TCG与可信计算.ppt

1、2020/9/7,TCG 黑客利用被攻击系统的漏洞窃取超级用户权限，植入攻击程序，肆意进行破坏； 更为严重的是对合法的用户没有进行严格的访问控制，可以越权访问，造成不安全事故。,要摆脱这种不合理的现状，需要改变思维方式，从终端开始防范攻击。 如果信息系统中每个使用者都经过认证和授权，其操作都符合规定，就不会产生攻击性事故。 从终端入手研究可信平台模块(Trusted Platform Module) 、可信平台、可信网络到可信Internet，是从根本上解决当前信息安全问题的途径。,TPM与当前信息安全解决方案的比较,1.2 可信计算的定义,目前,关于可信尚未形成统一的定义,主要有以下几 种说

2、法. 可信计算组织TCG 用实体行为的预期性来定义可信:如果它的行为总是以预期的方式,朝着预期的目标,则一个实体是可信的 . ISO/ IEC 15408 标准（CC标准）定义可信为:参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和物理干扰 所谓可信是指计算机系统所提供的服务是可以论证是可信赖的. 这就是指从用户角度看,计算机系统所提供的服务是可信赖的,而且这种可信赖是可论证的.,TCG组织的可信计算有如下含义:,用户的身份认证，体现了对用户的信任; 平台软硬件配置的正确性，体现了使用者对平台环境的信任; 应用程序的完整性和合法性，体现了应用程序运行的可信; 平台之间的可验

3、证性，体现了网络环境下平台之间的相互信任。,信任根和信任链 信任根和信任链是可信计算平台的关键技术.一个可信计算机系统由可信根、可信硬件平台、可信操作系统和可信应用组成. 信任链是通过构建一个信任根,从信任根开始到硬件平台、到操作系统、再到应用,一级认证一级一级信任一级,从而把这种信任扩展到整个计算机系统, 其中信任根的可信性由物理安全和管理安全确保.,可信测量、存储、报告机制,可信测量、存储、报告机制是可信计算的另一个关 键技术. 可信计算平台对请求访问的实体进行可信 测量,并存储测量结果,实体询问时由平台提供报告,2 可信计算的沿革,20世纪70年代初，Anderson JP首次提出可信系

4、统(Trusted System)的概念。 早期学者对可信系统研究内容主要集中在操作系统自身安全机制和支撑它的硬件环境，此时的可信计算称为dependable computing，与容错计算(fault-tolerant computing)领域的研究密切相关。 关注元件随机故障、生产过程缺陷、定时或数值的不一致、随机外干扰、环境压力等物理故障、设计错误、交互错误、恶意的推理、暗藏的入侵人为故障造成的不同系统失效状况，设计出许多集成了故障检测技术、冗余备份系统的高可用性容错计算机。 这一阶段研发出的许多容错技术已被用于目前普通计算机的设计与生产。,可信计算的沿革,1983年美国国防部推出了“可

5、信计算机系统评价标准(TCSEC，Trusted computer System Evaluation Criteria)(亦称橙皮书)，其中对可信计算基(TCB，Trusted Computing Base)进行了定义。 这些研究成果主要是通过保持最小可信组件集合及对数据的访问权限进行控制来实现系统的安全从而达到系统可信的目的。,可信计算的沿革,1999年10月由国际几大IT巨头Compaq、HP、IBM、Intel和Microsoft牵头组织了可信计算平台联盟TCPA (Trusted Computing Platform Alliance)，成员达190家，遍布全球各大洲主力厂商。主要是

6、为了解决PC架构上的不安全，从基础上提高其可信性。,可信计算的沿革,TCPA定义了具有安全存储和加密功能的可信平台模块(TPM)，并于2001年1月发布了基于硬件系统的“可信计算平台规范”(v1.0)。 2003年3月TCPA改组为TCG (Trusted Computing Group)， 同年10月发布了TPM主规范(v1.2)。其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。,可信计算的沿革,目前，一些国外厂商，如IBM、HP、Intel都发布了具有TPM功能的PC机。 2000年，国内瑞达公司开始可信安全计算机的研发工作。2004年，武汉瑞达

7、推出自主知识产权的可信计算机产品，并通过国密局主持的鉴定，鉴定意见明确为“国内第一款可信安全计算平台”。,可信计算的沿革,2005年12月，由北京工业大学、联想控股有限公司、武汉瑞达信息安全产业股份有限公司、北京华大信安科技有限公司、北京兆日技术有限责任公司等发起成立了“可信计算密码支撑平台标准联合工作组”。 我国密码管理局于2006年下达任务给“联合工作组”制定可信计算平台密码技术方案，该方案以国内密码算法为基础，定义可信计算密码支撑平台主要由可信密码模块（TCM）和TCM服务模块（TSM）两大部分组成。 TCM使用椭圆曲线加密算法替代了TPM中的RSA加密算法，而且TCM中不仅有非对称加密

8、算法协处理器，还有我国自主研发的对称算法SMS4的运算单元。 2008年4月30日凌晨消息，一位知情专家透露，中国自主可信计算标准TCM申请成为国家标准的建议稿已获通过。,3、可信计算规范,TCG规范体系结构,可信计算的主要规范 TCG体系结构总体规范（Architecture Overview）定义了TPM平台的使用场景。 基础框架规范(Infrastructure Specifications) 提高TCG相关技术的互操作性，侧重于可信系统的开发、配置、互操作性方面。 可信平台模块规范(Trusted Platform Module Specifications) 阐述了TPM的体系结构，

9、各个部件的功能，设计规范，TPM内部所通讯的数据结构，TPM底层执行的命令规范。,4、软件栈规范(TSS Specifications) TSS Specification设计了支持TPM的软件服务层的结构，定义了各层之间的接口，规范了各个角色对于TSS的操作权限。该规范定义了TCG软件开发接口，中间的服务接口。 5、可信网络连接规范（Trusted Network Connect Specifications） TNC规范设计了网络连接的抽象模型，定义了安全通讯的层次，规定TNC服务器，TNC客户端所必须遵循的操作接口。,6、个人计算机客户端规范（PC Client Specificatio

10、ns） 这方面的规范还不够成熟，各个PC厂商生产的安全PC也是各不相同，TCG定义PC平台的规范只是提供底层的统一接口，具体细节还得看各个厂商如何实现。,4、可信计算平台,4.1 可信计算平台的体系结构 4.2 可信计算平台的特征 4.3 可信计算平台的信任传递机制 4.4 可信计算平台的身份认证机制 4.5 可信计算平台的安全存储机制 4.6 使用可信计算平台构建可信网络,为什么需要可信平台,开放平台(Open Platform)，具有广泛的灵活性，但其硬件和第三方不能建立起信任，这是现有计算平台安全性缺陷的根本所在。 封闭平台(Closed Platform)，平台使用专有的设备，运行专有

11、的程序，用户只能通过专有的接口通讯，通过密钥验证远程对方，通常只针对特定的应用。封闭平台的好处是安全性较高，但其缺点也是显而易见，不能被广泛的使用。,可信平台兼有开放平台和封闭平台的特点：许多不同的应用程序可以在同一个平台上运行，具有良好定义和构建的软件，平台符合规范具有可证实性。 并且可信平台最大程度地和现有平台保持兼容，不改变现有平台的体系结构，只附加一个成本很低的芯片可信平台模块(Trusted Platform Module)，解决现有平台固有的安全缺陷。,4.1 可信计算平台的体系结构,整个体系主要可以分为三层：TPM、TSS1和应用软件。TSS处在TPM之上，应用软件之下，称作可信

12、软件栈，它提供了应用程序访问TPM的接口，同时进行对TPM的管理。 TSS分为四层：工作在用户态的TSP2、TCS3、TDDL4和内核态的TDD5。 1 TPM Software Stack 2 Trusted Service Provider 3 TSS Core Services 4 TPM Device Driver Library 5 TPM Device Driver,可信平台是以TPM为核心，但它并不仅仅由一块芯片构成，而是把CPU、操作系统、应用软件、网络基础设备融为一体的完整体系结构。,4.2 可信计算平台的特征,一个可信平台要达到可信的目标，最基本的原则就是必须真实报告系统的

13、状态，同时决不暴露密钥和尽量不表露自己的身份。为此，需要三个必要的基础特征： 保护能力（Protected Capabilities） 完整性度量、存储和报告（Integrity Measurement, Storage and Reporting）。 证明能力（Attestation Capabilities ）,保护能力是唯一被许可访问保护区域(shielded locations)的一组命令。保护区域是能够安全操作敏感数据的地方(比如内存，寄存器等)。 TPM通过实现保护能力和被保护区域来保护和报告完整性度量(称作平台配置寄存器：PCRs，这种寄存器位于TPM内部，仅仅用来装载对模块的度

14、量值，大小为160bits)。 TPM保护能力还有许多的安全和管理功能，比如密钥管理、随机数生成、将系统状态值封印(seal)到数据等。这些功能使得系统的状态任何时候都处于可知，同时可以将系统的状态与数据绑定起来。 由于TPM的物理防篡改性，这也就起到了保护系统敏感数据的功能。,1、保护能力(Protected Capabilities)： 以可信的方式执行计算和安全的存储数据。,2、完整性度量、存储和报告,完整性的度量是一个过程，包括：获得一个关于平台的影响可信度的特征值(metrics)，存储这些值，然后将这些值的摘要放入PCRs中。 通过计算某个模块的摘要同期望值的比较，就可以维护这个模

15、块的完整性。 在TCG的体系中，所有模块(软件和硬件)都被纳入保护范围内，假如有任何模块被恶意感染，它的摘要值必然会发生改变，使我们可以知道它出现了问题。 另外，平台BIOS及所有启动和操作系统模块的摘要值都将存入特定的PCR，在进行网络通信时，可以通过对通信方PCRs值的校验确定对方系统是否可信（即是否感染了病毒、是否有木马、是否使用盗版软件等）。,度量必须有一个起点，这个起点必须是绝对可信的，它被叫做度量可信根（root of trust for measurement，RTM）。一次度量叫做一个度量事件，每个度量事件由两类数据组成： 被度量的值 嵌入式数据或程序代码的特征值 （repre

16、sentation）； 度量摘要 这些值的散列。,完整性报告则是用来证明完整性存储的过程，展示保护区域中完整性度量值的存储，依靠可信平台的的鉴定能力证明存储值的正确性。 TPM本身并不知道什么是正确的值，它只是忠实地计算并把结果报告出来。这个值是否正确还需要执行度量的程序本身通过度量存储日志（Stored Measurement Log，SML)来确定。 此时的完整性报告使用AIK签名，以鉴别PCR的值。,完整性报告协议如下图：,对一个事件的度量进行校验的完整性报告协议的执行过程： 一个远程的外界访问者（Challenger）向TCS发送请求，需要一个或多个PCR值； TCS读取SML以获得度

17、量事件的数据； TCS发送命令到TPM，请求获得PCR值； TPM 使用AIK对PCR值签名； TCS从知识库里面收集用来证明TPM平台的证书（AIK证书、平台证书等）； 访问者在本地校验请求。如果校验不通过，则说明存在问题，但无法获得任何关于错误的信息。,3、证实能力(Attestation Capabilities),证实是确认信息正确性的过程。 通过证明，可以完成网络通信中身份的认证，而且由于引入了PCR值，在身份认证的同时还鉴别了通讯对象的平台环境配置。 证明可以在不同层次进行： 基于TPM（by the TPM）的证明是一个提供TPM数据的校验操作，这是通过使用AIK1对TPM内部某

18、个PCR值的数字签名来完成的，AIK是通过唯一秘密私钥EK2获得的，可以唯一地确认身份； 针对平台（to the platform）的证明则是通过使用平台相关的证书或这些证书的子集来提供证据，证明平台可以被信任以作出完整性度量报告； 基于平台（of the platform）的证明通过在TPM中使用AIK对涉及平台环境状态的PCR值进行数字签名，提供平台完整性度量的证据。 1 Attestation Identity Key 2 Endorsement Key，签注密钥,4.3 可信计算平台的信任传递机制,在可信计算平台体系中,建立可信需要先拥有可信根,然后建立一条可信链,再将可信传递到平台的

19、每个模块,之后实现整个平台的可信。 信任源必须是一个能够被信任的组件。通常在一个可信平台中,有三个可信根: 度量可信根（root of trust for measurement，RTM） 存储可信根（root of trust for storage，RTS） 报告可信根 (root of trust for reporting，RTR)。,信任传递机制,度量可信根（RTM） 是一个计算引擎，能够进行内部可靠的完整性度量。 核心度量可信根(core root of trust for measurement，CRTM)是系统启动后执行的第一段代码，它初始化系统启动后的执行顺序，执行最初的可信

20、度量，然后引导TPM开始工作。 CRTM是平台执行RTM时的执行代码，一般存储在BIOS中。RTM同时也是信任传递的原点。,信任传递机制,存储可信根（RTS） 是维护完整性摘要的值和摘要序列的引擎，它将完整性度量保存在日志中，将它们的散列值保存在PCR中。 RTS保存委托给TPM的密钥和数据，并管理少量的内存，其中存放的密钥用于完成解密和签名的操作。 报告可信根（RTR） 是一个计算引擎，能够可靠的报告RTS持有的数据，这个可靠性一般由签名来保证。 RTM,RTS,RTR这三个根都是可信、功能正确而且不需要外界维护的。这些可信根存在于TPM和BIOS中，可以由专家的评估来确定是否符合可信的标准

21、。 一般在平台建立之后，我们认为TPM和BIOS是绝对可信的。,信任传递过程,可信平台构造模块(Trusted Building Blocks，TBB)是信任源的一部分，包括RTM和TPM初始化的信息和功能(复位等)。我们使用TBB来构建可信源。,信任传递过程,可信计算平台将BIOS引导块作为完整性度量可信根, TPM作为完整性报告可信根。 从平台加电开始,BIOS的引导模块度量BIOS的完整性值并将该值存储在TPM上,同时在自己可写的那块内存中记录日志; 接着BIOS度量硬件和ROMS,将度量得到的完整性值存在TPM中,在内存中记日志; 接着OS Loader度量OS,OS度量应用和新的OS

22、组件。 当操作系统启动后,由用户决定是否继续信任这个平台系统。这样一个信任链的建立过程保证了系统平台的可信性。,4.4可信计算平台的身份认证机制,在建立了可信以后,平台还需要建立身份认证机制,通过委托和授权来管理敏感信息。在该机制中一个重要部分是密钥和证书。 TCG的密钥可粗略地分为签名和加密两类。签名的不能用来加密，加密的也不能用来签名。 密钥还有一个属性 是否可移交:可移交密钥可以在TPM之间交换，这使得密钥对可以跟随用户在用户使用的设备中移动。即使计算平台的改变，个体之间的报文交换仍能进行。 TCG规定了七种密钥和五种证书,身份认证机制(密钥),签名密钥(Signing keys)：用来

23、对应用数据和消息签名的通用非对称密钥。签名密钥可以是可移交或者不可移交的。可移交密钥可以在TPM之间传递，通过移交(migrate)密钥传递保密数据。 存储密钥(Storage keys)：用来加密数据和其他密钥的通用非对称密钥，封装外部管理的数据和密钥。整个系统拥有一个最高权限的存储密钥，这个最高级密钥也就是SRK(Storage Root Key)，是一个特殊的存储密钥，在每个用户创建的时候生成，管理着这个用户的所有数据。它和EK一起，是唯一存放在TPM内部的密钥。所有其他的密钥都在SRK的保护之下。,身份认证机制(密钥),身份证明密钥(AIK)：不可移交签名密钥。只用来对TPM生成的PC

24、R值进行签名，证明平台的身份和平台的环境配置。每个用户可以拥有多个AIK，每个AIK的生成都需要可信第三方。 签注密钥(EK)：不可移交的解密密钥。它生成于平台的生产过程中，代表着每个平台的真实身份，每个平台都拥有唯一EK。EK只能用来在建立平台所有者时解密用户的授权数据，还有解密与生成AIK相关的数据。它不能用于任何签名或加密。,身份认证机制(密钥),绑定密钥(Bind keys):用来在一个平台中加密小数据(比如对称密钥)，然后在另一个平台中解密。由于使用平台所特有的密钥加密，所以与该平台绑定。这个密钥的用法同传统非对称密钥加密相同。 派生密钥（Legacy Keys）:在TPM之外生成，

25、它们被定义为可移交的，在被用来签名或加密之后才会载入TPM。这些密钥用在一些需要在平台之间传递数据的场合。 鉴别密钥（Authentication Keys）:用来保护涉及TPM传输会话的对称密钥。,身份认证机制(证书),签注(Endorsement)证书：由生成EK的人发布，包含TPM制造者名、TPM型号、TPM版本号和EK公钥。EK公钥虽然是公开的，但由于是鉴别TPM身份的唯一证据，所以也是秘密和敏感的。除了生成AIK，其它时候都不应该使用它。 验证（Conformance） 证书：指出评估者认可TPM的设计和实现符合评估准则。它由某个可信的独立机构发布。包含以下信息：评估者名、平台制造者

26、名、平台型号、平台版本号、TPM 制造者名、TPM型号和TPM版本号。,身份认证机制(证书),平台(platform)证书：这个证书由平台制造者发行，它确认平台的制造者和描述平台的属性。平台证书包含以下信息：平台制造者名、平台型号、平台版本号、Endorsement证书和Conformance证书 确认(Validation)证书：这是由第三方发给的，关于系统中某个硬件或者软件的证书，比如微软发给某显卡的驱动证书。它一般包括以下内容：确认实体名、组件生产商名、组件型号、组件版本号和度量值。,身份认证机制(证书),AIK证书：AIK证书被用来鉴定对PCR值进行签名的AIK私钥，它包括AIK的公钥

27、和其发布者认为有用的信息。AIK证书是由一个可信的，能够校验各种证书和保护客户端隐私的服务方来发表，比如privacy CA。通过发表证书，签名者证明提供TPM信息的真实性。,4.5可信计算平台的安全存储机制,TPM采用硬件保护存储,通过专门的硬件存储块来存储用户的秘密信息,如身份证明密钥(AIK) 、签注密钥( EK) 、鉴别密钥等。 硬件保护使得通过加密的秘密信息只能在拥有相应密钥的专有存储块中才能被解密。 在TPM中以树型结构来保护密钥数据和关系,即由父密钥全程负责其子密钥的生命周期管理,包括存储加密保护和使用授权,实现了一个用于保护存储的密钥层次,每层中的密钥都被其上一层的密钥加密。

28、整个平台拥有一个最高权限的存储密钥,即存储密钥SRK( Storage Root Key) 。它在每个用户创建的时候生成,管理该用户的所有数据。SRK和EK一起是唯一存放在TPM内部的密钥,其他所有密钥均在SRK的保护之下。,4.6 使用可信计算平台构建可信网络,可信传输 身份认证 可信网络连接,可信传输,传统的报文交换基于非对称加密，就是说只有一个人可以使用公钥加密。而通过使用私钥签名可以防止对报文的篡改。在这种传统传输中，不正确的管理密钥和终端不正确的配置都会导致安全上的风险。 TPM通过提供密钥管理和配置管理（保护存储、度量和报告）来增加传输的安全性。这些特性可以同封印组合到一起，使得终

29、端配置更加清晰和强壮。 TCG定义了四种被保护的报文交换方式：绑定（Binding），签名（Signing）、封印绑定（Sealed-Binding）、封印签名（Sealed-Signing）。,绑定和签名同传统方法一样，TCG体系中最有特色的也是“封印”。 封印比绑定有着更进一步的安全性，封印报文就是一套由发送者定义的PCR值，平台PCR值描述了在解密之前必须存在的平台的配置值，封印使用PCR值和不可移交的密钥去加密报文（事实上，使用对称密钥加密报文）。 拥有非对称解密密钥的TPM，只有在平台配置符合发送者规定的PCRs值时，才能对对称密钥进行解密，这是TPM的一个强有力的特性。,签名操作也

30、可以和PCR值一起作为一种提高平台安全性的手段，要求平台签名的时候使用精确的配置信息。验证者要求签名必须包含一部分PCRs值。签名者在签名的过程中，收集要求的PCRs值并把它们包含进报文中，作为计算摘要的一部分。验证者能够检查报文中的PCR值，作为确认签名平台在生成时的配置。 通过将PCR值加入到传输中，也就保证了不仅要经过身份认证，还要同时保证目标平台的环境配置也满足要求才能进行传输，这一方面可以加强安全性，同时也能够进行数字版权保护。,身份认证,身份认证并不难，但一般希望在使用个人隐私来证明身份的时候，要尽可能少地暴露自己的身份信息，这与身份认证的要求正好矛盾。 在TCG的体系里，这个隐私

31、就是EK，我们不能使用EK来进行身份认证。所以，在TCG体系中，身份认证一般是使用AIK，作为EK的别名。这种方法类似传统的解决方案， 首先需要生成一个AIK：,所有者使用RSA密钥生成模块生成一对AIK密钥，然后将公钥和签注证书、平台证书和验证证书打包在一起； 发送一个AIK的请求给Privacy-CA； 可信第三方通过验证证书的有效性来验证AIK请求的有效性； 可信第三方使用自己的签名密钥对AIK证书签名； 将签名后的AIK证书返回给TPM。,之后，就可以使用AIK和AIK证书来证明自己的身份：,平台1所有者向平台2发送请求； 平台2向平台1发送证明（attestation）的请求，同时说

32、明需要那些PCR值； 使用AIK对需要的PCR值签名； 将签名后的PCR值发送给平台2的校验者； 同PrivacyCA一起确认平台1的身份，评估平台1的可信程度； 评估平台1的环境配置状态。 通过这两步，就可以完成通信时的身份认证。而且因为加入了对环境配置的评估，能够确认通信双方的状态，增强对各种恶意软件的抵御能力。,可信网络连接（TNC）,随着信息化的发展，恶意软件（Malware，比如病毒、蠕虫等）的问题异常突出。 TCG组织针对这个问题，专门制定了一个基于可信计算技术的网络连接规范。TCG体系的可信网络连接包括了开放的终端完整性（Integrity）架构和一套确保安全互操作（Intero

33、perability）的标准。这套标准是用来在需要时保护一个网络，保护到一个什么程度完全由用户自定义。,TNC的架构分为三类实体：请求访问者（the Access Requestor，AR)、策略执行者（Policy Enforcement Point，PEP）、策略定义者（Policy Decision Point，PDP)，这些都是逻辑实体，可以分布在任意位置。TNC体系架构在纵向分为三个层次，从下到上为： 网络访问层：这一层用于支持传统的网络连接技术，在这一层里面有三个实体. 完整性评估层：负责评估所有请求访问网络的实体的完整性。这一层到上一层有两个重要的接口：IF-IMC（Integrity Measurement Collector Interface）和IF-IMV（Integrity Measurement Verifier Interface）。 完整性度量层：收集和校验请求访问者的完整性相关信息的组件。,在建立网络连接之前。TNC客户端需要准备好所需要的完 整性信息，交给完整性收集者（IMC）。在一个拥有TPM 的终端里面，这也就是将网络策略所需信息经散列后存入 PCRs，TPM服务端需要预先