隨著計算機技術的高速發展和信息戰的愈演愈烈，計算系統的研究面臨的關鍵問題已不再僅僅局限于運算性能、接口的豐富程度等方面，可信性等方面的研究已變得日益重要，很多軍用領域所用的計算機系統已經趨向于使用國產處理器以保證系統的安全性，但是從可信性的角度來講，僅使用國產處理器是不夠的，本文針對這一趨勢，對可信系統進行了研究，實現了基于國產龍芯處理器的可信系統構建。

1 基于國產處理器的可信系統架構
    構建一個可信系統首先需要構建一個信任根，再建立一條信任鏈，信任的傳遞從信任根開始至硬件平     臺的BootLoader，再到操作系統，最后到應用程序，一級認證一級，一級信任一級，進而擴展到整個計算機系統，基于國產龍芯處理器的可信系統體系結構主要分為四層：可信系統硬件層、可信BootLoader層、可信操作系統層和安全應用程序層,如圖1所示，其中信任根包含在可信BootLoader層內。本文主要介紹可信系統硬件層、可信BootLoader層、可信操作系統層的構建及整個系統的啟動過程和信任鏈建立的過程。

1.1 可信系統硬件層
    可信系統的硬件層如圖2所示，包括主處理器（龍芯2F芯片）、存儲器系統、I/O系統、可信平臺模塊TPM等，主處理器通過LPC總線與可信平臺模塊TPM進行通信，TPM由輸入和輸出、密碼協處理器、存儲單元等組件構成，是一個可以獨立進行密鑰生產與加解密的安全微控制器?！?/p>

1.2 可信BootLoader層
    可信BootLoader層由可信PMON與CRTM組成，如圖3所示。

    其中CRTM（Core Root of Trust Measurement）是信任度量核心根，簡稱信任根，是整個可信計算機的核心測量部分，同時也是可信計算機的整條信任鏈的起點，在可信計算機上電啟動后最先運行，主要負責啟動TPM、校驗可信PMON的完整性、與可信PMON通信?？尚臥MON除了作為整個系統的啟動引導程序外還具有與CRTM通信以及校驗操作系統內核完整性的功能。
1.3 可信操作系統層
    操作系統的可信性問題一直是業內的一個難點，目前現有的可信產品中所使用的可信操作系統大多是在通用操作系統中加入可信軟件棧TSS，以解決操作系統上的應用程序與TPM的通信問題。本文提出的可信操作系統層構建如圖4所示。

     可信軟件棧TSS是對可信系統提供支持的軟件，它的設計目標是對應用TPM功能的應用程序提供一個唯一的入口，并提供對TPM的同步訪問管理?？尚跑浖SS具體可以分為如下4層：
    (1) TPM驅動程序層（TDD）。該模塊主要負責把TDDL傳入的字節流發送給 TPM，然后把 TPM 的返回數據發送回TDDL。TDD模塊的設計與 TPM制造商和操作系統有關，它和TPM在物理層進行通信，依賴于TPM的訪問接口和操作系統的驅動編寫模型。由于TPM一次只能處理一個請求，所以TDD只允許一個進程進行訪問，由TCS層負責對多個請求的同步管理。
    (2) TPM驅動程序庫（TDDL）。由TPM制造商提供，位于TCS和TDD之間，TDDL提供了一個用戶態的接口。該接口是標準的C接口，可以使不同的TCS很容易地在平臺之間移植。由于TDD只允許一個進程進行訪問，因此TDDL在同一時刻只允許被一個進程打開。
    (3) TPM核心服務層（TCS）。在一個平臺操作系統上只能有一個TCS，TCS接口(TCSI)被設計用來提供一種直接而簡便的方法來控制和請求TPM服務。TCS提供了一個公共的服務集合，可以為多個TSP使用。TCS提供的功能包括TPM命令的組包拆包、日志、審計、密鑰證書的管理，以及協調多個應用程序對TPM的同步訪問等。
    (4) TPM服務提供層（TSP）。該模塊位于TSS的最上層，為應用程序提供TPM服務。該模塊和應用程序都位于用戶層，并且在同一進程空間內，為應用程序與 TPM之間的數據傳輸提供保護，可以為應用程序提供TPM安全平臺的所有功能。
2 可信系統啟動過程和信任鏈的建立
    基于龍芯處理器的可信系統基于TPM建立了一條完整的信任鏈，整個平臺的啟動過程和信任鏈工作方式如圖5所示。

    (1) 在計算機終端加電后，信任根CRTM首先啟動初始化TPM；
    (2) TPM運行起來后，信任根度量可信PMON的完整性，將度量值存入TPM；
    (3) 可信PMON運行，初始化龍芯2F計算機主模塊硬件部分；
    (4) 信任根將控制權交給可信PMON，由可信PMON度量操作系統的完整性,將度量值存入TPM；
    (5) 可信PMON將控制權交給操作系統，操作系統度量應用程序完整性，將度量結果報告TPM；
    (6) TPM將完整性度量值經過內部加密處理生成完整性序列值報告給操作系統，操作系統將序列值和已存儲在TPM芯片內部的完整性驗證碼進行比較，如果發現有修改，則操作系統運行中斷；如果沒有修改，則操作系統正常啟動，并進入可信運行環境。
    本文構建了基于國產龍芯處理器的可信系統，整個系統的核心器件龍芯2F處理器和TPM全部為國產器件，它的實現對于軍用、金融等保密領域具有極其重要的意義，但是目前尚存在部分關鍵技術需要攻克，如硬件集成技術、動態可信測量技術及I/O的安全技術等，且目前可信領域的權威組織TCG（可信計算組織）僅給出了可信系統的相關技術規范，可信操作系統、可信數據庫、可信應用軟件的相關技術規范還有待于進一步完善。
參考文獻
[1] Loongson2F_DS_CN Rev1.0[S]. 2008.
[2] Loongson2F_UM_CN Rev1.0[S]. 2008.
[3] 楊功立，付永慶.基于龍芯CPU的高性能安全服務器主板的設計與研究[D]. 哈爾濱:哈爾濱工程大學,2002.
[4] 吳少校，史崗，劉金剛.龍芯2F處理器評估板的設計與實現[D].北京：首都師范大學，2008.
[5] 劉志華.可信計算平臺研究[J].計算機安全,2009(07):53-54
[6] 師俊芳，李小將，李新明.基于TPM的安全操作系統的設計研究[J].裝備指揮技術學院學報,2009(05):87-91.
[7] 林小茶，李光，金爽.嵌入式可信計算機研究[J].計算機工程與設計,2009,30(16):3730-3734.
[8] 吳少剛，徐華.可信嵌入式龍芯啟動加載程序tPMON的設計[J].計算機工程與設計,2008,29(1):5-8.
[9] 李祖松，唐志敏，胡偉武.龍芯2號處理器多線程技術研究[D].北京：中國科學院計算技術研究所，中國科學院研究生院，2006.
[10] Wind River. General purpose platform，VxWorks Edition Migration Guide 3.6[S]. 2010.