可信计算体系的实现原理.doc
《可信计算体系的实现原理.doc》由会员分享,可在线阅读,更多相关《可信计算体系的实现原理.doc(6页珍藏版)》请在冰点文库上搜索。
可信计算体系的实现原理
摘要:
21世纪是信息的时代。
一方面,信息技术和产业高速发展,呈现出空前繁荣的景象,另一方面,危害信息安全的事件不断发生,形势是严峻的。
信息安全事关国家安全、事关社会稳定和经济发展,必须采取措施确保信息安全。
目前主要的计算机安全技术有加密、访问控制、鉴别、入侵检测和恢复等。
但安全性和完整性,以及安全性和隐私性总是相互矛盾的。
过分强调安全性必然会破坏数据的完整性和用户的隐私性,反之亦然。
伴随着计算机以及网络技术的日益成熟,全面解决计算机安全问题的要求就显得十分迫切,不可能撇开其中任何一项而只考虑另外一项。
如何对它们进行权衡和折衷从而达到系统的一致状态,就是可信计算需要研究的问题。
本文对可信计算体系的实现原理这一问题进行研究,并基于TPM进行了安全协议设计。
前言
我国的互联网用户数量从2006年的1.37亿迅速增长到2007年底的2.1亿,增幅高达53%。
与此同时,互联网用户遭黑客攻击数也以年均至少10%的速度上升。
面对数量如此庞大且逐年上升的计算机终端,我们的网络和数据的安全保障又是如何呢?
传统的防御方式主要通过防火墙、病毒检测、VPN及加密锁等安全体系,都是以被动防御为主,结果不仅各种防御措施花样层出,而且防火墙也越砌越高、入侵检测越做越复杂、恶意代码库越做越大,但是信息安全仍然得不到有效保障。
“艳照门”等越来越多的事件敲响了终端安全的警钟,许多商家虽然为保护用户的数据安全,提供了许多的技术支持,但都不是最佳选择。
随着可信计算工作组在国家信息中心宣告成立以及可信计算技术的开发、应运和部署,一种构建可信计算技术体系和主动嵌入式防御机制的战略部署应运而生。
2007年12月,12家中国IT民族企业和软件所等重要科研机构在京联合发布了由中国首次自主研发和自主创新的可信计算系列产品,其中可信密码模块TCM(TrustCryptographyModule)芯片被誉为“中国可信计算的安全DNA”。
而可信计算自出现,到现在越来越多人关注,很大意义上被当作信息安全问题的“终结者”。
尽管业界对此颇有争议,但从“可信”上说,其安全性根植于具有一定安全防护能力的安全硬件,突破了被动防御打补丁方式,为网络用户提供了一个更为宽广的安全环境。
确实使根本上解决计算机系统存在的基础性安全缺陷,操作系统体系之外计算机安全平台的构建变成了可能。
1可信计算体系的架构
可信计算是针对目前计算系统体系不能从根本上解决安全问题而提出的,其主要思路是在PC硬件平台上引入安全芯片,首先构建一个信任根,从信任根开始到硬件平台、操作系统,再到应用进程,一级认证一级,一级信任一级,建立一条信任链,从而把这种信任扩展到整个计算机系统,提高终端系统的安全性。
可信计算平台是构建在计算系统中并用来实现可信计算功能的支撑系统。
可信计算密码支撑平台是可信计算平台的重要组成部分,提供数字签名、身份认证、消息加密、内部资源的授权访问、信任链的建立和完整性测量、直接匿名访问机制、证书和密钥管理等服务,为平台的身份可信性、完整性和数据保密性提供密码支持。
其产品形态主要表现为TPM和可信软件栈(TrustedSoftwareStack,TSS)两大部分,其功能架构如图1所示。
图1可信计算密码支撑平台功能架构
其中,TPM是可信计算密码支撑平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间,TPM在PC平台架构中所处的位置见图2。
TSS是可信计算密码支撑平台内部的支撑软件,为平台外部提供访问TPM的接口。
图2TPM在PC平台架构中所处的位置
2可信平台模块
TPM实际上是一个含有密码运算部件和存储部件的小型片上系统,具备专用的运算处理器、随机数产生器、独立的内存空间、永久性存储空间和独立的总线输入输出系统。
使用符合标准规定的密码算法,对外提供非对称密钥生成运算、非对称算法加解密运算、杂凑函数运算、数字签名运算和随机数产生运算。
TCG规范中定义的TPM组成结构如图3所示。
后文如无特殊注明,皆为符合TCG规范的TPM结构。
图3TCG规范定义的TPM组成结构
其中:
I/O接口:
TPM的输入输出接口,负责管理通信总线上的信息流,主要任务包括执行内部总线和外部总线之间转换的通信协议,并向合适的组件发送消息,执行对TPM进行操作的安全策略等。
密码协处理器:
密码协处理器组件负责RSA运算的实现,它内含一个执行运算的RSA引擎,提供对内对外的数字签名、内部存储和传输数据的加密解密功能,以及密钥的产生、安全存储和使用等管理功能。
密钥生成器:
密钥生成器组件负责创建RSA密钥对和对称密钥。
TCG没有限制非对称密钥或对称密钥的密钥生成次数。
HMAC引擎:
HMAC引擎组件负责确认报文数据是否以正确的方式为TPM提供信息,它可以发现数据和命令错误或被篡改的情况。
随机数生成器:
随机数生成器组件是TPM中随机数的产生来源,负责产生各种运算所需要的随机数。
TPM利用这些随机数值来生成现时、对称密钥和签名中使用的随机数。
SHA-1引擎:
SHA-1引擎组件通过运行可靠的杂凑算法执行杂凑操作。
TPM向外部提供杂凑接口以支持在平台导入阶段进行度量,并允许具有有限能力的环境访问杂凑函数。
电源检测:
电源检测组件管理着TPM的电源状态,帮助TPM在电源状态发生变化的时候采取适当的限制措施。
选项开关:
选项开关组件提供对TPM进行功能开启/关闭、使能/失能和激活/去激活的机制,通过改变一些永久性的可变标志位,可以设置TPM的功能选项。
执行引擎:
执行引擎组件负责执行经过I/O接口传送给TPM的命令,它是一个保证操作被适当隔离和保护区域被保护的关键组件。
非易失性存储器:
非易失性存储器组件被用来保存永久身份和与TPM相关联的状态。
易失性存储器:
易失性存储器组件被用来保存TPM运行时的临时数据。
以上若干组件构成一个有机统一的安全执行环境,作为嵌入式的芯片部件,它们高度集成,并且功能完善。
密钥和授权信息处于底层的TPM所提供的硬件加密保护之下,攻击者只有攻破TPM才能攻破系统的防护。
这样,TPM成为了系统可信的最低层次,它提供了整个系统可信的基础。
3可信计算平台的安全功能
可信计算密码支撑平台以密码技术为基础,实现平台自身的完整性、身份可信性和数据安全性等安全功能:
1、平台完整性度量与报告
利用密码机制,通过对系统平台组件的完整性度量,确保系统平台完整性,并向外部实体可信地报告平台完整性。
2、平台身份可信
利用密码机制,标识系统平台身份,实现系统平台身份管理功能,并向外部实体提供系统平台身份证明和应用身份证明服务。
3、平台数据安全保护
利用密码机制,保护系统平台敏感数据。
其中数据安全保护包括平台自身敏感数据的保护和用户敏感数据的保护。
另外也可为用户数据保护提供服务接口。
密码算法与平台功能关系如图4所示:
图2.4密码算法与平台功能关系
4可信计算体系的实现原理
可信计算平台的可信机制主要通过如下三个“可信根”来实现:
1、可信度量根(RootofTrustforMeasurement,RTM),建立信任链的起点,是可信计算平台内进行可信度量的基础。
完整性度量是指在系统启动和运行过程中,使用杂凑算法对表征加载的软件、固件和硬件等部件特性的数据计算杂凑值以验证其完整性,并把度量值记入相应的平台配置寄存器(PlatformConfigureRegister,PCR)中。
通过有序的完整性度量和信任关系传递,可以建立平台信任链,确保所启动的系统以及运行的应用程序是可信的。
2、可信存储根(RootofTrustforStorage,RTS),指存储根密钥(StorageRootKey,SRK),是可信计算平台内进行可信存储的基础。
出于对密钥安全的考虑,可信计算平台对密钥的存储区域和使用范围有严格的规定,存储主密钥存放在TPM的非易失性存储区,得到安全的物理保护,其他某些种类的密钥可用存储主密钥加密保护后存储于TPM外部。
3、可信报告根(RootofTrustforReporting,RTR),指背书密钥(EndorsementKey,EK),是可信计算平台内进行可信报告的基础。
可信报告根标识平台身份的可信性,具有唯一性,用于实现平台身份证明和完整性报告。
报告完整性度量值时,身份证明密钥对完整性度量值进行数字签名,接收方通过验证签名有效性以及校验完整性度量值来判断该平台的可信性。
利用TPM提供的密码服务,构建系统所需的安全特性,首先需要实现密钥管理和证书管理,这里对TCG规范中定义的密钥和证书进行简单介绍。
TCG规范定义了七种密钥类型,每一种密钥类型都被赋予一种特定的功能,出于对密钥安全的考虑,每种密钥的使用范围都有严格的规定。
TCG的所有密钥可以笼统的划分为加密密钥和签名密钥,加密的不能用来签名,签名的也不能用来加密。
TCG的七种密钥类型如下:
1.签名密钥(SigningKey):
非对称密钥,用于对应用数据和消息进行签名。
签名密钥可以是可迁移的(Migratable),也可以是不可迁移的(Non-migratable)。
可迁移密钥可以在TPM之间传递,TPM通过对应用程序进行签名来加强密钥迁移的限制性条件。
2.存储密钥(StorageKey,SK):
不可迁移的非对称密钥,用于加密数据量比较小的数据或封装其它密钥。
SRK是存储密钥的一个特例,它是系统中拥有最高权限的存储密钥,在平台创建所有者的时候生成,所有其他的密钥都在SRK的保护之下。
3.身份证明密钥(AttestationIdentityKey,AIK):
不可迁移的非对称密钥,用于对TPM产生的数据(如TPM性能参数、PCR值等)进行签名,向实体提供平台身份证明。
每个用户可以拥有多个AIK,每个AIK的生成都需要可信第三方的参与。
4.背书密钥(EndorsementKey,EK):
不可迁移的非对称密钥,用于解密平台所有者创建时的授权数据,以及解密AIK创建时与之相关的数据,不能用于普通的数据签名或加密。
目前EK的生成有两种方式:
一是由厂家直接生成,在TPM出厂前就由生产厂商直接固化到TPM中,不可修改;另一种是由TPM的所有者借助于生产厂商提供的应用程序入口,产生唯一的EK,仅在初次使用芯片时产生一次。
5.绑定密钥(BindingKey):
非对称密钥,用于在一个平台上加密数据量比较小的数据(如对称密钥),然后在另一个平台上进行解密。
6.派生密钥(Legacykey):
在TPM外部生成,在签名或加密的时候才会载入到TPM中,继承密钥是可迁移的,用在一些需要在平台之间传递数据的场合。
7.认证密钥(AuthenticationKey):
是TPM用到的对称密钥,用于保护TPM传输会话。
密钥的生成和使用都离不开证书,证明平台的身份更需要证书的保护。
TCG规范定义了五种证书,每种证书仅用于提供平台一个特定操作的必要信息。
TCG规范中所使用的证书类型包括:
1.背书证书(EndorsementCertificate):
X.509证书,用于建立EK与TPM的绑定关系,可以在平台的生产阶段由可信第三方颁发,也可以在平台的部署阶段由用户委托可信第三方颁发。
平台一旦确定了所有者,必须在取得所有者授权后才可以访问该证书,以保护平台所有者的隐私。
2.符合性证书(ConformanceCertificate):
X.509证书,用于声明、证实一类计算机平台的实现符合TCG的哪些规范和安全要求,可由平台制造商签发,或由可信第三方签发。
3.平台证书(PlatformCertificate):
X.509证书,用于声明、证实一个集成TPM芯片的计算平台符合TCG规范,由平台制造商签发。
这个证书与符合性证书的区别在于,符合性证书是针对一类平台的,而平台证书是针对某个具体的特定平台的。
4.确认证书(ValidationCertificate):
X.509证书,用于表明一个组件的指令具有证书中所包含的属性,比如Microsoft发给某显卡的驱动证书,由系统中某个硬件或软件的确认机构签发,可以是组件生产厂家,也可以是可信第三方。
5.身份证明证书(AIKCertificate):
X.509证书,用于验证AIK私钥对PCR值的签名,向实体提供平台符合可信的信息,由一个可信的、能够校验各种证书和保护客户端的权威机构签发,比privacyCA。
5基于TPM的安全协议设计
网络安全体系的两个重要组成是密码算法和安全协议[24],其中,密码算法为网络上传递的消息提供高强度的加解密操作和其他辅助算法;而安全协议则在这些算法的基础上为各种网络安全性方面的需求提供实现方案。
TPM作为可信计算平台的硬件模块,由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成,能够提供诸如随机数产生、硬件加解密、杂凑运算、消息认证等一系列密码算法。
为防止TPM成为计算平台的性能瓶颈,需将子系统中需执行保护的函数与无需执行保护的函数划分开,将无需执行保护的功能函数由计算平台主处理器执行。
在TPM的基础上设计用于各种现实场景的安全协议,调用TSS所提供访问TPM的接口,通过协议消息的传递来达成通信主体身份的识别与认证,并借助TPM提供的各种密码算法,来达到密钥分配、信息保密以及安全地完成电子交易等目的。
可信计算平台能够以一定的方式按照预定的目的执行操作,用户可以请求平台提供完整性度量值,通过验证签名有效性和校验完整性度量值来判断该平台的可信性。
在可信计算平台的基础上,通信双方能够互相验证对方的可信性,这给许多应用带来希望。
这些应用包括:
(1)风险管理:
风险管理的目标是最大程度地减少由于错误和意外造成公司和个人财产损失的风险,可信计算平台提供的硬件存储保护能够应用于减少信息资产损失的风险。
(2)资产管理:
资产管理用于阻止非授权用户使用数字资产,可信计算平台中的TPM能够用于创建和保护系统的身份。
即使偷走数字资产,也不能够获得使用权,从而不能获得有用信息。
(3)电子商务:
电子商务中需要客户和销售商相互信任,可信计算平台的完整性报告和证明能力为电子商务提供了信任基础。
(4)数字版权管理(DigitalRightManagement,DRM):
在数字版权管理中,服务器可以确定客户机的状态,并确信其不会破坏媒体策略。
可信计算的思想是要从终端、从平台根源解决现有的安全问题,通过在现有计算平台上插入一块小巧便宜的芯片,使平台成为可信平台,但这种“可信”只是相对的。
可信计算平台将加密、解密和认证等基本安全功能写入硬件芯片,比起现有平台增加了数据的硬件存储保护、证实平台代码和数据的完整性和真实性等功能。
作为一种通用平台,任何人只需要通过TSS接口调用TPM提供的密码服务,不用再各自开发软件来实现。
通过底层硬件提供的基础安全功能,配合相应的软件协议栈,设计合理的安全协议,能解决现有计算系统存在的一系列安全问题。
由于TPM芯片的价格相对低廉,并为了在安全性与系统复杂性之间取得平衡,有些很好的密码服务并没有在TCG规范中提供,这些服务包括:
实时时钟、安全套接层协议(SecureSocketsLayer,SSL)加速器、对称加密引擎、支持椭圆曲线加密算法、支持扩展的安全杂凑算法等,这些服务中的某些可能会在TCG规范的后期版本中有所体现。
由于TPM的设计比较灵活,因此一些没有包含在TCG规范中的密码服务可以通过软件进行支持实现。
结束语
目前,中国可信计算技术以可信密码模块为基础,中间通过TCM的服务模块,来构建可信计算的密码支撑平台,最终,在这个平台中形成了可以有效防御恶意攻击,支撑计算机在整个运行过程中的三个安全体系:
第一,防御病毒攻击的体系,通过一种可信链来防御攻击;第二,建立一个可信的身份体系,识别假冒的平台;第三,高安全性的数据保护体系,使数据能够密封在非常安全的一个区域中,达到非法用户进不来,保密数据无泄露的目的。
在可信计算体系中,密码技术是最重要的核心技术。
具体的方案是以密码算法为突破口,依据嵌入芯片技术,完全采用我国自主研发的密码算法和引擎,来构件一个安全芯片,称之为可信密码模块。
以可信密码模块为基础,中间通过TCM的服务模块,来构建可信计算的密码支撑平台,最终,在这个平台中形成了可以有效防御恶意攻击,支撑计算机在整个运行过程中的三个安全体系:
防御病毒攻击的体系,通过一种可信链来防御攻击;建立一个可信的身份体系,识别假冒的平台;高安全性的数据保护体系,使数据能够密封在非常安全的一个区域中,达到非法用户进不来,保密数据无泄露的目的。
可信计算技术已广泛应用于政府、军队、制造业、金融、科研机构等行业部门,可信计算工作组的成立不仅对保护我国信息安全产业的自主发展,保护我国的自主知识产权,构建拥有我国自主产权的可信计算平台起到巨大的推动作用,同时也是中国IT企业走向核心技术领域的重大发展机遇。
对于金融、政府、军队、通信等重要部门以及广大用户来说,可信计算产品的应用将为解决目前的安全难题打下坚实基础。
升级会员 