《可信计算资源》第一章概述课件

1、周福才 教授/博士生导师 fczhou可信计算课程简介近几年来，随着病毒、木马以及间谍软件数量的快速增长，安全问题呈现出愈演愈烈的状态，用户急需一种新的方法为他们提供更为安全的保障。可信计算为克服上述安全问题提供了一条新思路，为平台提供安全增强的硬件基础，并在这样平台上通过软硬件结合的方式构建可信计算环境。可信计算环境确保其上所进行的计算具有真实性、机密性和完整性等。课程简介本课计划学时数24，本课程面向信息安全专业大三、四本科生，本课程将以专题的形式介绍计算机安全及可信计算领域的若干基本问题。计划分6个专题介绍，本课程的目标是通过学习和参与，对计算机网络与信息安全、可信计算有一个基本的了解，

2、并为在相关重要研究领域从事研究起引导作用。课程内容概 述可信计算基础密码学技术可信计算基础PKI技术可信计算概述 TPM核心功能 TCG软件栈（TSS）及实例课程安排总学时：24学时（讲课22/习题（考试）2） 周学时：4 学时 （4-9周）最后1周 复习/考试考试方式：笔试成绩：考试作业考勤资源：/fczhou/kx 课程目标了解网络信息安全的主要问题、分类学习解决信息安全、可信计算问题的理论、技术、方案使用、构建和部署可信安全产品和系统引导网络安全、可信计算方面的开发和研究兴趣参考书目邹德清、羌卫中、金海编著, 可信计算技术原理与应用, 科技出版社，2011年。可信计算：(美)查利纳，赵波

3、等译。机械工业出版社，2009年 M. Bishop: Computer Security-Art and Science, 清华大学出版社，2005 （中译本由电子工业出版社出版）第一章 概 述1.1 概述1.2 安全威胁1.3 信息安全与可信计算1.4 课程资料信息成为社会发展的重要战略资源。信息技术改变着人们的生活和工作方式。信息产业成为新的经济增长点。社会的信息化已成为当今世界发展的潮流。 信息获取、处理和安全保障能力成为综合国力的重要组成部分。 信息安全事关国家安全，事关社会稳定。信息安全重要性我国信息安全专业现状80多所学校建立信息安全专业本科毕业生2万多人信息安全人才学历教育，已

4、形成完成体系（本科、硕士、博士）学科门类：工学（08） 计算机类（0809） 信息安全（080904K）信息安全学科的研究内容密码学：密码编码学和密码分析学组成。对称密码、公钥密码、Hash函数、密码协议、新型密码技术（生物密码、量子密码）、密码应用。网络安全：在网络各个层次和范围内采取保护措施。通信安全、协议安全、网络防护、入侵检测、入侵响应、可信网络等信息安全学科的研究内容信息系统安全：从系统整体上研究信息系统安全与威胁。设备安全、硬件系统安全、软件系统安全、访问控制、信息安全等级保护、可信计算、应用信息系统安全。信息内容安全：信息内容是信息在政治、法律、道德层次上的要求。信息内容获取、信

5、息内容的分析与识别、信息内容管控、信息内容安全的法律保障。NICE战略计划美国于2010年4月启动了“网络空间安全教育国家计划”（NICE，National Initiative for Cybersecurity Education）愿景：通过创新网络空间教育、培训和常识普及的规范体系，全面满足网络空间安全需求，构建一个安全的数字国家，促进和保障美国的经济繁荣和国家安全。使命：增强美国整体的网络空间安全。2011年8月发布NICE战略草案在网上公开征集意见，2012年9月发布了修改草案。NICE战略计划NICE的三大目标和任务（Goals）目标1：提高全民网络空间安全的风险意识。目标2：扩充

6、网络空间安全队伍的后备人才。 目标3：培养一支具有全球竞争力网络空间安全队伍Business process automationBottom-line improvement Long business cycleTerabytes of largely structured dataReal-time, pattern-based action Top-line revenue growthReactive for shorter product cycles Zettabytes of largely unstructured dataBigDataAnalyticsMobileSoci

7、al ComputingCloudSecurityProcess-Centric eraInformation-Centric era新的IT时代本课程的定位现有课程解决什么问题？密码学、访问控制、病毒、网络安全、漏洞挖掘体现在软件层面可信计算解决什么问题？结合硬件通过软硬结合的方式构建可信计算环境第一章 概 述1.1 概述1.2 安全威胁1.3 信息安全与可信计算1.4 课程资料计算机安全问题主要针对系统中软件的攻击软件安全漏洞产生的根源在于现代软件系统惊人的复杂性（Linux 1000万行，windows 5000万行）软件安全漏洞与软件规模成正比的关系典型的产品级软件每千行代码就会有一个

8、与安全相关的漏洞一个主流应用系统有可能隐藏了万个以上的安全漏洞1.2 安全威胁1.2 安全威胁软件漏洞状况呈现了两年翻一番的发展趋势 需要做频繁的补丁更新客户端系统更易受到攻击当今世界平均每20s就有一起黑客事件发生仅在美国每年造成的经济损失就超过100亿美元CERT软件漏洞统计1.2 安全威胁数据泄漏软件攻击身份和鉴别信息的电子盗窃移动电子设备或其它数据存储媒介失窃 美国数据泄露案件统计1.2 安全威胁基于硬件的嵌入式安全解决手段 为计算平台增加具有安全保护功能的硬件通过软硬件结合的方式构建可信计算环境使用可信计算环境保证其中运行程序和数据的真实性、机密性、可控性等 结合硬件弥补软件安全防护

9、方式带来的不足USB Key（加密锁、U盾、友key）可信计算芯片第一章 概 述1.1 概述1.2 安全威胁1.3 信息安全与可信计算1.4 课程资料信息安全主要包括设备安全、数据安全、内容安全和行为安全。信息系统硬件结构安全和操作系统安全是信息系统安全的基础。密码和网络安全等是信息系统安全的关键技术。只有从硬件和软件底层做起，从整体上采取措施，才能有效地确保信息系统的安全。堵漏洞 漏洞无处不在，不论在硬件、BIOS、操作系统、应用系统都有漏洞。还有蠕虫、间谍软件、僵尸网络无处不在。病毒不仅针对PC机、手机、照相机，都会有病毒出现。（到了2010年我们每5分钟就能发现一个新的漏洞）防外攻 今天

10、的环境下网络无处不在。网络无处不在的结论就是说攻击无处不在，有了网络就有了攻击。做高墙 采用防火墙等技术手段传统的信息安全措施防不胜防 信息系统安全的基本观点：在各种信息安全技术措施中，硬件结构的安全和操作系统的安全是基础，密码等其它安全技术是关键技术。只有从整体上采取措施，特别是从底层采取措施，才能比较有效的解决信息安全问题。在可信计算体系中，密码技术是最重要的核心技术。具体的方案是以密码算法为突破口，解决人与程序之间、人与机器之间的信息安全传递。因此，“可信计算”成为信息安全发展的必由之路 可信计算有别于传统的信息安全技术，可信计算的目标希望杜绝的是不可信代码的存在，包括有漏洞的，或者是恶

11、意的。 对于微机，只有从芯片、主板、B IOS（Basic Input Output System，基本输入输出系统）和操作系统做起，采取综合措施，才能提高微机的安全性。正是这一思想推动了可信计算的产生和发展。美国国防部国家计算机安全中心于上个世纪80年代中期提出“可信计算机安全评价标准”(TCSEC)第一次提出可信计算机和可信计算基 TCB (Trusted Computing Base) 的概念针对网络、系统和数据库的三个解释性文件（1987年）可信网络解释TNI (Trusted Network Interpretation)计算机安全系统解释 (Computer Security Su

12、bsystem Interpretation)可信数据库解释TDI (Trusted Database Interpretation) 1993年1月，美国公布了融合欧洲ITSEC 的可信计算机安全评价准则之联邦准则 安全启动的体系结构（1997年，AEGIS项目）提出信任传递概念计算机从启动的过程开始，由前一个程序度量后一个程序的完整性，只有在完整性通过验证后，才把控制权交给后一个程序，如此反复直到操作系统的启动 LaGrande硬件技术NGSCB (next generation secure computing base)VISTA支持可信计算机制TCG1999年10月由HP、IBM、I

13、ntel和Microsoft等公司牵头组织 TCPA( Trusted Computing Platform Alliance)，发展成员约200家，遍布全球各大洲主力厂商TCPA专注于从计算平台体系结构上增强其安全性，2001年1月发布了TPM主规范（v1.1）2003年3月改组为TCG (Trusted Computing Group)，发展成员约100家2003年10月发布了TPM主规范（v1.2）TCG的理念 首先建立一个信任根。信任根的可信性由技术安全和管理安全确保。 再建立一条信任链。从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而把这种信任扩展到整个

14、计算机系统。可信计算定义：如果一个实体的行为总是以预期的方式达到预期的目标，那么它是可信的。可见，可信计算组织对可信的定义强调了行为的预期性。TCG理念的特点从硬件到软件；从应用系统到基础软件；从PC到服务器；从移动设备到网络；从存储到外设。无所不包从进入可信计算环境开始，直到退出，提供一个完整的解决方案以标准的形式，提供一个可伸缩的、模块化的体系架构紧跟美国的步伐上世纪九十年代PC机安全防护系统2004 年具有自主知识产权的可信计算机产品面世2005年联想“恒智”芯片和北京兆日公司TPM芯片 2002年中国信息产业商会信息安全产业分会提出了可信网络世界体系结构框架(Trusted Cyber

15、 Architecture Framework，TCAF ) 2005年1月，成立国家安全标准委员会WG1可信计算工作小组专门规划可信计算相关标准2006年颁布了可信计算平台密码技术方案和可信计算密码支撑平台功能与接口规范2007年，由沈昌祥院士主导并确定研制 “可信计算平台密码规范”、“可信计算基础支撑软件”、“可信平台主机规范”、“可信网络连接规范”等草案可信计算在中国 可信计算密码模块TCM采用国产密码算法国内可信计算机均只支持TCM2008年4月底，中国可信计算联盟 (CTCU )在国家信息中心成立参与单位包含计算机厂商、信息安全厂商和一些应用厂商，以及国家的科研院所北京工业大学、瑞达

16、信息安全产业股份有限公司、国家信息中心信息安全研究与服务中心等 可信计算在中国 可信 RoSiBuCa98,Luhm1979,Cole1990,RoSiBuCa98在不同的领域，复杂的概念在进行讨论，如社会科学、哲学、心理学、计算机科学等可信实体的真实性、完整性、可信赖等交际中的可信相信某事物的安全是因为其名声、社团、推荐信等含义（下述定义）BILBNC2005安全：在保护目标的过程中，系统或部件不会失败可信：系统或部件的失败不会破坏安全策略值得信赖：系统或部件的行为度量遵从一定的功能性可信计算组织TCG如果一个实体的行为是以预期的方式，符合预期的目标，则该实体是可信的ISO/IEC 1540

17、8标准参与计算的组件、操作或过程在任意的条件下是可预测的，并能够抵御病毒和物理干扰 沈昌祥院士可信定义可信要做到一个实体在实现给定目标时其行为总是如同预期一样的结果，强调行为结果的可预测和可控制其他解释可信是指计算机系统所提供的服务可以被证明是可信赖的如果一个系统按照预期的设计和政策运行，这个系统是可信的当第二个实体符合第一个实体的期望行为时，第一个实体可假设第二个实体是可信的可信安全+可靠，可信计算系统是能够提供系统的可靠性、可用性、信息和行为安全性的计算机系统 可信赖计算(Dependable Computiong)源于容错计算针对元器件、系统和网络，对包括设计、制造、运行和维修在内的全过

18、程中出现的各种非恶意故障进行故障检测、故障诊断、故障避免、故障容许，使系统达到高可靠与高可用 安全计算(Security Computing)针对系统和网络运行过程中的恶意攻击 信任计算(Trusted Computing)假定真实性可以用于度量并且不考虑度量中的损失，给出了一个信任在实体间传递的方法在计算机系统中首先建立一个信任根，再建立一条信任链，一级度量认证一级，一级信任一级，把信任关系扩大到整个计算机系统，从而确保计算机系统的可信广义上的可信计算应该包括可信赖计算、安全计算和信任计算，而本文的可信计算侧重于TCG及沈昌祥院士给出的定义，即：Trusted Computing 可信计算的

19、应用 可信计算平台将加密、解密、认证等基本的安全功能交由硬件芯片来完成，并确保芯片中的信息不能在外部通过软件随意获取应用领域：信息加密保护应用领域：操作系统安全应用领域：网络保护 应用领域：安全管理 可信计算的应用 应用领域：信息加密保护IBM嵌入式安全子系统内嵌在计算机中的安全芯片不获得安全子系统口令的情况下是无法获取系统中任何信息的 应用于登录密码、加密密钥和数字证书的保护对文件系统（利用IBM的文件和文件夹加密功能）和网络传输进行加密安全芯片内部的信息存储和传送也经过了高强度的加密，采用了特殊的芯片封装方法，使得安全芯片的破解极其困难 专用的客户端安全软件可信计算的应用 应用领域：操作系

20、统安全微软加密文件系统（EFS） Windows 2000及之后出现的Windows XP等系统都支持该特性微软操作系统Vista支持基于硬件的安全启动硬件设备将对每个Windows系统开机时需要用到的文件进行标记一旦在开机的过程中检验出标记状态的不吻合将很可能意味着系统受到了非授权的篡改或破坏 可信计算的应用 应用领域：网络保护3Com公司的嵌入式防火墙（EFW）的网卡产品向安装了该产品的计算机提供可定制的防火墙保护提供硬件VPN功能支持基于TPM规范的认证，使得只有合法的网卡才能用于访问企业网络与软件防火墙相比性能更好 可配置能力和可扩展能力相对差些 可信计算现状与挑战可信计算并不等同于绝

21、对安全，不能解决所有的安全问题只是提供了一种加强系统安全的方式，能够结合传统的安全技术来增强系统的安全性无法解决软件漏洞问题目前的可信计算通常需要与相应的软件结合起来工作，不正确的软件使用或管理不善的密码都可能为可信计算平台带来“短板” 可信计算现状与挑战当前可信计算存在的问题理论研究相对滞后 存有一些尚待攻克的关键技术无论是国外还是国内的可信计算机都没能完全实现TCG的技术规范，如：动态可信度量、存储、报告机制，安全I/O等操作系统、网络、数据库和应用的可信机制配套的缺乏也影响着可信计算的发展没有关于可信操作系统、可信数据库、可信应用软件的技术规范只有硬件平台的可信，没有操作系统、网络、数据

22、库和应用的可信，整个系统还是不安全的 第一章 概 述1.1 概述1.2 安全威胁1.3 信息安全与可信计算1.4 课程资料Computer Security Information/Security/安全专区/developerWorks/cn/cnpapers.nsf/security-papers-bynewest?OpenView&Count=500安全性与隐私保护专页/china/security/TCG公安部计算机信息系统安全产品质量监督检验中心/国家计算机网络应急处理协调中心CNCERT，/国家计算机病毒应急处理中心 /国家计算机网络入侵防范中心/信息安全国家重点实验室/绿盟科技/安全焦点/中国信息安全论坛红客联盟 /index.phpNIST美国国家标准与技术研究所计算机安全资源中心/ （资料十分丰富）Common Criteria for IT Security Evaluation /cc/index.htmlThe National Information Assurance Partnership (NIAP) /index.htmlRainbow S