保證嵌入式系統程序完整性的技術(shù)設計方案

1 項目背景

信息產(chǎn)業(yè)的高速發(fā)展,帶來(lái)了信息技術(shù)的空前繁榮;但危害信息安全的事件也不斷發(fā)生,信息安全的形勢是嚴峻的. 信息安全事關(guān)國家安全,事關(guān)社會(huì )穩定,必須采取措施確保信息安全. 硬件結構的安全和操作系統的安全是信息系統安全的基礎,密碼、網(wǎng)絡(luò )安全等技術(shù)是關(guān)鍵技術(shù). 只有從信息系統的硬件和軟件的底層開(kāi)始做起,從整體上采取措施,才能比較有效地確保信息系統的安全.

隨著(zhù)計算機技術(shù)、通信技術(shù)的飛速發(fā)展，特別是互聯(lián)網(wǎng)的迅速普及和3C(計算機、通信和消費電子)融合的加速，嵌入式系統逐漸成為信息產(chǎn)業(yè)的一個(gè)支柱，其市場(chǎng)的深度和廣度不斷擴大。然而，嵌入式系統在快速發(fā)展的同時(shí)也面臨安全方面的巨大挑戰，特別是隨著(zhù)嵌入式系統的不斷發(fā)展和推廣，它越來(lái)越多地被非法入侵和破壞，給各個(gè)國家和眾多企業(yè)造成巨大的損失，有時(shí)甚至危害到國家和地區的安全。例如嵌入式系統廣泛地被用于控制各種關(guān)鍵設備：通訊網(wǎng)絡(luò )、電力柵格、核電站、飛行控制系統等,一旦這樣的系統遭到惡意入侵者的破壞,其帶來(lái)的損失是可想而知。所以,安全將會(huì )是嵌入式系統設計的一種新的思維。嵌入式系統軟、硬件結構簡(jiǎn)化，導致資源可任意使用，尤其是執行代碼可修改，惡意程序可以被植入。病毒程序利用操作系統對執行代碼不檢查一致性的弱點(diǎn)，將病毒代碼嵌入到執行代碼程序，實(shí)現病毒傳播。黑客利用被攻擊系統的漏洞竊取超級用戶(hù)權限，植入攻擊程序，肆意進(jìn)行破壞。更為嚴重的是對合法的用戶(hù)沒(méi)有進(jìn)行嚴格的訪(fǎng)問(wèn)控制，可以進(jìn)行越權訪(fǎng)問(wèn)，造成不安全事故。由于在嵌入式系統的制造鏈、供給鏈和使用鏈都可能存在那些惡意的入侵者,就此安全需求會(huì )依不同的角度而有所變化。為了保證通信安全,這時(shí)就提出了安全功能的要求,諸如數據機密性、完整性和可用性。機密性防止未授權用戶(hù)獲得存儲在系統中的敏感信息;數據的完整性保證在未經(jīng)允許的情況下,系統中的數據不能被任意地刪除和修改;完整性保證病毒、惡意用戶(hù)等不能隨意地修改系統中的程序,可用性核實(shí)信息的發(fā)送或者接收只能是相應的對方,而不能是不合法者。這些安全功能,在如今的嵌入式系統中也得到了廣泛的應用。

基于軟件，操作系統，硬件三者協(xié)同保證計算機系統的安全，產(chǎn)生出可信計算的基本思想。目前可信計算規范主要面向個(gè)人PC領(lǐng)域，但是對這個(gè)概念的理解，對于嵌入式可信系統的構造具有相當意義?？尚庞嬎愕哪康氖窃谟嬎愫屯ㄐ畔到y中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高整體的安全性?？尚庞嬎愕乃枷朐从谏鐣?huì ). 其基本思想是在計算機系統中首先建立一個(gè)信任根,再建立一條信任鏈,一級測量認證一級,一級信任一級,把信任關(guān)系擴大到整個(gè)計算機系統,從而確保計算機系統的可信.在技術(shù)領(lǐng)域,可信計算發(fā)展非常迅速. 1983 年,美國國防部就制定了《可信計算機系統評價(jià)準則》. 1999 年, TCPA 組織成立,2003 年改組為可信計算組織TCG. TCPA 和TCG 制定了關(guān)于可信計算平臺、可信存儲和可信網(wǎng)絡(luò )連接等一系列技術(shù)規范. 目前已有200 多個(gè)企業(yè)加入了TCG,可信計算機已經(jīng)進(jìn)入實(shí)際應用階段.在理論領(lǐng)域, IEEE 組織于2004 年開(kāi)辦了IEEE Transactions on Dependable and Secure Computing 雜志,專(zhuān)門(mén)刊發(fā)可信計算研究論文.

在我國，與可信計算概念相對應的是由我國相關(guān)部門(mén)自主制定的TCM標準。目前，中國的可信計算事業(yè)處于蓬勃發(fā)展的階段。

2000年6月武漢瑞達公司和武漢大學(xué)合作，開(kāi)始研制安全計算機，研究成果于2004年10月通過(guò)國家密碼管理委員會(huì )主持的技術(shù)鑒定。它是國內第一款自主研制的可信計算平臺，在系統結構和主要技術(shù)路線(xiàn)方面與TCG的規范是類(lèi)似的。這一產(chǎn)品被國家科技部等四部委聯(lián)合認定為“國家級重點(diǎn)新產(chǎn)品”，并獲得2006年國家密碼科技進(jìn)步二等獎，已在我國電子政務(wù)、公安、銀行、軍隊得到實(shí)際應用。

2005年聯(lián)想集團的“恒智”芯片和可信計算機相繼研制成功。同年，兆日公司的TPM芯片研制成功。這些產(chǎn)品都相繼通過(guò)國家密碼管理委員會(huì )的鑒定和認可。

聯(lián)想推出了兩款基于自主知識產(chǎn)權的TCM芯片的筆記本電腦和臺式電腦，并獲得了公安部、國家安全部、國家保密局和國家密碼管理局的安全認證。該可信PC具備文件夾解密、安全管理箱、安全文件共享等功能，并且在易用性方面做了特色設計。

同方公司于2007年6月26日發(fā)布了基于TCM標準的同方TST安全平臺，可預防企業(yè)的機密信息通過(guò)終端計算機泄密，可隱藏硬盤(pán)，通過(guò)指紋鎖進(jìn)行硬盤(pán)加密以及安全備份等。同時(shí)，同方還推出了授權密網(wǎng)產(chǎn)品——將工作組的幾臺計算機設置成一個(gè)域，非授權用戶(hù)無(wú)法傳遞文件。

專(zhuān)門(mén)提供調用可信計算機中TCM密鑰體系，讓TCM、可信計算機與人的身份結合，構建完整可信計算信任鏈的吉大正元公司，則利用PKI/PMI技術(shù)，推出了可信接入安全支撐平臺，保證不同網(wǎng)絡(luò )可安全地接入整個(gè)體系。

雖然在PC領(lǐng)域，通過(guò)各機構和企業(yè)的努力，可信計算技術(shù)已經(jīng)得到了一定程度的發(fā)展，但是在嵌入式系統領(lǐng)域，我國無(wú)論在規范還是在實(shí)際應用上，還是處于發(fā)展不足的狀態(tài)。而基于嵌入式系統對于資源的敏感性，能源的緊缺性，功能的專(zhuān)業(yè)性等特點(diǎn)，生搬硬套過(guò)往的“大而全”的可信計算規范的服務(wù)顯然是不合適。同時(shí)，目前市場(chǎng)上通用的TPM芯片大部分是通過(guò)與CPU的LPC引腳連接提供相關(guān)的加密驗證服務(wù)。個(gè)人PC市場(chǎng)的處理器少廠(chǎng)商的壟斷局面與嵌入式系統芯片市場(chǎng)百花齊放的情況不同，這也決定了現有的TPM芯片不能滿(mǎn)足各種各樣的傳輸接口需求。因此，一種基于嵌入式系統特性的安全保證技術(shù)實(shí)現方案的實(shí)現就顯得非常必要。

2 系統建設總體原則

2.1 建設目標

本項目目的在于，基于目前現有的嵌入式部件的安全功能(Spartan-3A的Device DNA和中興TCM芯片)，提供一個(gè)保證嵌入式系統程序完整性的設計方案。于此同時(shí)，參照可信計算規范標準，為嵌入式系統打造一個(gè)可信根，為之后的可信鏈的建立及嵌入式可信平臺的構造提供必要的條件。最終滿(mǎn)足國內嵌入式系統安全需求，并為我國嵌入式系統可信技術(shù)獨立自主發(fā)展提供支持。

2.2 建設原則

1、可擴展性原則：嵌入式系統本身就是一個(gè)被要求具備可擴展性的系統。其任務(wù)多變性，外設可裁剪性等原則也決定了本次設計應該具有與之匹配的特性。在保證核心，基本的完整性保證服務(wù)功能后，應該支持用戶(hù)根據自身需要定制不同的，更復雜的安全性服務(wù)，即為今后系統應用的擴展和系統升級提供必要的接口。