《公开版开放可信平台和下一代智能os(713)》由会员分享,可在线阅读,更多相关《公开版开放可信平台和下一代智能os(713)(50页珍藏版)》请在金锄头文库上搜索。
1、可信计算北京市重点实验室 胡俊,下一代智能操作系统 互联协议设计思路,*,可信计算北京市重点实验室,*,可信计算基本概念 开放可信平台 下一代智能OS,*,可信计算北京市重点实验室,*,可信指的是可预期性 可信不等于安全,只是你对安全相关事件的准确判断。 例子:水利预报 可信预测:半个月内有洪水,洪峰流量XXXX 可信预测可预警威胁 可信检测:沿岸某处江堤有缺陷,且半个月内来不及加固 可信检测可发现自身的脆弱性 可信评估:动用泄洪区A,B均可以应对该次洪峰,财产损失分别为XXX和XXX。 可信评估可帮助决策者确定应对措施,可信的含义,*,可信计算北京市重点实验室,*,可信不替代安全,它只是支撑
2、安全 所有安全机制首先应当是一个可信的机制。 安全机制的自身可信表示安全系统能按照预期方式运行 安全机制应当以可信的方式组合成一个防护体系 安全机制的可信组合表示安全机制之间的认证、连接和交互符合预期 安全机制应当确保所执行安全策略的可信 安全策略的可信表示安全机制是从可信的来源按照可信的流程部署下来的 网络空间安全正如人类社会的安全,首先需要一个信任体系,可信于网络空间的意义,*,可信计算北京市重点实验室,*,不要抱着猎奇的心态 可信计算是一个体系,碎拆下来,不成片段。 不要抱着被动的心态 可信计算和实际系统只有相互融合,才能引起无限变化。 不要抱着功利的心态 汲汲于利益得失,无法构建信任的
3、体系 不要抱着跟随的心态 信任是如此重要,请不要轻易把它交出去,请以正确的心态面对可信计算,*,可信计算北京市重点实验室,*,安全机制自身的安全问题 上世纪八十年代的TCSEC标准将系统中所有安全机制的总和定义为可信计算基(TCB) TCB的要求: 独立的,具有抗篡改性 不可旁路 最小化以便于分析和测试 问题:当安全机制分布在系统的各个位置时,如何保证TCB的要求能够满足?,可信计算的技术源头,*,可信计算北京市重点实验室,*,可信计算的核心概念:可信根和可信链 可信环境必须有一个基于密码学和物理保护的可靠的信任源头,这一信任源头就是系统的可信根(TPM/TCM或者TPCM)。 系统中的可信元
4、件(安全机制),其可信性应通过从这一可信根出发,经过一环套一环的可信传递过程来保障其可信性。 系统的可信计算基中所有元件应构成一个完整的可信链条,以确保整个可信计算基的可信性。,可信计算的解决思路,*,可信计算北京市重点实验室,*,可信计算的三大特色功能 可信报告 可信存储 可信度量,如何构建可信链条?,*,可信计算北京市重点实验室,*,可信报告基本原理,TPM/TCM,背书密钥(EK),背书密钥的公钥,平台身份密钥 (AIK),平台身份证书 (含CA签名以及AIK公钥),证书认证中心,可信报告,可信报告,签名,验证,*,可信计算北京市重点实验室,*,可信报告实施方式,本地可信计算平台,TPM
5、/TCM,背书密钥(EK),平台身份密钥 (AIK),平台可信 度量服务,证书认证中心,EK私钥存放于可信报告根中,公钥证书公开,但并不直接用于认证,AIK由EK和证书认证中心联合生成,用以认证平台的身份,可信策略 服务中心,远程可信 计算平台,证书认证中心为可信计算平台可信策略服务中心提供证书支持,远程可信计算平台接收发来的可信报告,并根据可信策略服务中心获取的度量基准值验证本地可信计算平台的可信性,平台可信度量服务度量平台可信性,并将度量结果发送给可信根,生成可信报告发送给远程可信计算平台,*,可信计算北京市重点实验室,*,可信存储基本原理,TPM/TCM,存储根密钥 (SRK),存储密钥
6、,保密数据,加密,存储密钥,存储密钥,密钥策略,存储密钥,存储密钥,加密存储密钥包,解密,密钥导入/导出,*,可信计算北京市重点实验室,*,可信存储实施方式,存储根密钥 (SRK),平台身份密钥 (AIK),不可迁移 存储密钥,平台迁移密钥,用户可迁移 存储密钥,用户不可迁移 存储密钥,用户签名密钥,用户绑定密钥,存储根密钥存放于可信根中,永远不TPM 传播密钥向外界暴露内容,存储根密钥保护用于可信报告的平台身份密钥,不可迁移存储密钥与平台绑定,仅能在本机执行,管理本机环境下的用户签名密钥和用户绑定密钥,平台迁移密钥可通过密码协议实现存储密钥在可信计算平台间的迁移,以实现平台间的安全数据交换,
7、*,可信计算北京市重点实验室,*,可信度量基本原理,TPM/TCM,PCR寄存器,安全机制,写入,安全机制,读取,可信基准库,验证,PCR写入原理,PCR旧值,写入值,哈希算法,PCR新值,验证,写入值1,写入值2,写入值3,写入值n,.,写入值序列,*,可信计算北京市重点实验室,*,可信度量实施方式,可信度量根,可信 存储根,可信 报告根,可信根,BIOS,BIOS 度量阶段,OS Loader 度量阶段,OS 度量阶段,OS Loader 可信基准值,OS Loader,OS,应用,可信芯片 度量阶段,可信链条,度量值,度量值,度量值,OS 可信基准值,系统从可信根开始,首先进行BIOS的
8、可信度量,度量通过后启动BIOS,BIOS度量OS Loader,度量通过后将控制权移交,OS Loader度量OS启动过程,度量通过后执行OS启动流程,*,可信计算北京市重点实验室,*,TCG的观点: 这些机制可以用来验证系统元件的来源,并防止系统元件未经开发商同意的篡改。 开发者可以使用这些机制来保存和验证自己和环境的运行历史 TCG期望依托这些机制构建一个二元化的信任环境 我们使用的所有系统、软件和配置都可以由权威机构认证 所有经可信认证的系统元件构成一个生态圈,排除所有未经认证的元件和修改件 用户在这个生态圈下使用,就可以免于黑客的非法篡改和未知来源恶意软件的侵害。,可信计算功能能带给
9、我们什么?,*,可信计算北京市重点实验室,*,TCG 的倡导者,*,可信计算北京市重点实验室,*,“垄断信任”的做法得不到支持 固定、僵化的可信规则无法适应现代信息系统的需求 TCG甚至解决不了自身的易用性问题,TCG research a wrong question,*,可信计算北京市重点实验室,*,1997年TCG前身TPCA建立,18年来进展乏善可陈。 Windows 8被禁止在中国政府信息系统应用,原因正是可信计算 我国有自己的更开放和自由的可信计算理念和标准,更多的证据,*,可信计算北京市重点实验室,*,可信系统独立于应用运作,主动实施可信监控功能 可信系统中,应用不需要修改。 可
10、信系统通过系统的监控机制主动提供可信支撑功能 可信系统保护用户自己选择的可信规则 用户的可信规则以策略形式表述 可信计算机制保护策略的正确执行 不同用户求同存异,以自组织方式建立可信体系,我国的可信计算理念,*,可信计算北京市重点实验室,*,可信计算基本概念 开放可信平台 下一代智能OS,*,可信计算北京市重点实验室,*,TCG的可信计算调用方式:TSS,TSS是一种被动的,由应用主动执行可信计算调用的可信中间件。,*,可信计算北京市重点实验室,*,主动可信计算体系下的可信调用方式,主动可信计算体系下,可信模块主动运行,监控系统并可自发协作,完成复杂的交互过程,*,可信计算北京市重点实验室,*
11、,根据主动可信机制的设计,系统可信计算功能由各机器的可信软件基主动、独立实现 在可信软件基内部对可信资源的访问进行多重封装,可以解决前述五种问题。 封装可以分为五个层面进行 硬件封装,接口封装,插件封装,流程封装,应用封装,实现方式:基于主动可信机制进行多重封装,*,可信计算北京市重点实验室,*,通过对可信计算具体功能的C语言接口封装,以实现 隐藏可信软件栈的接口细节,简化调用过程 为不同类型的可信根提供基本一致的API,方便可信机制的移植 规范可信计算接口的调用方式 接口封装的实现方式 通过一个静态的tesi库,实现接口封装 tesi库可以包括TPM,TCM,TPCM等不同版本,接口封装,T
12、 E S I,*,可信计算北京市重点实验室,*,接口封装示意图,TSM,TPCM 软件栈,TPM,TSS,TESI通用接口,TCM,TPCM,TPCM个性化接口,TSS封装库,TSM封装库,TPCM软件栈 封装库,*,可信计算北京市重点实验室,*,接口封装实例,*,可信计算北京市重点实验室,*,直接面向安全应用的需求 以应用透明方式提供可信支撑功能 通过可信基础软件对安全应用进行可信管理,应用封装目标,*,可信计算北京市重点实验室,*,应用层可信支撑机制的原型系统 实现了五层封装功能 可以迅速上手进行可信计算开发工作 不同层面的开发工作可以无缝结合,基于Cube-1.1的开放可信平台原型,*,
13、可信计算北京市重点实验室,*,可信计算功能透明添加的演示 在不对登陆程序进行任何修改的情况下,增加可信计算绑定-解绑功能 具体方法:通过切面路由机制,将用户登陆信息旁路到可信绑定加密-解绑插件中,完成可信计算功能 可信功能还可以扩展为对整个平台可信链的认证和局域网内的自动绑定加密 按照试用系统和开发手册,可以自行体验这一流程的实现,实例1:登陆程序的绑定-解绑,*,可信计算北京市重点实验室,*,封装实例:用户身份验证程序的绑定-解绑,*,可信计算北京市重点实验室,*,一个独立于现有云系统的可信架构 未修改现有openstack中的任何代码 可以提供一个可由第三方验证,包含系统可信属性细节的可信
14、报告功能 与中兴通讯联合申报并获得了电子学会科技进步一等奖 有巨大的功能扩展余地 目前北工大正在进行全面升级开发,实例2:openstack上的可信架构,*,可信计算北京市重点实验室,*,实例2:openstack上的可信架构,*,可信计算北京市重点实验室,*,Linux版本试用版已完成 Window版本的移植正在进行中 将成为北工大可信云架构的核心技术 已在北工大学生社区推广 已有数家单位开始试用 今年9-10月发布试用版和教程 年内完整版正式发布并提供教材,开放可信平台的进展情况,*,可信计算北京市重点实验室,*,可信计算基本概念 开放可信平台 下一代智能OS,*,可信计算北京市重点实验室
15、,*,全栈工程师网 百度“FSEN“即可查到 发起人:魏永明 miniGUI开发者 Linux device driver第二版、第三版翻译者 飞漫公司总裁,下一代智能OS网址,*,可信计算北京市重点实验室,*,2015.5.23 清华NGOS第二次沙龙后晚宴,章 文 嵩,李 卓 桓,张 福 新,宋 美 娜,魏 永 明,陶 品,陈 昊,*,可信计算北京市重点实验室,*,2015.6.15 NGOS第三次沙龙,宫 力,罗 未,刘 智 聪,马 天 夫,熊 谱 翔,康 晓 宁,陈 渝,*,可信计算北京市重点实验室,*,一种编程语言(JavaScript)全栈开发。 运行在传统操作系统之上,抹平云到端
16、的差异。 将智能硬件、智能终端、云端的计算机系统看成一个虚拟的、抽象的计算环境。 将计算机系统上运行的不同应用看成是上述抽象计算环境中的抽象设备。 为上面的抽象设备提供全新的操作原语和 API,如传统操作系统中的文件、套接字一样。,NGOS的设想,*,可信计算北京市重点实验室,*,简而言之,万物互联!,*,可信计算北京市重点实验室,*,整体架构,*,可信计算北京市重点实验室,*,大神们设计架构、协议和API,实现核心代码。 专业开发者们参与开发,稳定系统,实现驱动程序和功能模块。 企业可以自组团队参与开发或将开发外包给专业开发者,实现设备驱动和应用程序 初级开发者和普通用户可以通过简化的开发界面实现场景定制的各种应用,开发模式,*,可信计算北京市重点实验室,*,项目1:针对低端智能硬件的javascript运行环境项目 牵头人:马天夫,熊谱翔 项目2:针对高端智能硬件的javascript运行环境项目 牵头人:魏永明, 项目3:面向异构互联网络的去中心化消息协议以及广域javascript应用开发框架项目 牵头
