信息安全新技术 - sigdrm.org
Download
Report
Transcript 信息安全新技术 - sigdrm.org
可信计算综述
一、可信计算
可信是指“一个实体在实现给定
目标时其行为总是如同预期一样
的结果”。强调行为的结果可预
测和可控制。
可信计算指一个可信的组件,操作
或过程的行为在任意操作条件下是
可预测的,并能很好地抵抗不良代
码和一定的物理干扰造成的破坏。
可信计算是安全的基础,从可信根
出发,解决PC机结构所引起的安全
问题。
可信计算终端基于可信赖平台模块
(TPM),以密码技术为支持、安全操作
系统为核心(如图所示)
安全应用组件
安全操作系统
安全操作系统内核
密码模块协议栈
主
板
可信赖BIOS
TPM(密码模块芯片)
图:可信赖计算平台
可信任链传递与可信任环境
具有以下功能:
确保用户唯一身份、权限、工作空间的
完整性/可用性
确保存储、处理、传输的机密性/完整性
确保硬件环境配置、操作系统内核、服
务及应用程序的完整性
确保密钥操作和存储的安全
确保系统具有免疫能力,从根本上阻止
病毒和黑客等软件的攻击
二、需求和目标
是国家安全的需要
存在的安全问题
– 我国关键信息产品大多是国外产品,信息产
品安全后门普遍存在
– 我国的IT基础产业薄弱制约了信息安全技术
的发展,信息安全尖端技术多掌握在外国公
司手中
• 操作系统
• BIOS
• 芯片
存在的安全问题
– TCG发展的TCP会成为未来信息战的工具
• TCG认为可信的CPU、BIOS、OS 对中国
来说不一定可信
• TCG的TCP让用户对自己的计算机失去了
控制权
对策
– 中国对信息安全产品和技术实行
专门管理,有相关职能部门归口
管理;
– 大力扶持信息安全技术的国产化
– 鼓励相关国家标准的制定
是经济发展需要
问题
中国用户使用国外软硬件产品会支付巨额版
权费
– 遏制了中国软硬件技术和产品的发展
– 中国软硬件产品开发商需要向TCG支付巨
额可信授权和评估费用
对策
– 发展中国自己的TCP
– 制定中国自己的TCP标准
– 制定中国自己的可信授权、评估体系
中国TCP的目标
遵循TCG的TCP技术路线
中国TCP的开放模式,在政府领导下TCP
用户自行管理
– TCP度量平台的可信性,但配置和决策
权由用户决定
发展终端TCP,占领网络可信计算的先机
– 信任链的延伸至网络应用,
– 扩展TPM中基于智能卡的认证技术
– 拓展TPM中对应用的安全运行和保护
的技术
中国TCP的目标
以我国自有知识产权的技术与产品构建中
国TCP的可信根和信任链
– TPM芯片技术
– 主板设计和制造技术
– 智能卡、生物识别技术
– BIOS增强技术
– 安全操作系统
– 密码技术:使用中国自己的密码算法和
标准
三、TCG的动态
2000年12月美国卡内基梅隆大学与美国国家
宇航总署(NASA)的艾姆斯(Ames)研究
中心牵头,联合大公司成立TCPA。
2003年3月改组为TCG(Trusted Computing
Group)
2003年10月发布了TPM主规范(v1.2)
具有TPM功能的PC机已经上市(IBM、HP
等)
应用
程序
本地应用
远程应用
服务提供者(TSP)
服务提供者(TSP)
用户进
程模式
RPC客户
RPC服务
系统进
程模式
TSS 核心服务层 (TCS)
设备驱动库(TDDL)
核心模式
TPM设备驱动
可信平台模块(TPM)
可信平台体系结构
TCG 规范族
TCG主规范系列:
– 包括主规范、TPM规范。
平台设计规范系列:
– 个人电脑( PC Platform )、
– 个人数字助理( PDA Platform )、
– 无线移动通讯设备(cellular Platform )等
– 作为可信计算平台的设计规范。
TCG软件栈规范系列:
– 主要规定了可信计算平台从固件到应用程
序的完整的软件栈.
TCG 规范族
TCG主规范 :TCG main Spec v1.1
– 可信计算平台的普适性规范,支持多平台:
PC / PDA
TCG PC规范:TCG PC Spec v1.1
– 可信计算平台的 PC规范
TPM Main Spec v1.2系列
– 可信计算平台的信任根可信计算模块规范
TSS (TCG Software Stack)v1.1
– 操作系统上的可信软件接口规范,
英特尔公司的LT计划:
LT技术是英特尔公司提出的新一代PC平台的安全解决
方案。它和TCG推出的PC实施规范有所区别,它用到
了TCG定义的TPM,基于此来构建自己的安全架构。
区别在于LT技术扩展了TCG所定义的可信计算的功能
和范围。
LT是多种硬件技术的结合,可以说:LT = CPU +
TPM + Chipset + Protected I/O。英特尔认为当前个人
计算机上主要存在的软件攻击隐患有:用户输入输出
的脆弱性,很容易在I/O通路上对数据进行伪造或篡改,
尤其是显示设备的缓存直接是可存取的,如果不控制,
所见到的输出将不能确保是真实可信的;内存访问的
脆弱性,获得特权级的恶意代码可以对内存的任意位
置进行访问,而DMA控制器也可以不经过CPU直接对
内存进行访问,如果仅从软件来控制,是远远不够的。
针对上述问题,英特尔提出基于硬件的安全解决方案,
包括以下几个主要部分:
CPU:支持进程间隔离,对执行进行保护,包括扩充安
全指令集,以及寻址结构;
TPM:支持密封存储,提供用于用户认证和平台验证的
各种密码支持
Chipset:支持内存隔离,域管理,解决DMA通道对内
存访问的问题,也为建立有保护的输入输出环境提供
硬件支持
Protect I/O:涉及到各种外部设备及接口,建立有保
护的输入输出还需要对外部设备及接口进行改造
LT技术的安全特性总结为以下四点:
执行保护:从硬件上支持应用间的隔离,称为
“域隔离”;
可验证性:能够向本地和远程实体提供平台身
份或配置环境是否可信的验证;
安全存储:通过TPM进行重要信息的密封存储,
其本身的硬件特性就保证比存放在其他设备上
要安全得多,同时TPM又具有证实的能力,通
过对存放的密封数据的检验和鉴别,更好地保
护数据的完整性和秘密性;
输入输出的保护:芯片组和外部接口经过安全
设计,可以建立基于硬件保护的可信通道。
在应用模式上,考虑到兼容性,LT技术
引入了标准环境和保护环境,并且两种
环境是并存的,如果一旦安全应用需要
运行,系统将通过一系列步骤在标准环
境下建立一个平行的保护环境,应用一
旦处于保护环境下,将能够使用LT提供
的各种安全功能,同时,该环境本身也
是可信的,不会被不可信的应用破坏,
因为保护环境和标准环境是互相隔离的。
标准环境则仍然运行着现有的普通应用。
微软下一代安全计算基(NGSCB)计划:
微软在2002年提出了“palladium”计划,随后
改为NGSCB(下一代安全计算基础,Next
Generation Secure Computing Base)。目的是
为构建下一代安全计算平台环境提供基于硬软
件的整套方案。微软计划在下一代代号为
“longhorn”的操作系统中采用该技术。
NGSCB技术框架的基本结构可以划分为三层:
最底层为硬件支持层称为SSC(Secure
Support Component);运行在其上的是与操
作系统内核在同一个环上的核心模块,通过该
模块来提供对SSC的访问,同时提供各种安全
功能支持,称为Nexus;上面是应用层,由称
为NCA(Nexus Computing Agent)的代理来
执行。
NGSCB技术也提供四个新的安全特性,同LT技术非常类
似:
进程隔离:确保应用之间不能访问对方空间,甚至连操
作系统本身也无法做到,它是由nexus建立并维护的,
由硬件提供支持;
密封存储:包含认证机制的加密保护,即只有可信的应
用,或由可信应用委任的其他实体才可以访问该信息;
安全通路:在输入输出和nexus之间建立基于硬件的安全
通道,恶意代码无法对输入输出数据进行刺探,或进行
模拟及篡改;
可验证性:平台的相互认证机制,同时也可以鉴别远程
或本地平台软硬件配置及应用的可信。
即将发布的Windows Vista版本全面实现
可信计算功能,运用TPM和USBKEY实
现密码存储保密、身份认证和完整性验
证。
实现了版本不能被篡改、防病毒和黑客
攻击等功能。
四、国内的进展
我国在可信计算技术研究方面起步较早,
技术水平不低。在安全芯片、可信安全主
机、安全操作系统、可信计算平台应用等
方面都先后开展了大量的研究工作,并取
得了可喜的成果
早在九十年代,因军队的特珠要求,我
军开发了PC机安全防护系统,实现了可
信防护,其结构、功能与TCP类同。
2000年,瑞达公司开始可信安全计算机的研
发工作,2004年,武汉瑞达信息安全产业股
份有限公司推出自主知识产权的可信计算机
产品,并通过国密局主持的鉴定,鉴定意见
明确为“国内第一款可信安全计算平台”。
从2004年开始,瑞达公司可信计算产品结合
国家涉密部门、省级党政机关、国家安全部
门、公安部门、电子政务系统和电信、电力、
金融等国家等领域的业务需求开展应用研究,
目前已展开了省级党政机要系统的应用试点
工作。
联想公司和中科院计算所也较早的开展了安
全芯片和安全计算机的研究工作。联想公司
安全芯片的研发工作2003年在国密办立项,
2005年4月完成了安全芯片的研制工作,其安
全主机产品计划在2005年内推出。其安全芯
片和可信PC平台已通过国密局主持的鉴定。
兆日公司是我国较早开展TPM芯片研究工作
的企业。2005年4月,兆日科技推出符合可信
计算联盟(TCG)技术标准的TPM安全芯片,
并已经开展了与长城、同方等多家主流品牌
电脑厂商的合作。其安全芯片已通过国密局
主持的鉴定。
应用集成的企事业单位纷纷提出可信应
用框架,如天融信公司的可信网络框架、
卫士通公司的终端可信控制系统、鼎普
公司的可信存储系统等。
2005年1月全国信息安全标准化技术委员
会在北京成立了WG1 TC260可信计算工
作小组。WG3也开展了可信计算密码标
准的研究工作。
国家“十一·五”规划和“863计划”
中,将把“可信安全计算平台研究”列
入重点支持方向,并有较大规模的投入
与扶植。
国家发改委、信息产业部在“十一·五”
发展规划中也作为发展重点
面临国际上强大的竞争压力,
必须加强联盟、做大做强
五、发展重点
1、基于可信计算技术的可信终端是发展产
业的基础
可信终端(包括PC、网络处理节点、
手机以及其它移动智能终端等)是以可
信平台模块(TPM)为核心,它并不仅仅
是一块芯片和一台机器,而是把CPU、
操作系统、应用可信软件以及网络设备
融为一体的基础设备,是构成可信体系
的装备平台,应抓大力度研制开发。
2、高性能可信计算芯片是提高竞争能力的
核心
可信计算核心是TPM芯片,TPM的性能
决定了可信平台的性能。不仅要设计特
殊的CPU和安全保护电路,而且还要内
嵌高性能的加密算法、数字签名,散列
函数、随机发生器等,是体现国家主权
与控制的聚焦点,是竞争能力的源动力。
3、可信计算理论和体系结构是持续发展的源泉。
可信计算概念来自于工程技术发展,到目前
为止还未有一个统一的科学严谨的定义,基
础理论模型还未建立。因此现有的体系结构
还是从工程实施上来构建,缺乏科学严密性。
必须加强可信计算理论和体系结构研究,对
安全协议的形式化描述和证明,逐步建立可
信计算学科体系。
4、可信计算应用关键技术是产业化的突破口
可信计算平台最终目的是保护应用资产的安
全,其主要技术手段是使用密码技术进行身
份认证,实施保密存储和完整性度量,因此
在TPM的基础上,如何开发可信软件栈
(TSS)是提高应用安全保障的关键。可信
计算平台广泛应用,产业化规模也就大了。
5、可信计算相关标准规范是自主创新的保护神
我国可信计算平台研究起步不晚,技术上也
有一定优势,但至今还没有相应的标准规范,
处于盲目的跟踪和效仿TCG的建议。这样很
可能丧失已经取得的自主知识产权的创新。
可信计算是以密码技术为基础,每个国家都
有相关的密码政策和法律,即使采用美国的
密码算法的中国可信计算产品也不可能推销
到美国。我国应加大力度制定相关标准规范,
强制执行,严格测评认证,保障我国在可信
计算领域自主创新。
六、自主创新,抓紧标准制定
国际大公司发展TCP的目的是要保持自己的垄
断,控制别国的计算机产业。
涉及国家安全与重要产业必须有国家强制性标
准。
可信计算标准我国有充实的技术与应用的基础,
TCG还未形成ISO的标准是先机,可信计算重
点是自我防护,与其他互通性要求不高,核心
技术是密码综合使用,必须符合国家密码管理
条例。
国家标准关系到国家信息安全和经济利
益。目前,我国信息产业核心技术主要
依赖于国外,专利和技术标准缺乏影响
着国家经济利益和竞争能力。
专利保护涉及企业竞争地位和经济利益,
而标准更标志着产业、行业乃至国家自
主创新能力。
谁掌握了标准的制定权,谁的技术就可
能成为标准,谁就将拥有市场和产业的
主动权和控制权。
与国外接轨更重要是把我国的标准归
入国际标准的组成部分,而不是照抄
国外标准。
吸收TD-WCDMA成为3G国际标准的
经验,以及WAPI的经验和教训。
可信计算标准要先立足国内,再争取成
为国际标准,占世界一席之地。
抓紧以密码技术为基础的可信计算有关
的技术标准制定,覆盖TCG规范,成为
国家强制性的标准。
打基础:密码平台规范
构平台:可信节点平台(PC、PDA、
移动终端)
建主体:TPM、TSS、TNC
成体系:各层次的配套标准规范
目前我国信息安全建设正处在一个关键
时期,发展可信计算是具有战略意义的
事情,我们必须走符合我国国情的发展
道路,加强联合、自主创新。从而满足
我国信息化建设的迫切需要,促进我国
信息安全事业的发展。
谢
谢!