一种基于ARM TrustZone的主动免疫的双体系结构系统
技术领域
[0001] 本
发明涉及可信计算技术领域,具体涉及一种基于ARM TrustZone的主动免疫的双体系结构系统。
背景技术
[0002] 当前,用“可信计算构筑网络安全”已成为广泛共识,基于可信计算技术来构建新一代的安全架构已成为国际主流,Intel、AMD、ARM、微软等都在积极发展可信计算技术以全面提升其产品的安全防护能
力。ARM 技术是系统范围的安全方法,针对
高性能计算平台上的大量应用,包括安全支付、数字
版权管理、企业服务和基于Web的服务。TrustZone 技术可以保护安全内存、加密
块、
键盘和屏幕等外设,从而可确保它们免遭
软件攻击,提供了能够支持完全可信
执行环境以及安全
感知应用程序和安全服务的平台。相比X86架构底层的不透明性,ARM架构在安全可控方面具有明显的优势,飞腾CPU已成为关键信息
基础设施等系统的主要选择之一。但是,如何进一步提升飞腾CPU的安全能力,构建安全可信的信息系统,特别是针对
云计算、
大数据平台,是目前亟需解决的难题。
发明内容
[0003] 针对
现有技术中存在的
缺陷,本发明的目的在于提供一种基于ARM TrustZone的主动免疫的双体系结构系统,通过该系统能够将开放的ARM架构与创新的中国可信计算3.0技术深度融合,将TPCM置于飞腾CPU内部,具备对病毒和漏洞的防御机制,形成自主可控、安全可信的通用信息系统。
[0004] 为实现上述目的,本发明采用的技术方案如下:
[0005] 一种基于ARM TrustZone的主动免疫的双体系结构系统,所述系统包括:管理中心、防护子系统和计算子系统,所述计算子系统用于执行计算任务;所述防护子系统用于根据所述管理中心中的可信策略对所述计算子系统进行主动度量和控制,以及将度量记录发送给所述管理中心进行统计分析;
[0006] 所述防护子系统包括:
硬件层和软件层,所述硬件层用于通过ARM主核进行度量控制计算和可信密码模块的管理计算,所述软件层用于所述防护子系统中的物理资源的管理,以及对所述计算子系统进行主动度量和控制。
[0007] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述硬件层包括:TPCM
内核、静态随机存取
存储器、密码
算法引擎、 FLASH存储器、可信网口和可信PCIE
接口;
[0008] 所述TPCM内核包括至少一个ARM主核,所述ARM主核用于进行度量控制计算和可信密码模块的管理计算;
[0009] 所述静态
随机存取存储器用于运行所述计算子系统启动过程中加载的
固件;
[0010] 所述密码算法引擎用于提供具体密码运算服务;
[0011] 所述FLASH存储器用于持久性存储,存储内容包括以下至少之一:启动固件代码、OP-TEE代码、可信基础
软件代码、策略语言编译器代码、可信密码模块代码、可信密码模块数据、配置数据和策略数据;
[0012] 所述可信网口用于建立所述防护子系统与所述管理中心之间的连接,以及进行所述防护子系统与所述计算子系统之间的可信接入认证;
[0013] 所述可信PCIE接口用于对密码算力进行扩展。
[0014] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述软件层包括TPCM
操作系统和可信软件基;
[0015] 所述TPCM操作系统用于所述防护子系统的物理资源的管理,为所述可信软件基提供
访问所述硬件层内的硬件资源的接口;
[0016] 所述可信软件基用于根据所述可信策略对所述计算子系统进行主动度量和控制。
[0017] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述可信软件基的度量对象包括以下至少之一:所述计算子系统的硬件配置、固件、OSLoader、OS内核、应用程序、操作系统运行时的环境信息和应用程序运行时的状态信息。
[0018] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述TPCM操作系统包括以下至少之一:启动信任链模块、内存动态度量模块和I/O控
制模块;
[0019] 所述启动信任链模块用于在所述计算子系统启动过程中建立静态信任链,所述静态信任链用于指示在加载下一个镜像前对所述下一个镜像进行验证,只有通过验证时所述下一个镜像才能被加载执行;
[0020] 所述内存动态度量模块用于根据循环度量策略进行循环度量,和/或,根据拦截度量策略进行拦截度量;
[0021] 所述I/O
控制模块用于通过TrustZone机制划分可信专用的I/O设备,如果在可信环境中,则允许对
主板上的所有I/O设备进行动态配置以及访问和控制,如果在非可信环境中,则不允许访问可信专用的I/O设备。
[0022] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述静态信任链包括:所述TPCM操作系统内部环境的信任链和所述计算子系统的操作系统环境的信任链。
[0023] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述启动信任链模块还用于通过SM2和SM3两种密码算法建立所述静态信任链。
[0024] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述启动信任链模块在建立所述静态信任链过程中进行镜像加载的过程包括:
[0025] (1)ChipROM将Boot Loader加载到所述静态随机存取存储器中;
[0026] (2)将扩展度量模块嵌入Boot Loader,随Boot Loader加载到所述静态随机存取存储器中执行;
[0027] (3)所述扩展度量模块对所述TPCM操作系统和/或所述可信软件基进行度量;
[0028] (4)Boot Loader将所述TPCM操作系统和/或所述可信软件基加载到安全DDR中;
[0029] (5)所述可信软件基对UEFI/BIOS进行度量;
[0030] (6)Boot Loader将UEFI/BIOS加载到正常DDR中;
[0031] (7)所述可信软件基对所述计算子系统的操作系统进行度量;
[0032] (8)Boot Loader将所述计算子系统的操作系统加载到正常DDR中。
[0033] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述启动信任链模块采用验签与度量两种可信验证方式进行镜像加载,包括:
[0034] (1)Chip ROM利用存储在OTP中SM2 Key和数字签名技术验证Boot Loader的可信性,验证通过后加载并执行Boot Loader;
[0035] (2)Boot Loader中的扩展度量模块利用密码技术度量验证所述TPCM 操作系统和/或所述可信软件基的可信性,验证通过后由Boot Loader加载并执行所述TPCM操作系统和/或所述可信软件基;
[0036] (3)所述TPCM操作系统和/或所述可信软件基利用密码技术度量验证 UEFI和/或BIOS的可信性,并进行PCR寄存器扩展,由Boot Loader加载并执行UEFI和/或BIOS;
[0037] (4)所述可信软件基利用密码技术度量验证所述计算子系统的操作系统内核的可信性,并进行PCR寄存器扩展,由Boot Loader加载所述计算子系统的操作系统运行;
[0038] (5)所述计算子系统的操作系统加载模块或应用程序时,所述可信软件基会被触发用来度量模块和应用程序的完整性。
[0039] 进一步,如上所述的一种基于ARM TrustZone的主动免疫的双体系结构系统,所述计算子系统向所述防护子系统进行通信的接口包括同步接口和异步接口,所述同步接口和所述异步接口采用SMC接口,通过软件调用向所述防护子系统进行通信;
[0040] 所述计算子系统通过自身内的所述可信软件基的代理程序向所述防护子系统中的所述可信软件基传递主机信息,所述主机信息包括主机行为信息和主机一般信息,所述同步接口用于向所述防护子系统中的所述可信软件基传递所述主机信息以及通过所述可信软件基的返回值对所述计算子系统的主机行为进行控制,所述异步接口只用于传递所述主机行为信息,所述主机一般信息包括内存分布信息和内存使用信息;
[0041] 所述防护子系统向所述计算子系统进行通信的接口用于所述防护子系统中的所述可信软件基在所述计算子系统中的所述可信软件基的代理程序的协助下完成控制任务,所述控制任务包括杀死非法
进程和网络连接控制。
[0042] 本发明的有益效果在于:本发明所提供的系统,基于ARM CPU Trustzone 底层机制支持,构建了安全可信策略管控下的运算和防护并存的主动免疫的新计算体系结构。计算子系统和防护子系统并存,计算子系统负责运行业务计算任务,防护子系统负责对计算子系统进行主动可信度量和控制,确保业务计算任务能够全程按照预期运行,不被篡改和破坏。
附图说明
[0043] 图1为本发明
实施例中提供的一种基于ARM TrustZone的主动免疫的双体系结构系统的结构示意图;
[0044] 图2为本发明实施例中提供的一种基于ARM TrustZone的主动免疫的双体系结构系统的整体架构示意图;
[0045] 图3为本发明实施例中提供的启动信任链模块的镜像加载过程示意图。
具体实施方式
[0046] 下面结合
说明书附图与具体实施方式对本发明做进一步的详细说明。
[0047] 当前,用“可信计算构筑网络安全”已成为广泛共识,基于可信计算技术来构建新一代的安全架构已成为国际主流,Intel、AMD、ARM、微软等都在积极发展可信计算技术以全面提升其产品的安全防护能力。相比X86架构底层的不透明性,ARM架构在安全可控方面具有明显的优势,飞腾CPU已成为关键信息基础设施等系统的主要选择之一。将开放的ARM架构与创新的中国可信计算3.0技术深度融合,进一步提升飞腾CPU的安全能力,构建安全可信的信息系统,特别是针对云计算、大数据平台,CPU级的可信解决方案是产业发展的必然,也是未来网络空间安全技术发展的制高点,具有非常广阔的市场前景。
[0048] 本发明依据可信计算3.0双体系架构理念设计,基于ARM CPU Trustzone 底层机制支持,构建了安全可信策略管控下的运算和防护并存的主动免疫的新计算体系结构,具体如下。
[0049] 如图1所示,一种基于ARM TrustZone的主动免疫的双体系结构系统,系统包括:管理中心、防护子系统和计算子系统,计算子系统用于执行计算任务;防护子系统用于根据管理中心中的可信策略对计算子系统进行主动度量和控制,以及将度量记录发送给管理中心进行统计分析;
[0050] 防护子系统包括:硬件层和软件层,硬件层用于通过ARM主核进行度量控制计算和可信密码模块的管理计算,软件层用于防护子系统中的物理资源的管理,以及对计算子系统进行主动度量和控制。
[0051] 本系统架构中,计算子系统和防护子系统并存,计算子系统负责运行业务计算任务,防护子系统负责对计算子系统进行主动可信度量和控制,确保业务计算任务能够全程按照预期运行,不被篡改和破坏。
[0052] 如图2所示,防护子系统包括:硬件层和软件层。
[0053] (1)硬件层包括:TPCM内核、静态随机存取存储器、国密算法引擎、FLASH 存储器、可信网口和可信PCIE接口;
[0054] TPCM内核包括至少一个ARM主核,ARM主核用于进行度量控制计算和可信密码模块的管理计算;
[0055] 静态随机存取存储器用于运行计算子系统启动过程中加载的固件;
[0056] 密码算法引擎用于进行具体SM系列密码运算;密码算法引擎用于提供具体密码运算服务,密码算法包括国内的商用密码、普密、军密等算法,也包括SHA、RSA、国际密码算法;
[0057] FLASH存储器用于持久性存储,存储内容包括以下至少之一:启动固件代码、OP-TEE代码、可信基础软件代码、策略语言编译器代码、可信密码模块代码、可信密码模块数据、配置数据和策略数据;
[0058] 可信网口用于建立防护子系统与管理中心之间的连接,以及进行防护子系统与计算子系统之间的可信接入认证;
[0059] 可信PCIE接口用于对密码的算力进行扩展。
[0060] (2)软件层包括TPCM操作系统(TPCM OS)和可信基础软件(TSB);
[0061] TPCM操作系统用于防护子系统的物理资源的管理,为可信软件基提供访问硬件层内的硬件资源的接口;
[0062] 可信软件基用于根据可信策略对计算子系统进行主动度量和控制。
[0063] 可信软件基的度量对象包括以下至少之一:计算子系统的硬件配置、固件、OSLoader、OS内核、应用程序、操作系统运行时的环境信息和应用程序运行时的状态信息。
[0064] 如图2所示,计算子系统包括:应用程序(APP)、操作系统(HOST OS) 和硬件平台,硬件平台包括:
中央处理器CPU、I/O设备、存储设备(比如
硬盘)、主机物理内存(比如DDR内存)、显卡以及BIOS固件等。可信安全管理中心包括:策略语言编译器,基于策略语言描述的可信策略,比如可信策略 1,…,可信策略N。
[0065] 优选地,TPCM操作系统包括以下至少之一:启动信任链模块、内存动态度量模块和I/O控制模块;
[0066] 启动信任链模块用于在计算子系统启动过程中建立静态信任链,静态信任链用于指示在加载下一个镜像前对下一个镜像进行验证,只有通过验证时下一个镜像才能被加载执行;
[0067] 静态信任链包括:TPCM操作系统内部环境的信任链和主机操作系统环境的信任链。
[0068] 启动信任链模块还用于通过SM2和SM3两种密码算法建立静态信任链。针对ARM TrustZone的平台环境,设计静态信任链的建立使用到SM2和SM3 两种密码算法,既保证了完整性又保证了镜像来源。
[0069] 如图3所示,小箭头表示的是镜像加载过程,大箭头表示的是信任链传递过程,最后一个表示的是可信性验证过程。
[0070] 启动信任链模块在建立静态信任链过程中进行镜像加载的过程包括:
[0071] (1)ChipROM将Boot Loader加载到静态随机存取存储器中;
[0072] (2)将扩展度量模块嵌入Boot Loader,随Boot Loader加载到静态随机存取存储器中执行;
[0073] (3)扩展度量模块对TPCM操作系统和/或可信软件基进行度量;
[0074] (4)Boot Loader将TPCM操作系统和/或可信软件基加载到安全DDR中;
[0075] (5)可信软件基对UEFI/BIOS进行度量;
[0076] (6)Boot Loader将UEFI/BIOS加载到正常DDR中;
[0077] (7)可信软件基对计算子系统的操作系统进行度量;
[0078] (8)Boot Loader将计算子系统的操作系统加载到正常DDR中。
[0079] 具体地,采用验签与度量两种可信验证方式进行镜像加载,包括:
[0080] (1)Chip ROM利用存储在OTP中SM2 Key和数字签名技术验证Boot Loader的可信性,验证通过后加载并执行Boot Loader;
[0081] (2)Boot Loader中的扩展度量模块利用密码技术度量验证TPCM操作系统和/或可信软件基的可信性,验证通过后由Boot Loader加载并执行TPCM 操作系统和/或可信软件基;
[0082] (3)TPCM操作系统和/或可信软件基利用密码技术度量验证UEFI和/或 BIOS的可信性,并进行PCR寄存器扩展,由Boot Loader加载并执行UEFI 和/或BIOS;
[0083] (4)可信软件基利用密码技术度量验证计算子系统的操作系统内核的可信性,并进行PCR寄存器扩展,由Boot Loader加载计算子系统的操作系统运行;
[0084] (5)计算子系统的操作系统加载模块或应用程序时,可信软件基会被触发用来度量模块和应用程序的完整性。
[0085] 内存动态度量模块用于根据循环度量策略进行循环度量,和/或,根据拦截度量策略进行拦截度量。
[0086] 1、拦截度量
[0087] 拦截度量是指通过可信基础软件在主机种的钩子程序,拦截系统关键行为,并进行度量控制。
[0088] 2、循环度量
[0089] 循环度量是指可信基础软件线程,根据度量策略,主动检查主机的可信状态。
[0090] I/O控制模块用于通过TrustZone机制划分可信专用的I/O设备,如果在可信环境中,则允许对主板上的所有I/O设备进行动态配置以及访问和控制,如果在非可信环境中,则不允许访问可信专用的I/O设备。
[0091] 1、I/O设备划分
[0092] 通过TrustZone机制划分可信专用的I/O设备(例如网卡或硬盘),并且可以在可信环境中进行动态配置,使得非可信环境中不能访问可信的I/O设备。
[0093] 2、I/O设备的访问和控制
[0094] 在可信环境中可以访问主板上的所有I/O设备,并且能够对所有的I/O 设备进行控制。例如在可信环境内设定非可信环境中的一块网卡不能通信,在非可信环境中的系统则无法通过该网卡进行通信。
[0095] 需要说明的是,本系统还包括交互接口,交互接口主要描述计算子系统和防护子系统之间的交互。
[0096] 计算子系统向防护子系统进行通信的接口包括同步接口和异步接口,同步接口和异步接口采用SMC接口,通过软件调用向防护子系统进行通信;
[0097] 计算子系统通过自身内的可信软件基的代理程序向防护子系统中的可信软件基传递主机信息,主机信息包括主机行为信息和主机一般信息,同步接口用于向防护子系统中的可信软件基传递主机信息以及通过可信软件基的返回值对计算子系统的主机行为进行控制,异步接口只用于传递主机行为信息,主机一般信息包括内存分布信息和内存使用信息;
[0098] 防护子系统向计算子系统进行通信的接口用于防护子系统中的可信软件基在计算子系统中的可信软件基的代理程序的协助下完成控制任务,控制任务包括杀死非法进程和网络连接控制。
[0099] 防护子系统通过自身的可信基础软件向计算子系统中的可信基础软件代理传递通知和信息,通过发送中断或者轮询接收的方式传递通知,通过共享内存的方式或IRQ事件传递信息。
[0101] 由计算子系统中的可信基础软件代理向防护子系统中可信基础软件传递主机信息。防护子系统中可信基础软件接收这些数据用于决定何时对主机的哪些部分进行度量,以及如何控制。信息可以通过共享内存的方式传递。包括:
[0102] 主机行为信息,可信基础软件代理拦截系统行为,读取主机行为信息,传递给防护子系统中可信基础软件。分为同步接口和异步接口。同步接口处理向可信基础软件传递主机行为信息外,还可以通过可信基础软件返回值对主机行为进行控制。而异步接口只传递主机行为信息。
[0103] 主机一般信息,可信基础软件启动时或定期采集主机基本信息,如内存分布、内存使用等信息,传递给防护子系统中可信基础软件。
[0104] 接口说明采用SMC接口,通过软件调用向防护子系统进行通信。
[0105] 2、防护子系统向计算子系统通信接口
[0106] 由防护子系统中可信基础软件向计算子系统中可信基础软件代理传递通知信息,通知可采用发送中断或者轮询接收方式的方式,信息可以通过共享内存的方式传递。
[0107] 通知接口主要用于控制,即防护子系统中可信基础软件需要计算子系统可信基础软件代理协助完成某些控制任务。如杀死非法进程、网络连接控制等。这些控制行为与主机操作系统高度关联,无法从外部直接控制,或者从外部直接控制存在较大的
风险引擎主机系统崩溃。
[0108] 采用IRQ事件由防护子系统向计算子系统传递信息。
[0109] 本发明实施例提供的一种基于ARM TrustZone的主动免疫的双体系结构系统具备以下有益效果:
[0110] 1、基于ARM CPU Trustzone底层机制支持,构建了安全可信策略管控下的运算和防护并存的主动免疫的新计算体系结构,以密码为基因实施身份识别、状态度量、保密存储等功能。
[0111] 2、基于TrustZone的底层架构能够给为防护子系统的内存空间和I/O 外设提供隔离保护,处于主机
节点的任何硬件和软件都无法访问防护子系统空间,而防护子系统可以访问所有主机内存和I/O外设。
[0112] 3、计算子系统和防护子系统并存,计算子系统负责运行业务计算任务,防护子系统负责对计算子系统进行主动可信度量和控制,确保业务计算任务能够全程按照预期运行,不被篡改和破坏。
[0113] 4、通过动态度量对主机关键行为的可信状态进行主动检查,实现主动免疫。
[0114] 5、通过交互接口实现计算子系统和防护子系统之间的相互通信,避免外部控制导致的风险引擎主机系统崩溃。
[0115] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些
修改和变型属于本发明
权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。
