BIT6信息系统安全机制-可信计算-孙建伟

可信计算孙建伟计算机网络攻防对抗技术实验室北京理工大学内容计算机系统平台存在的安全问题可信计算发展概貌可信计算平台结构可信计算平台的安全功能可信计算平台的运行模型可信计算局限性分析总结与展望计算机系统平台存在的安全问题计算机病毒木马间谍软件软件后门系统软件遭恶意篡改计算机系统平台存在的安全问题实质是系统软件、应用软件遭篡改，而目前的系统平台尚缺乏实时的完整性检测、保护能力。目前的手段还是事后的补偿性的：病毒查杀计算机重新安装对遭破坏的软件重装或升级嵌入式系统、智能系统的安全问题丰田车事件高档汽车驾驶失控程序漏洞、缺陷还是被人为篡改？汽车，从信息系统角度看车载信息系统、车载信息系统网络其它：导弹、无人机、、、计算机系统平台存在的安全问题人体免疫系统能够发现和攻击侵入的病毒、细菌和异物感知能力人体的免疫反应如何在信息系统中建立类似的能力？系统造篡改时，发现、定位、修复系统造攻击时，发现，处置计算机系统平台存在的安全问题奇虎360的平台安全之道电脑的安全管家对输入的软件的验证：网页脚本或下载的软件对关键操作的监控但是基础不足奇虎360仅是应用软件，先天不足，后天不能根本解决问题可信基的问题（TCB）PC机软、硬件结构简化，导致资源可任意使用，尤其是执行代码可修改，恶意程序可以被植入病毒程序利用PC操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播利用系统漏洞窃取超级用户权限，植入攻击程序，肆意进行破坏安全问题追根溯源:平台架构是根本为了解决计算机和网络结构上的不安全，从根本上提高其安全性，必须从芯片、硬件结构和操作系统等方面综合采取措施，由此产生出可信计算的基本思想，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。可信平台的提出可信计算的基本思路可信计算的基本思路是在硬件平台上引入安全芯片（可信平台模块）来提高终端系统的安全性，也就是说是在每个终端平台上植入一个信任根，让计算机从BIOS到操作系统内核层，再到应用层都构建信任关系当终端受到攻击时，可实现自我保护、自我管理和自我恢复20世纪70年代末，尼巴尔第（G.H.Nibaldi）建立了可信计算基（TrustedComputingBase，TCB）的思想。1999年，可信计算平台联盟（TrustedComputingPlatformAlliance，TCPA）的创立–由微软、英特尔（Intel）、IBM等190家公司参加2003年4月，TCPA演变为可信计算组织（TrustedComputingGroup，TCG）2005年,中国成立中国的TCG并纳入国际TCG可信计算发展概貌政府主导组建TCM国标产业工作组产业链产业联盟华为卫士通网络接入CA证书吉大正元江南所吉大正元软件所系统/应用软件联想国防科大…国家商用密码管理局工信部财政部公安部政策联合八部委强力推行TCM标准制定与产业化…同方PC系统联想方正长城瑞达联想兆日中兴瑞达TCM/TSM秘书单位TCG对“可信”的定义可信是一种期望：一个实体为了实现特定的目标而按照特定的方式进行工作:可预期–目标是确定的–工作方式是确定的可信计算的极端例子英特尔公司的密码与信息安全专家大卫·格劳洛克（DavidGrawrock）：–如果你知道你的电脑中有病毒，知道这些病毒会在什么时候发作，了解发作后会产生怎样的后果，同时病毒也确实是这么运行的，那么这台电脑可信吗？–按照TCG的定义，该电脑是可信的。可信计算的基本理念平台的完整性–使用者对平台运行环境的信任（运行环境是否可信？）应用程序的完整性–应用程序运行的可信性（程序的运行是否可信？）平台间的可验证性–网络环境中终端之间的相互信任（网上通信的另一方是否可信？）TPM-可信平台模块可信平台模块（TPM,TrustedPlatformModule）TCG定义的可信计算平台的核心基础部件,用硬件实现，具有如下主要功能：系统完整性度量、完整性度量信息的存储、完整性度量信息的报告密码运算、密钥生成和管理、数据封装基于TPM的计算机平台参考模型配上TPM功能模块，把计算机系统平台扩充为可信计算平台TPM芯片体系结构I/O密码学协处理器HMACEngineSHAEngineOpt-In非易失性存储器KeyGenerationRNGPowerDetectionExecutionEngine易失性存储器通信总线TMP，必须强调的本质上是一个具有计算和存储能力的芯片，SOC，systemonchip.存储了所保护目标的摘要信息具有摘要，加密，密码生成管理等计算能力TPM的组件•输入/输出组件：对通信总线上的信息流进行管理•非易失性存储器：存放真实身份密钥（EK）、存储根密钥（SRK）、属主的授权数据和永久的标记。•PCR寄存器：供操作系统和应用软件使用•工作身份密钥（AIK）：永久型密钥，存放在TPM之外•程序代码：对平台设备进行完整性度量的固件，是度量的核心信任根（CRTM）•随机数生成器：生成密钥、创建即时随机量•SHA-1消息摘要引擎：计算签名、创建密钥块•RSA密钥生成引擎：创建签名密钥和存储密钥•RSA引擎：使用签名密钥进行签名、使用存储密钥进行加密和解密、使用EK进行解密•功能开关组件：禁用或启用TPM模块•执行引擎：执行TPM初始化操作和完整性度量操作PCR---PlatformConfigurationRegister1.1版本设置8个PCR，1.2版最少设置16个；PCR放置在ShieldLocation；PCR的使用方式由平台的体系结构(PC/服务器/PDA等)来确定；PCR为160bits值；PCR主要用来存储在信任链建立过程中各模块完整性度量数值；PCR存储数值方式：PCRiNew=Hash(PCRiOldvalue||valuetoadd)PCRmustbeintheRTS(RootofTrustedStorage)PCR是TPM的重要对象程序员视角的TPM结构可信计算平台的基本功能•保护能力（ProtectedCapability）•对外证明（Attestation）–由TPM提供的证明–对平台进行的证明–由平台进行的证明–平台的认证•完整性度量、存储和报告保护能力•保护区域：–可信平台模块中存放敏感信息的存储区，如平台配置寄存器（PCR）、密钥对的私钥密钥信息等。TPM的身份标识•数字证书：真实身份–唯一地标识一个确定的TPM的一对密钥—真实身份密钥（EK）•EK公钥+EK私钥•数字证书：工作身份–与某个TPM的EK关联的一对密钥—工作身份密钥（AIK）•AIK公钥+AIK私钥–工作身份能表明一个TPM确实存在，但不暴露该TPM的真实身份。由TPM提供的证明TPM告诉外部实体：“我掌握某某数据的情况”。做法：TPM用自己的AIK证书私钥对这些数据进行数字签名。对平台进行的证明•可信的第三方告诉外部实体：“该平台与一个确定的TPM相关联，你可以相信完整性度量报告是由它提供的”。–可信第三方：私密性证书机构•证明的方法是：为平台发放AIK凭证。由平台进行的证明•平台告诉外部实体：“某某完整性度量结果是我提供的”。•做法：用平台上的TPM的AIK对PCR寄存器的值进行签名，因为完整性度量结果存放在PCR寄存器中。平台的认证•外部实体确认平台的工作身份。•做法：平台用AIK的私钥对一个密钥进行签名，如果外部实体能用AIK的公钥解开这个签名，则可确认该平台拥有与相应的AIK对应的工作身份。完整性度量、存储和报告•完整性度量：获取影响平台完整性（可信性）的平台特性的度量值，并把该度量值的摘要存放到PCR中。•被度量的值：程序代码或内嵌数据的表示•度量产生的摘要：被度量的值的哈希值•PCR寄存器保存度量产生的摘要的方法：PCR[n]SHA1(PCR[n]+M_data)•对外证明记录在PCR中的度量结果。可信计算平台的信任根•信任根：平台中默认可以信任的组件，是系统可信的假设前提。–度量用信任根（RTM）–存储用信任根（RTS）–报告用信任根（RTR）•CRTM：度量用信任根的核心部分，在系统启动的初态执行完整性度量操作的指令。例：–CRTM=BIOS中的引导块，或：–CRTM=BIOS通过完整性度量建立信任链完整性报告（对外证明）协议完整性报告（对外证明）说明1.请求方发出获取一个或多个PCR寄存器值的请求；2.平台上的度量机制采集SML记录信息；3.度量机制从TPM中获取PCR寄存器的值；4.TPM用AIK对PCR寄存器的值进行签名；5.平台的度量机制采集与TPM关联的凭证，并把SML记录信息、凭证和经过签名的PCR寄存器的值提供给请求方；6.请求方验证请求的响应结果：它计算度量产生的摘要，将其与PCR寄存器的值进行对比，并评估平台的凭证，检查签名信息。TCG为信息交换提供的保护功能•绑定（Binding）–发送方用接收方的公钥对信息进行加密•签名（Signing）–计算被签名的数据的哈希值，并用私钥对该哈希值进行加密•封装（Sealing）–选择一组PCR寄存器的值，用一个公钥对该组PCR寄存器的值和一个对称密钥进行加密，然后用该对称密钥对待封装的信息进行加密•封装的签名（Sealed-Signing）–先把一组特定的PCR寄存器的值组合到待签名的信息之中，再进行签名可信计算平台软件层次结构可信计算平台典型应用方案可信计算的局限性可信计算体系实质是基于可信根提供平台完整性验证和认证功能从跨站攻击看互联网应用的模式，移动代码安全性无法用可信计算技术解决的完整性检测不适用于移动代码平台可信，并不意味着系统行为合法软件自身漏洞和安全性设计缺陷无法用可信计算体系保证可信计算的局限性可信计算远非终极安全软件代码安全性分析是必要的信息系统以访问控制为核心的安全防护机制系统行为安全性控制（检测、识别、控制）是必要的信息安全综合保障的三个层面可信计算体系-(平台完整性、认证性)软件安全性分析与安全性设计（避免漏洞、保护、控制机制）系统行为安全性控制（访问控制、动态防护）总结可信计算平台的理论基础加密与认证技术可信平台的实质系统之外的监控系统：着眼于完整性和认证性TPM作为信任根，为一嵌入式系统可信计算的局限性信息系统安全保障的三个层面的要求与解决途径展望可信计算普及后的可信管理问题涉及国家主权和安全大局TPM的生产需要引入许可证管理，在国家层面统一管理TPM的存在形态集成在CPU中独立于CPU的TPM器件独立的TPM模块：嵌入式系统展望可信计算对IT产业和传统工业的影响计算机平台走向可信计算机现有计算机的改进、升级嵌入式系统走向可信计算体系意义重大对软件架构的影响系统软件支持TSS应用软件支持与TSS的接口网络应用支持与TSS的接口展望可信计算平台应用软件的动态保护问题增量保护问题TPM完整性度量动态管理基于可信计算平台的应用软件安全性设计问题练习与思考说明可信计算体系的实现原理说明可信计算技术对于信息系统安全的意义及其局限性基于可信计算平台的应用软件安全性设计，重点是完整性保护的实现。参考资料DavidChallener,可信计算偏重技术实现我国可信计算研究与发展.pdf综述嵌入式信任根.pdfTPM实现方案可信PDA计算平台系统结构与安全机制.doc可信平台的例子