刘怀泉，刘 峰，冯 磊

（1.超越科技股份有限公司，山东 济南 250104；2.山东省特种计算机重点实验室，山东 济南 250104）

0 引言

随着移动互联及计算机技术的发展，移动办公即携带自己的设备办公（Bring Your Own Device，BYOD）逐渐成为一种趋势。BYOD让工作人员不受时间、空间限制，随时随地进行信息处理。随着移动办公的兴起，移动计算终端作为移动信息化的主要业务载体，以其较强的计算、存储和处理能力，在各行各业移动信息化建设中得到了广泛应用，给各行各业带来了工作便利。然而由于移动计算终端的移动性、使用场景的开放性、网络环境的复杂性，移动计算终端也面临日益严峻的安全威胁，特别是在信息安全高度敏感的企事业单位和政府部门等应用领域，涉及核心业务数据，面临的安全威胁更为严峻，已成为制约移动信息化快速发展的关键瓶颈。现如今，国产化替代时代已经来临，国产技术也已经基本成熟，基于国产关键软硬件研制高安全计算终端成为可能。因此，有必要通过研制国产高安全计算终端设备，实现硬件安全、系统安全、数据安全，满足政府、工业等敏感领域移动办公安全需求[1]。

1 系统架构设计

为满足国产高安全计算终端设计需求，首先进行系统总体架构设计。本设计基于国产关键软硬件构建基础计算平台，通过整合可信计算、低辐射、数据加密等安全保密手段，在基础计算平台上构建了一个全方位的安全保密防护体系，实现平台安全、系统安全、数据安全三大安全功能。系统架构示意图如图1所示。

图1 系统架构示意图

（1）平台安全。采用国产处理器、固件、操作系统以及办公软件，确保自主可控，实现对现有X86架构计算平台的国产化替代，避免国外软硬件设备后门隐患。创新电磁防护技术的工程化应用，实现计算平台低辐射。

（2）系统安全。在国产计算平台上内置可信计算芯片，通过全信任链传递以及软硬件完整性保护，确保系统健壮性，通过应用层安全可信程序，实现对文件、进程等的访问控制，保证用户使用过程中的系统安全。

（3）数据安全。通过内置加密硬盘，保证数据密文存储；通过对存储介质、外设使用以及网络连接等行为进行监管，解决数据在存储、传输、使用过程中的数据泄漏问题[2]。

2 基础软硬件详细设计

高安全计算终端设计从下到上可分成结构层、硬件层、软件层（固件、操作系统）三层。

（1）结构层。通过合理结构设计、良好散热设计，为高安全计算终端硬件提供可靠结构基础。

（2）硬件层。包括自主主板以及外围部件，自主主板在实现计算终端基本功能基础上，定制可信密码模块。

（3）软件层。采用国产固件，中文操作界面，符合UEFI标准，便于扩展安全功能。在国产操作系统基础上，集成可信加密、身份认证、安全管理等功能，形成专用的安全增强操作系统。

2.1 结构设计

计算终端机壳采用镁合金及工程塑料相结合的方式进行设计，机壳表面采用抛光、磨砂、喷塑等处理工艺，确保产品轻量化、美观的同时，提高结构强度。通过对液晶屏进行屏蔽设计，整机机体进行双U型搭接设计，实现整机EMC防护达到GGBB1 B级标准要求。计算终端结构外观示意如图2所示。

图2 安全计算终端结构外观示意图

2.2 硬件设计

安全主板采用国产处理器进行设计，集成存储电路、EC管理电路、电源电路、接口电路（网络、USB、串口、VGA、音频等）及扩展电路（Mini PCI-E）等多个功能电路。主板原理如图3所示。

图3 主板原理图

2.3 软件设计

软件设计包括内核移植和驱动程序开发、国产固件兼容适配、国产桌面操作系统兼容适配以及EC软件设计等工作内容。

内核移植和驱动程序开发主要完成国产处理器初始化、内存探测和配置、网络驱动移植、USB驱动移植、LVDS液晶屏驱动移植等功能。

国产固件兼容适配主要实现设备上电开机、操作系统引导、硬件平台适配和测试验证等功能。

国产桌面操作系统兼容适配主要完成硬件平台适配验证、设备驱动适配、应用集成验证、版本集成验证和测试验证等工作内容。

EC软件主要实现合盖（LID）控制、触控板控制、矩阵键盘控制、温度检测、风扇控制、LCD背光亮度调节、电池检测等功能。

3 安全功能详细设计

3.1 电磁防护设计

电磁防护从机体、液晶屏及电源三方面进行设计。

（1）终端机壳采用镁合金制造，导电性能良好，可将终端内部电路产生的电磁波屏蔽在机体内部，防止电磁波对外辐射。部分塑料材质结构件内部喷涂导电漆，同样达到屏蔽电磁波对外辐射效果。基体边沿缝隙设计紧凑，金属边沿紧密结合，缝隙处密封槽采用“迷宫式”设计，加大槽深和压筋的尺寸，使信号最大衰减，同时密封槽内的导电橡胶屏蔽垫使金属接触面保持良好的电气搭接，防止电磁波通过缝隙外泄[3]。

（2）液晶屏采用带导电网格的屏蔽薄膜，屏蔽效能为50 dB，屏线使用防波套包裹，可防止电磁波从屏线上外泄。

（3）电源适配器前端增加滤波电路，以消除产生并向电网反馈的传导干扰；同时电源适配器外部输入输出线缆使用双层屏蔽线缆，外壳使用磁导率高的金属材质，以消除辐射干扰。

3.2 全盘加密设计

全盘加密采用国家密码局认证的加密芯片，实现数据加密和认证控制，连接在移动计算终端硬盘和SATA接口之间，在终端结构上设计预留专用认证USB接口连接用户USBkey进行身份认证，数据加密密钥在硬盘加载前完成认证，保证硬盘全盘存储的数据都为密文。如图4所示，全盘加密模块主要由加密芯片、SATA转换芯片和USBKey组成。

图4 全盘加密原理框图

3.3 全信任链传递设计

针对现有移动计算终端信任传递过程存在的固有缺陷，基于国产TCM芯片，采用多级度量代理技术，在国产平台上实现从TCM芯片→主板硬件→固件→操作系统→应用软件→网络访问的全信任链传递，既可以确保系统启动时的静态可信性，又能保障应用程序运行中的动态可信性，有效提高了平台的安全性和可靠性[4]。

图5 全信任链传递技术方案

3.4 虚拟磁盘防护设计

基于可信密码模块，采用TCM对虚拟磁盘容器文件进行完整性度量和验证，在TCM平台配置寄存器时记录度量值，采用可信外部存储设备存储度量日志，通过完整性验证虚拟磁盘容器文件的boot sector数据来判断虚拟磁盘完整性，保证虚拟磁盘的安全加载和使用，实现虚拟磁盘的镜像文件保护和完整性保护，提高磁盘安全性。

图6 虚拟磁盘保护技术方案

3.5 主动免疫防护设计

以可信计算与访问控制为基础，建立可信基准库，基于访问控制技术，通过可信软件栈调用 TCM 芯片算法，对系统调用进行拦截，通过可信度量和一定的判定机制，实现系统资源主动度量、自我保护恢复等安全功能，实现主动免疫防护。

图7 主动免疫技术架构图

4 结束语

为满足移动计算终端的安全应用需求，本文从系统架构、基础软硬件平台、安全功能三个方面展开了详细设计，基于国产关键软硬件设计实现的高安全计算终端设备，集成了多项安全防护功能，具有高安全、高可靠等显著优势，项目产品关键软硬件实现了全国产化，杜绝了后门隐患；全面的安全防护，确保了数据安全；较强的运算性能和软件兼容性，可广泛应用于党政、工业等特殊行业领域，满足移动计算平台对国家秘密和商业秘密的安全保密需求。■