BIT6信息系统安全机制-可信计算-孙建伟

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,可信计算,计算机网络攻防对抗技术实验室,1,内容,计算机系统平台存在的平安问题,可信计算开展概貌,可信计算平台结构,可信计算平台的平安功能,可信计算平台的运行模型,可信计算局限性分析,总结与展望,2,计算机系统平台存在的平安问题,计算机病毒,木马,间谍软件,软件后门,系统软件遭恶意篡改,3,计算机系统平台存在的平安问题,实质是系统软件、应用软件遭篡改,而目前的系统平台尚缺乏实时的完整性检测、保护能力。目前的手段还是事后的补偿性的：,病毒查杀,计算机重新安装,对遭破坏的软件重装或升级,4,嵌入式系统、智能系统的平安问题,丰田车事件,高档汽车,驾驶失控,程序漏洞、缺陷还是被人为篡改？,汽车,从信息系统角度看,车载信息系统、车载信息系统网络,其它：导弹、无人机、,5,计算机系统平台存在的平安问题,人体免疫系统能够发现和攻击侵入的病毒、细菌和异物,感知能力,人体的免疫反响,如何在信息系统中建立类似的能力？,系统造篡改时,发现、定位、修复,系统造攻击时,发现,处置,6,计算机系统平台存在的平安问题,奇虎360 的平台平安之道,电脑的平安管家,对输入的软件的验证：网页脚本或下载的软件,对关键操作的监控,但是根底缺乏,奇虎360仅是应用软件,先天缺乏,后天不能根本解决问题,可信基的问题（TCB）,7,PC机软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可以被植入,病毒程序利用PC操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码程序,实现病毒传播,利用系统漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏,平安问题追根溯源:平台架构是根本,8,为了解决计算机和网络结构上的不平安,从根本上提高其平安性,必须从芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的根本思想,其目的是在计算和通信系统中广泛使用基于硬件平安模块支持下的可信计算平台,以提高整体的平安性。,可信平台的提出,9,可信计算的根本思路,可信计算的根本思路是在硬件平台上引入平安芯片（可信平台模块）来提高终端系统的平安性,也就是说是在每个终端平台上植入一个信任根,让计算机从BIOS到操作系统内核层,再到应用层都构建信任关系,当终端受到攻击时,可实现自我保护、自我管理和自我恢复,10,20世纪70年代末,尼巴尔第（G.H.Nibaldi）建,立了可信计算基（Trusted Computing Base,TCB）的思想。,1999年,可信计算平台联盟（Trusted Computing Platform Alliance,TCPA）的创立,由微软、英特尔（Intel）、IBM等190家公司参加,2003年4月,TCPA演变为可信计算组织（Trusted Computing Group,TCG）,2005年,中国成立中国的TCG并纳入国际TCG,可信计算开展概貌,11,政府主导组建,TCM,国标产业工作组,产业链,产业,联盟,华为,卫士通,网络接入,CA,证书,吉大正元,江南所,吉大正元,软件所,系统,/,应用软件,联想,国防科大,国家商用密码管理局,工信部,财政部,公安部,政策,联合,八部委,强力推行,TCM,标准制定与产业化,同方,PC,系统,联想,方正,长城,瑞达,联想,兆日,中兴,瑞达,TCM/TSM,秘书单位,12,TCG对“可信的定义,可信是一种期望：一个实体为了实现特定的目标而按照特定的方式进行工作,:,可预期,目标是确定的,工作方式是确定的,13,可信计算的极端例子,英特尔公司的密码与信息平安专家大卫,格劳洛克（David Grawrock）：,如果你知道你的电脑中有病毒,知道这些病,毒会在什么时候发作,了解发作后会产生怎,样的后果,同时病毒也确实是这么运行的,那么这台电脑可信吗？,按照TCG的定义,该电脑是可信的。,14,可信计算的根本理念,平台的完整性,使用者对平台运行环境的信任（运行环境是否可信？）,应用程序的完整性,应用程序运行的可信性（程序的运行是否可信？）,平台间的可验证性,网络环境中终端之间的相互信任（网上通信的另一方是否可信？）,15,TPM-,可信平台模块,可信平台模块（TPM,Trusted Platform Module）,TCG定义的可信计算平台的核心根底部件,用硬件实现,具有如下主要功能：,系统完整性度量、完整性度量信息的存储、完整性度量信息的报告,密码运算、密钥生成和管理、数据封装,16,基于,TPM,的计算机平台参考模型,配上TPM功能模块,把计算机系统平台扩充为可信计算平台,17,TPM,芯片体系结构,I/O,密码学协,处理器,HMAC,Engine,SHA,Engine,Opt-In,非易失性,存储器,Key,Generation,RNG,Power,Detection,Execution,Engine,易失性,存储器,通信总线,18,TMP,必须强调的,本质上是一个具有计算和存储能力的芯片,SOC,system on chip.,存储了所保护目标的摘要信息,具有摘要,加密,密码生成管理等计算能力,19,TPM的组件,输入/输出组件：对通信总线上的信息流进行管理,非易失性存储器：存放真实身份密钥（EK）、存储根密,钥（SRK）、属主的授权数据和永久的标记。,PCR存放器：供操作系统和应用软件使用,工作身份密钥（AIK）：永久型密钥,存放在TPM之外,程序代码：对平台设备进行完整性度量的固件,是度量,的核心信任根（CRTM）,随机数生成器：生成密钥、创立即时随机量,SHA-1消息摘要引擎：计算签名、创立密钥块,RSA密钥生成引擎：创立签名密钥和存储密钥,RSA引擎：使用签名密钥进行签名、使用存储密钥进行,加密和解密、使用EK进行解密,功能开关组件：禁用或启用TPM模块,执行引擎：执行TPM初始化操作和完整性度量操作,20,PCR-,Platform Configuration Register,1.1版本设置8个PCR,1.2版最少设置16个；,PCR放置在Shield Location；,PCR的使用方式由平台的体系结构(PC/效劳器/PDA等)来确定；,PCR为160bits值；,PCR主要用来存储在信任链建立过程中各模块完整性度量数值；,PCR存储数值方式：,PCRi New=Hash(PCRi Old value|value to add),PCR must be in the RTS(Root of Trusted Storage),PCR,是,TPM,的重要对象,21,程序员视角的,TPM,结构,22,可信计算平台的根本功能,保护能力（Protected Capability）,对外证明（Attestation）,由TPM提供的证明,对平台进行的证明,由平台进行的证明,平台的认证,完整性度量、存储和报告,23,保护能力,保护区域：,可信平台模块中存放敏感信息的存储区,如,平台配置存放器（PCR）、密钥对的私钥密钥信息等。,24,TPM的身份标识,数字证书：真实身份,唯一地标识一个确定的TPM的一对密钥真,实身份密钥（EK）,EK公钥+EK私钥,数字证书：工作身份,与某个TPM的EK关联的一对密钥工作身,份密钥（AIK）,AIK公钥+AIK私钥,工作身份能说明一个TPM确实存在,但不暴,露该TPM的真实身份。,25,由TPM提供的证明,TPM告诉外部实体：“我掌握某某数据的,情况。,做法：TPM用自己的AIK证书私钥对这些数据进行数字签名。,26,对平台进行的证明,可信的第三方告诉外部实体：“该平台与,一个确定的TPM相关联,你可以相信完,整性度量报告是由它提供的。,可信第三方：私密性证书机构,证明的方法是：为平台发放AIK凭证。,27,由平台进行的证明,平台告诉外部实体：“某某完整性度量结,果是我提供的。,做法：用平台上的TPM的AIK对PCR存放,器的值进行签名,因为完整性度量结果,存放在PCR存放器中。,28,平台的认证,外部实体确认平台的工作身份。,做法：平台用AIK的私钥对一个密钥进行,签名,如果外部实体能用AIK的公钥解开,这个签名,则可确认该平台拥有与相应,的AIK对应的工作身份。,29,完整性度量、存储和报告,完整性度量：获取影响平台完整性（可信,性）的平台特性的度量值,并把该度量值,的摘要存放到PCR中。,被度量的值：程序代码或内嵌数据的表示,度量产生的摘要：被度量的值的哈希值,PCR存放器保存度量产生的摘要的方法：,PCR,n,SHA1(PCR,n,+,M_data,),对外证明记录在,PCR,中的度量结果。,30,可信计算平台的信任根,信任根：平台中默认可以信任的组件,是系统,可信的假设前提。,度量用信任根（RTM）,存储用信任根（RTS）,报告用信任根（RTR）,CRTM：度量用信任根的核心局部,在系统启,动的初态执行完整性度量操作的指令。例：,CRTM=BIOS中的引导块,或：,CRTM=BIOS,31,通过完整性度量建立信任链,32,完整性报告（对外证明）协议,33,完整性报告（对外证明）说明,1.请求方发出获取一个或多个PCR存放器值的,请求；,2.平台上的度量机制采集SML记录信息；,3.度量机制从TPM中获取PCR存放器的值；,4.TPM用AIK对PCR存放器的值进行签名；,5.平台的度量机制采集与TPM关联的凭证,并,把SML记录信息、凭证和经过签名的PCR寄,存器的值提供给请求方；,6.请求方验证请求的响应结果：它计算度量产,生的摘要,将其与PCR存放器的值进行对,比,并评估平台的凭证,检查签名信息。,34,TCG为信息交换提供的保护功能,绑定（Binding）,发送方用接收方的公钥对信息进行加密,签名（Signing）,计算被签名的数据的哈希值,并用私钥对该哈希值,进行加密,封装（Sealing）,选择一组PCR存放器的值,用一个公钥对该组PCR,存放器的值和一个对称密钥进行加密,然后用该对,称密钥对待封装的信息进行加密,封装的签名（Sealed-Signing）,先把一组特定的PCR存放器的值组合到待签名的信,息之中,再进行签名,35,可,信,计,算,平,台,软,件,层,次,结,构,36,可信计算平台典型应用方案,37,可信计算的局限性,可信计算体系实质是基于可信根提供平台完整性验证和认证功能,从跨站攻击看互联网应用的模式,移动代码平安性无法用可信计算技术解决的,完整性检测不适用于移动代码,平台可信,并不意味着系统行为合法,软件自身漏洞和平安性设计缺陷无法用可信计算体系保证,38,可信计算的局限性,可信计算远非终极平安,软件代码平安性分析是必要的,信息系统以访问控制为核心的平安防护机制,系统行为平安性控制（检测、识别、控制）是必要的,信息平安综合保障的三个层面,可信计算体系-(平台完整性、认证性),软件平安性分析与平安性设计（防止漏洞、保护、控制机制）,系统行为平安性控制（访问控制、动态防护）,39,总结,可信计算平台的理论根底,加密与认证技术,可信平台的实质,系统之外的监控系统：着眼于完整性和认证性,TPM作为信任根,为一嵌入式系统,可信计算的局限性,信息系统平安保障的三个层面的要求与解决途径,40,展望,可信计算普及后的可信管理问题,涉及国家主权和平安大局,TPM的生产需要引入许可证管理,在国家层面统一管理,TPM的存在形态,集成在CPU中,独立于CPU的TPM器件,独立的TPM模块：嵌入式系统,41,展望,可信计算对IT产业和传统工业的影响,计算机平台走向可信计算机,现有计算机的改进、升级,嵌入式系统走向可信计算体系意义重大,对软件架构的影响,系统软件支持TSS,应用软件支持与TSS的接口,网络应用支持与TSS的接口,42,展望,可信计算平台应用软件的动态保护问题,增量保护问题,TPM完整性度量动态管理,基于可信计算平台的应用软件平安性设计问题,43