-武漢大學(xué)計算機學(xué)院(Thursday, March 1, 2007 7:56 AM) 張煥國 羅捷 朱智強

---

?

??? 摘要：可信計算是信息安全領(lǐng)域的一個新分支。本文論述了可信計算技術(shù)與理論的最新研究進展。通過分析可信計算技術(shù)的發(fā)展歷史與研究現(xiàn)狀，指出了目前可信計算領(lǐng)域存在理論研究滯后于技術(shù)發(fā)展，部分關(guān)鍵技術(shù)尚未攻克，缺乏配套的可信軟件系統(tǒng)等問題，提出了值得研究的理論與技術(shù)方向，包括：以可信計算平臺體系結(jié)構(gòu)、可信網(wǎng)絡(luò)、可信軟件工程，軟件信任度量技術(shù)等為代表的可信計算關(guān)鍵技術(shù)，以可信計算模型、信任理論等為代表的可信理論基礎(chǔ)。?

一、引言

??? 信息技術(shù)的高速發(fā)展，帶來了信息產(chǎn)業(yè)的空前繁榮；但危害信息安全的事件也不斷發(fā)生，信息安全形勢日益嚴(yán)峻。

??? 目前信息安全問題的技術(shù)原因主要包括:?

??? ■ 微機的安全結(jié)構(gòu)過于簡單。最初，微機被認為是個人使用的計算機，許多安全措施不再需要，為了降低成本，許多有效的安全措施被去掉。

??? ■ 信息技術(shù)的發(fā)展使計算機變成網(wǎng)絡(luò)中的一部份，突破了計算機機房的地理隔離，信息的I/O遍及整個網(wǎng)絡(luò)世界，網(wǎng)絡(luò)協(xié)議缺少安全設(shè)計，存在安全缺陷。網(wǎng)絡(luò)協(xié)議的復(fù)雜性使得對其進行安全證明和驗證十分困難。

??? ■ 操作系統(tǒng)過于龐大，軟件故障與安全缺陷不可避免。

??? 硬件結(jié)構(gòu)的安全和操作系統(tǒng)的安全是信息系統(tǒng)安全的基礎(chǔ)，密碼、網(wǎng)絡(luò)安全等技術(shù)是關(guān)鍵技術(shù)。只有從信息系統(tǒng)的硬件和軟件的底層采取安全措施，從整體上采取措施，才能有效地確保信息系統(tǒng)的安全。

??? 對于最常用的微機，只有從芯片、主板等硬件和BIOS、操作系統(tǒng)等底層軟件綜合采取措施，才能有效地提高其安全性。正是基于這一思想催生了可信計算的迅速發(fā)展。

??? 可信計算的基本思想是在計算機系統(tǒng)中首先建立一個信任根，再建立一條信任鏈，一級測量認證一級，一級信任一級，把信任關(guān)系擴大到整個計算機系統(tǒng)，從而確保計算機系統(tǒng)的可信。

??? 在技術(shù)領(lǐng)域, 1983年美國國防部就制定了《可信計算機系統(tǒng)評價準(zhǔn)則》。1999年TCPA組織成立，2003年改組為可信計算組織TCG。TCPA和TCG制定了關(guān)于可信計算平臺、可信存儲和可信網(wǎng)絡(luò)連接等一系列技術(shù)規(guī)范。目前已有200多個企業(yè)加入了TCG，可信計算機已進入實際應(yīng)用。

??? 在理論領(lǐng)域， IEEE組織于2004年編輯出版了IEEE Transaction on Dependable and Secure Computing雜志，專門討論可信計算。

二、可信計算的基本概念

??? 1.可信的定義與屬性

??? (1)可信的定義

??? 目前，關(guān)于可信尚未形成統(tǒng)一的定義，主要有以下幾種說法。

???可信計算組織TCG用實體行為的預(yù)期性來定義可信：一個實體是可信的，如果它的行為總是以預(yù)期的方式，達到預(yù)期的目標(biāo)。

??? ISO/IEC 15408 標(biāo)準(zhǔn)將可信定義為：參與計算的組件，操作或過程在任意的條件下是可預(yù)測的，并能夠抵御病毒和物理干擾。

??? 所謂可信是指計算機系統(tǒng)所提供的服務(wù)是可以論證其是可信賴的。這就是指從用戶角度看，計算機系統(tǒng)所提供的服務(wù)是可信賴的，而且這種可信賴是可論證的。

??? 我們給出自己的觀點：可信≈安全+可靠。可信計算系統(tǒng)是能夠提供系統(tǒng)的可靠性、可用性、信息和行為安全性的計算機系統(tǒng)。

??? （2）信任的屬性

??? 信任是一種二元關(guān)系。它可以是一對一、一對多（個體對群體）、多對一（群體對個體）或多對多（群體對群體）的。信任具有二重性。既具有主觀性又具有客觀性。信任不一定具有對稱性。即A信任B不一定就有B信任A。信任可度量。也就是說信任的程度可劃分等級。信任可傳遞，但不絕對，而且在傳播過程中有損失。信任具有動態(tài)性。即信任與環(huán)境和時間因素相關(guān)。

??? （3）信任的獲得方法?

??? 信任的獲得方法主要有直接和間接兩種方法。設(shè)A和B以前有過交往，則A對B的可信度可以通常考察B以往的表現(xiàn)來確定。我們稱這種通過直接交往得到的信任值為直接信任值。設(shè)A和B以前沒有任何交往，這種情況下，A可以去詢問一個與B比較熟悉的實體C來獲得B的信任值，并且要求實體C與B有過直接的交往經(jīng)驗。我們稱之為間接信任值，或者說是C向A的推薦信任值。有時還可能出現(xiàn)多級推薦的情況，這時便產(chǎn)生了信任鏈。

??? 2.信任的度量與模型

??? 目前，關(guān)于信任的度量理論主要有基于概率統(tǒng)計的可信模型、基于模糊數(shù)學(xué)的可信模型、基于主觀邏輯、證據(jù)理論的可信模型和基于軟件行為學(xué)的可信模型等。我國學(xué)者用軟件行為學(xué)來描述軟件的可信性。其認為：主體的可信性是主體行為的一種統(tǒng)計特性，而且是指行為的歷史記錄反映主體行為是否違規(guī)、越權(quán)以及超過范圍等方面的統(tǒng)計特性。主體的可信性可以定義為其行為的預(yù)期性，軟件的行為可信性可以劃分級別，可以傳遞，而且在傳遞過程中會有損失。?

??? 圖1? 可信計算機系統(tǒng)?

??? 3.信任根和信任鏈

??? 信任根和信任鏈?zhǔn)强尚庞嬎闫脚_的關(guān)鍵技術(shù)。一個可信計算機系統(tǒng)由可信根、可信硬件平臺、可信操作系統(tǒng)和可信應(yīng)用組成(如圖1所示)。信任鏈?zhǔn)峭ㄟ^構(gòu)建一個信任根，從信任根開始到硬件平臺、到操作系統(tǒng)、再到應(yīng)用，一級認證一級，一級信任一級。從而把這種信任擴展到整個計算機系統(tǒng)(如圖2所示)。其中信任根的可信性由物理安全和管理安全確保。??? 　　　　　　???????

??? 圖2　可信PC的信任鏈?

??? 4.可信測量、存儲、報告機制

??? 可信測量、存儲、報告機制是可信計算的另一個關(guān)鍵技術(shù)。如圖3所示，可信計算平臺對請求訪問的實體進行可信測量，并存儲測量結(jié)果，實體詢問時平臺提供報告。??????????

??? 圖3? 可信測量、存儲、報告機制???????????

??? 圖4? TCG的TPM框圖

??? 5.可信計算平臺 目前已實現(xiàn)的可信計算平臺主要是可信PC。其主要特征是在主板上嵌有可信構(gòu)建模塊TBB。這個TBB就是可信PC平臺的信任根。它包括用于可信測量的根核CRTM (Core Root of Trust for Measurement)，可信平臺模塊TPM (Trusted Platform Module)，以及它們同主板之間的聯(lián)接。目前尚未見到可信服務(wù)器和可信PDA產(chǎn)品的報道。

??? 6.可信平臺模塊TPM

??? 可信平臺模塊TPM是一種SOC芯片，它是可信計算平臺的信任根，其結(jié)構(gòu)如圖4所示。它由CPU、存儲器、I/O、密碼協(xié)處理器、隨機數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成。完成可信度量的存儲，可信度量的報告，密鑰產(chǎn)生，加密、簽名，數(shù)據(jù)安全存儲等功能。TPM是信任根，其可信性由物理安全和管理安全確保。

??? 7.可信支撐軟件

??? TSS（TCG Software Stack）是可信計算平臺上TPM的支撐軟件，其結(jié)構(gòu)如圖5所示。TSS的作用主要是為應(yīng)用軟件提供兼容異構(gòu)可信平臺模塊的開發(fā)壞境。?????????????

??? 圖5? TSS結(jié)構(gòu)

??? 8.可信網(wǎng)絡(luò)連接TNC

??? TNC(Trusted Network Connect)的目的是確保網(wǎng)絡(luò)訪問者的完整性，其結(jié)構(gòu)如圖6所示。

??? TNC通過網(wǎng)絡(luò)訪問請求，搜集和驗證請求者的完整性信息，依據(jù)一定的安全策略對這些信息進行評估，決定是否允許請求者與網(wǎng)絡(luò)連接，從而確保網(wǎng)絡(luò)連接的可信性。?????????

??? 圖6? TNC的結(jié)構(gòu)?

三、可信計算研究的發(fā)展

??? 1.可信計算初現(xiàn)

??? 1983年美國國防部制定了世界上第一個《可信計算機系統(tǒng)評價準(zhǔn)則》TCSEC（Trusted Computer System Evaluation Criteria）。在TCSEC中第一次提出可信計算機和可信計算基TCB（Trusted Computing Base）的概念，并把TCB作為系統(tǒng)安全的基礎(chǔ)。作為補充又相繼推出了可信數(shù)據(jù)庫解釋TDI（Trusted Database Interpretation）和可信網(wǎng)絡(luò)解釋TNI（Trusted Network Interpretation）。這些文件形成了彩虹系列信息系統(tǒng)安全指導(dǎo)文件。

??? 彩虹系列的出現(xiàn)形成了可信計算的一次高潮。多年來彩虹系列一直成為評價計算機系統(tǒng)安全的主要準(zhǔn)則。然而由于歷史的原因，彩虹系列具有一定的局限性:

??? ■ 主要強調(diào)了信息的秘密性，而對完整性、真實性考慮較少；

??? ■ 強調(diào)了系統(tǒng)安全性的評價，卻沒有給出達到這種安全性的系統(tǒng)結(jié)構(gòu)和技術(shù)路線。

??? 2.可信計算高潮

??? 1999年，IBM、HP、Intel、微軟等著名IT企業(yè)發(fā)起成立了可信計算平臺聯(lián)盟TCPA（Trusted Computing Platform Alliance），2003年TCPA改組為可信計算組織TCG。TCPA和TCG的出現(xiàn)形成了可信計算的新高潮。該組織不僅考慮信息的秘密性，更強調(diào)信息的真實性和完整性，而且更加產(chǎn)業(yè)化和更具廣泛性。

??? 微軟提出了名為Palladium，后改名為NGSCB的可信計算計劃。微軟將推出新一代操作系統(tǒng)VISTA，VISTA支持可信計算機制。Intel為支持微軟的Palladium計劃宣布LaGrande硬件技術(shù)，并計劃推出相應(yīng)的新一代處理器。

??? 歐洲于2006年1月啟動了名為“開放式可信計算（Open Trusted Computing）”的研究計劃。

??? IEEE的容錯專家們自1999年將容錯計算會議改名為可信計算會議（PRDC）后，便致力于可信計算的研究。他們的可信計算更強調(diào)計算系統(tǒng)的可靠性和可用性，而且強調(diào)可信的可論證性。

??? 3.可信計算在中國

??? 2000年6月武漢瑞達公司和武漢大學(xué)合作，開始研制安全計算機，研究成果于2004年10月通過國家密碼管理委員會主持的技術(shù)鑒定。它是國內(nèi)第一款自主研制的可信計算平臺，在系統(tǒng)結(jié)構(gòu)和主要技術(shù)路線方面與TCG的規(guī)范是類似的，有些方面有所創(chuàng)新，有些方面也有差異。這一產(chǎn)品被國家科技部等四部委聯(lián)合認定為“國家級重點新產(chǎn)品”，并獲得2006年國家密碼科技進步二等獎，已在我國電子政務(wù)、公安、銀行、軍隊得到實際應(yīng)用。

??? 2004年6月在武漢召開中國首屆TCP論壇。2004年10月在解放軍密碼管理委員會的支持下，在武漢大學(xué)召開了第一屆中國可信計算與信息安全學(xué)術(shù)會議。

??? 2005年聯(lián)想集團的“恒智”芯片和可信計算機相繼研制成功。同年，兆日公司的TPM芯片研制成功。這些產(chǎn)品都相繼通過國家密碼管理委員會的鑒定和認可。

??? 此外，同方、方正、浪潮、天融信等公司也都加入了可信計算的行列。武漢大學(xué)、中科院軟件所等高校和研究機構(gòu)也都開展了可信計算的研究。

??? 國家發(fā)改委、科技部、信息產(chǎn)業(yè)部、國家自然科學(xué)基金委等政府部門都積極支持可信計算的發(fā)展。

??? 至此，中國的可信計算事業(yè)進入了蓬勃發(fā)展的階段。

四、我國的一種可信計算平臺

??? 下面介紹的是武漢瑞達公司和武漢大學(xué)合作研制的我國第一款可信計算機。

??? 1．系統(tǒng)結(jié)構(gòu)

??? ■ 主板上嵌入ESM模塊（Embedded Security Module），并以ESM為信任根；

??? ■ 智能卡子系統(tǒng)；

??? ■ 安全增強的BIOS；

??? ■ 安全增強的LINUX操作系統(tǒng)；

??? 可信計算機的硬件系統(tǒng)結(jié)構(gòu)如圖7所示。

??? 2.安全功能

??? ■ 基于智能卡和口令相結(jié)合的用戶身份認證；

??? ■ 系統(tǒng)資源的完整性校驗；

??? ■ 安全增強的兩級日志；

??? ■ 可控制所有I/O口的開放與關(guān)斷；

??? ■ 數(shù)據(jù)的安全存儲；

??? ■ 數(shù)據(jù)加解密；

??? ■ 數(shù)字簽名與驗證。

??? 3.嵌入式安全模塊

??? 嵌入式安全模塊ESM的結(jié)構(gòu)如圖8所示，其中J2810是我們自己研制的芯片。

??? ■ ESM的一個重要特點是對CPU進行了安全設(shè)計：將CPU的工作狀態(tài)劃分為系統(tǒng)態(tài)和用戶態(tài)。系統(tǒng)態(tài)下可調(diào)用用戶態(tài)的指令，而用戶態(tài)下只能使用用戶態(tài)的指令，如果調(diào)用系統(tǒng)態(tài)的指令則產(chǎn)生硬件中斷。

??? ■ 采用SOSCA（Secure Open Smart Card Architecture）結(jié)構(gòu)，從硬件上對存儲器進行分區(qū)隔離保護。SOSCA技術(shù)本質(zhì)上是一種存儲器隔離保護技術(shù)，原來主要用于大型機。當(dāng)發(fā)現(xiàn)指令越界時將自動產(chǎn)生硬件中斷，阻止這種越界的行為發(fā)生，從而確保數(shù)據(jù)安全。

??? ■ 嵌入式操作系統(tǒng)JetOS是ESM資源的管理者，是ESM和整個系統(tǒng)安全的關(guān)鍵之一。它由傳輸管理、文件管理、安全與容錯管理、命令處理四個功能模塊組成。???????????????????

??? 圖8? ESM的結(jié)構(gòu)圖

五、可信計算研究的發(fā)展趨勢

??? 1．可信計算面臨的挑戰(zhàn)

??? 目前可信計算已經(jīng)成為信息安全領(lǐng)域的一個新潮流，但可信計算的發(fā)展尚存在一些問題。

??? （1）理論研究相對滯后

??? 無論是美國還是中國，在可信計算領(lǐng)域都處于技術(shù)超前于理論，理論滯后于技術(shù)的狀況。至今尚沒有公認的可信計算理論模型。

??? 可信測量是可信計算的基礎(chǔ)。但是目前尚缺少軟件的動態(tài)可信性的度量方法與理論。

??? 信任鏈技術(shù)是可信計算平臺的一項關(guān)鍵技術(shù)。然而信任鏈的理論尚需要進一步完善。

??? 理論來源于實踐，反過來又指導(dǎo)實踐。沒有理論指導(dǎo)的實踐最終是不能持久的。目前可信計算的技術(shù)實踐已經(jīng)取得長足的發(fā)展，因此應(yīng)當(dāng)在可信計算的實踐中豐富和發(fā)展可信計算的理論。

??? (2）部分關(guān)鍵技術(shù)尚待攻克

??? 目前的可信計算機產(chǎn)品都沒能完全實現(xiàn)可信計算中廣泛認同的一些關(guān)鍵技術(shù)。如完整的信任鏈、動態(tài)可信測量、安全I/O等。目前的可信測量只是系統(tǒng)開機時的系統(tǒng)資源靜態(tài)完整性測量，因此只能確保系統(tǒng)開機時的系統(tǒng)資源靜態(tài)完整性，尚不能確保系統(tǒng)工作后的動態(tài)可信性。

??? （3）缺乏配套的可信軟件系統(tǒng)

??? 目前TCG給出了可信計算硬件平臺的相關(guān)技術(shù)規(guī)范和可信網(wǎng)絡(luò)連接的技術(shù)規(guī)范，但還沒有關(guān)于可信操作系統(tǒng)、可信數(shù)據(jù)庫、可信應(yīng)用軟件的技術(shù)規(guī)范。網(wǎng)絡(luò)連接只是網(wǎng)絡(luò)活動的第一步，連網(wǎng)的主要目的是數(shù)據(jù)交換和資源共享，這方面尚缺少可信技術(shù)規(guī)范。只有硬件平臺的可信，沒有操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫和應(yīng)用的可信，整個系統(tǒng)還是不安全的。

??? (4）缺少安全機制與容錯機制的結(jié)合

??? 安全可靠是用戶對可信計算的希望，因此必須堅持安全與容錯相結(jié)合的技術(shù)路線。但是目前這方面的研究還十分缺乏。

??? （5）可信計算的應(yīng)用需要開拓

??? 可信計算的應(yīng)用是可信計算發(fā)展的根本目的。目前可信PC機、TPM芯片都已經(jīng)得到實際應(yīng)用，但應(yīng)用的規(guī)模和覆蓋范圍都還不夠，有待大力拓展。

??? 2．可信計算待研究的領(lǐng)域

??? 現(xiàn)階段的可信計算熱潮是從可信PC平臺開始的，但是它涉及的研究和應(yīng)用領(lǐng)域卻要廣泛得多。其亟待研究的領(lǐng)域包括以下三方面。

??? （1）關(guān)鍵技術(shù)

??? ■ 可信計算的系統(tǒng)結(jié)構(gòu)，包括可信計算平臺的硬件結(jié)構(gòu)及可信計算平臺的軟件結(jié)構(gòu)；

??? ■ TPM的系統(tǒng)結(jié)構(gòu)：TPM的硬件結(jié)構(gòu)，TPM的物理安全，TPM的嵌入式軟件；

??? ■ 可信計算中的密碼技術(shù)：公鑰密碼，傳統(tǒng)密碼，HASH函數(shù)，隨機數(shù)產(chǎn)生；

??? ■ 信任鏈技術(shù)：完整的信任鏈和信任的延伸；

??? ■ 信任的度量：信任的動態(tài)測量、存儲和報告機制，軟件動態(tài)可信測量；

??? ■ 可信軟件：可信操作系統(tǒng)、可信編譯、可信數(shù)據(jù)庫、可信應(yīng)用軟件；

??? ■ 可信網(wǎng)絡(luò)：可信網(wǎng)絡(luò)結(jié)構(gòu)、可信網(wǎng)絡(luò)協(xié)議、可信網(wǎng)絡(luò)設(shè)備、可信網(wǎng)格。

??? （2）理論基礎(chǔ)

??? ■ 可信計算模型：可信計算的數(shù)學(xué)模型、可信計算的行為學(xué)模型；

??? ■ 可信性的度量理論：信任的屬性與度量、軟件的動態(tài)可信性度量理論與模型；

??? ■ 信任鏈理論：信任的傳遞理論、信任傳遞的損失度量；

??? ■ 可信軟件理論：軟件可信性度量理論、可信軟件工程 、可信程序設(shè)計方法學(xué)、軟件行為學(xué)。

??? （3）可信計算的應(yīng)用

??? 可信計算技術(shù)的應(yīng)用是可信計算發(fā)展的根本目的。可信計算技術(shù)與產(chǎn)品主要用于電子商務(wù)、電子政務(wù)、安全風(fēng)險管理、數(shù)字版權(quán)管理、安全檢測與應(yīng)急響應(yīng)等領(lǐng)域。

六、結(jié)論

??? 目前可信計算已經(jīng)成為世界信息安全領(lǐng)域的一個新潮流。可信計算技術(shù)是一種行之有效的信息安全技術(shù)。可信計算機與普通計算機相比，安全性大大提高，但可信計算機也不是百分之百安全。

??? 我國在可信計算領(lǐng)域起步不晚，水平不低，成果可喜。我們應(yīng)當(dāng)抓住機遇發(fā)展我國的可信計算事業(yè)，建立我國的信息安全體系，確保我國的信息安全。

總結(jié)

以上是生活随笔為你收集整理的国内外可信计算技术发展概况(转载1)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。