可信计算环境证明方法研究

合集下载

可信计算的研究与发展

可信计算的研究与发展一、概述随着信息技术的快速发展，计算机和网络系统已经成为现代社会不可或缺的基础设施。

这些技术的广泛应用也带来了严重的信息安全问题，如数据泄露、恶意软件攻击、网络钓鱼等。

为了应对这些挑战，可信计算（Trusted Computing）技术应运而生。

可信计算是一种通过硬件和软件结合，确保计算机系统自身安全可信，从而保护存储在其中的信息不被非法访问和篡改的技术。

可信计算技术起源于上世纪末，随着计算机体系结构的演进和信息安全需求的提升，其研究和发展逐渐受到全球范围内的关注。

作为一种综合性的安全防护机制，可信计算旨在构建一个安全可信的计算环境，使得计算机系统在执行关键任务时能够抵御各种安全威胁。

近年来，可信计算技术取得了显著的进展。

一方面，可信计算平台（Trusted Platform Module，TPM）的广泛应用为计算机系统提供了硬件级别的安全支持另一方面，可信计算软件技术（如可信操作系统、可信数据库等）的不断发展，为上层应用提供了更加安全可靠的运行环境。

可信计算技术还涉及到了密码学、访问控制、身份认证等多个领域，形成了一套完整的安全防护体系。

尽管可信计算技术取得了显著的研究成果，但其在实际应用中仍面临着诸多挑战。

例如，如何确保TPM的安全性和可靠性、如何平衡系统性能与安全性之间的矛盾、如何适应不断变化的安全威胁等。

未来可信计算技术的研究和发展仍需要不断探索和创新，以满足日益增长的信息安全需求。

本文将对可信计算技术的研究与发展进行综述，分析当前的研究热点和难点问题，并展望未来的发展趋势。

通过对可信计算技术的深入了解和研究，有望为信息安全领域的发展提供新的思路和方向。

1. 可信计算的概念定义可信计算（Trusted Computing）是一种计算模式，旨在增强计算机系统的安全性、可靠性和完整性。

其核心思想是在硬件、软件和系统之间建立一个可信任的基础，以确保数据和代码在执行过程中的保密性、完整性和可用性。

软件工程中的可信计算与安全验证技术研究

软件工程中的可信计算与安全验证技术研究软件工程中的可信计算与安全验证技术研究随着信息技术的快速发展，软件在人们的生活和工作中扮演着越来越重要的角色。

然而，由于软件的复杂性和开发过程中的各种不确定性，软件系统往往存在着安全漏洞和可信性问题。

为了提高软件系统的安全性和可信性，研究人员们积极探索可信计算与安全验证技术。

可信计算是指在不可信环境下执行计算任务时，通过硬件和软件的安全机制来确保计算的正确性和安全性。

可信计算技术主要包括可信平台模块（TPM）、可信虚拟机（Trusted VM）和安全多方计算（Secure Multiparty Computation，SMC）等。

可信平台模块是一种硬件设备，用于存储和管理系统的安全密钥，并提供计算机系统的基本安全功能。

可信虚拟机是一种安全的虚拟机环境，可以在不可信的物理环境中运行可信的软件。

安全多方计算是一种协议，可以在不披露私密输入的情况下，计算多方之间的共同结果。

安全验证技术是指通过形式化方法和验证工具来验证软件系统的安全性和正确性。

安全验证技术主要包括形式化规约、模型检测和定理证明等。

形式化规约是一种形式化描述语言，用于描述软件系统的功能和安全属性。

模型检测是一种自动化的验证方法，通过穷举搜索系统的所有可能状态来检测系统是否满足安全属性。

定理证明是一种基于数学逻辑的验证方法，通过构造严格的证明来证明系统的安全性和正确性。

可信计算与安全验证技术在软件工程中的应用非常广泛。

首先，可信计算技术可以提供一个安全可信的执行环境，保护软件系统的关键数据和计算过程。

例如，通过使用可信平台模块，可以确保系统的密钥和密码等敏感信息不被恶意软件和黑客攻击。

其次，安全验证技术可以帮助开发人员发现和修复软件系统中的安全漏洞和错误。

例如，通过使用形式化规约和模型检测技术，可以在软件系统设计阶段发现潜在的安全问题，并提供相应的修复方案。

最后，可信计算与安全验证技术还可以帮助软件系统满足法律和标准的安全要求。

【国家自然科学基金】_可信计算环境_基金支持热词逐年推荐_【万方软件创新助手】_20140801

1
53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102
107 108 109 110
2008年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38
科研热词可信计算 tpm 远程证明实例身份窃取访问控制计算机系统结构自动信任协商网络安全网格计算网格组件度量空间约束空间数据库直接匿名证明电子签名生态系统服务价值更新证明敏感性指数授权劫持完整性动态度量大规模语料库多信任域基于角色的访问控制基于位置服务土地利用可信计算平台可信度可信平台模块匿名证书信息安全信任管理信任度会话组件树三峡库区(重庆段) web欺骗 usbtoken usb key p2p
科研热词可信计算可信网络连接无线网络信任模型可信计算环境可信度可信平台模块远程证明证实模型访问控制行为模式电子交易无证书公钥无线接入匿名认证信任评估交易行为雪线场隔离环境隐私保护通用可组合安全进化理论近岸海域跨虚拟机跨域认证调度算法证明访问授权模型认证密钥协商认证表层海水盐度表层海水温度行为模型虚拟计算环境虚拟机羌塘高原网络安全网格计算网格经济模型系统调用粗糙集粒子群进化算法类hoare逻辑系统程序模块化验证液态云水路径海面风速浮游有孔虫概率密度函数极小连通支配集条件信息熵末次冰期最小二乘法

毕业论文·我国可信计算技术研究浅谈

学科分类号湖南人文科技学院专科学生毕业论文题目：我国可信计算技术研究浅谈姓名：曾雄学号：07303233院(系) ：计算机科学技术系专业班级：计算机应用2007级2班指导教师：刘永逸湖南人文科技学院教务处制湖南人文科技学院专科学生毕业论文（设计）评审表湖南人文科技学院专科学生毕业论文（设计）开题报告我国可信计算技术研究浅谈（湖南人文科技学院计算机科学技术系2007级计算机应用曾雄）摘要：可信计算技术是信息安全领域的一个新分支。

本文论述了我国可信计算技术与理论的最新研究进展。

通过分析我国可信计算技术的发展历史与研究现状，指出了目前我国可信计算领域存在理论研究滞后于技术发展，部分关键技术尚未攻克，缺乏配套的可信软件系统等问题，提出了值得研究的理论与技术方向，包括：以可信计算平台体系结构、可信网络、可信软件工程，软件信任度量技术等为代表的可信计算关键技术，以可信计算模型、信任理论等为代表的可信理论基础。

关键词：可信计算；可信计算技术；可信计算平台；可信计算平台模块TPM1 引言随着计算机技术和网络的迅猛发展，信息安全问题日趋复杂，系统安全问题层出不穷，信任危机制约着信息化的发展进程。

沈昌祥院士认为，首先，由老三样(防火墙、入侵监测和病毒防范)为主要构成的传统信息安全系统，是以防外为重点，而与目前信息安全主要威胁源自内部的实际状况不相符合[1]。

其次，从组成信息系统的服务器、网络、终端三个层面上来看，现有的保护手段是逐层递减的。

人们往往把过多的注意力放在对服务器和网络设备的保护上，而忽略了对终端的保护。

第三，恶意攻击手段变化多端，而老三样是采取封堵的办法，例如，在网络层(IP)设防，在外围对非法用户和越权访问进行封堵。

而封堵的办法是捕捉黑客攻击和病毒入侵的特征信息，其特征是已发生过的滞后信息，不能科学预测未来的攻击和入侵。

近年来，体现整体安全思想的可信计算技术正越来越受到人们的关注，成为信息安全新的热点研究方向。

可信计算综述

2、高性能可信计算芯片是提升竞争能力旳关键
可信计算关键是TPM芯片，TPM旳性能决定了可信平台旳性能。不但要设计特殊旳CPU和安全保护电路，而且还要内嵌高性能旳加密算法、数字署名，散列函数、随机发生器等，是体现国家主权与控制旳聚焦点，是竞争能力旳源动力。
3、可信计算理论和体系构造是连续发展旳源泉。
TCG软件栈规范系列：
– 主要要求了可信计算平台从固件到应用程序旳完整旳软件栈.
TCG 规范族
TCG主规范：TCG main Spec v1.1
– 可信计算平台旳普适性规范，支持多平台： PC / PDA
TCG PC规范：TCG PC Spec v1.1
– 可信计算平台旳 PC规范
TPM Main Spec v1.2系列
三、TCG旳动态
2023年12月美国卡内基梅隆大学与美国国家宇航总署（NASA）旳艾姆斯（Ames）研究中心牵头，联合大企业成立TCPA。
2023年3月改组为TCG(Trusted Computing Group)
2023年10月公布了TPM主规范（v1.2）
应用程序
顾客进程模式
应用集成旳企事业单位纷纷提出可信应用框架，如天融信企业旳可信网络框架、卫士通企业旳终端可信控制系统、鼎普企业旳可信存储系统等。
2023年1月全国信息安全原则化技术委员会在北京成立了WG1 TC260可信计算工作小组。WG3也开展了可信计算密码原则旳研究工作。
国家“十一·五”规划和“８６３计划” 中，将把“可信安全计算平台研究”列入要点支持方向，并有较大规模旳投入与扶植。
其本身旳硬件特征就确保比存储在其他设备上要安全得多，同步TPM又具有证明旳能力，经过对存储旳密封数据旳检验和鉴别，愈加好地保护数据旳完整性和秘密性；输入输出旳保护：芯片组和外部接口经过安全设计，能够建立基于硬件保护旳可信通道。

可信计算概念、标准与技术

或其他组件如何作为CRTM（度量的核心信任根）、BIOS执行TCG子系统功能时BIOS的编程接口。在上电、有电期间、掉电及初始化状态的行为等
服务器规范
• 是服务器的总体规范，内容包括：在server环境中用到的专用术语总结、server平台的TPM需求、针对server平台的主规范分析、server环境下TBB的定义及需求、引导过程中PCR的使用
基础设施工作组：因特网及企业基础设施中符合TCG特定平台规范的可信平台的集成，在混合的环境下实现各种商业模式。 • 信任决策信息的规范化的表示与交换。 • 研究平台信任根、信任链、密钥生存期服务，表示它们与所有者策略之间的关系 • 建立一个体系结构框架、接口、元数据弥补基础设施之间的差距
TNC子工作组：基础设施工作组的一个子工作组 • 发布一个开放的体系结构（在网络连接时或之后实施策略，各种终端节点、网络技术、策略之间可以相互交互） • 发布一系列终端完整性标准。
安全审计
攻击行为赖不掉
攻击者进不去标识与鉴别
窃取保密信息看不懂
数据加密
系统工作瘫不成
可用性资源管理+安全管理
什么是可信
• 如果针对某个特定的目的，实体的行为与预期的行为相符，则称针对这个目的，该实体是可信的。
对建立可信计算环境的需求
• 商业运行、社会基础设施运行、个人越来越依赖于IT计算环境。 • IT计算环境面临越来越多的安全威胁。 • 安全可信问题已经成为普适计算、云计算等新型计算模式真正实现的瓶颈。 • 现技术因成本、可管理性、向后兼容性、性能、可移植性等问题无法被广泛采纳。
三. TCG现有标准规范介绍
TCG的文档路线图
三. TCG现有标准规范介绍
现有规范介绍

信息安全新领域——可信证明技术

最终完成从底层硬件到上层为信息传输和资源共享的主要载任链，
体。但是，随着互联网与各种利益
系统的可信传递。通过上述方法能够有效的在本地主机上搭建起－＿
关联越来越紧密，使得安全威胁与
系统时，这个系统能否被客户所信务。证明机制通过度量机制对计算任；云计算的使用者同样非常关心平台关键属性进行度量，然后根据
（Ａｔｅｓｔａｉｔｏｎ）是可信计算平台的三个基础特征之一。针对平台身份和平台配置状态的验证，ＴＣＧ将证明分为两种形式，其一是针对平台身份的证明（ＡｔｅｓａｔｔｉｏｎｏｆＩｄｅｎｔｉｔｙ）。一个平台可以通过提供与平台相关的证书来证明平台是可以被信任的实体。背书证书是平台相关证书的一种，其作用是提供平台嵌入有合法
其通信的外部主机而言并不能确算平台到应用程序，从整体架构到
定其具备可信的计算环境，更不能具体协议，从上层系统到底层硬件确定与其通信是否安全，这个问题都被包含到了可信证明的研究中。尤其在网络环境中（如Ｐ２Ｐ，网格计

毕业论文可信计算的发展研究

可信计算的发展摘要可信计算是信息安全领域的一个新的研究分支，如何建立高效安全的可信计算机制是当前研究的热点，具有极其广泛的应用背景。

这里详细介绍和分析可信计算的国际发展历程、相关定义、关键技术、相关国际标准、相关规。

基于以上分析，指出目前可信计算研究存在理论滞后于应用，部分关键技术尚未攻克，缺乏配套软件系统等问题。

最后指出可信计算在基础理论、关键技术和相应应用方面亟待解决的问题。

[关键词]可信计算；理论模型；信任理论；信息安全摘要- 0 -0 引言- 1 -1 可信计算的研究背景- 1 -2国际可信计算发展- 2 -3信计算相关定义和关键技术- 3 -3.1可信计算的相关定义- 3 -3.2可信计算关键技术- 4 -4可信计算相关国际标准- 5 -4.1TCG 规- 5 -4.2可信计算机安全评价标准（TCSEC）- 5 -4.3息安全评价标准（ITSEC）- 6 -5.信计算亟待研究的领域- 6 -5.1技术方面- 6 -5.2理论方面- 7 -5.3计算的应用- 7 -6.结束语- 7 -参考文献- 7 -0 引言随着信息技术的发展和网络应用的拓展，可信计算技术研究与其相关产业化应用已经成为当前信息安全领域关注的热点问题之一。

国外可信计算起步较早，在组织机制，产业化应用和标准研发等领域都处于领先。

尽管对于可信计算存在不同的认识，但是可信计算是目前公认的信息安全发展面临的重大机遇，是从一个全新的角度解决信息安全问题。

在云计算、物联网和移动互联网等新技术日益发展的今天与将来，可信计算也将成为新的发展趋势。

1 可信计算的研究背景传统信息安全系统以防外部入侵为主，与现今信息安全的主要威胁来自部的实际不符合&采用传统的信息安全措施的最终结果是防不胜防&这是由于只封堵外围，没有从根本上解决产生不安全的问题&概括起来，信息安全事故产生的技术原因主要有几点:(1) 目前的PC机软硬件结构简化，可任意使用资源，特别是修改执行代码，植入恶意程序;(2) 操作系统对执行代码不检查一致性，病毒程序可利用这一弱点将病毒代码嵌入到执行代码中进行扩散;(3)黑客可利用被攻击系统的漏洞，从而窃取超级用户权限，并植入攻击程序，最后进行肆意破坏，攻击计算机系统;(4)用户未得到严格的控制，从而可越权访问，致使不安全事故的产生所有这些入侵攻击都是从个人计算机终端上发起的。

可信计算环境下基于进化理论的层信任模型实现

规定的信任规范下，对于客体Ｂ是可信的，则客体Ｂ对于主体Ａ也是可信的，如图２所示。
述，针对可信计算平台的研究大多是专用平台。这样容易对可信计算平台的研究造成壁垒。对可信计算平台的研究边界多数停留在ＴＭ、Ｐ终端、网络连接上，而没有把可信
２可信度．３
图２信任的传递
计算拓展到计算机网络ｌ，２使得可信计算平台成为了一个】］个信任的孤岛。对可信计算平台缺少整体、一致性的研究。对信任度的表示缺乏统一的规则，使得对可信计算平台的
机制来实现。在系统安全性提高的同时往往带来系统性能
的损失［１６。建立可信的计算系统就是希望系统能够降低验证带来的性能损失，从而实现提高安全性的同时，计算系
统的性能仍然是最优的ｌ８＿。ＴＧ对可信的定义是：Ｃ如果实体按照预先设定的方式运行，则实体是可信的。在可信计算环境中，所有实体都
如果一个软件系统的行为总是与预期相一致，则可称之为
式相同，其根本思想是保障可执行实体的信息完整性ｆ１ｌ。可信计算中存在一个重要的概念——信任传递，它是指某
个系统模块为其他的系统模块提供信任，建立信任链的过程＿。由于该过程可以递归进行，１８１因此系统可以由某一可
称Ａ信任Ｂ．Ｂ对于Ａ是可信的。
２可信度的表示．４
现实中．影响可信度的因素有很多，包括托付和实现的差距、托付和实现的代价、品牌的效应、主体的偏好、主
体的从众程度等１。２４］我们用信任托付和实现的差距表示可信度。托付实现
的程度和托付实现的速度用信任实现的程度和信任实现

可信计算环境证明方法研究

ｉｎｐｏｏｏｏｕｔ— ｅｔｔｅｎｔｅｔｔｏｒｔｃｌｒＭｌｉｆＲＡＩ．Ａｔｌｓｈｕｈｒｎｌｚｈｅｕｉｙａｄｅｆ— ａｔｔｅａｔｏｓａａｙｅｔｅｓｃｒｔｎｆｉ
Ａｂｔａｔｓｒｃ
Ａｔｆｒｔｈｕｈｓａａｙｅｔｅｐｏｂｌｍｓｏｎｍｉｈａｔｒｓｉｉｓ，ｔｅａｔｏｒｎｌｚｈｒｅｆｄｙａｃｃａｒｃｅｉｔｃ，ｃｎｃｒｅｙａｄｏｕｒｎｃｎ
ＦＥＮＧｎ — ｏＱＩＹｕＤｅｇＧｕＮ
（ｔｔｙＬｂｒｔｒｆＩｆｒｔｏｅｕｉｙ，ＩｓｉｔｆＳｆｗｒ，ＣｉｅｅａｅｆＳｉｎｅ，ｉｉｇ１０９）ＳａｅＫｅａｏａｏｙｏｎｏｍａｉｎＳｃｒｔｎｔｕｅｏｔａｅｈｎｓｄｍｙｏｃｅｃｓＢｅｎ０１０ｔｏＡｃｊ
ｃｏｎｓｓｅｃｏｒＭｕｌｉｅＲｅｉｔｎｙｆｔｐｌｍｏｔｔｓａｉｎＩｔｎｃ（ｕｌｉＲＡＩｉｔｕｔｏｐｕｉｇｅｉｏｅＡｔｅｔｔｏｎｓａｅＭｔ— ）ｎｒｓｃｍｔｎｎｖｒｎ— ｍｅｔｎｏｓｏｐｌｔｙｍｉｐｄｔｔｅｔｔｏｓｈｍｅｆｒＭｕｔ— ｎ，ａｄｐｒｐｏｅａｃｍｅｅｄｎａｃｕａｅａｔｓａｉｎｃｅｏｌｉＲＡＩｉｒｔｃｍｐｎｔｕｓｏｕ— ｔｎｇｅｖｉｏｍｅｔｗｈｉｈｕａａｅｓｔｔｕｔｒｈｉｓｎｄｐｉｓｃｍｐｕｉｇｎｖｒｎｍｅ．ｉｎｒｎｎ，ｃｇｒｎｔｅｈｅｒｓｗｏｔｎｅｓｏｆｅｏｎｔｏｔｎｅｉｏｎｔＴｈｅｈｅａｈｏｒｌｕｓｒｔｔｅｔｔｏｔｏｄｏｒｔｃｍｐｕｉｇｅｖｉｏｍｅｉｈｉｏｐｉｅｎｔｕｔｓｉｌｔａｅａｔｓａｉｎｍｅｈｆｔｕｓｏｔｎｎｒｎｎｔｗｈｃｓｃｍｒｓｄｏｅｓｒｍｅｇｏｉｈｆｒｃｍｐｕｉｇｅｖｉｏｆｍａｕｅｎｔａｌｒｔｍｏｏｔｎｎｒｎｍｅ，ｃｍｐｕｉｇａｇｉｈｍｏｅｓｏｏｐｏｎｔｏｔｎｌｏｒｔｆｒｓｓｉｎｃｍ —

可信计算技术研究

安全应用组件
安全操作系统
安全操作系统内核密码模块协议栈
主
可信BIOS
板
TPM(密码模块芯片)
图：可信计算平台
可编辑ppt
10
可信平台基本功能：
可信平台需要提供三个基本功能：
– 数据保护 – 身份证明 – 完整性测量、存储与报告
可编辑ppt
11
数据保护：
数据保护是通过建立平台屏蔽保护区域，实现敏感数据的访问授权，从而控制外部实体对这些敏感数据的访问。
病毒程序利用PC操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播
黑客利用被攻击系统的漏洞窃取超级用户权限，植入攻击程序，肆意进行破坏
更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全事故
可编辑ppt
4
为了解决计算机和网络结构上的不安全，从根本上提高其安全性，必须从芯片、硬件结构和操作系统等方面综合采取措施，由此产生出可信计算的基本思想，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。
xxxxxxxxxxxpc机软硬件结构简化导致资源可任意使用尤其是执行代码可修改恶意程序可以被植入病毒程序利用pc操作系统对执行代码不检查一致性弱点将病毒代码嵌入到执行代码程序实现病毒传播黑客利用被攻击系统的漏洞窃取超级用户权限植入攻击程序肆意进行破坏为了解决计算机和网络结构上的不安全从根本上提高其安全性由此产生出可信计算的基本思想其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台以提高整体的安全性
– TPM = Trusted Platform Module可信平台模块；
定义了访问者与TPM交互机制

可信计算概述

可信计算概述⽬录⼀、为什么需要可信计算？⼆、什么是可信计算？三、可信计算的发展概况四、可信计算技术五、围绕可信计算的⼀些争议参考⽂献⼀、为什么需要可信计算？如今信息技术已经成为了⼈们⽣活中不可分割的⼀部分，⼈们每天都通过计算机和互联⽹获取信息、进⾏各种活动。

但计算机与⽹络空间并不总是安全的，⼀⽅⾯⿊客们会通过在⽹络中散布恶意病毒来对正常⽤户进⾏攻击，例如2017年5⽉爆发的勒索病毒；另⼀⽅⾯许多不良⼚商会在⾃⼰的软件中“开后门”，趁⽤户不注意时获取⽤户的隐私或者弹出弹窗⼴告，这些都给维护⽹络空间的信息安全带来了巨⼤的挑战。

为了使⼈们能够正常地通过计算机在互联⽹上进⾏各种活动，我们必须建⽴⼀套安全、可靠的防御体系来确保我们的计算机能够按照预期稳定地提供服务。

⽬前⼤部分⽹络安全系统主要由防⽕墙、⼊侵检测、病毒防范等组成。

这种常规的安全⼿段只能在⽹络层、边界层设防，在外围对⾮法⽤户和越权访问进⾏封堵，以达到防⽌外部攻击的⽬的。

由于这些安全⼿段缺少对访问者源端—客户机的控制，加之操作系统的不安全导致应⽤系统的各种漏洞层出不穷，其防护效果正越来越不理想。

此外，封堵的办法是捕捉⿊客攻击和病毒⼊侵的特征信息，⽽这些特征是已发⽣过的滞后信息，属于“事后防御”。

随着恶意⽤户的攻击⼿段变化多端，防护者只能把防⽕墙越砌越⾼、⼊侵检测越做越复杂、恶意代码库越做越⼤，误报率也随之增多，使得安全的投⼊不断增加，维护与管理变得更加复杂和难以实施，信息系统的使⽤效率⼤⼤降低，⽽对新的攻击毫⽆防御能⼒。

近年来，“震⽹”“⽕焰”“Mirai”“⿊暗⼒量”“WannaCry勒索病毒”等重⼤安全事件频频发⽣，显然，传统防⽕墙、⼊侵检测、病毒防范等“⽼三样”封堵查杀的被动防御已经过时，⽹络空间安全正遭遇严峻挑战。

安全防护⼿段在终端架构上缺乏控制，这是⼀个⾮常严重的安全问题，难以应对利⽤逻辑缺陷的攻击。

⽬前利⽤逻辑缺陷的漏洞频繁爆出，如“幽灵”“熔断”，都是因为CPU性能优化机制存在设计缺陷，只考虑了提⾼计算性能⽽没有考虑安全性。

可信计算技术研究-.ppt

2）完整性存储完整性存储包括了存储完整性测量值的日志和
在PCR中存储这些测量值的信息摘要。 3）完整性报告完整性报告用于证实完整性存储的内容。
完整性测量、存储和报告的基本原理是：一个平台可能会被允许进入任何状态，但是平台不能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。
具有以下功能：
确保用户唯一身份、权限、工作空间的完置、操作系统内核、服务及应用程序的完整性
确保密钥操作和存储的安全
确保系统具有免疫能力，从根本上阻止病毒和黑客等软件的攻击
可信计算平台特性：
定义了TPM
– TPM = Trusted Platform Module可信平台模块；
定义了访问者与TPM交互机制
– 通过协议和消息机制来使用TPM的功能；
限定了TPM与计算平台之间的关系
– 必须绑定在固定计算平台上，不能移走；
TPM应包含
– 密码算法引擎 – 受保护的存储区域
可信计算终端基于可信赖平台模块（TPM）,以密码技术为支持、安全操作系统为核心（如图所示）
安全应用组件
对应用数据和信息签名。 2）存储密钥(SK-Storage Key)：非对称密钥，用
于对数据或其他密钥进行加密。存储根密钥 (SRK-Storage Root Key)是存储密钥的一个特例。 3）平台身份认证密钥(AIK-Attestation Identity Key)：专用于对TPM产生的数据（如TPM功能、PCR寄存器的值等）进行签名的不可迁移的密钥。
Credential)
二、TCG的动态
2000年12月美国卡内基梅隆大学与美国国家宇航总署（NASA）的艾姆斯（Ames）研究中心牵头，联合大公司成立TCPA。

可信计算原理

可信计算原理一、引言随着云计算、物联网、大数据等技术的迅猛发展，计算与数据的安全性和可信性问题日益凸显。

为了保护用户的隐私和数据安全，可信计算应运而生。

可信计算是一种基于硬件和软件技术的安全计算环境，旨在确保计算过程和结果的完整性、机密性和可靠性。

本文将介绍可信计算的基本原理和相关技术，以及它在当代信息安全领域的应用。

二、可信计算的基本原理1. 安全启动可信计算的第一步是确保计算机系统的启动过程是安全的。

通过使用可信的启动引导程序和硬件安全模块，可以验证操作系统和应用程序的完整性，防止恶意软件的植入和篡改。

2. 可信链可信链是指计算机系统中各个组件之间建立的一种信任关系。

通过在启动过程中创建可信链，可以确保系统中每个组件的可信性。

如果某个组件的可信性被破坏，可信链会被中断，从而保护系统的整体安全。

3. 安全容器安全容器是一种隔离和保护敏感数据和计算过程的技术。

通过在计算机系统中创建安全的隔离环境，可以防止未经授权的访问和篡改。

安全容器可以是软件虚拟化技术、硬件隔离技术或者二者的结合。

4. 可信计算的远程验证可信计算不仅可以在本地保护计算过程和结果的安全，还可以通过远程验证机制来确保计算结果的可信性。

远程验证可以使用零知识证明、多方计算等技术，使得计算过程和结果可以被多方验证，确保计算的正确性和可信性。

三、可信计算的相关技术1. 安全芯片安全芯片是可信计算的重要组成部分，它集成了硬件加密和安全认证功能，可以提供安全的存储和计算环境。

安全芯片可以用于身份验证、数据加密、数字签名等安全应用。

2. 可信执行环境可信执行环境是在操作系统和硬件之间建立的一种安全隔离环境，用于保护敏感数据和计算过程。

可信执行环境可以使用硬件虚拟化技术、安全沙箱技术等来实现。

3. 可信计算的远程验证技术可信计算的远程验证技术可以通过使用零知识证明、多方计算等技术，使得计算过程和结果可以被多个参与方验证，确保计算的正确性和可信性。

一种可信终端运行环境远程证明方案

软件学报ISSN 1000-9825, CODEN RUXUEW E-mail: jos@Journal of Software,2014,25(6):1273−1290 [doi: 10.13328/ki.jos.004414] +86-10-62562563 ©中国科学院软件研究所版权所有. Tel/Fax:∗一种可信终端运行环境远程证明方案谭良1,2, 陈菊11(四川师范大学计算机学院,四川成都 610068)2(中国科学院计算技术研究所,北京 100190)通讯作者: 谭良, E-mail: jkxy_tl@摘要: 可信终端的远程证明无论是基于二进制的证明方案还是基于属性的证明方案,针对的均是终端的静态环境,反映的是终端的软件配置结构,并不能证明终端运行环境的真正可信.针对这一问题,提出了一种终端可信环境远程证明方案.针对静态环境,该方案考虑了满足可信平台规范的信任链以及相关软件配置的可信属性证明;针对动态环境,该方案考虑了终端行为的可信属性证明.并分别给出了信任链、平台软件配置和终端行为等属性证明的可信性判定策略和算法,以及终端运行环境远程证明的综合性判定策略和算法.另外,在Windows平台上,设计和实现了该方案中的两个核心实体:证明代理和验证代理,并设计了证明代理和验证代理之间的通信协议.最后,介绍了该方案在Windows平台上的一个典型应用案例以及证明代理在该应用实例中的性能开销.应用实例验证了该方案的可行性.关键词: 可信计算;远程证明;属性证明;终端行为;证明代理;验证代理中图法分类号: TP309中文引用格式: 谭良,陈菊.一种可信终端运行环境远程证明方案.软件学报,2014,25(6):1273−1290./1000-9825/4414.htm英文引用格式: Tan L, Chen J. Remote attestation project of the running environment of the trusted terminal. Ruan Jian XueBao/Journal of Software, 2014,25(6):1273−1290 (in Chinese)./1000-9825/4414.htmRemote Attestation Project of the Running Environment of the Trusted TerminalTAN Liang1,2, CHEN Ju11(College of Computer, Sichuan Normal University, Chengdu 610068, China)2(Institute of Computing Technology, The Chinese Academy of Sciences, Beijing 100190, China)Corresponding author: TAN Liang, E-mail: jkxy_tl@Abstract: Remote attestation, whether binary-based or property-based, mostly undertakes the static environment of the trusted terminalwhere only part of software configurations in the trusted terminal are demonstrated, leaving trustworthiness of the dynamic runningenvironment unproved. To resolve the problem, a new property-based remote attestation project for the dynamic running environment ofthe trusted terminal is presented. The project focuses not only on trusted chain and software configuration for the static environment of thetrusted terminal, but also on the behaviors of the trusted terminal for the dynamic environment. Moreover, the decidability and algorithmfor the trustworthiness of each property by each specific trusted policy is analyzed, and the comprehensive decision strategy is putforward. After that, attestation agent and verification agent which are critical entities in the project, are designed and implemented onWindows, and the communication protocol between them are designed too. Finally, an application case of the project on Windows isintroduced, the performance of attestation agent in this application is studied, and the feasibility of the project is demonstrated.Key words: trusted computing; remote attestation; property attestation; behaviors on terminal; attestation agent; verification agent当前,基于TPM[1]和TCM[2]构建可信计算环境已经成为可信计算的研究热点.基于TPM/TCM的可信度量、∗基金项目: 国家自然科学基金(60970113); 四川省青年科技基金(2011JQ0038)收稿时间:2012-05-20; 修改时间: 2012-07-23; 定稿时间: 2013-03-111274 Journal of Software软件学报 V ol.25, No.6, June 2014报告和远程证明功能实现了通信双方信任关系建立,因此成为了构建分布式可信计算环境的核心功能.目前,关于远程证明的研究主要包括基于实体标识的二进制证明[3−7]和基于属性的远程证明[8−14].在二进制证明过程中,证明请求包含一系列关于被证明系统中当前运行实体的声明,其中,每个实体都通过度量机制生成的唯一性标识来表示.接收到证明请求后,验证方基于表示实体标识间信任传递关系的信任链组成的可信策略,从而确定被证明系统状态是否可信.TCG体系中,远程证明的主要作用是针对平台部件的完整性进行测量,包括检查部件代码内容的非授权篡改以及鉴别部件的提供者身份,实质是一种基于二进制的完整性验证.其优点是证明过程简单、可靠,不需要可信第三方的参与,而验证方则能够可靠地构建起证明平台上从硬件信任根开始的信任链.但是,它最大的缺点是对平台配置隐私的暴露,证明过程中要求出示整个平台配置的完整性度量值.针对二进制证明的上述缺点,研究者们设想从抽象的属性或者语义上去理解和构建证明平台.基于属性的远程证明中,证明方只需要根据验证方的目标属性给出相应的属性声明,不需要将实体唯一性标识暴露给验证方;同时,由于系统中运行实体的唯一性标识也可认为是系统的属性之一,因此基于属性的远程证明在保护系统隐私的同时也提高了证明方案的灵活性.但基于属性的远程证明只有抽象的概念模型,难以度量、比较和推导,从而无法构建类似二进制度量的信任链传递信任的功能.值的注意的是,无论是二进制证明方案还是基于属性证明方案,针对的均是终端的静态环境,即反映的是终端的软件配置结构,并不能证明终端运行环境的真正可信.例如,即使是经过度量的应用程序,也不可能保证终端整个运行环境的可信,因为对应用程序进行完整性度量只能保证该应用程序没有被恶意程序修改,但不能保证该应用程序本身是否破坏终端的运行环境,如泄露内存、劫持网络、破坏文件等;再如,即使终端配置有符合可信策略的软件,但如果这个软件本身存在漏洞,终端的运行环境也会存在被破坏的可能.针对这一问题,本文提出了一种新的终端可信环境远程证明方案.该方案不仅考虑了满足可信平台规范的信任链以及相关软件配置的可信属性证明,而且针对运行环境考虑了终端行为的可信属性证明,并分别给出了信任链、相关软件配置和终端行为等属性证明的可信性判定策略和算法以及终端运行环境远程证明的综合性判定策略和算法,从而证明终端运行环境的真正可信.本文第1节给出相关工作的描述.第2节给出基于属性的远程证明模型.第3节给出本模型中可信策略的可判定性定理及证明.第4节给出终端运行环境的远程证明方案在Windows平台上的实现.第5节给出终端运行环境远程证明方案的应用案例研究.第6节是比较与评价.最后是本文的总结.1 相关工作终端远程证明最初是由TCG组织给出的[1],TCG组织一直是这一工作积极的主导者和推动者.在TCG的远程证明过程中,主要包括证明方与验证方,假设平台使用者想要向验证方证明自己的平台上有一个合法的TPM,并利用这个TPM对平台的PCR(platform configuration register)进行签名,实现向第三方证明其平台的合法性.最直接的方法是:平台用EK私钥对PCR签名并发送给验证方,验证方验证签名后信任平台为一个可信平台,且其配置信息PCR为可信.上述方法的问题在于:平台使用者的EK固定,当他/她与不同的验证方多次进行上述协议时,其交易记录可被第三方关联起来(linkable),从而无法保护平台使用者的隐私.TCG组织在TPM规范1.1版本中提出了以(privacy CA)认证ID密钥(attestation identity key,简称AIK)的方案来解决上面的问题.在该方案中,平台不再以EK作为签名的密钥,而是每次临时生成一个新的AIK作为签名密钥.为了证明AIK的合法性,平台必须首先向隐私CA申请一个AIK证书.当隐私CA收到平台的申请后,隐私CA用自身的私钥对AIK签名.平台获得这个签名后可以发送给第三方的验证者,验证者根据隐私CA的公钥验证AIK是否合法,合法的AIK对PCR的签名被视为TPM的合法签名.Privacy CA方案的致命缺陷在于:其必须在保证PrivaCy CA可信的同时,还必须有高响应能力,所以其应用必将成为可信平台验证的瓶颈.TCG定义TPM规范1.2版中提出了直接匿名认证(direct anonymous attestation,简称DAA)协议[15],该协议在实现TPM芯片认证的同时,保证了认证的匿名性,验证方无法得到芯片的唯一标示.但该协议非常复杂,包含4次零知识证明,运算量非常大,包括大量的谭良等:一种可信终端运行环境远程证明方案1275模指数运算,因此,该协议还缺乏实用性.目前,对该协议的优化工作是一个研究热点[16−27].除此以外,国内外众多研究机构和学者提出了许多不同的远程证明方法.从遵循TCG规范的直接二进制证明,到基于高级语言的语义证明;从嵌入式设备的基于软件证明,到Web Service的证明.在这众多的证明方法中,研究成果最多的还是基于实体标识的二进制证明(binary attestation)[3−7]和基于属性的远程证明[8−14].在实体标识的二进制证明方面,IBM研究院提出了完整性度量方案IMA[4],该方案对于Linux系统加载的可运行实体进行度量,从而生成该实体的唯一性标识符.在证明时,验证方以可信计算平台作为信任根,从而建立对于证明方包含实体标识的判定.基于IMA方案,Jager等人提出了基于策略规约的远程证明方案PRIMA[5],该方案基于C-W信息流模型对远程证明过程中需证明的实体进行规约,从而在一定程度上防止了远程证明过程中平台配置的隐私暴露.基于属性的远程证明方面,2004年,德国波鸿鲁尔大学的Sadeghi等人提出了基于属性的远程证明概念和模型[10],给出了基于属性的远程证明方案的软硬件实现方法,该方法在可信引导程序Trusted Grub的基础上对基于属性的远程证明方法、属性验证和撤销等实现技术进行了研究.随后,为了从框架上解决远程证明过程中隐私泄露问题,同时保证证明方案的灵活性,Poritz等人率先从体系架构层次提出了基于属性的远程证明[11],在该框架中,Poritz等人讨论了基于属性远程证明在隐私保护、扩展性等方面的优点.在属性证明的实现方面,波鸿鲁尔大学利用在线可信第三方颁发了属性证书,实现了引导过程中的二进制度量转换为属性,基于属性实现了系统的证明和封装.该方案建立在在线的可信第三方基础上,便于完整性管理和安全属性管理,并采用CRL验证属性的撤销.随后,他们又对这个方案进行改进,实现了基于属性的系统引导器解决属性证明过程中的属性证书的版本回滚问题.在协议方面,Chen提出了基于属性的远程证明协议(简称PBA协议)[9].文献[26]提出了使用远程证明扩展SSL协议的方案,通信终端通过协商安全参数和在SSL协议上证明平台配置,以此达到建立远程可信通道.该方案的提出,为基于现有通信协议实现远程证明过程中证明请求的发送给出了很好的解决方法.文献[13]提出了一种基于属性的远程证明模型.该模型将传统远程证明中信任链模型扩展为信任图,使得模型能够表达更为灵活的可信策略;文献[14]基于可信计算中的二进制系统完整性测量模型,增加证书权威和可信属性权威,提出一种属性远程证明系统完整性测量模型,并利用谓词逻辑证明其可信性.2 终端运行环境的远程证明方案终端运行环境的远程证明方案包含5个实体:证明代理、验证代理、属性证书颁发中心、可信策略库管理方和服务提供方.验证过程如图1所示.其中,(1)证明代理将终端完整性测量值、软件配置以及终端用户行为发送给验证代理;(2)验证代理根据完整性测量值、软件配置结构以及终端用户行为,对照其可信策略库中的安全策略,包括平台组件属性及完整性特征值、软件配置目录结构以及恶意行为特征.如果均满足可信策略库的属性安全策略,则向属性证书颁发中心申请一个终端运行环境的可信属性证书;(3)属性证书颁发中心颁发终端运行环境的可信属性证书,并返回给证明代理;(4)终端向服务方证明自己的可信属性,并获得服务方资源.在此远程证明过程中,证明代理的主要功能是获取TPM的PCR二进制标示、软件配置以及终端环境中的用户行为;验证代理的主要功能是基于可信策略库对证明代理收集的信息进行确认,包括满足可信平台规范确认、软件配置确认、行为确认以及属性证书申请;属性证书颁发中心的主要功能是颁发和管理属性证书.显然,此远程证明过程不仅具有基于属性的远程证明方案的所有优点,如:(1) 易实现复杂开放网络环境下的异构平台之间的验证;(2) 无论厂商是谁,具备相同属性的任何配置均被赋予相同的属性证书;(3) 避免直接暴露平台配置给未知验证方,使恶意对手攻击平台更容易等等,而且还具有如下特征:①增加了对终端环境用户行为的可信属性证明,使得该远程证明方案不仅能证明终端的静态环境可信,而且通过对终端活动进程的行为属性分析远程证明终端的动态环境可信;②远程证明过程中,证明代理、验证代理、可信策略库、证书颁发中心和服务方的关系更加具体明确.1276 Journal of Software软件学报 V ol.25, No.6, June 2014Fig.1 Remote attestation project of the running environment of the trusted terminal图1 终端运行环境的远程证明过程方案值得注意的是,在一个安全域中,验证代理、可信策略库以及属性证书颁发中心通常可以看成为可信第三方.一方面,它们接受此域中各个可信终端无条件信任,接收来自可信终端的PCR二进制标示、软件配置以及终端环境中的用户行为,并保证这些信息不被泄漏;另一方面,它们接受此域中各种服务提供方无条件信任,均把它们发出的属性证书作为获得服务的主要凭证和相关授权的主要凭证;第三,验证代理、可信策略库以及属性证书颁发中心本身是安全可靠的.3 终端运行环境远程证明的判定策略终端运行环境远程证明方案的核心是判定问题.判定依赖于具体的策略,而策略必须与终端实际环境相吻合.因此,必须详细分析终端环境的信任链传递、软件配置和用户行为,为远程证明的判定策略提供基础保证.为了便于叙述,我们先形式化定义软件组件、属性、属性集等基本概念.定义1. 终端环境的软件组件定义为c i={(c i-code,c i-d-code,c i-cofile),(c i-f,c i-v,c i-o)},其中,(c i-code,c i-d-code,c i-cofile)表示软件的代码特征,c i-code代表软件c i的源代码,c i-d-code代表软件c i的依赖,如其依赖的静态库、动态库或第三方代码库,c i-cofile代表软件c i的策略配置文件.(c i-f,c i-v,c i-o)表示软件c i的功能特征,c i-f表示c i的功能,c i-v表示测组件c i 的版本号,c i-o表示软件组件c i的其他相关属性,比如软件名、开发者、发布时间等.依据定义1,软件组件集为C={c1,c2,…,c n,…}.定义2. 属性是指软件组件满足某一功能要求而具有的内在特征,形式化为p i;属性集P是指包含各种属性的集合,即P={p1,p2,…,p n,…}.我们用p tpm表示终端运行环境满足信任链传递的可信平台规范属性,p soft-configration表示终端运行环境满足一定可信策略需要的软件配置属性,p behavior表示终端运行环境满足一定可信策略需要的用户行为属性.下面将分析属性p tpm,p soft-configration和p behavior及其判定策略.3.1 属性p tpm的分析与判定属性p tpm的实质含义是指终端系统满足基于完整性测量的信任链传递.从第2节的分析可以看出,在本方案的远程证明过程中,证明代理T Agent运行在被验证平台上,起着非常重要的作用.为了保证T Agent可信,我们扩展终谭良等:一种可信终端运行环境远程证明方案1277端的信任传递过程为CRTM →BIOS →OS Loader →OS →T Agent →Application . 如图2所示,将T Agent 作为可信平台链式度量的重要一环.这种方式是可行的,T Agent 的度量可由OS 主导完成,并由OS 将T Agent 程序作为第1个应用程序首先启动.Fig.2 Measurement of attestation agent by TPM图2 基于TPM 的证明代理T Agent 的可信度量在图2中,实现信任传递的相关参数主要包括:(1) 系统配置:将完整性测量组件的哈希值存入TPM 的24个PCR 中;(2) 存储测量值日志(storage measurement log,简称SML),其中包含了存储在TPM 中的所有测量值的事件结构以及被测量的软件组件的(c i -f ,c i -v ,c i -o ).为了详细描述系统完整性测量模型,我们定义信任根、完整性测量组件两个概念以及测量函数、完整性验证函数和完整性传递函数.定义3. 信任根集(trusted root set)为一个由特殊属性组成的集合,包含所有其可信性无需进行证明的属性,形式化表示为TRS ={r |r ∈P }.根据定义3,由图2可知,可信终端的信任根集只有一个元素,即具有“首先启动、防被物理攻击以及能度量BIOS 等功能”的CRTM,即TRS t ={CRTM }.定义4. 完整性测量组件集I ={i 1,i 2,…,i n ,…},其中,i n ∈C .由图2可知,终端的完整性测量组件集I t ={CRTM ,BIOS ,OS Loader ,OS Kernel ,T Agent ,Applications },显然,I t ⊂C . 定义5. Measure (i n ,i n +1,PCR n +1,sml n +1)表示在完整性测量过程中,i n 对i n +1的完整性进行测量,其增量哈希值存储于PCR n +1,相对应的存储测量值日志为sml n +1,n 是正整数且0≤n ≤23.定义6. 完整性验证函数Verify (i n ,i n +1,PCR n +1,LPCR n +1)表示将i n 对i n +1的完整性测量值PCR n +1与可信策略库中对应的标准LPCR n +1进行比较.如果完全匹配,返回true;否则,返回false.定义7. 完整性传递函数Integrity (i n ,i n +1)表示完整性能够从i n 有效地传递至i n +1,而不遭受破坏与损失. 根据以上定义,我们得出属性p tpm 的判定算法,如图3所示.图3算法首先判断信任根集是不是空,然后判断信任根集里的信任根是不是唯一.如果这两个条件均成立,则调用measure 函数对CRTM →BIOS →OS Loader →OS →T Agent 进行完整性测量,并调用完整性验证函数Verify 进行验证,如果成立,则调用Integrity 进行完整性可信传递,然后输出为p tpm ,表示终端运行环境满足信任链传递的可信平台规范属性;否则,输出NULL .OptionROMS BIOSCRTM OS loader OS Agent Application TPM Hardware Memory 存储度量值度量日志报告信赖度量核心根1278Journal of Software 软件学报 V ol.25, No.6, June 2014Fig.3 Decidability algorithm of P tpm图3 属性P tpm 的判定算法3.2 属性p soft -configration 的分析与判定属性p soft -configration 的实质含义是指终端运行环境的软件配置满足一定可信策略.为了详细分析属性p soft -configration ,我们首先定义平台软件配置、基本配置等基本概念以及Draw (), Search -property ()和Verify _softwareconfiguration ()函数.定义8. 平台软件配置是一个平台运行的软件序列,记为σ={c 1,c 2,…,c m },其中,c i ∈C .显然,σ⊂C .一个平台在不同任务要求下可能运行不同的软件,也可能以不同的顺序运行软件.因此,可能有多个不同的软件配置,所有的平台软件配置记为C 的幂集P (C ).一个配置σ={c 1,c 2,…,c m }中,若c i 在c j 的前面执行,记为.i j c c σ⎯⎯→定义9. 设σ是一个配置,c i ,c j ,…,c k ∈C 并且...i j k c c c σσσ⎯⎯→⎯⎯→⎯⎯→,那么τ=〈c i ,c j ,…,c k 〉是σ的一个平台基本软件配置.例如,对于配置σ=〈c 1,c 2,…,c m 〉,〈c i 〉(1≤i ≤n )是σ的基本配置;由于1n c c σ⎯⎯→,因此〈c 1,c n 〉也是σ的一个基本配置.平台基本软件配置与软件配置不同基,平台基本软件配置是一个有序集合.如果去掉平台基本软件配置的有序性,则有τ⊂σ.属性p soft -configration 由终端运行环境中满足一定可信策略需要的基本软件配置提供,验证代理将证明代理获得的平台基本软件配置转换成对应的属性p soft -configration .值的注意的是,属性p soft -configration 与平台的绑定不是直接到单个软件,而是绑定到每个平台基本软件配置上,因为许多属性是由几个软件按照一定顺序运行才提供的.比如,SELinux 提供MLS 支持需要完整的Linux 内核基础上装载LSM 钩子模块,然后再装载MLS 模块才能使得配置具有MLS 能力.因此说,平台基本软件配置〈kernel ,LSM ,MLS 〉提供MLS 属性.定义10. Draw (Processes )表示从平台的Processes 列表中获取平台基本软件配置.定义11. Search -property (p )表示从可信策略库中查询属性p 对应的平台基本软件配置.定义12. 软件配置验证函数Verify _softwareconfiguration (τ1,τ2)的功能是验证平台基本配置τ1,τ2是否匹配:如果匹配,返回ture;否则,返回false.根据以上定义,我们得出属性p soft -configration 的判定算法,如图4所示.图4算法首先判断终端平台的已启动进程列表是不是空,如不是空,就从该进程列表中获取平台基本软件配置,将此基本软件配置与可信策略库中需要的基本软件配置进行比较:如果匹配,则输出为p soft -configration ,表示终端运行环境满足一定可信策略需要的软件配置属性;否则,输出NULL .算法1. 属性P tpm 的判定算法Check-trusted Platform Specification (I t ). 输入:I t ;输出:p tpm 或NULL . 1. IF (TRS t ==∅) OR (|TRS t |==0) THEN return NULL ENDIF; //|I t |表示集合I t 的元素个数 2. IF (|TRS t |==1) AND CRTM in TRS tTHEN //判断信任根是否存在且唯一 3. i 1=CRTM 4. FOR n =1 to |I t | DO 5. Measure (i n ,i n +1,PCR n +1,sml n +1)6. IF (Verify (i n ,i n +1,PCR n +1,LPCR n +1)==true) THEN7. Integrity (i n ,i n +1);8. ELSE 9. RETURN NULL ; 10. ENDIF11. RETURN p tpm 12. ENDFOR13. E NDIF谭良等:一种可信终端运行环境远程证明方案1279Fig.4 Decidability algorithm ofP software -configuration 图4 属性P software -configuration 的判定算法3.3 属性p behaviour 的分析和判定属性p behavior 的实质含义,是指终端运行环境中的主体行为满足一定可信策略.为了详细描述主体行为属性,我们首先定义与主体行为相关的基本概念.定义13(基本变量). S 为主体集合,也可看作是用户和用户启动的进程集合,在此,把已启动的进程称为活动主体;O 为客体集合,对于单个客体o ,有o ∈O ,客体可以是文件、程序、设备等资源.定义14(行为集合). 行为集B =(S ×O ×A ),∀b ∈B 表示主体对客体的操作行为.S ={s 1,s 2,…,s m ,…}表示该状态下所有行为主体集合.在终端系统中,主体包括用户和进程,用户启动程序后产生进程,进程代表用户执行访问操作,O ={o 1,o 2,…,o m ,…}表示行为的客体集合,A ={r ,w ,e }表示访问操作集合,包括读、写和执行.定义15. 恶意行为特征是指破坏终端运行环境的主体行为表现出来的特征,用r i 表示,其中,i 是正整数;恶意行为特征集是所有恶意行为特征的集合,记为R ={r 1,r 2,…,r m ,…},其中,m 是正整数.对于确定的终端运行环境,恶意行为普遍存在共同属性,无论是内部威胁、恶意代码和还是病毒,最终表现出来的恶意行为特征可以概括为自传播性(感染文件、自我复制等)、自激活性(注册启动项、文件关联)、自保护性(隐藏目录、守护进程)、破坏性(篡改破坏文件、破坏主机相关设备等)、非法连接性(非法连接并发起网络攻击等).这里,我们可以用r 1表示自传播性,可以用r 2表示自激活性,可以用r 3表示自保护性,可以用r 4表示破坏性,可以用r 5表示非法连接性,则终端运行环境恶意行为特征R ={r 1,r 2,r 3,r 4,r 5}.定义16. 行为记录函数RecordAct (s i ,x ,o ,t )表示在t 时刻将主体s i 对o 执行的动作x 记录到系统日志log 中. 定义17. Get -Badbehavior (s i ,log )表示从系统日志log 中获取平台主体s i 的行为集.定义18. h (s i ,x ,o )表示根据主体s i 的行为〈s i ,x ,o 〉计算恶意行为指数.用12345{(,,),(,,),(,,),(,,),(,,)}r i r i r i r i r i h h s x o h s x o h s x o h s x o h s x o =表示主体s i 的行为〈s i ,x ,o 〉对终端运行环境的恶意影响,其中,1234(,,),(,,),(,,),(,,)r i r i r i r i h s x o h s x o h s x o h s x o 和5(,,)r i h s x o 分别表主体行为〈s i ,x ,o 〉体的自传播指数、自激活指数、自保护指数、破坏指数以及非法连接指数.值为0表示对系统无影响;值越大,表示影响越大.用α,β,χ,δ和γ分别表示自传播指数、自激活指数、自保护指数、破坏指数以及非法连接指数在计算主体行为恶意指数中所体现的权重,则主体行为〈s i ,x ,o 〉的恶意行为指数为12345(,,)(,,)(,,)(,,)(,,)(,,).i r i r i r i r i r i h s x o h s x o h s x o h s x o h s x o h s x o αβχδγ=++++当终端运行环境中的任意主体s i 的恶意行为指数超过设定的安全阈值H 时,终端运行环境就不满足属性p behavior .根据以上定义,我们得出属性p behavior 的判定算法,如图5所示.图5算法首先判断终端平台的行为日志是否为空,如果不为空,调用Get -Badbehavior 函数从系统行为日志log 中获取平台主体s i 的行为集,并计算其恶意行为指数,如果没有超过安全阈值,则输出为p behavior ,表示终端运行环境中的主体行为满足一定可信策略的需要;否则,输出NULL .算法2. 属性P software -configuration 的判定算法Check -softewareconfigration (Processes ). 输入:Processes ;输出:P software -configuration 或NULL . 1. IF (Processes ==∅) THEN return NULL ENDIF 2. α1=Draw (Processes )3. IF (α1==∅) THEN return NULL ENDIF4. α2=Search -property (p soft -configration )5. IF (α2==∅) THEN return NULL ENDIF6. IF (Verify _softwareconfiguration (α1,α2)) THEN7. RETURN p soft -configration ;8. ELSE9. RETURN NULL ; 10. ENDIF。

可信计算解决方案

可信计算解决方案在当今信息时代，随着云计算、物联网和大数据技术的快速发展，个人和组织面临着日益增长的数据安全和隐私保护需求。

为了应对这些挑战，可信计算解决方案应运而生。

可信计算是一种通过硬件、软件和协议等手段保护数据完整性和隐私的技术，为用户提供可信赖的计算环境。

本文将探讨可信计算的背景、原理和应用，并展望其未来发展。

1. 可信计算的背景随着云计算的普及，用户将数据存放在云端，这带来了一系列的安全风险。

云服务提供商拥有用户数据的控制权，用户往往难以监督和控制其数据的安全性。

此外，传统上数据加密所需的密钥管理和计算过程中的数据传输也面临着安全问题。

为了应对这些风险，可信计算开始被广泛应用。

2. 可信计算的原理可信计算主要基于两个基本原则：可证明性和隔离性。

可证明性是指计算任务可以在不泄露数据的情况下进行验证。

隔离性是指每个计算任务都在独立的隔离环境中进行，确保数据不受其他任务的干扰。

在可信计算中，硬件提供了安全根，称为可信执行环境（TEE），用于存储和执行敏感数据和计算。

TEE采用了一系列安全机制，如安全存储、加密技术和安全执行环境，以保护数据的安全性和隐私。

3. 可信计算的应用可信计算在各个领域都有广泛的应用。

其中之一是数据隐私保护。

通过可信计算解决方案，用户的数据可以在不暴露明文的情况下，被计算机执行相应的计算任务。

例如，医疗保险公司可以在不知道具体病例的情况下，进行保险理赔的计算，确保用户的隐私得到了充分的保护。

另外，可信计算还可以应用于数字版权保护。

通过可信计算技术，数字内容的版权可以得到有效保护，防止未经授权的复制和分发。

4. 可信计算的未来发展可信计算作为一种重要的数据安全保护技术，在未来将持续发展。

首先，可信计算解决方案将进一步融合云计算、物联网和区块链等技术，为用户提供更加安全可靠的数据环境。

其次，当前可信计算的实施还面临着一些挑战，如资源开销、兼容性和标准化等问题。

未来的发展将聚焦于解决这些挑战，提高可信计算的可扩展性和可用性。

可信计算领域中可信证明的研究与进展

ｒｇｔｒＰＲ中完整性度量值的机制。在ＴＧ规范所描述的ｅｉｅ，Ｃ）ｓＣ
０引言
可信计算是当前信息安全领域的研究热点，明问题是可证信计算最为重要的问题之一。因为可信基于证明，只有证明才
能在不可信的环境中建立信任关系… 。国内外可信计算技术
施光源，张建标，
（京工业大学ａ计算机学院；ｂ北京市可信计算重点实验室，京１０２）北．．北０１４
摘
要：可信证明技术是可信计算中非常重要的特性，利用可信证明技术能够验证计算环境是否具备可信性，
从而能够为在网络环境中建立信任关系提供依据。针对可信证明研究现状进行深入探讨，明确给出发展趋势；
Ａｂｔａｔｓｒｃ：Ｔｕｔｏｔｉｅｓａｔｓａｉｎｔｃｎｌｇｓｅｙｉｏｔｎｅｔｒｓｏｕｔｄｃｍｐｔｇ，ｅｕｅｏｔｓａｉｎｔｃｎｌｒｓｗｒｎｓｔｔｔｈｏｏｙｉｖｒｍｐｒａｔａｕｅｆｒｓｏｕｉｔｓｆｔｔｔｅｈｏ — ｈｅｏｅｆｔｅｎｈａｅｏｏｏｖｒｙｔｅｃｅｉｉｔｆｈｖｉｂｌｙｏｅｉｂｅｃｍｐｔｒｅｖｒｎｎ，ｕｓｂｅｔｕｌｓｉｈｅｗｒｎｉｙｇｔｅｉｒｄｂｌｙｏｅａａｌｉｔｆｌｌｏｕｅｎｉｍｅｔｔｓｉｉｌｂｉｔｔｎｔｅｎｔｏｋｅｖ — ｆｈｉｔａｉｒａｏｈｔａｏｄｒｕ

可信计算语义证明模型的研究

认证抽象模型，该模型由代码特征化部件、安全监测部件、安全控制部件、应用接口部件、知识库组成。其中
关键问题知识库采用离线创建规则的学习模式，供在线检测。
【键பைடு நூலகம்词】语义，知识库，结构模型关
中图分类号：Ｔ３９１Ｐ０．文献标识码：Ａ
一
现有的证明技术通常都是静态的一次性的认证，可信引导度量了从可信根到操作系统的完整性。而在操作系然统和应用程序之上不同的执行程序和数据会影响运行系
图１可信引导过程
ＡＢＳＴＲＡＣＴＩｉｗｆｃｒｅｔｒｂｅｓｏｒｓｅｏｕｉｇｐａｆｒｎｖｅｏｕｒｎｐｏｌｍｆｔｕｔｄｃｍｐｔｌｔｏｍｓｓｅｎｙｔｍａｔｅｔｃｔｎｔｃｎｑｅ，ｓｃｓｔｔｕｈｎｉａｉｅｈｉｕｓｏｕｈａＳａｉｃ，ｄｓｏａｌ，ａｄｏａｅｏｈｅｎｉｓＴｈｓａｅｒｐｓｄｓｍａｔｒｍｏｅｕｈｎｉａｉｎａｓｒｃｄ１Ｔｈｓｍｏｅｉｐｓｂｅｎｎｔｂｓｄｎｔｅｓｍａｔ．ｉｃｐｐｒｐｏｏｅｅｎｉｅｔａｔｅｔｔｏｂｔａｔｍｏｅ．ｉｄｌｃｃｉｃｕｅｈｏｅｃａａｔｒｓｉｓｏｏｏｅｔｈａｅｙｍｏｉｏｉｇｃｍｐｎｎ，ｔｅｓｆｔｏｔｏｏｏｅｔａｄｔｅｋｏｅｇｎｌｄｓｔｅｃｄｈｒｃｅｉｔｆｃｍｐｎｎ，ｔｅｓｆｔｎｔｒｎｏｏｅｔｈａｅｙｃｎｒｌｃｍｐｎｎｎｈｎｗｌｄｅｃｂｓ．Ｔｈｎｗｌｄｅｂｓｆｔｅｋｙｐｏｌｍｄｐｓｏｆｌｅｔｒａｅｒｌｓｏｈｔｄａｅｅｋｏｅｇａｅｏｈｅｒｂｅａｏｔｆ－ｉＯｃｅｔｕｅｆｔｅｓｕｙ，ｆｒｉｎｌｅｔｓｓｎｏｔｏ－ｉｅｔ．ｓｎＫＥＹＷＯＲＤＳｓｍａｔｓｋｏｅｇａｅ，ｓｒｃｕｅｍｏｅｅｎｉ，ｎｗｌｄｅｂｓｃｔｕｔｒｄｌ

可信计算概论

可信计算概论⼀、概念可信计算的基本思想：在计算机系统中，建⽴⼀个信任根，从信任根开始，到硬件平台、操作系统、应⽤，⼀级度量⼀级，⼀级信任⼀级，把这种信任扩展到整个计算机系统，并采取防护措施，确保计算资源的数据完整性和⾏为的预期性，从⽽提⾼计算机系统的可信性。

通俗的解释：可信≈可靠 + 安全现阶段的可信计算应具有确保资源的数据完整性、数据安全存储和平台远程证明等功能。

⼆、关键技术信任根：信任根是可信计算机的可信起基点，也是实施安全控制的点。

在功能上有三个信任根组成。

1、可信度量根（root of trust for measurement, RTM）。

RTM是可信平台进⾏可信度量的基点，在TCG的可信平台中，是平台启动时⾸先执⾏的⼀段软件，⽤以对计算机可信度量。

⼜被称为可信度量根核（crtm）。

具体到可信计算PC中，是BIOS中最开始的代码。

2、可信存储根（root of trust for storage，RTS）。

RTS是对可信度量值进⾏安全存储的基点。

由TPM芯⽚中⼀组被称为平台配置寄存器（paltform configuration register， RCP）和存储根密钥（storage root key，SRK）组成。

3、可信报告根（RTR，report）。

由pcr和背书秘钥（endorsement key）的派⽣密钥AIK（attestaion identity key）组成。

可信计算平台由TPM芯⽚机器密钥和相应软件作为期信任根。

度量存储报告机制：基于信任根，对计算机平台的可信性进⾏度量，并对度量的可信值进存储，当客体访问时提供报告。

是计算机平台确保⾃⾝可信，并向外提供可信服务的⼀项重要机制。

1、度量⽬前尚未有点单⽅法对计算平台的可信性进⾏度量，因此TCG的可信性度量是度量系统重要资源数据完整性的⽅法。

对与系统重要资源数据，实现计算散列值并安全存储；在可信度量时，重新计算重要资源数据的散列值，并欲实现存储的散列值⽐较。

可信计算的必要性及存在问题的讨论

收稿日期:2008201202.作者简介:张云(19812),女,甘肃永登人,甘肃联合大学助教,主要从事计算机软件研究. 文章编号:16722691X (2008)0320079204可信计算的必要性及存在问题的讨论张　云(甘肃联合大学数信学院,甘肃兰州730000)摘　要:目前信息安全是一个迫切需要解决的问题,可信计算使从根本上解决计算安全问题成为可能.本文介绍了可信计算技术的发展及应用前景,重点分析了可信计算之所以发展的必要性,并提出了可信计算研究中存在的几个问题.关键词:信息安全;可信计算;防火墙;可信计算平台中图分类号:TP30 文献标识码:A1　可信计算的概念及发展1983年美国国防部推出了“可信计算机系统评估标准(TCSEC :Trusted comp uter System E 2valuation Criteria )”(亦称橙皮书),其中对可信计算机(TCB ,Trusted Comp uting Base )进行了定义.1999年10月,由Intel 、Compaq 、HP 、IBM 、Microsoft 发起了一个“可信计算平台联盟”(TC 2PA :Trusted Comp uting Platform Alliance ).2003年3月改组为TC G (Trusted Comp uting Group ),(包括中国)已有200多家IT行业著名公司加入了TCG ,该组织致力于促成新一代具有安全、信任能力的硬件运算平台.可信计算(Trusted Comp uting ,TC )并非由可信计算组织Trusted Comp uting Group (以前称为TCPA )率先提出.可信这个概念早在彩虹系列的橙皮书中就已经有提及,可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”.强调行为的结果可预测和可控制.他的目标就是提出一种能够超越预设安全规则,执行特殊行为的运行实体.可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏,可信计算是安全的基础,从可信根出发,解决PC 机结构所引起的安全问题.操作系统中将这个实体运行的环境称为可信计算机(Trusted Comp uting Base ,简称TCB ).这些研究主要是通过保持最小可信组件集合及对数据的访问权限进行控制来实现系统的安全,从而达到系统可信的目的.为了实现这个目标,人们从20世纪70年代之后就在做着不懈的努力.在可信计算三十余年的研究过程中,可信计算的含义不断地拓展,由侧重于硬件的可靠性、可用性到针对硬件平台、软件系统、服务的综合可信,适应了Internet 上应用系统不断拓展的发展需要.包括从应用程序层面,从操作系统层面,从硬件层面来提出的TCB 相当多.最为实用的是以硬件平台为基础的可信计算平台(Trusted Comp uting Platform ),它包括安全协处理器、密码加速器、个人令牌、软件狗、可信平台模块(Trusted Platform Modules ,TPM )以及增强型CPU 、安全设备和多功能设备.这些实例的目标是实现:数据的真实性、数据的机密性、数据保护以及代码的真实性、代码的机密性和代码的保护.从广义的角度,可信计算平台为网络用户提供了一个更为宽广的安全环境,它从安全体系的角度来描述安全问题,确保用户的安全执行环境,突破被动防御打补丁方式.根据Sean W.Smit h 最近的著作《可信计算平台:设计与应用》,这些平台的实现目的包括两个层面的意思:(1)保护指定的数据存储区,防止敌手实施特定类型的物理访问;(2)赋予所有在计算平台上执行的代码以证明它在一个未被篡改环境中运行的能力.2　可信计算的必要性当前,信息安全、网络安全和个人计算机的安全是一个迫切需要解决的问题,越来越多的用户开始从传统的被动的“防”、“堵”等安全手段向积第22卷第3期甘肃联合大学学报(自然科学版)Vol.22No.3　2008年5月Journal of G ansu Lianhe University (Natural Sciences )May 2008　极防御的“可信计算”过渡.当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成,这些常规的安全手段只能是在网络层(IP)以共享信息资源为中心,在外围对非法用户和越权访问进行封堵,以达到防止外部攻击的目的,对共享源的访问者源端不加控制.封堵的办法是捕捉黑客攻击和病毒入侵的行为特征,其特征是已发生过的滞后信息.操作系统的不安全导致应用系统的各种漏洞层出不穷,无法从根本上解决问题.且恶意用户的攻击手段越来越高明,防护者只能将防火墙越“砌”越高、入侵检测越做越复杂、恶意代码库越做越大,从而导致误报率增多、安全投入不断增加、维护与管理更加复杂和难以实施以及信息系统的使用效率大大降低.2.1　防火墙的作用置于不同网络安全域之间,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为.防火墙只是简单的给用户提供一种判定机制,即用户可自己选择是否运行程序,但该程序是否安全,防火墙无法做出判断,因此无法防止恶意程序的攻击.2.2　入侵检测系统的作用入侵检测系统(Int rusion Detection System)通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.入侵检测系统中最关键的就是构建入侵行为特征库,由于目前没有一种好的机制来判断恶意行为,因此只能防止部分的恶意行为.2.3　AntiVirus启发式扫描技术例如,一段程序以如下序列开始:MOV A H, 5/IN T13h,即调用格式化盘操作的B IOS指令功能,那么这段程序就高度可疑,值得引起警觉.在具体实现上,启发式扫描技术是相当复杂的.通常这类病毒检测软件要能够识别并探测许多可疑的程序代码指令序列,如格式化磁盘类操作,搜索和定位各种可执行程序的操作,实现驻留内存的操作,发现非常的或未公开的系统功能调用的操作,等等,所有上述功能操作将被按照安全和可疑的等级进行排序,根据病毒可能使用和具备的特点而授以不同的加权值.举个例子,格式化磁盘的功能操作几乎从不出现在正常的应用程序中,而病毒程序中则出现的几率极高,于是这类操作指令序列可获得较高的加权值,而驻留内存的功能不仅病毒要使用,很多应用程序也要使用,于是应当给予较低的加权值.如果对于一个程序的加权值的总和超过一个事先定义的阀值,那么,病毒检测程序就可以声称“发现病毒!”由上述可见,传统的安全防御措施实际上是不安全的,我们只对通过积极防御的“可信计算”使得信息安全、网络安全、个人计算机的保护成为可能.2.4　TPM优越的安全特性可信计算以及相似概念受到推崇,究其根本源自于日益复杂的计算环境中层出不穷的安全威胁,传统的安全保护方法无论从构架还是从强度上来看已经力有未逮.目前的安全解决方案往往侧重于先防外后防内、先防服务设施后防终端设施,而可信计算则反其道而行之,首先保证所有终端的安全性,即透过确保安全的组件来组建更大的安全系统.可信计算技术是针对目前计算系统不能从根本上解决安全问题而提出的,通过在计算系统中集成专用硬件模块建立信任源点,利用密码机制建立信任链,构建可信赖的计算环境,使从根本上解决计算安全问题成为可能.可信计算的核心是TPM安全芯片,作为可信计算技术的底层核心固件,TPM被称为安全PC产业链的“信任原点”.在实际应用中,TPM安全芯片被嵌入到PC主板之上,可为平台提供完整性度量与验证,数据安全保护和身份认证等功能.TPM在更底层进行更高级别防护,通过可信赖的硬件对软件层次的攻击进行保护可以使用户获得更强的保护能力和选择空间.传统的安全保护基本是以软件为基础附以密钥技术,事实证明这种保护并不是非常可靠而且存在着被篡改的可能性.TPM将加密、解密、认证等基本的安全功能写入硬件芯片,并确保芯片中的信息不能在外部通过软件随意获取.在这种情况下除非将硬件芯片从系统中移除,否则理论上是无法突破这层防护的,这也是构建可信的计算机设备以及建立可信的计算机通信的基础.在硬件层执行保护的另外一个优势是能够获得独立于软件环境的安全保护,这使得可以设计出具有更高安全限制能力的硬件系统.通过系统硬件执行相对基础和底层的安全功能,能保证一些软件层的非法访问和恶意操作无法完成,同时这也为生产更安全的软件系统提供了支持.综合来看,可信计算平台的应用为08 甘肃联合大学学报(自然科学版) 第22卷建设安全体系提供更加完善的底层基础设施,并为需要高安全级别的用户提供更强有力的解决方案.第一,通过完整性度量与验证,保证PC从加电时刻起,一直到在其上运行的每一个硬件、操作系统以及应用软件都是可信的.第二,通过数据安全保护,给各种应用提供基于硬件的存储,从根上保证数据的安全,同时通过数据封装等功能实现数据与平台的绑定,比如用户丢了笔记本电脑,即使别人通过安装其它的操作系统查看到磁盘,但由于磁盘数据已经与平台绑定,而平台的信息已经发生了变化,因此其它用户也无法获取磁盘数据.微软的最新操作系统vista中提供的磁盘保护工具bitlocker就是基于数据封装实现磁盘数据的安全保护.第三,通过身份认证,向外部实体提供系统平台身份证明和应用身份证明服务.现有的计算机在网络上是依靠不固定的也不唯一的IP地址进行活动,导致网络黑客泛滥和用户信用不足.最后,具备由权威机构颁发的唯一的身份证书的可信计算平台具备在网络上的唯一的身份标识,从而为电子商务之类的系统应用奠定信用基础,对互联网的应用具有巨大的促进作用.3　可信计算发展面临的问题目前可信计算已经成为信息安全领域的一个新潮流,但可信计算的发展尚存一些问题.3.1　理论研究相对滞后无论是国外还是国内,在可信计算领域都处于技术超前于理论,理论滞后于技术的状况.可信计算的理论研究落后于技术开发.至今,尚没有公认的可信计算理论模型.第一,可信测量是可信计算的基础.但是目前尚缺少软件的动态可信性的度量理论与方法.第二,信任链技术是可信计算平台的一项关键技术.然而信任链的理论,特别是信任在传递过程中的损失度量尚需要深入研究,把信任链建立在坚实的理论基础之上.3.2　一些关键技术尚待攻克目前,无论是国外还是国内的可信计算机都没能完全实现TC G的PC技术规范.如,动态可信度量、存储、报告机制,安全I/O等.3.3　缺少操作系统、网络、数据库和应用的可信机制配套目前TCG给出了可信计算硬件平台的相关技术规范和可信网络连接的技术规范,但还没有关于可信操作系统、可信数据库、可信应用软件的技术规范.网络连接只是网络活动的第一步,连网的主要目的是数据交换和资源公享,这方面尚缺少可信技术规范.我们知道,只有硬件平台的可信,没有操作系统、网络、数据库和应用的可信,整个系统还是不安全的.3.4　可信计算的应用需要开拓可信计算的应用是可信计算发展的根本目的.目前可信PC机、TPM芯片都已经得到实际应用,但应用的规模和覆盖范围都还不够,有待大力拓展.4　结束语信息安全技术的飞速发展,面对层出不穷的信息威胁和攻击,以往的防范措施不断累加,依然不尽如人意.专家们分析认为,旧有的防御手段在体系设计上就存在着一些问题,可信计算的设计思想必将成为国际信息安全发展的主流.我国在可信计算技术研究方面起步较早,技术水平不低.在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作,并取得了可喜的成果.参考文献:[1]魏乐,叶剑新,黄健.可信计算的初步研究[J].科技资讯,2007(13):1662167.[2]侯方勇,周进,王志英,等.可信计算研究[J].计算机应用研究,2004(12):124.[3]陈钟,刘鹏,刘欣.可信计算概论[J].信息安全与通信保密,2003(11):12214.[4]TCG.TCG PC Specific,Implementation Specificationversion1.1[EB/OL].2003.https://www.trusted2 /downloads/TCG2PCSpecific2 Specification2v121.pdf.[5]TCG.Trusted Computing Group(TCG)Main Speci2fication version1.1a[EB/OL].(2001209).https:// /downloads/tcgspec2 121b.zip.[6]Microsoft.N GSCB:Trusted Computing Base andSoftware Authen2tication[EB/OL].2003.http:///resources/ngscb/documents/ngscbtcb.doc.[7]SEAN W S.可信计算平台:设计与应用[M].北京:清华大学出版社,2006.(下转第87页)18第3期张云:可信计算的必要性及存在问题的讨论 W ater Problems of Shiyang River B asinC H EN Fu 2chang 1,YA N G X i ao 2y i ng 2,YA N G X i ao 2mei3(1.No1.Middle School of Jingchang City ,Gansu ,Jinchang 731700,China ;2.No2.Middle School of Wuwei City ,Wuwei 733000,China ;3.College of G eography and Environmental Science ,Northwest Normal University ,Lanzhou 730070,China )Abstract :The paper aims to int roduce t he aut hor’s investigation of t he Shiyang river’s environment p roblems and t he p roposals of t he aut hor on measures to be taken to solve t he p roblems wit h t he riv 2er.Shiyang river is one of t he inland rivers in Hexi corridors in Gansu province ,which plays a very im 2portant role in economic and social develop ment of t he area.Irrational use and develop ment of t he river has bro ught many environment p roblems wit h t he river ,such as t he snow covering line moving up ,t he groundwater decline ,water quality deterioratio n ,soil desertification and Stalinization ,etc.There are four issues which we must solve in f ut ure :t he reform of farm ’s struct ure ,t he relationship between up 2st ream and down 2st ream ,how to elevate environment of water and how to meet ecological water.K ey w ords :Shiyang river basin ;water resource ’s pro blem ;ecological const ruction ;water balance(上接第81页)Discussion on the N ecessity of the T rusted ComputingZ H A N G Yun(School of Mathematics and Information ,G ansu Lianhe University ,Lanzhou 730000,China )Abstract :Nowadays ,information security is a question t hat need to be solve urgently ,t rusted comp u 2ting makes it po ssible to solve t he p roblem of security f rom t he f undamental.This paper introduces t he develop ment and application pro spect s of t he t rusted comp uting technology.The focus of t his paper is to analyse t he necessity of t he develop ment of t he trusted comp uting ,and p ut forward a trusted com 2p uting on t he existing number of issues.K ey w ords :information security ;t rusted comp uting ;firewall ;t rusted comp uting platform78第3期陈福昌等:石羊河流域水问题及生态需水估算。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

第31卷　第9期2008年9月计算机学报C HIN ESE J OU RNAL OF COM PU TERSVol.31No.9Sept.2008收稿日期:2008205221.本课题得到国家“九七三”重点基础研究发展规划项目基金(2007CB311202)、国家自然科学基金(60673083)和国家“八六三”高技术研究发展计划项目基金(2007AA01Z412)资助.冯登国,男,1965年生,博士,教授,博士生导师,主要研究领域为网络与信息安全.E 2mail :feng @.秦　宇,男,1979年生,博士研究生,研究方向为信息与网络安全、可信计算.可信计算环境证明方法研究冯登国秦　宇(中国科学院软件研究所信息安全国家重点实验室　北京　100190)摘　要　首先分析了可信计算环境下多远程证明实例执行的动态性、并发性、一致性等问题,提出了一个完整的可信计算环境多远程证明实例动态更新证明方案,以保证通信双方终端计算环境的可信.然后阐述了主要由计算环境组件度量算法、会话组件树计算算法和多远程证明实例证明协议组成可信计算环境证明方法.最后对该证明方法的安全性和效率进行分析,并构建原型系统论证证明方案的可行性和高性能.关键词　可信计算;远程证明实例;组件度量;会话组件树;更新证明中图法分类号TP309R esearch on Attestation Method for T rust Computing EnvironmentFEN G Deng 2Guo Q IN Yu(S tate Key L aboratory of I nf ormation Securit y ,I nstit ute of S of t w are ,Chi nese A cadem y of S ciences ,Bei j i ng 100190)Abstract At first ,t he aut hors analyze t he p roblems of dynamic characteristic ,concurrency and consistency for Multiple Remote Attestation Instance (Multi 2RA I )in t rust comp uting environ 2ment ,and p ropose a complete dynamic update attestation scheme for Multi 2RA I in t rust comp u 2ting environment ,which guarantees t he t rustwort hiness of endpoint s ′comp uting environment.Then t he aut hors illust rate attestation met hod of trust comp uting environment which is comp rised of measurement algorit hm for comp uting environment ,comp uting algorit hm for session compo 2nent t ree and attestation protocol for Multi 2RA I.At last t he aut hors analyze t he security and effi 2ciency of Multi 2RA I attestation met hod ,and const ruct t he p rototype system for proving scheme ′s feasibility and high 2performance.K eyw ords t rust comp uting ;remote attestation instance ;co mponent measurement ;session com 2ponent t ree ;up date attestation1　引　言分布式应用对开放系统环境下的计算平台的安全性要求越来越高,分布式应用中包括众多的利益和安全冲突方,因此建立平台间的相互信任,证明计算环境可信已经成为当前信息安全的一大迫切需求.另一方面运行有恶意程序代码的计算平台表现出任意的攻击行为,例如拜占庭攻击,这使得平台之间无法保持长久的静态信任,目前通用的思路是使用远程代码证明来标识远程平台运行的软件配置和状态,乃至计算环境状态,检测出被损坏的参与平台,保证可信运行环境的平台间的正常通信.TCG 组织制定了可信计算平台、可信存储和可信网络的一系列工业标准[1],其方法是在主机平台、移动平台和嵌入式平台上嵌入专用的安全芯片TPM(Trusted Platform Module),以此为系统信任根解决可信计算平台信任的建立和证明问题.我国也制定了具有自主知识产权的TCM(Trust Cryptograp hic Module)相关标准[2],国内IT厂商相继研制出支持TCM标准的安全芯片,与TPM标准和芯片类似,TCM标准和芯片同样支持可信计算平台计算环境的证明,本文将TPM/TCM的这种证明平台状态的安全功能通称为远程证明(temote attestation)[3].1.1　相关工作TC G框架下的远程证明方案得到了国内外众多学者、研究机构的广泛关注,众多的研究成果中较为典型的有IBM研究院提出的完整性度量框架IMA[425].这些远程证明方案中,基于属性的远程证明方案具有明显的发展优势,它克服了原有远程证明方案的复杂性、隐私泄漏和滥用证明结果等缺陷. IBM研究院的Poritz等在文献[6]中引入可信第三方转换属性,提出了基于属性的远程证明框架.随后该院的Sadeghi等在文献[7]中给出了基于属性的远程证明方案的软硬件实现方法.Chen提出了基于属性的远程证明协议(简称PBA协议)[8].文献[9]在可信引导器Trusted Grub的基础上,对基于属性的远程证明方法、属性验证和撤销等实现技术进行了研究.这些研究不断地推动了基于属性的远程证明方案的发展.上述工作改进了TCG远程证明方案的各方面不足之处,扩展了远程证明方法,但对于远程证明的动态性和并发性研究很少.文献[10]讨论了计算环境配置改变和封装数据不可用的问题,提出了基于属性封装的解决方法,实际上远程证明也存在同样的问题.当系统软硬件配置和状态发生改变时,原有的远程证明将无效,必须再次动态地进行更新证明,这就涉及了远程证明动态性的问题.可信计算平台远程信任建立实际应用过程中,系统中可能存在着多个远程证明会话实例(Multiple Remote Attesta2 tion Instance,Multi2RA I),这就要求Multi2RA I能够并发证明不同的RA I关联运行环境的可信性.与单个远程证明应用相比,又存在许多新的复杂问题.本文在TPM/TCM平台下主要针对可信计算环境证明的动态性、并发性等问题展开研究.解决现有网络安全最常用的安全协议有SSL 协议(或TL S协议)[11]和IPSec协议[12].SSL协议和IPSec协议认证终端用户身份,保证网络通信数据的机密性和完整性,而远程证明保证终端运行环境的可信性,将这二者结合可以极大地增强网络应用的安全性,TC G的体系结构互操作规范[13]和TNC 规范[14]都涉及到了相关问题的讨论.文献[15]提出了使用远程证明扩展SSL协议的方案,通信终端通过协商安全参数和在SSL协议上证明平台配置,以此达到建立远程可信通道的目标.TC G工作组也正着力于建立TL S协议上的远程证明扩展规范[16]. Multi2RA I安全连接的讨论也是建立在TL S协议扩展的远程证明基础之上.系统环境复杂多变,需要采用多种安全机制来保护和标识软件运行环境,虚拟技术①提供的强隔离机制为保护和维护计算环境的完整性,提供了良好的基础.无论是以Xen[17]为代表的虚拟技术、微内核技术[18],Intel的L T技术②,还是Microsoft的N GSCB技术③,都是在可信虚拟机监控器上将系统划分为不同安全级的计算隔间(Compart ment),严格限制Compart ment间的信息流,以达到控制和维护计算环境安全性的目的.Multi2RA I证明的可信计算环境是以Compart ment为基本单元,证明Compart ment中组件构建的运行环境是否可信. 1.2　问题描述系统打补丁、应用程序的升级,乃至恶意程序的篡改等致使可信计算平台的状态发生改变,状态的改变导致必须进行状态更新证明.Multi2RA I的并发性和平台状态的动态性,极大地增加了远程证明的复杂度.TC G规范提出的远程证明方法主要针对平台静态状态的远程证明,无法解决平台状态动态改变的远程证明问题.Multi2RA I证明将对可信计算环境动态改变进行全面研究,重点解决Multi2 RA I远程证明的动态性、一致性、并发性和防重发攻击等问题.Multi2RA I证明最直观的解决方法便是扩展单个RA I证明,但这种简单扩展会引发许多新问题,图1归纳了简单RA I扩展用于Multi2RA I 证明的常见问题.图1中Multi2RA I(a)描述的是非一致性证明,在第4步应该证明的RA I_A计算环境状态β,可是证明时RA I_B改变Compart ment状态为γ,RA I_A 实际证明的状态为γ,证明状态不一致,这是由于Multi2RA I计算环境状态相互影响造成的TC G规14619期冯登国等:可信计算环境证明方法研究①②③Intel.Virtualization technology,/ technology/computing/vptech/,2005 Grande technology architectural overview.http:// /technology/security/downloads/L T_ Arch_Overview.pdfMicrosoft.Microsoft N GSCB home page,http://www. /resources/ngscb,20031.PLA TFORM:可信状态α2.(i)REQU ESTER→RAI_A:Nonce值n1(ii)RAI_A→REQU ESTER:A ttest(α,n1)3.PLA TFORM:α→β,RAI_A状态改变4.(i)REQU ESTER→RAI_A:Nonce值n2(ii)PLA TFORM:β→γ,RA I_B状态改变(iii)RAI_A→REQU ESTER:A ttest(γ,n2)1.PLA TFORM:可信状态α2.(i)REQU ESTER→RAI_A:Nonce值n1(ii)RAI_A→REQU ESTER:A ttest(α,n1) 3.(i)PL A TFORM:α→β,RAI_A改变状态(ii)RAI_A→REQU ESTER:U p dateA ttest(β) 4.(i)PL A TFORM:β→γ,RAI_A改变状态(ii)RAI_A→REQU ESTER:U p dateA ttest(β)Multi2RAI(a)Multi2RAI(b)图1　Multi2RA I证明常见问题范采用服务器发送新鲜值Nonce,防止远程证明的重放攻击,但是这种方法在Multi2RA I的更新证明中将不再适用,除首次证明外更新证明都是在Requester不知道的情形下发生,如果通知Requester 发送Nonce,Compart ment此时可能已经改变为另一状态,这将出现Multi2RA I(a)的非一致性证明. Multi2RA I(b)描述的是RA I证明的重放攻击证明,第4步RA I_A计算环境状态已经改变为γ,而不诚实的用户可以重放状态β的证明.Multi2RA I可信计算环境对于远程证明提出了新的安全要求.(1)证明的动态性.可信计算环境的软硬件配置和状态动态发生改变时,RA I必须动态地向Requester证明更新后的新状态可信.(2)证明的一致性.RA I_A证明可信计算环境中它关联的运行状态时,不能由于其他RA I改变了可信计算环境的状态,而导致RA I_A错误的证明改变后的新状态,RA I_A的证明必须与RA I_A的关联状态一致.(3)证明的并发性.Multi2RA I环境下同时存在多个并发运行的、向不同Requester证明计算环境的可信性的RA I.不能因为RA I证明而锁定当前计算环境,亦即RA I证明时,不允许平台状态更新,不允许其他RA I同时进行证明.不管平台的运行环境经过了多少次改变,Multi2RA I还能够并发证明其不同的最新关联状态.(4)防重放攻击.RA I的关联状态与RA I证明一一对应,但是当关联状态改变为不安全时,不诚实的用户,或恶意程序能够重用原有的证明数据,使Requester相信RA I仍然可信,这就是Multi2RA I 的重放攻击.1.3　我们的工作我们提出了一个Multi2RA I可信计算环境证明方案,该方案主要包含可信计算环境组件度量描述、会话组件树构建和Multi2RA I证明流程,较好地解决了多个远程证明实例执行的并发性和一致性等问题.本文第2节介绍TPM/TCM的基础知识,概述Multi2RA I的证明模型和简要流程;第3节具体阐明详细的Multi2RA I证明方案;第4节介绍基于Multi2RA I证明方案的原型系统实现;第5节对全文进行总结.2　证明模型2.1　TPM/TCM基础TPM/TCM是一个安全芯片(实质上是一个密码芯片),可提供密码操作、完整性管理、密钥管理、安全存储、远程证明等安全功能.本文主要涉及TPM/TCM的完整性配置管理、单调计数器、TPM/TCM身份密钥等功能.TPM/TCM内部包含一组不可篡改的平台配置寄存器(PCR),TPM/TCM度量可信计算环境的软硬件状态,将度量结果保存在这些PCR寄存器中.PCR寄存器的主要操作包括扩展、重置、签名等,当系统启动后,PCR不能重置和篡改,只能进行杂凑值的扩展,其扩展方法为T PM_Ex tend(α,β)= (α‖β),其中α为PCR的旧值,β为扩展值,输出PCR的新值,TC G规范指定的Hash算法为SHA1.令={0,1}160,将PCR扩展操作定义为点积“・”运算,则×→:(α,β)a(α‖β)=α・β.以可信计算平台的初始环境创建过程为例,主机平台的B IOS杂凑运算的度量结果为β,OS Loader 为λ,OS kernel为κ,OS加载的内核模块(例如特定硬件的驱动、内核服务模块等)度量结果为χ1,…,χm,加载的用户空间的应用程序为χm+1,…,χm+n,那么对整个信任链进行的扩展操作是PCR=((…((((0160‖β)‖λ)‖κ)‖χ1)‖…)‖χm+n)=0160・β・λ・κ・χ1・…・χm+n(1)TPM/TCM单调计数器(Monotonic Counter)值保存在TPM/TCM内部的NV存储区域内,且计数器只能够被增加.创建一个新计数器需要Owner 的授权,增加一个计数器值需要计数器相关授权口2461计算机学报2008年令,删除计数器要么需要Owner 授权,要么需要计数器相关的授权口令.创建一个新计数器后,计数器被赋予了一个初始值,通常初始值不从零开始.计数器可用来标识可信计算环境状态的更新顺序和防止证明数据的重放攻击.2.2　体系结构组件通过度量变量来衡量其安全属性,我们为组件颁发属性证书,来验证组件是否可信,图2(a)是以组件为证明单位的体系结构图,系统包含组件生产厂商、用户(简记为U )和证书发布权威().组件生产厂商生产和发布组件,提供组件度量类别和度量变量(参考3.1.1节);证书发布权威机构评估组件安全属性,发布、验证和撤销组件属性证书;用户平台由主机系统和TPM/TCM 安全模块组成,组件属性证明和可信计算环境的更新证明发生在用户平台安全通信过程中.图2　可信计算环境证明模型和体系结构设的公私钥为(S K T ,P K T ),经过评估认证的组件安全属性集合为,包含有长度为l 的代表不同组件安全属性的字符串,具体形式为={p 1,p 2,…,p n }<{0,1}l \{0l }.组件用三元组(i d ,χ,p )表示,i d 是组件的ID ,χ是组件全部度量变量按照组件度量算法(参照31112节)得到的度量值,p 是组件经过评估满足的安全属性,p ∈.为组件(i d ,χ,p )颁发的属性证书记为cert (,i d ,χ,p )=(i d ,χ,p ,S i gn (S K T ,(i d ,χ,p ))(2)为了便于组件属性撤销查询,周期性颁发组件属性撤销列表CRL ,同时提供在线证书查询服务OCSP 等.图2(b )为用户平台的体系结构,可信服务层、虚拟机监控层、可信硬件层共同构成了用户可信计算平台的可信计算基(TCB ),TCB 的上面是运行各个相互隔离的隔间(Compart ment ),Compart ment 可以采用Xen 提供的隔离虚拟机,或N GSCB 提供的保护分区,或微内核系统实现,我们的系统使用Xen 可信平台上的虚拟机实现Compart ment.远程证明时,首先证明TCB 的可信,然后证明Compart ment 中RA I 实例关联的组件安全属性.可信服务层提供了组件证明必须的存储、会话、度量管理等服务.(1)MA (Measurement Agent ):进行平台组件的完整性度量,组件更新时对被更新的组件重新度量.(2)CM (Component Manager ):管理系统中各个组件的安装注册、删除卸载和更新升级等,保存有注册组件的组件属性证书.CM 负责处理Compart 2ment 中组件的更新请求,如果组件的安全属性发生变化,则触发MA 对组件重新度量,确保组件满足属性证书中所声明的安全属性.CM 用组件列表来保存组件注册信息和组件属性证书信息,多个Compart ment 拥有相同的组件,CM 共享该组件列表项,若组件发生更新,CM 使用COW (Copy On Write )机制修改组件列表项.(3)TSM G (TL S Session Mana Ger ):管理系统中全部远程证明TL S 会话实例,每个远程证明实例RA I ∈总是绑定一个会话关联组件集合C ,这些会话关联组件为叶节点组成一棵会话组件树.Compart ment 中Πc ∈C ,如果组件c 发生更新,CM会检查更新后的组件c 的安全属性是否发生改变,如果改变则通知TSM G 进行更新证明,验证成功则重用原有的SSL 会话,但使用新的会话密钥.(4)TCM G (TPM/TCM Context Mana Ger ):TPM/TCM 的上下文管理负责维护各个Compart 2ment 的TPM/TCM 操作环境,包括Compart ment34619期冯登国等:可信计算环境证明方法研究关联的密钥、会话、数据以及各个Co mpart ment 绑定的物理PCR ,各个RA I 关联的V PCR (Virt ual PCR ).Compart ment 每创建一个RA I 时,TCM G 在相应的Compart ment 的上下文中创建一个V PCR 用来描述RA I 关联的组件配置和状态,V PCR 值为组件会话树的根节点扩展物理PCR 后的值.2.3　证明流程概述图3描述了可信计算环境证明的生命周期过程.可信计算平台每创建一个Compart ment 时,TCM G 就为该Compart ment 创建一个TPM/TCM 上下文(context ).当发起一个新的TL S 会话时,TCM G 需要为该会话分配保存组件配置和状态的V PCR ,TSM G 则建立与该会话安全相关的会话组件树,会话组件树的组件用来衡量RA I 会话是否满足某种安全属性.当一个RA I 会话实例执行时,将触发MA 对会话关联组件进行度量,度量完成后TSM G 将计算会话组件树,然后TPM/TCM 对证明数据签名,最后RA I 运行扩展了远程证明的TL S 协议完成证明.图3　Multi 2RA I 证明生命周期可信计算环境的证明周期中,Multi 2RA I 证明主要包括3个主要步骤:(1)组件度量.由MA 执行的对组件的度量变量进行度量、评估的算法.MA 度量的组件应在CM 保存的组件属性证书包含的度量变量范围之内,MA 完成度量后使用组件度量属性证书验证组件配置状态,如果二者不符,则由CM 通知系统管理员组件已经不符合组件属性证书声明的安全属性.(2)会话组件树计算.RA I 会话要求满足安全属性p ,CM 将会话安全属性映射为平台组件安全属性,如p ]∧n i =1p i =p 1∧…∧p n ,p i 是组件c i 的安全属性.TSM G 为这些与会话相关组件创建组件树,被度量的组件经过验证后,将用组件度量值(或属性值)扩展计算会话组件树.(3)Multi 2RA I 证明.包括RA I 证明和RA I 更新证明.RA I 证明是首次建立远程证明网络通信时必须进行计算环境可信性的证明.RA I 会话实例证明协议建立在TL S (SSL )协议的基础上,在证明用户身份、密钥协商的同时,证明组件安全属性和TPM/TCM 平台身份.RA I 更新证明发生在RA I 证明之后,是对可信计算环境改变后的状态进行证明.无论是用户合法的组件更新,还是恶意攻击导致组件配置和状态的改变,都会导致可信计算环境变化,此时将无法保障原有RA I 会话运行环境是否可信,组件更新时CM 将驱动MA 重新度量更新组件,TSM G 进行更新组件证明.3　具体方案第2.3节描述了可信计算环境证明总体过程,本节我们将提供具体的实现算法和协议,来保证通信双方的计算环境可信.可信计算环境证明方案Γ=(G,M ,A ,A V ,U ,U V )是由一系列概率Oracle [19]算法构成.这些算法运行在组件度量、会话组件树计算、Multi 2RA I 证明等主要步骤中,其中密钥生成算4461计算机学报2008年法G是由TPM/TCM芯片完成,度量算法M是由度量代理MA完成,证明算法A和更新证明算法U 是由证明平台的TSM G和TCM G协同执行,验证算法A V和U V是由证明请求者Requester执行.令I是Compart ment标识(identities)的集合,i是Compart ment i(i∈I)的RA I集合,IΑ{(i,ra):i∈I,ra∈A i}.1.G是TPM/TCM密钥生成算法,生成Multi2RA I证明所需要的平台身份密钥对AIK.给定安全参数k,TPM/ TCM计算出密钥对(sk,pk)←G(1k).更为可靠的方法是为每个Compartment生成由A IK认证,带有SKA E扩展[20]的远程证明密钥(RA K),专门用于Multi2RA I证明.2.M是组件度量算法,输入组件ID,MA就完成相应的组件度量M(i d)・・={log,χ}.3.A是RA I的证明概率算法,亦即建立RA I会话时首次向Requester证明的算法.算法执行时,TCM G生成证明凭证:s←A(i,a,D,t),(i,a)∈I,D是RA I[a]在TPM/TCM 单调计数器为t时的证明状态数据,D在系统实现时包括组件会话树数据、V PCR和度量日志数据.当证明状态数据更新(D→D′),TCM G也使用算法A生成更新凭证:u←A(i,a, D′,t′).4.U是RA I更新证明概率算法,给定(i,a)∈I,算法执行输出更新证明证据:f←U(i,a,D j,D m),D j,D m分别是单调计数器为t j和t m时的证明状态数据,D m是D j更新后的值.5.A V是RAI会话建立时的证明验证算法,给定证明凭证(或更新凭证)s=A(i,a,D,t)和公钥pk,算法返回(V PCR,t)←A V(s,i,a,pk),V PCR是RA I[a]在证明状态数据为D,TPM/TCM单调计数器为t时的PCR值.若验证不通过,输出“reject”.6.U V是RAI更新证明的概率验证算法,给定更新证明证据f=U(i,a,D j,D m)和公钥pk,算法返回{(V PCR j,t j), (V PCR m,t m)}←U V(f,i,a,pk),V PCR j是RA I[a]在证明状态数据为D j,单调计数器为t j的PCR值,V PCR m是证明状态数据D j→D m更新后,计数器为t m时的PCR值.若验证不通过,输出“reject”.3.1　组件度量算法3.1.1　组件定义组件(component).可信系统是由硬件和各种软件构成,并具有一定功能和属性的系统组成实体,我们称之为组件,B IOS、BootLoader、OS内核和Firefox浏览器等都是一个组件.组件本身可信,再加上组件之间的联系是可信的,就能保证系统配置和运行状态是可信的.度量类别(measurement class).衡量一个组件是否可信,其方法有很多,验证运行代码是否签名,组件运行的程序是否含有恶意特征码等,而TPM/TCM主要以fingerp rint的方式记录组件运行时的状态,来判定组件是否满足一定的安全条件.度量组件加载到内存中可执行文件镜像、组件程序代码段(text section)、组件调用的内核模块、组件运行时动态链接库等,用不同的类别来衡量组件运行时的状态,这些度量分类定义为度量类别.度量变量(measurement variable).某一个组件度量类别中,具体刻画组件当前运行状态的衡量点称之为度量变量,例如浏览器使用的系统动态链接库类别中,SSL动态链接库(/usr/lib/libssl3.so)就是一个度量变量.图4是我们的原型系统中对于浏览器组件Firefox的度量结果.图4　度量变量和度量类别实例我们选择了下列4个度量类别,对于每个度量类别,系统的度量代理MA使用系统Hook函数自动选取度量变量.(1)可执行文件镜像:程序运行时,加载到进程空间的可执行文件的内存镜像.(2)组件动态链接库:组件直接依赖的动态链接库,随组件一起发布,当组件程序运行需要某个链接库,在它动态加载时对其进行度量.(3)系统动态链接库:组件运行所依赖系统动态链接库,组件需要调用这些动态链接库,动态加载进行度量.(4)系统内核模块:组件运行所依赖的内核模块,在组件使用时对它进行度量.除了这些度量类别外,还可以从组件配置数据、组件代码段数据、组件运行时关键数据结构等度量类别来描述组件的可信运行状态.组件更新(component update).系统用户为组件打补丁、在线升级、重新安装新版本软件等操作,导致组件度量变量的度量结果发生变化,这个过程为组件更新.广义地来讲,新安装组件、升级组件、删除组件都可以看作组件更新.普通的组件更新时,原54619期冯登国等:可信计算环境证明方法研究有正在运行的组件将退出,更新完毕后重新运行更新后的组件,IMA度量方法就能对这类更新进行加载时度量.组件动态更新(热更新)则是正在运行的组件不退出,运行时动态改变度量变量的状态,组件打补丁、安装插件、在线升级等是常见的组件动态更新方式.组件动态更新时,TPM/TCM已经完成了组件状态度量.然而TPM/TCM作为一个防篡改硬件,不提供TPM/TCM度量状态回滚(roll back)机制,无法重新度量反映更新后的状态,目前TC G的安全框架也没有提出动态更新的相应解决方法.3.1.2　组件度量可信计算环境主要确保运行环境中硬件、固件和软件的真实性,即组件的真实性.要度量某个组件的完整性,只需要以组件i d请求MA,MA对内存中运行的组件进程、依赖的内核模块和依赖的动态链接库进行度量,即对组件的全体度量变量进行度量,MA度量输出组件度量值χ和度量日志log.对于某个标识为i d的组件c而言,在组件发布时就确定好它的全部度量变量,设M C={mc1, mc2,…,mc k}是它的度量变量集合,则组件度量的算法描述如下.算法.　M(i d).输入:M C={mc1,…,mc k}输出:如果执行成功,返回log,χ否则,返回错误代码执行过程:1.log・・={}2.MA查找组件进程是否运行,若没有运行,则返回错误.3.MA度量组件ca.χ・・=0160b.For each j=1to k doi.MA检查度量变量mc j,计算度量值ωj・・=(mc j)ii.添加度量日志,log・・=log∪{(desc j,ωj)},desc j为mc j的具体描述信息iii.更新组件度量值,χ・・=χ・ωjc.returnχ4.return log由组件度量算法可以知道,组件c的度量结果χ・・=0160・ω1・ω2・…・ωk,而算法简记为M(i d)・・= {log,χ}.3.2　会话组件树计算一般来说,TPM/TCM芯片内部包含24个不可篡改的平台配置寄存器PCR,PCR只能通过扩展操作更新寄存器值.我们的原型系统中,新启动一个Compart ment时,TCM G从PCR16～23中选择一个物理PCR与之关联,用来存储Compart ment的组件度量结果.当R A I[a]实例进行远程证明时,将扩展Compart ment的物理PCR,由于多个RA I共享同一物理PCR,好像为每个RA I虚拟一个PCR 寄存器一样,因此我们称实例R A I[a]扩展后的PCR为该RA I实例的V PCR(Virt ual PCR),V PCR 值为V PCR[a].本方案中最多能够同时运行8个Compart ment,具体的物理PCR分配见表1.表1　TPM/TCM的物理PCR分配表PCR Index PCR Usage0～7CR TM,BIOS,Mot herboard,BootLoader等度量结果8Hypervisor层度量结果9可信服务层(MA,CM,TSM G等)度量结果10～15系统运行时度量16～23Compart ment组件度量RA I要求平台满足一定的安全属性,亦即要求与该会话相关的组件满足一定的安全属性.我们将这些组件构建成一棵二叉杂凑树来表示RA I关联的计算环境,这棵树称之为会话组件树.一个新的RA I会话发起时,通信双方就交换安全策略协商好要证明的RA I组件,然后TSM G创建RA I会话组件树,TCM G新建V PCR用来保存会话证明结果.当组件配置和状态发生变化时,会话组件树能够快速更新RA I组件状态实现更新证明.3.2.1　会话组件树图5　RAI会话组件树会话组件树是以组件为叶节点的杂凑树(Merkle Hash Tree[21],M H T),在二叉杂凑树中(如图5所示),叶节点是RA I关联的组件,包含组件的无碰撞杂凑值χ、安全属性值p∈,叶节点的χ值按照上一节的组件度量算法M(i d)・・={log,χ}计算得到.TSM G根据组件属性证书对log中MC 度量值进行验证,验证通过赋予组件安全属性p,否则安全属性p=0160.RA I组件对象构成了树6461计算机学报2008年。