登录 / 注册

可信计算进展综述(技术篇)

首页    专家观点    可信计算进展综述(技术篇)

作者:张建标 中关村可信计算产业联盟特聘专家

 

01
 
 什么是可信计算?

可信计算的概念可以追溯到1985年美国国防部公布的《可信计算机系统评估准则》(TCSEC),第一次提出了可信计算机和可信计算基(TCB)的概念,并把TCB作为系统安全的基础。

2003年,可信计算组织(TCG)提出新的可信定义:如果一个实体的行为总是以预期的方式,朝着预期的目标,则该实体是可信的。
我国从自身国情和技术出发,提出了主动免疫可信计算的新计算模式,采用计算和防护并行的双体系结构,使计算结果总是符合预期,计算全程可测可控,不被干扰。
02
 
TCG的可信计算

1999年,Intel、HP、IBM和Microsoft等著名IT企业发起成立了可信计算平台联盟(TCPA),其主要思想是通过在硬件平台上引入安全芯片架构,来提高终端系统的安全性,主要目标是解决系统和终端的完整性问题。

2003年,TCPA改组为TCG,提出用实体行为的预期性来定义可信,即一个实体如果它的行为总是以预期的方式,达到预期的目标,则这个实体就是可信的。其基本思想是:首先在计算机系统中建立一个可信根,再建立一条可信链。从可信根开始到硬件平台、操作系统、应用,一级测量认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。其中,可信根由可信度量根RTM、可信存储根RTS和可信报告根RTR三部分构成。RTM是一个能够可靠进行完整性度量的计算引擎,是信任传递链的起始点;RTS是一个能够可靠进行安全存储的计算引擎;RTR是一个能够可靠报告可信存储根所存储信息的计算引擎。可信根的可信性由物理安全、技术安全、管理安全共同确保。

TCG制定了一系列的可信计算技术规范,如可信PC规范、可信平台模块(TPM)规范、可信软件栈(TSS)规范、可信网络连接(TNC)规范等。TCG于2003年开始制定TPM规范,2009年ISO/IEC接受TPM 1.2规范成为国际标准ISO/IEC 11889-1~4:20092015年TCG又发布了TPM 2.0ISO/IEC 11889-1~4:2015)TPM 2.0与TPM 1.2并不兼容,与TPM 1.2相比,TPM 2.0有如下改进:①吸收了TPM 1.2和TCM的优点,在密码算法上更加灵活,TPM 2.0增加了对称密码算法的支持;②解决了不同国家的本地需求,保持较好的兼容性,如国内的TPM 2.0芯片可以支持SM2、SM3和SM4国密算法;③TPM 1.2实现为一个安全芯片,TPM 2.0规范主要提供一个参考以及可能实现的方式,并没有限制必须以安全芯片的形式存在。

TPM作为可信根的主要缺点是:TPM被设计成一种被动部件,缺少对平台安全的主动控制作用;可信度量根RTM是一个软件模块,存储在TPM之外,容易受到恶意攻击。

03
 
中国的主动免疫可信计算

我国从自身国情和技术出发,网络安全专家沈昌祥院士提出主动免疫可信计算(也称可信计算3.0的思想:主动免疫可信计算就是计算运算的同时进行安全防护,以密码为基因实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。

2006年我国进入制定可信计算规范和标准的阶段,在国家密码管理局的主持下制定了《可信计算平台密码技术方案》和《可信计算密码支撑平台功能与接口规范》。2007年在国家信息安全标准化委员会的主持下,北京工业大学可信计算实验室牵头,联合几十家单位,开始“可信平台控制模块”等四个主体标准和“可信计算体系结构”等四个配套标准的研究工作,构建了我国可信计算标准的体系框架,目前已发布的可信计算国家标准如表1

 

 
(1)新计算模式:计算同时进行安全防护
 
 
 
 
 

主动免疫可信计算是一种运算同时进行安全防护的新计算模式,采用计算和防护并行的双体系结构,在计算的同时进行安全防护,使计算结果总是符合预期,计算全程可测可控,不被干扰。

 

(2)双体系结构:计算部件+防护部件
 
 
 
 
 

主动免疫可信计算建立双体系结构(如图1所示),包括计算部件和防护部件。保持原有计算部件功能流程不变,同时并行建立一个逻辑上独立的防护部件,能够主动实施对计算部件的可信监控,实现对计算部件全生命周期的可信保障。

防护部件并接于计算部件的TPCM(可信平台控制模块)作为可信根,先于计算部件启动,主动对计算部件进行度量并实施控制成为系统可信的源头。其次,构建了可信软件基,对上承接可信管理机制,在安全策略规则的支配下实施主动监控;对下调度管理TPCM等可信硬件资源,协调完成主动度量及控制。

TPCM作为可信根具备主动的度量功能,而且将可信度量根RTM、可信存储根RTS和可信报告根RTR集于TPCM中,提高了安全性。

 

1:计算+防护的双体系结构

 

(3)四要素可信动态访问控制
 
 
 
 
 

传统访问控制机制是实现系统安全的有效措施,基于主体、客体和操作三要素,控制主/客体的操作行为,保证系统访问的安全。但传统无计算环境要素的访问控制策略模型只基于授权标识属性进行操作,而不作可信验证,导致难防篡改的安全缺陷。如恶意用户假冒合法实体进行资源访问、合法实体被篡改导致越权访问资源、破坏被授权客体的完整性、计算环境的重要配置文件篡改等,访问控制过程的可信性无法保障。

因此,必须对访问控制过程中的“主体、客体、操作、环境”四要素进行动态可信度量、识别和控制,如图2所示。

2:四要素可信动态访问控制

 

04
 
结束语

2014年4月16日,由中国工程院沈昌祥院士提议,中国电子信息产业集团、北京工业大学、中国电力科学研究院等60家单位发起的中关村可信计算产业联盟正式成立。目前,该联盟成员超过350家,涉及中国可信计算产业链的各个环节,覆盖了产学研用测各界,有力推动了可信计算的产业化。

为进一步解决我国重要信息基础产品和系统缺失内生安全和主动免疫能力的问题,国家网络安全等级保护制度2.0与可信计算3.0攻关示范基地于2020年10月28日在北京工业大学揭牌成立,旨在组织国内产学研用各领域单位开展等级保护2.0和可信计算3.0联合攻关、适配测试和应用示范等工作,加速促进国家等级保护2.0制度的落地和推广。


(原创版权所有,引用请标明出处。)

 

 

 

 

 

 

 

 

 

  

 

 

 

 

 

2023年1月1日 08:42
浏览量:0
收藏