可信計算是什么
綜觀全球信息產業(yè)���,安全問題已經引發(fā)了用戶群體乃至行業(yè)廠商的普遍性憂慮和不滿����,大家都在思考一個問題:未來的安全應走向何方����?本文將帶領讀者深入的認識“可信計算”��,并探討可信計算平臺是否是安全問題的下一個答案��。國際性的非盈利機構可信計算工作組(Trusted Computing Group����,TCG)對可信的定義:可信是一種期望,在這種期望下設備按照特定的目的以特定的方式運轉����。TCG針對不同的終端類型和平臺形式制訂出了一系列完整的規(guī)范�,例如個人電腦�����、服務器�、移動電話、通信網絡�、軟件等等,這些規(guī)范所定義的可信平臺模塊(TPM)通常以硬件的形式被嵌入到各種計算終端以用于提供更可信的運算基礎��。事實上TPM仍舊是一種基于軟件的安全代理��,只不過TPM是以硬件的方式集成在計算設備當中的�。總體來看����,可信計算平臺就是在整個計算設施中建立起一個驗證體系,通過確保每個終端的安全性提升整個計算體系的安全性�。
可信計算發(fā)展歷程
80年代中,美國國防部國家計算機安全中心制定了可信計算機安全評價標準(TCSEC)�。
1991年,英國��、法國、德國��、荷蘭四個國家提出了信息技術安全評價準則(ITSEC)���。
1993年1月�����,美國公布了融合ITSEC的可信計算機安全評價準則之聯邦準則����。
1999年10月��,IBM��、英特爾����、微軟���、惠普等廠商組織成立了可信計算平臺聯盟(TCPA)�。
2003年3月�����,可信計算工作組(TCG)成立。
2003年10月�,TCG發(fā)布了可信平臺模塊(TPM)1.2版本的核心規(guī)范。
2004年6月���,武漢瑞達推出國內首臺基于TPM的計算機產品����。
2005年1月����,我國成立國家安全標準委員會WG1可信計算工作小組專門規(guī)劃相關標準。
國家可信計算標準小貼士
盡管在IT產業(yè)中標準具有舉足輕重的作用���,并能夠對市場發(fā)展情況起到積極的影響��,但是在某些領域并不應該絕對的看待標準問題��,在安全領域特別是可信計算領域就是如此�。不加審視的遵循國際標準難免增加很多受到限制的擔憂����,特別是對于那些對國家具有關鍵作用的計算機系統(tǒng)。一個相對折衷的解決方法是在國際標準的基礎上建立國家自有的標準體系,例如我國已經籌建了名為CTCP的可信計算組織����。該組織制訂的規(guī)范將與TCG的標準保持絕大部分兼容,只在涉及國家安全的極少部分有一些不同��。此外����,經過全國信安標委秘書處研究決定,WG1可信計算工作小組成立大會于2005年1月19日在北京召開����。全國信安標委副主任委員呂誠昭、魏允韜�,秘書長林寧,副秘書長賈穎禾�����、吳志剛以及WG1專家組成員出席了會議�����。會議邀請了國家信息化專家咨詢委員會委員沈昌祥院士����、蔡吉仁院士與會。信息安全產���、學���、研各界人士約130人參加了這次會議。來自聯想����、浪潮、上海三零衛(wèi)士公司���、兆日科技公司��、中安科技公司���、啟明星辰公司的信息安全專家,也從各自在可信計算技術應用���、產品開發(fā)和產業(yè)發(fā)展的角度進行了報告�。該工作小組隸屬于全國信息安全標準化技術委員會���,專門執(zhí)行可信計算標準的制訂工作���。這個工作小組的成立標志著我國可信計算的發(fā)展正式進入了產業(yè)化階段���。
可信計算平臺的價值
可信計算以及相似概念所受到的推崇,究起根本來自于日益復雜的計算環(huán)境中層出不窮的安全威脅����,傳統(tǒng)的安全保護方法無論從構架還是從強度上來看已經力有未逮。目前業(yè)內的安全解決方案往往側重于先防外后防內�����、先防服務設施后防終端設施�����,而可信計算則反其道而行之����,首先保證所有終端的安全性,也即透過確保安全的組件來組建更大的安全系統(tǒng)��?���?尚庞嬎闫脚_在更底層進行更高級別防護,通過可信賴的硬件對軟件層次的攻擊進行保護可以使用戶獲得更強的保護能力和選擇空間��。傳統(tǒng)的安全保護基本是以軟件為基礎附以密鑰技術���,事實證明這種保護并不是非?��?煽慷掖嬖谥淮鄹牡目赡苄浴���?尚庞嬎闫脚_將加密�、解密����、認證等基本的安全功能寫入硬件芯片,并確保芯片中的信息不能在外部通過軟件隨意獲取�����。在這種情況下除非將硬件芯片從系統(tǒng)中移除�,否則理論上是無法突破這層防護的,這也是構建可信的計算機設備以及建立可信的計算機通信的基礎��。在硬件層執(zhí)行保護的另外一個優(yōu)勢是能夠獲得獨立于軟件環(huán)境的安全保護,這使得可以設計出具有更高安全限制能力的硬件系統(tǒng)���。通過系統(tǒng)硬件執(zhí)行相對基礎和底層的安全功能��,能保證一些軟件層的非法訪問和惡意操作無法完成�����,同時這也為生產更安全的軟件系統(tǒng)提供了支持�。綜合來看�����,可信計算平臺的應用可以為建設安全體系提供更加完善的底層基礎設施���,并為需要高安全級別的用戶提供更強有力的解決方案����。
如何應用可信計算
對于安全要求較高的場合���,可信計算平臺能夠為用戶提供更加有效的安全防護����。無論是要保護私密性數據,還是要控制網絡訪問����,以及系統(tǒng)可用性保障等等�,這些工作在應用了可信計算技術之后都能夠獲得更高的保護強度和更靈活的執(zhí)行方式。下面我們以PC平臺為主線來了解一下目前主要的各種可信計算應用�。其中包含了可信計算應用最廣泛的加密領域�、作為軟件系統(tǒng)核心的操作系統(tǒng)領域以及網絡傳輸控制和安全管理等方面的內容,對每個方面我們都會提供一個具體的實現范例��。
應用領域:信息加密保護
示范系統(tǒng):IBM嵌入式安全子系統(tǒng)
即使可信計算平臺成為主流���,加密仍將是安全保護方面的核心力量�,只是應用TPM將使系統(tǒng)的加密更具可信性�����。IBM是最早利用可信計算技術保護計算機設備的廠商之一�,針對個人電腦市場推出的解決方案被稱為IBM嵌入式安全子系統(tǒng),該系統(tǒng)與TPM規(guī)范規(guī)格兼容�����。這個安全子系統(tǒng)由內嵌在計算機中的安全芯片和IBM專用的客戶端安全軟件組成。安全芯片可以應用于登錄密碼�����、加密密鑰和數字證書的保護����,同時也可對文件系統(tǒng)(利用IBM的文件和文件夾加密功能)和網絡傳輸進行加密。由于安全芯片可以在200毫秒內完成RSA運算�,所以系統(tǒng)的運行并不會受到明顯的影響。除了這些保護功能之外�����,該安全系統(tǒng)的一個突出優(yōu)點是能夠防止計算機內的數據被非法獲取�。事實上在不獲得安全子系統(tǒng)口令的情況下未獲授權的人是無法獲取系統(tǒng)中任何信息的,因為在離開安全芯片的情況下無法讀取硬盤中的數據��。也就是說即使將硬盤插接到其它計算機上或者將安全芯片從計算機中去除都無法突破IBM安全子系統(tǒng)的防護�����。而且安全芯片本身的信息存儲和傳送也經過了高強度的加密���,加之IBM采用了特殊的芯片封裝方法����,使得安全芯片的破解極其困難。正確的應用了安全子系統(tǒng)之后用戶的數據可以得到妥善的保護�,特別是對于失竊這樣的情況,即使非法者盜取了計算機用戶的信息也不會泄密��。反之用戶也要注意牢記該系統(tǒng)的口令信息����,用戶一旦被自己系統(tǒng)鎖在外邊往往會慨嘆這個系統(tǒng)是多么的強健�。事實上這種類型的產品體現了目前可信計算最廣泛的應用,除了IBM之外���,HP也有類似的產品�����,而在國內����,武漢瑞達和聯想都推出了相似的產品���。武漢瑞達是中國最早開始可信計算研究的公司���,已經形成了全套自由知識產權的軟硬件環(huán)境�����。瑞達推出的可信計算機產品中包含了多種安全功能����,例如插入特別的電子鑰匙或IC卡才能開啟計算機����、為計算機提供唯一的標識、控制所有文件的輸入輸出等等�。具一些專業(yè)的評測機構評定,瑞達可信計算機所具有的安全功能和防護能力甚至超過了國外的產品�。而聯想借其推出的“恒智”安全芯片成為繼ATLEM之后全球第二個推出符合TPM 1.2標準安全芯片的廠商,“恒智”芯片可用于系統(tǒng)完整性校驗��,并能夠標識計算機身份以防止假冒�,而且該芯片將所有密鑰信息都存儲在芯片當中,使得安全性大大提高����。
武漢瑞達 – 中國可信計算奠基者
瑞達公司在2000年6月開始與武漢大學合作研制安全計算機����,武漢大學是國內最重要的可信計算研究地之一�。2001年5月該項目通過國家商業(yè)密碼管理委員會批準,并正式將該產品命名為SQY14嵌入式密碼計算機�����。時至今日��,瑞達已經數次推出了自主研發(fā)的安全芯片���,并形成了一整套相應的軟硬件技術。作為中國可信計算研究的先驅����,瑞達的產品已經在政府、金融����、電力、電信等行業(yè)獲得了廣泛應用�����。
聯想“恒智” – 邁向國際的可信計算
2005年4月11日,聯想繼ATLEM之后成為全球第二家推出符合TPM 1.2標準安全芯片的廠商��。這種被命名為“恒智”的安全芯片內置了32位的RISC處理器���,采用0.25微米嵌入式Flash工藝制造�����?��!昂阒恰笨梢杂糜谙到y(tǒng)完整性的校驗,并在軟件的配合下進行快速的系統(tǒng)還原��;裝有“恒智”的計算機將能獲得一個唯一的身份標識�,在其它計算機上無法使用與該計算機綁定的賬號,這樣就可避免其它計算機假冒自己�����;“恒智”將所有密鑰信息都存儲在芯片當中從而提供硬件級的加密功能����,相比軟件加密可信性更高?���!昂阒恰钡耐瞥鰧ξ覈男畔a業(yè)發(fā)展具有重大意義���,自主知識產權的安全芯片將極大的推動我國的芯片產業(yè)發(fā)展,并提高在世界芯片產業(yè)中的地位����。而且由于政策規(guī)定在國內銷售和使用的可信計算平臺必須使用本國的安全芯片技術,聯想已占領了中國可信計算的制高點����。
應用領域:操作系統(tǒng)安全
示范者:微軟Windows
雖然TCG所推出的規(guī)范大部分針對于硬件設施,但是同樣有一些針對于軟件層的規(guī)范可用�。作為全球最主要的操作系統(tǒng)供應商,微軟所供應的Windows系列產品一直因為安全問題而飽受微詞����。除了針對系統(tǒng)排錯和修復加大投入之外���,微軟也在不斷嘗試將可信計算技術融入到Windows操作系統(tǒng)當中���,以提供更安全的計算平臺。這其中應用較多的一項技術是微軟加密文件系統(tǒng)(EFS)�,這是微軟向操作系統(tǒng)中集成可信計算技術的最早嘗試之一�,Windows 2000及之后出現的Windows XP等系統(tǒng)都支持該特性��。右鍵單擊文件選擇“屬性”����,使用“高級”按鈕打開高級屬性對話框,在該對話框下方有一個加密文件的使能選項���,而在詳細信息中可以設置哪些用戶賬號可以訪問該加密文件�。該功能同樣也可以作用于文件夾�,設置了加密的文件或文件夾其名稱會顯示成綠色。在微軟最新的操作系統(tǒng)Vista中一個全新的被稱為安全啟動的特性將被應用�����,這是Windows所應用的第一個基于硬件的安全方案���。一個符合TPM規(guī)范的硬件設備將對每個Windows系統(tǒng)開機時需要用到的文件進行標記���,一旦在開機的過程中這個硬件檢驗出標記狀態(tài)的不吻合將很可能意味著這個系統(tǒng)受到了非授權的篡改或破壞。這種保護機制的問題在于如果由于用戶的疏忽或者應用軟件問題造成的文件損壞也可能造成標記的不符����,這將對用戶的使用造成不小的困擾�。
應用領域:網絡保護
示范者:3Com嵌入式防火墻
3Com公司提供集成了嵌入式防火墻(EFW)的網卡產品�,用以向安裝了該產品的計算機提供可定制的防火墻保護,另外還提供硬件VPN功能����。由于支持基于TPM規(guī)范的認證,所以用戶能夠利用這類網卡執(zhí)行更好的計算機管理�,使得只有合法的網卡才能用于訪問企業(yè)網絡。對于執(zhí)行了較嚴格策略的用戶來說�����,即使是使用失竊的網卡同樣無法聯入到企業(yè)網絡當中���?�;趯⒎婪逗凸芾砀佑行У牟渴鸬浇K端��,這類嵌入式防火墻產品使用戶可以建立更具可信性的網絡��。網卡中的硬件防火墻模塊相對于每個終端計算機上安裝的軟件防火墻來說性能更好,終端往往要為軟件防火墻耗費很多運算能力��。不過嵌入式防火墻的可配置能力和可擴展能力要相對差些���,如果用戶不需要太過復雜的防火墻規(guī)則���,并且希望更好的控制網絡訪問��,那么利用這種形式的產品將會非常有效����。
應用領域:安全管理
示范者:Intel主動管理技術
Intel主動管理技術(AMT)技術是為遠程計算機管理而設計的�����,之所以將其劃歸為可信計算技術是因為這項技術對于安全管理來說具有非常獨特的意義和重要的作用���,而且AMT的運作方式與TPM規(guī)范所提到的方式非常吻合���。在支持AMT的處理器、主板芯片組和網卡的計算機系統(tǒng)當中(Intel新的奔騰D平臺就提供了這樣的支持)���,既使在軟件系統(tǒng)崩潰�����、BIOS損壞甚至是沒有開機的狀態(tài)下管理員仍然能在遠程對計算機完成很多操作��。舉例來說��,在系統(tǒng)因病毒而癱瘓下管理員可以利用AMT技術遠程進行病毒清除��、補丁更新乃至操作系統(tǒng)安裝等工作��,從而可以極大的提高安全事件的響應速度并降低管理成本����。執(zhí)行更加復雜的管理工作有賴于軟件環(huán)境的支持,目前已經有很多計算機管理解決方案廠商開始在自己的產品線中支持AMT���,例如藍代斯克���。在新的解決方案中用戶無須在終端計算機中部署任何客戶端程序,而只透過AMT即可完成多種復雜的管理功能���。AMT在系統(tǒng)可用性上還有很多的貢獻���,想象一下在支持AMT的網卡中寫入一些服務功能,這樣在計算機系統(tǒng)失效的情況下這些服務將仍能夠維持運作�。
可信計算≠絕對安全
“沒有絕對的安全”這一定律并不會因為可信計算平臺的普及而失效,盡管無論從理念還是實效上來說可信計算平臺都有所創(chuàng)新�����,但是可信計算并不能解決所有的安全問題�����?���?尚庞嬎闫脚_只是提供了一個支點,至于是否能夠翹起地球還要依賴實際的實施者����。產品設計上的不良很容易導致安全問題,盡管基于硬件的TPM安全性很高�����,但是一旦發(fā)現問題同樣可能被攻擊者作為控制計算機系統(tǒng)的橋頭堡�����。而由于目前的可信計算通常仍需要與相應的軟件結合起來工作��,不正確的軟件使用或管理不善的密碼都可能為可信計算平臺形成“短板”。
可信計算延伸:目標指向更安全
安全系統(tǒng)的融合性與聯動性一直是困擾信息安全產業(yè)的一個難題����,可信計算成功的在終端層次取得了突破,如何將可信計算延展到更深更廣的層面以建立起更具安全性的計算設施呢����?事實上,以更高的目標建立更加抽象的可信計算架構��,是有志于在信息安全行業(yè)獲得領先地位者所給出的答案����。思科的自防御網絡、賽門鐵克的主動性安全基礎架構等安全框架已經成為這一領域的先行者���,而國內的天融信公司也提出了可信網絡架構的理念�。
[url=http://www./][/url]
展望可信計算
在評估一項新技術時可以從這樣一個角度來判定其地位�,就是該技術是否能夠全面替代舊有的技術。從實際情況我們可以得出結論���,可信計算平臺在創(chuàng)新的同時仍然著力于對已有安全體系的增強�,傳統(tǒng)的安全防護體系和方法并不會因為可信計算平臺的出現而消失�����,在未來的很長時間里,可信計算平臺與非可信計算平臺將互相融合并朝著更加安全的系統(tǒng)形式發(fā)展��。而比之可信計算平臺��,可信網絡架構在更高的抽象層次和更廣的作用范圍為信息安全的發(fā)展提供了指導��。如果可信網絡架構能夠形成相對統(tǒng)一的標準并獲得切實的應用�����,將對全球的信息安全建設起到積極的推動作用�����。
|
