1 / 42

可信计算综述

可信计算综述. 一、可信计算. 可 信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制。. 可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。 可信计算是安全的基础,从可信根出发,解决 PC 机结构所引起的安全问题。. 安全应用组件. 安全操作系统. 安全操作系统内核. 密码模块协议栈. 主 板. 可信赖 BIOS. TPM( 密码模块芯片 ). 图:可信赖计算平台.

nuri
Download Presentation

可信计算综述

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 可信计算综述

  2. 一、可信计算 • 可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制。

  3. 可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。 • 可信计算是安全的基础,从可信根出发,解决PC机结构所引起的安全问题。

  4. 安全应用组件 安全操作系统 安全操作系统内核 密码模块协议栈 主 板 可信赖BIOS TPM(密码模块芯片) 图:可信赖计算平台 • 可信计算终端基于可信赖平台模块(TPM),以密码技术为支持、安全操作系统为核心(如图所示)

  5. 可信任链传递与可信任环境

  6. 具有以下功能: • 确保用户唯一身份、权限、工作空间的完整性/可用性 • 确保存储、处理、传输的机密性/完整性 • 确保硬件环境配置、操作系统内核、服务及应用程序的完整性 • 确保密钥操作和存储的安全 • 确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击

  7. 二、需求和目标 是国家安全的需要 • 存在的安全问题 • 我国关键信息产品大多是国外产品,信息产品安全后门普遍存在 • 我国的IT基础产业薄弱制约了信息安全技术的发展,信息安全尖端技术多掌握在外国公司手中 • 操作系统 • BIOS • 芯片

  8. 存在的安全问题 • TCG发展的TCP会成为未来信息战的工具 • TCG认为可信的CPU、BIOS、OS 对中国来说不一定可信 • TCG的TCP让用户对自己的计算机失去了控制权

  9. 对策 • 中国对信息安全产品和技术实行专门管理,有相关职能部门归口管理; • 大力扶持信息安全技术的国产化 • 鼓励相关国家标准的制定

  10. 是经济发展需要 • 问题 中国用户使用国外软硬件产品会支付巨额版权费 • 遏制了中国软硬件技术和产品的发展 • 中国软硬件产品开发商需要向TCG支付巨额可信授权和评估费用 • 对策 • 发展中国自己的TCP • 制定中国自己的TCP标准 • 制定中国自己的可信授权、评估体系

  11. 中国TCP的目标 • 遵循TCG的TCP技术路线 • 中国TCP的开放模式,在政府领导下TCP用户自行管理 • TCP度量平台的可信性,但配置和决策权由用户决定 • 发展终端TCP,占领网络可信计算的先机 • 信任链的延伸至网络应用, • 扩展TPM中基于智能卡的认证技术 • 拓展TPM中对应用的安全运行和保护的技术

  12. 中国TCP的目标 • 以我国自有知识产权的技术与产品构建中国TCP的可信根和信任链 • TPM芯片技术 • 主板设计和制造技术 • 智能卡、生物识别技术 • BIOS增强技术 • 安全操作系统 • 密码技术:使用中国自己的密码算法和标准

  13. 三、TCG的动态 • 2000年12月美国卡内基梅隆大学与美国国家宇航总署(NASA)的艾姆斯(Ames)研究中心牵头,联合大公司成立TCPA。 • 2003年3月改组为TCG(Trusted Computing Group) • 2003年10月发布了TPM主规范(v1.2) • 具有TPM功能的PC机已经上市(IBM、HP等)

  14. 应用程序 本地应用 远程应用 服务提供者(TSP) 服务提供者(TSP) 用户进程模式 RPC客户 RPC服务 TSS 核心服务层 (TCS) 系统进程模式 设备驱动库(TDDL) 核心模式 TPM设备驱动 可信平台模块(TPM) 可信平台体系结构

  15. TCG 规范族 • TCG主规范系列: • 包括主规范、TPM规范。 • 平台设计规范系列: • 个人电脑( PC Platform )、 • 个人数字助理( PDA Platform )、 • 无线移动通讯设备(cellular Platform )等 • 作为可信计算平台的设计规范。 • TCG软件栈规范系列: • 主要规定了可信计算平台从固件到应用程序的完整的软件栈.

  16. TCG 规范族 • TCG主规范 :TCG main Spec v1.1 • 可信计算平台的普适性规范,支持多平台:PC / PDA • TCG PC规范:TCG PC Spec v1.1 • 可信计算平台的 PC规范 • TPM Main Spec v1.2系列 • 可信计算平台的信任根可信计算模块规范 • TSS (TCG Software Stack)v1.1 • 操作系统上的可信软件接口规范,

  17. 英特尔公司的LT计划: • LT技术是英特尔公司提出的新一代PC平台的安全解决方案。它和TCG推出的PC实施规范有所区别,它用到了TCG定义的TPM,基于此来构建自己的安全架构。区别在于LT技术扩展了TCG所定义的可信计算的功能和范围。 • LT是多种硬件技术的结合,可以说:LT = CPU + TPM + Chipset + Protected I/O。英特尔认为当前个人计算机上主要存在的软件攻击隐患有:用户输入输出的脆弱性,很容易在I/O通路上对数据进行伪造或篡改,尤其是显示设备的缓存直接是可存取的,如果不控制,所见到的输出将不能确保是真实可信的;内存访问的脆弱性,获得特权级的恶意代码可以对内存的任意位置进行访问,而DMA控制器也可以不经过CPU直接对内存进行访问,如果仅从软件来控制,是远远不够的。

  18. 针对上述问题,英特尔提出基于硬件的安全解决方案,包括以下几个主要部分:针对上述问题,英特尔提出基于硬件的安全解决方案,包括以下几个主要部分: • CPU:支持进程间隔离,对执行进行保护,包括扩充安全指令集,以及寻址结构; • TPM:支持密封存储,提供用于用户认证和平台验证的各种密码支持 • Chipset:支持内存隔离,域管理,解决DMA通道对内存访问的问题,也为建立有保护的输入输出环境提供硬件支持 • Protect I/O:涉及到各种外部设备及接口,建立有保护的输入输出还需要对外部设备及接口进行改造

  19. LT技术的安全特性总结为以下四点: • 执行保护:从硬件上支持应用间的隔离,称为“域隔离”; • 可验证性:能够向本地和远程实体提供平台身份或配置环境是否可信的验证; • 安全存储:通过TPM进行重要信息的密封存储,其本身的硬件特性就保证比存放在其他设备上要安全得多,同时TPM又具有证实的能力,通过对存放的密封数据的检验和鉴别,更好地保护数据的完整性和秘密性; • 输入输出的保护:芯片组和外部接口经过安全设计,可以建立基于硬件保护的可信通道。

  20. 在应用模式上,考虑到兼容性,LT技术引入了标准环境和保护环境,并且两种环境是并存的,如果一旦安全应用需要运行,系统将通过一系列步骤在标准环境下建立一个平行的保护环境,应用一旦处于保护环境下,将能够使用LT提供的各种安全功能,同时,该环境本身也是可信的,不会被不可信的应用破坏,因为保护环境和标准环境是互相隔离的。标准环境则仍然运行着现有的普通应用。在应用模式上,考虑到兼容性,LT技术引入了标准环境和保护环境,并且两种环境是并存的,如果一旦安全应用需要运行,系统将通过一系列步骤在标准环境下建立一个平行的保护环境,应用一旦处于保护环境下,将能够使用LT提供的各种安全功能,同时,该环境本身也是可信的,不会被不可信的应用破坏,因为保护环境和标准环境是互相隔离的。标准环境则仍然运行着现有的普通应用。

  21. 微软下一代安全计算基(NGSCB)计划: • 微软在2002年提出了“palladium”计划,随后改为NGSCB(下一代安全计算基础,Next Generation Secure Computing Base)。目的是为构建下一代安全计算平台环境提供基于硬软件的整套方案。微软计划在下一代代号为“longhorn”的操作系统中采用该技术。 • NGSCB技术框架的基本结构可以划分为三层:最底层为硬件支持层称为SSC(Secure Support Component);运行在其上的是与操作系统内核在同一个环上的核心模块,通过该模块来提供对SSC的访问,同时提供各种安全功能支持,称为Nexus;上面是应用层,由称为NCA(Nexus Computing Agent)的代理来执行。

  22. NGSCB技术也提供四个新的安全特性,同LT技术非常类似:NGSCB技术也提供四个新的安全特性,同LT技术非常类似: • 进程隔离:确保应用之间不能访问对方空间,甚至连操作系统本身也无法做到,它是由nexus建立并维护的,由硬件提供支持; • 密封存储:包含认证机制的加密保护,即只有可信的应用,或由可信应用委任的其他实体才可以访问该信息; • 安全通路:在输入输出和nexus之间建立基于硬件的安全通道,恶意代码无法对输入输出数据进行刺探,或进行模拟及篡改; • 可验证性:平台的相互认证机制,同时也可以鉴别远程或本地平台软硬件配置及应用的可信。

  23. 即将发布的Windows Vista版本全面实现可信计算功能,运用TPM和USBKEY实现密码存储保密、身份认证和完整性验证。 • 实现了版本不能被篡改、防病毒和黑客攻击等功能。

  24. 四、国内的进展 • 我国在可信计算技术研究方面起步较早,技术水平不低。在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作,并取得了可喜的成果

  25. 早在九十年代,因军队的特珠要求,我军开发了PC机安全防护系统,实现了可信防护,其结构、功能与TCP类同。早在九十年代,因军队的特珠要求,我军开发了PC机安全防护系统,实现了可信防护,其结构、功能与TCP类同。

  26. 2000年,瑞达公司开始可信安全计算机的研发工作,2004年,武汉瑞达信息安全产业股份有限公司推出自主知识产权的可信计算机产品,并通过国密局主持的鉴定,鉴定意见明确为“国内第一款可信安全计算平台”。2000年,瑞达公司开始可信安全计算机的研发工作,2004年,武汉瑞达信息安全产业股份有限公司推出自主知识产权的可信计算机产品,并通过国密局主持的鉴定,鉴定意见明确为“国内第一款可信安全计算平台”。 • 从2004年开始,瑞达公司可信计算产品结合国家涉密部门、省级党政机关、国家安全部门、公安部门、电子政务系统和电信、电力、金融等国家等领域的业务需求开展应用研究,目前已展开了省级党政机要系统的应用试点工作。

  27. 联想公司和中科院计算所也较早的开展了安全芯片和安全计算机的研究工作。联想公司安全芯片的研发工作2003年在国密办立项,2005年4月完成了安全芯片的研制工作,其安全主机产品计划在2005年内推出。其安全芯片和可信PC平台已通过国密局主持的鉴定。联想公司和中科院计算所也较早的开展了安全芯片和安全计算机的研究工作。联想公司安全芯片的研发工作2003年在国密办立项,2005年4月完成了安全芯片的研制工作,其安全主机产品计划在2005年内推出。其安全芯片和可信PC平台已通过国密局主持的鉴定。 • 兆日公司是我国较早开展TPM芯片研究工作的企业。2005年4月,兆日科技推出符合可信计算联盟(TCG)技术标准的TPM安全芯片,并已经开展了与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国密局主持的鉴定。

  28. 应用集成的企事业单位纷纷提出可信应用框架,如天融信公司的可信网络框架、卫士通公司的终端可信控制系统、鼎普公司的可信存储系统等。应用集成的企事业单位纷纷提出可信应用框架,如天融信公司的可信网络框架、卫士通公司的终端可信控制系统、鼎普公司的可信存储系统等。

  29. 2005年1月全国信息安全标准化技术委员会在北京成立了WG1 TC260可信计算工作小组。WG3也开展了可信计算密码标准的研究工作。 • 国家“十一·五”规划和“863计划”中,将把“可信安全计算平台研究”列入重点支持方向,并有较大规模的投入与扶植。 • 国家发改委、信息产业部在“十一·五”发展规划中也作为发展重点

  30. 面临国际上强大的竞争压力,必须加强联盟、做大做强面临国际上强大的竞争压力,必须加强联盟、做大做强

  31. 五、发展重点 1、基于可信计算技术的可信终端是发展产业的基础 • 可信终端(包括PC、网络处理节点、手机以及其它移动智能终端等)是以可信平台模块(TPM)为核心,它并不仅仅是一块芯片和一台机器,而是把CPU、操作系统、应用可信软件以及网络设备融为一体的基础设备,是构成可信体系的装备平台,应抓大力度研制开发。

  32. 2、高性能可信计算芯片是提高竞争能力的核心2、高性能可信计算芯片是提高竞争能力的核心 • 可信计算核心是TPM芯片,TPM的性能决定了可信平台的性能。不仅要设计特殊的CPU和安全保护电路,而且还要内嵌高性能的加密算法、数字签名,散列函数、随机发生器等,是体现国家主权与控制的聚焦点,是竞争能力的源动力。

  33. 3、可信计算理论和体系结构是持续发展的源泉。3、可信计算理论和体系结构是持续发展的源泉。 • 可信计算概念来自于工程技术发展,到目前为止还未有一个统一的科学严谨的定义,基础理论模型还未建立。因此现有的体系结构还是从工程实施上来构建,缺乏科学严密性。必须加强可信计算理论和体系结构研究,对安全协议的形式化描述和证明,逐步建立可信计算学科体系。

  34. 4、可信计算应用关键技术是产业化的突破口 • 可信计算平台最终目的是保护应用资产的安全,其主要技术手段是使用密码技术进行身份认证,实施保密存储和完整性度量,因此在TPM的基础上,如何开发可信软件栈(TSS)是提高应用安全保障的关键。可信计算平台广泛应用,产业化规模也就大了。

  35. 5、可信计算相关标准规范是自主创新的保护神5、可信计算相关标准规范是自主创新的保护神 • 我国可信计算平台研究起步不晚,技术上也有一定优势,但至今还没有相应的标准规范,处于盲目的跟踪和效仿TCG的建议。这样很可能丧失已经取得的自主知识产权的创新。可信计算是以密码技术为基础,每个国家都有相关的密码政策和法律,即使采用美国的密码算法的中国可信计算产品也不可能推销到美国。我国应加大力度制定相关标准规范,强制执行,严格测评认证,保障我国在可信计算领域自主创新。

  36. 六、自主创新,抓紧标准制定 • 国际大公司发展TCP的目的是要保持自己的垄断,控制别国的计算机产业。 • 涉及国家安全与重要产业必须有国家强制性标准。 • 可信计算标准我国有充实的技术与应用的基础,TCG还未形成ISO的标准是先机,可信计算重点是自我防护,与其他互通性要求不高,核心技术是密码综合使用,必须符合国家密码管理条例。

  37. 国家标准关系到国家信息安全和经济利益。目前,我国信息产业核心技术主要依赖于国外,专利和技术标准缺乏影响着国家经济利益和竞争能力。国家标准关系到国家信息安全和经济利益。目前,我国信息产业核心技术主要依赖于国外,专利和技术标准缺乏影响着国家经济利益和竞争能力。 • 专利保护涉及企业竞争地位和经济利益,而标准更标志着产业、行业乃至国家自主创新能力。 • 谁掌握了标准的制定权,谁的技术就可能成为标准,谁就将拥有市场和产业的主动权和控制权。

  38. 与国外接轨更重要是把我国的标准归入国际标准的组成部分,而不是照抄国外标准。与国外接轨更重要是把我国的标准归入国际标准的组成部分,而不是照抄国外标准。 • 吸收TD-WCDMA成为3G国际标准的经验,以及WAPI的经验和教训。

  39. 可信计算标准要先立足国内,再争取成为国际标准,占世界一席之地。可信计算标准要先立足国内,再争取成为国际标准,占世界一席之地。 • 抓紧以密码技术为基础的可信计算有关的技术标准制定,覆盖TCG规范,成为国家强制性的标准。

  40. 打基础:密码平台规范 • 构平台:可信节点平台(PC、PDA、 移动终端) • 建主体:TPM、TSS、TNC • 成体系:各层次的配套标准规范

  41. 目前我国信息安全建设正处在一个关键时期,发展可信计算是具有战略意义的事情,我们必须走符合我国国情的发展道路,加强联合、自主创新。从而满足我国信息化建设的迫切需要,促进我国信息安全事业的发展。目前我国信息安全建设正处在一个关键时期,发展可信计算是具有战略意义的事情,我们必须走符合我国国情的发展道路,加强联合、自主创新。从而满足我国信息化建设的迫切需要,促进我国信息安全事业的发展。

  42. 谢 谢!

More Related