（计算机应用技术专业论文）可信io资源访问控制策略研究与应用.pdf

硕上论文 可信i o 资源访问控制策略研究与戍用 摘要 随着计算机通信技术的发展和信息化的提高 人们越来越多地通过网络来进行交流 信息的安全问题也越来越受到人们的重视 但目前安全防范的重点大多集中在对网络本身 的防护 而忽略了i o 设备的安全 事实上大多数攻击事件都是由不安全的终端系统引发的 这使得本论文所关注的i o 终端安全问题至关重要 从终端出发 即可从不安全的源头进行 控制 解决绝大多数的攻击问题 在研究分析了可信计算的意义以及当前国内外对i o 资源安全访问控制的研究现状后 本文基于主辅核 双操作系统的安全平台 提出了一个可信的i o 资源访问控制架构 该架 构通过身份验证 访问控制等技术对用户操作i o 资源进行控制 基本思想是 对于通过系 统认证的用户 可以在系统赋予的权限下使用系统i o 资源 而非系统认证的用户或是越权 用户对i o 资源的操作将被系统阻止 本文以u 盘和网卡这两种最常用的i o 设备为例 设计并实现了上述的可信的i o 资源 访问控制系统 实现中包括基于一次口令的身份认证模块 基于r c 4 算法的数据加解密模 块以及基于角色的访问控制模块 经过实验证明 这些安全模块都能稳定地运行在嵌入式 安全平台板卡上 通过这些模块的相互组合能保证u 盘和网卡的可信访问 关键字 可信 身份认证 密钥保护 访问控制 专用通道 a b s t r a c t硕士论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rc o m m u n i c a t i o nt e c h n o l o g ya n di n f o r m a t i o nt e c h n o l o g y t oi m p r o v e m o r ea n dm o r ep e o p l ec o m m u n i c a t ew i t he a c ho t h e rt h r o u g ht h ei n t e m e t t h e r ei sa g r o w i n ge m p h a s i so ni n f o r m a t i o ns e c u r i t yi s s u e s b u ta tp r e s e n t t h ef o c u so fs e c u r i t yo nt h e n e t w o r ki sm o r ec o n c e n t r a t e di nt h e i ro w np r o t e c t i o n w h i l en e g l e c to fi od e v i c es a f e t y i nf a c t t h em a j o r i t yo fa t t a c k sa r ec a u s e db yt h ei n s e c u r et e r m i n a ls y s t e m t h u si ot e r m i n a ls e c u r i t y i s s u e si sv e r yi m p o r t a n ti nt h i se s s a y s t a r t i n gf r o mt h et e r m i n a lw ec a nm o n i t o rt h es o u r c eo f i n s e c u r i t ya n ds o l v et h ep r o b l e mo f t h ev a s tm a j o r i t yo fa t t a c k s i na na n a l y s i so ft h em e a n i n go ft r u s t e dc o m p u t i n ga sw e l la st h ec u r r e n ti or e s o u r c e s e c u r i t ya c c e s sc o n t r o la th o m ea n da b r o a d b a s e do np r i m a r ya n ds e c o n d a r yc o r e d u a l p l a t f o r m o p e r a t i n gs y s t e ms e c u r i t y w ep u tf o r w a r da t r u s t e di or e s o u r c ea c c e s sc o n t r o lf r a m e w o r k i nt h e f r a m e w o r ku s e r s v i s i t i n gt h ei or e s o u r c e si sc o n t r o l l e dt h r o u g ha u t h e n t i c a t i o n a c c e s sc o n t r o l a n do t h e rt e c h n o l o g i e s t h eb a s i ci d e ai s t h eu s e rw h op a s s e st h ea u t h e n t i c a t i o nc a nb eg i v e n p e r m i s s i o nt ou s et h es y s t e mi or e s o u r c e s n o n s y s t e ma u t h e n t i c a t i o no ru n a u t h o r i z e du s e r sw i l l b ep r e v e n t e df r o mo p e r a t i n gt h ei or e s o u r c e s t h i sp a p e r t a k i n gud i s ka n dn e t w o r kc a r do ft h et w om o s tc o m m o n l yu s e di od e v i c ea sa n e x a m p l e w ed e s i g na n dr e a l i z et h ea b o v et r u s t e di or e s o u r c ea c c e s sc o n t r o ls y s t e m t oa c h i e v e i ti n c l u d sap a s s w o r d b a s e da u t h e n t i c a t i o nm o d u l e t h ed a t ab a s e do nt h er c 4a l g o r i t h mf o r e n c r y p t i o na n dd e c r y p t i o nm o d u l e s a s w e l la sr o l e b a s e da c c e s sc o n t r o lm o d u l e a f t e rt h e e x p e r i m e n ti tp r o v e dt h a tt h e s es e c u r i t ym o d u l ec a nr u ni nt h es t a b l es e c u r i t yp l a t f o r mi nt h e e m b e d d e db o a r d t h em u t u a lc o m b i n a t i o no ft h e s em o d u l e sc a ng u a r a n t e e st h eud i s ka n d n e t w o r kc a r d st r u s t a b l ev i s i t k e y w o r d s t r u s t e d a u t h e n t i c a t i o n p a s s w o r dp r o t e c l a c c e sc o n t r o lp o l i c ys p e c i a lc h a n e l i i 声明尸1 3 j j 本学位论文是我在导师的指导下取得的研究成果 尽我所知 在 本学位论文中 除了加以标注和致谢的部分外 不包含其他人已经发 表或公布过的研究成果 也不包含我为获得任何教育机构的学位或学 历而使用过的材料 与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明 研究生签名 2 0 0 7 年6 月瑚 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档 可以借阅 或上网公布本学位论文的部分或全部内容 可以向有关部门或机构送 交并授权其保存 借阅或上网公布本学位论文的部分或全部内容 对 于保密论文 按保密的有关规定和程序处理 硕士论文 可信i o 资源访问控制策略研究与应用 1 绪论 1 1i o 资源安全现状 随着网络技术的高速发展 信息分享率的提高 人们在享受信息化带来便利的同时 也遭受着共享数据被非法窃取和篡改所造成的损失 由于涉及到国家安全 企业利益乃至 人们日常生活的方方面面 信息安全愈来愈受到人们的重视 传统的安全防护技术对来自 外网的非法用户的访问进行了有针对性的控制 然而由于网络技术的飞速发展 攻击手段 也越来越高明 针对外网的防护和控制也越发复杂起来 复杂的防护系统带来了巨大的系 统和运行开销 但仍然不能保证完全有效 因此 传统的安全防护技术面临着更严峻的挑 战 传统的安全防护技术总是把关注点过多地放在网络上 而忽略了产生安全问题的源头 不安全的i o 终端 观察信息系统的三层结构 服务器 网络 终端 可以看出 现 有安全防范中对终端问题重视度最低 即i o 终端是安全防护的最薄弱环节 i o 终端作为 创建 存储和修改信息的发源地 它在信息安全中的地位不容小觑 2 0 0 2 年美国f b i 的统 计数据表明 8 3 的信息安全问题是从内部发起的 而且还有上升的趋势 所以 如果我们 对i o 终端进行高级别的安全防护 从源头设防 采用 防内为主 内外兼防 狠抓终端源 头安全 的模式 让终端系统的每个用户均是通过身份验证和按访问控制策略进行操作的 可信用户 那么可以从根本上保障整个信息系统的安全 1 2 课题背景 项目来源及研究内容 1 2 1 课题意义 计算机网络的广泛应用 终端和网络的安全问题开始受人们越来越多的重视和关注 在国家信息安全方面的重大支持项目 如国家自然基金 8 6 3 9 7 3 计划的支持下 安全防 护领域发展取得了一系列重大成果 极大地推动了我国的信息化建设的发展和进步 我国 信息安全方面目前突出的问题是大多数主机系统和安全防护产品是基于国外的软硬件平 台 国外平台有可能预留后门 已在很多方面得到证实 如w i n d o w s 系统的安全漏洞问题 使得我国安全现状堪忧 尤其在涉及国家安全和民用关键问题上 安全有着重大的隐患 一旦发生问题 后果不堪设想 国内的软件平台以w i n d o w s 为主流系统 但w i n d o w s 系统本身固有的限制 系统不开 源 核心代码无法获取 导致现有的构建在w i n d o w s 平台上的安全防护系统陷于被动状态 只有在攻击产生之后 才能说明有漏洞的存在 被动的等待m i c r o s o f t 的补丁 信息领域研究另外一个重点是可信计算 目前是可信计算组织t c g t r u s t e dc o m p u t i n g 1 绪论硕上论文 g r o u p t c o 已给出了可信平台模块 t p m t r u s t e dp l a t f o r mm o d u l e 1 2 规范 国内已有一 些公司依托该规范生产出t p m 芯片 为终端用户提供身份验证 功能 加强对p c 机的安 全防护 建立更加安全的系统 但由于各方面的原因 都没有完全实现相关的技术规范和 要求 在这一点上沈昌祥院士指出 目前 无论是国外还是国内的可信计算机都没能完全 实现t c g 的p c 技术规范 如动态可信度量 存储 报告机制 安全i o 掣1 1 1 2 2 项目来源及研究内容 背景科研项目是国家自然基金课题 基于多核的i o 资源可信访问策略研究 基金编 号6 0 8 5 0 0 0 2 该课题在分析关键业务领域和国防信息系统对w i n d o w s 终端安全需求的基 础上 研究基于双核双操作系统结构的安全w i n d o w s 终端 重点突破主 辅式双处理器体系 结构设计技术 包括两个处理器连接方式 中断模型 协同处理和通信机制等 双核 双 操作系统模式下的软件设计技术 包括双操作系统的运行模式 接口和交互机制等 双核 双操作系统模式下的安全机制 包括敏感信息匹配 协议过滤以及主核与辅核之间的安全 交互等 本论文主要出发点及研究目的是 围绕着可信计算的安全i 0 方面 在研究分析 w i n d o w s 终端系统结构及安全技术的基础上 构建w i n d o w s 终端主动安全防护体系 即从 可信计算和安全i o 方面入手 结合已有的研究成果 提出采用多辅核 双操作系统的 w i n d o w s 终端主动安全防护解决方案 旨在探索一种新的网络与信息系统安全防护模型和 方法 找出一条实现具有自主知识产权的高安全i o 资源防护的技术途径 通过本课题的研 究 为最终解决w i n d o w s 终端的安全问题打下技术基础 充分利用w i n d o w s 终端的友好的 界面 方便的操作 丰富的配套资源 为我国的信息化建设服务 做出自己的贡献 1 3 国内外相关领域研究综述 本论文针对w i n d o w s 终端系统的安全性 就i o 资源的安全问题 提出了基于多辅核 的i o 资源可信访问控制的解决方案 多辅核作为i o 资源的监管中心与主核连接 必须要 解决好主辅核之间的通信问题 因此本课题涉及的技术主要包括 双核技术 安全技术 操作系统设计技术等等 1 双核技术 双核处理器是在一块c p u 基板上集成两个处理器核 并通过两套内部总线并行工作 在r i s c 处理器领域 双核甚至多核都早已经实现 c m p c h i pm u l t i p r o c e s s o r s 最早是由美 国斯坦福大学提出的 其思想是在一块芯片内实现s m p s y m m e t r i c a lm u l t i p r o c e s s i n g 对称 多处理 架构 并行执行不同的进程 i b m 在2 0 0 1 年就推出了基于双核的p o w e r 4 处理器 随后是s u n 和惠普公司 都先后推出了基于双核架构的u l t r a s p a r c 以及p a r i s c 芯片 但 此时双核处理器架构还都是在高端的r i s c 领域 直到最近i n t e l 和a m d 相继推出自己的双 硕士论文可信i o 资源访问控制策略研究与应用 核处理器 双核才真正走入了主流的x 8 6 领域 i n t e l 和a m d 之所以推出双核处理器 最 重要的原因是原有的普通单核处理器的频率难于提升 2 0 0 6 年7 月2 4 日 i n t e l 正式发布其 采用逆超线程技术c o n r o e 双核处理器 同日a m d 宣布双核s o c k e t a m 2 接口的双核a t h l o n 6 4x 2 处理器内置了这项技术 对用户而言 仅需更新处理器驱动程序和主板b i o s 双核 技术得到了快速发展 无论是双核还是多处理器技术都是从任务级入手 以提高系统运行能力 性能为目标 目前最热门的应用之一是虚拟分区技术 通过将服务器划分成不同的分区 每个分区上运 行独立的操作系统 从而改变一台主机运行一个操作系统的应用模式 典型的如i b m 的 p o w e rh y p e r v i s o r 技术 h p 的v s e 虚拟服务器环境 i n t e lrv t 硬件辅助虚拟化技术 s u ns o l a r i s l o 的c o n t a i n e r 微软的v i r t u a ls e r v e r2 0 0 5 计划等等 其目的是同时为各种应用 提供支撑平台 加强系统的并行处理能力 降低服务器成本 多处理器 多内核的应用模式与本课题提出的双核协同提高计算机系统安全性有很大 的区别 它们出发点不同 前者是并行运行 统的安全性出发 双核双操作系统协同工作 2 安全技术 旨在提高数据的处理能力 后者从计算机系 提高计算机系统的安全性 安全技术涉及安全操作系统 安全体系结构 安全网络协议 防火墙技术 入侵检测 技术 加密技术 脆弱性分析技术等 由于信息安全产品和信息系统固有的敏感性及特殊 性 直接影响着国家的安全利益和经济利益 因此 各国政府纷纷采取颁布标准 实行测 评和认证制度等方式 对信息技术和安全产品的研制 生产 销售 使用及进出口实行严 格 有效的管理与控制 并建立了与自身的信息化发展相适应的测评认证体系 如 可信 计算机系统安全评价准则 t c s e c 信息技术安全评价准则 i t s e c 加拿大可信计算机 产品评测标准 c t c p e c 国际标准化组织统一以此为基础进行修改 于2 0 0 1 年颁布了 信 息技术安全性通用评估准则 c c c o m m o nc n t e d a 即使这样 漏洞也无处不在 不论 是硬件 b i o s 还是操作系统 应用系统等 都有漏洞 在这种情况下 可信计算就成了 一个非常热门的话题 我国一直十分重视信息安全保密工作 并从敏感性 特殊性和战略性的高度 自始至 终将其置于国家的绝对控制之下 针对国际上的主流标准和准则 制定了相应的国家标准 g b 国家行业标准g a 和国家军用标准g j b 在可信计算方面 目前我国已经出台了一些 关于网络和信息安全方面的政策性文件 最近发布的 2 0 0 6 2 0 2 0 年国家信息化发展战略 更是将可信计算提高到建立国家信息安全保障体系的高度 可以预计 可信计算技术和产 品的应用普及也将引起新一轮的产业竞赛 并推动信息安全产业的进步 可信计算 d e p e n d a b l ec o m p u t i n g 的概念是1 9 9 5 年由a a v i z i e n i s 教授提出的 并于1 9 9 9 年开始在世界范围内被广泛接受 当时由i n t e l i b m h p c o m p a q 及m i c r o s o f t 发起组织 了一个可依赖计算平台联盟 t r u s t e dc o m p u t i n gp l a t f o r m a l l i a n c e t c p a 致力于促成新一代 绪论硕上论文 具有安全且可依赖的硬件平台 并于2 0 0 3 年4 月重新组成现在的可信计算组织 t r u s t e d c o m p u t i n gg r o u p t c c g 其目的是 在强调建构安全硬件平台的宗旨上 进一步将焦点投 入到软件的安全性 希望从操作环境的硬件组件和软件接口两方面制定可信计算相关标准 与规范 可信计算涉及硬件 通信和软件等综合系统 可信平台模块以硬件的方式嵌入到 各种计算终端中 建立起一个完整的验证体系 通过提高每个终端的安全性来提升整个系 统的安全性 国外在安全领域取得了许多成果 国外从事安全领域研究的大学和研究机构如美国普 渡大学 p u r d u eu n i v e r s i t y 的信息安全教育和研究中心c e r i a s c e n t e rf o re d u c a t i o na n d r e s e a r c hi ni n f o r m a t i o na s s u r a n c ea n ds e c u r i t y 直从事软件脆弱性分类 影响 数据库的研 究 美国加利福利亚圣巴巴拉大学 u n i v e r s i t yo f c a l i f o r n i as a n t ab a r b a r a 受到美国军方a r m y r e s e a r c ho m c e 和d a r p a d e f e n s ea d v a n c e dr e s e a r c ha r o j e c t sa g e n c y 的资助 进行网络建 模 发现与分析技术的研究 美国g e o r g em a s o n 大学的安全信息系统中心在研究基于状态 的网络安全模型 攻击模型等脆弱性分析技术 纽约州立大学计算机学院在进行基于模型 的脆弱性分析方法研究 加州d a v i s 大学在进行基于规则的脆弱性分析技术等 2 7 1 十五期间 在国家自然基金 国家8 6 3 计划的支持下 国内许多大学和研究机构在信 息安全技术基础类 密码 关键元器件 安全处理器 安全操作系统 安全数据库 网络 安全平台等 信息安全技术核心类 认证与抗抵赖 防火墙技术 安全w e b 服务器 网络 安全检测与评估 网络攻防等 等方面都取得了一些进展 有力地促进我国信息化建设 如 中科院的信息安全国家重点实验室 中国教育和科研计算机网紧急响应小组 c c e r t c e r n e tc o m p u t e re m e r g e n c yr e s p o n s et e a m 中科院 中软公司 国防科大 装 备指挥技术学院和一些军队院所等单位 他们在信息安全领域都取得了一系列成果 而体 现整体安全思想的 可信计算 可信网络 可信应用 等已经成为信息安全的发展趋 势 并掀起了可信性研究和产品开发的新高潮 2 0 0 4 年4 月1 1 日 联想集团发布了国内第 一款符合t c g 的t p m l 2 规范的安全芯片虮叵智 兆日技术有限公司也推出了符合t c g l 2 规范的t p m 芯片s s x 3 5 兆日公司的高层人士在接受 中国电子报 记者采访时称 与普 通p c 相比 安全p c 的优势在于 首先 硬件级的密钥保护 其次 唯一的身份标识 第 三是完整性度量 在软件方面可以利用这个特性开发出各种应用 如自动系统恢复 当操 作系统文件被更改或删除时 进行自动修复 这样可以保证p c 系统始终处于健康 完整的 状态 本课题在安全性方面的研究重点在于对不可信的i o 资源进行可信访问策略研究 本课 题现有条件是辅核系统板卡已经设计并开发 正在进行安全策略的研究与开发 并取得了 一定的突破 为项目的jj i 娇u 进行奠定了基础 3 操作系统设计 目前 计算机网络已经成为国家发展的基础设施 而操作系统作为网络系统的核心和 4 硕士论文可信i o 资源访问控制策略研究与应用 基础 其安全性至关重要 必须基于可信的操作系统 才能有可信的计算机系统 可信的 网络 可信性是一个综合能力 包括可靠性 可用性 可测试性 可维护性 安全性 保 密性等诸多因素 我国的现状是 大部分计算机系统以国外的操作系统为基础平台 且 w i n d o w s 平台占绝大多数 为信息安全留下很大的隐患 在如何解决系统软件的安全方面 存在三种途径 1 独立研制自主操作系统 尽管 采用这种方式开发的操作系统安全可靠 但周期漫长 投资巨大 2 基于开源操作系统 发展自己的系统 为此 国家投入了不少人力物力 取得了一些重要成果 3 采用国外 商用操作系统 如w i n d o w s 操作系统 在此基础上开发安全软件 w i n d o w s 系统界面友好 应用程序丰富 但源代码不公开 是否安全用户无法清楚 更无法按照用户的需求修改和 测试操作系统了 无法从根本上解决安全问题 鉴于此 我们提出一种新的途径 采用多 核双操作系统结构 探索解决p c 机上i o 安全问题的新模型 新技术和新方法 1 9 9 1 年芬兰赫尔辛基大学计算机科学系学生l i n u sb e n e d i c tt o r v a l d s 正式向外宣布 l i n u x 内核系统的诞生 标志着一个新的时代的到来 由于其源代码公开 随后得到不断发 展 国内在国家基金 8 6 3 计划等的支持下开发出一系列操作系统 如中科院开发的红旗 l i n u x 共创开源开发的共创桌面l i n u x 中软公司开发的中软l i n u x 国防科大开发的k y l i n 银河麒麟服务器操作系统 中科院凯思集团的h o p e n 嵌入式操作系统等 随着嵌入式系统日益深入研究 嵌入式操作系统得到了很大的发展 国外主流的嵌入 式操作系统如微软的w i nc e 美国w i n dr i v e r 公司的v x w o r k s 嵌入式l i n u x 等 以l i n u x 源代码为基础 国内许多单位开发出许多嵌入式操作系统 其中 中科院凯思集团推出的 女娲h o p e n 操作系统已进入产业化阶段 并支持主流的嵌入式芯片 同时与联想 t c l m o t o r o l a w i n b o n d 上海贝尔等国内外知名厂商合作开发出了多种产品 众所周知 微软最近推出了w i n d o w sv i s t a 系统 其最大的特色是在安全性能方面有了 极大提升 系统内置的w i n d o w sd e f e n d e r 和i n t e m e te x p l o r e r7 可直接对付间谍软件和恶意 软件 防止流氓软件的危害 保护个人数据的安全 就可信计算方面 v i s t a 操作系统部署 了b i t l o c k e r 全磁盘加密技术 通过与t p m 安全的结合共同实现更高层次的终端安全 可信计算技术对于安全操作系统的发展产生了巨大影响 它可以有效地解决当前安全 操作系统研发中存在的若干问题 比如 通过信任链技术保证操作系统的可信引导 防 止攻击者在系统启动时进行攻击 引入t r m 芯片为操作系统的底层安全提供保障 依 靠可信软件栈为操作系统的内核安全提供保障 借助可信计算技术保护操作系统自身的 安全等 随着可信计算技术不断融入操作系统安全研究中 操作系统安全性在安全引导 t c b 安全防护 内核安全保障 系统防篡改 数据安全存储 防止非法访问 认证和审计 等方面都会不断提高 为了解决计算机和网络结构上的不安全 从根本上提高其安全性 必须从芯片 硬件 结构和操作系统等方面综合采取措施 可信计算的目的就是在计算和通信系统中广泛使用 l 绪论硕十论文 基于硬件安全模块支持下的可信计算平台 以提高整体的安全性 即在p c 机的安全方面 必须做到 软硬兼施 因此 本课题将多核与嵌入式技术和操作系统的i o 资源管理模块 结合起来 研究计算机的i o 资源可信访问策略 1 4 论文结构 本论文由六章组成 各章节概括如下 第一章绪论 主要介绍了目前i o 终端安全的现状 阐述课题的背景和项目来源 课题相关的国际国 内研究情况和进展等 第二章可信i o 开发平台搭建方案的研究与设计 首先介绍了与本课题相关的基金项目的总体架构 包括硬件和软件两个方面 接着按 照本课题与基金项目的关系 设计说明了系统所需的软硬件系统解决方案 详细的搭建了 软硬件环境 为进一步工作提供基础 第三章可信i o 系统身份认证模块设计与实现 实现了基于一次口令方案的身份验证系统 同时设计了安全员操作的系统管理更新模 块 实现对用户信息的动态控制 第四章可信存储管理模块设计与实现 基于目前可信平台对于可迁移密钥管理比较薄弱的现状 提出了自己的解决方案 以u 盘为例 实现了对可迁移密钥的加密和管理 第五章访问控制模块的设计与实现 依据身份认证模块提供的信息 依据用户的角色对主体访问的客体资源进行控制 实 现了对u 盘和网络适配器的按策略访问控制 第六章总结与展望 本章总结论文完成的主要工作同时展望今后进一步的研究方向 6 硕上论文可信i 0 资源访问控制策略研究与鹰用 2 可信i o 开发平台方案研究与搭建 2 1 可信i o 资源访问控制系统设计目标 2 1 1 可信i o 资源保护的要求 1 可信的定义 可信计算组t c g t r u s t e dc o m p u t i n gg r o u p 从行为角度 2 l 对可信的定义为 一个实体在 实现给定目标时 若其行为总是如同预期 则该实体是可信的 该定义表明可信技术并不 等于现有的安全技术 可信的系统并不一定是安全的 比较有名的一个例子就是若你知道 某p c 机器内潜伏着病毒 知道该病毒的触发条件 并能预期该病毒产生的后果 而且事实 上病毒的行为也是如此 我们则称该系统可信 然而这个系统因为病毒的驻入显然是不安 全的 可信性借鉴了容错计算中 可靠性 的定义 强调行为的可预期性 依据该可信计 算的定义 t c g 给出了可信计算的相关概念以及一些可信计算规范1 4 矧 可信计算是以行为为依据的 这不同于t c s e c 美国可信计算机安全评价标准 t r u s t e d c o m p u t e rs y s t e me v a l u a t i o nc d t e r i a c o m m o n l yc a l l e dt h e o r a n g eb o o k 6 中的权限判别 可 信计算的思想为 从原始的 可信根 出发 按照信任的通路进行传递 即使平台环境转 换 信任状态也不会被破坏 那么我们称平台是始终可信的 如果在平台环境下所有的操 作均不会破坏可信性 则该平台在完整性方面得到了保证 故而从每个环节上保障了终端 安全 也是我们通常称的信任传递机制 可信计算的核心为t p m 模块 t p m 实际上是一个含有密码运算部件和存储部件的小芯 片 芯片上的系统 s o c 1 3 2 9 为构建可信平台的基础 t p m 体系结构如图2 1 1 1 所示 2 可信计算的基本思路 可信计算的基本思路是在硬件平台上引入安全芯片t p m 可信平台模块 来提高终端 系统的安全性 也就是说是在每个终端平台上植入一个信任根 让计算机从b i o s 到操作系 统内核层 再到应用层都构建信任关系 以此为基础 扩大到网络上 建立相应的信任链 从而进入计算免疫时代 当终端受到攻击时 可实现自我保护 自我管理和自我恢复 可信计算涉及 可信计算安全芯片 密码技术和密钥体系 3 1 1 p k i p m i 技术 身份 权限管理等多个方面 图2 1 1 1 即t p m 的体系结构 3 可信计算的基本要求 t c g 指出 一个可信的平台必须包含三个部分即密钥可信 i 0 可信 认证可信1 5 密钥可信 可信平台以t p m 为中心 将加解密 认证等基本安全功能写入硬件芯片 并且保证芯 7 2 可信i 9 开发平台方案研究与搭建硕士论文 片中的信息不能被外界窃取 t p m 是整个平台的 信任根 信任是围绕t p m 链式展开 从而实现对系统各方面如身份证明 平台完整性度量等的保护 这些功能的实现大多需要 依托各种密钥 所以密钥的安全性涉及到可信平台的核心安全 可信平台产生的密钥可以分为四种 存储密钥 绑定密钥 身份密钥和签名密钥 存储密钥用来存储除了对称密钥之外密钥的密钥 在可信平台上是一个2 0 4 8 位的r s a 密钥 绑定密钥是用来存储对称密钥的密钥 只用来做最基本的r s a 加密 而不能加密除了 对称密钥之外的内容 身份密钥 用来处理用户受保护的信息 一旦用户清除 相应密钥也被销毁 签名密钥是多种位长的标准r s a 签名密钥 在t p m 中最长位数为2 0 4 8 在目前的情 况下 2 0 4 8 位长的密钥可以满足现有多安全性方面的要求 i o 可信 i o 安全是指用户和他们交互之前的软件间的路径受保护 目前系统上的恶意软件有可 能截获用户与软件之间的交互信息 窃取用户的相关数据 认证可信 认证安全是指可信平台给用户提供一种安全的认证方式 资源只能被授权方所感知 非法用户将不可能通过攻击手段来非法窃取系统访问权刚 图2 1 1 1 t p m 体系结构 2 1 2 本课题的设计需求 在基金的总体要求下 基于可信计算的i o 设备访问控制体系设计目标为 围绕 w i n d o w s 终端系统i o 资源的主动安全防护技术 解决双处理器体系结构下 两个功能相对 独立的计算机系统 如何实现高速互联并能相互协同工作 依托设计的需求 结合t c g 的规范 基于双核安全系统终端的可信i o 系统需要着重 解决以下几个问题 1 用户身份的可信性 登录用户的身份是可以验证的 确实可信 2 平台存储的安全性 密钥安全性得到保护 离开平台后不能被窃取和使用 3 设计适合本平台的访问控制策略 用户在经过身份度量之后 按照系统所分配的角色 进行有限访问 非法和越权访问将不可能出现 8 硕一l 论文 可信i o 资源访问控制策略研究与应用 2 2 拟采用的解决方案 2 2 1 整体解决方案 可信i o 资源访问控制系统设计思想是 安全防护处理运行在与w i n d o w s 平台隔离的 硬件平台上 通过该平台对出人w i n d o w s 主机系统的数据进行控制 只有通过平台认证的 用户才可以对系统资源进行访问 很好的达到了保护主机系统可信性的目的 e n s s 板卡通 过p c i 接口与w i n d o w s 主机相连 可以接受主机端配置的安全策略 实时处理出入板卡的 数据 对系统的可信性提供实时保护 由于板卡运行的安全处理与w i n d o w s 系统分离 同时也在物理上隔离了w i n d o w s 主机 与外部访问 本系统可以很好的防范针对w i n d o w s 的安全漏洞设计的攻击 克服了传统直 接在w i n d o w s 主机上运行安全软件的固有缺陷 图2 2 1 1 为本可信i o 访问控制构架方案 的示意图 身份认 密钥存 发趋 证模块 储模块 内容 访问决定 过滤 给出访问请球 一 访问谴求 模块 主机 l 可信度l i 量模块l 访问度量模块 访问实施模块 j l jlj l 访问控制簟略规则 主体可信信息 客体町信信息 用户e n s s 安全辅核板卡w i n d o w s 主机 图2 2 1 1 可信i o 访问控制系统构架图 2 2 2 硬件系统框架 在本系统模型中采用的主辅核硬件系统框架如图2 2 2 1 所示 主核p c 主机和辅核 e n s s 板卡使用p c i 接v i 和串行通信接口相连 通过辅核板卡处理后的数据才可以进出主核 系统 可以解决目前的大多数针对w i n d o w s 终端的威胁 达到维护系统可信性的目的 p 数据地址 p数据线 c 复j l j 线 c 一 卜 1 数据线卜 a r m i i 总 1 总 线 地址线 1 地址线 剖竺 i 接 双端l 主核线 口 存储器 d 杠 片 审 一k出 漂一 h j b 网 j i 1 口 辅核 图2 2 2 1 硬件框架示意图 9 2 可信i o 开发平台方案研究与搭建硕 i 论文 2 2 3 软件系统框架 在整个i o 设备访问框架中 分为两个操作系统 二者独立运行 并协同工作 主核是 运行w i n d o w s 的p c 机 辅核为运行l i n u x 系统的嵌入式开发板卡 整个软件框架如图2 2 3 1 所示 鏖一二 系统服务 辅核0 s l i n u x 系统管理模块l i n u x 端 町信处理模块 i 访问控制ii 身份认ll 密钥管l 模块 ij 证模块li 理模块i 主辅核 通信模块 图2 2 3 1 软件框架图 2 3 可信i o 访问控制平台开发环境搭建 辅核外网 通信模块 外 网 应 用 层 内 核 层 2 3 1 硬件开发平台的搭建 1 主辅核平台构架 可信i o 访问控制平台设计思想是 在一个独立于w i n d o w s 主机系统的硬件平台 e n s s e m b e d d e dn e t w o r ks e c u r i t ys y s t e m 嵌入式网络安全系统 上运行的安全平台 出入 w i n d o w s 的数据均需经过该平台的安全处理 已达到保护i o 系统安全的目的 实际平台中 把e n s s 板卡插入p c 机的p c i 插槽中 通过信息交互通路与主机交换数据信息 实时防护 w i n d o w si o 设备的安全性 因为系统将安全处理与主机相分离 从操作系统和物理上均做了隔离 故该系统可以 有效防范针对w i n d o w s 系统本身的攻击 有效地维护了系统的可信性和i o 资源的安全 2 硬件结构平台 基于可信访问策略的系统 其硬件结构采取不修改主核系统软硬件结构基础上 添加 辅核的方法 辅核板卡e n s s 可以插入主核p c i 插槽中 通过p c i 接口芯片与主核端连接 整个辅核系统对于用户来说是透明的 在本方案中主辅辅核之间通过p c i 总线相连 数据 传输通过p c i 接口实现 从图2 2 2 1 中可以看出 辅核系统通过网络控制器和外部网络连接 w i n d o w s 主机系统 物理上不连接外部网络 而是通过连接辅核系统与外界相通信 对w i n d o w s 主机来说 辅 1 0 硕士论文可信i 0 资源访问控制策略研究与应用 核系统就是主机的 安全网卡 辅核系统p c i 总线接口芯片的主要功能是实现3 2 位p c i 总线与8 位的双端口存储器的连接 双端口存储器起到数据缓存的作用 a r m 核心板包括 a r m 处理器 3 c 2 4 1 0 s d r a m f l a s h 以太网控制器以及其它必要的芯片 安全处理 的主要功能都是在a r m 核心板卡上实现 在a r m 板上运行高安全的嵌入式操作系统 操 作系统及重要的数据 如通过w i n d o w s 端配置的安全策略 用户信息等 以文件的形式保 存在f l a s h 存储器中 2 0 j 3 e n s s 板卡设计 辅核板卡包括的硬件的主要组成成分包括处理器芯片 p c i 接口芯片 双端口s d r a m 内存 网络控制器等 e n s s 采用的的硬件设备如图2 3 1 1 所示 c h 3 6 5i id p s r a mi qc l 8 9 0 0 al iu a r t 2 卜1r r l u u 3 c 2 4 1 0 t 6 4 mn a n df l a s h lu a r t l 叫驱动 a r m 9 2 0 t t 2 mn o r f l a s hl 3 t a g l l l6 4 m s d r a m l 图2 3 1 1 辅核板卡硬件组成不意图 1 处理器芯片 使用三星的s 3 c 2 4 1 0 a r m 9 处理器 该芯片性能高 耗能低 相关技 术及软件成熟 便于系统的开发 2 p c i 接口芯片 使用8 位的c h 3 6 5 接e l 芯片 c h 3 6 5 与主机进行p c i 高速转换 实 现了双端口存储器和p c i 总线的连接 3 双端口存储器 使用i d t 7 0 v 0 5 存储器 为8 位x 8 k 存储器 4 内存 使用的是6 4 m 的k 4 s 5 6 1 6 3 2 内存使用的s d r a m 作为一个动态存储体 速度快 但掉电则数据丢失 5 f l a s h 分为n a n d f l a s h 和n o r f l a s h 两种 n a n d f l a s h 使用的是6 0 m b 的k 9 f 1 2 0 8 而n o r f l a s h 采用的是2 0 m b 的s s t 3 9 v f l 6 0 1 内存选用的是6 4 m 的s d r a m 芯片 6 网络控制器芯片 使用的是1 0 m 的c s 8 9 0 0 a q 3 作用是为系统提供网络的介入通 道 完成板卡和外部网络数据传输 在制造设计开发板时 按照项目的要求 使用的是四层板 布线时板卡的外层走信号 线 中间层分别为电源和接地 这样做的目的是为了减少信号之间的干扰 提高和优化板 卡的性能 为更好的完成课题的研究做出了准备 2n j 1 帕h 发 卉方 l r j 倾i i 23i2 e n s s 实验扳实物幽 4 硬件通路选择 为了保护终端系统的安伞 卜辅核之间需要大量的通信和数据交换 如图23i3 所不 因为辅核板卡足插在p c 机的p c i 捕槽卜的 故原始的信息通道是通过p c i 接 柬实现t 辅 核之问一切的信息交互 但足所有主辅核之问数据量很庞大 不仪要处王甲内外的网络数据 交互 还需要交换相关程序的配置信息 执行后的反馈信息 在这种情况下 需要寻求另 外的信息交互通路 以保证数据传输的速度 新的信息通路的主要目的是分担第通道的工作量l i s 3 c 2 4 1 0 配置了很多可以与外 围设备直接相连的管脚 i 以直接相洼的设备类 o 有 j t a g u a r t u s b 1 2 c 1 2 s s p i s d l c d 和触摸屏等 针对系统的具体要求 可以能够使用的通路有并口 u s bu 串行 r l 蓝牙或者红外传输等 e n s s h 园鬈 m w i n d o w s m 卡 结 主机瑞 设备 控 驱动 制 脞序器 一 幽2 3i3 蕾辅枝模块示意幽 并行传输是把数 6 i 以分组的方 在多个并行信道上 j 时传输 一般川于 算机内部或 矫距离的数据交互 速度快 但足缺一 往于丌发并1 3 驱动资源的比较少 丌发桐对网难 而且解决信息通路问题并非本文的主要问题 所以不适合本课题的丌发 m 1 3 数据传输是指通过嘲络控制器 c s 8 9 0 0 d m 9 0 0 0 等 进行数抛传输 似是这种斤泄 数据乜必 i 纾过打包 先从l 层 f 传输 判哒1 输层 嘲络j 发送下1 1 杯机 1 f 需班 2 硕士论文 可信i o 资源访问控制策略研究与应用 层层的解包 时间耗损比较大 无法满足实时性的要求 故而也不适合本项目的实际情况 红外和蓝牙作为新兴的无线接口 两者均是适合短距离传输的方式 但由于无线固有 的缺点如抗干扰性能差 传输不够稳定 且相关的开发资源也比较少 无法满足本项目的 开发需求 通用串行总线 作为新兴的数据接口 以其硬件简单速度快正受到越来越多的欢迎 而且它的开发环境和资源比较成熟 可以作为项目的可选方案 串口 串口通信目前作为短距离传输的流行方法 其优势在于 适合近距离传输 传 输中出错率低 本论文选用的复合板卡e n s s 支持3 个u a r t 其主机端相关技术成熟 无 需重新修改 而且软件支撑很好 c 的m f c