可信計(jì)算平臺的主要可信特征測評層次TPM課件

1、空天信息安全與可信計(jì)算教育部重點(diǎn)實(shí)驗(yàn)室武漢大學(xué)計(jì)算機(jī)學(xué)院匯報(bào)人：徐明迪2009年7月18日第二屆中國信息安全博士論壇可信計(jì)算平臺測評理論與技術(shù)報(bào)告提綱二總結(jié) 1可信計(jì)算平臺測評概念可信計(jì)算平臺測評系統(tǒng)一三一、可信計(jì)算平臺測評概念可信計(jì)算平臺測評可信計(jì)算產(chǎn)品已經(jīng)開始走向應(yīng)用幾乎所有的著名筆記本電腦都配置了TPM芯片OpenTC和IBM分別各自推出了開源的可信計(jì)算軟件我國政策規(guī)定根據(jù)中國國家信息安全測評認(rèn)證管理辦法的規(guī)定，信息安全產(chǎn)品必須經(jīng)過測評認(rèn)證才能實(shí)際應(yīng)用可信計(jì)算平臺測評可信計(jì)算平臺的標(biāo)準(zhǔn)一致性測試可信計(jì)算平臺的安全性測試可信計(jì)算平臺的可靠性測試一、可信計(jì)算平臺測評概念國內(nèi)外研究現(xiàn)狀德國波鴻

2、大學(xué)發(fā)現(xiàn)主流的TPM在不同程度上都存在與標(biāo)準(zhǔn)不符合的問題匈牙利布達(dá)佩斯大學(xué)將白盒測試和Fuzzing技術(shù)相結(jié)合，發(fā)現(xiàn)OpenTC項(xiàng)目中的TSS的若干Bug和遠(yuǎn)程溢出安全漏洞中國科學(xué)院軟件所TCM、TSM測試國內(nèi)外尚沒有可信計(jì)算平臺測評的完整的理論、技術(shù)和測評系統(tǒng)報(bào)告提綱一總結(jié)1可信計(jì)算平臺測評概念可信計(jì)算平臺測評系統(tǒng)二三二、可信計(jì)算平臺測評系統(tǒng)測試依據(jù)TCG的規(guī)范我國國家密碼管理局制定的可信計(jì)算平臺密碼方案、可信計(jì)算密碼支撐平臺功能與接口規(guī)范和國信辦主持制定的一系列可信計(jì)算技術(shù)規(guī)范。提出“一套框架多套技術(shù)”測評對象：可信計(jì)算平臺的主要可信特征測評層次：TPM，信任鏈，TSS二、可信計(jì)算平臺測評

3、系統(tǒng)TCP測評可信計(jì)算平臺安全測評原型系統(tǒng)可信計(jì)算平臺安全規(guī)范標(biāo)準(zhǔn)一致性測試子系統(tǒng)可信計(jì)算平臺安全規(guī)范漏洞掃描測試子系統(tǒng)可信計(jì)算平臺安全規(guī)范滲透性測試子系統(tǒng)可信計(jì)算平臺安全測評理論與技術(shù)可信計(jì)算平臺可信特征描述方法可信計(jì)算平臺的測試方法可信計(jì)算平臺安全評估方法1、可信特征描述方法信任鏈特征描述 可信PC信任鏈交互模型為了能夠抽象出信任鏈規(guī)范中的角色進(jìn)程，建立不同角色之間的交互關(guān)系，我們將可信計(jì)算平臺抽象為三個(gè)實(shí)體：可信平臺模塊(TPM)可信度量根(RTM)軟硬件所組成的系統(tǒng)(System)1、可信特征描述方法信任鏈特征描述(Cont.)基于Biba模型的TCG信任鏈安全性分析依據(jù)Biba模型將

4、信任鏈中的節(jié)點(diǎn)分為主體和客體根據(jù)信任鏈的傳遞次序給節(jié)點(diǎn)建立安全級別將信任鏈中的度量操作、創(chuàng)建日志操作和迭代PCR操作轉(zhuǎn)換為“讀”、“寫”、“執(zhí)行”和“追加”操作分析信任鏈建立過程中是否存在違背安全規(guī)則的行為1、可信特征描述方法TPM 特征描述TPM應(yīng)用編程接口安全模型語法系統(tǒng)借助安全協(xié)議分析的思想，將API的執(zhí)行表征為一組輸入/輸出知識的邏輯公式集。根據(jù)規(guī)范表述，提取與系統(tǒng)安全特征相關(guān)的知識集定義攻擊者能力，通過API調(diào)用和離線密碼運(yùn)算得到內(nèi)部保護(hù)的秘密。1、可信特征描述方法TPM 特征描述(Cont.)推理系統(tǒng)與自動(dòng)證明待驗(yàn)證的安全目標(biāo)以定理的形式描述利用歸結(jié)原理和反例搜索的方法，驗(yàn)證安全目

5、標(biāo)能否在模型中成立，若不成立，搜索結(jié)果即反映出一組有效的攻擊序列。通過集成的可執(zhí)行狀態(tài)判決機(jī)制，在一定程序上緩解了狀態(tài)空間爆炸的問題。 1、可信特征描述方法TSS特征描述TSS要為可信計(jì)算平臺的應(yīng)用層提供完整性保護(hù)、身份可信性認(rèn)證、數(shù)據(jù)安全性保護(hù)等可信特征功能；通過對不同TSS的規(guī)范進(jìn)行分析和抽取，定義出TSS的可信特征；遵照不同規(guī)范的TSS產(chǎn)品實(shí)現(xiàn)機(jī)制會有不同，但只要TSS能實(shí)現(xiàn)相對應(yīng)可信特征功能，同樣能達(dá)到安全的要求。2、可信計(jì)算平臺的測試方法信任鏈測試方法基于規(guī)范的分層測試模型基于系統(tǒng)層次的信任鏈測試結(jié)構(gòu)劃分基于動(dòng)作約簡的事件和狀態(tài)測試信任鏈測試方法(Cont.)基于系統(tǒng)層次的信任鏈測試

6、結(jié)構(gòu)劃分結(jié)合PC啟動(dòng)的一般流程，信任鏈的測試結(jié)構(gòu)可劃分為：CRTM定義為信任鏈的最底層，它是完整性度量的起始點(diǎn)，也是事件日志的創(chuàng)建者CRTM所創(chuàng)建的事件日志定義為中間層，它是構(gòu)建信任鏈的依據(jù)事件所產(chǎn)生的平臺狀態(tài)定義為最高層，它決定信任傳遞的正確與否2、可信計(jì)算平臺的測試方法2、可信計(jì)算平臺的測試方法信任鏈測試方法(Cont.)基于動(dòng)作約簡的事件和狀態(tài)測試依據(jù)RTM與TPM, System之間的交互關(guān)系通過交互關(guān)系建立System動(dòng)作集合和信任鏈狀態(tài)之間的有向圖從測試的角度出發(fā)進(jìn)行約簡,消去影響信任鏈測試的內(nèi)部動(dòng)作和不可達(dá)狀態(tài)通過約簡后的有向圖得到適合信任鏈規(guī)范測試的測試?yán)?并生成測試用例,

7、對信任鏈系統(tǒng)進(jìn)行一致性測試2、可信計(jì)算平臺的測試方法信任鏈規(guī)范說明對應(yīng)的LTS系統(tǒng)經(jīng)過約簡后得到的信任鏈規(guī)范實(shí)現(xiàn)LTS系統(tǒng)信任鏈測試方法(Cont.)基于動(dòng)作約簡的事件和狀態(tài)測試2、可信計(jì)算平臺的測試方法TPM測試方法基于特征提取的功能關(guān)聯(lián)測試模型基于功能劃分的TPM測試結(jié)構(gòu)基于特征提取的TPM基本功能依賴集合生成基于狀態(tài)機(jī)理論的規(guī)范一致性測試 TPM測試方法(Cont.)基于功能劃分的TPM測試結(jié)構(gòu)根據(jù)規(guī)范定義的TPM所必須具有的功能，將TPM功能橫向劃分為：將TPM基本信息劃分為最底層，它是其它所有功能的基礎(chǔ)將TPM密碼服務(wù)劃分為中間層，它為TPM可信服務(wù)提供密碼算法保障將TPM可信服務(wù)劃

8、分為最高層，它為整個(gè)平臺提供完整性和安全性的應(yīng)用與保障2、可信計(jì)算平臺的測試方法TPM測試方法(Cont.)基于特征提取的TPM基本功能依賴集合生成根據(jù)提取的TPM功能以及它們之間的關(guān)系，將提取的功能之間的縱向關(guān)系總結(jié)為基本功能依賴集，根據(jù)基本功能依賴集擴(kuò)展可得到所有功能的測試順序。2、可信計(jì)算平臺的測試方法 TPM測試方法(Cont.)基于狀態(tài)機(jī)理論的規(guī)范一致性測試根據(jù)提取的功能依賴性，對TPM規(guī)范進(jìn)行了狀態(tài)機(jī)建模，通過比較測試時(shí)的狀態(tài)機(jī)模型與TPM規(guī)范的狀態(tài)機(jī)模型，判斷被測試的TPM是否達(dá)到規(guī)范一致性。下圖為建立的TPM正常運(yùn)行狀態(tài)下部分狀態(tài)機(jī)示意圖。2、可信計(jì)算平臺的測試方法TSS測試方

9、法基于反射機(jī)制的分層測試框架TSS測試的功能結(jié)構(gòu)劃分基于反射機(jī)制的TSS測試框架基于靜態(tài)分析與Fuzzing的安全測試2、可信計(jì)算平臺的測試方法TSS測試方法(Cont.)TSS測試的結(jié)構(gòu)劃分根據(jù)TSS規(guī)范所定義的內(nèi)容劃分測試的層次功能結(jié)構(gòu)如下：TSP層測試:包括上下文管理測試、策略管理測試、TPM管理測試、密鑰管理測試等；TCS層測試:包括密鑰證書管理測試，事件管理測試，參數(shù)塊產(chǎn)生測試等；TDDL層測試:包括對TDDL接口的測試。2、可信計(jì)算平臺的測試方法TSS測試方法(Cont.)基于反射機(jī)制的TSS測試框架不同TSS規(guī)范中定義的函數(shù)信息有差異，被測函數(shù)繁多且測試流程是動(dòng)態(tài)組合的通過建立通

10、用的程序框架，將被測函數(shù)的相關(guān)信息存入數(shù)據(jù)庫中，利用Java反射機(jī)制調(diào)用被測試函數(shù)并獲取相應(yīng)參數(shù)信息；測試程序有良好的通用性和擴(kuò)展性。2、可信計(jì)算平臺的測試方法TSS測試方法(Cont.)靜態(tài)分析（符號執(zhí)行）與隨機(jī)化測試（Fuzzing測試）分析測試可信軟件棧（TCG Software Stack, TSS）設(shè)計(jì)與實(shí)現(xiàn)中的安全缺陷與漏洞基于TSS分層封裝特點(diǎn)，針對TSPI應(yīng)用接口與TCSI網(wǎng)絡(luò)接口的API函數(shù)進(jìn)行安全測試。測試框架與測試用例的構(gòu)造建立在對API序列語義分析與參數(shù)語法分析的基礎(chǔ)上進(jìn)行。測試方法兼顧程序靜態(tài)分析與隨機(jī)測試，通過具體的測試用例觸發(fā)安全缺陷。2、可信計(jì)算平臺的測試方法T

11、SS測試方法(Cont.)靜態(tài)分析（符號執(zhí)行）與隨機(jī)化測試（Fuzzing測試）面向缺陷的軟件自動(dòng)化測試方法研究使用符號執(zhí)行+約束求解的方法自動(dòng)遍歷程序內(nèi)部執(zhí)行路徑使用隨機(jī)構(gòu)造的測試用例配合符號執(zhí)行，提高效率和準(zhǔn)確性用斷言和抽象解釋的方法顯式定義待檢測缺陷的屬性2、可信計(jì)算平臺的測試方法3、可信計(jì)算平臺安全測評原型系統(tǒng)3、可信計(jì)算平臺安全測評原型系統(tǒng)信任鏈測試測試對象符合TCG規(guī)范的可信計(jì)算平臺：HP6400、HP6230和ThinkPad R61i符合中國可信計(jì)算密碼支撐平臺功能與接口規(guī)范的國內(nèi)兩種可信計(jì)算機(jī)測試目標(biāo)基于Biba模型，對平臺信任鏈的完整性進(jìn)行評估通過結(jié)果分析，對平臺信任鏈的關(guān)

12、鍵技術(shù)點(diǎn)進(jìn)行評估，并判斷各個(gè)測試平臺對于可信計(jì)算平臺規(guī)范的實(shí)現(xiàn)程度以及與規(guī)范的匹配程度通過一致性測試和安全測試之間的映射關(guān)系，找出當(dāng)前可信計(jì)算平臺存在的內(nèi)部安全隱患信任鏈測試部分測試界面3、可信計(jì)算平臺安全測評原型系統(tǒng)信任鏈測試測試結(jié)果及分析HP6400、HP6230、ThinkPad R61i和國內(nèi)兩種可信計(jì)算機(jī)的信任鏈實(shí)現(xiàn)程度分別為：81.82%，72.72%，18.18%，9.09%，9.09%被測裝載TCG TPM1.2平臺上基本已經(jīng)實(shí)現(xiàn)了信任鏈的建立和傳遞過程被測裝載TCG TPM1.1平臺的大部分測試都不滿足要求，僅提供了TPM驅(qū)動(dòng)和TPM訪問接口國內(nèi)外一些被測樣機(jī)，基本上沒有實(shí)現(xiàn)

13、信任鏈。3、可信計(jì)算平臺安全測評原型系統(tǒng) TPM 測試測試對象按照TCG規(guī)范實(shí)現(xiàn)的可信平臺模塊： Infineon TPM 1.1和Atmel TPM 1.2按照中國可信計(jì)算密碼支撐平臺功能與接口規(guī)范的可信平臺模塊： 某國產(chǎn)品牌樣片測試目標(biāo)基于狀態(tài)機(jī)模型，對可信平臺模塊進(jìn)行安全功能的規(guī)范一致性測試，總結(jié)各個(gè)功能模塊的規(guī)范符合程度通過結(jié)果分析，判斷各個(gè)可信平臺模塊對于規(guī)范的匹配程度3、可信計(jì)算平臺安全測評原型系統(tǒng) TPM 測試部分測試界面3、可信計(jì)算平臺安全測評原型系統(tǒng) TPM 測試測試結(jié)果及分析從統(tǒng)計(jì)結(jié)果可以看出：HP Infineon TPM 1.1、ThinkPad Atmel TPM 1

14、.2和某國產(chǎn)品牌樣片的規(guī)范符合度分別為：92.66%、80.19%和82.92%。 3、可信計(jì)算平臺安全測評原型系統(tǒng) TSS測試測試對象按照TCG規(guī)范實(shí)現(xiàn)的可信軟件棧： Daonity TSS1.1測試目標(biāo)對可信軟件棧進(jìn)行安全功能的規(guī)范一致性測試，總結(jié)各個(gè)功能模塊的規(guī)范符合程度通過結(jié)果分析，判斷可信軟件棧對于規(guī)范的匹配程度3、可信計(jì)算平臺安全測評原型系統(tǒng)TSS測試界面部分測試界面3、可信計(jì)算平臺安全測評原型系統(tǒng)TSS測試測試結(jié)果及分析參照TSS V1.1規(guī)范，測試原型系統(tǒng)對Daonity 項(xiàng)目中的TSS進(jìn)行了測試。對比測試通過的功能數(shù)和TCG規(guī)范定義的可信軟件棧的功能數(shù)。三個(gè)功能模塊：TSP、 TCS 和 TDDL中通過的函數(shù)功能數(shù)的功能覆蓋率為