Trusted Execution Technology (TXT) --- 启动控制策略（LCP）篇

版权声明：本文为博主原创文章，未经博主允许不得转载。http://www.cnblogs.com/tsec/p/8428631.html

在TXT平台中，启动控制策略（Launch Control Policy， LCP）是第一个应用于证明的属主控制策略。在TXT基本原理篇，介绍了LCP的基本概念，本文将主要讲述LCP在做什么工作，LCP的重要性以及会有怎样的影响。

1. LCP工作原理

下图给出了度量启动的时间轴，TBOOT module为平台设置了Measurement Launch，然后调用SENTER指令。

针对OS/VMM做Measured Launch，首先会将Post-Launch（MLE）代码载入一段连续内存中，然后将这段代码的基址和平台属主LCP数据结构的基址写入到一个address table中。此时，就可以调用GETSEC[SENTER]指令，CPU Microcode加载SINIT ACM到CPU internal RAM，通过签名验证之后执行该ACM。SINIT ACM中包含有一个LCP引擎，用于处理启动控制策略。

一个启动控制策略实际由两部分组成：

• NV Policy Data：存储在TPM NVRAM，以防被篡改，类似于策略索引，包含有Policy Data Structure的度量值。
• Policy Data Structure：大量且可变的策略信息，可理解为已知良好的度量值列表。
  

  既然NV Policy Data中包含有Policy data structure的hash值，那么SINIT ACM可以通过度量存储在disk上的policy data structure，并将度量值与存储在NV policy data中的hash值相比较，来验证policy data structure的完整性。如此，任何尝试或者替换属主policy的恶意操作都将被SINIT ACM发现，从而导致TXT Reset。TXT Reset意味着平台已经检测到威胁并禁止进一步执行度量启动。只有在平台policy data structure是有效的时候，ACM才会继续处理LCP。

2. LCP的作用

从本质上讲，LCP是否为一个有效的policy，主要取决于OS/VMM是否被允许执行度量启动，当OS/VMM进行Measured Launch初始化时，该policy才会被评估。策略评估包含以下几个部分：

1. 由PCONF策略指定哪些平台配置时可信的；
2. 由MLE策略执行哪个OS/VMM是可信的；
3. 由SINIT策略指定哪个ACM版本时可信的；
4. 覆盖平台供应商设置的平台默认策略。

启动控制策略的流程可参考下图。

一个LCP可能包含多达8个Policy Data Structure，每个Policy Data Structure又可以包含0个或1个PCONF元素和0或1个MLE元素。

2.1 指定平台配置（PCONF元素）

LCP允许平台属主指定可信的平台配置，即创建一个PCRInfo列表，每个PCRInfo结构描述了一个可以接受的平台配置。在TXT系列的Measurement篇中，讲述了PCR0~PCR7的度量过程，这8个PCR可以被认为时度量平台配置。PCRInfo实际是一个Hash值，指定了由哪些PCR（0~7）来创建一个PCRInfo结构。例如，平台属主可以指定PCR0、PCR2、PCR4、PCR5来产生一个hash值，从而创建一个PCRInfo。需要说明的是，PCR0作为可信度量核根（CRTM），必须要被指定。为了创建PCONF元素，平台属主可以利用当前平台的PCR创建相应的PCRInfo，也可以使用其它平台已知良好的PCRInfo，PCONF元素的内容仅仅是PCRInfo的列表。

在Measured Launch时，LCP引擎评估每一个PCONF元素中的PCRInfo。首先，通过从TPM NVRAM中读取指定PCR的当前度量值来生成一个hash值，讲该hash值与PCONF元素中的PCRInfo列表进行比较，若存在一个PCRInfo与之匹配，则判断PCONF策略true，意味着，当前平台满足策略，当前平台配置可信；否则，PCONF策略为false，意味着当前平台不满足LCP策略，从而导致TXT Reset。这里有个例外，若LCP中不存在PCONF元素，意味着不需要评估平台是否可信。

2.2 指定可信OS（MLE元素）

LCP允许平台属主指定哪些OS可以 执行度量启动，且在SENTER指令之后，首先被度量和执行的code被称为Measured Launched Environment（MLE），即度量过的启动环境。对于Intel TXT平台，TBOOT通常被用作MLE code。若MLE code通过LCP，意味着MLE code是可信的，因此，当MLE code被执行后，首先启用和执行所有保护机制，创造出一个安全的启动环境。然后，MLE code再去加载、度量、验证内核code或其它driver程序。平台属主会对内核和其它模块进行签名，并将验证签名的公钥放到MLE code中，由于MLE通过了LCP，MLE code中的公钥是可信的，若签名验证通过，则执行内核。

因此，能否建立起MLE环境，能否安全启动OS，是通过MLE code的度量值来确定的。从前文中，我们知道Policy data structure会包含有0或1个MLE元素，其中是一个已知良好的MLE度量值的列表。在度量启动时，LCP引擎评估MLE策略，比较实际的MLE度量值和MLE策略中的度量值，若存在匹配，那么MLE元素为true，否则为false，将导致TXT reset。

2.3 指定可信的SINIT ACM

平台属主会通过LCP指定最低版本的SINIT ACM，目的是防止恶意代码使用旧的ACM，并利用其已知的漏洞。目前，Intel有能力做到撤销旧版本的BIOS ACM和SINIT ACM。

3. 总结

TXT平台启动以及LCP流程如下图所示，