《可信鏈度量與測評(píng)》課件第1章

第一章可信計(jì)算1.1可信計(jì)算簡介1.2可信鏈1.3可信計(jì)算機(jī)1.4本章小結(jié)

1.1可信計(jì)算簡介

1.1.1可信計(jì)算的基本概念

本節(jié)對(duì)可信計(jì)算的一些基本概念予以說明。

(1)TPM和可信計(jì)算機(jī)。與普通計(jì)算機(jī)相比，可信計(jì)算機(jī)最大的特點(diǎn)就是在它的主板上嵌入了一個(gè)安全模塊——可信平臺(tái)模塊(TrustedPlatformModule，TPM)。圖1.1

TPM硬件結(jié)構(gòu)

(2)可信的定義。關(guān)于可信的定義目前還存在著一定的爭議。就TCG(可信計(jì)算組織)而言，他們是從行為的角度定義可信的，即：一個(gè)實(shí)體是可信的，如果它的行為總是以預(yù)期的方式，朝著預(yù)期的目標(biāo)。其關(guān)注的主要是完整性屬性。

(3)信任的屬性。文獻(xiàn)［1］中指出，信任具有以下屬性：

·信任是一種二元關(guān)系，它可以是一對(duì)一、一對(duì)多(個(gè)體對(duì)群體)、多對(duì)一(群體對(duì)個(gè)體)或者多對(duì)多(群體對(duì)群體)的。

·信任具有二重性。信任既具有主觀性又具有客觀性。

·信任不一定具有對(duì)稱性，即A信任B，但是B不一定信任A。

·信任可度量。信任有程度之分，可以劃分等級(jí)。

·信任可傳遞，但是不絕對(duì)，并且在傳遞過程中可能有損失。傳遞的路徑越長，損失可能越大。

·信任具有動(dòng)態(tài)性。信任與環(huán)境(上下文)和時(shí)間因素相關(guān)。

(4)信任的獲取。

(5)可信根。

(6)完整性度量、存儲(chǔ)和報(bào)告。

(7)可信支撐軟件。

(8)可信網(wǎng)絡(luò)連接。1.1.2國外可信計(jì)算的發(fā)展

目前，可信計(jì)算已經(jīng)成為許多國際學(xué)術(shù)會(huì)議的重要議題。國外許多芯片廠商也推出了自己的可信平臺(tái)模塊芯片。幾乎所有的品牌筆記本電腦和臺(tái)式機(jī)都安裝了TPM芯片。多家網(wǎng)絡(luò)技術(shù)企業(yè)的產(chǎn)品都支持TNC體系結(jié)構(gòu)?？尚庞?jì)算產(chǎn)品已經(jīng)走向了應(yīng)用。1.1.3國內(nèi)可信計(jì)算的發(fā)展

我國的可信計(jì)算“起步不晚，水平不低，成果可喜，已經(jīng)站在了國際可信計(jì)算的前列”［1］。

1.2可信鏈

可信計(jì)算平臺(tái)具有三大核心功能：完整性度量、完整性存儲(chǔ)和完整性報(bào)告。其中，完整性度量功能又是完整性存儲(chǔ)功能和完整性報(bào)告功能的基礎(chǔ)。如果完整性度量功能存在功能缺陷或安全缺陷，則可信計(jì)算平臺(tái)就無法將其當(dāng)前的信任狀態(tài)如實(shí)地反映給對(duì)方，從而導(dǎo)致整個(gè)可信計(jì)算平臺(tái)就無法“可信地”工作。本節(jié)所介紹的可信鏈正是實(shí)現(xiàn)完整性度量的關(guān)鍵技術(shù)。

TCG給出的可信鏈定義［8］如下(參見圖1.2)：

CRTM→BIOS→OSLoader→OS→Applications

其中，CRTM稱為可信度量根核(CoreRootofTrustMeasurement)。根據(jù)TCG規(guī)范，作為度量起點(diǎn)的可信度量根核CRTM應(yīng)該是絕對(duì)可信的，理想情況下它應(yīng)該存儲(chǔ)在TPM內(nèi)部，受到TPM的嚴(yán)格保護(hù)，但是在實(shí)現(xiàn)時(shí)它往往存儲(chǔ)在另外的固件中。有時(shí)候，CRTM就是BIOS里面的一小塊代碼。圖1.2可信鏈定義

1.3可信計(jì)算機(jī)

1.3.1可信計(jì)算機(jī)體系結(jié)構(gòu)

從體系結(jié)構(gòu)上來說，第一代可信計(jì)算機(jī)(以下簡稱可信計(jì)算機(jī))有如下特點(diǎn)：

(1)主板上有嵌入式安全模塊ESM。

(2)以ESM為基礎(chǔ)的信任鏈機(jī)制。

(3)智能卡子系統(tǒng)。

(4)安全增強(qiáng)的BIOS。

(5)安全增強(qiáng)的國產(chǎn)Linux操作系統(tǒng)。

圖1.3例示了可信計(jì)算機(jī)的硬件結(jié)構(gòu)［6］。圖1.3可信計(jì)算機(jī)的硬件結(jié)構(gòu)基于這種體系結(jié)構(gòu)，可信計(jì)算機(jī)系統(tǒng)實(shí)現(xiàn)了如下的安全/可信功能：

(1)基于智能卡和口令的用戶身份認(rèn)證。

(2)安全增強(qiáng)的訪問控制。

(3)安全增強(qiáng)的兩級(jí)日志。

(4)可控制所有I/O口的開放與關(guān)斷。

(5)具有唯一標(biāo)號(hào)，簽名與ESM綁定。

(6)屏蔽對(duì)BIOS的攻擊(例如CIH病毒)。

(7)數(shù)據(jù)加密和解密。

(8)數(shù)字簽名。1.3.2嵌入式安全模塊ESM

ESM緊密嵌入在主板上，并將重要的數(shù)據(jù)信號(hào)線和重要的存儲(chǔ)區(qū)嚴(yán)格保護(hù)起來，用人為的物理探頭或一般的光探測技術(shù)就很難窺探到ESM內(nèi)部存儲(chǔ)的數(shù)據(jù)。除了對(duì)內(nèi)部數(shù)據(jù)進(jìn)行保護(hù)以外，ESM自身也具有防止物理攻擊的保護(hù)措施。在ESM封裝的時(shí)候使用信號(hào)探測的方式防止拔除。如果有人將ESM從主板上拔除，則會(huì)觸動(dòng)一根預(yù)先埋好的信號(hào)線，該信號(hào)線上的信號(hào)將會(huì)發(fā)生變化，從而激發(fā)一個(gè)硬中斷。之后，系統(tǒng)將會(huì)執(zhí)行自毀程序，清除內(nèi)部的所有數(shù)據(jù)，并導(dǎo)致整個(gè)可信計(jì)算平臺(tái)無法使用。圖1.4給出了ESM的硬件體系結(jié)構(gòu)［9］。圖1.4

ESM的硬件體系結(jié)構(gòu)

ESM的Flash分為了兩個(gè)部分：一部分用來固化嵌入式操作系統(tǒng)JetOS，JetOS是ESM的資源管理者，同時(shí)也兼起可信度量根核CRTM的作用；另一部分Flash用來做安全存儲(chǔ)，存儲(chǔ)密鑰、證書、日志等重要信息。安全存儲(chǔ)也是ESM的一個(gè)重要功能。最后，ESM也支持多種協(xié)議，用來實(shí)現(xiàn)不同的功能，如I/O端口控制、智能卡讀卡器控制等。圖1.5

J3210芯片結(jié)構(gòu)

1.4本章小結(jié)

近年來，可信計(jì)算成為了國際信息安全領(lǐng)域的新熱點(diǎn)。我國在可信計(jì)算領(lǐng)域起步不晚，水平不低，成果可喜，已經(jīng)站在國際可信計(jì)算領(lǐng)域的前列［1］。本章的1.1節(jié)首先對(duì)可信計(jì)算的基本概念、國內(nèi)外可信計(jì)算的研究進(jìn)展做了基本說明。根據(jù)TCG規(guī)范，可信計(jì)算具有完整性度量、完整性存儲(chǔ)和完整性報(bào)告三大基本功能。其中，完整性度量功能又是另外兩大功能的基礎(chǔ)，能否實(shí)現(xiàn)安全、完備的完整性度量功能，關(guān)系到整個(gè)可信計(jì)算平臺(tái)是否能夠正常運(yùn)行。為了實(shí)現(xiàn)完整性度量功能，TCG定義了可信鏈技術(shù)。那么，究竟什么是可信鏈，以及可信鏈的本質(zhì)含義是什么呢？針對(duì)這個(gè)問題，在1.2節(jié)中進(jìn)行了詳細(xì)說明。對(duì)可信鏈進(jìn)行理論研究和具體實(shí)現(xiàn)，離不開可信計(jì)算平臺(tái)硬/軟件的支持，為此，1.3節(jié)對(duì)我們最初開展研究工作的硬件平臺(tái)——國內(nèi)第一代可信計(jì)算機(jī)進(jìn)行了介紹，闡述了可信計(jì)算機(jī)的基本體系結(jié)構(gòu)，以及ESM(對(duì)應(yīng)于可信平臺(tái)模塊TPM)的構(gòu)成和實(shí)現(xiàn)。至此，進(jìn)行可信鏈研究的基本知識(shí)都已經(jīng)具備。在此基礎(chǔ)上，在后續(xù)的章節(jié)中，我們將對(duì)可信鏈的度量以及安全測評(píng)問題展開研究?？尚沛湆?shí)現(xiàn)是一項(xiàng)復(fù)雜的工作，它涉及可信度量根核、相關(guān)證書、TPM/TCM驅(qū)動(dòng)、完整性度量、完整性度量結(jié)果存儲(chǔ)與集成、可信鏈恢復(fù)、可信鏈安全性測評(píng)等多方面的工作。鑒于完整性度量和安全測評(píng)在可信鏈實(shí)現(xiàn)中的重要地位，本書重點(diǎn)展開對(duì)可信鏈完整性度量和安全測評(píng)問題的研究。但是，這并不意味著其他方面的工作不重要。事實(shí)上，任何一個(gè)信息系統(tǒng)(包括可信鏈在內(nèi))的安全性都是一項(xiàng)系統(tǒng)性的工作，只有從信息系統(tǒng)整體入手考慮問題，并從信息系統(tǒng)的硬件和軟件底層進(jìn)行安全增強(qiáng)，才能比較有效地確保信息系統(tǒng)的安全性［1］。因此，除完整性度量和安全測評(píng)問題之外，對(duì)可信鏈的其他方面也應(yīng)該展開深入研究，但這不是本書討論的重點(diǎn)。根據(jù)可信鏈的定義：CRTM→BIOS→OSLoader→

OS→Applications，可信鏈可以人為分為兩部分：第一段是CRTM→BIOS→