信息安全与可信计算

信息安全和可信计算技术

摘要

随着信息技术和信息产业的迅猛发展，越来越多的政府机关和企事业单位建立了自己的信息网络，信息系统的基础性、全局性作用日益增强。但是信息安全的问题也随之而来。面对日益严峻的信息安全形势，人们对“可信”的期望驱动着可信计算技术的快速发展。

关键词

信息安全可信计算

一、信息安全现状

国家互联网应急中心（CNCERT）于2012年3月19日发布的《2011年我国互联网网络安全态势综述》显示：①从整体来看，网站安全情况有一定恶化趋势。2011年境内被篡改网站数量为36，612个，较2010年增加5.10%。网站安全问题引发的用户信息和数据的安全问题引起社会广泛关注。2011年底，中国软件开发联盟（CSDN）、天涯等网站发生用户信息泄露事件，被公开的疑似泄露数据库26个，涉及帐号、密码信息2.78亿条，严重威胁了互联网用户的合法权益和互联网安全。②广大网银用户成为黑客实施网络攻击的主要目标。据C NCERT监测，2011年针对网银用户名和密码、网银口令卡的恶意程序较往年更加活跃。CN CERT全年共接收网络钓鱼事件举报5，459件，较2010年增长近2.5倍。③信息安全漏洞呈现迅猛增长趋势。2011年，CNCERT发起成立的“国家信息安全漏洞共享平台（CNVD）”共收集整理信息安全漏洞5，547个，较2010年大幅增加60.90%。④木马和僵尸网络活动越发猖獗。2011年，近890万余个境内主机IP地址感染了木马或僵尸程序，较2010年大幅增加78.50%。网络黑客通过篡改网站、仿冒大型电子商务网站、大型金融机构网站、第三方在线支付站点以及利用网站漏洞挂载恶意代码等手段，不仅可以窃取用户私密信息，造成用户直接经济损失，更为危险的是可以构建大规模的僵尸网络，进而用来发送巨量垃圾邮件或发动其他更危险的网络攻击。

如何建立可信的信息安全环境，提升信息安全的保障水平，无论政府、企业还是个人都给予了前所未有的关注，并直接带动了对各类信息安全产品和服务需求的增长。

二、可信计算的提出

上个世纪70年代初期，Anderson J P首次提出可信系统(Trusted System)的概念，由此开始了人们对可信系统的研究。较早期学者对可信系统研究(包括系统评估)的内容主要集中在操作系统自身安全机制和支撑它的硬件环境，此时的可信计算被称为dependable computing，与容错计算(fault-tolerant computing)领域的研究密切相关。人们关注元件随机故障、生产过程缺陷、定时或数值的不一致、随机外界干扰、环境压力等物理故障、设计错误、交互错误、

恶意的推理、暗藏的入侵等人为故障造成的不同系统失效状况，设计出许多集成了故障检测技术、冗余备份系统的高可用性容错计算机。这一阶段研发出的许多容错技术已被用于目前普通计算机的设计与生产。

1983年美国国防部推出了“可信计算机系统评价标准(TCSEC，Trusted computer System Evaluation Criteria)”(亦称橙皮书)，其中对可信计算基(TCB，Trusted Computing System)进行了定义。这些研究成果主要是通过保持最小可信组件集合及对数据的访问权限进行控制来实现系统的安全从而达到系统可信的目的。

1999年10月，由Intel、Compaq、HP、IBM以及Microsoft发起成立了一个“可信计算平台联盟TCPA(Trusted Computing Platform Alliance)”。该组织致力于促成新一代具有安全、信任能力的硬件运算平台。截至2002年7月，已经有180多家硬件及软件制造商加入TCPA。2003年4月8日，TCPA重组为“可信计算组”TCG（Trusted Computing Group）。TCG在原TCPA强调安全硬件平台构建的宗旨之外，更进一步增加了对软件安全性的关注，旨在从跨平台和操作环境的硬件组件和软件接口两方面，促进与厂商独立的可信计算平台工作标准的制定。

2002年1月15日，比尔.盖茨在致微软全体员工的一封信中称，公司未来的工作重点将从致力于产品的功能和特性转移为侧重解决安全问题，并进而提出了微软公司的新“可信计算”(Trustworthy computing)战略。

三、可信计算的概念及其关键技术

有关可信计算的概念，在ISO/IEC 15408标准中给出了以下定义：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。

可信计算的基本思路是在硬件平台上引入安全芯片（可信平台模块）来提高终端系统的安全性，也就是说在每个终端平台上植入一个信任根，让计算机从BIOS到操作系统内核层，再到应用层都构建信任关系；以此为基础，扩大到网络上，建立相应的信任链，从而进入计算机免疫时代。当终端受到攻击时，可实现自我保护、自我管理和自我恢复。

可信计算包括5个关键技术：认证密钥、安全输入输出、内存屏蔽/受保护执行、封装存储、远程证明。他们是完整可信系统所必须的，这个系统将遵从TCG（Trusted Computing Group）规范：

认证密钥：

认证密钥是一个2048位的RSA公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据

安全输入输出（I/O）

安全输入输出指的是计算机用户与他们认为与之进行交互的软件间的受保护的路径。在当前的计算机系统中，恶意软件有很多途径截取用户与软件进程间传送的数据。例如，键盘监听者（Keyboard Logger）和屏幕截取者（Screen Scraper）。安全I/O表现为受硬件和软件保护和验证的信道，采用校验值来验证进行输入输出的软件没有受到篡改。将自身注入到信道间的恶意软件会被识别出来。尽管安全（I/O）提供针对软件攻击的防护，但它未必提供对基于硬件的攻击的防护，例如物理插入用户键盘和计算机间的设备。

内存屏蔽/受保护执行

内存屏蔽扩展了当前的内存保护技术，提供了对内存敏感区域（如放置密钥的区域）的全面隔离。甚至操作系统也无法访问屏蔽的内存，所以其中的信息在侵入者获取了OS的控制权的情况下仍然是安全的。

封装存储

封装存储从当前使用的软件和硬件配置派生出的密钥，并用这个密钥加密私有数据，从而实现对它的保护。这意味着该数据仅在系统拥有同样的软硬件组合的时候才能读取。例如，用户在他的计算机上保存自己的日记，不希望其他的程序或计算机读取。这样一来，病毒可以查找日记，读取它，并将它发给其他人。Sircam病毒所作的与此类似。即使日记使用了口令保护，病毒可能运行字典攻击。病毒还可以修改用户的日记软件，用户使用软件打开日记时通过受篡改的软件可能泄漏其中的内容。使用封装存储，日记被安全地加密，只有在该计算机上的未被修改的日记软件才可以打开它。

远程证明

远程证明使得用户或其他人可以检测到该用户的计算机的变化。这样可以避免向不安全或安全受损的计算机发送私有信息或重要的命令。远程证明机制通过硬件生成一个证书，声明哪些软件正在运行。用户可以将这个证书发给远程的一方以表明他的计算机没有受到篡改。远程证明通常与公钥加密结合来保证发出的信息只能被发出证明要求的程序读取，而非其它窃听者。

四、可信计算平台

谈及可信计算，不得不了解可信平台的概念。

广义上讲，平台能够保护数据存储区域，避免敌手直接物理访问到机密数据存储区，并保证系统的运行环境是安全的、未被篡改，所有的代码能够执行于一个未被篡改的运行环境。例如，安全协处理器（Secure Coprocessor）、密码加速器（Cryptographic Accelerator）、个人令牌（Personal Token）、软件狗（Dongles）、可信平台模块（Trusted Platform Module，TPM）、