可以实现，速度能达到10MB/s，而对于对称密码的引擎执行速度也能达到8MB/s，这使得新型可信平台模块的设计在瑞达公司得到了广泛的应用。

所以，足以证明新型可信平台模块比传统TPM更适合嵌入式系统，并能将嵌入式系统的灵活启动和可靠性进行提高。

综上所述，新型可信平台模型（ETPM）的设计，不仅是嵌入式平台中的核心部分，同时它也是嵌入式系统中不可缺少的一部分。

5 总结
本文根据嵌入式系统的灵活变化的环境，对传统可信平台模块的不满足，又设计出了一种新型可信平台模块（ETPM），并且利用该设计，对嵌入式系统的安全可靠运行、控制能力以及对称密码的加解密速率都进行了提高，使得嵌入式系统又提升一个层次，成为现代科技中的核心部分。

参考文献
[1] 沈昌祥，张焕国，冯登国，等﹒信息安全综述[J].中国科学：信息科学，2007，37（1）：129-150.
[2] 郑宇，何大可，何明星﹒基于可信计算的移动终端用户认证方案[J]﹒计算机学报，2006，29（8）：1255-1264.
[3] 陈书义，闻英友，赵宏﹒基于可信计算的移动平台设计方案[J]﹒东北大学学报：自然科学版，2008，129（8）：1096-1099.
[4] 王禹，王震宇，姚立宁.嵌入式平台TPM扩展及可信引导设计与实现[J]﹒计算机工程与设计，2009，30（9）：2089-2091.
[5] 孙勇，陈伟，杨义先﹒嵌入式系统的可信计算[J]﹒信息安全与通信保密，2006（9）：50-52.
[6] 沈昌祥，张焕国，王怀民，等﹒可信计算的研究与发展[J]﹒中国科学：信息科学，2010，40（2）：139-166.
[7] 赵波，张焕国，李晶，等﹒可信PDA计算平台系统结构与安全机制[J]﹒计算机学报，2010，33（1）：82-92.
[8] 张焕国，罗婕，金刚，等.可信计算研究进展[J]﹒武汉大学学报：理学版，2006，52（5）：513-518.
[9] 胡中庭，韩臻﹒操作系统安全可信链的研究与实现[J]﹒信息安全与通信保密，2007，（2）：47-49.
[10]张焕国，李晶，潘丹玲，赵波﹒嵌入式系统可信平台模块研究[J]﹒武汉大学计算机学报，2011，48（7）：1269-1278.
作者简介
庞天丙（1979年2月-），男，汉族，江苏省徐州市人。

江苏联合职业技术学院徐州经贸分院讲师，硕士学历。

研究方向：嵌入式系统、软件工程。

作者单位
江苏联合职业技术学院徐州经贸分院江苏省徐州市 221004。