基于TPM2.0的内核完整性度量框架

2023年12月2日发(作者：)

第４４卷　第３期　ＶＯ１．４４　计算机工程　２０１８年３月　Ｍａｒｃｈ　２０１８　Ｎｏ．３　Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ　·安全技术·　文章编号：１０００－３４２８（２０１８）０３－０１６６￣５　文献标志码：Ａ　中图分类号：ＴＰ３９３　基于ＴＰＭ　２．０的内核完整性度量框架　王　勇　，ｖ，张雨菡　，洪　智　一，文　茹　，樊成阳　一，王　鹃　’　（武汉大学ａ．计算机学院；ｂ．空天信息安全与可信计算教育部重点实验室，武汉４３００７２）　摘　要：针对当前的完整性度量技术无法支持可信平台模块（ＴＰＭ）２．０规范的问题，对Ｌｉｎｕｘ内核完整性度量架　构（ＩＭＡ）进行改进，设计基于ＴＰＭ　２．０的内核完整性度量框架，同时基于ＴＰＭ　２．０芯片实现支持ＴＰＭ　２．０规范的　Ｌｉｎｕｘ可信内核。测试结果表明，ＩＭＡ　２．０可以基于ＴＰＭ　２．０对系统关键文件进行完整性检测，同时抵御对内核文　件的篡改攻击。　关键词：可信计算；可信平台模块；完整性；度量；扩展验证模块；安全　中文引用格式：王１７０，１７７．　勇，张雨菡，洪智，等．基于ＴＰＭ　２．０的内核完整性度量框架［Ｊ］．计算机工程，２０１８，４４（３）：１６６—　英文引用格式：ＷＡＮＧ　Ｙｏｎｇ，ＺＨＡＮＧ　Ｙｕｈａｎ，ＨＯＮＧ　Ｚｈｉ．Ｋｅｒｎｅｌ　Ｉｎｔｅｇｒｉｔｙ　Ｍｅａｓｕｒｅｍｅｎｔ　Ａｒｃｈｉｔｅｃｔｕｒｅ　Ｂａｓｅｄ　ｏｎ　ＴＰＭ　２．０［Ｊ］．Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ，２０１８，４４（３）：１６６—１７０，１７７．　Ｋｅｒｎｅｌ　Ｉｎｔｅｇｒｉｔｙ　Ｍｅａｓｕｒｅｍｅｎｔ　Ａｒｃｈｉｔｅｃｔｕｒｅ　Ｂａｓｅｄ　ｏｎ　ＴＰＭ　２．０　ＷＡＮＧ　Ｙｏｎｇ　，ＺＨＡＮＧ　Ｙｕｈａｎ　一，ＨＯＮＧ　Ｚｈｉ　，ＷＥＮ　Ｒｕ　一，ＦＡＮ　Ｃｈｅｎｇｙａｎｇ　一，ＷＡＮＧ　Ｊｕａｎ　＇　（ａ．Ｓｃｈｏｏｌ　ｏｆ　Ｃｏｍｐｕｔｅｒ；ｂ．Ｋｅｙ　Ｌａｂｏｒａｔｏｒｙ　ｏｆ　Ａｅｒｏｓｐａｃｅ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　ａｎｄ　Ｔｒｕｓｔｅｄ　Ｃｏｍｐｕｔｉｎｇ，　Ｍｉｎｉｓｔｒｙ　ｏｆ　Ｅｄｕｃａｔｉｏｎ，Ｗｕｈａｎ　Ｕｎｉｖｅｒｓｉｔｙ，Ｗｕｈａｎ　４３００７２，Ｃｈｉｎａ）　【Ａｂｓｔｒａｃｔ】Ｔｈｅ　ｐｒｏｂｌｅｍ　ｔｈａｔ　ｔｈｅ　ｃｕｒｒｅｎｔ　ｉｎｔｅｇｒｉｔｙ　ｍｅａｓｕｒｅｍｅｎｔ　ｔｅｃｈｎｏｌｏｇｙ　ｃａｎｎｏｔ　ｓｕｐｐｏｒｔ　２．０　ｓｐｅｃｉｆｉｃａｔｉｏｎ　ｏｆ　ｔｈｅ　Ｔｒｕｓｔｅｄ　Ｐｌａｔｆｏｒｍ　Ｍｏｄｕｌｅ（ＴＰＭ），ｉｔ　ｉｍｐｒｏｖｅｓ　ｔｈｅ　Ｌｉｎｕｘ　ｋｅｒｎｅｌ　Ｉｎｔｅｇｒｉｔｙ　Ｍｅｔｒｉｃ　Ａｒｃｈｉｔｅｃｔｕｒｅ（ＩＭＡ），ａｎｄ　ｄｅｓｉｇｎｓ　ｔｈｅ　ｋｅｒｎｅｌ　ｉｎｔｅｇｒｉｔｙ　ｍｅｔｒｉｃｓ　ｆｒａｍｅｗｏｒｋ　ｂａｓｅｄ　ｏｎ　ＴＰＭ　２．０．Ａｔ　ｔｈｅ　ｓａｍｅ　ｔｉｍｅ．ｂａｓｅｄ　ｏｎ　ＴＰＭ　２．０　ｃｈｉｐ．ｔｈｅ　Ｌｉｎｕｘ　ｔｒｕｓｔｅｄ　ｋｅｒｎｅｌ　ｔｈａｔ　ｓｕｐｐｏｒｔｓ　ＴＰＭ　２．０　ｓｐｅｃｉｆｉｃａｔｉｏｎ　ｉｓ　ｉｍｐｌｅｍｅｎｔｅｄ．Ｔｅｓｔ　ｒｅｓｕｌｔｓ　ｓｈｏｗ　ｔｈａｔ　ＩＭＡ　２．０　ｃａｎ　ｄｅｔｅｃｔ　ｔｈｅ　ｉｎｔｅｇｒｉｔｙ　ｏｆ　ｔｈｅ　ｓｙｓｔｅｍ　ｋｅｙ　ｆｉｌｅｓ　ｂａｓｅｄ　ｏｎ　ＴＰＭ　２．０　ａｎｄ　ｒｅｓｉｓｔ　ｔｈｅ　ｔａｍｐｅｒｉｎｇ　ａｔｔａｃｋｓ　ｏｎ　ｔｈｅ　ｋｅｒｎｅｌ　ｆｉｌｅｓ．　【Ｋｅｙ　ｗｏｒｄｓ】ｔｒｕｓｔｅｄ　ｃｏｍｐｕｔｉｎｇ；Ｔｒｕｓｔｅｄ　Ｐｌａｔｆｏｒｍ　Ｍｏｄｕｌｅ（ＴＰＭ）；ｉｎｔｅｇｒｉｔｙ；ｍｅａｓｕｒｅｍｅｎｔ；Ｅｘｔｅｎｄｅｄ　Ｖｅｒｉｆｉｃａｔｉｏｎ　Ｍｏｄｕｌｅ（ＥＶＭ）；ｓｅｃｕｒｉｔｙ　ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１０００—３４２８．２０１８．０３．０２８　０概述　可信计算（Ｔｒｕｓｔｅｄ　Ｃｏｍｐｕｔｉｎｇ）　。　是指在计算　和通信系统中广泛使用基于硬件安全模块支持下的　可信计算平台，以提高系统整体的安全性。可信　的核心就是以安全芯片为基础，建立可信的计算环　境，确保系统实体按照预期的行为执行。　在可信计算中，可信平台模块（Ｔｒｕｓｔｅｄ　Ｐｌａｔｆｏｒｍ　Ｍｏｄｕｌｅ，ＴＰＭ）是可信计算技术的核心，也是可信计　度量框架进行改进，并基于国民技术的ＴＰＭ　２．０芯片　和Ｌｉｎｕｘ系统，实现改进的完整性度量框架。　１　研究背景　可信计算组织（Ｔｒｕｓｔｅｄ　Ｃｏｍｐｕｔｉｎｇ　Ｇｒｏｕｐ，ＴＣＧ）　在２００１年发布了ＴＰＭ１．１规范，随即在２００３年发　布了ＴＰＭ１．２规范　。在ＴＰＭ规范中ＴＣＧ组织规　定了ＴＰＭ的功能、软硬件接口、安全特性和实现方　式等，但是这些规范都并不完善，存在很多问题。例　如，ＴＰＭ１．２中并没有提供关于对称算法的实现，授　权方法比较混乱。于是在２０１２年可信计算组织发　算技术的硬件载体。ＴＰＭ具有向可信平台提供可　信测量、可信存储、可信报告的功能，以及向用户证　实平台的可信性的功能。　文本通过研究ＴＰＭ　２．０，对目前的内核完整性　布了ＴＰＭ２．０规范　，在规范中提供了更加灵活稳　定的ＴＰＭ接口　。ＴＰＭ２．０规范相比于ＴＰＭ１．２规　基金项目：国家自然科学基金（６１４０２３４２）；国家重点基础研究发展计划项目（２０１４ＣＢ３４０６０１）。　作者简介：王　勇（１９９１一），男，硕士，主研方向为云安全、可信计算、系统安全；张雨菡、洪　智、文　茹、樊成阳，硕士；王　鹃（通信作　者），副教授、博士。　收稿日期：２０１７－０２—１１　修回日期：２０１７－０３－１２　Ｅ－ｍａｉｌ：４９０００３１７１＠ｑｑ．ｔｏｍ