TPM故障解决方案.docVIP

目前对可信计算平台的研究，主要集中在可信计算平台的重要部件TPM上面。嵌入TPM芯片的系统在加电时，TPM首先验证当前底层固件的完整性，如正确则完成正常的系统初始化，然后由底层固件依次验证BIOS和操作系统完整性，如正确则正常运行操作系统，否则停止运行[ 1-3 ]。由此我们可以看出，在计算机主板上安装TPM的安全计算机存在下列问题：用户在使用TPM的过程中不可避免的会出现某些或失误，如TPM被拔出、TPM芯片烧毁等，现有的TPM1.2规范并没有考虑这些问题。一旦出现这些情况，系统就不能正常启动。TPM使用者就无法恢复出保存在TPM中的秘密信息以及用这些秘密信息加密的硬盘数据。导致现有TPM的使用严重妨碍了易用性的原则。 申请（专利）号：200710199230.5可信平台模块的体系结构及其提供服务的方法 文献[4]提出了一种借鉴太行安全BIOS可信体系结构与实现方案，虽然能够保障BIOS安全，但是并未考虑TPM芯片发生故障的情况；文献[5]提出了一种基于BIOS和USB盘实现对PC机的安全访问策略，虽然实现了从计算机启动入口处的安全检查，提高了系统的安全性，但是并未兼容TPM。本文采用基于软件的方法，无需改变现有TPM的架构，改进了文献[4]的BIOS体系结构，借鉴文献[5]的技术，使系统在TPM故障时，可以禁用TPM进行可信测量，并以及通过改变BIOS可执行顺序使计算机能够正常启动，在并能启动过程中，还可以利用USB KEY，实现在BIOS层的身份认证然后利用保存在TPM里的相关证书和密钥，恢复用户的一些重要信息。 基于BIOS和USB KEY实现对PC机的安全访问 BIOS安全是目前信息安全领域研究的一个热点。BIOS作为固化在主板上ROM芯片中的一段软件代码，主要包括基本硬件驱动与初始化启动及引导部分代码。文献[4]提出的可信BIOS由两部分构成：CRTM（Core Root of Trust for Measurement）和N- CRTM（Non- CRTM）。CRTM是可信链建立的起点，是被无条件信任的。可信BIOS的CRTM包含4个功能模块：平台初始化模块完成CPU、芯片组、主板、内存、堆栈的初始化工作，建立后续BIOS程序最小化运行环境；可信硬件驱动模块初始化可信硬件设备，提供可信硬件设备调用的协议函数；可信测量引擎为后续可信测量提供消息摘要和非对称加密引擎；可信恢复引擎在N- CRTM完整性遭到破坏时驱动BIOS备份存储设备USB KEY，并从该设备中对可信BIOS的N- CRTM进行可信恢复。进入可信恢复模式后，CRTM阶段的可信恢复引擎负责从USB KEY中读入除CRTM之外的可信BIOS的其他部分的映像，并写回到Flash芯片中。可信恢复的过程同样需要对被加载的BIOS映像进行可信测量，要求操作者提供完整合法的恢复映像。可信BIOS的N- CRTM完成BIOS固件的其他功能，包括对硬件平台的进一步检测和初始化、设备驱动、模块调度、系统管理、板卡上OPROM（Option ROM）固件代码的调用执行，操作系统引导代码等。用于安全/管理的其他BIOS层的应用程序也可在N- CRTM阶段加载执行。N- CRTM包含的代码必须通过可信测量才能够被加载执行。 BIOS TPM正常时，体系结构可以保障BIOS安全，但是一旦TPM发生故障，此体系结构就不再适用了。尤其是对一些重要应用的政府或军事系统，若攻击者利用这一严重缺陷，只需要破坏TPM芯片，则通过TPM加密的所有关键数据都将无法恢复，这一攻击也就成了可信系统的一个严重漏洞。因此需要做出一些改进，使系统能兼容TPM故障。要想TPM故障时系统能够正常工作，本文采取的第一步是改进BIOS，即在BIOS中添加一个可执行模块。 TPM通过LPC（Low Pin Count）接口同主板的南桥芯片组连接。在CRTM的最初阶段对LPC作初始化，读取TPM芯片的VID（Vendor ID）和DID（Device ID），确定主板上是否存在TPM，以决定运行过程中是否使用TPM进行可信测量。若检测到TPM存在，则向TPM发出TPM _Startup（ST_CLEAR）和TPM_ Continue Self-Test命令使TPM进入完全操作状态，使TPM可用于后续的可信测量过程。若在初始化TPM时，收到TPM_NO_ RESPONSE[6]信号，即TPM无响应，说明TPM设备可能出现故障。初始化时，TPM的状态不同，返回的值也就不同，返回值被保存在DL寄存器中。若TPM无响应，返回值为03h[6]。 本文拟采取的方案是：在从DL寄存器读取返回值时，进行一个判断，如果返回值VALUE=03h，则自动执行一个预先编译好的程序文件模块，其作用是关闭TPM的端口，通知系统在以