《第3部分网络防御技术》由会员分享,可在线阅读,更多相关《第3部分网络防御技术(76页珍藏版)》请在金锄头文库上搜索。
1、1华东理工大学计算机科学与工程系第第3章章 网网络防御技防御技术指导教师指导教师: :杨建国杨建国2013年年8月月10日日2华东理工大学计算机科学与工程系3.1 安全架构安全架构3.2 密密码技技术3.3 防火防火墙技技术3.4 杀毒技毒技术3.5 入侵入侵检测技技术3.6 身份身份认证技技术3.7 VPN技技术3.8 反反侦查技技术3.9 蜜罐技蜜罐技术第第3章章 网络防御技术网络防御技术3.10 可信可信计算算3.11 访问控制机制控制机制3.12 计算机取算机取证3.13 数据数据备份与恢复份与恢复3.14 服服务器安全防御器安全防御3.15 内网安全管理内网安全管理3.16 PKI网
2、网络安全安全协议3.17 信息安全信息安全评估估3.18 网网络安全方案安全方案设计3华东理工大学计算机科学与工程系3.10 可信计算可信计算4华东理工大学计算机科学与工程系可信计算技术研究可信计算技术研究国家信息化国家信息化专家咨家咨询委委员会委会委员 沈昌祥 院士院士5华东理工大学计算机科学与工程系内内 容容一、可信计算一、可信计算二、二、TCG的动态的动态三、国内的进展三、国内的进展四、目前存在的一些问题四、目前存在的一些问题6华东理工大学计算机科学与工程系一、可信计算一、可信计算7华东理工大学计算机科学与工程系产生安全事故的技术原因:产生安全事故的技术原因:pPC机软、硬件结构简化,导
3、致资源可任意机软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可使用,尤其是执行代码可修改,恶意程序可以被植入以被植入p病毒程序利用病毒程序利用PC操作系统对执行代码不检操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码查一致性弱点,将病毒代码嵌入到执行代码程序,实现病毒传播程序,实现病毒传播p黑客利用被攻击系统的漏洞窃取超级用户权黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏限,植入攻击程序,肆意进行破坏p更为严重的是对合法的用户没有进行严格的更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全访问控制,可以进行越权
4、访问,造成不安全事故事故8华东理工大学计算机科学与工程系p为了解决计算机和网络结构上的不安全,从为了解决计算机和网络结构上的不安全,从根本上提高其安全性,必须从芯片、硬件结根本上提高其安全性,必须从芯片、硬件结构和操作系统等方面综合采取措施,由此产构和操作系统等方面综合采取措施,由此产生出可信计算的基本思想,其目的是在计算生出可信计算的基本思想,其目的是在计算和通信系统中广泛使用基于硬件安全模块支和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。持下的可信计算平台,以提高整体的安全性。9华东理工大学计算机科学与工程系p 可信是指可信是指“一个实体在实现给定一个实体在
5、实现给定目标时其行为总是如同预期一样目标时其行为总是如同预期一样的结果的结果”。强调行为的结果可预。强调行为的结果可预测和可控制。测和可控制。10华东理工大学计算机科学与工程系p可信计算指一个可信的组件,操作可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。码和一定的物理干扰造成的破坏。p可信计算是安全的基础,从可信根可信计算是安全的基础,从可信根出发,解决出发,解决PC机结构所引起的安全机结构所引起的安全问题。问题。11华东理工大学计算机科学与工程系具有以下功能:
6、具有以下功能:p确保用户唯一身份、权限、工作空间的完整性确保用户唯一身份、权限、工作空间的完整性/可用性可用性p确保存储、处理、传输的机密性确保存储、处理、传输的机密性/完整性完整性p确保硬件环境配置、操作系统内核、服务及应确保硬件环境配置、操作系统内核、服务及应用程序的完整性用程序的完整性p确保密钥操作和存储的安全确保密钥操作和存储的安全p确保系统具有免疫能力,从根本上阻止病毒和确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击黑客等软件的攻击12华东理工大学计算机科学与工程系可信计算平台特性:可信计算平台特性:p定义了定义了TPMn TPM = Trusted Platform Mo
7、dule可信平台可信平台模块;模块;p定义了访问者与定义了访问者与TPM交互机制交互机制n通过协议和消息机制来使用通过协议和消息机制来使用TPM的功能;的功能;p限定了限定了TPM与计算平台之间的关系与计算平台之间的关系n必须绑定在固定计算平台上,不能移走;必须绑定在固定计算平台上,不能移走;pTPM应包含应包含n密码算法引擎密码算法引擎n受保护的存储区域受保护的存储区域13华东理工大学计算机科学与工程系p可信计算终端基于可信赖平台模块(可信计算终端基于可信赖平台模块(TPM),以密码技术为支持、安全操作系统为核心(如以密码技术为支持、安全操作系统为核心(如图所示)图所示) 安全应用组件安全应
8、用组件安全操作系统安全操作系统安全操作系统内核安全操作系统内核密码模块协议栈密码模块协议栈主主板板可信可信BIOSTPM(密码模块芯片密码模块芯片)图:可信计算平台图:可信计算平台14华东理工大学计算机科学与工程系可信平台基本功能:可信平台基本功能:p可信平台需要提供三个基本功能:可信平台需要提供三个基本功能:n数据保护数据保护n身份证明身份证明n完整性测量、存储与报告完整性测量、存储与报告15华东理工大学计算机科学与工程系数据保护:数据保护:p数据保护是通过建立平台屏蔽保护区域,实数据保护是通过建立平台屏蔽保护区域,实现敏感数据的访问授权,从而控制外部实体现敏感数据的访问授权,从而控制外部实
9、体对这些敏感数据的访问。对这些敏感数据的访问。16华东理工大学计算机科学与工程系身份证明:身份证明:TCG的身份证明包括三个层次:的身份证明包括三个层次:1)TPM可信性证明可信性证明p是是TPM对其已知的数据提供证据的过程。这对其已知的数据提供证据的过程。这个过程通过使用个过程通过使用AIK对对TPM内部的明确数据内部的明确数据进行数字签名来实现。进行数字签名来实现。2)平台身份证明)平台身份证明p是指提供证据证明平台是可以被信任的,即是指提供证据证明平台是可以被信任的,即被证明的平台的完整性测量过程是可信的。被证明的平台的完整性测量过程是可信的。3)平台可信状态证明)平台可信状态证明p是提
10、供一组可证明有效的平台完整性测量数是提供一组可证明有效的平台完整性测量数据的过程。这个过程通过使用据的过程。这个过程通过使用TPM中的中的AIK对一组对一组PCR进行数字签名实现。进行数字签名实现。17华东理工大学计算机科学与工程系完整性的测量、存储与报告完整性的测量、存储与报告1)完整性测量)完整性测量p完整性测量的过程是:对影响平台完整性完整性测量的过程是:对影响平台完整性(可信度)的平台部件进行测量,获得测量(可信度)的平台部件进行测量,获得测量值,并将测量值的信息摘要记入值,并将测量值的信息摘要记入PCR。p测量的开始点称为可信测量根。静态的可信测量的开始点称为可信测量根。静态的可信测
11、量根开始于对机器的起始状态进行的测量,测量根开始于对机器的起始状态进行的测量,如上电自检状态。动态的可信测量根是以一如上电自检状态。动态的可信测量根是以一个不被信任的状态变为可信状态的测量作为个不被信任的状态变为可信状态的测量作为起始点。起始点。 18华东理工大学计算机科学与工程系2)完整性存储)完整性存储p完整性存储包括了存储完整性测量值的日志和完整性存储包括了存储完整性测量值的日志和在在PCR中存储这些测量值的信息摘要。中存储这些测量值的信息摘要。3)完整性报告)完整性报告p完整性报告用于证实完整性存储的内容。完整性报告用于证实完整性存储的内容。p完整性测量、存储和报告的基本原理是:一个完
12、整性测量、存储和报告的基本原理是:一个平台可能会被允许进入任何状态,但是平台不平台可能会被允许进入任何状态,但是平台不能对其是否进入或退出了这种状态进行隐瞒和能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。行评估并据此作出正确的响应。19华东理工大学计算机科学与工程系可信任链传递与可信任环境可信任链传递与可信任环境20华东理工大学计算机科学与工程系pTCG定义了定义了7种密钥类型。每种类型都附加了种密钥类型。每种类型都附加了一些约束条件以限制其应用。一些约束条件以限制其应用。TCG的密钥可以的密
13、钥可以粗略的分类为签名密钥和存储密钥。更进一步粗略的分类为签名密钥和存储密钥。更进一步的分类有:平台、身份认证、绑定、普通和继的分类有:平台、身份认证、绑定、普通和继承密钥。对称密钥被单独分类为验证密钥。承密钥。对称密钥被单独分类为验证密钥。7种密钥类型如下:种密钥类型如下:1)签名密钥)签名密钥(Signing Key):非对称密钥,用:非对称密钥,用于对应用数据和信息签名。于对应用数据和信息签名。2)存储密钥)存储密钥(SK-Storage Key):非对称密钥,:非对称密钥,用于对数据或其他密钥进行加密。存储根密钥用于对数据或其他密钥进行加密。存储根密钥(SRK-Storage Root
14、 Key)是存储密钥的一是存储密钥的一个特例。个特例。3)平台身份认证密钥)平台身份认证密钥(AIK-Attestation Identity Key):专用于对:专用于对TPM产生的数据产生的数据(如(如TPM功能、功能、PCR寄存器的值等)进行签寄存器的值等)进行签名的不可迁移的密钥。名的不可迁移的密钥。21华东理工大学计算机科学与工程系4)签署密钥)签署密钥(EK-Endorsement Key):平台:平台的不可迁移的解密密钥。在确立平台所有者时,的不可迁移的解密密钥。在确立平台所有者时,用于解密所有者的授权数据和与产生用于解密所有者的授权数据和与产生AIK相关相关的数据。签署密钥从不
15、用作数据加密和签名。的数据。签署密钥从不用作数据加密和签名。5)绑定密钥)绑定密钥(Binding Key):用于加密小规模:用于加密小规模数据(如对称密钥),这些数据将在另一个数据(如对称密钥),这些数据将在另一个TPM平台上进行解密。平台上进行解密。6)继承密钥:在)继承密钥:在TPM外部生成,在用于签名和外部生成,在用于签名和加密的时候输入到加密的时候输入到TPM中,继承密钥是可以迁中,继承密钥是可以迁移的。移的。7)验证密钥:用于保护引用)验证密钥:用于保护引用TPM完成的传输会完成的传输会话的对称密钥。话的对称密钥。22华东理工大学计算机科学与工程系pTCG定义了五类证书,每类都被用
16、于为特定操定义了五类证书,每类都被用于为特定操作提供必要的信息。作提供必要的信息。证书的种类包括:证书的种类包括:1)签署证书)签署证书(Endorsement Credential)2)符合性证书)符合性证书(Conformance Credential)3)平台证书)平台证书(Platform Credential)4)认证证书)认证证书(Validation Credential)5)身份认证证书)身份认证证书(Identity or AIK Credential)23华东理工大学计算机科学与工程系二、二、TCG的动态的动态24华东理工大学计算机科学与工程系p2000年年12月美国卡内基
17、梅隆大学与美国国月美国卡内基梅隆大学与美国国家宇航总署(家宇航总署(NASA)的艾姆斯()的艾姆斯(Ames)研究中心牵头,联合大公司成立研究中心牵头,联合大公司成立TCPA。p2003年年3月改组为月改组为TCG(Trusted Computing Group),目前国际上(包括,目前国际上(包括中国)已有中国)已有200多家多家IT行业著名公司加入了行业著名公司加入了TCG p2003年年10月发布了月发布了TPM主规范(主规范(v1.2)p具有具有TPM功能的功能的PC机已经上市(机已经上市(IBM、HP等)等)25华东理工大学计算机科学与工程系本地应用本地应用服务提供者(服务提供者(T
18、SP)远程应用远程应用服务提供者(服务提供者(TSP)RPC客户客户RPC服务服务TSS 核心服务层核心服务层 (TCS)设备驱动库(设备驱动库(TDDL)TPM设备驱动设备驱动可信平台模块(可信平台模块(TPM)可信平台体系结构可信平台体系结构核心模式核心模式系统进系统进程模式程模式用户进用户进程模式程模式应用应用程序程序26华东理工大学计算机科学与工程系TCG 规范族规范族pTCG主规范系列:主规范系列:n包括主规范、包括主规范、TPM规范。规范。p平台设计规范系列:平台设计规范系列:n个人电脑(个人电脑( PC Platform )、)、n个人数字助理(个人数字助理( PDA Platf
19、orm )、)、n无线移动通讯设备(无线移动通讯设备(cellular Platform )等等n作为可信计算平台的设计规范。作为可信计算平台的设计规范。pTCG软件栈规范系列:软件栈规范系列:n主要规定了可信计算平台从固件到应用程序的完整主要规定了可信计算平台从固件到应用程序的完整的软件栈的软件栈.27华东理工大学计算机科学与工程系TCG 规范族规范族pTCG主规范主规范 :TCG main Spec v1.1n可信计算平台的普适性规范,支持多平台:可信计算平台的普适性规范,支持多平台:PC / PDApTCG PC规范:规范:TCG PC Spec v1.1n可信计算平台的可信计算平台的
20、PC规范规范pTPM Main Spec v1.2系列系列n可信计算平台的信任根可信计算模块规范可信计算平台的信任根可信计算模块规范pTSS (TCG Software Stack)v1.1n操作系统上的可信软件接口规范,操作系统上的可信软件接口规范,28华东理工大学计算机科学与工程系p已发布的已发布的Windows Vista版本全面实现可信版本全面实现可信计算功能,运用计算功能,运用TPM和和USBKEY实现密码存实现密码存储保密、身份认证和完整性验证。储保密、身份认证和完整性验证。p实现了版本不能被篡改、防病毒和黑客攻击等实现了版本不能被篡改、防病毒和黑客攻击等功能。功能。29华东理工大
21、学计算机科学与工程系三、国内的进展三、国内的进展30华东理工大学计算机科学与工程系p我国在可信计算技术研究方面起步较早,技术水我国在可信计算技术研究方面起步较早,技术水平不低。在安全芯片、可信安全主机、安全操作平不低。在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都先后开展了大系统、可信计算平台应用等方面都先后开展了大量的研究工作,并取得了可喜的成果量的研究工作,并取得了可喜的成果 31华东理工大学计算机科学与工程系p早在九十年代,我国就开发了早在九十年代,我国就开发了PC机安全防机安全防护系统,实现了可信防护,其结构、功能与护系统,实现了可信防护,其结构、功能与TCP类同。类
22、同。p2000年,瑞达公司开始可信安全计算机的年,瑞达公司开始可信安全计算机的研发工作,研发工作,2004年,武汉瑞达信息安全产年,武汉瑞达信息安全产业股份有限公司推出自主知识产权的可信计业股份有限公司推出自主知识产权的可信计算机产品,并通过国密局主持的鉴定,鉴定算机产品,并通过国密局主持的鉴定,鉴定意见明确为意见明确为“国内第一款可信安全计算平台国内第一款可信安全计算平台”。p从从2004年开始,瑞达公司可信计算产品结年开始,瑞达公司可信计算产品结合国家涉密部门、省级党政机关、国家安全合国家涉密部门、省级党政机关、国家安全部门、公安部门、电子政务系统和电信、电部门、公安部门、电子政务系统和电
23、信、电力、金融等国家等领域的业务需求开展应用力、金融等国家等领域的业务需求开展应用研究,目前已展开了省级党政机要系统的应研究,目前已展开了省级党政机要系统的应用试点工作。用试点工作。32华东理工大学计算机科学与工程系p联想公司和中科院计算所也较早的开展了安全联想公司和中科院计算所也较早的开展了安全芯片和安全计算机的研究工作。联想公司安芯片和安全计算机的研究工作。联想公司安全芯片的研发工作全芯片的研发工作2003年在国密办立项,年在国密办立项,2005年年4月完成了安全芯片的研制工作,其月完成了安全芯片的研制工作,其安全主机产品计划在安全主机产品计划在2005年内推出。其安全年内推出。其安全芯片
24、和可信芯片和可信PC平台已通过国密局主持的鉴定。平台已通过国密局主持的鉴定。p兆日公司是我国较早开展兆日公司是我国较早开展TPM芯片研究工作芯片研究工作的企业。的企业。2005年年4月,兆日科技推出符合可月,兆日科技推出符合可信计算联盟(信计算联盟(TCG)技术标准的)技术标准的TPM安全芯安全芯片,并已经开展了与长城、同方等多家主流片,并已经开展了与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国品牌电脑厂商的合作。其安全芯片已通过国密局主持的鉴定。密局主持的鉴定。33华东理工大学计算机科学与工程系p应用集成的企事业单位纷纷提出可信应用框架,应用集成的企事业单位纷纷提出可信应用框架
25、,如天融信公司的可信网络框架、卫士通公司的如天融信公司的可信网络框架、卫士通公司的终端可信控制系统、鼎普公司的可信存储系统终端可信控制系统、鼎普公司的可信存储系统等。等。34华东理工大学计算机科学与工程系四、目前存在的一些问题四、目前存在的一些问题 35华东理工大学计算机科学与工程系1、 理论研究相对滞后理论研究相对滞后p无论是国外还是国内,在可信计算领域都处于无论是国外还是国内,在可信计算领域都处于技术超前于理论,理论滞后于技术的状况。可技术超前于理论,理论滞后于技术的状况。可信计算的理论研究落后于技术开发。至今,尚信计算的理论研究落后于技术开发。至今,尚没有公认的可信计算理论模型。没有公认
26、的可信计算理论模型。p可信测量是可信计算的基础。但是目前尚缺少可信测量是可信计算的基础。但是目前尚缺少软件的动态可信性的度量理论与方法。软件的动态可信性的度量理论与方法。p信任链技术是可信计算平台的一项关键技术。信任链技术是可信计算平台的一项关键技术。然而信任链的理论,特别是信任在传递过程中然而信任链的理论,特别是信任在传递过程中的损失度量尚需要深入研究,把信任链建立在的损失度量尚需要深入研究,把信任链建立在坚实的理论基础之上。坚实的理论基础之上。36华东理工大学计算机科学与工程系2、 一些关键技术尚待攻克一些关键技术尚待攻克p目前,无论是国外还是国内的可信计算机都没目前,无论是国外还是国内的
27、可信计算机都没能完全实现能完全实现TCG的的PC技术规范。如,动态可技术规范。如,动态可信度量、存储、报告机制,安全信度量、存储、报告机制,安全I/O等。等。37华东理工大学计算机科学与工程系3、 缺少操作系统、网络、数据库和应用的可信缺少操作系统、网络、数据库和应用的可信机制配套机制配套p目前目前TCG给出了可信计算硬件平台的相关技术给出了可信计算硬件平台的相关技术规范和可信网络连接的技术规范,但还没有关规范和可信网络连接的技术规范,但还没有关于可信操作系统、可信数据库、可信应用软件于可信操作系统、可信数据库、可信应用软件的技术规范。网络连接只是网络活动的第一步,的技术规范。网络连接只是网络
28、活动的第一步,连网的主要目的是数据交换和资源公享,这方连网的主要目的是数据交换和资源公享,这方面尚缺少可信技术规范。我们知道,只有硬件面尚缺少可信技术规范。我们知道,只有硬件平台的可信,没有操作系统、网络、数据库和平台的可信,没有操作系统、网络、数据库和应用的可信,整个系统还是不安全的。应用的可信,整个系统还是不安全的。38华东理工大学计算机科学与工程系4、可信计算的应用需要开拓、可信计算的应用需要开拓p可信计算的应用是可信计算发展的根本目的。可信计算的应用是可信计算发展的根本目的。目前可信目前可信PC机、机、TPM芯片都已经得到实际应芯片都已经得到实际应用,但应用的规模和覆盖范围都还不够,有
29、待用,但应用的规模和覆盖范围都还不够,有待大力拓展大力拓展p以网格安全为例以网格安全为例 39华东理工大学计算机科学与工程系 网格安全应该涵盖的内容网格安全应该涵盖的内容p认证认证p授权授权p单点登录单点登录p使能使能VO(虚拟组织)的安全(虚拟组织)的安全n资源之间建立信任关系资源之间建立信任关系n屏蔽异构的安全机制屏蔽异构的安全机制n资源的可控共享资源的可控共享n共享资源之间的协同共享资源之间的协同p保障联合计算的安全保障联合计算的安全40华东理工大学计算机科学与工程系可信计算保障网格安全可信计算保障网格安全p身份认证、可信度量与验证、保密存储身份认证、可信度量与验证、保密存储p安全密钥存
30、储安全密钥存储nTPM是存放密钥的理想场所是存放密钥的理想场所p使用使用TPM之间的证书迁移技术替代代理证书之间的证书迁移技术替代代理证书链链p在在TPM中实现一个模块,审计中实现一个模块,审计GridMap文件文件的使用情况,保证其完整性的使用情况,保证其完整性p保护虚拟组织的安全保护虚拟组织的安全n使用分布式可信链接,使得虚拟组织成为一个信任使用分布式可信链接,使得虚拟组织成为一个信任域域41华东理工大学计算机科学与工程系第15讲 可信计算 张凯 博士 教授计算机科学技术系电话:62380002邮件:42华东理工大学计算机科学与工程系一、可信计算的事故可信计算的事故 二、可信计算的重要概念
31、可信计算的重要概念 三、可信计算的发展历程可信计算的发展历程 四、国外可信计算的研究进展国外可信计算的研究进展 五、我国的可信计算我国的可信计算 背景材料背景材料43华东理工大学计算机科学与工程系一、可信计算的事故一、可信计算的事故我们先来举出几个事例说明可信计算技术在传媒界受到的挑我们先来举出几个事例说明可信计算技术在传媒界受到的挑战。这些例子当然也是对整个可信计算技术的,但与传媒界特别战。这些例子当然也是对整个可信计算技术的,但与传媒界特别有关系。有关系。11994年,英特尔公司刚刚推出奔腾处理器。一位加拿年,英特尔公司刚刚推出奔腾处理器。一位加拿大的教授发现,奔腾芯片浮点运算有出错的情况
32、。不过,出错概大的教授发现,奔腾芯片浮点运算有出错的情况。不过,出错概率很小,约在率很小,约在90亿次除法运算中可能出现亿次除法运算中可能出现1次错误。英特尔为此次错误。英特尔为此损失了损失了5亿美元。微处理器现在是到处都用,在传媒界就更不用亿美元。微处理器现在是到处都用,在传媒界就更不用说了。说了。 21996年年6月月4日,欧洲阿丽亚娜日,欧洲阿丽亚娜5型火箭在首次发射中,型火箭在首次发射中,由于软件数据转换错误导致火箭发射由于软件数据转换错误导致火箭发射40秒后爆炸,经济损失秒后爆炸,经济损失25亿美元。亿美元。 44华东理工大学计算机科学与工程系42002年月,覆盖中国全国的鑫诺卫星多
33、次遭到非法年月,覆盖中国全国的鑫诺卫星多次遭到非法电视信号攻击,一再以非法信号持续攻击正常的卫星通信。这也电视信号攻击,一再以非法信号持续攻击正常的卫星通信。这也提出了如何从技术上保证传媒可信性的问题。提出了如何从技术上保证传媒可信性的问题。52003年年5月,由于飞船的导航软件设计错误,俄罗斯月,由于飞船的导航软件设计错误,俄罗斯“联盟联盟-TMA1”载人飞船返回途中偏离了降落目标地点约载人飞船返回途中偏离了降落目标地点约460公里;公里;62003年年8月月14日,在美国电力系统中,由于分布系统日,在美国电力系统中,由于分布系统软件运行失效,造成了美国东北部大面积停电,损失超过软件运行失效
34、,造成了美国东北部大面积停电,损失超过60亿美亿美元;元;7.2005年年7月,北京部分地区出现上网中断问题,很多月,北京部分地区出现上网中断问题,很多ADSL以及宽带用户断网超过以及宽带用户断网超过30分钟。通信线路中断故障不时出分钟。通信线路中断故障不时出现。美国现。美国1990年一次电话网故障引起整个东部地区电话不通。年一次电话网故障引起整个东部地区电话不通。8. 2004年年9月月14日,由于空管软件中的缺陷,美国洛杉矶日,由于空管软件中的缺陷,美国洛杉矶机场机场400余架飞机与机场一度失去联系,给几万名旅客的生命安余架飞机与机场一度失去联系,给几万名旅客的生命安全造成严重威胁;全造成
35、严重威胁; 45华东理工大学计算机科学与工程系9.2005年年11月月1日,日本东京证券交易所由于软件升级出日,日本东京证券交易所由于软件升级出现系统故障,导致股市停摆;现系统故障,导致股市停摆;10.2006年年4月月20日,中国银联跨行交易系统出现故障,日,中国银联跨行交易系统出现故障,整个系统瘫痪约整个系统瘫痪约8小时;小时;11.2006年年6月初我国某验证飞机因软件缺陷坠毁;月初我国某验证飞机因软件缺陷坠毁;12.2006年,中航信离港系统发生了三次软件系统故障,造年,中航信离港系统发生了三次软件系统故障,造成近百个机场登机系统瘫痪;成近百个机场登机系统瘫痪;13.据据2007年年3
36、月月5日美国日美国国防新闻国防新闻网站报道,网站报道,2月月11日,日,12架架“猛禽猛禽”战机战机(见图见图1)从夏威夷飞往日本,在穿越国际从夏威夷飞往日本,在穿越国际日期变更线时出现了软件问题,飞机失去了所有的导航和通讯资日期变更线时出现了软件问题,飞机失去了所有的导航和通讯资料,飞机只能借助目视导航以及基本的无线电通讯手段才得以返料,飞机只能借助目视导航以及基本的无线电通讯手段才得以返航。当时,飞机上的全球定位系统纷纷失灵,多个电脑系统发生航。当时,飞机上的全球定位系统纷纷失灵,多个电脑系统发生崩溃,多次重启均告失败。飞行员们无法正确辨识战机的位置、崩溃,多次重启均告失败。飞行员们无法正
37、确辨识战机的位置、飞行高度和速度,随时面临着飞行高度和速度,随时面临着“折戟沉沙折戟沉沙”的厄运。最后,他们的厄运。最后,他们不得不掉头返航,折回到夏威夷的希卡姆空军基地。不得不掉头返航,折回到夏威夷的希卡姆空军基地。 46华东理工大学计算机科学与工程系另据美联社另据美联社2月月28日报道,在飞往日本的日报道,在飞往日本的F-22A中,有多架飞机中,有多架飞机的导航及飞行控制软件系统出现问题,导致飞行数据运算差错以及飞的导航及飞行控制软件系统出现问题,导致飞行数据运算差错以及飞行指令误报。据美国空军官员透露,至少有行指令误报。据美国空军官员透露,至少有3架战机的飞行员通过触架战机的飞行员通过触
38、摸式显示屏,发现座机导航系统提供的目标信息不大对劲,特别是在摸式显示屏,发现座机导航系统提供的目标信息不大对劲,特别是在飞越东太平洋马绍尔群岛上空时,导航系统显示的时间与地理方位坐飞越东太平洋马绍尔群岛上空时,导航系统显示的时间与地理方位坐标都出现大量错误信息,明明是白天标都出现大量错误信息,明明是白天“AM”时间,显示屏上却报出晚时间,显示屏上却报出晚间间“PM”时间,幸亏飞行员始终与地面指挥中心保持实时沟通,没有时间,幸亏飞行员始终与地面指挥中心保持实时沟通,没有造成大的差错。另外,造成大的差错。另外,F-22A战机的飞行控制系统也不稳定,有飞行战机的飞行控制系统也不稳定,有飞行员反映在跨
39、洋飞行过程中,飞控系统显示的飞机高度值与实际高度有员反映在跨洋飞行过程中,飞控系统显示的飞机高度值与实际高度有较大差距。这是一个可怕的问题,因为飞行员所能看到的空间几乎都较大差距。这是一个可怕的问题,因为飞行员所能看到的空间几乎都是海天一色,没有任何坐标参照物,一旦飞机控制系统自身报错数据,是海天一色,没有任何坐标参照物,一旦飞机控制系统自身报错数据,飞行员很容易误判,导致机毁人亡。飞行员很容易误判,导致机毁人亡。 47华东理工大学计算机科学与工程系随后,事故分析原因得随后,事故分析原因得出的结论是:出的结论是:“战机在飞越战机在飞越国际日期变更线时,机载软国际日期变更线时,机载软件故障导致卫
40、星失灵。件故障导致卫星失灵。”尽尽管管48小时内生产商交付了补小时内生产商交付了补丁程序,但件事引发的思考丁程序,但件事引发的思考是深沉的。这种造价是深沉的。这种造价3.3亿美亿美元、元、“第四代第四代”最先进战机,最先进战机,按理说不应该出这样的问题,按理说不应该出这样的问题,因为它有软件代码因为它有软件代码170万条,万条,设计和测试绝对严格,可问设计和测试绝对严格,可问题偏偏出现了,而且是一起题偏偏出现了,而且是一起因微小设计缺陷导致的严重因微小设计缺陷导致的严重质量事故。质量事故。 48华东理工大学计算机科学与工程系现在网络受到攻击的事件层出不穷,不胜枚举。电视信号现在网络受到攻击的事
41、件层出不穷,不胜枚举。电视信号偶然中断或不清晰,用户也常有感知。据美国卡内基梅隆大学偶然中断或不清晰,用户也常有感知。据美国卡内基梅隆大学统计,在互联网上,统计,在互联网上,2001年出现年出现52,655次入侵事件,而次入侵事件,而2002年前三季度已达年前三季度已达73,359次,可见增长速度之快。次,可见增长速度之快。所有这些问题技术上无非是由于硬设备故障、线路故障、所有这些问题技术上无非是由于硬设备故障、线路故障、软件故障或人为故障。可信计算技术就是要在有故障的情况下,软件故障或人为故障。可信计算技术就是要在有故障的情况下,仍然让系统能正常工作,或者有紧急预案,自动处理。仍然让系统能正
42、常工作,或者有紧急预案,自动处理。 49华东理工大学计算机科学与工程系14. 2008年年1月月24日,法国兴业银行在一份公开电子邮件日,法国兴业银行在一份公开电子邮件声明中自揭家丑:该行旗下巴黎的一名交易员盖维耶尔声明中自揭家丑:该行旗下巴黎的一名交易员盖维耶尔(Jerome Kerviel)秘密建立了欧洲股指期货相关头寸,此举)秘密建立了欧洲股指期货相关头寸,此举超出了其职务允许范围,造成兴业银行超出了其职务允许范围,造成兴业银行49亿欧元损失。检察机构亿欧元损失。检察机构指控他指控他“滥用信用滥用信用”、“伪造及使用虚假文书伪造及使用虚假文书”以及以及“侵入数据侵入数据信息系统信息系统”
43、。法兰西银行行长克里斯蒂安。法兰西银行行长克里斯蒂安努瓦耶说,盖维耶尔努瓦耶说,盖维耶尔是是“计算机天才计算机天才”,他居然通过了银行,他居然通过了银行“5道安全关道安全关”获得使用巨获得使用巨额资金的权限。兴业银行的内控监管机制和信息系统出现了严重额资金的权限。兴业银行的内控监管机制和信息系统出现了严重的漏洞。的漏洞。 据报道,自据报道,自10年前巴林银行事件以来,各家银行都安装了年前巴林银行事件以来,各家银行都安装了黑匣子,任何款项的操作都有详细记录,所有金融动作都在其严黑匣子,任何款项的操作都有详细记录,所有金融动作都在其严密监控下。然而,为了防止特殊情况发生,一般的银行都有一个密监控下
44、。然而,为了防止特殊情况发生,一般的银行都有一个后台操作系统,一些数据在后台是可以改动的。这是银行信息系后台操作系统,一些数据在后台是可以改动的。这是银行信息系统的漏洞和缺陷。统的漏洞和缺陷。50华东理工大学计算机科学与工程系二、可信计算的重要概念二、可信计算的重要概念“可信计算可信计算”一词,现在用得相当普遍。因为从字面上看是很一词,现在用得相当普遍。因为从字面上看是很诱人的。但含义有差别。有人叫诱人的。但含义有差别。有人叫TrustedComputing,Trustworthy Computing,也有人叫,也有人叫Dependable Computing。公司在他的某一批产品中,加入了某
45、些提高系统。公司在他的某一批产品中,加入了某些提高系统可靠性、可用性和安全性的措施,他可以说可靠性、可用性和安全性的措施,他可以说“我这是一个可信的产我这是一个可信的产品品”。但是,学术界把可信计算(。但是,学术界把可信计算(Dependable Computing)定义为)定义为“系统提供可信赖的计算服务的能力,而系统提供可信赖的计算服务的能力,而这种可信赖性是可以验证的这种可信赖性是可以验证的”。这就是说,你必须用某种方法来验。这就是说,你必须用某种方法来验证你的系统是可信赖的。这就困难了。我们知道,法律对于人有所证你的系统是可信赖的。这就困难了。我们知道,法律对于人有所谓谓“无罪认定原则
46、无罪认定原则”,就是说,除非有证据证明某人有罪,否则他,就是说,除非有证据证明某人有罪,否则他就是无罪的。而对于可信系统,我们执行的是就是无罪的。而对于可信系统,我们执行的是“有错认定原则有错认定原则”。那就是说,用户可以对系统设计者和制造者说,除非你有足够的证那就是说,用户可以对系统设计者和制造者说,除非你有足够的证据证明你的系统是可信的,否则我就认为你的系统是不可信的。据证明你的系统是可信的,否则我就认为你的系统是不可信的。51华东理工大学计算机科学与工程系1.可信性可信性可信性可信性(dependability)用来定义计算机系统的这样一种性质,用来定义计算机系统的这样一种性质,即能使用
47、户有理由认为系统所提供的各种服务确实是可以充分信赖即能使用户有理由认为系统所提供的各种服务确实是可以充分信赖的。因此可信性不仅包含了可靠性、可用性、健壮性的。因此可信性不仅包含了可靠性、可用性、健壮性(robustness)、可测试性、可测试性(testability)、可维护性、可维护性(maintainability)等内容,等内容,而且强调可存活性而且强调可存活性(survivability)、保险性、保险性(safe-ty)、安全性、安全性(security),它体现了对开放式网络环境下分布计算系统整体性能,它体现了对开放式网络环境下分布计算系统整体性能质量的评价。并侧重于数据完整性质
48、量的评价。并侧重于数据完整性(integrity)和软件保护能力的度和软件保护能力的度量。量。2.可信计算可信计算TCG从行为角度来定义可信计算:一个实体是可信的,如果它从行为角度来定义可信计算:一个实体是可信的,如果它的行为总是可预期的。可信计算的核心思想是:构造的行为总是可预期的。可信计算的核心思想是:构造“信任链信任链”和和“信任度量信任度量”的概念,如果从初始的的概念,如果从初始的“信任根信任根”出发,在平台环境出发,在平台环境的每一次转换时,这种信任可以通过的每一次转换时,这种信任可以通过“信任链信任链”传递的方式保持下传递的方式保持下去不被破坏,那么平台计算环境就始终是可信的。去不
49、被破坏,那么平台计算环境就始终是可信的。 52华东理工大学计算机科学与工程系3.可信计算平台可信计算平台(TCP)所谓可信计算平台所谓可信计算平台(TCP)是能够提供可信计算服务的计算机是能够提供可信计算服务的计算机软硬件实体,它能够提供系统的可靠性、可用性和信息的安全性。软硬件实体,它能够提供系统的可靠性、可用性和信息的安全性。可信计算平台以可信计算平台以TPM为信任根,为计算机系统信任验证提供了一为信任根,为计算机系统信任验证提供了一种可行机制。可信计算机系统由硬件平台、操作系统、应用程序、种可行机制。可信计算机系统由硬件平台、操作系统、应用程序、网络系统多个层次组成的。目前的网络系统多个
50、层次组成的。目前的TCP只是以只是以TPM (Trusted Platform Module)为核心提供了可信硬件平台。以可信为核心提供了可信硬件平台。以可信PC平平台为例,它以台为例,它以TPM为信任根,建立了为信任根,建立了BIOS Boot Block-BIOS-OS Loader-OS的信任链,将信任传递给了操的信任链,将信任传递给了操作系统。真正的可信网络环境的构建,必须能保证信任可传递到作系统。真正的可信网络环境的构建,必须能保证信任可传递到网络系统,一级认证一级,一级信任一级,从而把信任扩展到整网络系统,一级认证一级,一级信任一级,从而把信任扩展到整个网络环境。也就是说,可信网络
51、环境的构建必须需要安全操作个网络环境。也就是说,可信网络环境的构建必须需要安全操作系统、安全应用软件和安全网络系统等的一起配合才能真正实现。系统、安全应用软件和安全网络系统等的一起配合才能真正实现。 53华东理工大学计算机科学与工程系4.可信计算基可信计算基TCB与与TMP安全操作系统是通过可信计算基安全操作系统是通过可信计算基(TCB)实现安全功能的。所谓可实现安全功能的。所谓可信计算基,是指系统内保护装置的总体,包括硬件、固件、软件和信计算基,是指系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。负责执行安全策略的组合体。TPM可作为安全操作系统可作为安全操作系统TCB
52、的一个重要组成部分,其物理可的一个重要组成部分,其物理可信和一致性验证功能为安全操作系统提供了可信的安全基础。信和一致性验证功能为安全操作系统提供了可信的安全基础。TPM是一个可信硬件模块,由执行引擎、存储器、是一个可信硬件模块,由执行引擎、存储器、I/O、密码引擎、随、密码引擎、随机数生成器等部件组成,主要完成加密、签名、认证、密钥产生等机数生成器等部件组成,主要完成加密、签名、认证、密钥产生等安全功能,一般是一个片上系统安全功能,一般是一个片上系统(System on Chip),是物理可信的。,是物理可信的。TPM提供可信的度量、度量的存储和度量的报告。提供可信的度量、度量的存储和度量的
53、报告。5.TCG规范规范TCG通过定义一系列的规范来描述建立可信机制需要使用的各通过定义一系列的规范来描述建立可信机制需要使用的各种功能和接口,主要包括种功能和接口,主要包括TPM主规范、主规范、TSS主规范、可信主规范、可信PC详细详细设计规范、针对设计规范、针对CC的保护轮廓等。由于的保护轮廓等。由于TCG具有强烈的商业背景,具有强烈的商业背景,其真正的用意在于数字版权保护。其真正的用意在于数字版权保护。 54华东理工大学计算机科学与工程系三、可信计算的发展历程三、可信计算的发展历程可信计算的形成有一个历史过程。在可信计算的形成过程中,可信计算的形成有一个历史过程。在可信计算的形成过程中,
54、容错计算、安全操作系统和网络安全等领域的研究使可信计算的含容错计算、安全操作系统和网络安全等领域的研究使可信计算的含义不断拓展,由侧重于硬件的可靠性、可用性,到针对硬件平台、义不断拓展,由侧重于硬件的可靠性、可用性,到针对硬件平台、软件系统服务的综合可信,适应了软件系统服务的综合可信,适应了Internet应用系统不断拓展的应用系统不断拓展的发展需要。发展需要。 55华东理工大学计算机科学与工程系1.容错计算阶段容错计算阶段 在计算机领域,对于在计算机领域,对于“可信可信”的研究,可追溯到第一台计算的研究,可追溯到第一台计算机的研制。那时人们就认识到,不论怎样精心设计,选择多么好的机的研制。那
55、时人们就认识到,不论怎样精心设计,选择多么好的元件,物理缺陷和设计错误总是不可避免的,所以需要各种容错技元件,物理缺陷和设计错误总是不可避免的,所以需要各种容错技术来维持系统的正常运行。计算机研制和应用的初期,对计算机硬术来维持系统的正常运行。计算机研制和应用的初期,对计算机硬件比较关注。但是,对计算机高性能的需求使得时钟频率大大提高,件比较关注。但是,对计算机高性能的需求使得时钟频率大大提高,因而降低了计算机的可靠性。随着元件可靠性的大幅度提高,可靠因而降低了计算机的可靠性。随着元件可靠性的大幅度提高,可靠性问题有所改善。此后人们还关注设计错误、交互错误、恶意推理、性问题有所改善。此后人们还
56、关注设计错误、交互错误、恶意推理、暗藏入侵等人为故障造成的各种系统失效状况,研发了集成故障检暗藏入侵等人为故障造成的各种系统失效状况,研发了集成故障检测技术、冗余备份系统的高可用性容错计算机。测技术、冗余备份系统的高可用性容错计算机。在容错计算领域,可信性被定义为计算机系统的一种性质,它在容错计算领域,可信性被定义为计算机系统的一种性质,它所提供的服务是用户可感知的一种行为,并可以论证其可信赖。因所提供的服务是用户可感知的一种行为,并可以论证其可信赖。因为为“可靠性可靠性”而而“可信可信”,因此容错计算又称为,因此容错计算又称为“可靠计算可靠计算”。容。容错计算领域的可信性包括可用性、可靠性、
57、可维护性、安全性、健错计算领域的可信性包括可用性、可靠性、可维护性、安全性、健壮性和可测试性等。壮性和可测试性等。 56华东理工大学计算机科学与工程系2.安全操作系统阶段安全操作系统阶段实际上,从计算机产生开始,人们就一直在研究和开发操作系实际上,从计算机产生开始,人们就一直在研究和开发操作系统,并将统,并将“容错计算容错计算”取得的成果应用于操作系统。从取得的成果应用于操作系统。从50年代中期年代中期出现的第一个简单的批处理系统,到出现的第一个简单的批处理系统,到60年代中期出现的多道程序批年代中期出现的多道程序批处理系统,以及此后的基于多道程序的分时系统,甚至再后来的实处理系统,以及此后的
58、基于多道程序的分时系统,甚至再后来的实时系统和分布式操作系统,仅仅靠时系统和分布式操作系统,仅仅靠“容错技术容错技术”并不能完全解决操并不能完全解决操作系统对共享资源的安全访问问题。作系统对共享资源的安全访问问题。 在探索如何研制安全计算机系统的同时,人们也在研究如何建在探索如何研制安全计算机系统的同时,人们也在研究如何建立评价标准,衡量计算机系统的安全性。立评价标准,衡量计算机系统的安全性。1983年,美国国防部颁布年,美国国防部颁布了历史上第一个计算机安全评价标准,这就是著名的可信计算机系了历史上第一个计算机安全评价标准,这就是著名的可信计算机系统评价标准,简称统评价标准,简称TCSEC1
59、331,又称橙皮书。,又称橙皮书。1985年,美国国年,美国国防部对防部对TCSEC进行了修订进行了修订 57华东理工大学计算机科学与工程系3.网络安全阶段网络安全阶段随着随着Internet的普及,人们对的普及,人们对Internet的依赖也越来越强,互的依赖也越来越强,互联网已经成为人们生活的一个部分。然而,联网已经成为人们生活的一个部分。然而,Internet是一个面向大众是一个面向大众的开放系统,对于信息的保密和系统安全考虑不完善。从技术角度来的开放系统,对于信息的保密和系统安全考虑不完善。从技术角度来说,保护网络的安全包括两个方面的技术内容:说,保护网络的安全包括两个方面的技术内容:
60、(l)开发各种网络安全应用系统,包括身份认证、授权和访问控制、开发各种网络安全应用系统,包括身份认证、授权和访问控制、PK评评Ml、IPSec、电子邮件安全、认证与电子商务安全、防火墙、电子邮件安全、认证与电子商务安全、防火墙、VPN、安全扫描、入侵检测、安全审计、网络病毒防范、应急响应以、安全扫描、入侵检测、安全审计、网络病毒防范、应急响应以及信息过滤技术等,这些系统一般可独立运用运行于网络平台之上及信息过滤技术等,这些系统一般可独立运用运行于网络平台之上;(2)将各种与网络安全相关的组件或系统组成网络可信基,内嵌在将各种与网络安全相关的组件或系统组成网络可信基,内嵌在网络平台中,受网络平台
61、保护,与网络平台中,受网络平台保护,与TCB受受05保护类似。从这两方面的保护类似。从这两方面的技术发展来看,前者得到了产业界的广泛支持,并成为主流的网络安技术发展来看,前者得到了产业界的广泛支持,并成为主流的网络安全解决方案。后者得到学术界的广泛重视,学术界还对全解决方案。后者得到学术界的广泛重视,学术界还对“可信系统可信系统(Trusted system)”和和“可信组件可信组件(Trusted Component)”进行广进行广泛的研究。泛的研究。 58华东理工大学计算机科学与工程系四、国外可信计算的研究进展四、国外可信计算的研究进展国外的可信计算研究最近发展很快。国外的国外的可信计算研
62、究最近发展很快。国外的TCG组织比较松散,组织比较松散,他们更多的代表的是各公司自身的利益,但是可信计算平台毕竟给他他们更多的代表的是各公司自身的利益,但是可信计算平台毕竟给他们带来了可观的经济利益,尽管们带来了可观的经济利益,尽管AMD和和Inter是相互竞争的公司,在是相互竞争的公司,在可信计算这块他们却结合在一起,不能小看了这些跨国公司的力量。可信计算这块他们却结合在一起,不能小看了这些跨国公司的力量。因此,我们应该看看他们现在在做些什么?因此,我们应该看看他们现在在做些什么?1.概述概述可信计算组织可信计算组织TCG 远景看,它的目标是:远景看,它的目标是:TPM规范继续完善规范继续完
63、善,包括包括PC、服务器、手持设备等硬件平台的规范;存储设备、输入设备、服务器、手持设备等硬件平台的规范;存储设备、输入设备、认证设备等外设的规范;操作系统、认证设备等外设的规范;操作系统、WEB服务、应用程序等软件层服务、应用程序等软件层次的相关规范;信任状等基础设施的规范。次的相关规范;信任状等基础设施的规范。目前的状况是规范沿目前的状况是规范沿两个方向两个方向进行:进行:以建立基于硬件的可信平台以建立基于硬件的可信平台的角度,从底层硬件规范开始,由底向上逐渐推进,由终端开始扩散;的角度,从底层硬件规范开始,由底向上逐渐推进,由终端开始扩散;以建立可信计算环境的角度,基于但不限于可信平台硬
64、件,从上层定以建立可信计算环境的角度,基于但不限于可信平台硬件,从上层定义可信计算自身及与其他安全技术交互时的基础设施规范义可信计算自身及与其他安全技术交互时的基础设施规范。 59华东理工大学计算机科学与工程系2.可信平台主规范发展趋势可信平台主规范发展趋势(1)主规范的组成及总体规范制订情况主规范的组成及总体规范制订情况可信平台主规范由可信平台主规范由TPM规范、规范、TSS规范、规范、PC客户平台规范组成,客户平台规范组成,这三个规范定义了整个可信平台技术的主体轮廓。这三个规范定义了整个可信平台技术的主体轮廓。 (2)可信平台技术的发展趋势可信平台技术的发展趋势TPM规范的主体思想没有改变
65、,在原来的基础上,加强了对私密规范的主体思想没有改变,在原来的基础上,加强了对私密性的保护,加强对多用户环境的支持,在提供受控保护的前提下将原来性的保护,加强对多用户环境的支持,在提供受控保护的前提下将原来的特定功能向通用功能方面进行了改进。的特定功能向通用功能方面进行了改进。 60华东理工大学计算机科学与工程系3.硬件平台相关规范的发展趋势硬件平台相关规范的发展趋势(1)相关规范的范围及总体发展趋势相关规范的范围及总体发展趋势除了除了PC机工作组以外,机工作组以外,TCG新建立了服务器工作组,这值新建立了服务器工作组,这值得我们关注,因为我们也有一些服务器厂商,如联想、浪潮等都得我们关注,因
66、为我们也有一些服务器厂商,如联想、浪潮等都做得非常好。此外,不同类型的外设划分得也很细,成立了硬拷做得非常好。此外,不同类型的外设划分得也很细,成立了硬拷贝工作组、存储设备工作组。贝工作组、存储设备工作组。(2)PC平台相关规范的发展平台相关规范的发展PC工作组基本上是一个范例,服务器工作组基本上是参照工作组基本上是一个范例,服务器工作组基本上是参照PC工作组来做的,工作组来做的,PC平台的规范相对完整,是其他平台规范的平台的规范相对完整,是其他平台规范的范例,因为它做得最早、最全,投的精力也最多。范例,因为它做得最早、最全,投的精力也最多。(3)Server平台相关规范的发展平台相关规范的发
67、展现已公布的规范一个是现已公布的规范一个是TCG服务器通用平台的规范,包括服务器通用平台的规范,包括一些相关的术语,它有一些专用的名词,服务器平台下对一些相关的术语,它有一些专用的名词,服务器平台下对TPM的一些特殊要求,对主规范的一些要求提供的功能进行分析。的一些特殊要求,对主规范的一些要求提供的功能进行分析。 61华东理工大学计算机科学与工程系(4)移动平台相关规范的发展移动平台相关规范的发展移动电话是无线安全非常关注的一个方面,也是非常难解决移动电话是无线安全非常关注的一个方面,也是非常难解决的一个方面,比如在密码方面有一些特殊的要求,实施性要求高,的一个方面,比如在密码方面有一些特殊的
68、要求,实施性要求高,另外载体没有提供很多资源,时间、空间要求很高,一般的密码另外载体没有提供很多资源,时间、空间要求很高,一般的密码是不适合的。此外,还要考虑基站的安全、客户的安全、服务设是不适合的。此外,还要考虑基站的安全、客户的安全、服务设备的安全、移动设备的安全。移动设备最关键的是它容易丢,丢备的安全、移动设备的安全。移动设备最关键的是它容易丢,丢失以后安全怎么弥补。失以后安全怎么弥补。TCG的目标是要把移动电话的整个安全、的目标是要把移动电话的整个安全、无线的安全提高几个数量级,所以近年来,移动电话工作组的规无线的安全提高几个数量级,所以近年来,移动电话工作组的规范制订工作较为活跃,范
69、制订工作较为活跃,2006年初推出使用案例,年底推出了年初推出使用案例,年底推出了MTM(MobileTrustedModule)规范,它的工作目标是规范,它的工作目标是显著提升整体的移动电话安全保护强度,提供硬软件解决方案间显著提升整体的移动电话安全保护强度,提供硬软件解决方案间的可互操作性,为终端用户提供可信的移动计算生态环境。的可互操作性,为终端用户提供可信的移动计算生态环境。 62华东理工大学计算机科学与工程系(5)基于标准接口的可信平台规范基于标准接口的可信平台规范包括包括TCG EFI Protocol Specification(协议规范协议规范)、TCG EFI Platfor
70、m Specification(平台规范平台规范)、TCG ACPI General Specification(一般规范一般规范)。随着硬件技术。随着硬件技术的发展,的发展,PC平台与平台与Server平台之间的差别越来越小,而平台之间的差别越来越小,而Server平台自身差别很大。基于标准硬件接口定义可信平台标平台自身差别很大。基于标准硬件接口定义可信平台标准应该更有代表性。准应该更有代表性。(6)外设可信计算规范的发展外设可信计算规范的发展现在,外部设备越来越活跃,信息安全绝对离不开外部设现在,外部设备越来越活跃,信息安全绝对离不开外部设备,如盘、光盘等是我们重要的信息载体,过去我们讲的
71、双备,如盘、光盘等是我们重要的信息载体,过去我们讲的双向认证指的是人和人之间的认证,现在扩展到人和主机,和终向认证指的是人和人之间的认证,现在扩展到人和主机,和终端的认证,未来会扩展到与外部存储设备的认证。端的认证,未来会扩展到与外部存储设备的认证。2006年以来,年以来,存储设备工作组的工作日益活跃,这也许是可信平台相关外设存储设备工作组的工作日益活跃,这也许是可信平台相关外设规范制订的开端。规范制订的开端。 63华东理工大学计算机科学与工程系4.重心转移重心转移建立可信的生态环境建立可信的生态环境目前目前TCG的工作重心向建立可信的生态环境转移,现在重点开始转的工作重心向建立可信的生态环境
72、转移,现在重点开始转移到基础设施工作组移到基础设施工作组(IWG)。IWG下面的子工作组叫下面的子工作组叫TNC(Trusted Network Connect)可信网络互联。可信网络互联。基础设施工作组文档路线有以下几个特点:基础设施工作组文档路线有以下几个特点:第一,互操作参考体系结构规范,他们关心的是第一,互操作参考体系结构规范,他们关心的是TCG的可信计算规的可信计算规范如何与其他安全基础设施进行互操作,下属的规范包括范如何与其他安全基础设施进行互操作,下属的规范包括TNC系列规范、系列规范、证书轮廓规范、备份与迁移规范、主体密钥证实证据扩展规范等。证书轮廓规范、备份与迁移规范、主体密
73、钥证实证据扩展规范等。第二,完整性管理体系结构规范,要有可信计算的完整性度量、存第二,完整性管理体系结构规范,要有可信计算的完整性度量、存储、报告的框架及其基础设施。储、报告的框架及其基础设施。64华东理工大学计算机科学与工程系(1)TNC体系结构中的三个实体体系结构中的三个实体TNC体系结构中的三个实体分别是:体系结构中的三个实体分别是:AR(访问请求者访问请求者),即需,即需要访问被保护网络的实体;要访问被保护网络的实体;PDP(策略决策点策略决策点),即根据访问策略决,即根据访问策略决定定AR的请求是否被允许的实体;的请求是否被允许的实体;PEP(策略实施点策略实施点),即实施是否,即实
74、施是否允许允许AR访问决定的实体。访问决定的实体。2.TNC的体系结构框架如图的体系结构框架如图4所示。所示。(2)微软的微软的NAP与与TCG的的TNC的结合。的结合。基于基于IF-TNCCS-SOH协议实现结合协议实现结合(健康状态健康状态),提高了互操,提高了互操作性,简化了网络访问控制框架和协议,以及网络访问控制客户端。作性,简化了网络访问控制框架和协议,以及网络访问控制客户端。 65华东理工大学计算机科学与工程系五、我国的可信计算五、我国的可信计算1.可信计算产生的背景与特点可信计算产生的背景与特点目前,由防火墙、入侵检测、防病毒系统等构成的传统信息安目前,由防火墙、入侵检测、防病毒
75、系统等构成的传统信息安全系统以防外部入侵为重点,这与当今信息安全的主要威胁源自内全系统以防外部入侵为重点,这与当今信息安全的主要威胁源自内部的实际情况不相符合。部的实际情况不相符合。“老三样、堵漏洞、做高墙、防外攻,防老三样、堵漏洞、做高墙、防外攻,防不胜防不胜防”就是信息安全的基本现状。这样做的结果只能是网络上的就是信息安全的基本现状。这样做的结果只能是网络上的“墙墙”越垒越高,而各种攻击却依然十分猖獗,效果不尽人意。越垒越高,而各种攻击却依然十分猖獗,效果不尽人意。 66华东理工大学计算机科学与工程系2.可信计算的国内研究与应用情况可信计算的国内研究与应用情况2000年起,国家密码管理委员
76、会办公室开始对可信计算技年起,国家密码管理委员会办公室开始对可信计算技术的研究进行立项,武汉瑞达科技有限公司较早申请了立项研究。术的研究进行立项,武汉瑞达科技有限公司较早申请了立项研究。该公司依托武汉大学的技术力量,独立进行了该公司依托武汉大学的技术力量,独立进行了“安全计算机安全计算机”的的体系机构和关键技术的研究与实践。体系机构和关键技术的研究与实践。2004年年6月,瑞达公司推出了国内首款自主研发的具有月,瑞达公司推出了国内首款自主研发的具有TPM功能的可信安全计算机。当月,中国首届功能的可信安全计算机。当月,中国首届TCP技术论坛在技术论坛在武汉召开。武汉召开。 67华东理工大学计算机
77、科学与工程系总体而言,我国企业对可信计算技术的关注和投入研发是比较及总体而言,我国企业对可信计算技术的关注和投入研发是比较及时的。除武汉瑞达公司外,联想在时的。除武汉瑞达公司外,联想在2004年年3月对外宣布,已开始计月对外宣布,已开始计算机安全芯片的研发,并在下半年开始进行安全芯片的测试生产。算机安全芯片的研发,并在下半年开始进行安全芯片的测试生产。2005年年4月,联想和兆日科技基于可信计算技术的月,联想和兆日科技基于可信计算技术的PC安全芯片安全芯片(TPM)安全产品正式推出。安全产品正式推出。此后不久,采用联想此后不久,采用联想“恒智恒智”安全芯片的联想开天安全芯片的联想开天M400S
78、以及以及采用兆日采用兆日TPM安全芯片安全芯片(SSX35)的清华同方超翔的清华同方超翔S4800、长城世恒、长城世恒A和世恒和世恒S系列安全系列安全PC产品纷纷面世。产品纷纷面世。2005年年12月月10日,在北京召开的第七届信息与通信安全国际日,在北京召开的第七届信息与通信安全国际会议上,国内有关安全产品在会上进行了展示。为了交流国内可信计会议上,国内有关安全产品在会上进行了展示。为了交流国内可信计算研究领域的研究成果和经验,促进可信计算技术的发展,展示在可算研究领域的研究成果和经验,促进可信计算技术的发展,展示在可信计算领域的最新科研成果、应用技术及产品,我国将于信计算领域的最新科研成果
79、、应用技术及产品,我国将于2006年年8月举办第二届全国可信计算学术会议。月举办第二届全国可信计算学术会议。 68华东理工大学计算机科学与工程系经过近几年的不懈努力,经过近几年的不懈努力,“安全安全PC”产业链在我国已初步形成。产业链在我国已初步形成。目前,不少厂商除研究可信终端外,还在研究可信网络设备、可信目前,不少厂商除研究可信终端外,还在研究可信网络设备、可信服务器等,旨在所有的网络节点中建立可信机制,最终形成一个全服务器等,旨在所有的网络节点中建立可信机制,最终形成一个全国性的可信网络。国性的可信网络。我国已跻身于世界上少数研制出可信我国已跻身于世界上少数研制出可信PC的国家之列,但由
80、于我的国家之列,但由于我国信息安全技术整体水平的限制,加之企业规模小、缺乏足够的经国信息安全技术整体水平的限制,加之企业规模小、缺乏足够的经济实力,可信计算技术目前尚未实现规模性和产业化,市场也未成济实力,可信计算技术目前尚未实现规模性和产业化,市场也未成熟。熟。从国家层面看,从国家层面看,2005年出台的国家年出台的国家“十一五十一五”规划和规划和“863”计划都将计划都将“可信计算可信计算”列入重点支持项目,并有较大规模的投入与列入重点支持项目,并有较大规模的投入与扶植,扶植,2005年初,我国可信计算标准工作组正式成立,有关可信年初,我国可信计算标准工作组正式成立,有关可信计算标准目前正
81、在抓紧进行。可信计算呈现出信息安全主管部门重计算标准目前正在抓紧进行。可信计算呈现出信息安全主管部门重视,重要用户和企业关注的特点,相关工作正在有条不紊地积极开视,重要用户和企业关注的特点,相关工作正在有条不紊地积极开展起来。展起来。 69华东理工大学计算机科学与工程系3.需求和目标需求和目标首先是国家安全的需要。前几年可信计算是舆论热点,而现在开首先是国家安全的需要。前几年可信计算是舆论热点,而现在开始真正地在做实事了,因为我国有需求,主要是安全问题。始真正地在做实事了,因为我国有需求,主要是安全问题。 其次是经济发展的需要。从经济上来说,这是我国计算机安全产其次是经济发展的需要。从经济上来
82、说,这是我国计算机安全产业发展的一个机遇,如果不抓住机会,我们肯定会更加被动,肯定会业发展的一个机遇,如果不抓住机会,我们肯定会更加被动,肯定会付出更巨大的版权费、加密费。付出更巨大的版权费、加密费。 70华东理工大学计算机科学与工程系4.我国目前在可信计算研发方面存在的问题我国目前在可信计算研发方面存在的问题我国对可信技术的研发从一开始就和发达国家站在同一起跑线我国对可信技术的研发从一开始就和发达国家站在同一起跑线上,在某些方面甚至处于领先地位。但是,国际上,在某些方面甚至处于领先地位。但是,国际TCG成员组中的成员组中的主要企业均为资金实力雄厚的跨国公司。从微软、主要企业均为资金实力雄厚的
83、跨国公司。从微软、Intel、IBM到到HP,可信操作系统、芯片和主机均由不同的厂商参与,在产业链,可信操作系统、芯片和主机均由不同的厂商参与,在产业链的迅速构建上,的迅速构建上,TCG有其独到的优势。这些企业有足够的资金来有其独到的优势。这些企业有足够的资金来完成实验工作,理论研究远高于国内,规范和标准做得早。他们采完成实验工作,理论研究远高于国内,规范和标准做得早。他们采用的是一种分工合作的方式,整体产业力量强,一旦形成标准规范,用的是一种分工合作的方式,整体产业力量强,一旦形成标准规范,整个产业发展会比我们快得多。整个产业发展会比我们快得多。我国的我国的IT企业规模偏小,实力不足。有一定
84、创新意识的企业,企业规模偏小,实力不足。有一定创新意识的企业,在资金支撑上又显得力量单薄在资金支撑上又显得力量单薄 。71华东理工大学计算机科学与工程系5.我国可信计算的应用前景我国可信计算的应用前景我国党、政、军很多机关单位对可信计算平台反应积极。国家我国党、政、军很多机关单位对可信计算平台反应积极。国家有关部委如公安部有关部委如公安部“金盾工程金盾工程”已将可信计算平台纳入其使用范围,已将可信计算平台纳入其使用范围,民政部拟在民政部拟在“全国城市低保信息系统全国城市低保信息系统”中将可信平台产品作为城市中将可信平台产品作为城市低保信息系统的终端,以强化身份认证和责任审计功能。低保信息系统的
85、终端,以强化身份认证和责任审计功能。 从行业系统来看,一些电信系统拟用可信计算技术来保障其关从行业系统来看,一些电信系统拟用可信计算技术来保障其关键信息和客户资料的安全。键信息和客户资料的安全。 有专家预测,经过有专家预测,经过5年的演变,全球可信计算即将全面进入商年的演变,全球可信计算即将全面进入商用阶段,可信计算将从基础层面上解决信息安全问题,我国决不能用阶段,可信计算将从基础层面上解决信息安全问题,我国决不能错过机遇。错过机遇。 72华东理工大学计算机科学与工程系6.我国可信计算的发展重点我国可信计算的发展重点2005年年1月,全国信息安全标准化技术委员会在北京成立了月,全国信息安全标准
86、化技术委员会在北京成立了WG1 TC260可信计算工作小组。可信计算工作小组。WG3也开展了可信计算密码标也开展了可信计算密码标准的研究工作。国家准的研究工作。国家“十一十一五五”期间已经将可信计算列入国家发改期间已经将可信计算列入国家发改委信息安全专项里面,委信息安全专项里面,“863计划计划”也正在启动可信计算专项。在基也正在启动可信计算专项。在基础研究层面已经把可信计算列为重大专项,先启动可信软件,这个额础研究层面已经把可信计算列为重大专项,先启动可信软件,这个额度也很大,有度也很大,有1.5亿元。亿元。 第一,基于可信计算的可信终端是发展产业的基础第一,基于可信计算的可信终端是发展产业
87、的基础 第二,高性能的可信计算芯片是提高竞争力的核心第二,高性能的可信计算芯片是提高竞争力的核心 第三,可信计算理论和体系结构是持续发展的源泉第三,可信计算理论和体系结构是持续发展的源泉 第四,可信计算应用关键技术是产业化的突破口第四,可信计算应用关键技术是产业化的突破口 第五,可信计算相关标准规范是自主创新的保护神第五,可信计算相关标准规范是自主创新的保护神 73华东理工大学计算机科学与工程系7.我国可信计算的研究我国可信计算的研究()可信计算体系结构可信计算体系结构 ()可信操作系统可信操作系统()密码技术密码技术74华东理工大学计算机科学与工程系张焕国张焕国 男,男,1945 年年6月出
88、生。武汉大学计算机学院教月出生。武汉大学计算机学院教授,博士生导师。主要从事信息安全方面的教学科研授,博士生导师。主要从事信息安全方面的教学科研工作。学术兼职:中国密码学会理事,中国计算机学工作。学术兼职:中国密码学会理事,中国计算机学会容错专业委员会副主任,国家信息安全成果产业化会容错专业委员会副主任,国家信息安全成果产业化基地(中部)专家委员会副主任,湖北省电子学会副基地(中部)专家委员会副主任,湖北省电子学会副理事长,湖北省暨武汉市计算机学会理事。理事长,湖北省暨武汉市计算机学会理事。 科研方向:科研方向: 信息安全,容错计算,可信计算,计算信息安全,容错计算,可信计算,计算机应用机应用
89、 主要著作:主要著作: 1.计算机安全保密技术计算机安全保密技术,机械工业,机械工业出版社,出版社,1995。 2.计算机中的纠错编码技术计算机中的纠错编码技术,人们邮电出版社,人们邮电出版社,1999 科研成果:科研成果: 在在计算机学报计算机学报、中国科学中国科学、通信学报通信学报上发表论文多篇。上发表论文多篇。75华东理工大学计算机科学与工程系闵应骅:闵应骅: 美国电机电子工程师协会院士美国电机电子工程师协会院士(IEEE Fellow),中国科学院计算技术,中国科学院计算技术研究所研究员、博士生导师、湖南大学研究所研究员、博士生导师、湖南大学教授、博士生导师、龙星计划委员会中教授、博士
90、生导师、龙星计划委员会中方主任、中国计算机学会容错专委名誉方主任、中国计算机学会容错专委名誉主任、国家自然科学基金委员会主任、国家自然科学基金委员会SOC重大专项专家组成员,重大专项专家组成员,计算机科学技计算机科学技术学报术学报(英)副主编、(英)副主编、计算机学报计算机学报编委。编委。1962年吉林大学数学系毕业,年吉林大学数学系毕业,曾获国家科技进步二等奖,中国科学院曾获国家科技进步二等奖,中国科学院自然科学三等奖、二等奖两项,自然科学三等奖、二等奖两项,IEEE计算机学会奖,美国电机电子工程师协计算机学会奖,美国电机电子工程师协会计算机学会金核心成员。他已在国际会计算机学会金核心成员。
91、他已在国际国内发表学术论文国内发表学术论文250篇,专著篇,专著4本,本,共被共被SCI引用引用136次,其中他人引用次,其中他人引用112次。多次担任次。多次担任IEEE国际会议主席国际会议主席或程序主席。曾在十一个国家和地区的或程序主席。曾在十一个国家和地区的36所大学讲学五十多次。美国电机电所大学讲学五十多次。美国电机电子工程师协会在遴选他为院士的报告中子工程师协会在遴选他为院士的报告中确认了他在微电子测试和容错计算领域确认了他在微电子测试和容错计算领域国际学术带头人的地位和贡献。主要研国际学术带头人的地位和贡献。主要研究领域包括微电子测试、可信网络与系究领域包括微电子测试、可信网络与系
92、统等。统等。 76华东理工大学计算机科学与工程系沈昌祥沈昌祥 中国工程院院士中国工程院院士 沈昌祥院士从事计算机信息系沈昌祥院士从事计算机信息系统、密码工程、信息安全体系结构、统、密码工程、信息安全体系结构、系统软件安全(安全操作系统、安系统软件安全(安全操作系统、安全数据库等)、网络安全等方面的全数据库等)、网络安全等方面的研究工作。先后完成了重大科研项研究工作。先后完成了重大科研项目二十多项,取得了一系列重要成目二十多项,取得了一系列重要成果,曾获国家科技进步一等奖果,曾获国家科技进步一等奖2项、项、二等奖二等奖3项、三等奖项、三等奖3项,军队科技项,军队科技进步奖十多项。这些成果在信息处
93、进步奖十多项。这些成果在信息处理和安全技术上有重大创造性,多理和安全技术上有重大创造性,多项达到世界先进水平,在全国全军项达到世界先进水平,在全国全军广泛应用,取得十分显著效益,使广泛应用,取得十分显著效益,使我国信息安全保密方面取得突破性我国信息安全保密方面取得突破性进展。进展。 1995年年5月当选为中国工程月当选为中国工程院院士。目前担任国家信息化专家院院士。目前担任国家信息化专家咨询委员会委员咨询委员会委员,中国工程院信息学中国工程院信息学部常委,国家密码管理委员会办公部常委,国家密码管理委员会办公室顾问室顾问,国家保密局专家顾问国家保密局专家顾问,公安公安部部“金盾工程金盾工程”特邀顾问特邀顾问,中国人民中国人民银行信息安全顾问银行信息安全顾问,国家税务总局信国家税务总局信息技术咨询委员会委员息技术咨询委员会委员,中国计算机中国计算机学会信息保密专业委员会主任。学会信息保密专业委员会主任。
