簡介：?信 or 不信，這是個問題

?

可信計算
TC （Trusted Computing）
業(yè)界新寵，越來越被高頻提到
本質(zhì)是
創(chuàng)造可信執(zhí)行環(huán)境的芯片級安全防護(hù)方案

然而，江湖流傳 TA 的傳說
卻鮮少有人見過真身
阿里云作為亞太區(qū)最早布局可信計算的云廠商
今天我們一起來聊聊 TA 是誰？

?

一、環(huán)境可信

“把大象放入冰箱需要幾步”

?

如何通過“信任鏈”建立可信執(zhí)行環(huán)境
可以分為三步來理解它

• 可信根
• 可信鏈
• 度量/驗(yàn)證

第一步
可信根：芯片級、底層、不可篡改

芯片級硬件的不可篡改性
決定了其可以作為最高等級安全的基礎(chǔ)
再將硬件層安全虛擬映透傳整個目標(biāo)環(huán)境
形成軟硬結(jié)合的安全體系

?

?

一臺電腦組件來自四面八方
包括他的主板芯片
當(dāng)你打開電腦的時候
可能同時喚醒了隱藏在啟動鏈路上的后門
Rootkit/Bootkit

可信硬件的插入
病毒無法篡改系統(tǒng)原設(shè)計
快速發(fā)現(xiàn)Rootkit/Bootkit并及時處理

可信根
對密鑰等私密數(shù)據(jù)進(jìn)行物理保護(hù)
參與建立并保障可信鏈的傳遞
對可信芯片進(jìn)行安全調(diào)用

?

?

面對深度隱藏且難以察覺的威脅
需要來自底層的保護(hù)
保障上層的不可篡改性

?

?

此處
引入一個比喻來加深一下理解

工人把半成品交給下一個工人
為了工作順利完成
首先需要保證
工作鏈條是在可信的前提下推進(jìn)著……

?

?

方法一

每個工人在交出去之前
檢查下一個工人是否為內(nèi)部人士

注：第一個工人很重要
如果其身份造假
后面的工作都是錯誤的
此時第一位工人就是信任根
其參與建立并決定可信鏈的傳遞

?

?

方法二

流水線保持流動
每一次交付都記錄下來

注：每次交付的記錄本身很重要
保證這個記錄不被篡改
記錄就像密鑰一樣存儲在可信根

把 TA 作為整個安全的可信起點(diǎn)
對不可控的軟硬件實(shí)體實(shí)現(xiàn)管理

那么
問題來了
如何完成從可信起點(diǎn)到應(yīng)用、到網(wǎng)絡(luò)的透傳？

?

?

兩步并作一步：
信任鏈與驗(yàn)證/度量結(jié)果
說好的三步變兩步
此處我失去了一點(diǎn)你的信任

?

?

此處，
我們又故作神秘的引入一個歷史故事

戰(zhàn)國“策”

?

?

秦攻打趙
魏信陵君希望魏王出兵營救

信陵君
通過通關(guān)密文進(jìn)了魏王殿
通過使者找到了魏王妃
通過魏王妃拿到兵符
（一半的玉佩）
通過兵符配對
（與將軍手里的兵符契合成功）

?

?

歷史上的信陵君成功調(diào)用兵力
這是一個中性的信任關(guān)系的傳遞
因?yàn)槠湮唇?jīng)驗(yàn)證
不可信的人完成了整體關(guān)系的傳遞

?

?

如果
關(guān)系鏈起點(diǎn)和傳遞過程
經(jīng)過驗(yàn)證與及時異常行為管理
兵符并不會這么輕易被拿走
所以
驗(yàn)證/度量結(jié)果的重要性不容忽視

?

?

同樣是這個故事
我們換成當(dāng)代可信環(huán)境下驗(yàn)證思考
會有不同的結(jié)局
當(dāng)信陵君進(jìn)魏王殿
守衛(wèi)發(fā)現(xiàn)其并非白名單成員

?

?

再比如
信陵君見到魏王妃
王妃驗(yàn)證目的：
你要偷兵符
上報魏王

?

?

或者
最后就算信陵君拿到兵符
魏王有及時發(fā)現(xiàn)兵符丟失的敏感機(jī)制
并及時甚至提前通報將軍
“誰拿著兵符來找你就殺了他”

?

?

這是有可信根參與的
經(jīng)過度量值比對的可信鏈

可信計算的核心功能
是基于可信硬件建立主動免疫機(jī)制
核心流程是可信根通過可信鏈鏈接各應(yīng)用
過程經(jīng)過度量值比對
將信任關(guān)系逐漸擴(kuò)展至整機(jī)乃至網(wǎng)絡(luò)

?

二、隱世高手

可信計算神龍見首不見尾？

?

歷史上真實(shí)發(fā)生的“竊符救趙”
更貼近傳統(tǒng)IT架構(gòu)下安全產(chǎn)品和服務(wù)的部署
想要實(shí)現(xiàn)可信計算環(huán)境
并不容易

一個相對重要的計算環(huán)境
為了保障處于可信環(huán)境
至少需要面對以下問題

?

• 懂芯片
• 懂硬件
• 懂固件
• 懂虛擬技術(shù)
• 懂可信鏈
• 懂軟硬結(jié)合
• 懂……

?

一邊是啥也不懂很難
一邊是啥都懂了的阿里云

?

?

現(xiàn)在
阿里云“拿捏住了”這個點(diǎn)：
可信內(nèi)置在基礎(chǔ)設(shè)施中
云管理物理機(jī)運(yùn)行環(huán)境可信
阿里云可以按需對云虛擬服務(wù)器提供可信服務(wù)
BIOS、引導(dǎo)程序、操作系統(tǒng)內(nèi)核、
應(yīng)用程序加載等進(jìn)行度量/驗(yàn)證
不需要用戶采購組件

1、系統(tǒng)可信：
云上物理機(jī)和虛擬機(jī)運(yùn)行環(huán)境
即操作系統(tǒng)的可信
2、應(yīng)用可信：
云上管理應(yīng)用和用戶側(cè)應(yīng)用可信

?

三、安全可信

云環(huán)境比以往任何計算環(huán)境 都需要安全可信

?

場景一

數(shù)據(jù)上云
數(shù)據(jù)不在自己眼前
而在遠(yuǎn)程存儲
用戶需要確認(rèn)遠(yuǎn)程的存儲環(huán)境是否可信

?

?

可信前：
存儲之后
東西被黑了

可信后：
遠(yuǎn)程證明
可以遠(yuǎn)程確認(rèn)儲存/計算環(huán)境可行性

?

?

場景二

APT等高等級攻擊威脅不斷升級

?

?

黑客瘋狂攻擊
手段變幻莫測
驚叫“這是什么新手段”

單點(diǎn)防御傳統(tǒng)安全思路照搬到云環(huán)境
必然面臨水土不服的窘境

可信計算方案
則是將防護(hù)前置
這也是更有前瞻性的安全技術(shù)
任你千變?nèi)f化，我以不變應(yīng)萬變

?

可信云服務(wù)方案示意圖

?

?

啟動時
通過可信啟動機(jī)制
對系統(tǒng)程序和引導(dǎo)程序等
進(jìn)行可信驗(yàn)證以及控制

運(yùn)行時
通過貫穿固件和軟件各層面的可信軟件基
對軟件執(zhí)行的關(guān)鍵環(huán)節(jié)
例如進(jìn)程啟動、文件訪問和網(wǎng)絡(luò)訪問等
進(jìn)行攔截和判定

審計上報
所有報警均上報云運(yùn)維監(jiān)控平臺
或用戶側(cè)的云安全中心

?

?

切勿浮沙筑高臺
將安全建立在硬件的不可篡改性
與密碼學(xué)的理論安全性之上

?

?

關(guān)于可信計算的實(shí)際應(yīng)用：
構(gòu)筑企業(yè)級可信計算環(huán)境

?

?

遠(yuǎn)程證明：

基于數(shù)字簽名安全上報度量結(jié)果
可靠證明系統(tǒng)啟動與運(yùn)行狀態(tài)
動度量的狀態(tài)作為遠(yuǎn)程證明依據(jù)

零信任密鑰管理與密碼算法應(yīng)用：

vTPM/vTCM（虛擬可信模塊）
提供完備的密鑰管理與密碼算法功能
因此依托vTPM
ECS環(huán)境可在啟動時
第一時間可靠的創(chuàng)建密鑰、申請證書
并執(zhí)行數(shù)字簽名與加解密等運(yùn)算

?

---

?

最后
我們不妨再做一個令人興奮的假設(shè)：

此時你擁有500萬流動資金
在開心之余
這筆錢的安全問題也給你帶來了幸福的煩惱
這筆財富放在哪？
家里和銀行怎么選？

?

?

選擇
銀行中專業(yè)的保險箱
還是
家里普通的柜子

相當(dāng)于
云上網(wǎng)絡(luò)、主機(jī)等各方面系統(tǒng)化的
安全防護(hù)機(jī)制
vs
個人安裝的殺毒軟件

?

?

選擇銀行卡
還是現(xiàn)金

相當(dāng)于
云上專業(yè)完善的數(shù)據(jù)安全機(jī)制
vs
個人簡陋單一的口令機(jī)制

?

?

而且
服務(wù)方面銀行專職的保安與柜員
對比
家里普通家庭成員

相當(dāng)于
云上態(tài)勢感知服務(wù)與專業(yè)安全專家運(yùn)
vs
個人非專業(yè)的安全知識

綜上

多數(shù)人都會選擇把這筆巨款存放銀行
這就好比傳統(tǒng)架構(gòu)與云上架構(gòu)對比
從平臺、數(shù)據(jù)、服務(wù)三個維度
為云上客戶提供可信與安全

原文鏈接

本文為阿里云原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。

總結(jié)

以上是生活随笔為你收集整理的安全之心：一文读懂可信计算的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。