信息系统安全概论3

石文昌（博士/教授/博导）第3讲信息安全硬件基础第3章：可信计算平台基础系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第2/38页本讲内容•主题：信息安全硬件基础•教材内容：–第3.1节：可信计算发展概貌–第3.2节：可信计算平台的基本特性–第3.3节：可信计算平台的基本体系(部分)–第3.4节：可信平台模块–第3.6节：可信计算平台的运行模型(部分)–第3.7节：可信计算平台的编程接口系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第3/38页可信计算发展概貌•20世纪70年代末，尼巴尔第（G.H.Nibaldi）建立了可信计算基（TrustedComputingBase，TCB）的思想。•1999年，可信计算平台联盟（TrustedComputingPlatformAlliance，TCPA）的创立–由微软、英特尔（Intel）、IBM等190家公司参加•2003年4月，TCPA演变为可信计算组织（TrustedComputingGroup，TCG）系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第4/38页TCG对“可信”的定义•可信是一种期望：一个实体为了实现特定的目标而按照特定的方式进行工作。–目标是确定的可预期的–工作方式是确定的可预期的系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第5/38页“可信”的一个极端例子•英特尔公司的密码与信息安全专家大卫·格劳洛克（DavidGrawrock）：–如果你知道你的电脑中有病毒，知道这些病毒会在什么时候发作，了解发作后会产生怎样的后果，同时病毒也确实是这么运行的，那么这台电脑可信吗？–按照TCG的定义，该电脑是可信的。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第6/38页可信计算的基本理念•用户身份认证–系统对使用者的信任（使用者是否可信？）•平台的完整性–使用者对平台运行环境的信任（运行环境是否可信？）•应用程序的完整性–应用程序运行的可信性（程序的运行是否可信？）•平台间的可验证性–网络环境中终端之间的相互信任（网上通信的另一方是否可信？）系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第7/38页TPM-可信平台模块•可信平台模块（TPM，TrustedPlatformModule）：–TCG定义的可信计算平台的核心基础部件–通常用硬件实现–提供的功能：•系统完整性度量、完整性度量信息的存储、完整性度量信息的报告•密码运算、密钥生成和管理、数据封装系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第8/38页基于TPM的计算机平台参考模型•配上TPM功能模块，把计算机系统平台扩充为可信计算平台。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第9/38页可信计算平台的基本特征•保护能力（ProtectedCapability）•对外证明（Attestation）–由TPM提供的证明–对平台进行的证明–由平台进行的证明–平台的认证•完整性度量、存储和报告系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第10/38页保护能力•保护区域：–可信平台模块中存放敏感信息的存储区，如平台配置寄存器（PCR）。•保护能力：–可信平台模块提供的可以对保护区域进行访问的功能，以命令的形式提供，即TPM命令。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第11/38页TPM的身份标识•真实身份–唯一地标识一个确定的TPM的一对密钥—真实身份密钥（EK）•EK公钥+EK私钥•工作身份–与某个TPM的EK关联的一对密钥—工作身份密钥（AIK）•AIK公钥+AIK私钥–工作身份能表明一个TPM确实存在，但不暴露该TPM的真实身份。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第12/38页AIK与EK的关联方法•TPM向私密性证书机构提供EK公钥、AIK公钥•私密性证书机构为AIK发放凭证•私密性证书机构生成一个会话密钥，用其加密AIK凭证•私密性证书机构用EK公钥加密会话密钥•私密性证书机构提供“加密的会话密钥+加密的AIK凭证”•只有合法的TPM才能使用加密的AIK凭证：AIK与TPM（EK）的绑定（关联）系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第13/38页由TPM提供的证明•TPM告诉外部实体：“我掌握某某数据的情况”。•做法：TPM用自己的AIK对这些数据进行签名。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第14/38页对平台进行的证明•可信的第三方告诉外部实体：“该平台与一个确定的TPM相关联，你可以相信完整性度量报告是由它提供的”。–可信第三方：私密性证书机构•证明的方法是：为平台发放AIK凭证。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第15/38页由平台进行的证明•平台告诉外部实体：“某某完整性度量结果是我提供的”。•做法：用平台上的TPM的AIK对PCR寄存器的值进行签名，因为完整性度量结果存放在PCR寄存器中。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第16/38页平台的认证•外部实体确认平台的工作身份。•做法：平台用AIK的私钥对一个密钥进行签名，如果外部实体能用AIK的公钥解开这个签名，则可确认该平台拥有与相应的AIK对应的工作身份。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第17/38页完整性度量、存储和报告•完整性度量：获取影响平台完整性（可信性）的平台特性的度量值，并把该度量值的摘要存放到PCR中。•被度量的值：程序代码或内嵌数据的表示•度量产生的摘要：被度量的值的哈希值•PCR寄存器保存度量产生的摘要的方法：PCR[n]SHA1(PCR[n]+M_data)•对外证明记录在PCR中的度量结果。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第18/38页可信计算平台的信任根•信任根：平台中默认可以信任的组件，是系统可信的假设前提。–度量用信任根（RTM）–存储用信任根（RTS）–报告用信任根（RTR）•CRTM：度量用信任根的核心部分，在系统启动的初态执行完整性度量操作的指令。例：–CRTM=BIOS中的引导块，或：–CRTM=BIOS系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第19/38页平台的可信构件块•可信构件块（TBB）：平台中必须纳入到信任根之中的部件，处于保护区域和保护能力的范围之外。例：–以下部件的组合构成一个TBB：•CRTM•存储CRTM的单元与主板的连接•TPM与主板的连接•键盘•……系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第20/38页可信构件块示例系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第21/38页信任边界（范围）•可信构件块和信任根的其余部分的组合构成初始的信任范围：–在该范围内，可以完成对平台的最小配置的完整性的度量、存储和报告。•信任边界的扩充：–把通过度量的组件纳入到信任范围之中。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第22/38页通过完整性度量建立信任链系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第23/38页完整性报告（对外证明）协议系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第24/38页完整性报告（对外证明）说明1.请求方发出获取一个或多个PCR寄存器值的请求；2.平台上的度量机制采集SML记录信息；3.度量机制从TPM中获取PCR寄存器的值；4.TPM用AIK对PCR寄存器的值进行签名；5.平台的度量机制采集与TPM关联的凭证，并把SML记录信息、凭证和经过签名的PCR寄存器的值提供给请求方；6.请求方验证请求的响应结果：它计算度量产生的摘要，将其与PCR寄存器的值进行对比，并评估平台的凭证，检查签名信息。系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第25/38页TCG为信息交换提供的保护功能•绑定（Binding）–发送方用接收方的公钥对信息进行加密•签名（Signing）–计算被签名的数据的哈希值，并用私钥对该哈希值进行加密•封装（Sealing）–选择一组PCR寄存器的值，用一个公钥对该组PCR寄存器的值和一个对称密钥进行加密，然后用该对称密钥对待封装的信息进行加密•封装的签名（Sealed-Signing）–先把一组特定的PCR寄存器的值组合到待签名的信息之中，再进行签名系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第26/38页密钥和数据的存储保护方法系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第27/38页可信计算平台软件层次结构系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第28/38页可信计算平台典型应用方案系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第29/38页会话：用于验证执行TPM命令的授权系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第30/38页TPM组件体系结构系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第31/38页TPM的组件•输入/输出组件：对通信总线上的信息流进行管理•非易失性存储器：存放真实身份密钥（EK）、存储根密钥（SRK）、属主的授权数据和永久的标记。•PCR寄存器：供操作系统和应用软件使用•工作身份密钥（AIK）：永久型密钥，存放在TPM之外•程序代码：对平台设备进行完整性度量的固件，是度量的核心信任根（CRTM）•随机数生成器：生成密钥、创建即时随机量•SHA-1消息摘要引擎：计算签名、创建密钥块•RSA密钥生成引擎：创建签名密钥和存储密钥•RSA引擎：使用签名密钥进行签名、使用存储密钥进行加密和解密、使用EK进行解密•功能开关组件：禁用或启用TPM模块•执行引擎：执行TPM初始化操作和完整性度量操作系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第32/38页程序员视角的TPM结构系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2009电子工业出版社第33/38页命令包和响应包的数据结构•命令包的数据结构：–16比特：包的类型（即：消息类型）–32比特：包的总长度（即：消息长度）–32比特：TPM命令序号–可变长度：命令数据（即：参数块）•响应包的数据结构：–16比特：包的类型（即：消息类型）–32比特：包的总长度（即：消息长度）–32比特：返回码–可变长度：返回数据（即：参数块）系统与信息安全研究实验室RENMINUNIVERSITYOFCHINA©2