可信计算概述、发展、功能、技术、组织、标准

可信计算的定义

可信计算(Trusted Computing)主要致力于解决当前计算世界所面临的普遍的安全威胁和不可信危机,即可信计算是在信息系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高信息系统整体的安全性。

为此,不同组织、权威机构和专家对可信计算进行了定义。例如,ISO在ISO/IEC 15408标准中,对可信的定义是一个参与可信计算的实体,包括组件、系统或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序(如病毒、木马等)及一定的物理干扰造成的破坏。IEEE组织给出的可信定义为计算机系统所提供服务的可信赖性是可论证的。

TCG可信计算工作组对可信的定义是一个可信的实体的行为总是以预期的方式,达到预期的目标。TCG的可信计算技术思路是通过在硬件平台上引入可信安全芯片来提高计算机系统的安全性。这种技术思路目前得到了产业界的普遍认同,认为可信是以安全芯片为基础,建立可信计算环境,确保系统实体按照预期的行为执行。

我国的信息安全专家沈昌祥院士则将可信计算定义为一种信息系统安全新技术,是指计算运算的同时进行安全防护,使操作和过程行为在任意条件下,其结果总是与预期一样,计算全程可测可控,不被干扰。可信计算是一种运算和防护并存的主动免疫的新计算模式,是改变传统的封堵查杀被动防御技术的基础。以上对可信的定义共同点是可信强调计算行为的结果是可预期的。

 可信计算的形成与发展

一、可信计算的形成

可信计算的形成有一个历史过程。在可信计算的形成过程中,容错计算、安全操作系统和网络安全等领域的研究使可信计算的含义不断拓展,由侧重于硬件的可靠性、可用性,到针对硬件平台、软件系统服务的综合可信,适应互联网信息系统不断拓展的发展需要。从1960年到1970年,以可信电路相关研究为核心发展硬件可信概念。

在该时期内,研究的重点为电路的可靠性,并把高可靠性的电路看成为可信电路。1985年美国国防部制定了世界上第一个《可信计算机系统评价准则(Trusted Computer System Evaluation Criteria,TCSEC)》,标志着可信计算的诞生。在TCSEC中,第一次提出可信计算机和可信计算基TCB(Trusted Computing Base)的概念,并把TCB作为系统安全的基础。随后又相继推出了可信数据库解释TDI(Trusted Database Interpretation)和可信网络解释TNI(Trusted Network Interpretation)作为补充。

这些文件被标为彩虹系列信息系统安全指导文件,成为评价计算机系统安全的主要准则。然而由于历史的原因,彩虹系列呈现出一定的局限性:一方面它主要强调了信息的秘密性,而对完整性、真实性考虑较少;另一方面它强调了系统安全性的评价,却没有给出达到这种安全性的系统结构和技术路线。

二、国外可信计算的发展

20世纪90年代中期,国外一些计算机厂商就开始提出通过在硬件层嵌入一个安全模块,基于密码技术建立可信根、安全存储和信任链机制,实现可信计算安全目标的可信计算技术方案。

该技术思路于1999年逐步被IT产业界接受和认可,并在美国卡内基梅隆大学与美国国家宇航局研究中心发起下,IBM、惠普、英特尔、微软等著名IT企业参加,成立了可信计算平台联盟(Trusted Computing Platform Alliance,TCPA)。该组织不仅考虑信息的秘密性,更强调了信息的真实性和完整性,而且更加产业化和更具广泛性。

1999年IEEE太平洋沿岸国家容错系统会议改名为可信计算会议,这标志着可信计算又一次成为学术界的研究热点。同时,TCPA于2001年提出了TCG Trusted Platform Module(TPM)1.1技术标准。之后,一些国际IT技术主导厂商推出了相关可信计算产品,得到用户和产业界的普遍认可,至此可信计算成为IT产业发展趋势。

到2003年,TCPA已发展成员近200个,包括大部分国际IT主流厂商,随后TCPA改名为可信计算组(Trusted Computing Group,TCG),并逐步建立起TCG TPM 1.2技术规范体系,其触角延伸到IT技术的每个领域。

2009年该规范体系的4个核心标准成为ISO国际标准ISO/IEC 11889。2015年TPM标准升级为2.0版本,形成了可信计算的新高潮。在产业发展上,英特尔在新一代处理器中推出了支持可信计算的LaGrande硬件技术,微软也在其核心产品Vista中装配相应的可信计算技术。到2016年,TPM成为许多笔记本和台式机的标配部件。

在可信计算科研方面,可信计算技术的主要研究机构有卡内基梅隆大学、斯坦福大学、麻省理工学院、CMU、达特茅斯学院、剑桥大学、IBM Waston研究中心和HP实验室等。当前的主要研究方向涵盖了可信计算安全体系结构、安全启动、远程证明、安全增强、可信计算应用与测评等。

而在应用领域,可信计算最初定位在PC终端,IT厂商逐步推出了TPM芯片、安全PC、可信应用软件等产品。随着技术进步和应用的发展,逐步转向了可信移动设备的应用。可信存储方面也在大规模发展,包括可信移动存储和大型的网络可信存储。目前,国际TCG组织正在做下一代的可信芯片标准,目标是做统一的平台模块标准,兼容包括中国、俄罗斯在内的全球各国家(地区)算法,最终目标是把可信计算芯片和体系做成统一的技术体系。

三、国内可信计算的发展

我国一直高度重视可信计算技术,承载着核心技术自主创新、信息安全自主掌控的信念,大致经历了3个发展阶段。第1个阶段为2000~2005年,是消化吸收国际TCG可信计算技术理念阶段。2000年6月,武汉瑞达公司和武汉大学合作,开始研制安全计算机,并提出了一套计算机的可信安全技术方案。

2004年10月,该技术方案通过国家密码管理委员会主持的技术鉴定。它是国内第一款自主研制的可信计算平台,在系统结构和主要技术路线方面与国际TCG可信计算的规范是一致的,在有些方面有所创新。此外,在解放军密码管理委员会的支持下,2004年10月在武汉大学召开了第一届中国可信计算学术会议。

2005年联想集团和兆日公司的TPM芯片和可信计算机相继研制成功,它们基于TCG可信计算技术体系也开发出相关可信计算的产品。此后,全国信息安全标准化技术委员会(TC260)成立了可信计算标准工作小组,推进中国可信计算标准的研究。

第2个阶段为2006~2007年,是建立自主技术理论和标准体系阶段。我国有关管理部门意识到可信计算给中国IT产业自主创新带来发展机遇,专门组织学术界和企事业单位,开展基于中国密码算法的可信计算技术方案研究,提出《可信计算密码应用方案》,之后组建了可信计算密码应用技术体系研究专项工作组,后改名为中国可信计算工作组(China TCM Union,TCMU)。

联想、国民技术、中国科学院软件所、同方、兆日、瑞达等11家单位加入该工作组,制定出以可信密码模块(Trusted Cryptography Module,TCM)为核心的《可信计算密码支撑平台技术规范》系列标准,并于2007年12月颁布《可信计算密码支撑平台功能与接口技术规范》。同时,国民技术、联想、同方、方正、长城、瑞达等也开发出基于此标准的产品。中国科学院软件所作为TCMU的核心成员,重点开展可信计算关键技术研究,目前已经取得了多项创新成果,这些成果正在自主可信计算产业中得到推广应用。

具体研究思路是从可信安全芯片的信任构建出发,按照信任构建范围,从小到大,依次研究构建终端信任、平台间信任、网络信任的关键技术,基于这些关键技术研究可信计算应用,提升现有应用解决方案的安全性,并进一步研究可信计算测评技术以规范可信计算产品的生产和认证。

第3个阶段为2008年以后,是推动产业发展阶段。TCM产品开始规模上市,获得了政府、军工、国计民生领域用户的高度认可。中国可信计算工作组目前有国民技术、联想、同方、中国科学院软件所、方正、卫士通等29个成员单位,由企业牵头,政府支持,大力推进中国可信计算产业的发展。到2010年,在TCMU全体成员的共同努力下,已建立起可信计算安全芯片、可信计算机、可信网络和应用、可信计算产品测评的基本完整的产业体系。2016年,中科梦兰和中国航天科工集团第二研究院七○六所合作成立江苏航天龙梦信息技术有限公司,专注于自主可控、安全可靠的国产龙芯CPU芯片和可信计算应用的产业化。

过去国内可信计算技术还只在少数领域得到应用,中关村可信计算产业联盟正式成立以后,联盟会员具有广泛代表性的优势,可切实把业界的科研、企业、应用单位等各方力量整合到平台上,为具有自主知识产权的软硬件系统提供支撑,联合推出可信计算相关标准,加快技术创新、加快应用推广、加快产业发展,通过系统工程的方法整合国内优势资源,在未来会有个高速发展的阶段。目前,不少单位和部门已按有关标准研制了芯片、整机、软件和网络连接等可信部件和设备,并在国家电网调度等重要系统中得到了有效的应用。在云计算、大数据、物联网、工业系统移动互联网、虚拟动态异构计算环境中更需要可信计算提供基础保障,尤其是在专控行业里,这类行业的特点非常适合于可信计算发挥其安全作用,更加便于可信计算的应用推广,未来在这类环境中可信计算会取得突破性的进展并迅速推广。

当前,我国政府在各个重要科技和产业计划中都已将可信计算技术的研究与应用列入重点。学术界针对可信密码模块、可信计算平台、远程证明、可信计算测评、信任链构建技术、关键技术标准等方面都在积极开展研究工作。产业界也在积极研究各种基于TCM的安全解决方案。国家密码管理局和全国信息安全标准化技术委员会也在积极推进可信计算相关标准的研究与制定。

可信计算的功能

可信计算平台的主要应用目标是风险管理、数字资源管理的安全监控和应急响应。为了实现这些目标,可信计算支撑平台在计算机系统中的功能如图3-1所示。

图片

从图3-1可以看出,可信计算密码支撑平台为可信计算机提供了平台完整性、平台身份可信和平台数据安全保护等功能。其中,平台完整性利用密码机制,通过对系统平台组件的完整性度量、存储与报告,确保平台完整性。平台身份可信利用密码机制,标识系统平台身份,实现系统平台身份管理功能,并向外部实体提供系统平台身份证明。

平台数据安全保护利用密码机制,保护系统平台敏感数据,其中数据安全保护包括平台自身敏感数据的保护和用户敏感数据的保护,另外也可为用户数据保护提供服务接口。

可信计算技术

可信计算作为一种新型信息安全技术,已经成为信息安全领域的研究热点,近年来这方面的相关研究已经陆续展开,并取得长足发展。

主要关键技术包括密码技术可信度量技术信任链技术远程证明技术

可信计算从密码技术入手,形成可信度量技术,解决单一组件的可信安全问题。

在此基础上建立信任链技术,把这种信任安全扩展到整个计算系统。

最后,通过远程证明技术,进一步将信任安全扩展到整个网络系统,从而确保整个网络信息系统的可信。

(注意这个逻辑:单个-这个系统-整个网络)

1 密码技术

密码技术不仅是信息安全的基础,也是可信计算的基础。

可信计算体系结构以密码体系为基础,采用对称和非对称密码算法相结合的密码体制,从可信平台控制模块出发,建立信息系统的信任链,保障关键信息系统的安全。图3-7所示显示了密码与可信计算平台的功能关系。

图片

从图3-7可以看出,可信计算平台基于密码技术,实现平台自身的完整性、身份可信性和数据安全性等安全功能。

利用密码技术,通过对系统平台组件的完整性度量,确保系统平台的完整性,并向外部实体可信地报告平台完整性。

利用密码技术,标识系统平台身份,实现系统平台身份管理功能,并向外部实体提供系统平台身份证明。利用密码技术,保护系统平台敏感数据。

其中,数据安全保护包括平台自身敏感数据的保护和用户敏感数据的保护;另外,也可为用户数据保护提供服务接口。

2 可信度量技术

建立计算平台信任的主要技术手段是完整性度量。在信息安全中,数据完整性度量技术通过消息认证码(Message Authentication Code,MAC)的一致性校验来实现度量功能。对于MAC消息认证码的产生,可以利用单向哈希(HASH)函数来实现。

在可信计算中,早期的可信度量主要是借助专用PCI板卡和外部可信实体执行度量工作,如马里兰大学的Copilot系统和卡内基梅隆大学的Pioneer系统,这种度量技术存在无法适用于通用终端平台的问题。

TCG提出以TPM为信任根,逐级度量启动过程中的硬件、操作系统和应用程序的方法,以此建立通用终端平台的信任。TPM提供了满足单向性、抗碰撞性的安全HASH函数SHA1引擎,可以为度量的实现提供保证。

同时,TPM还提供安全存储及内部的平台配置寄存器PCR(Platform Confi guration Register),这样可信度量的更新及实际应用都是以平台配置寄存器PCR作为载体。IBM研究院研发了最早的TCG框架下的完整性度量架构IMA,其特点是在可执行文件装载时对其进行完整性度量,缺陷是对所有装载程序都进行度量,系统效率较低。

对此它们又进一步提出了PRIMA度量架构,该架构将度量与信息流访问控制模型相结合,从而大幅度精简度量对象,提高系统效率。上述两种度量架构都只能静态度量可执行文件,无法保证程序在运行过程中可信。

卡内基梅隆大学提出了BIND度量系统,其扩展了编程语言的度量语义,包含度量标记的代码被执行时会激活BIND系统对其完整性度量。BIND系统在一定程度上实现了对软件关键代码动态行为的度量,但是需要软件开发者手动添加度量标记,编程要求较高。我国学者针对静态度量的不足也提出了一些解决方案,具体的可信度量技术将在第4章中做进一步介绍。

3 信任链技术

TCG 提出信任链(Trusted Chain)来解决安全问题,其思想是从一个初始的信任根出发,在平台上计算环境的每一次转换时,如果这种信任可以通过传递的方式保持下去不被破坏,那么平台上的计算环境始终是可信的。

基于这种思想,可信计算平台首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,从而把这种信任扩展到整个计算系统。因此,信任链是可信计算的又一个关键技术。

信任链的起点是信任根,信任链是在计算系统启动和运行过程中,使用完整性度量方法在部件之间所建立的信任传递关系。

信任链的传递则是依靠可信度量技术来实现。在信任链的理论中,无论是最底层的BIOS启动模块还是最上层的应用,在得到信任以运行之前,都需要经过可信度量,即一个测量或认证的过程。具体的信任链技术将在第5章中做进一步介绍。

4 远程证明技术

在本地计算平台信任构建的基础上,将本地计算平台的信任扩展到远程计算平台的主要方法是远程证明,它是可信计算用于解决可信计算平台之间、可信网络节点信任的重要安全机制。

远程证明包含平台身份的证明和平台完整性状态的证明,这两种证明的基本模型非常类似,包含一个带有可信安全芯片的可信计算平台、验证平台和辅助支持验证的可信第三方。

远程证明基本模型的信任锚点是可信安全芯片,以及颁发平台证书(包括平台身份证书,或者平台属性证书)的可信第三方,可信安全芯片保证了平台的真实性,可信第三方确保了协议的正确性。

在平台身份证明方面,TCG的TPM提出基于Privacy CA的身份证明方案。该方案通过平台身份证书证明平台真实身份,无法实现平台身份的匿名性。为此,Briekel针对TPM匿名证明的需求提出了基于CL签名的直接匿名证明协议(Direct Anonymous Attestation,DAA)方案。

DAA方案的研究主要针对RSA密码体制展开,因此存在DAA签名长度较长和计算量大的缺点。为此,Briekel又提出了基于椭圆曲线及双线性映射的DAA改进方案,大幅提高了计算和通信性能。

冯登国基于q-SDH假设对DAA方案也进行了改进研究,进一步提高了计算和通信效率。此外,Liqun Chen采用新的密码学假设对DAA方案进行了深入的研究,对TPM的协议计算量进行了优化。

在平台状态证明方面,TCG提出二进制直接远程证明方法,IBM遵循该方法实现了直接证明的原型系统。这种方法存在平台配置容易泄漏、扩展性差等问题。为此,许多科研机构、专家和学者提出了改进。例如,IBM基于属性的证明方法(Property-Based Attestation,PBA),将平台配置度量值转换为特定的安全属性,并加以证明。

此外,Poritz和Schunter等学者利用可信虚拟机向远程方证明Java高级语言程序的语义安全,在此基础上提出了基于语义的证明方法。Seshadri和Perrig等学者针对特殊的嵌入式设备提出了基于软件的证明方法。沈昌祥院士和李晓勇等学者将平台配置状态转化为平台历史行为序列,并在此基础上提出了基于系统行为的证明方法。

可信计算组织和标准

可信计算是信息系统实现互联、互用、互操作过程中提出的安全需求,因此迫切需要技术标准来规范系统的设计和实现。

通过可信计算的标准化组织提出权威和统一的可信计算技术标准和规范,有助于形成规模化信息安全产业,生产出满足信息社会广泛需求的可信计算产品。

1、可信计算工作组TCG及标准

2003年,包括IBM、Microsoft、Intel、AMD、HP、Sony和Sun在内的14家发起成员公司宣布成立可信计算工作组(Trusted Computing Group,TCG)。该工作组的目标是建立可信计算的技术标准,并将可信计算从计算机扩展到网络环境。此后,TCG开始成立移动电话(Mobile)、存储(Storage)、个人计算机客户端(PC Client)、服务器(Server)、嵌入式系统(Embedded Systems)、物联网(Internet of Things,IoT)、可信网络连接(Trusted Network Communications,TNC)、可信平台模块(Trusted Platform Module,TPM)和软件栈(Software Stack)等各个子工作组,各子工作组开始为开放的规范准备定义需求和案例,讨论并提出了移动设备、存储、服务器、外设和基础架构上的可信安全需求。其中,TCG的移动电话子工作组发布了一系列案例,定义可信计算如何在移动电话上使用。该子工作组的成员扩展到了手持设备、芯片和应用厂商。

存储子工作组开始为静态的存储数据建立开放的可信计算规范标准,希望能补偿不断增长的数据丢失、失窃和未授权访问,这包括存储于硬盘驱动器、磁带和闪存等介质上的数据。该子工作组发布了一些案例供业界讨论,同时开始和已有的存储规范工作组一起讨论,确保对命令的支持能拓宽到广泛使用的SCSI和ATA体系。此外,TCG的存储子工作组发布了笔记本电脑和数据中心的自加密驱动器的最终规范和一系列帮助生产这些驱动器的厂商们互通的API接口。服务器子工作组开始建立在服务器上使用TPM的规范标准。生产厂商开始开发能保证可信的客户端能连接到指定的服务器的产品。

个人计算机客户端子工作组在2007年公布可以支持个人电脑上全盘加密的可信存储规范。该工作组将这一可信规范拓展到其他存储设备上。服务器子工作组在制定可信计算规范标准的同时还提供了一个使用模型,该模型确保服务器在进行敏感交易之前能满足一个最低的安全标准。可信网络连接子工作组致力于建立起一个支持网络访问控制和端点一致性的开放规范标准和应用,如Microsoft开始在其网络访问保护技术体系中支持和TNC的互联。日本互联网协议设备认证组织支持TNC来提供网络安全,包括涉足数据恢复等领域的十余家其他业界公司加入了TCG支持TNC体系。TPM子工作组致力于可信安全芯片的研究和标准化,对于用户所使用的TPM安全芯片,TCG采纳了已有的规范,经过一系列讨论和修订,将其公开为一个开放的业界规范标准。

2004年,TCG公布了TPM规范1.2版本,并在2009年成为ISO的国际标准ISO/IEC 11889-1:2009。相关厂商开始生产支持TPM主要特性的安全芯片。各种企业级台式电脑和笔记本电脑都开始附载TPM芯片和相关的软件,用来支持数据和文件的加密、安全电子邮件系统、单一登录,以及证书和密码的存储等应用。2013年,TCG公布了TPM规范2.0版本,并在2015年成为ISO的国际标准ISO/IEC 11889-1:2015。此外,TCG成立了一个由IT业界的隐私、金融和安全方面的专家所组成的顾问委员会,并启动了和业界的其他标准工作组交流的联络项目,以及与可信计算相关领域的研究人员和学术机构进行交流的指导项目。表3-3列出了可信计算国际标准和规范。

图片
图片
图片

从表3-3可以看出,TCG已经建立起比较完整的可信计算技术规范标准体系。包括TPM功能与实现规范,TSS功能与实现规范,针对PC、服务器和移动手机平台的 TCG规范。在基础设施技术方面,制定出身份证书、网络认证协议、完整性收集和完整性服务等规范。在可信网络方面,制定出可信网络连接的协议和接口规范。从 TCG 的技术标准体系涵盖的范围可以看出,TCG 技术标准已经渗透到 IT 技术的每一个层面。

中国可信计算工作组TCMU及标准

随着我国信息化的进一步深入发展,信息安全问题越来越重要,密码的作用也就越来越突出。充分发挥好密码在信息安全中的核心保障作用,推动商用密码深入发展和更广泛应用,支持我国可信计算产业的健康发展,从国家层面构建可信计算密码应用技术体系至关重要。2006年11月,经国家密码管理局批准成立了可信计算密码专项组。

该工作组致力于开展可信计算密码应用体系,相关密码标准和规范的制定及推动可信计算产业化发展,并在2007年12月发布了《可信计算密码支撑平台功能与接口规范》。

该规范提出了自主可信的TCM安全芯片标准。此后,联想、同方、长城、方正等民族企业推出了基于TCM的可信计算机,产品包括台式计算机、笔记本电脑和服务器,主要用户包括政府、金融、公共事业、教育、邮电、制造、中小企业等。

随着可信计算产业的发展和更多的企业加入,在有关政府部门的认可和支持下,可信计算密码专项组在2008年12月正式更名为中国可信计算工作组(China TCM Union,TCMU)。中国可信计算工作组带领产业发展中国自主创新的可信计算,其主要任务是研究和制定可信计算密码应用技术体系及相关密码技术标准规范,推动可信计算技术与产品的标准化、工程化和产业化,指导可信计算应用示范工程建设。

目前,中国可信计算工作组包括联想集团、国民技术股份有限公司、同方股份有限公司、中国科学院软件研究所、北京兆日技术有限责任公司、瑞达信息安全产业股份有限公司、卫士通信息产业股份有限公司、无锡江南信息安全工程技术中心、长春吉大正元信息技术股份有限公司、方正科技集团股份有限公司、中国人民解放军国防科技大学计算机学院、中国长城计算机深圳股份有限公司、北京同方微电子有限公司、北京多思科技工业园股份有限公司、浪潮集团有限公司、北京中天一维科技有限公司、广东南方信息安全产业基地有限公司、北信源自动化技术有限公司、清大安科技术有限公司、南京百敖软件有限公司、北京电子科技学院在内的二十多家成员单位。成员覆盖国内芯片、计算机、网络接入、系统/应用软件、CA证书等领域的信息安全骨干企业,已形成一个初具规模的产业链。此外,TCM将成为中国信息安全的核心引擎,担当我国网络空间的身份证、保险箱和病毒免疫系统等角色,为我国的数据和系统构筑一个全方位、立体化的安全防御体系。表3-4列出了我国的可信计算相关标准和规范。

图片

内容来自:《龙芯自主可信计算及应用》