二十分鐘可信計算科普

北京工業(yè)大學計算機學院

可信計算北京市重點實驗室胡俊二十分鐘可信計算科普*可信計算北京市重點實驗室*平安機制自身的平安問題上世紀八十年代的TCSEC標準將系統(tǒng)中所有平安機制的總和定義為可信計算基〔TCB)TCB的要求：獨立的，具有抗篡改性不可旁路最小化以便于分析和測試問題：當平安機制分布在系統(tǒng)的各個位置時，如何保證TCB的要求能夠滿足？可信計算的緣起*可信計算北京市重點實驗室*可信計算的核心概念：可信根和可信鏈可信環(huán)境必須有一個基于密碼學和物理保護的可靠的信任源頭，這一信任源頭就是系統(tǒng)的可信根〔TPM/TCM或者TPCM)。系統(tǒng)中的可信元件〔平安機制〕，其可信性應通過從這一可信根出發(fā)，經(jīng)過一環(huán)套一環(huán)的可信傳遞過程來保障其可信性。系統(tǒng)的可信計算基中所有元件應構(gòu)成一個完整的可信鏈條，以確保整個可信計算基的可信性?？尚庞嬎愕慕鉀Q思路*可信計算北京市重點實驗室*可信報告可信存儲可信度量可信計算的關(guān)鍵技術(shù)*可信計算北京市重點實驗室*可信報告根本原理TPM/TCM背書密鑰〔EK〕背書密鑰的公鑰平臺身份密鑰〔AIK〕平臺身份證書(含CA簽名以及AIK公鑰〕證書認證中心可信報告可信報告簽名驗證*可信計算北京市重點實驗室*可信報告實施方式本地可信計算平臺TPM/TCM背書密鑰〔EK〕平臺身份密鑰〔AIK〕平臺可信度量效勞證書認證中心EK私鑰存放于可信報告根中，公鑰證書公開，但并不直接用于認證AIK由EK和證書認證中心聯(lián)合生成，用以認證平臺的身份可信策略效勞中心遠程可信計算平臺證書認證中心為可信計算平臺可信策略效勞中心提供證書支持遠程可信計算平臺接收發(fā)來的可信報告，并根據(jù)可信策略效勞中心獲取的度量基準值驗證本地可信計算平臺的可信性平臺可信度量效勞度量平臺可信性，并將度量結(jié)果發(fā)送給可信根，生成可信報揭發(fā)送給遠程可信計算平臺*可信計算北京市重點實驗室*可信存儲根本原理TPM/TCM存儲根密鑰〔SRK〕存儲密鑰保密數(shù)據(jù)加密存儲密鑰存儲密鑰密鑰策略存儲密鑰存儲密鑰加密存儲密鑰包解密密鑰導入/導出*可信計算北京市重點實驗室*可信存儲實施方式存儲根密鑰〔SRK〕平臺身份密鑰〔AIK〕不可遷移存儲密鑰平臺遷移密鑰用戶可遷移存儲密鑰用戶不可遷移存儲密鑰用戶簽名密鑰用戶綁定密鑰存儲根密鑰存放于可信根中，永遠不TPM傳播密鑰向外界暴露內(nèi)容存儲根密鑰保護用于可信報告的平臺身份密鑰不可遷移存儲密鑰與平臺綁定，僅能在本機執(zhí)行，管理本機環(huán)境下的用戶簽名密鑰和用戶綁定密鑰平臺遷移密鑰可通過密碼協(xié)議實現(xiàn)存儲密鑰在可信計算平臺間的遷移，以實現(xiàn)平臺間的平安數(shù)據(jù)交換*可信計算北京市重點實驗室*可信度量根本原理TPM/TCMPCR存放器平安機制寫入平安機制讀取可信基準庫驗證PCR寫入原理PCR舊值寫入值哈希算法PCR新值驗證寫入值1寫入值2寫入值3寫入值n...寫入值序列*可信計算北京市重點實驗室*可信度量實施方式可信度量根可信存儲根可信報告根可信根BIOSBIOS度量階段OSLoader度量階段OS

度量階段OSLoader可信基準值OSLoaderOS應用可信芯片度量階段可信鏈條度量值度量值度量值OS可信基準值系統(tǒng)從可信根開始，首先進行BIOS的可信度量，度量通過后啟動BIOSBIOS度量OSLoader，度量通過后將控制權(quán)移交OSLoader度量OS啟動過程，度量通過后執(zhí)行OS啟動流程*可信計算北京市重點實驗室*被動可信計算體系：TCG可信可信機制由平安機制調(diào)用，被動地提供效勞所有經(jīng)可信認證的系統(tǒng)元件構(gòu)成一個生態(tài)圈，排除所有未經(jīng)認證的元件和修改件主動可信計算體系：我國的可信計算標準體系可信機制自成系統(tǒng)，主動監(jiān)控系統(tǒng)并提供可信效勞可信的標準由平安管理者自行制定，可信機制驗證系統(tǒng)是否符合平安管理者所制定的標準兩種可信計算體系*可信計算北京市重點實驗室*TCG的被動可信機制例如運行態(tài)安全機制安全控制安全控制安全決策安全決策安全監(jiān)視安全監(jiān)視操作系統(tǒng)平安架構(gòu)操作系統(tǒng)安全服務(wù)模塊第三方安全服務(wù)模塊平臺可信服務(wù)模塊可信軟件棧并發(fā)訪問數(shù)據(jù)流封裝對象管理可信服務(wù)提供者（TSP)接口初始平安機制證書判決機制操作系統(tǒng)平安效勞接口會話管理證書發(fā)放者〔微軟〕嵌入式可信機制嵌入式可信機制可信根*可信計算北京市重點實驗室*TCG的可信是“保證可信”通過一個信任領(lǐng)域的“上帝”來保證共同的可信觀?？尚排c不可信的界限之間涇渭清楚。用戶被動接收可信的結(jié)論，沒有自主選擇權(quán)?！皟?nèi)鬼”會污染整個可信體系TCG可信Tips*可信計算北京市重點實驗室*TCG可信二元化的可信認證方式，不能處理現(xiàn)代信息系統(tǒng)的復雜信任關(guān)系TCG可信被動式的可信調(diào)用模式，無法現(xiàn)代信息系統(tǒng)靈活多變的應用運行模式。為什么TCG可信不適應現(xiàn)代信息系統(tǒng)？*可信計算北京市重點實驗室*主動可信機制例如可信硬件平臺運行態(tài)安全機制運行態(tài)安全機制運行態(tài)安全機制安全服務(wù)評估方安全服務(wù)評估方安全決策安全決策底層安全監(jiān)控機制安全機制組件初始平安機制可信平臺控制模塊安全服務(wù)測評方安全服務(wù)提供商安全管理中心策略模板測評結(jié)果實施策略安全管理程序?qū)嵤┎呗詫嵤┎呗杂脩羝桨残枨罂尚艆f(xié)作中間件可信調(diào)度策略傳遞縱深防御平安擴展可信基礎(chǔ)軟件可信審計程序?qū)嵤┎呗詫嵤┎呗詫徲媹蟾鎀CM可信硬件可信機制組件可信機制組件可信機制組件*可信計算北京市重點實驗室*主動可信機制可以實現(xiàn)多元化的復雜可信管理與協(xié)作，能適應復雜信任模型的需求主動可信機制能夠?qū)崿F(xiàn)平安機制的按需調(diào)度配置，能適應多種軟件定義的應用運行模式主動可信機制可以獨立于已有架構(gòu)實現(xiàn)，既可保證系統(tǒng)的兼容性，又便于實現(xiàn)平安的自主自控主動可信機制適用于現(xiàn)代信息系統(tǒng)*可信計算北京市重點實驗室*在信息系統(tǒng)中，不需要，也不應該有一個信任上的“上帝”電子空間的信任體系，應當是現(xiàn)實信任關(guān)系在信息系統(tǒng)中的映射。