基于TPCM可信根的双体系可信终端计算架构

摘要：

     TPCM技术作为我国自主研发的可信平台控制模块，从加电启动开始进行度量，实现源头可信基础上的可信任链建立和传递。本文提出基于双体系思想的可信终端架构，通过渐进式可信扩展，构造具有独立可信度量和防护能力的终端平台系统。

01-引言

      冯诺依曼体系结构因缺乏硬件可信根而存在安全缺陷，传统网络安全系统被动且无法有效应对未知攻击。可信平台模块(TPM)和可信执行环境(TEE)技术虽提供一定安全保护，但存在可信根源不可靠、缺乏主动度量和控制能力等问题。TPCM技术作为我国自主研发的可信平台控制模块，从加电启动开始进行度量，实现源头可信基础上的可信任链建立和传递。

      本文提出基于双体系思想的可信终端架构，通过渐进式可信扩展，构造具有独立可信度量和防护能力的终端平台系统。该架构综合全生命周期三阶防护思想和广义可信执行环境技术，实现平台设备全过程的安全可信。主要贡献包括采用双体系结构分离计算和防护功能、基于TPCM国家标准进行平台系统架构设计、为TPCM提供计算单元度量和总线控制能力、适用于广义计算平台、实现全生命周期主动动态防御。

02-安全可信终端平台防护架构

     介绍了基于TPCM可信根的双体系可信终端计算架构。TPCM国家标准于2022年5月1日发布，要求TPCM在主机计算部件上电前启动，并全程并行运行，实现从第一条指令开始的可信建立。TPCM内置TCM可信密码功能，节省空间和功耗。可信终端设计思路包括待机、启动和运行三个阶段的防护。双体系可信终端架构基于TPCM可信根，实现终端执行环境的静态和动态监测防护。架构设计包括启动代码及环境的主动度量、平台部件的启动保护、计算机动态运行环境的监测和端口物理控制。TPCM可信根先于主机计算部件上电启动，全程并行运行，完成待机、启动和运行阶段的度量控制。基于TPCM的双体系可信平台架构相比TPM+PFR方案，在成本、功耗、设计面积、安全严密性和延续性方面具有优势，是终端设备安全防护的优选方案。

双体系可信终端架构

03-系统实现

     介绍了基于TPCM可信根的双体系可信终端计算架构的系统实现。TPCM架构与X86、ARM、MIPS等计算架构无关，主要依赖于主板具备的主动度量端口、CPU通信端口及系统控制能力设计。以ARM CPU+RTOS的网关终端为例，展示了可信网关终端系统的组成，包括TPCM模块、可信代理和可信防护软件。TPCM在终端平台上电时优先供电，确认启动代码的可信性，宿主系统在TPCM控制下启动，通过可信代理程序采集系统执行环境信息并进行独立判定控制，动态度量和保持宿主系统的安全可信运行状态。

     可信终端平台设计以TPCM可信根为中心，包括SoC计算部件、4G/以太网通信部件、电池电源部件、RS485/RS232/CAN/I0采集和内部通信端口、RTC/WDT辅助部件等，TPCM发现通信导常时，输出GPIO控制信号给控制执行部件实时阻断物理信道，根据策略进行流量监视和物理信道的控制，在通信或流量异常时根据预设策略进行信道干预，极端情况下切断物理信道或关闭通信设备电源。TPCM由独立电源供电，通过电源控制信号对设备主电源进行控制，TPCM SPI控制器单元通过SPI总线与参数存储SPI闪存连接，生成代码散列值的主控单元模块，将散列值与参考散列值比较。TPCM EMMC控制单元通过EMMC总线与闪存连接，根据策略实现对EMMC闪存中的数据进行度量保护。

可信网关终端系统组成

     在第一阶段确保启动代码可信性和完整性的基础上、TPCM通过boot|oader植入的可信代理，对启动环境进行检査确认，若检测到可信环境遭受破坏或设备固件代码被恶意篡改，则根据安全策略进入非可信工作模式或阻止计算机继续启动等。TPCM度量信息通过SPI总线与计算单元连接交换数据信息，从计算机上获得设备的物理特征信息、代码信息等，进行分级度量防护。动态度量和策略下发机制如图7所示，策略通过专门的安全管理通道进行管理下发，TPCM通过身份识别、签名等手段确认策略指令的合法性后，通过私钥对策略指今进行解密分析，并将其存储于可信策略管理单元、动态度量模块功能由TPCM动态度量引擎，过程分解、基准值库，控制及报告输出组成，可信代理执行在计算CPU侧，协助TPCM截取程序代码信息及执行访问控制。可信代理运行在操作系统内核，功能包括TPCM驱动、可信协议和可信执行，可信代理是动态收测的重要组件，需TPCM在第一阶段EMMC代码主动度量和第二阶段操作系统加载到内存后进行2次代的可信度确认，但第三阶段运行状态进行可信动态度量保障，保证可信代理的抗攻击性与不可绕过，本文方案采用国产RTOS实现动态度量可信执行功能。根据TPCM度量指令要求的粒度不同，实现动态度量的执行对象可针对系统中的程序执行、某个关键行为或参数堆栈等分别进行度量

 04-测    试

      介绍了基于TPCM可信根的双体系可信终端计算架构的测试过程测试环境包括iMX6ULL CPU计算系统、4G通信单元、以太网接口等，TPCM芯片模块嵌入设备主板，通过控制信号控制主板供电。测试结果表明，TPCM能够从接入电源开始监测记录过程，录入可信基准信息，自检通过后读取EMMC闪存代码并确认其可信性和完整性。在终端设备正常开机使用测试中，重复开机过程，保持整机启动运行环境不变，正常开机进入操作系统。通过模拟恶意替换设备部件或篡改部件固件实验，TPCM能够捕捉到周边部件及加载代码的变化，阻止设备平台启动并及时关闭设备系统电源。此外，TPCM还具备动态内存防护和实时替换或添减部件的动态防御能力。经过多天的压力测试，在多种应用场景下均达到了防护目的，不影响原系统的启动运行机理和可信状态，终端设备系统工作正常稳定。

模拟攻击EMMC闪存代码实验结果

05-结束语

       强调了基于TPCM可信根的双体系可信终端计算架构在提高终端设备安全性方面的重要性。提出了终端设备设计时应考虑的三个关键点:植入独立的硬件TPCM可信根芯片、基于双体系结构的软硬件设计、以及具备全生命周期的主动度量和动态防护能力。文章介绍了结合计算机体系结构和TPCM技术构建的可信终端架构，该架构通过主动度量、可信扩展、判定和控制，实现终端设备的独立可信度量和防护。未来工作将探索将该架构应用于可信网络管理系统，并针对不同应用场景进行优化配置，以提升可信终端设备的效率和适应性。

END