《可信计算体系的实现原理知识交流》由会员分享,可在线阅读,更多相关《可信计算体系的实现原理知识交流(10页珍藏版)》请在金锄头文库上搜索。
1、可信计算体系的实现原理摘要:21 世纪是信息的时代。一方面,信息技术和产业高速发展,呈现出空前繁荣的景象,另一方面,危害信 息安全的事件不断发生,形势是严峻的。信息安全事关国家安全、事关社会稳定和经济发展,必须采取措施确保信 息安全。目前主要的计算机安全技术有加密、访问控制、鉴别、入侵检测和恢复等。但安全性和完整性,以及安全 性和隐私性总是相互矛盾的。过分强调安全性必然会破坏数据的完整性和用户的隐私性,反之亦然。伴随着计算机 以及网络技术的日益成熟,全面解决计算机安全问题的要求就显得十分迫切,不可能撇开其中任何一项而只考虑另 外一项。如何对它们进行权衡和折衷从而达到系统的一致状态,就是可信计算
2、需要研究的问题。本文对可信计算体 系的实现原理这一问题进行研究,并基于TPM进行了安全协议设计。前言我国的互联网用户数量从2006年的1.37亿迅速增长到2007年底的2.1亿,增幅高达53%。与此同时,互联网 用户遭黑客攻击数也以年均至少 10的速度上升。面对数量如此庞大且逐年上升的计算机终端,我们的网络和数据 的安全保障又是如何呢?传统的防御方式主要通过防火墙、病毒检测、VPN及加密锁等安全体系,都是以被动防御 为主, 结果不仅各种防御措施花样层出,而且防火墙也越砌越高、入侵检测越做越复杂、恶意代码库越做越大, 但是信息安全仍然得不到有效保障。 “艳照门”等越来越多的事件敲响了终端安全的警
3、钟,许多商家虽然为保护用户 的数据安全,提供了许多的技术支持,但都不是最佳选择。随着可信计算工作组在国家信息中心宣告成立以及可信计算技术的开发、应运和部署,一种构建可信计算技术 体系和主动嵌入式防御机制的战略部署应运而生。2007年12月,12家中国IT民族企业和软件所等重要科研机构 在京联合发布了由中国首次自主研发和自主创新的可信计算系列产品,其中可信密码模块TCM( Trust Cryptography Module )芯片被誉为“中国可信计算的安全DNA”。而可信计算自出现,到现在越来越多人关注,很大意义上被当作信息安全问题的“终结者”。尽管业界对此颇有 争议,但从“可信”上说,其安全性
4、根植于具有一定安全防护能力的安全硬件,突破了被动防御打补丁方式,为网络 用户提供了一个更为宽广的安全环境。确实使根本上解决计算机系统存在的基础性安全缺陷,操作系统体系之外计 算机安全平台的构建变成了可能。1 可信计算体系的架构可信计算是针对目前计算系统体系不能从根本上解决安全问题而提出的,其主要思路是在PC硬件平台上引入 安全芯片,首先构建一个信任根,从信任根开始到硬件平台、操作系统,再到应用进程,一级认证一级,一级信任 一级,建立一条信任链,从而把这种信任扩展到整个计算机系统,提高终端系统的安全性。可信计算平台是构建在计算系统中并用来实现可信计算功能的支撑系统。可信计算密码支撑平台是可信计算
5、平台的重要组成部分,提供数字签名、身份认证、消息加密、内部资源的授 权访问、信任链的建立和完整性测量、直接匿名访问机制、证书和密钥管理等服务,为平台的身份可信性、完整性 和数据保密性提供密码支持。其产品形态主要表现为TPM和可信软件栈(Trusted SoftwareStack,TSS)两大部分,其 功能架构如图1 所示。图 1 可信计算密码支撑平台功能架构其中,TPM是可信计算密码支撑平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间,TPM在PC平台架构中所处的位置见图2。TSS是可信计算密码支撑平台内部的支撑软件为平台外部提供访问TPM 的接口。图 2 TPM 在 PC
6、 平台架构中所处的位置2 可信平台模块TPM实际上是一个含有密码运算部件和存储部件的小型片上系统,具备专用的运算处理器、随机数产生器、独 立的内存空间、永久性存储空间和独立的总线输入输出系统。使用符合标准规定的密码算法,对外提供非对称密钥 生成运算、非对称算法加解密运算、杂凑函数运算、数字签名运算和随机数产生运算。TCG规范中定义的TPM组 成结构如图3所示。后文如无特殊注明,皆为符合TCG规范的TPM结构。处理器EIMAC引缰SHA-I引塔选项开关卡易失性fft*fFTIfT密啊t隧机数 乍成器电沥检擎易光性存图 3 TCG 规范定义的 TPM 组成结构其中:I/O接口: TPM的输入输出接
7、口,负责管理通信总线上的信息流,主要任务包括执行内部总线和外部总线之间 转换的通信协议,并向合适的组件发送消息,执行对TPM进行操作的安全策略等。密码协处理器:密码协处理器 组件负责RSA运算的实现,它内含一个执行运算的RSA引擎,提供对内对外的数字签名、内部存储和传输数据的 加密解密功能,以及密钥的产生、安全存储和使用等管理功能。密钥生成器:密钥生成器组件负责创建RSA密钥对和对称密钥。TCG没有限制非对称密钥或对称密钥的密钥 生成次数。HMAC引擎:HMAC引擎组件负责确认报文数据是否以正确的方式为TPM提供信息,它可以发现数据和命令 错误或被篡改的情况。随机数生成器:随机数生成器组件是T
8、PM中随机数的产生来源,负责产生各种运算所需要的随机数。TPM利 用这些随机数值来生成现时、对称密钥和签名中使用的随机数。SHA-1引擎:SHA-1引擎组件通过运行可靠的杂凑算法执行杂凑操作。TPM向外部提供杂凑接口以支持在平 台导入阶段进行度量,并允许具有有限能力的环境访问杂凑函数。电源检测:电源检测组件管理着TPM的电源状态,帮助TPM在电源状态发生变化的时候采取适当的限制措施。选项开关:选项开关组件提供对 TPM 进行功能开启/关闭、使能/失能和激活/去激活的机制,通过改变一些永 久性的可变标志位,可以设置TPM的功能选项。执行引擎:执行引擎组件负责执行经过I/O接口传送给TPM的命令,
9、它是一个保证操作被适当隔离和保护区 域被保护的关键组件。非易失性存储器:非易失性存储器组件被用来保存永久身份和与TPM相关联的状态。易失性存储器:易失性存储器组件被用来保存TPM运行时的临时数据。以上若干组件构成一个有机统一的安全执行环境,作为嵌入式的芯片部件,它们高度集成,并且功能完善。密 钥和授权信息处于底层的TPM所提供的硬件加密保护之下攻击者只有攻破TPM才能攻破系统的防护。这样,TPM 成为了系统可信的最低层次,它提供了整个系统可信的基础。3 可信计算平台的安全功能可信计算密码支撑平台以密码技术为基础,实现平台自身的完整性、身份可信性和数据安全性等安全功能:1、平台完整性度量与报告利
10、用密码机制,通过对系统平台组件的完整性度量,确保系统平台完整性,并向外部实体可信地报告平台完整 性。2、平台身份可信利用密码机制,标识系统平台身份,实现系统平台身份管理功能,并向外部实体提供系统平台身份证明和应用 身份证明服务。3、平台数据安全保护利用密码机制,保护系统平台敏感数据。其中数据安全保护包括平台自身敏感数据的保护和用户敏感数据的保 护。另外也可为用户数据保护提供服务接口。密码算法与平台功能关系如图4 所示:图 2.4 密码算法与平台功能关系4 可信计算体系的实现原理可信计算平台的可信机制主要通过如下三个“可信根”来实现:1、可信度量根(Root of Trust for Measu
11、rement , RTM),建立信任链的起点,是可信计算平台内进行可信度量的基础。完整性度量是指在系统启动和运行过程中,使用杂凑算法对表征加载的软件、固件和硬件等部件特性的数据计 算杂凑值以验证其完整性,并把度量值记入相应的平台配置寄存器;Platform Configure Register , PCR)中。通过有序 的完整性度量和信任关系传递,可以建立平台信任链,确保所启动的系统以及运行的应用程序是可信的。2、可信存储根(Root of Trust for Storage,RTS),指存储根密钥(Storage RootKey,SRK),是可信计算平台内进 行可信存储的基础。出于对密钥安全
12、的考虑,可信计算平台对密钥的存储区域和使用范围有严格的规定,存储主密钥存放在 TPM 的非易失性存储区,得到安全的物理保护,其他某些种类的密钥可用存储主密钥加密保护后存储于TPM外部。3、可信报告根(Root of Trust for Reporting,RTR),指背书密钥(EndorsementKey,EK),是可信计算平台内进行 可信报告的基础。可信报告根标识平台身份的可信性,具有唯一性,用于实现平台身份证明和完整性报告。报告完整性度量值时, 身份证明密钥对完整性度量值进行数字签名,接收方通过验证签名有效性以及校验完整性度量值来判断该平台的可 信性。禾I用TPM提供的密码服务,构建系统所
13、需的安全特性,首先需要实现密钥管理和证书管理,这里对TCG规范 中定义的密钥和证书进行简单介绍。TCG规范定义了七种密钥类型,每一种密钥类型都被赋予一种特定的功能,出于对密钥安全的考虑,每种密钥 的使用范围都有严格的规定。TCG的所有密钥可以笼统的划分为加密密钥和签名密钥,加密的不能用来签名,签名 的也不能用来加密。TCG的七种密钥类型如下:1签名密钥(Signing Key):非对称密钥,用于对应用数据和消息进行签名。签名密钥可以是可迁移的(Migratable), 也可以是不可迁移的(Non-migratable)。可迁移密钥可以在TPM之间传递,TPM通过对应用程序进行签名来加强密 钥迁
14、移的限制性条件。2存储密钥(Storage Key , SK):不可迁移的非对称密钥,用于加密数据量比较小的数据或封装其它密钥。SRK是存储密钥的一个特例,它是系统中拥有最高权限的存储密钥,在平台创建所有者的时候生成,所有其他的密钥都 在 SRK 的保护之下。3身份证明密钥(Attestation Identity Key, AIK):不可迁移的非对称密钥,用于对TPM产生的数据(如TPM性能 参数、PCR值等)进行签名,向实体提供平台身份证明。每个用户可以拥有多个AIK,每个AIK的生成都需要可信 第三方的参与。4. 背书密钥(Endorsement Key,EK):不可迁移的非对称密钥,用
15、于解密平台所有者创建时的授权数据,以及解 密AIK创建时与之相关的数据,不能用于普通的数据签名或加密。目前EK的生成有两种方式:一是由厂家直接生 成,在TPM出厂前就由生产厂商直接固化到TPM中,不可修改;另一种是由TPM的所有者借助于生产厂商提供 的应用程序入口,产生唯一的EK,仅在初次使用芯片时产生一次。5绑定密钥(Binding Key):非对称密钥,用于在一个平台上加密数据量比较小的数据(如对称密钥),然后在另一 个平台上进行解密。6派生密钥(Legacy key):在TPM外部生成,在签名或加密的时候才会载入到TPM中,继承密钥是可迁移的, 用在一些需要在平台之间传递数据的场合。7认
16、证密钥(Authentication Key):是TPM用到的对称密钥,用于保护TPM传输会话。密钥的生成和使用都离不开证书,证明平台的身份更需要证书的保护。TCG规范定义了五种证书,每种证书仅 用于提供平台一个特定操作的必要信息。TCG规范中所使用的证书类型包括:1. 背书证书(Endorsement Certificate) : X.509证书,用于建立EK与TPM的绑定关系,可以在平台的生产阶段由 可信第三方颁发,也可以在平台的部署阶段由用户委托可信第三方颁发。平台一旦确定了所有者,必须在取得所有 者授权后才可以访问该证书,以保护平台所有者的隐私。2. 符合性证书(Conformance Certificate) : X.50
