来源:蜘蛛抓取(WebSpider)
时间:2017-04-29 22:25
标签:
可信计算组织
可信计算组织推出带有安全芯片服务器规范
&br /> 这一“可信服务器”的蓝本核心是可信平台模块(Trusted Platform Module,TP" />
可信计算组织推出带有安全芯片服务器规范
发布: | 作者: | 来源:
| 查看:132次 | 用户关注:
可信计算组织(Trusted Computing Group)推出一种带有一种安全芯片的服务器规范,据称这将更好地保护数据以及交易过程。 这一“可信服务器”的蓝本核心是可信平台模块(Trusted Platform Module,TPM),这种是一种存有数码密匙、证书和密码的芯片。
实际上TPM在个人电脑已经开始使用。据可信计算组织介绍,象
可信计算组织(Trusted Computing Group)推出一种带有一种安全芯片的服务器规范,据称这将更好地保护数据以及交易过程。 这一“可信服务器”的蓝本核心是可信平台模块(Trusted Platform Module,TPM),这种是一种存有数码密匙、证书和密码的芯片。
实际上TPM在个人电脑已经开始使用。据可信计算组织介绍,象惠普和戴尔这样的个人电脑生产商已经生产近1500万套“可信客户机”。 带有安全芯片的计算机可以把数据、安全通信和鉴别系统限定在一个公司及其合作方的范围之内。 可信计算组织的主席Brian Berger称,按照这一规范建造的服务器的面对攻击安全性更高。关键数据都被硬件安全系统保护起来了,而不是仅仅是依赖那些易受攻击软件保护系统。 可信计算组织称,这一规范已于近期发布,硬件生产商可以免费下载。可信服务器蓝本可支持多种处理器构架和多种尺寸外形因素。预计在年底符合这一规范的服务器可能会上市。
本页面信息由华强电子网用户提供,如果涉嫌侵权,请与我们客服联系,我们核实后将及时处理。
&&& 目前,处理器性能的主要衡量指标是时钟频率。绝大多数的集成电路 (IC) 设计都基于同评论 (0条)
抢沙发,第一个发表评论(一)TCG体系结构综述:解析可信计算
现在使用的个人计算机、服务器及其它嵌入式计算设备软硬件结构比较简化,可能导致资源被任意使用,尤其是执行代码可修改,恶意程序可以被植入。病毒程序利用操作系统对执行代码不检查一致性的弱点,将病毒代码嵌入到执行代码程序,实现病毒传播;黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏;更为严重的是,对合法的用户没有进行严格的访问控制,从而可以进行越权访问,造成不安全事故。
&&&&为了解决上述的不安全,从根本上提高安全性能,必须从芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的基本思想,其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。
&&&&信息时代,保护信息的私密性、完整性、真实性和可靠性,提供一个可信赖的计算环境成为信息化的必然要求。为此,必须做到终端的可信,从源头解决人与程序、人与机器还有人与人之间的信息安全传递,进而形成一个可信的网络,解决当前以防火墙、入侵监测和病毒防范为主的传统网络安全系统存在的被动防御的不足。
(二)TCG组织:
&&&&1999年10月为了解决PC结构上的不安全,从基础上提高其可信性,由Compaq/HP/IBM/Intel/Microsoft牵头组织了可信计算平台联盟TCPA(Trusted&Computing&Platform&Alliance),成员达190家。TCPA定义了具有安全存储和加密功能的可信平台模块(TPM),致力于数据安全的可信计算,包括研制密码芯片/特殊的CPU/主板或操作系统安全内核。2003年3月,TCPA改组为“可信计算组织”(TCG:Trusted&Computing&Group),TCG在原TCPA强调安全硬件平台构建的宗旨之外,更进一步增加了对软件安全性的关注,旨在从跨平台和操作环境的硬件组件和软件接口两方面,促进不依赖特定厂商开发可信计算环境。
&&&&TCG已发表与将发表在多种计算机平台上如何建立可信计算体制的执行规范及定义,包括:体系结构、功能、界面等。对于特定的计算平台,如PC/PDA/蜂窝电话及其他计算设备,TCG将发表更详细的执行规范。
&&&&基于TCG标准的计算平台,将符合更高可信标准的功能和可靠性标准。TCG将发表评估标准和准确的平台结构作为使用了TCG技术的设备的评估尺度。
&&&&可信计算系统在投入使用后,同样需要持续的操作完整性维护以达到可信度的持续改良。TCG将推荐系统投入使用后的(改良)程序和方法。
&&&&TCG规范确保了完整性、私密性和真实性,防止了泄密和攻击对信息资产带来的风险。
&&&&在可信计算领域,具有TPM功能的PC已经上市(IBM/HP等),微软提出了NGSCB(Next-Generation&Secure&Computing&Base)的可信计算计划,并在操作系统VISTA部分实现。Intel为支持可信计算推出相应的新一代处理器。
&&&&2004年,武汉瑞达公司推出自主知识产权的可信计算机产品。2005年4月,联想集团和中科院计算所安全芯片完成安全芯片和可信PC平台开发。2005年4月,兆日科技推出符合可信计算联盟(TCG)技术标准的TPM安全芯片。
&&&&2008年4月底,中国可信计算联盟(CTCU)在国家信息中心成立。
&&&&TCG倡导的可信计算已逐步由理论逐步转化为产业,转入到实质性的实现阶段。
(三)TCG分成下列几个工作组:
认证工作组。该组定义可信计算平台的认证机制的规范,包括生物识别与认证、智能卡等。
&&&&硬件复制工作组。该组定义用于硬件复制设备的、开放的、与厂商无关的规范,硬件复制设备可利用TCG组建构建自己的可信根。
&&&&基础结构工作组。该组定义结构框架以及整合结构的接口标准和元数据。
&&&&移动工作组。该组定义可信的移动设备,包括手机/PDA等。
&&&&PC客户端工作组。该组为使用TCG组件的PC客户端提供公共的功能、接口及安全性私密性相关的必要支撑条件。
&&&&服务器工作组。该组为TCG技术实现服务器提供定义、规范、指南等。
&&&&软件栈工作组。该组为利用TPM的应用系统厂商提供一组标准的API接口,&目标是对使用TPM功能的应用程序提供一个唯一入口:提供对TPM的同步访问;管理TPM的资源;适当的时候释放TPM的资源等。
&&&&存储工作组。该组重点制定专用存储系统的安全服务标准。
&&&&可信网络联接(TNC)工作组。该组重点在端点接入网络时和接入之后端点的完整性策略符合性上。
&&&&可信平台模块(TPM)工作组。该组制定TPM规范。TPM是可信根,该根是其它工作组的基础。
&&&&虚拟化平台工作组。该组着重虚拟化平台上的可信计算。
&&&&TCG以TPM为核心,逐步把可信由TPM推向网络和各种应用。下图是TCG正在或计划从事的领域:
(四)可信的定义:
&&&&TCG对“可信”的定义是:一个实体在实现给定目标时,若其行为总是如同预期,则该实体是可信的(An&entity&can&be&trusted&if&it&always&behaves&in&the&expected&manner&for&the&intended&purpose)。
&&&&这个定义将可信计算和当前的安全技术分开:可信强调行为结果可预期,但并不等于确认行为是安全的,这是两个不同的概念。如,你知道你的电脑中有病毒,这些病毒会在什么时候发作,了解会产生如何的后果,同时病毒也确实是这么运行的,那么这台电脑就是可信的。从TCG的定义来看,可信实际上还包含了容错计算里可靠性的概念。可靠性保证硬件或者软件系统性能可预测。
&&&&可信计算的主要手段是进行身份确认,使用加密进行存储保护及使用完整性度量进行完整性保护。基本思想是在计算机系统中首先建立一个信任根,再建立一条信任链,一级测量认证一级,一级信任一级,把信任关系扩大到整个计算机系统,从而确保计算机系统的可信。
&&&&由于引入了TPM这样的一个嵌入到计算机平台中的嵌入式微型计算机系统,TCG解决了许多以前不能解决的问题。TPM实际上就是在计算机系统里面加入了一个可信第三方,通过可信第三方对系统的度量和约束来保证一个系统可信。
(五)可信计算平台的基本特征:
&&&&一个可信平台要达到可信,最基本的原则就是必须真实报告系统的状态,同时决不暴露密钥和尽量不表露自己的身份。这就需要三个必要的基础特征:保护能力(Protected&Capabilities)证明(Attestation)完整性的度量存储和报告(Integrity&Measurement,&Storage&and&Reporting)。
&&&&保护能力:保护能力是通过建立平台屏蔽保护区域(Shielded&Locations),如内存/寄存器等,实现敏感数据的访问授权,从而控制外部实体对这些敏感数据的访问。TPM实现了保护能力和屏蔽区域。
&&&&证明:证明是确认信息正确性的过程。通过这个过程,外部实体可以确认保护区域、保护能力和信任源。通过证明,可以完成网络通信中身份的认证,而且由于引入了TPM中的平台配置寄存器PCR值,在身份认证的同时还鉴别了通讯对象的平台环境配置。
&&&&TCG的身份证明包括三个层次:TPM可信性证明(by&the&TPM)平台身份证明(to&the&platform)平台可信状态证明(of&the&platform)。证明过程主要用身份证明密钥AIK。AIK是一个签名密钥,TPM使用AIK来证明自己的身份,凡是经过AIK签名的实体,都表明已经过TPM的处理。
&&&&完整性的度量存储和报告:完整性的度量存储和报告的基本原理是一个平台可能会被允许进入任何状态,但是平台不能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。
&&&&1.&完整性度量
&&&&完整性度量的过程是:对影响平台完整性(可信度)的平台部件进行测量,获得测量值,并将测量值的信息摘要记入平台配置寄存器PCR。
&&&&度量的开始点称为“可信度量根”。静态的可信度量根开始于对机器的起始状态进行的测量,如上电自检状态;动态的可信度量根是以一个不被信任的状态变为可信状态的测量作为起始点。
&&&平台BIOS及所有启动和操作系统模块的摘要值都将存入特定的PCR,进行网络通信时,可以通过对对方PCR值的校验确定对方系统是否可信(即是否感染了病毒/是否有木马/是否使用盗版软件等)。
&&&&2.&完整性存储:包括了存储完整性测量值的日志和在PCR中存储这些测量值的信息摘要。
&&&&3.&完整性报告:用于证实完整性存储的内容。
(六)可信平台模块TPM:
&&&&在TCG系统中,可信根(Root&of&Trust)是无条件被信任的,系统并不检测可信根的行为,因此可信根是否真正值得信任,是系统的可信关键。
&&&&TPM是可信根的基础。TPM是一个含有密码运算部件和存储部件的小型片上系统,它既是密钥的生成器,又是密钥管理器件,同时还提供了统一的编程接口。TPM通过提供密钥管理和配置管理等特性,与配套的应用软件一起,主要用于完成计算平台的可靠性认证、用户身份认证和数字签名等功能。
&&&&TPM由输入和输出、密码协处理器、散列消息认证码HMAC引擎等组件构成。
&&&&TPM芯片首先验证当前底层固件的完整性,如正确则完成正常的系统初始化,然后由底层固件依次验证BIOS和操作系统完整性,如正确则正常运行操作系统,否则停止运行。之后,利用TPM芯片内置的加密模块生成系统中各种密钥,对应用模块进行加解密,向上提供安全通信接口,以保证上层应用模块的安全。
&&&&任何可信都是建立在某一个层次上的,如果你能直接访问更低的层次,那么上一个层次的保护将是毫无作用的。传统的系统中,密钥和授权信息都直接存储在内存和硬盘之中,攻击者有很多的方法来获取它们。在可信计算的体系中,所有这些秘密数据都是由TPM来保护的。这样,只有攻击者能够攻破TPM才能攻破系统的防护。这样,TPM成为了系统可信的最低层次,它提供了整个系统可信的基础。
(七)信任传递(Transitive&Trust)与可信边界(Trust&Boundary):
&&&&在可信计算体系中,建立可信需要先拥有可信根(Root&of&Trust),然后建立一条可信链(Chain&of&Trust),再将可信传递到系统的各个模块,之后就能建立整个系统的可信。信任源是一个必须能够被信任的组件。一个可信平台中有三个可信根:度量可信根(RTM)/存储可信根(Root&of&Trust&for&Storage,RTS)/报告可信根(Root&of&Trust&for&Reporting,RTR)。
&&&&RTM被用来完成完整性度量,通常使用度量可信根的核心(Core&Root&of&Trust&for&Measurement,CRTM)所控制的计算引擎。CRTM(静态度量可信根)是平台执行RTM时的执行代码,一般存在BIOS中。RTM同时也是信任传递的原点。
&&&&RTS是维护完整性摘要的值和摘要序列的引擎,一般由对存储加密的引擎和加密密钥组成。
&&&&RTR是一个计算引擎,能够可靠地报告RTS持有的数据,这个可靠性一般由签名来保证。
&&&&这三个根都是可信、功能正确而且不需要外界维护的。这些可信根存在于TPM和BIOS中,可以由专家来评估确定是否符合可信的标准。一般,在平台建立之后,我们认为TPM和BIOS是绝对可信的。
&&&&可信构建模块(Trusted&Building&Blocks,TBB)是信任源的一部分,包括RTM和TPM初始化的信息和功能(复位等)。可信构建模块TBB和信任根的组合形成了一个基本的可信边界,可用来对PC机的最小配置进行完整性的测量、存储和报告。在运行系统中的任何硬件和软件模块之前,必须建立对这些模块代码的信任,这种信任是通过在执行控制转移之前对代码进行度量来确认的。在确认可信后,将建立新的一个可信边界,隔离所有可信和不可信的模块。即使确定模块不可信,也应该继续执行这个模块,但是需要保存真实的平台配置状态值。
&&&&建立可信链的过程如图:
&&&可信平台中的信任链度量机制过程如下图所示。BIOS&Boot&Block为完整性度量信任根,TPM芯片为完整性报告信任根。从平台加电开始,BIOS&Boot&Block会度量BIOS的完整性值并将该值存储在安全芯片上,同时在自己可写的那块内存中记日志,接着,BIOS度量Hardware和ROMS,将度量得到的完整性值存在安全芯片中,在内存中记日志,接着,OS&Loader度量OS,OS度量应用和新的OS组件。当操作系统启动后,由用户决定是否继续信任这个系统平台。这样,一个信任链的建立过程保证了系统平台的可信性。完整性值通常是一个哈希值,通常采用的哈希算法是SHA1。
(八)可信平台密钥与证书:
&&&&在建立了可信以后,并不是就可以放心把所有权力下放了,还需要证明身份,通过授权和委托来管理信息资产。
&&&&在这些机制里面,最重要的就是密钥与证书。TCG定义了7种密钥类型。每种类型都附加了一些约束条件以限制其应用。
&&&&TCG的密钥可以粗略的分类为签名密钥和存储密钥。更进一步的分类有:平台、身份认证、绑定、普通和继承密钥。对称密钥被单独分类为验证密钥。非对称密钥大多要求2048位的RSA密钥。在整个密钥体系中,每个密钥在开始创建的时候都指定了固定的密钥属性。密钥按照属性不同分为:可移动密钥(Migratable&Key)/不可移动密钥(Non-Migratable&Key)。可移动存储密钥并不局限于某个特定平台,可以由平台用户在平台之间互换而不影响信息交互。不可移动密钥则永久与某个指定平台关联,任何此类密钥泄漏到其它平台都将导致平台身份被假冒。不可移动密钥能够用来加密保护可移动密钥,反之则不行。
&&&&7种密钥类型如下:
&&&&1.&签名密钥(Signing&Key):非对称密钥,用于对应用数据和信息签名。
&&&&2.&存储密钥(SK-Storage&Key):非对称密钥,用于对数据或其他密钥进行加密。存储根密钥(SRK-Storage&Root&Key)是存储密钥的一个特例。
&&&&3.&平台身份认证密钥(AIK,Attestation&Identity&Key):专用于对TPM产生的数据(如TPM功能/PCR寄存器的值等)进行签名的不可迁移的密钥。
&&&&4.&签署密钥(EK,Endorsement&Key):平台的不可迁移的解密密钥。在确立平台所有者时,用于解密所有者的授权数据和与产生AIK相关的数据。签署密钥从不用作数据加密和签名。
&&&&5.&绑定密钥(Binding&Key):用于加密小规模数据(如对称密钥),这些数据将在另一个TPM平台上进行解密。
&&&&6.&继承密钥(Legacy&Key):在TPM外部生成,在用于签名和加密的时候输入到TPM中,继承密钥是可以迁移的。
&&&&7.&鉴别密钥(Authentication&Key):用于保护引用TPM完成的传输会话的对称密钥。
&&&&在可信计算平台中,密钥分层体系如图所示。
密钥分层体系结构
&&&&SRK作为一级密钥(也称主密钥),存储在安全区域,用它对二级密钥信息加密生成二级密钥。依次类推,父节点加密保护子节点,构成整个分层密钥树结构。在密钥分层树中,叶子节点都是各种数据加密密钥和实现数据签名密钥。这些动作都应该是连贯的密箱操作。相比之下,纯软件的加密系统难以做到密箱操作。但如果把主密钥、加密算法等关键数据、程序固化在硬件设备TPM中,就能解决密箱操作的难题。
&&&&密钥的使用和生成都离不开证书。TCG定义了五类证书,每类都被用于为特定操作提供必要的信息。证书的种类包括:
&&&&1.&签署证书(Endorsement&Credential):由生成EK的人发表,包含TPM制造者名、TPM型号、TPM版本号和EK公钥。由于是鉴别TPM身份的唯一证据,所以也是秘密和敏感的,除了生成AIK,其它时候都不应该使用它。
&&&&2.&一致性证书(Conformance&Credential):它指出了评估者认可TPM的设计和实现符合评估准则。它由独立的可信机构发布。包含评估者名、平台制造者名、平台型号、平台版本号等。
&&&&3.&平台证书(Platform&Credential):它由平台制造者发行,确认平台制造者和描述平台属性。
&&&&4.&确认证书(Validation&Credential):由第三防发的对系统中的某个硬件或软件证书。如微软给某显卡的驱动证书。
&&&&5.&身份认证证书(I&AIK&Credential):AIK证书被用来鉴定对PCR值进行签名的AIK私钥。AIK证书由一个可信的、能验证各种证书和保护客户端的隐私的服务发表,比如privacy&CA。通过发表AIK证书,签名者证明提供TPM信息的TPM的真实性。
(九)可信计算平台:
&&&&可信计算平台是以TPM为核心,但它并不仅仅由一块芯片构成,而是把CPU/操作系统/应用软件/网络基础设备融为一体的完整体系结构。
&&&&一个典型的PC平台上的体系结构如下图所示:
&&&&整个体系主要可以分为三层:TPM、TSS和应用软件。
&&&&TSS(TCG&Software&Stack)处在TPM之上,应用软件之下,称作可信软件栈,它提供了应用程序访问TPM的接口,同时进行对TPM的管理。
&&&&TSS分为四层:工作在用户态的TSP(TCG&Service&Provider)/TCS(TCG&Core&Services)/TDDL和内核态的TDD。
(十)TCG服务提供层:TSP
&&&&TSP提供应用程序访问TPM的C++界面,基于一个面向对象的底层结构,驻留在与应用程序一样的进程地址空间(都是用户进程)。授权协议在这一层通过一个在这层编码的用户接口,也可通过TCS层的回调机制(如果调用者是远程的话)来实现。
&&&&TSP提供两种服务:上下文(context)管理和密码操作。上下文管理器产生动态句柄,以便高效地使用应用程序和TSP资源。每个句柄提供一组相关TCG操作的上下文。应用程序中不同的线程可能共享一个上下文,也可能每个线程获得单独的上下文。为了充分利用TPM的安全功能,这层也提供了密码功能。但是内部数据加密对接口是保密的,例如报文摘要和比特流的产生功能等。
(十一)TCG核心服务层:TCS
&&&&TCS提供一组标准平台服务的API接口。一个TCS可以提供服务给多个TSP。如果多个TCG服务提供者都基于同一个平台,TCS保证它们都将得到相同的服务。TCS提供了4个核心服务:
&&&&1.&上下文管理:实现到TPM的线程访问。
&&&&2.&证书和密钥的管理:存储与平台相关的证书和密钥。
&&&&3.&度量事件管理:管理事件日志的写入和相应PCR寄存器的访问。
&&&&4.&参数块的产生:负责对TPM命令序列化、同步和处理。
(十二)TCG设备驱动库:TDDL
&&&&TDDL是用户态和内核态的过渡,仅仅是一个接口而已。它不对线程与TPM的交互进行管理,也不对TPM命令进行序列化(serialization)。这些是在高层的软件堆完成。由于TPM不是多线程的,一个平台只有一个TDDL实例(instance),从而只允许单线程访问TPM。
&&&&TDDL提供开放接口,使不同各厂商可以各自自由实现TDD和TPM。
(十三)结论:
&&&&可信计算平台能够对用户身份进行鉴别,用户身份不再依赖操作系统,使用假冒的用户身份信息非常困难;第二,其内部各元素之间要对上层进行严密认证,从系统的启动开始,BIOS/操作系统的加载模块/操作系统都要被一一验证,确保启动链中的软件未被篡改;最后,可信计算平台具备网络上的唯一身份识别,不再依赖IP地址。
&&&&在信息安全领域,TCG的思想和实践都是向前迈了一大步。TCG对由被动防御向主动防御,由重视防外转向同时重视防内都做出了重要贡献,TCG的理论价值或市场价值必将越来越大,特别在信任链可控的专网中将会很快得到广泛采用。
&&&&TCG虽然取得了很大的进展,但要解决的问题也很多。至今,没有公认的可信计算理论模型,业界也没有完全实现TCG的PC技术规范可信计算机,也缺少操作系统、网络、数据库和应用的可信机制配套。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。可信计算与内网安全 -企业管理资源下载大全--3722 资料搜索网
此文章被谁收藏
相关资料下载
&& 调研报告>>可信计算与内网安全
可信计算与内网安全
作者:blackli&& &来自: 转载/李娜
一、可信计算的发展上个世纪80年代中期,美国国防部国家计算机安全中心代表国防部为适应军事计算机的保密需要,在70年代的基础理论研究成果“计算机保密模型”的基础上,制定并出版了“可信计算机安全评价标准”(TCSEC),它所强调的安全概念是指要使系统的安全特性成为仅仅被授权的主体,以主体的名义访问客体。1987年7月,又针对网络、安全的系统和数据库的具体情况又做出了三个解释性文件,即可信网络解释、计算机安全系统解释和可信数据库解释,形成了安全信息系统体系结构的最早原则。1991年,西欧四国(英、法、德、荷)提出了信息技术安全评价准则(ITSEC),ITSEC首次提出了信息安全的保密性、完整性、可用性概念,把可信计算机的概念提高到可信信息技术的高度上来认识。1993年1月,美国公布了融合欧洲的ITSEC的可信计算机安全评价准则之联邦准则。1999年10月由国际几大IT巨头Compaq、HP、IBM、Intel和Microsoft牵头组织了可信计算平台联盟TCPA(Trusted Computing Platform Alliance),成员达190家,遍布全球各大洲主力厂商。主要是为了解决PC机结构上的不安全,从基础上提高其可信性。TCPA定义了具有安全存储和加密功能的可信平台模块(TPM),并于2001年1月发布了基于硬件系统的“可信计算平台规范”(v1.0)。2003年3月TCPA改组为TCG(Trusted Computing Group),同年10月发布了TPM主规范(v1.2)。其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。目前,一些国外厂商,如IBM、HP、Intel都发布了具有TPM功能的PC机,如IBM在2002年底,发布了一款带有嵌入式安全子系统的笔记本电脑,依靠子系统中保存的密钥进行数据保护,只有通过身份认证的用户才可以解密文件。国内厂商,如武汉瑞达信息安全产业股份有限公司,于2004年6月推出了国内首款自主研发的具有TPM功能的可信安全计算机,其SQY14嵌入密码型计算机的芯片、主板、软件等全部都是由瑞达公司自己研制和改造出来的,除了在安全计算机的系统结构和主要技术路线上与TCG的可信PC规范一致外,还在技术上有所创新,增加了对开机和端口的限制。该产品于同年10月通过了国家密码管理委员会的技术鉴定。2005年1月,为了研究可信计算的中国标准,国家成立了国家安全标准委员会WG1可信计算工作小组,预计今年就开始规划可信计算平台的有关标准,并遵循立足保护自己的知识产权、建立可信计算的通用平台、将“可信根”放在中国的三条基本原则。二、可信计算相关概念可信计算的概念由TCG提出,但并没有明确定义,而且联盟内部的各大厂商对“可信计算”的理解也不尽相同。其目的主要是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全,意义就是在计算机网络中搭建一个诚信体系,每个终端都具有合法的网络身份,并能够被认可;而且终端具有对恶意代码,如病毒、木马等有免疫能力。在这样的可信计算环境中,任何终端出现问题,都能保证合理取证,方便监控和管理。可信计算提供的安全功能有:终端设备认证、数据完整性校验、用户身份认证、用户权限合法性、端口控制和管理、数据的加密存储、重要信息的硬件保护。这些安全功能保证了使用者、软硬件的配置、应用程序等的可信,进一步保证了终端的可信,最终构建出可信任的计算机网络。1、可信计算基GB l7859对作为计算机信息系统(以下简称系统)安全保护总体机制的可信计算基(TCB)给出了如下定义:TCB是“计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境,并提供一个可信计算系统所要求的附加用户服务”。通常所指的TCB是构成安全计算机信息系统的所有安全保护装置的组合体(通常称为安全子系统),以防止不可信主体的干扰和篡改。2、可信硬件要构建可信计算平台,必须引入独立的硬件,其实现方式一般采用独立CPU设计的片上系统,同时辅以外部控制逻辑和安全通信协议。作为可信计算平台的基础部件,可信硬件自身的保护措施也是相当严格的,涉及到命令协议的设计,算法的实现,存储部件的保护等。除此之外,硬件的实现还要考虑各种固件的可信设计,主要是对BIOS和各种ROM代码的改进。3、可信计算平台TCG从行为的角度来定义可信性:如果一个实体的行为总是以所期望的方式,朝者预期目标。那么它是可信的,所谓平台是一种能向用户发布信息或从用户那里接收信息的实体。可信计算平台是能够提供可信计算服务的计算机软硬件实体,它能够提供系统的可靠性、可用性和信息的安全性。可信计算平台基于可信平台模块(TPM),以密码技术为支持、安全操作系统为核心。安全操作系统是可信计算平台的核心和基础,没有安全的操作系统,就没有安全的应用,也不能使TPM发挥应有的作用。我国在2000年实施的863安全课题中专门对基于Linux开发安全操作系统立项,目前已经完成了多个符合美国国家可信计算机系统评价准则中B1级以上的安全操作系统,这些系统有:江苏南大苏富特软件股份有限公司的苏富特安全操作系统SoftOS V1.0;北京中科安胜信息技术有限公司的安胜安全操作系统V1.0;四川三零卫士安全软件有限公司的航天卫士安全操作系统(V1.0)等多家安全操作系统。二、内网安全架构解决方案在最初的信息安全建设中,人们首先想到的是防止外部攻击以及本地网络安全边界问题,因而重点采用访问控制、入侵检测、网络隔离和病毒防范等方法来解决信息安全问题。在这之后用户认识到,作为网络组成部分的终端是网络与用户的接口,是安全保障比较脆弱的地方,也是一般网络安全解决方案所容易忽视的地方。据统计,网络上超过一半的安全问题来自内部用户,也就是内网的终端结构和操作系统的不安全所引起的。某军队单位承担着科技研究任务,由于内网跨地域,工作之中需要经常与异地的同事交流研究资料,这些资料随着工作的深入涉密程度越来越深,急需对网络上的用户终端进行安全防护,此时仅从解决单个主机的安全防护问题是不可能的,必须结合网络的管理,实现对用户网络行为的审计和监控。1、内部安全威胁的分析通过详细分析某军队单位内网面临的风险,我们发现所有的安全威胁都是通过内网的用户终端来起作用的。威胁看似来源于外部,其实,若能安全合理控制内网的用户终端,就不可能对内网造成伤害。来自用户终端的安全威胁主要有以下几种表现形式:1.随意更改IP地址;2.私自以拨号等方式上互联网;3.内部人员大量使用移动存储设备,易造成内外网间接地交换数据;4.安装、使用盗版软件或黑客软件,对内网的其它计算机构成了重大的安全威胁;5.窃取、传播违禁、机密的数据资料;6.内部终端用户越权使用单位的网络资源;7.操作系统的“后门”引起的安全问题。2、基于可信计算机的解决方案采用可信计算机实现内网用户终端的安全防护问题,可信计算机能够确保用户的合法性和资源的一致性,使用户只能按照规定的权限和访问控制规则进行操作,能做到什么样权限级别的人只能做与其身份规定的访问操作,只要控制规则是合理的,那么整个信息系统资源访问过程是安全的。可信计算机奠定了可信网络的基础。可信计算机的安全功能如下:基于智能卡和口令的身份认证,防止非法使用机器;自主和强制存取控制,防止非法访问文件;多级权限管理,防止越权操作;存储设备安全管理,防止非法软盘拷贝和硬盘启动;数据和程序代码加密存储,防止信息被窃;预防病毒,防止病毒侵袭;严格的审计跟踪,便于追查责任事故。此种解决方案除了“随意更改IP地址”不能解除以外,其他安全威胁均可解决。3、构建在操作系统增强基础上的解决方案采用在普通终端上加装“USB电子钥匙+现有操作系统的增强软件”,通过USB KEY和终端之间的双向认证,达到终端设备和用户之间的双向认证关系。USB电子钥匙中可以存储网络终端用户的密钥或算法,或是存储用户的个人身份以及用户可访问网络的权限。此种方案需要配合内网的审计、监控和管理等其他手段,才能够有效解决前述安全威胁。审计的作用是:(1)自动登记受控终端的硬件配置;(2)自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器;(3)自动记录系统服务的启动和停止;(4)自动记录受控终端上应用程序的安装与卸载情况;(5)自动记录受控终端上运行进程的启动和停止;(6)记录用户对规则指定文件进行的各种操作;(7)记录用户对规则指定网址进行的访问操作;(8)对本地打印机使用情况进行审计;(9)对受控终端的USB移动存储设备的使用情况进行审计;(10)对受控终端软盘使用状态进行审计;(11)对拨号访问情况进行审计。图2 基于操作系统增强的内网安全拓扑结构监控的作用是:(1)允许或阻断用户通过拨号访问Internet;(2)允许或阻断用户对受控终端的各种输出设备进行访问;(3)对受控终端进行IP地址和MAC地址的绑定;(4)允许或禁止某些进程的启动;(5)允许或阻断对某些网络地址的访问;(6)允许或阻断用户对本地打印机进行访问。管理的作用是:(1)自动发现并生成网络拓扑图;(2)动态显示交换机端口状态、流量等信息;(3)监视、分析网络性能提供未知(未登记)IP地址、MAC地址列表,自动发现有未知受控终端接入的交换机端口;(4)实现交换机端口的打开和阻断控制;(5)自动识别网络中所有设备的IP地址、MAC地址、设备名称等基本设备信息;(6)动态显示受控终端的当前状态,对各种不正常状态均提供声音报警和屏幕显示报警;(7)可以按设备类型(如服务器、主机、打印机、交换机、路由器、网关)、子网、部门等方法对设备进行分类管理,列表显示出设备的名称、所属部门、IP地址、MAC地址、发现时间等信息;(8)可以根据交换机端口连接的工位对内网终端进行管理;(9)可以方便地查看受控终端的配置信息、审计日志信息。目前可信计算正成为我国信息安全研究的热点领域,我国也已完成了多个符合美国国家可信计算机系统评价准则中B1级以上的安全操作系统以及有中国自主知识产权和特色的可信计算机。一方面,信息安全问题的日趋严重带来信任恐慌,使得构建一个可信任的环境成为重点行业用户的共识。另一方面,国内“可信技术”的发展与国际同步,在某些方面有自己的独到之处。可以说,可信计算代表未来计算机的发展趋势,一旦技术和产品成熟,将掀起一场新的革命。参考文献[1]《计算机世界?CSO&信息安全季刊》.[2]《计算机世界?CSO&信息安全季刊》.[3]《信息安全与通信保密》中国电子科技第三十研究所 2004.9.[4]《信息安全与通信保密》中国电子科技第三十研究所 2005.4.[5]《国家信息安全测评认证》中国信息安全产品测评认证中心2005.2.[6]《技术安全保密文摘》网络信息安全专刊 2005.3.
一、可信计算的发展上个世纪80年代中期,美国国防部国家计算机安全中心代表国防部为适应军事计算机的保密需要,在70年代的基础理论研究成果“计算机保密模型”的基础上,制定并出版了“可信计算机安全评价标准”(TCSEC),它所强调的安全概念是指要使系统的安全特性成为仅仅被授权的主体,以主体的名义访问客体。1987年7月,又针对网络、安全的系统和数据库的具体情况又做出了三个解释性文件,即可信网络解释、计算机安全系统解释和可信数据库解释,形成了安全信息系统体系结构的最早原则。1991年,西欧四国(英、法、德、荷)提出了信息技术安全评价准则(ITSEC),ITSEC首次提出了信息安全的保密性、完整性、可用性概念,把可信计算机的概念提高到可信信息技术的高度上来认识。1993年1月,美国公布了融合欧洲的ITSEC的可信计算机安全评价准则之联邦准则。1999年10月由国际几大IT巨头Compaq、HP、IBM、Intel和Microsoft牵头组织了可信计算平台联盟TCPA(Trusted Computing Platform Alliance),成员达190家,遍布全球各大洲主力厂商。主要是为了解决PC机结构上的不安全,从基础上提高其可信性。TCPA定义了具有安全存储和加密功能的可信平台模块(TPM),并于2001年1月发布了基于硬件系统的“可信计算平台规范”(v1.0)。2003年3月TCPA改组为TCG(Trusted Computing Group),同年10月发布了TPM主规范(v1.2)。其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。目前,一些国外厂商,如IBM、HP、Intel都发布了具有TPM功能的PC机,如IBM在2002年底,发布了一款带有嵌入式安全子系统的笔记本电脑,依靠子系统中保存的密钥进行数据保护,只有通过身份认证的用户才可以解密文件。国内厂商,如武汉瑞达信息安全产业股份有限公司,于2004年6月推出了国内首款自主研发的具有TPM功能的可信安全计算机,其SQY14嵌入密码型计算机的芯片、主板、软件等全部都是由瑞达公司自己研制和改造出来的,除了在安全计算机的系统结构和主要技术路线上与TCG的可信PC规范一致外,还在技术上有所创新,增加了对开机和端口的限制。该产品于同年10月通过了国家密码管理委员会的技术鉴定。2005年1月,为了研究可信计算的中国标准,国家成立了国家安全标准委员会WG1可信计算工作小组,预计今年就开始规划可信计算平台的有关标准,并遵循立足保护自己的知识产权、建立可信计算的通用平台、将“可信根”放在中国的三条基本原则。二、可信计算相关概念可信计算的概念由TCG提出,但并没有明确定义,而且联盟内部的各大厂商对“可信计算”的理解也不尽相同。其目的主要是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全,意义就是在计算机网络中搭建一个诚信体系,每个终端都具有合法的网络身份,并能够被认可;而且终端具有对恶意代码,如病毒、木马等有免疫能力。在这样的可信计算环境中,任何终端出现问题,都能保证合理取证,方便监控和管理。可信计算提供的安全功能有:终端设备认证、数据完整性校验、用户身份认证、用户权限合法性、端口控制和管理、数据的加密存储、重要信息的硬件保护。这些安全功能保证了使用者、软硬件的配置、应用程序等的可信,进一步保证了终端的可信,最终构建出可信任的计算机网络。1、可信计算基GB l7859对作为计算机信息系统(以下简称系统)安全保护总体机制的可信计算基(TCB)给出了如下定义:TCB是“计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境,并提供一个可信计算系统所要求的附加用户服务”。通常所指的TCB是构成安全计算机信息系统的所有安全保护装置的组合体(通常称为安全子系统),以防止不可信主体的干扰和篡改。2、可信硬件要构建可信计算平台,必须引入独立的硬件,其实现方式一般采用独立CPU设计的片上系统,同时辅以外部控制逻辑和安全通信协议。作为可信计算平台的基础部件,可信硬件自身的保护措施也是相当严格的,涉及到命令协议的设计,算法的实现,存储部件的保护等。除此之外,硬件的实现还要考虑各种固件的可信设计,主要是对BIOS和各种ROM代码的改进。3、可信计算平台TCG从行为的角度来定义可信性:如果一个实体的行为总是以所期望的方式,朝者预期目标。那么它是可信的,所谓平台是一种能向用户发布信息或从用户那里接收信息的实体。可信计算平台是能够提供可信计算服务的计算机软硬件实体,它能够提供系统的可靠性、可用性和信息的安全性。可信计算平台基于可信平台模块(TPM),以密码技术为支持、安全操作系统为核心。安全操作系统是可信计算平台的核心和基础,没有安全的操作系统,就没有安全的应用,也不能使TPM发挥应有的作用。我国在2000年实施的863安全课题中专门对基于Linux开发安全操作系统立项,目前已经完成了多个符合美国国家可信计算机系统评价准则中B1级以上的安全操作系统,这些系统有:江苏南大苏富特软件股份有限公司的苏富特安全操作系统SoftOS V1.0;北京中科安胜信息技术有限公司的安胜安全操作系统V1.0;四川三零卫士安全软件有限公司的航天卫士安全操作系统(V1.0)等多家安全操作系统。二、内网安全架构解决方案在最初的信息安全建设中,人们首先想到的是防止外部攻击以及本地网络安全边界问题,因而重点采用访问控制、入侵检测、网络隔离和病毒防范等方法来解决信息安全问题。在这之后用户认识到,作为网络组成部分的终端是网络与用户的接口,是安全保障比较脆弱的地方,也是一般网络安全解决方案所容易忽视的地方。据统计,网络上超过一半的安全问题来自内部用户,也就是内网的终端结构和操作系统的不安全所引起的。某军队单位承担着科技研究任务,由于内网跨地域,工作之中需要经常与异地的同事交流研究资料,这些资料随着工作的深入涉密程度越来越深,急需对网络上的用户终端进行安全防护,此时仅从解决单个主机的安全防护问题是不可能的,必须结合网络的管理,实现对用户网络行为的审计和监控。1、内部安全威胁的分析通过详细分析某军队单位内网面临的风险,我们发现所有的安全威胁都是通过内网的用户终端来起作用的。威胁看似来源于外部,其实,若能安全合理控制内网的用户终端,就不可能对内网造成伤害。来自用户终端的安全威胁主要有以下几种表现形式:1.随意更改IP地址;2.私自以拨号等方式上互联网;3.内部人员大量使用移动存储设备,易造成内外网间接地交换数据;4.安装、使用盗版软件或黑客软件,对内网的其它计算机构成了重大的安全威胁;5.窃取、传播违禁、机密的数据资料;6.内部终端用户越权使用单位的网络资源;7.操作系统的“后门”引起的安全问题。2、基于可信计算机的解决方案采用可信计算机实现内网用户终端的安全防护问题,可信计算机能够确保用户的合法性和资源的一致性,使用户只能按照规定的权限和访问控制规则进行操作,能做到什么样权限级别的人只能做与其身份规定的访问操作,只要控制规则是合理的,那么整个信息系统资源访问过程是安全的。可信计算机奠定了可信网络的基础。可信计算机的安全功能如下:基于智能卡和口令的身份认证,防止非法使用机器;自主和强制存取控制,防止非法访问文件;多级权限管理,防止越权操作;存储设备安全管理,防止非法软盘拷贝和硬盘启动;数据和程序代码加密存储,防止信息被窃;预防病毒,防止病毒侵袭;严格的审计跟踪,便于追查责任事故。此种解决方案除了“随意更改IP地址”不能解除以外,其他安全威胁均可解决。3、构建在操作系统增强基础上的解决方案采用在普通终端上加装“USB电子钥匙+现有操作系统的增强软件”,通过USB KEY和终端之间的双向认证,达到终端设备和用户之间的双向认证关系。USB电子钥匙中可以存储网络终端用户的密钥或算法,或是存储用户的个人身份以及用户可访问网络的权限。此种方案需要配合内网的审计、监控和管理等其他手段,才能够有效解决前述安全威胁。审计的作用是:(1)自动登记受控终端的硬件配置;(2)自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器;(3)自动记录系统服务的启动和停止;(4)自动记录受控终端上应用程序的安装与卸载情况;(5)自动记录受控终端上运行进程的启动和停止;(6)记录用户对规则指定文件进行的各种操作;(7)记录用户对规则指定网址进行的访问操作;(8)对本地打印机使用情况进行审计;(9)对受控终端的USB移动存储设备的使用情况进行审计;(10)对受控终端软盘使用状态进行审计;(11)对拨号访问情况进行审计。图2 基于操作系统增强的内网安全拓扑结构监控的作用是:(1)允许或阻断用户通过拨号访问Internet;(2)允许或阻断用户对受控终端的各种输出设备进行访问;(3)对受控终端进行IP地址和MAC地址的绑定;(4)允许或禁止某些进程的启动;(5)允许或阻断对某些网络地址的访问;(6)允许或阻断用户对本地打印机进行访问。管理的作用是:(1)自动发现并生成网络拓扑图;(2)动态显示交换机端口状态、流量等信息;(3)监视、分析网络性能提供未知(未登记)IP地址、MAC地址列表,自动发现有未知受控终端接入的交换机端口;(4)实现交换机端口的打开和阻断控制;(5)自动识别网络中所有设备的IP地址、MAC地址、设备名称等基本设备信息;(6)动态显示受控终端的当前状态,对各种不正常状态均提供声音报警和屏幕显示报警;(7)可以按设备类型(如服务器、主机、打印机、交换机、路由器、网关)、子网、部门等方法对设备进行分类管理,列表显示出设备的名称、所属部门、IP地址、MAC地址、发现时间等信息;(8)可以根据交换机端口连接的工位对内网终端进行管理;(9)可以方便地查看受控终端的配置信息、审计日志信息。目前可信计算正成为我国信息安全研究的热点领域,我国也已完成了多个符合美国国家可信计算机系统评价准则中B1级以上的安全操作系统以及有中国自主知识产权和特色的可信计算机。一方面,信息安全问题的日趋严重带来信任恐慌,使得构建一个可信任的环境成为重点行业用户的共识。另一方面,国内“可信技术”的发展与国际同步,在某些方面有自己的独到之处。可以说,可信计算代表未来计算机的发展趋势,一旦技术和产品成熟,将掀起一场新的革命。参考文献[1]《计算机世界?CSO&信息安全季刊》.[2]《计算机世界?CSO&信息安全季刊》.[3]《信息安全与通信保密》中国电子科技第三十研究所 2004.9.[4]《信息安全与通信保密》中国电子科技第三十研究所 2005.4.[5]《国家信息安全测评认证》中国信息安全产品测评认证中心2005.2.[6]《技术安全保密文摘》网络信息安全专刊 2005.3.
>>上篇文章:>>下篇文章:
Email邮箱:
地址: 东莞市虎门镇虎门大道锦绣大厦2座
