第十一章信息安全.ppt

第十一章可信计算（TrustedComputing）,可信计算概述,互联网的虚拟在给人以巨大包容和开放性的同时，还带来很多欺诈和犯罪行为，再加上系统客观存在的各种各样的漏洞，就产生了一系列信息安全问题。而随着互联网日益深入到社会的政治、军事、经济、文化、生活等方方面面，信息社会必须建立信任保障体系，建立体系化的安全机制。信息安全就是要在开放包容与安全可控、匿名隐私与实名确认之间找到一个平衡点。,传统的信息安全系统（被动防御）：主要是由防火墙、入侵检测和病毒防范等组成。“堵漏洞、作高墙、防外攻”，但安全问题防不胜防，措手不及。而现在，信息安全的防护正在由边界防控向源头与信任键的防控转移，这正是可信计算出台的背景。而“可信计算”的主要目的正是是要建立起主动防御的信息安全保障体系。,可信的定义,TCG对“可信”的定义是：“一个实体在实现给定目标时，若其行为总是如同预期，则该实体是可信的”(Anentitycanbetrustedifitalwaysbehavesintheexpectedmannerfortheintendedpurpose)。这个定义将可信计算和当前的安全技术分开：可信强调行为结果可预期，但并不等于确认行为是安全的，这是两个不同的概念。从TCG的定义来看，可信实际上还包含了容错计算里可靠性的概念。可靠性保证硬件或者软件系统性能可预测。,这说明，可信计算绝对安全。“没有绝对的安全”这一定律并不会因为可信计算平台的普及而失效，可信计算并不能解决所有的安全问题，可信计算平台只是提供了一个支点。,可信计算的思想,可信计算的主要思想是在硬件平台上引入安全芯片(称作可信平台模块(TPM)架构，来提高终端系统的安全性，从而将部分或整个计算平台变为“可信”的计算平台。可信计算平台的安全性根植于具有一定安全防护能力的安全硬件，它基于安全硬件实现隔离计算、计算环境完整性保证和远程安全性质证明等服务，以保证平台上计算实体行为的可信性，从而解决远程信任问题。,其主要目的是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全，意义就是在计算机网络中搭建一个诚信体系，每个终端都具有合法的网络身份，并能够被认可，而且终端具有对恶意代码(病毒、木马等)的免疫能力。在这样的可信计算环境中，任何终端出现问题，都能保证合理取证，方便监控和管理。增加可信密码模块的可信计算机可以实现：抵御病毒攻击，识别假冒平台，盗取密钥不可行，受保护数据拷不走等功能。,总的来说，可信计算可以从以下几个方面来理解：用户的身份认证：对使用者的信任平台软硬件配置的正确性：体现使用者对平台运行环境的信任应用程序的完整性和合法性：体现了应用程序运行的可信平台之间的可验证性：指网络环境下平台之间的相互信任,相关组织,1999年，微软、英特尔、IBM、惠普等国际大厂商发起成立了可信计算联盟(TCPA)，并提出可信计算的概念。2003年，这个组织改名为可信计算集团(TCG)。TCG致力于联合成员企业共同制定一个可信计算的开放标准，为基于不同标准的供应商的产品提供互用性和兼容性。到2004年8月，TCG组织已经拥有78个成员，遍布全球各大洲。,可信计算的结构,可信终端,当前，可信终端是“可信计算”中最引人关注的热点之一。国内外产业界包括TCG、Microsoft、IBM、Intel、武汉瑞达、联想等，对可信终端的推动不遗余力。尽管各厂商对“可信计算”的理解不尽相同，但主要思路是在PC机硬件平台上引入安全芯片架构，通过安全芯片提供的安全特性来提高终端系统的安全性，其结构如图2所示。,终端可信应用,终端可信应用是指建立在可信终端上的应用，包括应用可信机制、可信应用和操作系统的交互。,可信网络连接,可信网络连接是指网络连接可信，包括可信传输和可信接入。,可信网络服务器,可信网络服务器是指网络中提供服务的服务器是可信的，与可信终端相对应。由于服务器与客户端的地位和作用不同，可信网络服务器应该具有更丰富的内涵。,可信交易,交易是指基于网络的分布式应用；可信交易则是指基于网络的分布式应用是可信的，可信交易的目标是为交易过程提供主体可信性(SubjectTrust)、客体可信性(ObjectTrust)、内容可信性(ContentsTrust)和行为可信性(BehaviorTrust)的证明，在网络体系和可信计算体系中的抽象层次是最高的。,可信评测方法和管理方法,可信评测方法是对可信计算的评估方法，包括可信等级、评估策略等；可信管理方法是指对所有计算机网络应用体系中各个方面的可信技术和产品进行统一的管理和协调，进而从整体上提高整个计算机网络的可信等级的能力。,五个核心技术,可信计算包括5个核心技术概念，在一个完全可信的系统中它们都是必须的。,1.认证密钥2.安全输入输出3.内存屏蔽/受保护执行4.封装存储5.远程证明,认证密钥,可信计算的技术基础是公开密钥技术，公钥体制中密钥管理体系的安全性直接关系到整个可信计算平台的安全程度。其中EK、SRK、AIK等三类密钥管理是重点。,背书密钥EK(EndorementKey）存储密钥SK(StorageKeys)证言身份密钥AIK(AttestationIdentityKey),安全输入输出,安全I/O指的是计算机用户与他们认为与之进行交互的软件间的受保护的路径。在当前的计算机系统中，恶意软件有很多途径截取用户与软件进程间传送的数据，如键盘监听者和屏幕截取者。安全I/O表现为受硬件和软件保护和验证的信道，采用校验值来验证进行输入输出的软件没有受到篡改，将自身注入到信道间的恶意软件会被识别出来。尽管安全（I/O）提供针对软件攻击的防护，但它未必提供对基于硬件的攻击的防护，例如物理插入用户键盘和计算机间的设备。,内存屏蔽/受保护执行,内存屏蔽扩展了当前的内存保护技术，提供了对内存敏感区域（如放置密钥的区域）的全面隔离。甚至操作系统也无法访问屏蔽的内存，所以其中的信息在侵入者获取了OS的控制权的情况下仍然是安全的。,封装存储,封装存储从当前使用的软件和硬件配置衍生出的密钥，并用这个密钥加密私有数据，从而实现对它的保护。这意味着该数据仅在系统拥有同样的软硬件组合的时候才能读取。,远程证明,远程证明使得用户或其他人可以检测到该用户的计算机的变化。这样可以避免向不安全或安全受损的计算机发送私有信息或重要的命令。远程证明机制通过硬件生成一个证书，声明哪些软件正在运行。用户可以将这个证书发给远程的一方以表明他的计算机没有受到篡改。远程证明通常与公钥加密结合来保证发出的信息只能被发出证明要求的程序读取，而非其它窃听者。,可信计算平台,可信计算平台是能够提供可信计算服务的计算机软硬件实体，它能够提供可信系统的可靠性、可用性和行为的安全性。它的基本目标就是建立一个网络中的可信域，并基于该信任域的管理系统将单个的可信计算平台扩张到网络中，形成网络的可信任域。可信计算平台的基本思想是：首先构建一个信任根，再建立一条信任链，从信任根开始到硬件平台，到操作系统，再到应用，一级认证一级，一级信任一级，从而把这种信任扩展到整个计算机系统。,TCG定义了具有安全存储和加密功能的TPM（可信平台模块），TCG已经发布了基于硬件系统平台的可信计算平台标准。该标准通过在计算机系统中嵌入一个可抵制篡改的独立计算引擎，使非法用户无法对内部数据进行修改，从而确保身份认证和数据加密的安全性。图1是PC平台上嵌有TCG的可信平台模块（TPM）。,可信平台模块（TPM）,可信平台模块（TPM）是一个可信硬件芯片，它由CPU、存储器、I/O、密码运算处理器、嵌入式操作系统等部件组成，完成可信度量的存储、密钥产生、加密签名、数据安全存储等功能。TPM是个具有计算及存储功能的芯片.输入/输出控制器(I/OController)是连接外部设备与内存的总线.将TPM安装在I/OController中的目的是为了让TPM截获每一个从外存装载入内存的软件.所谓截获,您尽管可以把它读作偷听(或叫垂帘听政也行).由于是硬件连接,只要用户选择了打开TCG功能,TPM的偷听行为就不可避免.当然囿于TPM的内存量,TPM仅存储被它偷听到的软件的一个哈希值.TPM内部配备有哈希函数.,按照TCG的设计理念,TPM会按照整个系统及应用软件栈的装载顺序来偷听装载到计算平台上的所有软件.由于采用了一个很聪明的哈希扩展算法,TPM能够存储所有能够被平台所装载的全部软件.,如此顺序装载的程序叫做一个链(Chain).图中度量一个软件就是对该软件哈希.TPM之所以要把跑在计算平台上的整个软件链的哈希值记录下来是为了能够把该平台上的软件加载状况向一个关心这一状况的人报告.,除了对TPM给出设计说明,TCG还给出了TPM设备驱动软件的设计说明.TCG当然无法控制任何这些软件的可信性!实际上通过TCG技术,一个平台软件状况的询问者仅仅是得到了平台软件状况而已,判断这些软件的正确与否还是询问者自己的任务.TCG技术只是对询问者作出了真实的报告.,可信计算有多可信？,可信计算（trustedcomputing），“被信任的计算”，不管我们将其的种种优点如何进行列数，它在理论和实际当中的一些缺陷也难逃诸多学者的诟病。,反对者认为可信计算背后的那些公司并不那么值得信任，这项技术给系统和软件设计者过多的权利和控制。他们还认为可信计算会潜在地迫使用户的在线交互过程失去匿名性，并强制推行一些不必要的技术。最后，它还被看作版权和版权保护的未来版本，这对于公司和其他市场的用户非常重要，同时这也引发了批评，引发了对不当审查的关注。,很多著名的安全专家已经表明了对可信计算技术的反对，因为他们相信它将给计算机制造商和软件作者更多限制用户使用自己的计算机的能力。有一些人关注的则是可信计算可能（或者本身就是要）起到限制自由软件市场、私有软件开发和更一般化的整个IT市场竞争的作用。有些人，如RichardStallman，因此给它起了一个恶名背叛的计算（Treacherouscomputing）。,丧失互联网上的匿名性,由于装有可信计算设备的计算机可以唯一证明自己的身份，厂商或其他可以使用证明功能的人就能够以非常高的可能性确定用户的身份。可信计算的赞成者指出，它可以使在线购物和信用卡交易更安全，但这可能导致计算机用户失去访问互联网时希望拥有的匿名性。批评者指出这可能导致对政治言论自由，新闻记者使用匿名信息源，揭发，政治博客，以及其他公众需要通过匿名性来防止报复的领域，产生抑制作用。,不管这场争论以及可信计算最终产品的形式怎样，在计算机领域拥有重大影响的公司，如芯片制造商Intel和AMD和Microsoft系统软件开发商和GNU，都计划在下一代的产品中引入可信计算技术，如：WindowsVista、GNUGPLv3。,可信计算在中国,据中国可信计算工作组相关负责人介绍：“随着我国经济的迅速发展，全世界都把目光投向了中国，但是与此同时，商业间谍以及外国情报机关也对我们虎视已久。其中，在近期发生的力拓案不就是一个很明显的例子吗？！而且特别是，我们现在无论硬件芯片还是软件系统用的全部都是国外的产品，这实际上就造成了我们国家自己的经济安全隐患。中国需要有自己的信息安全技术，而密码又在这方面起着核心保障的作用，所以我们要花大量的时间和精力去研究可信计算技术、推广可信计算产品，而且我们志在必得。”,清华同方所展出了TST2.0安全技术平台、智能移动存储设备、多域安全系统、可信网络支付系统、可信网络接入、国产EFI六大拳头产品，这六款产品都是基于国家商用密码算法和可信密码模组构建，多维度对信息数据进行保护。,“可信网络支付系统”由理财电脑、商户系统、CA认证中心、银联支付接入前置服务器等几部分构成，并具有完全的自主知识产权。拥有清华同方理财电脑的用户，只需登陆银联网站激活并绑定银联卡，即可在在线购物时选择直接刷卡支付，十分方便。换句话说，只要你拥有一张银联卡、一台理财电脑，无需柜台签约开通网上银行，无需购买U-KEY设备，不限制发卡银行，也不用管它是不是信用卡，都可以像在商场刷卡购物一样在网上狂买东西。,可信支付系统基