论文部分内容阅读
在信息技术日益普及的今天,互联网技术和移动技术使得计算机平台完成跨区域的工作变得更加方便。人们对于计算机信息的隐私保护、共享以及安全性提出了新的要求,在这种条件下对计算机系统安全性的设计需要面临更多的挑战,可信计算技术就是在这样的背景下提出的。可信计算平台从主板上嵌入的安全芯片出发,按照信任链传递的方式,对计算机平台关键的硬件和软件进行验证,从而达到构建高安全计算机平台的目的。 传统的可信计算机平台是以LPC总线嵌入在主板上或以PCIe板卡形式插在主板上的不可篡改的芯片构成,这个芯片称为可信平台模块(TPM),我国称为可信密码模块(TCM)。对通用计算机进行可信化的升级耗费大,较为麻烦,没有可信模块的计算机将不能获得可信的保护。为此本文提出了便携密码模块,使用便携密码模块可以方便的为通用计算机提供可信计算中规定的服务,从而确保平台的安全性。便携密码模块可以以USB3.0接口连接的方式为通用计算机提供相关可信服务,完成可信存储、可信度量以及可信报告功能。 本文将某国产密码芯片通过存储扩展接口与USB3.0设备控制器连接构成便携密码模块,配合UEFI BIOS为通用计算机提供类似可信平台的安全服务。与传统的可信平台相比,基于便携密码模块的安全平台在可信启动、信任链传递等方面有着很大不同。本文首先对基于便携密码模块的安全平台的总体架构进行了分析,并介绍了便携密码模块的设计和实现过程,包括可信度量、可信存储等重要功能。然后设计了UEFI BIOS下的便携密码模块的驱动,结合了便携密码模块提供的功能实现了启动过程的可信。此外,本文从性能方面考虑选择采用经过裁剪的可信软件栈,并且在软件栈中使用内核态与用户态共享内存的方式进行通信。最后通过实验对该平台进行了功能和性能测试,实验结果表明基于便携密码模块的安全平台可以确保启动过程中各部件的完整性,可以给通用计算机提供有效的安全服务。