第6讲 可信计算基础
内容提要 ◎ 概述 ◎ 可信计算的发展历史 ◎ 可信计算的基本规范 ◎ 可信计算的基本思想与主要技术路线
一、概 述
无处不在的
产生安全事故的技术原因: PC机软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可以被植入 黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏 更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全事故 即使一个安全的操作系统也不能验证自身的完整性
为了解决计算机和网络结构上的不安全,从根本上提高其安全性,必须从芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的基本思想,其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。 硬件结构的安全和操作系统的安全是基础,密码、网络安全等技术是关键技术。
可信计算是一种信息系统安全新技术。 包括可信硬件、可信软件、可信网络和可信计算应用等诸多方面。
二、可信计算发展历史
1、可信计算发展历史 (1)初级阶段 可信计算的发展可以分为个三个基本阶段:初级阶段、中级阶段和高级阶段。 早在二十世纪60-70年代,人们就开始重视可信电路DC(Dependable Circuit)的研究。那个时候对计算机安全性的理解主要是硬件设备的安全,而影响计算机安全的主要因素是硬件电路的可靠性,因此研究的重点是电路的可靠性。把高可靠的电路称为可信电路。
(2)中级阶段 1983年美国国防部制定了世界上第一个《可信计算机系统评价准则》TCSEC(Trusted Computer System Evaluation Criteria)(又称为彩虹系列)。在TCSEC中第一次提出可信计算基TCB(Trusted Computing Base)的概念,并把TCB作为系统安全的基础。彩虹系列(桔皮书)的出现形成了可信计算的一次高潮,多年来彩虹系列一直成为评价计算机系统安全的主要准则,对计算机系统安全有积极的指导意义。 但是彩虹系列主要考虑了信息的秘密性,对完整性、真实性考虑较少;强调系统安全性的评价,并没有给出达到这种安全性的系统结构和主要技术路线。
(3)高级阶段:可信计算平台的出现 1999年IEEE太平洋沿岸国家容错系统会议改名为 “ 可信计算会议”,标志着可信计算又一次成为学术界的研究热点。 2000年12月11日以美国卡内基梅农大学与美国国家宇航局的Ames研究中心牵头,IBM、HP、Intel、微软等著名企业参加,成立了可信计算联盟TCPA,标志着可信计算进入产业界。 TCPA于2001年9月制定了可信PC的详细实现规范V1.1。 2003年TCPA改组为可信计算组织TCG。TCG的成立标志着可信计算技术和应用领域的进一步扩大。2003年9月TCG推出可信PC的新规范V1.2。制定了关于可信计算平台、可信存储和可信网络连接等一系列技术规范。
2.TCG可信计算的意义 首次提出可信计算机平台的概念,并把这一概念具体化到服务器、微机、PDA和手机,而且具体给出了可信计算平台的体系结构和技术路线。 不仅考虑信息的秘密性,更强调了信息的真实性和完整性。 更加产业化和更具广泛性。目前国际上(包括中国)已有多家IT行业著名公司加入了TCG。IBM,HP,DELL,NEC,GATEWAY,TOSHIBA,FUJITSU,SONY等公司都研制出自己的可信PC机(台式机或笔记本机)。ATMEL,INFINEON,BROADCOM,NATIONALSEMICONDUCTOR等公司都研制出自己的可信平台模块(TPM)芯片。
3、可信计算的其他流派(除了TCG) ①微软流派。微软独立提出了代号为Palladium(守护神)的可信计算计划。微软用的是Trustworthy computing(可信赖),而没有使用Trusted computing。Intel对微软的Palladium计划给予支持,宣布了支持Palladium计划的LaGrande硬件技术,并计划推出采用LaGrande技术的新一代奔腾处理器。后来,微软又将这一计划改名为NGSCB(next generation secure computing base)。 新一代操作系统VISTA支持可信计算机制。 ②容错流派。容错计算是计算机领域中一个重要的分支。1995年法国Jean-ClaudeLaprie和美国Algirdas Avizienis提出可信计算(dependable computing)的概念。容错专家们自1999年将容错计算会议改名为可信计算会议(PRDC)后,便致力于可信计算的研究。他们的可信计算更强调计算系统的可靠性、可用性和可维性,而且强调可信的可论证性。
4、可信计算的概念 概念1: 1990年 ISO/IEC“如果第 2个实体完全按照第1 个实体的预期行动时,则第 1个实体认为第 2个实体是可信的. 概念2:2002年TCG“一个实体是可信的,如果它的行为总是以预期的方式达到预期的目标”(抓住了实体的行为特征,符合哲学思想)。 概念3:IEEE—所谓可信是指计算机系统所提供的服务是可以论证其是可信赖的,即不仅计算机系统所提供的服务是可信赖的,而且这种可信赖还是可论证的。 可信≈安全+可靠。可信计算系统是能够提供系统的可靠性、可用性、信息和行为安全性的计算机系统。
三、可信计算规范
TCG的使命 Develop and promote open, vendor-neutral, industry standard specifications for trusted computing building blocks and software interfaces across multiple platforms。 公开的工业标准(规范)、提供可信计算的构造块与软件接口,用于跨平台的工作环境
01年9月TCPA制定了可信PC的技术规范V1.1。 03年9月TCG又推出可信PC的新规范V1.2。 05年3月TCG推出可信服务器GSS的规范V1.0。 05年5月TCG推出可信网络连接TNC的新规范V1.0。 2007年,150个成员,11工作组 目前TCG定义了如下四种可信计算平台: 可信PC,可信服务器、可信PDA、可信手机
TCG关于可信计算规范 Trusted Computing Group (TCG)可信计算组织 IT企业的联盟,迄今超过150个成员 www.trustedcomputing.org/about/members/ 集中于开发跨平台和设备的支持可信计算的硬件和软件技术 已经发布了多种规范
TCG工作组I Trusted Platform Module (TPM) 可信平台模块工作组 TCG Software Stack (TSS) 可信计算组织软件栈工作组 专门用于使用TPM特性的指定的硬件和操作系统独立接口 Trusted Network Connect (TNC) 可信网络连接工作组 指定标准来保证多厂商的互用性,使得网络运营商能为网络连接的端点完整性提供安全策略 Infrastructure Work Group (IWG)基础设施工作组 采用并整合TCG概念到因特网及企业基础设施技术中去
TCG工作组II PC客户机程序工作组 服务器工作组 移动电话工作组 使用TCG组件为客户机程序指定功能性、接口、以及安全和隐私的要求 为TPM和其它TCG工作组起咨询作用 服务器工作组 详述TCG技术整合到服务器系统中 移动电话工作组 为移动设备采用TCG概念 移动设备的特征,如连通性和能力有限性
TCG工作组III 存储系统工作组 为可卸除式多媒体磁盘驱动器、闪存、以及包含存储控制接口的各种存储设备系统制定专用存储系统的安全服务标准 ATA, Serial ATA, SCSI, FibreChannel, USB storage, FireWire (IEEE 1394) and Network Attached Storage (NAS)
TCG的主要规范 Trusted Platform Module (TPM) [TPM2002, TPM2003,TPM2007] 提供一套不可改变的加密和安全函数 Trusted Software Stack (TSS) [TSS2003 TSS2007] 为了高层的应用软件发布低层的TPM请求和接受低层的TPM响应
四、可信计算的基本思想与主要技术路线
基本概念 (1)信任的属性:信任是一种二元关系,它可以是一对一、一对多(个体对群体)、多对一(群体对个体)或多对多(群体对群体)。 (1)信任的属性:信任是一种二元关系,它可以是一对一、一对多(个体对群体)、多对一(群体对个体)或多对多(群体对群体)。 信任具有二重性,既具有主观性又具有客观性。 信任不一定具有对称性,即A信任B不一定就有B信任A。 信任可度量。也就是说信任的程度可以测量,可以划分等级。 信任可传递,但不绝对,而且在传播过程中有损失。 信任具有动态性,即信任与与环境(上下文)和时间等因素相关。
基本概念 (2)信任的度量与模型: 基于概率统计的信任模型 基于模糊数学的信任模型 基于主观逻辑的信任模型 基于证据理论的信任模型 和基于软件行为学的信任模型 目前的这些模型都还需要进一步优化,朝着既能准确刻画客观事实,又尽量简单实用的方向发展。值得特别提出的是,应当着重研究软件可信性的度量模型,可信计算迫切需要这方面的理论支持。
基本概念 (3)信任根和信任链 信任根是系统可信的基点。TCG认为一个可信计算平台必须包含3个信任根: 可信测量根CRTM(Core root of trust for measurement) BIOS引导模块作为CRTM(BIOS Boot Block on PCs CRTM就是整个BIOS 可信存储根RTS(root of trust for measurement) That's the TPM 可信报告根RTR(root of trust for measurement) 信任根的可信性由物理安全和管理安全确保。
基本概念 (3)信任链 目的是要信任实体En,E0、E1···En构成一个链。要相信En,则必须相信En-1。 信任传递满足条件: (3)信任链 目的是要信任实体En,E0、E1···En构成一个链。要相信En,则必须相信En-1。 信任传递满足条件: 信任是从E0传到E1传到E2··· 不能逆向传递:即相信E0、不意味必须相信E2 若相信E2,则必须相信E0和E1
基本概念 (3)信任链 链中的每个实体成员在传递控制给后继者时,必须先测量后再执行/传递给后继者 (3)信任链 链中的每个实体成员在传递控制给后继者时,必须先测量后再执行/传递给后继者 如:E0 measures E1 before passing control to E1 and so on 如创建一个可信链,第一个实体必须是可信根,且没有机制测RTM。
基本概念 1. 可信测量根(RTM)测量实体E 2. RTM在TPM事件日志中, 生成事件结构。SML包含 Event Structures,SM Event Log能存储 在任意存储设备如磁盘上 3. RTM将值扩展到寄存器中 4. 执行/传递 控制给实体E
可信计算的基本思想 可信根核(CRTM) 可信测量的根核CRTM 先建立一个信任根(CRTM、TPM),再建立一条信任链。从信任根开始到硬件平台、到操作系统、再到应用,一级认证一级,一级信任一级。从而把这种信任扩展到整个计算机系统(传递)。 理念:完整性保护(圈内受保护、圈外不受保护)。单凭软件来实现安全是不够的、硬件安全比软件安全更可靠;TPM与TSS——可信软件栈相辅相承。
“信任链”设计的基本思想 隔离“测量” 与“报告” − 必须信任“测量” 与“报告” :生产厂商有一个静态测量值,系统运行时有一个动态的测量值,进行比较后,对变化情况进行报告; − 设计理念一定要隔离“测量” 与“报告”,还要信任报告。报告受TPM保护。 “惟一的” 需求是: − 测量(散列), 报告(扩展), 执行(传递)。 抽象起来作三个事: 密码学——测量HASH(杂凑)、报告、执行 2018/9/17
信任链序列 3、Execute Execute 1、Load & Measures Load & Measures 2、Extend (Hash(A)) Extend (Hash(B)) 1、对组件A进行加载和测量 2、然后对A进行HASH的值存储在TPM中。TPM有两个最主要的功能:一个提供了关键的保护功能;另一个提供了受屏蔽的存储单元(非易时性存储和易时性存储)。比存储在PC机和服务器更加可靠,不可能被修改。 3、CRTM执行/传递给组件A; 延伸:然后A加载一个组件B,进行测量。重复上述1-3步骤 2018/9/17
可信计算平台模块TPM TPM是一种专用的安全芯片 包含了一个公私钥对{Kpub,Kpriv} 包含了一个用于说明Kpub属于合法TPM的证书 2018/9/17
可信平台模块TPM TPM是一种SOC芯片,它是可信计算平台的信任根(可信存储根和可信报告根),其结构如左图所示。 由CPU、存储器、I/O、密码协处理器、随机数产生器和嵌入式操作系统等部件组成。 完成可信度量的存储、可信度量的报告、密钥产生、加密和签名、数据安全存储等功能。 2018/9/17
可信平台模块TPM 执行引擎:命令校验及解析、命令码的执行、控制内部执行流、微控制器。 易失存储器:密钥槽(10个)、 PCR值(24个) 非易失存储器:EK(2048bit)、 EK证书、SRK(2048bit)及所有者(Owner)授权数据(160bit)等 配置开关:平台属主决定是否使用TPM 2018/9/17
带有TPM的计算系统引导过程 2018/9/17
带有TPM的计算系统引导过程 TPM证明软件的完整性 2018/9/17
TCG中的可信PC信任链 (1)信任链以BIOS Boot Block和TPM芯片为信任根。 (2)经过BIOS→OSloader→OS。沿着这个信任链,一级测量认证一级,一级信任一级,以确保整个平台的系统资源的完整性。 采用了一种迭代计算HASH 值的方式,即将现值与新值相连,再计算HASH 值并被作为新的完整性度量值存储到平台配置寄存器PCR 中 2018/9/17
2018/9/17
支撑软件(TSS) TSS(TCG software stack)是可信计算平台上TPM的支撑软件。TSS的作用主要是为操作系统和应用软件提供使用TPM的接口。 TSS的结构可分为内核层(TDDL模块 )、系统服务层(TCS模块 )和用户程序层(TSP处理模块)。 2018/9/17
应用程序将数据和命令发给应用API 函数TSP TSP处理后通过TCS 再传给TDDL. TDDL 处理后传给TDD. 工作的流程如下: 应用程序将数据和命令发给应用API 函数TSP TSP处理后通过TCS 再传给TDDL. TDDL 处理后传给TDD. TDD 处理并驱动TPM. TPM 给出的响应 反向经TDD,TDDL, TCS, TSP传给应用. TSS是与TPM进行交互的核心软件 TSS的设计规范由TCG颁布 2018/9/17
TSS的构成 TCG服务提供者(TSP) TSS核心服务(TCS) TCG设备驱动程序库 顶层模块 提供标准的API接口 管理服务 提供标准的驱动接口 2018/9/17
TPM Device Driver (TDD) 驱动程序所提供的功能接口仅由TDDL调用使用,而不允许其他的组件调用; 驱动是除了TSS外,是不提供对其他应用程序的连接TPM服务; 提供除基本驱动以外的额外服务 例如,电源管理等; TDD接口设计必须参考TIS标准。 2018/9/17
TPM Device Driver Library (TDDL) TSS用于和TPM通信的组件。 运行于用户空间的第一个TSS组件,提供了内核模式到用户模式的转换。处于TCS和TDD之间,为TCS提供接口TDDLi。 TDDLi是一个单线程同步接口,发送到TDDLi的TPM命令都已经被串行化。 对于直接访问TPM设备的程序,TDDLi提供了7个功能函数,用于和TDD进行通信。 Tddli_Open()、Tddli_Close()、Tddli_TransmitData(…)、… TDDL仅提供对TCS的链接 2018/9/17
TCG Core Service (TCS) TPM的缺陷 TCS的优点 一次只有一个操作可以进行 处理速度很慢 有限的资源,包括密钥槽、授权槽等 只能通过一个驱动程序与其进行串行通信 本地软件与之通信是有限制的 TCS的优点 可以对多个TPM待处理的操作进行排队 对于不需要TPM处理的操作,TCS可以自行作出响应 对TPM有限资源进行管理,可看作是无限的资源 将输入输出的数据进行相应的转换 可以对资源提供本地的或者远程的调用方式 2018/9/17
TCG Core Service (TCS) TCS的特点 TCS是一个后台服务 (daemon or system service) 为TSP提供标准的接口 TCG标准中,TCS是唯一一个可以直接访问TPM的实体 每个TPM仅对应一个TCS TCS并不提供加解密功能 对TPM有限的资源进行管理 密钥、证书管理 上下文管理 TCS负责调度要操作的TPM命令 每个操作都是原子操作 允许多线程访问 TCS对TPM命令格式进行转换 “软件TPM” 2018/9/17
TCG Service Provider(TSP) 所提供的服务 完整性收集和报告服务 保护存储服务 加密、解密服务 证书服务 不仅提供对TPM的访问(经由TCS),也包括额外的功能,比如签名校验、哈希等 可以访问远程的TCS,经由RPC或者用标准的SOAP消息 永久的用户存储,与TCS类似,但是它针对的是每个用户,提供了隔离机制 提供了标准的C语言接口(TSPi)及公共的库函数 2018/9/17
可信计算的研究领域 关键技术 ① 可信计算的系统结构: 可信计算平台的硬件结构, 可信计算平台的软件结构. ① 可信计算的系统结构: 可信计算平台的硬件结构, 可信计算平台的软件结构. ② TPM 的系统结构: TPM 的硬件结构, TPM 的物理安全, TPM 的嵌入式软件. ③ 可信计算中的密码技术: 公钥密码, 对称密码, HASH 函数, 随机数产生. ④ 信任链技术: 完整的信任链, 信任链的延伸. ⑤ 信任的度量: 信任的动态测量、存储和报告机制. ⑥ 可信软件: 可信操作系统, 可信编译, 可信数据库, 可信应用软件. ⑦可信网络: 可信网络结构, 可信网络协议, 可信网络设备, 可信网格. 2018/9/17
理论基础 ① 可信计算模型: 可信计算的数学模型, 可信计算的行为学模型. ② 可信性的度量理论: 软件的动态可信性度量理论与方法. ① 可信计算模型: 可信计算的数学模型, 可信计算的行为学模型. ② 可信性的度量理论: 软件的动态可信性度量理论与方法. ③ 信任链理论: 信任的传递理论, 信任传递过程中的损失度量. ④ 可信软件理论: 可信软件工程方法学, 可信程序设计方法学, 软件行为 2018/9/17