Transcript 第一章PPTX
可信计算 周福才 教授/博士生导师 [email protected] 课程简介 近几年来,随着病毒、木马以及间谍软件数量的快 速增长,安全问题呈现出愈演愈烈的状态,用户急 需一种新的方法为他们提供更为安全的保障。可信 计算为克服上述安全问题提供了一条新思路,为平 台提供安全增强的硬件基础,并在这样平台上通过 软硬件结合的方式构建可信计算环境。可信计算环 境确保其上所进行的计算具有真实性、机密性和完 整性等。 课程简介 本课计划学时数24,本课程面向信息安全专业大 三、四本科生,本课程将以专题的形式介绍计算 机安全及可信计算领域的若干基本问题。计划分 6个专题介绍,本课程的目标是通过学习和参与, 对计算机网络与信息安全、可信计算有一个基本 的了解,并为在相关重要研究领域从事研究起引 导作用。 课程内容 概 述 可信计算基础—密码学技术 可信计算基础—PKI技术 可信计算概述 TPM核心功能 TCG软件栈(TSS)及实例 课程安排 总学时:24学时(讲课22/习题(考试)2) 周学时:4 学时 (4-9周) 最后1周 复习/考试 考试方式:笔试 成绩:考试+作业+考勤 资源:http://faculty.neu.edu.cn/fczhou/kx http://faculty.neu.edu.cn/fczhou/kx 课程目标 了解网络信息安全的主要问题、分类 学习解决信息安全、可信计算问题的理论、技术、 方案 使用、构建和部署可信安全产品和系统 引导网络安全、可信计算方面的开发和研究兴趣 参考书目 邹德清、羌卫中、金海编著, 《可信计算技 术原理与应用》, 科技出版社,2011年。 《可信计算》:(美)查利纳,赵波等译。 机械工业出版社,2009年 M. Bishop: Computer Security-Art and Science, 清华大学出版社,2005 (中译本由 电子工业出版社出版) 第一章 概 述 1.1 概述 1.2 信息安全的威胁 1.3 信息安全与可信计算 1.4 课程资料 第一章 概 述 1.1 概述 1.2 安全威胁 1.3 信息安全与可信计算 1.4 课程资料 信息安全重要性 信息——成为社会发展的重要战略资源。 信息技术——改变着人们的生活和工作方式。 信息产业——成为新的经济增长点。 社会的信息化已成为当今世界发展的潮流。 信息获取、处理和安全保障能力成为综合国 力的重要组成部分。 信息安全事关国家安全,事关社会稳定。 我国信息安全专业现状 80多所学校建立信息安全专业 本科毕业生2万多人 信息安全人才学历教育,已形成完成体系 (本科、硕士、博士) 学科门类:工学(08) (0809) 计算机类 信息安全(080904K) 信息安全学科的内涵 信息安全学科内涵:信息安全学科是研究 信息获取、信息存储、信息传输和信息处 理中信息安全保障问题的一门新兴的学科。 信息安全学科是综合计算机、电子、通信、 数学、物理、生物、管理、法律、教育等 学科而成的交叉学科。 信息安全学科的研究内容 密码学:密码编码学和密码分析学组成。 对称密码、公钥密码、Hash函数、密 码协议、新型密码技术(生物密码、量 子密码)、密码应用。 网络安全:在网络各个层次和范围内采 取保护措施。通信安全、协议安全、网 络防护、入侵检测、入侵响应、可信网 络等 信息安全学科的研究内容 信息系统安全:从系统整体上研究信息 系统安全与威胁。设备安全、硬件系统 安全、软件系统安全、访问控制、信息 安全等级保护、可信计算、应用信息系 统安全。 信息内容安全:信息内容是信息在政治、 法律、道德层次上的要求。信息内容获 取、信息内容的分析与识别、信息内容 管控、信息内容安全的法律保障。 信息安全知识体系组成 专业知识体系 信息 科学 基础 知识 领域 信息 安全 基础 知识 领域 密码 学 知识 领域 网络 安全 知识 领域 信息 系统 安全 知识 领域 信息 内容 安全 知识 领域 NICE战略计划 美国于2010年4月启动了“网络空间安全教育国家 计划”(NICE,National Initiative for Cybersecurity Education) 愿景:通过创新网络空间教育、培训和常识普及的规范 体系,全面满足网络空间安全需求,构建一个安全的数 字国家,促进和保障美国的经济繁荣和国家安全。 使命:增强美国整体的网络空间安全。 2011年8月发布NICE战略草案在网上公开征集意见, 2012年9月发布了修改草案。 NICE战略计划 NICE的三大目标和任务(Goals) —目标1:提高全民网络空间安全的风险意识。 —目标2:扩充网络空间安全队伍的后备人才。 — 目标3:培养一支具有全球竞争力网络空间安 全队伍 新的IT时代 Process-Centric era Information-Centric era • Business process automation • Real-time, pattern-based action • Bottom-line improvement • Top-line revenue growth • Long business cycle • Reactive for shorter product cycles • Terabytes of largely structured data • Zettabytes of largely unstructured data BigData Analytics Mobile Cloud Social Computing Security 本课程的定位 现有课程解决什么问题? 密码学、访问控制、病毒、网络安全、漏洞挖 掘…… 体现在软件层面 可信计算解决什么问题? 结合硬件 通过软硬结合的方式构建可信计算环境 第一章 概 述 1.1 概述 1.2 安全威胁 1.3 信息安全与可信计算 1.4 课程资料 1.2 安全威胁 计算机安全问题 主要针对系统中软件的攻击 软件安全漏洞产生的根源在于现代软件系统惊 人的复杂性(Linux 1000万行,windows 5000万行) 软件安全漏洞与软件规模成正比的关系 典型的产品级软件每千行代码就会有一个与安全 相关的漏洞 一个主流应用系统有可能隐藏了10万个以上的 安全漏洞 1.2 安全威胁 软件漏洞引起的攻击 跨站脚本攻击(XSS) SQL注入 缓冲区溢出 恶意文件执行 不安全的对象引用 不安全的身份鉴别和加密存储 …… 1.2 安全威胁 软件漏洞状况 呈现了两年翻一番的 发展趋势 需要做频繁的补丁更 新 客户端系统更易受到 攻击 当今世界平均每20s 就有一起黑客事件发 生 仅在美国每年造成的 经济损失就超过100 亿美元 42126 30780 16726 9162 2002 2004 2006 2008 CERT软件漏洞 统计 1.2 安全威胁 数据泄漏 软件攻击 身份和鉴别信 息的电子盗窃 移动电子设备 或其它数据存 储媒介失窃 美国数据泄露案件统计 1.2 安全威胁 计算机安全威胁日益增多 安全防护方式的被动性 防火墙、入侵监测和病毒防范是构成传统信息 安全系统的主要技术手段 现有平台架构的开放性 导致恶意程序很容易植入软件系统中 软件的固有缺陷不足 仅依靠软件本身无法完全检测出恶意代码 检测软件自身的安全性无法证明 1.2 安全威胁 基于硬件的嵌入式安全解决手段 为计算平台增加具有安全保护功能的硬件 通过软硬件结合的方式构建可信计算环境 使用可信计算环境保证其中运行程序和数据的真 实性、机密性、可控性等 结合硬件弥补软件安全防护方式带来的不足 USB Key(加密锁、U盾、友key) 可信计算芯片 第一章 概 述 1.1 概述 1.2 安全威胁 1.3 信息安全与可信计算 1.4 课程资料 信息安全主要包括设备安全、数据安 全、内容安全和行为安全。 信息系统硬件结构安全和操作系统安 全是信息系统安全的基础。 密码和网络安全等是信息系统安全的 关键技术。 只有从硬件和软件底层做起,从整体 上采取措施,才能有效地确保信息系 统的安全。 堵漏洞 传统的信息安全措施 —漏洞无处不在,不论在硬件、BIOS、操作系统、 应用系统都有漏洞。还有蠕虫、间谍软件、僵尸网络 无处不在。病毒不仅针对PC机、手机、照相机,都 会有病毒出现。(到了2010年我们每5分钟就能发现 一个新的漏洞) 防外攻 —今天的环境下网络无处不在。网络无处不在的结 论就是说攻击无处不在,有了网络就有了攻击。 做高墙 —采用防火墙等技术手段 防不胜防 信息系统安全的基本观点: 在各种信息安全技术措施中,硬件结 构的安全和操作系统的安全是基础,密 码等其它安全技术是关键技术。 只有从整体上采取措施,特别是从底 层采取措施,才能比较有效的解决信息 安全问题。 在可信计算体系中,密码技术是最重 要的核心技术。具体的方案是以密码算 法为突破口, 可信计算 解决人与程序之间、人与机器之间的信息安 全传递。因此,“可信计算”成为信息安全发 展的必由之路 有别于传统的信息安全技术,可信计算的目 标希望杜绝的是不可信代码的存在,包括有漏 洞的,或者是恶意的。 对于微机,只有从芯片、主板、B IOS (Basic Input Output System,基本输入输出系 统)和操作系统做起,采取综合措施,才能提 高微机的安全性。正是这一思想推动了可信计 算的产生和发展。 • 美国国防部国家计算机安全中心于上个世 纪80年代中期提出“可信计算机安全评价 标准”(TCSEC) – 第一次提出可信计算机和可信计算基 TCB (Trusted Computing Base) 的概念 – 针对网络、系统和数据库的三个解释性文件 (1987年) • 可信网络解释TNI (Trusted Network Interpretation) • 计算机安全系统解释 (Computer Security Subsystem Interpretation) • 可信数据库解释TDI (Trusted Database Interpretation) • 1993年1月,美国公布了融合欧洲ITSEC 的可信计算机安全评价准则之联邦准则 • 安全启动的体系结构(1997年, AEGIS项目) – 提出信任传递概念 • 计算机从启动的过程开始,由前一个程序度 量后一个程序的完整性,只有在完整性通过 验证后,才把控制权交给后一个程序,如此 反复直到操作系统的启动 • LaGrande硬件技术NGSCB (next generation secure computing base)VISTA支持可信计算机制 TCG • 1999年10月由HP、IBM、Intel和 Microsoft等公司牵头组织 TCPA( Trusted Computing Platform Alliance),发展成员约200家,遍布全 球各大洲主力厂商 • TCPA专注于从计算平台体系结构上增 强其安全性,2001年1月发布了TPM主 规范(v1.1) • 2003年3月改组为TCG (Trusted Computing Group),发展成员约100 家 • 2003年10月发布了TPM主规范(v1.2) TCG的理念 可信计算定义:如果一个实体的行为总是以预期的 方式达到预期的目标,那么它是可信的。可见,可 信计算组织对可信的定义强调了行为的预期性。 首先建立一个信任根。信任根的可信性由技 术安全和管理安全确保。 再建立一条信任链。从信任根开始到硬件 平台、到操作系统、再到应用,一级认证一 级,一级信任一级。从而把这种信任扩展到 整个计算机系统。 TCG理念的特点 • 从硬件到软件;从应用系统到基础软件; 从PC到服务器;从移动设备到网络;从存 储到外设。无所不包 • 从进入可信计算环境开始,直到退出,提 供一个完整的解决方案 • 以标准的形式,提供一个可伸缩的、模 块化的体系架构 可信计算在中国 紧跟美国的步伐 上世纪九十年代——PC机安全防护系统 2004 年具有自主知识产权的可信计算机产品面世 2005年联想“恒智”芯片和北京兆日公司TPM芯片 2002年中国信息产业商会信息安全产业分会提出了可信网 络世界体系结构框架(Trusted Cyber Architecture Framework,TCAF ) 2005年1月,成立国家安全标准委员会WG1可信计算工 作小组专门规划可信计算相关标准 2006年颁布了《可信计算平台密码技术方案》和《可 信计算密码支撑平台功能与接口规范》 2007年,由沈昌祥院士主导并确定研制 “可信计算平台 密码规范”、“可信计算基础支撑软件”、“可信平台主机 规范”、“可信网络连接规范”等草案 可信计算在中国 可信计算密码模块TCM 采用国产密码算法 国内可信计算机均只支持TCM 2008年4月底,中国可信计算联盟 (CTCU )在国家信息中心成立 参与单位包含计算机厂商、信息安全厂商和一些 应用厂商,以及国家的科研院所 北京工业大学、瑞达信息安全产业股份有限公司 、国家信息中心信息安全研究与服务中心等 可信 [RoSiBuCa98, Luhm1979, Cole1990, RoSiBuCa98] 在不同的领域,复杂的概念在进行讨论,如社会科学、哲学、心理学、 计算机科学等 可信实体的真实性、完整性、可信赖等 交际中的可信——相信某事物的安全是因为其名声、社团、推荐信等 含义(下述定义) [BILBNC2005] 安全:在保护目标的过程中,系统或部件不会失败 可信:系统或部件的失败不会破坏安全策略 值得信赖:系统或部件的行为度量遵从一定的功能性 • 可信计算组织TCG – 如果一个实体的行为是以预期的方式,符合预期的目标, 则该实体是可信的 • ISO/IEC 15408标准 – 参与计算的组件、操作或过程在任意的条件下是可预测 的,并能够抵御病毒和物理干扰 • 沈昌祥院士可信定义 – 可信要做到一个实体在实现给定目标时其行为总是如同 预期一样的结果,强调行为结果的可预测和可控制 • 其他解释 – 可信是指计算机系统所提供的服务可以被证明是可信赖 的 – 如果一个系统按照预期的设计和政策运行,这个系统是 可信的 – 当第二个实体符合第一个实体的期望行为时,第一个实 体可假设第二个实体是可信的 – 可信≈安全+可靠,可信计算系统是能够提供系统的可 靠性、可用性、信息和行为安全性的计算机系统 • 可信赖计算(Dependable Computiong) – 源于容错计算 – 针对元器件、系统和网络,对包括设计、制造、运行和维修 在内的全过程中出现的各种非恶意故障进行故障检测、故障 诊断、故障避免、故障容许,使系统达到高可靠与高可用 • 安全计算(Security Computing) – 针对系统和网络运行过程中的恶意攻击 • 信任计算(Trusted Computing) – 假定真实性可以用于度量并且不考虑度量中的损失,给出了 一个信任在实体间传递的方法——在计算机系统中首先建立 一个信任根,再建立一条信任链,一级度量认证一级,一级 信任一级,把信任关系扩大到整个计算机系统,从而确保计 算机系统的可信 • 广义上的可信计算应该包括可信赖计算、安全计算和信任计算, 而本文的可信计算侧重于TCG及沈昌祥院士给出的定义,即: Trusted Computing 可信计算的应用 可信计算平台将加密、解密、认证等基 本的安全功能交由硬件芯片来完成,并 确保芯片中的信息不能在外部通过软件 随意获取 应用领域:信息加密保护 应用领域:操作系统安全 应用领域:网络保护 应用领域:安全管理 可信计算的应用 应用领域:信息加密保护 IBM嵌入式安全子系统 内嵌在计算机中的安全芯片 不获得安全子系统口令的情况下是无法获取系统 中任何信息的 应用于登录密码、加密密钥和数字证书的保护 对文件系统(利用IBM的文件和文件夹加密功能 )和网络传输进行加密 安全芯片内部的信息存储和传送也经过了高强度 的加密,采用了特殊的芯片封装方法,使得安全 芯片的破解极其困难 专用的客户端安全软件 可信计算的应用 应用领域:操作系统安全 微软加密文件系统(EFS) Windows 2000及之后出现的Windows XP 等系统都支持该特性 微软操作系统Vista支持基于硬件的安全启动 硬件设备将对每个Windows系统开机时需要用 到的文件进行标记 一旦在开机的过程中检验出标记状态的不吻合将 很可能意味着系统受到了非授权的篡改或破坏 可信计算的应用 应用领域:网络保护 3Com公司的嵌入式防火墙(EFW)的网卡产品 向安装了该产品的计算机提供可定制的防火墙 保护 提供硬件VPN功能 支持基于TPM规范的认证,使得只有合法的网 卡才能用于访问企业网络 与软件防火墙相比 性能更好 可配置能力和可扩展能力相对差些 可信计算—现状与挑战 可信计算并不等同于绝对安全,不能解决 所有的安全问题 只是提供了一种加强系统安全的方式,能够结 合传统的安全技术来增强系统的安全性 无法解决软件漏洞问题 目前的可信计算通常需要与相应的软件结合起 来工作,不正确的软件使用或管理不善的密码 都可能为可信计算平台带来“短板” 可信计算—现状与挑战 当前可信计算存在的问题 理论研究相对滞后 存有一些尚待攻克的关键技术 无论是国外还是国内的可信计算机都没能 完全实现TCG的技术规范,如:动态可信 度量、存储、报告机制,安全I/O等 操作系统、网络、数据库和应用的可信机 制配套的缺乏也影响着可信计算的发展 没有关于可信操作系统、可信数据库、可 信应用软件的技术规范 只有硬件平台的可信,没有操作系统、网络、 数据库和应用的可信,整个系统还是不安全的 第一章 概 述 1.1 概述 1.2 安全威胁 1.3 信息安全与可信计算 1.4 课程资料 TCG http://www.trustedcomputing.org Computer Security Information http://www.alw.nih.gov/Security/ http://www.rsasecurity.com/ 安全性与隐私保护专页 http://www.microsoft.com/china/security/ 安全专区 http://www900.ibm.com/developerWorks/cn/cnpapers.nsf /security-papersbynewest?OpenView&Count=500 公安部计算机信息系统安全产品质量监督检验中心 http://www.mctc.gov.cn/ 国家计算机网络应急处理协调中心CNCERT, http://www.cert.org.cn/ 国家计算机病毒应急处理中心 http://www.antivirus-china.org.cn/ 国家计算机网络入侵防范中心 http://www.nipc.org.cn/ 信息安全国家重点实验室http://www.is.ac.cn/ 绿盟科技http://www.nsfocus.net/ 安全焦点http://www.xfocus.net/ 中国信息安全论坛http://www.chinafirst.org.cn 红客联盟 http://www.cnhonker.com/index.php NIST美国国家标准与技术研究所计算机安全 资源中心http://csrc.nist.gov/ (资料十分丰富) Common Criteria for IT Security Evaluation http://csrc.nist.gov/cc/index.html The National Information Assurance Partnership (NIAP) http://niap.nist.gov/index.html Rainbow Series Library http://www.radium.ncsc.mil/tpep/library/rainb ow/index.html SANS 计算机安全教育与信息安全培训 http://www.sans.org 国内/国际会议 中国密码学学术会议 中国信息和通信安全学术会议 美洲密码学学术会议(美密会) Crypto 欧洲密码学学术会议(欧密会 ) Eurocrypt 亚洲密码学学术会议(亚密会 ) Asiacrypt CSFW -- IEEE Computer Security Foundations Workshop USENIX Security Symposium SAFECOMP -- International Conference on Computer Safety, Reliability and Security Annual Information Assurance Workshop WETICE -- International Workshop on Enterprise Security ESORICS -- European Symposium on Research in Computer Security CCS -- ACM Conference on Computer and Communications Security http://www.ccf.org.cn http://www.cacrnet.org.cn/ http://www.gbms.net.cn/ 信息安全国家重点实验室 http://www.is.ac.cn/ Crypto Eurocrypt Asiacrypt Journal of Cryptology http://www.iacr.org IEEE Computer Society Technical Committee on Security and Privacy www.ieee-security.org IEEE Symposium on Security and Privacy, ACM Computer and Communications Security Conference (CCS),