《综合化航空电子系统中基于可信计算的访问控制模型》由会员分享,可在线阅读,更多相关《综合化航空电子系统中基于可信计算的访问控制模型(12页珍藏版)》请在金锄头文库上搜索。
1、航空电子综合综合化航空电子系统中基于可信计算的访问控制模型摘 要:本文设计了适合于综合化航空电子系统的基于可信计算的访问控制模型,主要设计思路是在综合化航空电子系统的硬件平台上引入可信架构,并对系统资源和服务的访问进行访问控制,通过增强现有软件体系结构的安全性来保证整个系统的可用性、可靠性、安全性、健壮性、可测试性和可维护性。关键字:可信计算 TPM 信任根 访问控制 BLP 模型 BIBA 模型1 引言随着航空电子技术的快速发展,原有的独立式、联合式航空电子系统已不能够满足现代复杂的军事和民用需求。目前航空电子系统已经成为衡量飞机性能的主要因素之一。新一代综合化航空电子系统呈现高度综合化、模
2、块化的趋势,呈现资源高度共享、数据高度融合和软件高度密集 3 大技术特点。新一代航空电子系统对提高飞机执行任务的能力起到重要的作用,特别是在战场上大大提高了飞机的作战能力。在未来网络化的战争环境下,新一代的航空电子系统,应该将分布在飞机各处的各种终端(传感器、作动器、显示器、控制器)、处理机等智能化实体当作网络上的节点,各节点负责信息的采集、存储、处理、应用等不同的任务。但是随着综合化程度的不断提高,不同级别的任务共享硬件、软件和数据资源,各个模块之间进行相互资源调度和访问,给综合化航空电子系统安全性和可靠性带来了重大隐患,主要表现为信息窃听、病毒攻击、消息/数据篡改、非法数据读取、 非法资源
3、访问、 身份伪装、 敏感数据分析、虚假消息重放和注入等。如何有效保护任务间传输信息的完整性和保密性、确保系统资源访问的可控性,是综合化航空电子系统软件面临的巨大难题。本文将可信计算思想和技术引入综合航空电子系统的访问控制,即硬件平台上引入可信架构,并对系统资源和服务的访问进行访问控制,通过增强现有软件体系结构的安全性来保证整个系统的可用性、可靠性、安全性、健壮性、可测试性和可维护性。航空电子综合2 可信计算可信计算技术是近年来由产业界提出并致力研究的新兴技术,可信计算指的是一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏,其目的是从基
4、础硬件平台层次入手来解决计算机终端结构上的不安全。2.1 可信计算的主要研究内容目前,国际上对可信计算的研究主要集中在产业界,可信计算的研究主要包括可信计算机体系结构、可信计算机硬件平台、可信计算机软件平台和可信网络接入四部分内容。(1)可信计算机体系结构可信计算机体系结构是可信计算技术实施的核心,其主要为构建具体的可信计算机终端提供总体设计框架。可信计算组织 TCG(Trusted Computing Group)在分析可信计算技术相应作用机制的基础上,提出了基于可信计算平台模块 TPM(Trusted Computing Module)芯片的可信 PC 机实现框架。TCG 的可信计算机主要
5、有以下几大模块:可信平台模块即 TPM,其通常是具有密码运算能力和存储能力的芯片,在可信计算平台中起核心的控制作用;可度量的核心信任源,即 CRTM (Core Root of Trust for Measurement),它是可信计算平台初始化代码中的不可变部分,计算机启动后,由 CRTM 接管系统控制权,在 TPM 的配合下完成可信计算机中信任状态的逐级建立和传递;可信计算软件栈TSS(Trusted Software Stack) ,其是在 TPM 平台上的支撑软件,主要为其他软件提供使用 TPM 的接口。(2)可信计算机硬件平台可信计算机硬件平台是实现计算机终端安全和网络平台可信的根本
6、保障,其主要包括可信计算机中的安全芯片、BIOS 系统及主板等系统底层硬件的设计实现与综合集成。(3)可信计算机软件平台航空电子综合可信计算机软件平台的研究表现为计算机硬件平台上各层次软件系统的设计实现与综合集成。目前,除了有代表性的研究主要有 TCG 发布的可信计算软件栈规范和微软公司的操作系统 Longhorn 外,世界几家著名的实时操作系统公司都在与承包商合作进行安全操作系统的开发。(4)可信网络接入可信网络连接技术旨在解决网络环境中计算机终端的认证和可信接入问题,与其相关的研究内容主要包括可信网络协议、可信网络设备及可信代理软件三部分。2.2 可信计算的关键技术可信计算的研究涵盖了硬件
7、、软件以及网络等不同的技术层面,其中涉及的关键技术主要有以下几点:1)信任链传递技术:在可信计算机系统中,信任链被用于描述系统的可信性,整个系统信任链的传递从信任根(安全芯片和 CRTM)开始。从平台加电开始到 BIOS 的执行,再到操作系统加载程序的执行,到最终操作系统启动、应用程序的执行的一系列过程,信任链一直从信任根处层层传递上来,从而保证该终端的计算环境始终是可信的。2)安全芯片设计技术:安全芯片作为可信计算机系统物理信任根的一部分,在整个可信计算机中起着核心的控制作用。该芯片具有密码运算能力、存储能力,能够提供密钥生成和公钥签名等功能;其内部带有非易失性存储器,能够永久保存用户身份信
8、息或秘密信息。3)可信 BIOS 技术:BIOS 直接对计算机系统中的输入、输出设备进行硬件级的控制,是连接软件程序和硬件设备之间的枢纽。其主要负责机器加电后各种硬件设备的检测初始化、操作系统装载引导、中断服务提供及系统参数设置的操作。在高可信计算机中,BIOS 和安全芯片共同构成了系统的物理信任根。4)可信计算软件栈(TSS)设计实现技术:可信计算软件栈是可信计算平台的支撑软件,用来向其他软件提供使用安全芯片的接口,并通过实现安全机制来增强操作系统和应用程序的安全性。可信计算软件栈通过构造层次结构的安全航空电子综合可信协议栈创建信任,其可以提供基本数据的私密性保护、平台识别和认证等功能。5)
9、可信网络连接技术:可信网络连接技术主要解决网络环境中终端主机的可信接入问题,在主机接入网络之前,必须检查其是否符合该网络的接入策略(如是否安装有特定的安全芯片、防病毒软件等) ,可疑或有问题的主机将被隔离或限制网络接入范围,直到它经过修改或采取了相应的安全措施为止。2.3 可信计算目前存在的问题目前,在可信计算技术的研究和应用方面,主要面临以下一些问题和难题:1) BIOS 的被动防护问题。根据 TCG 规范,在系统启动的过程中,由 TPM模块来完成对 BIOS 中的各模块进行完整性验证和各种密码运算,进而控制可信安全终端从启动到运行的全过程。在这种安全机制中,TPM 模块本身并不能防止 BI
10、OS 被篡改,只能被动地对可能的攻击行为进行检测。2)信任关系的有效管理问题。目前的可信模型,都必须有预先假定的信任前提,因此如何在确立有效的信任前提,如何对这种信任关系进行管理和传递,就成为目前亟待解决的关键问题。3)软件的动态可信性测量。可信测量是可信计算的基础,但是目前尚缺少对软件的动态可信性的度量理论与方法,无法判断软件是否处于一个可信的执行状态下。4)信任链的传递。信任链技术是可信计算平台的一项关键技术。然而信任链的理论,特别是信任在传递过程中的损失度量尚需要深入研究,把信任链建立在坚实的理论基础之上。3 可信计算在航空电子系统中应用31 基于分区的综合化航空电子系统综合化航空电子系
11、统以分区的形式进行任务管理。每个分区是一组功能相关的软件,是综合化航空电子系统的“灵魂” 。基于分区的综合化航空电子系统航空电子综合如图 1 所示。图 1 基于分区的综合化航空电子系统对分区的安全管理是确保综合化航空电子系统可靠性和安全性的核心技术。航空电子系统使用了分区隔离机制,能够有效地防止一个分区的错误影响其他分区。分区间通信使用虚通道机制。虚通道机制独立于发送分区和目标分区的物理位置,由系统映射表提供路由信息,使用相应的密码学机制能够保证分区间消息传输的机密性。32 可信计算平台可信计算平台 TCM,指利用可信计算提供的机制与方法,部署了可信计算组织相应软硬件的计算平台。整个软件体系框
12、架主要分为 3 层:底层可信平台模块 TPM 及其设备驱动、中间层可信软件堆栈 TSS 和上层提供本地应用的服务层。其中 TPM 作为信任根,是 TCM 的核心,通常以硬件的形态存在,提供系统完整性度量功能及完整性度量信息的存储和报告功能,同时提供密码运算、密钥生成和管理、数据封装等功能。TPM 芯片是集成了一些提供与系统和数据安全相关基本功能的微芯片,内部拥有独立的处理器和存储单元,可独立进行密钥生成及加解密运算,可存储密钥。TCG 服务提供层 (TSP, TCG service provider),能够提供上下文管理和密码操作两种核心服务。可信计算软件体系结构如图 2 所示。航空电子综合图
13、 2 可信计算软件体系架构 图 3 综合化航空电子系统可信软件的结构 33 可信计算在航电系统中的应用在综合化航空电子系统中嵌入 TPM 芯片,引入可信软件堆栈 TSS。TPM 芯片存储与维护系统安全相关的密钥、分区的身份标识和安全属性等信息,并且提供加解密和认证服务。可信计算平台对综合化航空电子系统的安全机制加强主要表现在:从系统启动开始,需要的密钥通过 TPM 实现安全存储,TPM 验证系统组件的完整性、文件摘要等安全信息保证任何进程都是可证明的,并通过信任传递机制保证系统软件来源的可信性。综合化航空电子系统可信软件的体系结构如上图 3 所示。图中箭头方向显示了信任链传递,也称信任推导,是
14、信任从信任根向外传递的过程。TPM 包含了系统的静态信任根。首先,信任根描述第二组功能的可信性,根据这个描述,某相关的实体可以确定该组功能的可信性,如果该实体断定该组功能的可信程度是可以接受的,那么信任边界从信任根扩展到包含第二组功能的范围。这样的过程可以不断的重复下去,第二组功能可以描述第三组功能的可信性,依此类推。信任传递用于描述平台特征的可信性,并证明不可迁移的密钥是不会迁移的。航空电子综合4 基于可信计算平台的访问控制模型在综合化航空电子系统中,每个对系统服务的调用或对系统资源的访问都要被授权,确保只能进行符合控制策略的调用或访问。基于可信计算平台的访问控制保障了应用分区对系统服务和系
15、统资源访问的可控性与安全性,防止恶意代码泄露敏感信息,为综合化航空电子系统可信性提供了有力的保障。综合化航空电子系统访问控制的主要特点是所有的资源都是分等级的,所有的应用分区同样是分等级的;同时,综合化航空电子访问控制系统必需是可信的,本文在可行计算的基础上提出了适合于综合化航空电子系统的访问控制模型。基于可信计算平台的访问控制模型借鉴了(BLP,Bell-LaPadula) 模型和 BIBA 模型的思想,综合考虑了机密性和完整性问题,建立了可信的授权策略。41 BLP 模型和 BIBA 模型BLP 模型是典型的多级安全策略模型,主要应用于军事部门等对数据保密性要求特别高的机构。BLP 模型本
16、质上是一种基于保密性级别的存取控制模型,基于主体对客体的存取控制权限矩阵来实现主体对客体的访问。BLP“向下读,向上写”的原则是:当且仅当主体的安全级别大于或者等于客体的安全级别时,主体才能读取客体中的数据;当且仅当主体的安全级别小于或者等于客体的安全级别时,主体才能写客体中的数据。 “下读上写”的安全策略保证了系统中存储的所有数据只能按照安全级别从低到高的流向流动,防止泄露敏感数据。BLP 模型只解决了信息的保密问题,其在保护完整性方面有一定缺陷。对此,BIBA 模型定义了信息完整性级别,在信息流向方面不允许从低完整性级别到高完整性级别,制约了对信息的非授权修改。BIBA 模型禁止“向上写”和“向下读”:主体只能向比自己完整性级别低的客体写入信息,从而防止非法主体创建完整性级别高的客体信息或者完整性级别高的客体被完整性低的主体中的信息所覆盖,避免了越权、篡改等行为的产生。航空电子综合42 基于 TPM 的综合化航空电子系统访
