可信计算技术研究-

2、 一些关键技术尚待攻克
目前，无论是国外还是国内的可信计算 机都没能完全实现TCG的PC技术规范。 如，动态可信度量、存储、报告机制， 安全I/O等。
3、 缺少操作系统、网络、数据库和应用 的可信机制配套
目前TCG给出了可信计算硬件平台的相 关技术规范和可信网络连接的技术规范， 但还没有关于可信操作系统、可信数据 库、可信应用软件的技术规范。网络连 接只是网络活动的第一步，连网的主要 目的是数据交换和资源公享，这方面尚 缺少可信技术规范。我们知道，只有硬 件平台的可信，没有操作系统、网络、 数据库和应用的可信，整个系统还是不 安全的。
安全操作系统
安全操作系统内核 密码模块协议栈
主
可信BIOS
板
TPM(密码模块芯片)
图：可信计算平台
可信平台基本功能：
可信平台需要提供三个基本功能：
– 数据保护 – 身份证明 – 完整性测量、存储与报告
数据保护：
数据保护是通过建立平台屏蔽保护区域， 实现敏感数据的访问授权，从而控制外 部实体对这些敏感数据的访问。
可信计算技术研究
国家信息化专家咨询委员会委员
沈昌祥 院士
内容 一、可信计算 二、TCG的动态 三、国内的进展 四、目前存在的一些问题
一、可信计算
产生安全事故的技术原因：
PC机软、硬件结构简化，导致资源可任意 使用，尤其是执行代码可修改，恶意程序可 以被植入
病毒程序利用PC操作系统对执行代码不检 查一致性弱点，将病毒代码嵌入到执行代码 程序，实现病毒传播
兆日公司是我国较早开展TPM芯片研究工作 的企业。2019年4月，兆日科技推出符合可信 计算联盟（TCG）技术标准的TPM安全芯片， 并已经开展了与长城、同方等多家主流品牌 电脑厂商的合作。其安全芯片已通过国密局 主持的鉴定。
应用集成的企事业单位纷纷提出可信应 用框架，如天融信公司的可信网络框架、 卫士通公司的终端可信控制系统、鼎普 公司的可信存储系统等。
完整性的测量、存储与报告
1）完整性测量 完整性测量的过程是：对影响平台完整性
（可信度）的平台部件进行测量，获得测量 值，并将测量值的信息摘要记入PCR。 测量的开始点称为可信测量根。静态的可信 测量根开始于对机器的起始状态进行的测量， 如上电自检状态。动态的可信测量根是以一 个不被信任的状态变为可信状态的测量作为 起始点。
黑客利用被攻击系统的漏洞窃取超级用户权 限，植入攻击程序，肆意进行破坏
更为严重的是对合法的用户没有进行严格的 访问控制，可以进行越权访问，造成不安全 事故
为了解决计算机和网络结构上的不安 全，从根本上提高其安全性，必须从 芯片、硬件结构和操作系统等方面综 合采取措施，由此产生出可信计算的 基本思想，其目的是在计算和通信系 统中广泛使用基于硬件安全模块支持 下的可信计算平台，以提高整体的安 全性。
2）完整性存储 完整性存储包括了存储完整性测量值的日志和
在PCR中存储这些测量值的信息摘要。 3）完整性报告 完整性报告用于证实完整性存储的内容。
完整性测量、存储和报告的基本原理是：一个 平台可能会被允许进入任何状态，但是平台不 能对其是否进入或退出了这种状态进行隐瞒和 修改。一个独立的进程可以对完整性的状态进 行评估并据此作出正确的响应。
定义了访问者与TPM交互机制
– 通过协议和消息机制来使用TPM的功能；
限定了TPM与计算平台之间的关系
– 必须绑定在固定计算平台上，不能移走；
TPM应包含
– 密码算法引擎 – 受保护的存储区域
可信计算终端基于可信赖平台模块 （TPM）,以密码技术为支持、安全操作 系统为核心（如图所示）
安全应用组件
可信平台体系结构
TCG 规范族
TCG主规范系列：
– 包括主规范、TPM规范。
平台设计规范系列：
– 个人电脑（ PC Platform ）、 – 个人数字助理（ PDA Platform ）、 – 无线移动通讯设备（cellular Platform ）等 – 作为可信计算平台的设计规范。
TCG软件栈规范系列：
4、可信计算的应用需要开拓
可信计算的应用是可信计算发展的根本 目的。目前可信PC机、TPM芯片都已经 得到实际应用，但应用的规模和覆盖范 围都还不够，有待大力拓展
以网格安全为例
网格安全应该涵盖的内容
认证 授权 单点登录 使能VO（虚拟组织）的安全
– 资源之间建立信任关系 – 屏蔽异构的安全机制 – 资源的可控共享 – 共享资源之间的协同
保障联合计算的安全
可信计算保障网格安全
身份认证、可信度量与验证、保密存储 安全密钥存储
– TPM是存放密钥的理想场所
使用TPM之间的证书迁移技术替代代理 证书链
在TPM中实现一个模块，审计GridMap 文件的使用情况，保证其完整性
保护虚拟组织的安全
– 使用分布式可信链接，使得虚拟组织成为 一个信任域
可信是指“一个实体在实现给定 目标时其行为总是如同预期一样 的结果”。强调行为的结果可预 测和可控制。
可信计算指一个可信的组件，操作 或过程的行为在任意操作条件下是 可预测的，并能很好地抵抗不良代 码和一定的物理干扰造成的破坏。
可信计算是安全的基础，从可信根 出发，解决PC机结构所引起的安全 问题。
– 主要规定了可信计算平台从固件到应用程 序的完整的软件栈.
TCwk.baidu.com 规范族
TCG主规范 ：TCG main Spec v1.1
– 可信计算平台的普适性规范，支持多平台： PC / PDA
TCG PC规范：TCG PC Spec v1.1
– 可信计算平台的 PC规范
TPM Main Spec v1.2系列
谢 谢！
四、目前存在的一些问题
1、 理论研究相对滞后
无论是国外还是国内，在可信计算领域都处于 技术超前于理论，理论滞后于技术的状况。可 信计算的理论研究落后于技术开发。至今，尚 没有公认的可信计算理论模型。
可信测量是可信计算的基础。但是目前尚缺少 软件的动态可信性的度量理论与方法。
信任链技术是可信计算平台的一项关键技术。 然而信任链的理论，特别是信任在传递过程中 的损失度量尚需要深入研究，把信任链建立在 坚实的理论基础之上。
2019年10月发布了TPM主规范（v1.2）
具有TPM功能的PC机已经上市（IBM、HP 等）
应用 程序
用户进 程模式
本地应用 服务提供者（TSP）
远程应用 服务提供者（TSP）
RPC客户 RPC服务
系统进 程模式
核心模式
TSS 核心服务层 （TCS） 设备驱动库（TDDL）
TPM设备驱动 可信平台模块（TPM）
对应用数据和信息签名。 2）存储密钥(SK-Storage Key)：非对称密钥，用
于对数据或其他密钥进行加密。存储根密钥 (SRK-Storage Root Key)是存储密钥的一个特 例。 3）平台身份认证密钥(AIK-Attestation Identity Key)：专用于对TPM产生的数据（如TPM功 能、PCR寄存器的值等）进行签名的不可迁移 的密钥。
三、国内的进展
我国在可信计算技术研究方面起步较早， 技术水平不低。在安全芯片、可信安全主 机、安全操作系统、可信计算平台应用等 方面都先后开展了大量的研究工作，并取 得了可喜的成果
早在九十年代，我国就开发了PC机安全防 护系统，实现了可信防护，其结构、功能与 TCP类同。
2000年，瑞达公司开始可信安全计算机的研 发工作，2019年，武汉瑞达信息安全产业股 份有限公司推出自主知识产权的可信计算机 产品，并通过国密局主持的鉴定，鉴定意见 明确为“国内第一款可信安全计算平台”。
从2019年开始，瑞达公司可信计算产品结合 国家涉密部门、省级党政机关、国家安全部 门、公安部门、电子政务系统和电信、电力、 金融等国家等领域的业务需求开展应用研究， 目前已展开了省级党政机要系统的应用试点 工作。
联想公司和中科院计算所也较早的开展了安 全芯片和安全计算机的研究工作。联想公司 安全芯片的研发工作2019年在国密办立项， 2019年4月完成了安全芯片的研制工作，其安 全主机产品计划在2019年内推出。其安全芯 片和可信PC平台已通过国密局主持的鉴定。
身份证明：
TCG的身份证明包括三个层次： 1）TPM可信性证明 是TPM对其已知的数据提供证据的过程。这
个过程通过使用AIK对TPM内部的明确数据 进行数字签名来实现。 2）平台身份证明 是指提供证据证明平台是可以被信任的，即 被证明的平台的完整性测量过程是可信的。 3）平台可信状态证明 是提供一组可证明有效的平台完整性测量数 据的过程。这个过程通过使用TPM中的AIK 对一组PCR进行数字签名实现。
4）签署密钥(EK-Endorsement Key)：平台的不 可迁移的解密密钥。在确立平台所有者时，用 于解密所有者的授权数据和与产生AIK相关的 数据。签署密钥从不用作数据加密和签名。
5）绑定密钥(Binding Key)：用于加密小规模数 据（如对称密钥），这些数据将在另一个TPM 平台上进行解密。
6）继承密钥：在TPM外部生成，在用于签名和 加密的时候输入到TPM中，继承密钥是可以迁 移的。
7）验证密钥：用于保护引用TPM完成的传输会 话的对称密钥。
TCG定义了五类证书，每类都被用于为 特定操作提供必要的信息。
证书的种类包括： 1）签署证书(Endorsement Credential) 2）符合性证书(Conformance Credential) 3）平台证书(Platform Credential) 4）认证证书(Validation Credential) 5）身份认证证书(Identity or AIK
具有以下功能：
确保用户唯一身份、权限、工作空间的 完整性/可用性
确保存储、处理、传输的机密性/完整性
确保硬件环境配置、操作系统内核、服 务及应用程序的完整性
确保密钥操作和存储的安全
确保系统具有免疫能力，从根本上阻止 病毒和黑客等软件的攻击
可信计算平台特性：
定义了TPM
– TPM = Trusted Platform Module可信平台模块；
可信任链传递与可信任环境
TCG定义了7种密钥类型。每种类型都附加了 一些约束条件以限制其应用。TCG的密钥可以 粗略的分类为签名密钥和存储密钥。更进一步 的分类有：平台、身份认证、绑定、普通和继 承密钥。对称密钥被单独分类为验证密钥。
7种密钥类型如下： 1）签名密钥(Signing Key)：非对称密钥，用于
Credential)
二、TCG的动态
2000年12月美国卡内基梅隆大学与美国国家 宇航总署（NASA）的艾姆斯（Ames）研究 中心牵头，联合大公司成立TCPA。
2019年3月改组为TCG(Trusted Computing Group)，目前国际上（包括中国）已有200多 家IT行业著名公司加入了TCG
– 可信计算平台的信任根可信计算模块规范
TSS （TCG Software Stack）v1.1
– 操作系统上的可信软件接口规范，
已发布的Windows Vista版本全面实现可 信计算功能，运用TPM和USBKEY实现 密码存储保密、身份认证和完整性验证。
实现了版本不能被篡改、防病毒和黑客 攻击等功能。