可信技术及其应用

可信技术及其应用1引言综观全球信息产业，安全问题已经引发了用户群体乃至行业厂商的普遍性忧虑和不满，传统的安全保护方法无论从构架还是从强度上来看已经不能完全满足要求。日益复杂的计算环境中层出不穷的安全威胁使得可信技术以及相似概念备受推崇。本文首先阐述可信计算所遵循的TCG(TrustedComputingGroup)规范与传统安全方案的区别，然后对其核心部件TPM(TrustedPlatformModule)进行详细的剖析，包括它的结构、原理和工作流程。本文对TCG及TPM的详细介绍主要为了下一步工作一一即对可信存储的研究，所以本文还阐述了TCG针对存储方面的有关协议，然后又通过几个实例介绍了国内外可信技术应用的现状。在本文的最后，总结了可信技术的前景和仍然存在的问题，为进一步对可信存储的研究做好了铺垫。2TCG(TrustedComputingGroup)规范与传统安全方案的区别TCG规范与传统安全方案的区别主要体现在理念和各自采取的主要技术两方面上。2.1理念上的区别传统安全解决方案往往侧重于先防外后防内、先防服务设施后防终端设施，而可信计算则反其道而行之，首先保证所有终端的安全性，也即通过确保安全的组件来组建更大的安全系统。可信计算平台在更底层进行更高级别防护，通过可信赖的硬件对软件层次的攻击进行保护可以使用户获得更强的保护能力和选择空间。2.2主要技术区别传统的安全保护基本是以软件为基础附以密钥技术，事实证明这种保护并不是非常可靠而且存在着被篡改的可能性。可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片，并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除，否则理论上是无法突破这层防护的，这也是构建可信的计算机设备以及建立可信的计算机通信的基础。在硬件层执行保护的另外一个优势是能够获得独立于软件环境的安全保护，这使得可以设计出具有更高安全限制能力的硬件系统。通过系统硬件执行相对基础和底层的安全功能，能保证一些软件层的非法访问和恶意操作无法完成，同时这也为生产更安全的软件系统提供了支持。所以，相比之下，可信计算平台可以为建设安全体系提供更加完善的底层基础设施，并为需要高安全级别的用户提供更强有力的解决方案。3.可信系统中的关键技术TPM(TrustedPlatformModule上文提到可信计算的主要优势在于它的安全方案是由硬件完成的，这个硬件也就是可信系统中的核心部件TPM。根据TCG规范，可信系统几乎所有的关键技术都体现在TPMTrustedPlatformModule)之中，可信子系统的功能主要由TPM完成，它是可信计算平台的计算模块，在可信子系统中起核心的控制作用，是具有密码运算能力和存储能力的芯片。3.1TPM的主要功能TPM提供两个方面的功能。首先，它应能够衡量在这个平台上的软件环境的状态并且能够把数据封闭给一个特定的软件环境，应提供状态报告信息使别的实体能够据此推演在此平台上的计算环境的状态是否可接受，并且还能够与此平台执行某个数据交换计划。第二，如果这个数据交换涉及到存放在本平台上的敏感数据，这个实体能够确保这些数据在秘密的形式下被使用，可信子系统必须提供一种方式去加密用于密码方面的关键信息（如密钥），并在这些关键信息被解密前确认软件环境是可信任的。3.2TPM的体系结构TPM作为可信计算平台的核心安全控制和运算部件，它的工作要先于操作系统和BIOS，不可能使用计算机的内存和外存，因此必须内部实现一些公开的安全算法，以便于与其它部件的接口标准化，并提供内部一些安全操作中的密码运算。所以，一个TPM产品至少需要内部实现一个基本的密码算法集合，根据TCPA的技术规范，这个集合至少应该包括RSA,SHA-1,HMAC三种算法，也可以包含更多的算法如DSA或ECC。其中RSA主要用于加密和签名认证，SHA-1和HMAC是两种生成报文摘要的HASH算法。总体来讲，TPM的体系结构中包括的部件如图1所示。TPM中与密码运算相关的操作有非对称密码运算RSA密钥生成、加密解密、HASH运算和随机数生成等，一般情况下，TPM中非对称密码运算功能仅供内部加密和签名认证使用，不对外提供服务函数接口。根据最新的技术要求，TPM中RSA算法使用的密钥长度至少为2048位RSA密钥。密码协处理器负责RSA运算的实现，它内含一个执行运算的RSA引擎，提供对内对外的数字签名功能，内部存储和传输数据的加密解密功能，以及密钥的产生、安全存储和使用等管理功能。密钥生成器负责生成对称密码的密钥和非对称密码运算的密钥对，TPM可以无限制地生成密钥。对于RSA算法而言，它要完成大素数的测试，密钥生成过程会使用到随机数发生器随机产生的数据。HMAC引擎通过确认报文数据是否正确的方式为TPM提供信息，它可以发现数据或者命令发生错误或者被篡改的情况。HMAC引擎仅仅提供运算功能，不负责管理数据或命令传输机制。RF2104中提出的HMAC运算使用20字节的密钥和64字节的数据块长度。随机数发生器负责产生各种运算所需要的随机数，它通过一个内部的状态机和单向散列函数将一个不可预测的输入变成32字节长度的随机数，其输入数据源可以是噪音、时钟等，该数据源对外不可见。随机数发生器在系统掉电时产生RESET操作。SHA-1引擎负责完成一种基本的HASH运算，其HASH接口对外暴露，可以被调用，它的输出是160位二进制位。TPM要求能够感应任何电源状态的变化，TPM电源与可信计算平台电源关联在一起，电源检测帮助TPM在电源状态发生变化的时候采取适当的限制措施。选项控制提供了对TPM功能开启与关闭的机制，通过改变一些永久性的可变标志位，可以设置TPM的功能选项，但这种设置必须是TPM的所有者或者经所有者授权的情况下才能进行。原则上不允许远程进行设置改变。TCG（可信计算平台联盟）建议使用专门的硬件代表TPM的所有者。执行部件负责执行经过I/O传送给TPM的命令，在执行命令之前应确信命令执行环境是隔离的和安全的。非挥发性的存储器用于存放一些永久性的数据。以上若干部件构成一个有机统一的安全执行环境，作为嵌入式的芯片部件，它们必须是高集成度产品，并且功能非常强大，实际的产品可以先从其一个功能子集做起，逐步完善。3.3TPM的工作流程TPM的工作状态包括初始化状态、自检状态和操作状态。操作状态又包括管理员模式和完全操作模式。当TPM被加电时或者是系统被初始化时便进入初始化状态，此时TPM首先设置一个内部标志表示正在初始化，并且必须在进入操作状态前一定要确保正常完成初始化过程和自检过程。自检完成之后，TPM进入到操作状态，但此时并不意味着TPM已经提供所有功能，还需要TPM的所有者开启其功能。在TPM电源被关闭时会执行一个状态保护命令，并结束工作状态。如图2所示。初始化状态Q►受限自检►受限操作状态—►完全自检『^第斐疝自f命令IQ.TPM操作状态怜止状态国2TPM工作状态费换国当一个TPM处于Disable状态时，它只对外提供极少的服务（如SHA-1运算），不能进行任何有关密钥的操作以及绝大部分TPM命令。TPM通过一个标志pFlags.tpmDisabled来表示这个状态，该标志为假表示TPM处于Enable状态。原始TPM通过TPM_PhysicalEnable和TPM_PhysicalDisable命令改变这个标志，一个有所有者的TPM通过TPM_OwnerSetDisable命令改变这个状态位，对该状态位的改变不影响TPM中其他的数据。TPM的所有者可以完全控制TPM,成为所有者必须经过严格的过程，一般通过向TPM提供TPM所有者身份认证数据来完成这个过程，如果TPM所有者身份认证数据遗失，TPM不提供恢复的机制。TPM允许通过清除命令来将TPM还原成初始状态，也提供禁止清除命令的机制。进入到TPM操作状态之后，TPM便可行使规定的功能，接受外界命令并提供相应的服务。4.TCG存储规范简述及可信技术的应用TCG对各种平台的可信协议做了很多规定，但本文介绍可信技术及其关键部件——TPM旨在下一步对可信存储领域的研究，所以本文只讨论有关存储方面的协议。有关协议主要体现在以下五个方面：首先，TCG对从磁盘到主机和主机到磁盘的通路做了特殊的规定，一方面，只有当磁盘认定主机是被授权的才会执行来自该主机的操作，另一方面，主机也会拒绝使用未受权的磁盘。主机和磁盘之间的这种认证关系就是通过TPM来完成的；其次，磁盘还要有保护数据的功能，磁盘会划分一部分受保护存储空间用于放置系统数据，这部分空间位于正常可设定的用户空间之外，对于受保护的系统数据，即使磁盘的用户空间被重新分区或者格式化也不会受到任何影响。磁盘对数据的保护还体现在对来自主机的不同的应用都被授权访问特定的受保护存储空间，其中放置着该应用的私有数据，每个应用程序通过磁盘对自己的授权才能创建删除相应区域的文件；第三，对于磁盘到主机这条通路来说，为了提高磁盘读写操作的可信性，不同的分区和不同的用户空间都要实行加锁加密技术；第四，所有的存储设备都要维护一个SMART日志，它会提前向主机报出可能的威胁；第五，ATA与SCSI协议等需要对TCG做出相应的支持，主要是用来传输TCG定义的消息流，TCG消息流命令需要相应的域值来表示TCG所应支持的协议的ID号。总之，在可信存储中，验证码由TPM产生并受TPM保护。TPM芯片产生安全锁，并完成锁的cache管理，这些都支持工业标准的加密API，TPM用硬件产生存储并管理加密锁。在应用方面，可信技术涉及的领域也非常广泛，它可应用于信息加密领域、操作系统领域、网络传输控制和安全管理领域及存储领域等方面。下文将介绍目前国内外具代表性的可信技术应用实例。IBM是最早利用可信计算技术保护计算机设备的厂商之一，针对个人电脑市场推出的解决方案被称为IBM嵌入式安全子系统，该系统与TPM规范规格兼容。这个安全子系统由内嵌在计算机中的安全芯片和IBM专用的客户端安全软件组成。安全芯片可以应用于登录密码、加密密钥和数字证书的保护，同时也可对文件系统（利用IBM的文件和文件夹加密功能）和网络传输进行加密。由于安全芯片可以在200毫秒内完成RSA运算，所以系统的运行并不会受到明显的影响。除了这些保护功能之外，该安全系统的一个突出优点是能够防止计算机内的数据被非法获取。事实上在不获得安全子系统口令的情况下未获授权的人是无法获取系统中任何信息的，因为在离开安全芯片的情况下无法读取硬盘中的数据。也就是说即使将硬盘插接到其它计算机上或者将安全芯片从计算机中去除都无法突破IBM安全子系统的防护。而且安全芯片本身的信息存储和传送也经过了高强度的加密，加之IBM采用了特殊的芯片封装方法，使得安全芯片的破解极其困难。正确的应用了安全子系统之后用户的数据可以得到妥善的保护，特别是对于失窃这样的情况，即使非法者盗取了计算机，用户的信息也不会泄密。反之用户也要注意牢记该系统的口令信息，用户一旦被自己系统锁在外边往往也会很难进入系统。这种类型的产品体现了目前可信计算最广泛的应用。而在国内，武汉瑞达推出的可信计算机产品中包含了多种安全功能，例如插入特别的电子钥匙或IC卡才能开启计算机、为计算机提供唯一的标识、控制所有文件的输入输出等等。具一些专业的评测机构评定，瑞达可信计算机所具有的安全功能和防护能力甚至超过了国外的产品。而联想借其推出的“恒智”安全芯片成为继ATLEM之后全球第二个推出符合TPM1.2标准安全芯片的厂商，“恒智”安全芯片内置了32位的RISC处理器，采用0.25微米嵌入式Flash工艺制造。“恒智”可以用于系统完整性的校验，并在软件的配合下进行快速的系统还原；装有“恒智”的计算机将能获得一个唯一的身份标识，在其它计算机上无法使用与该计算机绑定的帐号，这样就可避免其它计算机假冒自己；“恒智”将所有密钥信息都存储在芯片当中从而提供硬件级的加密功能，相比软件加密可信性更高。“恒智”的推出对我国的信息产业发展具有重大意义，自主知识产权的安全芯片将极大的推动我国的芯片产业发展，并提高在世界芯片产业中的地位。5结束语可信技术与传统的只依赖软件加解密技术相比，无疑具有更好的安全性，但“没有绝对的安全”这一定律并不会因为