1 引 言
综观全球信息产业,安全问题已经引发了用户体乃至行业厂商的普遍性忧虑和不满,
传统的安全保护方法无论从构架还是从强度上来看已经不能完全满足要求。日益复杂的计算环境中层出不穷的安全威胁使得可信技术以及相似概念备受推崇。本文首先阐述可信计算所遵循的TCG(Trusted Computing Group)规范与传统安全方案的区别,然后对其核心部件TPM(Trusted Platform Module)进行详细的剖析,包括它的结构、原理和工作流程。本文对TCG及TPM的详细介绍主要为了下一步工作——即对可信存储的研究,所以本文还阐述了TCG针对存储方面的有关协议,然后又通过几个实例介绍了国内外可信技术应用的现状。在本文的最后,总结了可信技术的前景和仍然存在的问题,为进一步对可信存储的研究做好了铺垫。 2 TCG (Trusted Computing Group)规范与传统安全方案的区别
TCG规范与传统安全方案的区别主要体现在理念和各自采取的主要技术两方面上。
2.1 理念上的区别
传统安全解决方案往往侧重于先防外后防内、先防服务设施后防终端设施,而可信计算则反其道而行之,首先保证所有终端的安全性,也即通过确保安全的组件来组建更大的安全系统。可信计算平台在更底层进行更高级别防护,通过可信赖的硬件对软件层次的攻击进行保护可以使用户获得更强的保护能力和选择空间。
2.2 主要技术区别
传统的安全保护基本是以软件为基础附以密钥技术,事实证明这种保护并不是非常可靠而且存在着被篡改的可能性。可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片,并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除,否则理论上是无法突破这层防护的,这也是构建可信的计算机设备以及建立可信的计算机通信的基础。在硬件层执行保护的另外一个优势是能够获得独立于软件环境的安全保护,这使得可以设计出具有更高安全限制能力的硬件系统。通过系统硬件执行相对基础和底层的安全功能,能保证一些软件层的非法访问和恶意操作无法完成,同时这也为生产更安全的软件系统提供了支持。
所以,相比之下,可信计算平台可以为建设安全体系提供更加完善的底层基础设施,并为需要高安全级别的用户提供更强有力的解决方案。
3. 可信系统中的关键技术TPM(Trusted Platform Module)
上文提到可信计算的主要优势在于它的安全方案是由硬件完成的,这个硬件也就是可信系统中的核心部件TPM。根据TCG规范,可信系统几乎所有的关键技术都体现在 TPM(Trusted Platform Module) 之中,可信子系统的功能主要由TPM完成,它是可信计算平台的计算模块,在可信子系统中起核心的控制作用,是具有密码运算能力和存储能力的芯片。
3.1 TPM的主要功能
TPM提供两个方面的功能。首先,它应能够衡量在这个平台上的软件环境的状态并且能够把数据封闭给一个特定的软件环境,应提供状态报告信息使别的实体能够据此推演在此平台上的计算环境的状态是否可接受,并且还能够与此平台执行某个数据交换计划。第二,如果这个数据交换涉及到存放在本平台上的敏感数据,这个实体能够确保这些数据在秘密 特鲁多的形式下被使用,可信子系统必须提供一种方式去加密用于密码方面的关键信息(如密钥),并在这些关键信息被解密前确认软件环境是可信任的。
3.2 TPMunproper的体系结构
TPM 作为可信计算平台的核心安全控制和运算部件,它的工作要先于操作系统和 BIOS,不可能使用计算机的内存和外存,因此必须内部实现一些公开的安全算法,以便于与其它部件的接口标准化,并提供内部一些安全操作中的密码运算。所以,一个 TPM产品至少需要内部实现一个基本的密码算法集合,根据 TCPA的技术规范,这个集合至少应该包括 RSA, SHA-1, HMAC三种算法,也可以包含更多的算法如 DSA或 ECC。其中 RSA主要用于加密和签名认证,SHA-1 和 HMAC 是两种生成报文摘要的 HASH算法。总体来讲,TPM的体系结构中包括的部件如图 1 所示。
I/O 部件负责管理通信总线,它的任务包括执行内部总线和外部总线之间进行转换的通信协议,将消息发送到合适的部件,执行对 TPM进行操作的安全策略。
TPM 中与密码运算相关的操作有非对称密码运算 RSA 密钥生成、加密解密、HASH 运算和随机数生成等,一般情况下,TPM 中非对称密码运算功能仅供内部加密和签名认证使用,
不对外提供服务函数接口。根据最新的技术要求,TPM中 RSA算法使用的密钥长度至少为 2048 位 RSA密钥。
密码协处理器负责 RSA运算的实现,它内含一个执行运算的 RSA引擎,提供对内对外的数字签名功能,内部存储和传输数据的加密解密功能,以及密钥的产生、安全存储和使用等管理功能。
密钥生成器负责生成对称密码的密钥和非对称密码运算的密钥对,TPM可以无限制地生成密钥。对于 RSA算法而言,它要完成大素数的测试,密钥生成过程会使用到随机数发生器随机产生的数据。
HMAC 引擎通过确认报文数据是否正确的方式为 TPM 提供信息,它可以发现数据或者命令发生错误或者被篡改的情况。HMAC 引擎仅仅提供运算功能,不负责管理数据或命令传输机制。RF2104 中提出的 HMAC 运算使用 20 字节的密钥和 64 字节的数据块长度。
随机数发生器负责产生各种运算所需要的随机数,它通过一个内部的状态机和单向散列函数将一个不可预测的输入变成32 字节长度的随机数,其输入数据源可以是噪音、时钟等,该数据源对外不可见。随机数发生器在系统掉电时产生 RESET操作。
SHA-1 引擎负责完成一种基本的 HASH 运算,其 HASH 接口对外暴露,可以被调用,它的输出是 160 位二进制位。
TPM 要求能够感应任何电源状态的变化,TPM 电源与可信计算平台电源关联在一起,电源检测帮助 TPM 在电源状态发生变化的时候采取适当的限制措施。
选项控制提供了对 TPM功能开启与关闭的机制,通过改变一些永久性的可变标志位,可以设置 TPM的功能选项,但这种设置必须是 TPM的所有者或者经所有者授权的情况下才能进行。原则上不允许远程进行设置改变。TCG(可信计算平台联盟)建议使用专门的硬件代表 TPM的所有者。
执行部件负责执行经过 I/O传送给时间 TPM的命令,在执行命令之前应确信命令执行环境是隔离的和安全的。非挥发性的存储器用于存放一些永久性的数据。
以上若干部件构成一个有机统一的安全执行环境,作为嵌入式的芯片部件,它们必须是高集成度产品,并且功能非常强大,实际的产品可以先从其一个功能子集做起,逐步完善。
3.3 TPM的工作流程
TPM 的工作状态包括初始化状态、自检状态和操作状态。操作状态又包括管理员模式和完全操作模式。
当 TPM被加电时或者是系统被初始化时便进入初始化状态,此时 TPM首先设置一个内部标志表示正在初始化,并且必须在进入操作状态前一定要确保正常完成初始化过程和自检过程。自检完成之后,TPM进入到操作状态,但此时并不意味着 TPM已经提供所有功能,还需要 TPM的所有者开启其功能。在溴化锂机组 TPM电源被关闭时会执行一个状态保护命令,并结束工作状态。如图 2 所示。
当一个 TPM处于 Disable状态时,它只对外提供极少的服务(如 SHA-1运算),不能进行任何有关密钥的操作以及绝大部分 TPM命令。TPM通过一个标志 pFlags.tpmDisabled来表示这个状态,该标志为假表示 TPM处于 Enable 状态。原始 TPM通过 TPM_PhysicalEnable 和TPM_PhysicalDisable 命令改变这个标志,一个有所有者的 TPM通过 TPM_OwnerSetDisable命令改变这个状态位,对该状态位的改变不影响 TPM中其他的数据。
TPM 的所有者可以完全控制 TPM,成为所有者必须经过严格的过程,一般通过向 TPM 提供 TPM 所有者身份认证数据来完成这个过程,如果 TPM所有者身份认证数据遗失,TPM不提供恢复的机制。
TPM 允许通过清除命令来将 TPM 还原成初始状态,也提供禁止清除命令的机制。
进入到 TPM操作状态之后,TPM便可行使规定的功能,接受外界命令并提供相应的服务。
4.TCG存储规范简述及可信技术的应用
TCG对各种平台的可信协议做了很多规定,但本文介绍可信技术及其关键部件——TPM旨
在下一步对可信存储领域的研究,所以本文只讨论有关存储方面的协议。有关协议主要体现在以下五个方面:
首先,TCG对从磁盘到主机和主机到磁盘的通路做了特殊的规定,一方面,只有当磁盘认定主机是被授权的才会执行来自该主机的操作,另一方面,主机也会拒绝使用未受权的磁盘。主机和磁盘之间的这种认证关系就是通过TPM来完成的;
黄曲霉菌其次,磁盘还要有保护数据的功能,磁盘会划分一部分受保护存储空间用于放置系统数据,这部分空间位于正常可设定的用户空间之外,对于受保护的系统数据,即使磁盘的用户空间被重新分区或者格式化也不会受到任何影响。磁盘对数据的保护还体现在对来自主机的不同的应用都被授权访问特定的受保护存储空间,其中放置着该应用的私有数据,每个应用程序通过磁盘对自己的授权才能创建删除相应区域的文件;
第三,对于磁盘到主机这条通路来说,为了提高磁盘读写操作的可信性,不同的分区和不同的用户空间都要实行加锁加密技术;
非常任理事国第四,所有的存储设备都要维护一个SMART日志,它会提前向主机报出可能的威胁;
第五,ATA与SCSI协议等需要对TCG做出相应的支持,主要是用来传输TCG定义的消息流,TCG消息流命令需要相应的域值来表示TCG所应支持的协议的ID号。
总之,在可信存储中,验证码由TPM产生并受 TPM保护。TPM芯片产生安全锁,并完成锁的cache管理,这些都支持工业标准的加密API,TPM用硬件产生存储并管理加密锁。
在应用方面,可信技术涉及的领域也非常广泛,它可应用于信息加密领域、操作系统领域、网络传输控制和安全管理领域及存储领域等方面。下文将介绍目前国内外具代表性的可信技术应用实例。
IBM是最早利用可信计算技术保护计算机设备的厂商之一,针对个人电脑市场推出的解决方案被称为IBM嵌入式安全子系统,该系统与TPM规范规格兼容。这个安全子系统由内嵌在计算机中的安全芯片和IBM专用的客户端安全软件组成。安全芯片可以应用于登录密码、加密密钥和数字证书的保护,同时也可对文件系统(利用IBM的文件和文件夹加密功能)和网络传输进行加密。由于安全芯片可以在200毫秒内完成RSA运算,所以系统的运行并不会受到明显的影响。除了这些保护功能之外,该安全系统的一个突出优点是能够防止计算机内的数据被非法获取。事实上在不获得安全子系统口令的情况下未获授权的人是
无法获取系统中任何信息的,因为在离开安全芯片的情况下无法读取硬盘中的数据。也就是说
即使将硬盘插接到其它计算机上或者将安全芯片从计算机中去除都无法突破IBM安全子系统的防护。而且安全芯片本身的信息存储和传送也经过了高强度的加密,加之IBM采用了特殊的芯片封装方法,使得安全芯片的破解极其困难。正确的应用了安全子系统之后用户的数据可以得到妥善的保护,特别是对于失窃这样的情况,即使非法者盗取了计算机,用户的信息也不会泄密。反之用户也要注意牢记该系统的口令信息,用户一旦被自己系统锁在外边往往也会很难进入系统。这种类型的产品体现了目前可信计算最广泛的应用。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议