信息安全学第8章可信计算平台

《信息安全学第8章可信计算平台》由会员分享，可在线阅读，更多相关《信息安全学第8章可信计算平台（170页珍藏版）》请在金锄头文库上搜索。

1、第8章 可信计算平台,海军工程大学,主要内容,8.1 可信计算概述 8.2 可信计算技术 8.3 一种可信安全计算机 8.4 一种可信嵌入式安全模块 8.5 展望可信计算未来 8.6 小结,8.1.1 可信计算历史,可信计算初期,可信计算技术已经经历了较长的发展历程，它的发展要从容错计算说起。 容错计算的研究与发展以1971年召开的第一届国际容错计算会议（FTCS-1）为起点。,1985年美国国防部制定了世界上第一个可信计算机系统评估准则(Trusted computer system evaluation criteria，TCSEC)。 在TCSEC中第一次提出可信计算机和可信计算基( T

2、rusted computing base，TCB) 的概念，并把TCB作为系统安全的基础。,随后又相继推出了可信数据库解释(Trusted Database Interpretation，TDI)和可信网络解释 (Trusted Network Interpretation，TNI)作为补充,1990年，英国、法国、德国、荷兰四个国家提出了信息技术安全评估准则（Information technology security evaluation criteria，ITSEC），1991年提出成型的ITSEC 1.2版本。 1993年1月，美国公布了融合ITSEC的可信计算机系统评估准则之联邦

3、准则（Federal criteria，FC）。,1995年在FTCS-15上，法国的Jean-Claude Laprie和美国IEEE Fellow， Algirdas Avizienis教授提出了可信计算（Dependable Computing）的概念。,其思路是：在PC机硬件平台上引入安全芯片架构，通过提供的安全特性来提高终端系统的安全性，简单地说，就是可靠性加安全性。,1996年公布了由6国7方提出的信息技术安全性评估通用准则（Common Criteria，CC）1.0版 1998年颁布CC2.0版 1999年12月ISO正式将CC2.0作为国际标准ISO/IEC 15408发布,

4、2. 可信计算高潮,2001年9月可信计算平台联盟( Trusted computing platform alliance，TCPA) 制定了可信PC的技术规范V1.1。 2003年TCPA 改组为可信计算组织（Trusted computing group，TCG）,2003年9月TCG又推出可信PC的新规范V1.2。 TCPA和TCG的出现形成了可信计算的新高潮。,TCG 的可信计算的意义如下： 首次提出可信计算平台的概念，并把这一概念具体化到服务器、微机、PDA和移动计算设备，而且具体给出了可信计算平台的体系结构和技术路线。 不仅考虑信息的秘密性，还强调了信息的真实性和完整性。 更加产

5、业化和更具广泛性，国际上已有200多家IT行业著名公司加入了TCG。,目前，IBM、HP、DELL、NEC、GATEWAY、TOSHIBA、FUJITSU、SONY 等公司都研制出自己的可信PC机。 ATMEL、INFINEON、BROADCOM、 NATIONAL SEMICONDUCTOR等公司都研制出自己的可信计算平台模块（TPM） 芯片。,欧洲于2006年1月启动了名为“开放式可信计算(Open Trusted Computing)”的研究计划。,3. 中国可信计算,2000年6月武汉瑞达公司和武汉大学合作，开始研制安全计算机 2004年10月通过国家密码管理委员会主持的技术鉴定 它是

6、国内第一款自主研制的可信计算平台,2004年6月在武汉召开中国首届TCP论坛。 2004年10月在解放军密码管理委员会的支持下，在武汉大学召开了第一届中国可信计算学术会议。 2005年联想集团的TPM芯片和可信计算机相继研制成功。 同年，兆日公司的TPM芯片也研制成功。,此外，同方、方正、浪潮、天融信等公司也都加入了可信计算的行列。 武汉大学、中科院软件所、北京大学、清华大学等高校和研究所也都开展了可信计算的研究。 至此，中国的可信计算事业进入了蓬勃发展的阶段。,8.1.2 可信计算概念,(1) 可信定义,可信计算组织TCG用实体行为的预期性来定义可信： 如果它的行为总是以预期的方式，朝着预期

7、的目标，则一个实体是可信的。,ISO/ IEC 15408 标准定义可信为： 参与计算的组件、操作或过程在任意的条件下是可预测的，并能够抵御病毒和物理干扰。,美国IEEE Fellow，Algirdas Avizienis教授认为: 所谓可信是指计算机系统所提供的服务是可以论证其是可信赖的。,我们认为：所谓可信是指计算机系统所提供的服务是可靠的、可用的、信息和行为上是安全的。 相对应的可信计算平台是能够提供可信计算服务的计算机软硬件实体，它能够提供系统的可靠性、可用性、信息和行为的安全性。,(2) 信任的属性,信任包括： 值得信任（worthy of trust）：采用物理保护以及其他技术在一

8、定程度上保护计算平台不被敌手通过直接物理访问手段进行恶意操作。 选择信任（choose to trust）：依赖方（通常是远程的）可以信任在经过认证的且未被攻破的设备上进行的计算。,信任是一种二元关系，它可以是一对一、一对多(个体对群体) 、多对一(群体对个体) 或多对多(群体对群体)的。 信任具有二重性，既具有主观性又具有客观性。 信任不一定具有对称性。,信任可度量，也就是说信任的程度可划分等级。 信任可传递，但不绝对。 信任具有动态性，即信任与环境(上下文)和时间因素相关。,(3) 信任的获得方法,信任的获得方法主要有： 直接方法 间接方法,设A和B以前有过交往，则A对B的可信度可以通过考

9、察B以往的表现来确定。 称这种通过直接交往得到的信任值为直接信任值。,直接信任值,设A和B以前没有任何交往，A可以去询问一个与B比较熟悉的实体C来获得B的信任值，并且要求实体C与B有过直接的交往经验。称之为间接信任值,间接信任值,2. 信任的度量与模型,信任的度量理论主要有： 基于概率统计的可信模型 基于模糊数学的可信模型 基于主观逻辑、证据理论的可信模型 基于软件行为学的可信模型等,中国学者屈延文教授用软件行为学来描述软件的可信性，他认为： 主体的可信性是主体行为的一种统计特性，而且是指行为的历史记录反映主体行为是否违规、越权以及超过范围等方面的统计特性。 主体的可信性可以定义为其行为的预期

10、性，软件的行为可信性可以划分级别，可以传递，而且在传递过程中会有损失。,3. 信任根和信任链,信任根和信任链是可信计算平台的关键技术。,一个可信计算机系统组成： 可信根 可信硬件平台 可信操作系统 可信应用系统,信任链是通过构建一个信任根，从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级，从而把这种信任扩展到整个计算机系统,图 可信PC的信任链,4. 可信测量、存储、报告机制,图 可信测量、存储、报告机制,可信测量、存储、报告机制是可信计算的另一个关键技术。 可信计算平台对请求访问的实体进行可信测量，并存储测量结果，实体询问时由平台提供报告。,5. 可信支撑软件,TSS

11、( TCG software stack)是可信计算平台上TPM的支撑软件 TSS的作用主要是为应用软件提供兼容异构可信平台模块的开发环境,图 TSS结构,TSS的结构可分为： 内核层 系统服务层 用户程序层,内核层的核心软件是可信设备驱动TDD模块，它是直接驱动TPM的软件模块，由开发者和操作系统确定。,系统服务层的核心软件是可信设备驱动库函数TDDL和可信计算服务TCS模块。,用户程序层的核心软件是可信服务提供模块TSP。TSP是提供给应用的最高层的API函数。,6. 可信网络连接TNC,可信网络连接TNC( Trusted network connect )的目的是确保网络连接的可信性,

12、图 TNC 结构,TNC通过网络访问请求，搜集和验证请求者的完整性信息，依据一定的安全策略对这些信息进行评估，决定是否允许请求者与网络连接，从而确保网络连接的可信性。,8.1.3 可信计算的基本特征,一个计算机终端要实现可信计算，必须具备以下4个基本特征：,1. 安全输入与输出（Secure I/O）,安全输入与输出在主机与外部设备（如键盘、显示器）之间提供一条安全的通路，阻止程序访问其他程序中通过键盘输入或显示器输出的内容，有效区分物理上的当前用户和程序伪造的用户。 这一特性能防止攻击者截取或控制合法用户的输入操作序列或输出屏幕状态。,2. 存储器屏蔽（Memory Curtaining）,

13、存储器屏蔽是由硬件阻止程序读写其他程序正在使用的存储器空间，即：使操作系统也无法访问被屏蔽的存储器。 这一特性能防止攻击者获取合法用户在工作时的内存信息。,3. 封闭存储（Sealed storage）,封闭存储是将私有信息用一个由软件和硬件共同生成的密钥加密后再存储到外部存储器中。被封闭的私有信息只有通过相同的软件和硬件的组合才能被读取。 这一特性使攻击者无法在其他终端上读取合法用户存储的文件。,4. 远程证明（Remote attestation）,远程证明允许特定计算机上所运行程序的改变能被该计算机和其他计算机检测到。它通过硬件生成一个表明特定计算机上当前运行程序的证书来实现。 这一特性

14、能防止攻击者在远程计算机上控制合法用户的计算机执行恶意程序。,8.1.4 可信计算应用,可信计算的实际应用，主要是针对安全要求较高的场合，可信计算平台能够为用户提供更加有效的安全防护。 下面以PC平台为主线了解目前主要的可信计算应用。,1. 操作系统安全,示范者：微软Windows。 微软在Windows操作系统当中应用较多的一项技术是微软加密文件系统（EFS），这是微软向操作系统中集成可信计算技术的最早尝试之一，Windows 2000及之后出现的Windows XP等系统都支持该特性。,右键单击文件选择“属性”，使用“高级”按钮打开高级属性对话框，在该对话框下方有一个加密文件的使能选项，而

15、在详细信息中可以设置哪些用户帐号可以访问该加密文件。 该功能同样也可以作用于文件夹，设置了加密的文件或文件夹其名称会显示成绿色。,在微软最新的操作系统Vista中一个全新的被称为安全启动的特性将被应用，这是Windows所应用的第一个基于硬件的安全方案。 一个符合TPM规范的硬件设备将对每个Windows系统开机时需要用到的文件进行标记，一旦在开机的过程中这个硬件检验出标记状态的不吻合将很可能意味着这个系统受到了非授权的篡改或破坏。,2. 网络保护,示范者：3Com嵌入式防火墙。 3Com公司提供集成了嵌入式防火墙（EFW）的网卡产品，用以向安装了该产品的计算机提供可定制的防火墙保护，另外还提

16、供硬件VPN功能。,由于支持基于TPM规范的认证，所以用户能够利用这类网卡执行更好的计算机管理，使得只有合法的网卡才能用于访问企业网络。,3. 安全管理,示范者：Intel主动管理技术。 Intel主动管理技术（AMT）技术是为远程计算机管理而设计的，这项技术对于安全管理来说具有非常独特的意义和重要的作用，而且AMT的运作方式与TPM规范所提到的方式非常吻合。,在支持AMT的计算机系统当中,即使在软件系统崩溃、BIOS损坏甚至是没有开机的状态下管理员仍然能在远程对计算机完成很多操作。,可信计算技术的发展经历了三个阶段： 可信电路 可信计算基 可信计算平台,8.2.1 可信电路与系统失效,早在计算机发展的初期，人们就开始重视可信电路（dependable circuit）的研究。 可信电路：高可靠性的电路,失效(failure)是指系统违反规定行为的一种变态。 故障(fault)是硬件物理缺陷的抽象表示或软件设计中的错误。 差错(er