0 引言

    為有效防御惡意用戶非法訪問SoC中的敏感數據或危害其他部件，文獻[1]提出了基于雙核的通用計算與安全管控隔離的SoC架構(下面簡稱“雙核安全架構”)，實現了安全核對計算核的安全啟動、主動度量、實時監控、訪問控制等安全服務。但這一架構只能提供“隔離”而不是“可信”的執行環境，因為它無法向用戶或外部驗證者證明運行在執行環境中的軟件是不可篡改的。當前主流的驗證技術是利用認證密鑰對軟件度量值進行簽名和驗簽，而認證密鑰和軟件度量值都通過可信根來安全存儲^[2]。因此，一個隔離的執行環境只有配備了可信根才能真正構成可信執行環境(Trusted Execution Environment，TEE)。

    國內外針對可信根構建技術進行了許多研究。ARM公司基于GlobalPlatform TEE API標準定義了TrustZone應用平臺架構，利用硬件密鑰、密碼加速器、安全芯片等硬件資源來構建可信根^[3-4]。文獻[5]提出使用PUF來保護TEE的方法，但只考慮了TrustZone應用平臺上的安全啟動過程，而忽視了認證、加密等安全防護功能，且沒有給出具體設計實現。文獻[6]提出了一種便攜式可信計算模塊TEEM，可為各種計算平臺提供可信計算功能，但沒有實現TEEM與Rich OS的隔離，TEEM運行于整個Linux操作系統，使得可信計算基(Trusted Computing Base，TCB)非常龐大，且沒有考慮如何建立TEEM的信任鏈。

    鑒于上述方法均無法構建高效靈活安全的可信根，本文提出了利用PUF技術為雙核安全架構提供可信根PRoT，設計了基于PRoT的信任鏈，以保證可信關系的逐級擴展。實驗結果表明，PUF為嵌入式系統提供的可信根具有安全性，并根據PRoT部署了密鑰更新協議，進一步增強了系統的靈活性和攻擊抗性。

1 基于PUF的可信根PRoT

    具有輕量級屬性的PUF適用于資源受限的嵌入式設備^[5]，基于PUF構建可信根PRoT可為操作系統(Operating System，OS)和安全服務提供可信計算功能，而無需額外的安全硬件資源，并允許用戶在設備被物理攻擊破壞后重新部署可信根。PRoT的核心模塊為可信構建模塊(Trust Building Module，TBM)和Seal/Unseal服務。

1.1 可信構建模塊TBM

    本文利用模糊提取算法^[7]從PUF響應值中提取唯一設備密鑰，模糊提取算法結構如圖1所示。模糊提取算法的工作過程分為生成階段和重現階段。TBM實現于重現階段，由BCH糾錯碼、密鑰提取算法(Key Derivation Function，KDF)和密鑰生成算法(Key Generation Algorithm，KG)組成。

1.1.1 生成階段

    生成階段由制造商在設備生產中執行。首先，制造商選擇隨機數PS，用BCH糾錯碼對PS進行編碼以獲得代碼C(PS)=BCH_Enc(PS)。PUF的響應R作為輸入，與C(PS)異或得到代碼S送入輔助數據H，在重現階段中H用于生成相同的初始種子PS。

    然后，R與PS異或得到TRS，再注入KDF中生成對稱密鑰k，PS被傳遞到KG中生成唯一的公鑰/私鑰對(pk，sk)。對稱密鑰對安全OS的鏡像進行加密來保護其機密性。制造商通過簽名公鑰pk、TBM鏡像和安全OS鏡像的標準度量值來生成證書 Cert_pk。這兩個度量值將用于構建雙核安全架構安全啟動的信任鏈。

    最后，制造商將輔助數據H、加密后的安全OS鏡像和證書Cert_pk存儲在設備的非易失性存儲器中。在生成階段，制造商將初始種子PS隱含地嵌入到設備中，即初始種子沒有物理存儲在設備上，但可以在運行時重新生成。

1.1.2 重現階段

    重現階段將PUF在相同激勵下產生的響應值R′作為輸入。由于環境因素干擾，PUF的響應值R′和生成階段中PUF的響應值R之間存在噪聲偏差，故BCH糾錯碼用來消除噪聲。R′先與輔助數據中的S進行異或以產生噪聲BCH碼C(PS)′=R′⊕S，代碼C(PS)′傳遞給BCH解碼器，消除噪聲并產生在生成階段中隨機選擇的PS，最后從PS中提取唯一設備密鑰和對稱密鑰，對稱密鑰用于解密安全OS鏡像。

    TBM產生的唯一設備密鑰為安全服務和通用操作系統提供可信根。首先是利用唯一設備密鑰為安全服務提供Seal/Unseal服務，確保只有指定的安全服務和平臺才能訪問用戶數據，Seal/Unseal服務可視為安全服務的可信根。其次，TPM服務使用唯一設備密鑰作為認證密鑰，為通用計算核提供諸如安全存儲、認證、度量等豐富的可信計算功能，這些功能可用于啟動一個可信的通用OS并幫助該OS將信任鏈擴展到應用，即幫助非安全域運行在可信狀態。TPM服務可視為通用操作系統的可信根。

1.2 Seal/Unseal服務

    Seal/Unseal服務利用唯一設備密鑰(pk，sk)進行加密算法和哈希操作，與平臺和特定安全服務綁定安全數據。用戶通過步驟1和2將數據data密封到安全服務S中，其中hash（S）表示二進制代碼S的哈希值，B代表存儲于安全服務中的雙重加密代碼。

    由步驟Sealing和Unsealing可知，只有具有唯一設備密鑰和運行合法安全服務的設備才能獲取用戶數據data，而唯一設備密鑰只能被運行合法OS的平臺獲得，所以Seal/Unseal服務保證了只有處于安全狀態的平臺才可以訪問用戶數據。換句話說，Seal/Unseal服務向用戶隱含地證明了執行環境處于可信狀態。安全服務還可以使用此機制來存儲關鍵數據。

2 基于PROT的可信計算平臺架構

2.1 可信計算平臺架構

    安全啟動是保證SoC系統安全的一個重要前提。安全OS和安全服務的鏡像通常從非安全永久性存儲(如閃存或SD卡)加載，可能會受到惡意應用程序的篡改^[8]。本文構建了基于PRoT的可信計算平臺架構(如圖2所示)，并進一步尋求建立基于PRoT的信任鏈(如圖3所示)，實現信任關系從可信根到整個計算平臺的擴展，保護運行代碼的安全性和完整性，完成雙核安全系統的安全啟動。

2.2 信任鏈

    信任鏈是通過實現一個實體與預期值的充分匹配來了解信息平臺的可信程度^[8]。基于PROT的信任鏈傳遞過程如圖3所示。

    當設備通電時，處理器立即從BootROM執行一級啟動代碼(First Stage Boot Loader，FSBL)，該代碼通常在芯片制造過程中已被置信。在簡單的系統初始化后，FSBL首先對TBM鏡像進行完整性驗證，使用制造商的公鑰進行驗簽。若驗簽成功，則度量TBM的鏡像，并與標準度量值進行比較。如果完整性驗證通過，則讀取PUF的響應值R，并將R傳輸到TBM，運行TBM，否則停止啟動。

    由于片內存儲器的存儲空間對于傳統的引導進程不夠大，需要將Second Stage Bootloader代碼（即U-boot）的鏡像加密存儲在外部DDR存儲器上，因此，在驗證U-boot前，用TBM生成的密鑰K對U-boot和安全OS的鏡像進行解密。所以TBM不僅保證了安全OS的完整性，還增加了其安全性。再依次完成鏡像度量值驗證，并在驗證成功后，沿信任鏈度量方向傳遞控制權。在運行安全OS之前，要擦除片上存儲器中的所有信息。安全OS啟動時將初始化安全服務、TPM服務等，然后通過這些服務將信任鏈擴展到整個可信平臺。

2.3 密鑰更新機制

    當前，設備密鑰的安全存儲機制通常依賴于Battery-backed RAM或eFuse技術^[2]。與這些機制相比，基于PUF技術構建的可信根能夠部署靈活的密鑰更新機制，具體協議流程如圖4所示。設備所有者可以通過定期更改設備密鑰來提高系統的安全等級。

    令表示將集合S中隨機選擇的值分配給x，{0，1}ⁿ表示長度為n的二進制字符串集合。設備D具有唯一設備公鑰/私鑰對(pk，sk)，且制造商M具有用于簽名的密鑰對(pk_M，sk_M)。三元組(KG，SIG，VER)表示簽名方案，其中SIG是簽名算法，VER是驗簽算法。im_B和im_S分別表示TBM和OS的鏡像。

    新的初始種子PS′的隨機選取與舊設備密鑰無關，舊設備密鑰的泄露不會對PS′造成危害。但是，敵手可以將先前的輔助數據和加密的操作系統鏡像復制回設備中，使得設備密鑰回溯為舊設備密鑰，即通過降級攻擊來破壞密鑰更新協議。圖4的密鑰更新協議中增加了計數器c，用于抵抗降級攻擊。c在協議重新執行后計數加1，TBM就不能計算先前的對稱密鑰K，所以操作系統鏡像無法解密。只有新部署的軟件才能啟動系統，從而防止降級攻擊。

3 實驗與評估

3.1 TBM及PRoT實現

    基于Xilinx公司的Zynq-7000 AP SoC實現了上述設計，TBM中的PUF模塊使用基于環形振蕩器的PUF^[9]實現，采用C語言對TBM和PRoT進行了描述。模糊提取算法基于可以配置不同參數的開源BCH糾錯碼來實現^[10]。本文將BCH參數[n，k，d]配置為[256，21，55]，其中n表示編碼位寬，k表示數據位寬，且d≥2t+1，t表示可糾錯的位數。[256，21，55]-BCH糾錯碼可以解碼錯誤位少于=27比特的噪聲信息。初始種子的長度為131比特，在TBM中需要運行BCH糾錯碼=7次才能重新獲取初始種子。

    使用RSAREF庫^[11](其MD5散列函數用SM3替代)來實現KG。安全啟動的對稱密鑰的生成與TPM 2.0^[12]中的對稱初始密鑰的生成相似。PRoT中的Seal/Unseal服務通過修改的RSAREF庫、KDF、SHA3和面向字節的AES來實現。在安全管控核中通過整合軟件模擬器來實現的TPM服務，具體細節可參考文獻[13]。

    TBM及PRoT各模塊的編譯結果如表1所示。從中可以看出，TBM和Seal/Unseal服務的TCB都非常小，TBM的總體大小只有2 579條代碼，Seal/Unseal服務只用了1 873條，編譯后的二進制代碼量只增加了65.3 KB的ROM和381.5 KB的Flash。TPM服務的TCB較大是因為它提供豐富的可信計算功能。

3.2 Seal/Unseal服務

    Seal/Unseal服務和TPM服務中的部分TPM命令的性能評估（100次運行的平均消耗時間）如表2所示。結果顯示，Seal/Unseal服務100次運行的平均消耗時間為10 ms，能夠快速地綁定敏感數據到安全服務中。部分TPM命令的消耗時間較長，仍屬于正常工作的可接受范圍。

3.3 攻擊抗性評估

    下面主要以初始種子和唯一設備密鑰為攻擊對象進行安全性分析，評估本文設計的攻擊抗性。

    在能夠控制SoC所有外部接口的情況下，敵手可能通過竊取PUF響應值、軟件攻擊、附加惡意外圍設備等攻擊手段危害初始種子，但仍無法被突破本文設計對初始種子的安全防護。

    由于BootROM是通過敵手無法監控的SoC內部總線將響應值傳輸給TBM，因此敵手無法竊取PUF響應值，也就無法生成初始種子。而且初始種子只在TBM運行時存在，此時TBM是運行在設備上的唯一代碼。信任鏈保證了只有合法的TBM才能在OCM中運行，所以對手無法通過軟件攻擊來危害初始種子。OCM在器件引腳上沒有地址線或數據線，惡意外設無法從設備引腳讀取片上存儲的內容。OCM是SoC的安全存儲，因此利用接口封裝等技術手段可以防止惡意外圍設備訪問OCM。

    系統運行時，設備密鑰會短暫地存儲在安全OS中，但OS運行在片外主存儲器中，可能會受到惡意應用程序的攻擊。雙核安全架構可以實現安全環境與正常環境的隔離，一般物理攻擊無法突破隔離技術的防御能力。如果設備密鑰受到物理攻擊的危害，可以通過執行密鑰更新協議來部署新設備密鑰。

4 結束語

    本文利用PUF能夠將密鑰隱含地嵌入設備而不需要物理存儲的特性，構建了雙核隔離SoC架構的可信根PRoT，并以PRoT為信任錨點設計了信任鏈和密鑰更新協議。實驗結果表明，PRoT能夠以較小TCB運行于Zynq-7000 AP SoC中，通過對PRoT中部分TPM命令和Seal/Unseal服務的性能評估，以及對初始種子和唯一設備密鑰的安全性分析，證明了PUF能夠為嵌入式系統提供安全靈活的可信根。

參考文獻

[1] 孫春子.基于雙核的系統安全框架的研究與實現[D].南京：南京理工大學，2008.

[2] 利文浩.面向多域計算環境安全的系統軟件研究[D].上海：上海交通大學，2015.

[3] ALVES T.TrustZone：integrated hardware and software security[J].White Paper，2004.

[4] ARM.Securing the system with TrustZone ready program[EB/OL].[2013-12-19].http：//www.arm.com/products/security-on-arm/trustzone-ready/index.php.

[5] ARENO M，PLUSQUELLIC J.Securing trusted execution environments with PUF generated secret keys[C].IEEE International Conference on Trust，Security and Privacy in Computing and Communications.IEEE Computer Society，2012：1188-1193.

[6] FENG W，FENG D，WEI G，et al.TEEM：a user-oriented trusted mobile device for multi-platform security applications[M].Trust and Trustworthy Computing.Springer Berlin Heidelberg，2013：133-141.

[7] KANG H，HORI Y，KATASHITA T，et al.Cryptographie key generation from PUF data using efficient fuzzy extractors[C].International Conference on Advanced Communication Technology.IEEE，2014：23-26.

[8] 譚良，徐志偉.基于可信計算平臺的信任鏈傳遞研究進展[J].計算機科學，2008，35(10)：15-18.

[9] KUMAR A，MISHRA R S，KASHWAN K R.Challenge-response generation using RO-PUF with reduced hardware[C].International Conference on Advances in Computing，Communications and Informatics.IEEE，2016.

[10] MORELOS Z R.Encoder/decoder for binary BCH codes in C(Version 3.1)[EB/OL].[2017-12-19].http：//www.rajivchakravorty.com/source-code/uncertainty/multimedia-sim/html/bch_8c-source.html.

[11] RSA Data Security Inc.RSAREF[EB/OL].[2017-12-19].http：//www.homeport.org/adam/crypto/rsaref.phtml.

[12] TCG.Trusted platform module library part 1: architecture，Family 2.0，Level 00 Revision 01.07[Z].2014.

[13] 吳少剛，許華.可信嵌入式龍芯啟動加載程序tPMON的設計[J].計算機工程與設計，2008，29(1)：5-8.

作者信息:

吳  縉，徐金甫

（解放軍信息工程大學，河南 鄭州450001）