可信计算的安全防护机制及其在高可信网络中的应用

　第1期2008年2月

中国电子科学研究院学报

JournalofCAEIT

Vol.3No.1Feb.2008

综　述

可信计算的安全防护机制及其

在高可信网络中的应用

郝　平,何　恩

(中国电子科技集团公司第30研究所,成都　610041)

摘　要:从因特网架构的安全困境引出可信计算,介绍了可信计算产生的背景与发展现状、深入分

析了可信计算的安全防护机制,并结合通信网络和信息系统安全防护的需求特点,指出了可信计算作为高可信网络解决方案之一的应用前景及其可能对安全防护体系产生的影响。关键词:可信计算;可信网络;信息安全中图分类号:TP393.08　　文献标识码:A　　文章编号:167325692(2008)012014206

SecurityProtectionMechanismsofTrustedComputingandIts

ApplicationsintheHighlyTrustedNetworkHAOPing,HEEn(The30thResearchInstituteofCETC,Chengdu610041,China)

Abstract:InrecentyearscomputernetworksbasedontheInternetarchitecturearefacedwithaserioussecuritypredicament,whichbringsabouttheproposalofTrustedComputing(TC).Combinedwiththerequirementsandcharacteristicsofcommunicationnetworksandsecurityprotectionofinformationsys2tems,thispaperintroducesthebackgroundandthepresentdevelopmentofTC,analyzesitssecuritypro2tectionmechanisms,andproposesTCasoneofthesolutionstothehighlytrustednetworkwithitsappli2cationsanditsinfluenceuponsecuritysystems.

Keywords:trustedcomputing;trustednetwork;informationsecurity

0　引　言

进入新世纪以来,由于因特网架构充分的开放

性和其他的一些固有特征,使得网络及其之上应用业务的安全性一直未得到根本性的解决。病毒、拒绝服务攻击(DoS)等威胁越来越猖獗,漏洞和后门数量有增无减,敌对势力的情报侦查和信息进攻仍有可乘之机,内部人员违纪违规使用网络和系统导致失泄密的事件时有发生,因特网陷入了安全困境。

安全困境的根本原因在于因特网本身,包括网络架构充分的开放性、网络的用户面和控制面没有分离、网络终端设备的高度智能化及多业务能力等等。回顾因特网的发展历史可以发现,因特网原本是一个自治的网络,而非一个有监管的网络,主要应

收稿日期:2007208229　　修订日期:2007210202

用于相互信任的学术团体及其研究人员之间的信息

交流,没有防范恶意攻击的初衷。

鉴于因特网的安全困境及其成因,学术界和工业界近年来一直在探索从体系架构上解决计算机网络安全问题的根本途径,试图从基础协议和体系架构入手进行彻底创新,力求根本地解决网络安全问题,由此产生了高可信网络的概念。

“高可信网络”目前还处于概念研究阶段,是一个新词,表达了一种原创导向,旨在采用与传统的信息安全解决方案不同的思路和途径,从根源上消除网络和系统安全失控的成因,探索和创建一个“高可信网络”,满足“高可信”质量水准的应用需要。

当前对高可信网络的探索包括以下一些技术和发展计划。

(1)美国国家科学基金会NFS资助的GENI和

　2008年第1期

　[1,2]

郝　平等:可信计算的安全防护机制及其在高可信网络中的应用

　15

FIND计划;

(2)可信计算组织(TCG)的可信计算的标准和

规范

[3,4]

;

进不依赖特定厂商的可信计算平台工作标准的制定,推动基于硬件安全模块支持下的可信计算平台的广泛使用,提高网络和系统整体的安全性。

(3)微软公司提出的下一代安全计算基(NG2SCB)

;

[6]

(4)思科公司提出的“自防御网络”;(5)基于IPv6协议的源地址认证技术[7]。

[5]

1.2　国内外发展现状

当前,可信计算已经成为一个热门研究和开放

领域,已经形成了包括TPM芯片、主板、台式机或笔记本、软件、网络设备在内的可信计算产业链,例如Infineon、Atmel和国家半导体推出了符合TCG规范的TPM芯片,Intel则推出了支持TPM的主板,NT2RU、Infineon、RSA、HP和IBM实现了完整的TSS

其中,TCG提出的可信计算试图构建新的网络

终端平台,并以此作为构建可信网络的一个基础,从源头上抑制网络上不安全的因素,很有可能作为高可信网络的基础技术之一,对下一代信息安全解决方案产生重大影响。

1　可信计算产生背景与发展现状

1.1　产生背景

　　高度智能化和开放架构的通用计算平台构建的计算机终端是造成因特网困境的一个主要原因。恶意用户可以在上面随心所欲地运行各种软件,可以调试、破解、运行DDoS控制端软件、伪造IP源地址等;计算机操作系统和应用程序日益复杂,也难免会出现安全漏洞被攻击程序利用。与开放架构的通用计算平台相对的是封闭架构的专用计算平台,例如银行的ATM取款机和SONY的电子游戏机,这类系统功能相对单一,具备专用性,应用于强制访问控制的环境,仅支持有限的专用业务。用户只能按照事先由设计者或拥有者制定的安全策略使用。

开放架构计算平台具有灵活性,支持多业务,但却丧失安全性;封闭架构计算平台具有安全性,但支持业务有限,丧失灵活性。基于这样的认识,可信计算平台应运而生,它体现了权衡两者利弊的设计思想,既具备开放架构计算平台的通用性和灵活性,又具备封闭架构计算平台的高安全性。

2000年12月美国卡内基梅隆大学(CMU)与美国国家宇航总署(NASA)的艾姆斯研究中心牵头,十几家大公司和著名大学成立了高可信计算联盟(TCPA)。在TCPA中,微软、Intel、IBM等公司致力于发展新一代安全、可信的硬件运算平台,包括研制密码芯片、特殊的CPU和BIOS、计算机主板、操作系统安全内核等。2003年4月,TCPA被重组为可信计算组织(TCG)。我国的联想集团公司是TCG成员之一。TCG在原TCPA强调安全硬件平台构建的宗旨之外,更进一步增加了对软件安全性的关注,旨在从跨平台的硬件组件和软件接口两个方面,促

等。在TPM芯片、主板和TSS的支持下,包括IBM、HP在内的PC厂商迅速推出了符合TCG规范的可信计算机。此外,Cisco在其“自防御网络”的解决方案中还提出了与可信网络连接(TNC)类似的网络准入控制(NAC)方案。在国内,可信计算在国家层面大力支持、厂商积极参与和用户重视下,正在处于迅速发展的阶段。已经出台的国家“十一五”规划和863计划都将“可信计算”列入重点支持项目,并有较大规模的投入和扶持。2005年初,我国可信计算标准工作组正式成立,有关可信计算标准目前正在制定过程中。2005年,瑞达公司推出了国内首款自主研发的、具有TPM功能的可信安全计算机(SQY14嵌入密码型计算机)。联想集团和兆日科技联合在2005年4月正式推出基于可信计算技术的PC安全芯片(TPM)。此后不久,使用此安全芯片的安全PC产品纷纷面世。同时,主要是在党、政、金融系统的网络和系统中,基于可信计算平台的信息安全解决方

[8]

案已经或正在广泛地推广应用。

应当看到,虽然国内在TPM安全芯片的研发方面取得了一些进展,但由于国内的高端通用CPU芯片、计算机主板和安全操作系统的自主设计和研发正处于起步和追赶阶段,可信计算的发展和应用水平与国外相比,仍有较大差距。同时,在军事通信网络和信息系统的安全防护领域,可信计算的应用及其对安全防护系统体系结构和装备技术的影响还疏于研究,尚无一致的共识。

2　可信计算的安全防护机制

2.1　TPM的构成

　　可信计算安全防护机制的基础是可信平台模块(TPM)。与传统的计算机相比,主板上增加了一个

　16

　中国电子科学研究院学报

2008年第1期

被称之为TBB(可信构件)的部分。TBB由CRTM(核心测量根)和TPM及它们和主板的联结组成。CRTM和TPM是主板上唯一的可信组件,负责整个信任体系的建立过程,可以理解为信任建立的起点。

CRTM是以软件的形式存在的,是可信计算平台BIOS的引导部分;而TPM是一个硬件模块,为可信计算提供所需的基本运算和存储功能,主要包括随机数生成、密钥产生、非对称密码运算、哈希运算和存储等功能。TPM功能结构图如图1所示。

置密钥的区域)的全面隔离。外部实体无法获取隔离区域中的秘密信息。密钥可以在TPM内部产生并受到保护。被TPM加密的数据或密钥只能被TPM解密,同时在加密时可以加入平台的配置状态信息,规定解密时必须具备相符的平台配置状态PCR值时才能解密(封装存储)。TPM硬件还具有防篡改特性,可以抵御有限的物理攻击。

传统的数据加密存储可以使用这种保护存储机制进行改造,以获取更高的安全性。TPM在其内部生成一个存储密钥对待加密的数据进行加密。加密后的数据存放在磁盘中。存储密钥安全地存储在TPM内部,外部实体无法获得该存储密钥,就无法解

密数据。在加密过程中同时封装解密时需要的PCR值,解密时终端的配置状态信息满足要求即PCR值相符时才能解密成功,这种机制称为封装存储。2.4　可信报告机制图1　TPM功能结构图

2.2　完整性度量机制完整性度量是指对可信计算平台上运行的操作系统、应用程序、硬件配置文件进行散列运算,从而得到能够反映可信计算平台可信度的特征值。完整性度量的特征值将存入TPM易失性存储器中的平台配置寄存器PCR中,度量过程的事件信息同时存入可信计算平台的完整性度量日志中。

TCG可信计算使用SHA1算法进行散列运算,输出的160bit信息能够无歧义地标识被度量的对象。目前的TPM版本支持的PCR有24个,对PCR的修改方式有两种:复位和扩展操作,均在TPM内部进行,可以有效地抵御恶意代码的修改和破坏。每次系统重启后PCR都会被复位为零。扩展操作把当前PCR值和新计算的完整性度量值进行链接后再调用SHA1运算,用输出的值更新PCR。即

PCRnew=SHA1(PCRoldζm)

其中m为新计算的完整性度量值,PCRold为当前PCR值,PCRnew为更新后的PCR值。

这种方式可以实时准确的记录系统的状态信息,用有限的空间存储“无限”的完整性度量值,理论上能够表示终端上发生的任意个完整性度量的事件序列。

可信报告机制包含两方面的内容:(1)身份认证,即可信计算平台向质询的一方证明自己的身份;(2)完整性报告,即可信计算平台向质询的一方报告自己的完整性状态。通过可信报告机制,质询的一方不仅可以辨别对方“是谁”,进一步还可以判断对方是否因为感染病毒、非法安装软件等造成的完整性状态的变化。

可信计算平台与TPM绑定,每一个TPM都包含了一个惟一的背书密钥(EK),它是可信计算平台的惟一密码学身份标识。EK实际是一个公私钥对,通常由厂商创建,固化在TPM内部且不允许修改。为了保持EK的匿名性,可信计算平台在可信报告机制中没有使用EK,而是将EK衍生出的身份证明密钥AIK用于身份认证,并使用AIK私钥对PCR进行签名后向质询的一方报告。

在可信报告之前,可信计算平台要向PCA(私有CA)申请AIK证书,步骤如下。

(1)申请AIK证书的可信计算平台生成一对AIK密钥,然后将AIK公钥、背书证书、平台证书和一致性证书封装在一个AIK请求中;

(2)该请求被发送到PCA;

(3)PCA对请求中包含的一系列证书进行验证,以确认该请求有效;

(4)PCA生成AIK证书,并对其签名;

(5)PCA将签名后的AIK证书用申请者可信计算平台的EK公钥加密后发送给该平台。

在上述过程中,PCA是一个可信的第三方,需

2.3　保护存储机制

保护存储是指TPM提供对内存敏感区域(如放

　2008年第1期

　郝　平等:可信计算的安全防护机制及其在高可信网络中的应用

　17

要预置对所信任的TPM厂商、平台厂商和第三方评

测机构的公钥,具备对背书证书、平台证书和一致性证书的验证能力。第一步中使用的背书证书通常由TPM厂商所签发,包含EK公钥、TPM型号与厂商说明,用于说明TPM的身份和属性;平台证书通常由平台厂商所签发,包含内平台内背书证书的引用、平台型号和厂商说明,用于说明平台的属性;一致性证书通常由第三方的评测机构所签发,包含对平台证书中平台型号和厂商说明的引用、对背书证书中TPM型号和厂商说明的引用,它是评测机构的一个声明,证明可信计算平台的相关信息真实且符合TCG规范。第五步中PCA使用申请者的EK公钥

信能力(包含度量能力、存储能力、报告能力),使平台成为可信计算平台。度量能力产生关于平台软硬件完整性的度量信息,并把度量结果提交给存储能力;报告能力负责把度量结果可靠地提交给质询方,阻止对度量结果的非授权改变;存储能力提供了最小化所需要的可信存储空间的方法。三种可信能力通过协作,使度量值对当前平台计算环境的描述对质询方可信。质询方将度量值和期望值(平台按期望方式运行时的所得的值)进行比较。如果度量值和期望值充分匹配,就可以认为平台上的计算会按照期望的方式执行,从而是可信的。

首先CRTM要度量自己的完整性,将度量的散列值存入TPM的PCR中,并将度量事件加入到内存的日志中;第二步CRTM度量BIOS的完整性,存储度量结果(包括存储散列值和度量事件);第三步BIOS程序加载,度量操作系统加载程序(OSLoad2er),存储度量结果;第四步OSLoader加载,度量操作系统,存储度量结果;最后操作系统获得控制权。在应用程序运行前也要对其进行度量,并存储度量结果。这样一级度量一级,并存储度量结果的信任传递过程,就构成了从CRTM到操作系统、应用程序的信任链,如图2所示。

加密AIK证书,因此只有具有相应EK私钥的TPM

才能解开,这就确保了AIK与EK和可信计算平台的绑定关系,所以AIK是EK的一个别称,可信计算平台可以使用AIK来进行身份认证和完整性报告,同时又保证EK的匿名性。

一旦申请了AIK证书,可信计算平台就可以将其用于可信报告机制中,设平台一是可信报告的一方,平台二是质询的一方,具体步骤包括:

(1)平台一请求对平台二进行访问;

(2)平台二向平台一发送一个随机质询,要求平台一证明身份,同时说明需要哪些PCR值;

(3)平台一TPM使用AIK私钥对需要的PCR值和随机质询进行签名;

(4)平台一将签名后的值和AIK证书一起发送给平台二;

(5)平台二在PCA的帮助下,对AIK证书进行验证,以确定平台一的身份;

(6)平台二使用AIK公钥验证PCR的签名,评估所反映的完整性状态是否如自己所预期,即通过将对方报告的PCR值与自己的预期值相比较,以确定平台一是否可信。

图2　信任链建立过程

2.5　信任链机制

信任链的建立综合应用了完整性度量、保护存储和可信报告等安全机制。

信任链建立的起点是信任根。在TCG的可信计算平台架构中,BIOS的引导部分CRTM和TPM共同构成可信计算平台的信任根,又称为TBB。其可信性主要通过管理措施和技术措施予以保证。TPM被设计为单独的芯片,保护存储机制使其具备

这样的引导过程,称为受鉴别保护的引导。其原理是,许可平台进入任何状态,但平台无法隐瞒自己的状态。任何实体在获得控制权之前都要经过完整性的度量,因此恶意程序将无法隐瞒自己曾经运行的事实。质询的一方可以据此判断平台的状态是否如它所预期。

2.6　可信网络连接(TNC)机制

如图3所示。TNC架构在横向上可以分为三类实体:访问请求者(AR)、策略执行点(PEP)和策略决策点(PDP),均为逻辑

TCG定义的TNC架构

[9]

抵抗软件攻击和一定的物理攻击的能力。

TBB在平台加电引导时,为平台输出初始的可

实体。AR是请求访问网络的实体;PDP根据特定的网络访问控制策略对AR进行检查,决定是否准许AR访问网络;PEP是执行PDP决策的网络实体,

　18

　中国电子科学研究院学报

2008年第1期

能够直接控制AR能否访问网络。TNC架构在纵向上又可分为三层:网络访问层支持传统的网络访问技术,如802.1x;完整性评估层根据一定的安全策略评估AR的完整性状况;完整性度量层收集和验证AR的完整性相关信息。在一个网络中,通常AR是请求接入网络的终端,PEP可以是一些接入控制设备,如交换机、防火墙或VPN网关,而PDP是接入控制服务器,通常是增加完整性校验功能的AAA服务器、Radius或Diameter服务器。TNC的网络接入过程可以概括为:终端首先请求接入,接入控制设备将该请求转发到接入控制服务器,接入控制服务器进行对终端计算平台的认证、终端用户的身份认证和终端的完整性检查。如果一切符合策略则允许接入,否则拒绝接入。

攻击,外部实体难以获取里面存储的秘密信息。同时,TPM又与传统的智能卡不同,除了加解密运算和存储密钥外,还作为信任的根和完整性度量值的安全存储区域。我们可以改造传统的安全解决方案,将一些秘密信息如密钥存储在TPM的安全区域而非磁盘中,并且可以使用完整性度量信息在判断终端是否可信之后解密,从而获取更高级别的终端安全,为敏感数据提供更有效地保护。

(2)基于完整性度量的恶意代码和非法行为检测终端上的每一个程序在获取控制权之前都要经过完整性的度量,度量结果存储在TPM的安全区域———PCR寄存器中。在计算终端进行各种网络访问活动的时候,质询的一方将按照自己的期望,要求该计算机终端进行完整性的报告,包括操作系统的核心文件、补丁程序、病毒代码库、安全插件等。由于完整性度量值能够唯一标识终端按照某个特定的顺序运行某些程序后所处的状态,任何不满足期望的状态都可以被检测出来。

因此,恶意代码将无法隐瞒自己曾经运行的事实,终端的使用用户随意安装软硬件的行为也可以通过完整性度量机制检测到。应用可信计算以后,除了提高检测病毒等恶意代码的能力外,主管部门可以对网络的终端用户实施更强有力的监管。

(3)基于信任根和信任链建立的安全引导应用可信计算以后,终端基于信任根和信任链建立机制进行安全引导,一级认证一级,一级信任一级。在这个过程中,TPM作为终端内的可信第三方,实时、客观地完成系统内部状态完整性度量信息的收集和安全存储,使用这些状态信息可以实现终端自身的度量,用于与完整性度量的预期值进行比较,若不同就结束引导过程,从而保证终端运行环境的安全可信。进一步地这些信息还可以为网络环境中实体之间的相互认证提供终端可信的证据,作为可信网络环境建立的基础。

图3　TNC架构

3　应用前景及对安全防护体系的影响

“高可信网络”目前虽没有严格的定义,但其根本的内涵仍是,针对通信网络和信息系统安全特点的、在整体上不同于传统解决方案的、基于下一代信息安全技术的网络架构。

根据前文对可信计算的产生背景、国内外发展现状和安全防护机制的分析,我们认为,可信计算技术极有可能成为构成高可信网络的下一代信息安全技术之一,将对终端安全防护、网络接入控制和内部安全管理的技术产生影响。

3.1　终端安全防护

(1)基于TPM硬件的身份认证和保护存储

3.2　网络接入控制

在网络现有安全防护系统的基础上,采用TNC

机制,可以在终端接入网络时实施用户身份认证、平台认证和平台完整性的度量,能够更细粒度地控制终端入网,不明来历的终端、非法用户入网,以及防止恶意代码通过网络传播。对于不符合安全策略(如病毒库过期、操作系统有严重漏洞)的用户终端,交换机、路由器等接入控制设备可将其导入隔离缓冲网络,通常是一个单独的VLAN,然后对该用户

应用可信计算技术以后,TPM将作为实施可信计算安全防护机制的基础,与终端进行绑定,拥有一个唯一的背书密钥EK,代表了该终端在网络中的唯一身份。

与现在防病毒系统、安全操作系统、主机监控等基于软件的安全解决方案有所不同的是,可信计算是基于硬件的安全防护解决方案。TPM是一个防篡改的安全芯片,可以抵抗软件攻击和有限的物理

　2008年第1期

　郝　平等:可信计算的安全防护机制及其在高可信网络中的应用

　19

终端进行矫正,例如升级病毒库或补丁,然后才能准

许其接入网络。

3.3　内部安全管理

传统的信息安全技术以防外为重点,而今通信网络和系统面临的安全挑战是“不知道谁在我的网络和系统中”,急需解决内部安全监控问题。可信计算从终端出发解决安全问题的思路正好满足这个需求。应用可信计算技术,不但可以对终端用户的身份进行认证,而且可以对终端平台的身份和终端平台软硬件配置等进行细粒度地监控和管理。通过TPM芯片与每台用户终端的绑定,使网络上的每台终端都有了惟一的身份,这是内部监管环境的基础。在平台身份证明过程中,除了平台的身份深证之外,还增加了完整性报告的环节,细化了内部监管的内容,增加了监管的力度。

与公共的因特网不同,在军事应用或其他高可信网络中,网络和系统具有惟一的主管方,适合应用强制访问控制(MAC)策略于网络上的每台终端。同时,在这些应用中,可以不需考虑网络的匿名性和用户的隐私权的问题,因此可以简化身份认证和完整性报告的过程。

应用可信计算技术还可以在安全管理的安全事件关联分析、攻击行为调查取证与审计、应急响应等方面发挥重要的作用。

解决一部分终端引入的安全问题,但没有现有因特网的架构,无法改变因特网本身固有的安全缺陷。

这也体现了“整体安全”、“相对安全”的概念,依赖于某一项信息安全技术要解决信息安全的全部问题显然是不现实的。任何时候都不存在一项技术,使得网络和系统获得绝对的安全。可信计算是信息安全体系中一种新的解决方案。对比传统的解决方案,其具有的安全机制可以更好地解决因特网架构的部分安全问题,但并不代表要抛弃现有的安全防护体系。参考文献:

[1]NationalScienceFoundation.

www.nsf.gov/cise/geni.[2]NationalScienceFoundation.

FutureInternetNetwork

Design[EB/OL].[2007203223].http://find.isi.edu/.[3]TrustedComputingGroup.TCGSpecificationArchitec2

tureOverview[EB/OL].[2007207210].http://www.trustedcomputinggroup.org.

[4]TrustedComputingGroup.TCGPCSpecificImplementa2

tion[EB/OL].[2007207210].http://www.trustedcom2putinggroup.org.

[5]MicrosoftCorp.NGSCB:TrustedComputingBaseand

SoftwareAuthentication[EB/OL].[2007203223].http://www.microsoft.com/resources/ngscb/documents/ngscb_tcb.doc.

[6]DuaneDeCapite.Self2DefendingNetworks:TheNext

GenerationofNetworkSecurity[M].Indianapolis:CiscoPress,2006.

[7]JIANPINGWU,JUNBI,etal.AnEnd2to2endSource

AddressValidationSolutionforIPv6[EB/OL].[2007208220].http://www.ietf.org.

[8]沈昌祥.坚持自主创新,加速发展可信计算[J].计算

GlobalEnvironmentfor

NetworkInnovations[EB/OL].[2007203223].http://

3.4　应用前景评估

相对于现有的信息安全防护体系,可信计算采

用的基础技术基本相同,如基于密码的机密性保护、基于数字签名的完整性保护、基于证书体系的证明过程和身份认证。但是,可信计算从终端平台的身份认证和完整性报告出发,建立信任链的思路和技术途径是一个有创新的解决方案。应用可信计算技术,可以较好地解决以下的信息安全问题。

(1)用户的身份认证和平台的身份认证;(2)检测病毒、蠕虫、木马等恶意代码的入侵、驻留和运行;

(3)密钥等机密数据的保护;

(4)检测用户对终端软硬件配置的随意改变;(5)对用户终端细粒度的网络接入控制。尽管如此,可信计算技术也不是信息安全的万能良药。例如,可信计算虽然可以防止引入非法软件,但却无法避免合法软件本身出现安全漏洞。虽然可信计算对安全防护的体系结构作了创新,能够

机安全,2006,6:224.

[9]TrustedComputingGroup.TCGTrustedNetworkConnect

TNCArchitectureforInteroperability[EB/OL].[2007207210].http://www.trustedcomputinggroup.org.

作者简介

郝　平(1957-),男,四川渠县人,　　　

研究员级高级工程师,主要从事信息安全和通信网络方面的研究工作;

何　恩(1980-),男,四川自贡人,工程师,主要从事网络与信息安全方面的总体论证和技术研究工作。