沈院士 可信计算-演讲稿
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
大力发展我国可信计算
技术和产业
国家信息化专家咨询委员会委员
沈昌祥院士
一、可信计算
♦可信是指“一个实体在实现给定目标时其行为总是如同预期一样的
结果”。强调行为的结果可预测和可控制。
♦可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。
♦可信计算是安全的基础,从可信根出发,解决PC机结构所引起的安全问题。
♦可信计算终端基于可信赖平台模块(TPM),以密码技术为支持、安全操作系统为核心(如图所示)
安全应用组件
安全操作系统
安全操作系统内核
密码模块协议栈
主
板
可信赖BIOS
TPM(密码模块芯片)
图:可信赖计算平台
可信任链传递与可信任环境
具有以下功能:
♦确保用户唯一身份、权限、工作空间的完整性/可用性
♦确保存储、处理、传输的机密性/完整性♦确保硬件环境配置、操作系统内核、服
务及应用程序的完整性
♦确保密钥操作和存储的安全
♦确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击
是国家安全的需要♦存在的安全问题二、需求和目标
♦存在的安全问题
♦对策
♦问题
♦对策
是经济发展需要
中国TCP的目标♦
♦
♦
中国TCP的目标♦
♦2000年12月美国卡内基梅隆大学与美国国家
宇航总署(NASA)的艾姆斯(Ames)研究
中心牵头,联合大公司成立TCPA。
♦2003年3月改组为TCG(Trusted Computing Group)
♦2003年10月发布了TPM主规范(v1.2)
♦具有TPM功能的PC机已经上市(IBM、HP等)三、TCG的动态
本地应用
服务提供者(TSP)
远程应用
服务提供者(TSP)
RPC客户
RPC服务
TSS 核心服务层(TCS)
设备驱动库(TDDL)
TPM设备驱动
可信平台模块(TPM)
可信平台体系结构
核心模式
系统进
程模式
用户进
程模式
应用
程序
TCG 规范族♦
♦
♦
TCG 规范族♦
♦
♦
♦
英特尔公司的LT计划:
♦LT技术是英特尔公司提出的新一代PC平台的安全解决方案。它和TCG推出的PC实施规范有所区别,它用到了TCG定义的TPM,基于此来构建自己的安全架构。
区别在于LT技术扩展了TCG所定义的可信计算的功能和范围。
♦LT是多种硬件技术的结合,可以说:LT = CPU +
TPM + Chipset + Protected I/O。英特尔认为当前个人计算机上主要存在的软件攻击隐患有:用户输入输出的脆弱性,很容易在I/O通路上对数据进行伪造或篡改,尤其是显示设备的缓存直接是可存取的,如果不控制,所见到的输出将不能确保是真实可信的;内存访问的脆弱性,获得特权级的恶意代码可以对内存的任意位置进行访问,而DMA控制器也可以不经过CPU 直接对内存进行访问,如果仅从软件来控制,是远远不够的。
针对上述问题,英特尔提出基于硬件的安全解决方
案,包括以下几个主要部分:
♦CPU:支持进程间隔离,对执行进行保护,包括扩充安全指令集,以及寻址结构;
♦TPM:支持密封存储,提供用于用户认证和平台验证的各种密码支持
♦Chipset:支持内存隔离,域管理,解决DMA通道对内存访问的问题,也为建立有保护的输入输出环境提供硬件支持
♦Protect I/O:涉及到各种外部设备及接口,建立有保护的输入输出还需要对外部设备及接口进行改造
LT技术的安全特性总结为以下四点:
♦执行保护:从硬件上支持应用间的隔离,称为“域隔离”;
♦可验证性:能够向本地和远程实体提供平台身份或配置环境是否可信的验证;
♦安全存储:通过TPM进行重要信息的密封存储,其本身的硬件特性就保证比存放在其他设备上要安全得多,同时TPM又具有证实的能力,通过对存放的密封数据的检验和鉴别,更好地保护数据的完整性和秘密性;
♦输入输出的保护:芯片组和外部接口经过安全设计,可以建立基于硬件保护的可信通道。
♦在应用模式上,考虑到兼容性,LT技术引入了标准环境和保护环境,并且两种环境是并存的,如果一旦安全应用需要运行,系统将通过一系列步骤在标准环境下建立一个平行的保护环境,应用一
旦处于保护环境下,将能够使用LT提供的各种安全功能,同时,该环境本身也是可信的,不会被不可信的应用破坏,因为保护环境和标准环境是互相隔离的。标准环境则仍然运行着现有的普通应用。
微软下一代安全计算基(NGSCB)计划:
♦微软在2002年提出了“palladium”计划,随后改为NGSCB(下一代安全计算基础,Next Generation Secure Computing Base)。目的是为构建下一代安全计算平台环境提供基于硬软件的整套方案。微软计划在下一代代号为“longhorn”的操作系统中采用该技术。
♦NGSCB技术框架的基本结构可以划分为三层:最底层为硬件支持层称为SSC(Secure Support Component);运行在其上的是与操作系统内核在同一个环上的核心模块,通过该模块来提供对SSC的访问,同时提供各种安全功能支持,称为Nexus;上面是应用层,由称为NCA(Nexus Computing Agent)的代理来执行。