可信安全体系架构原理与实践.pdfVIP

可信安全体系架构原理与实践 李毓才 小谷诚刚 钱钢 毛文波 李晓勇 郭庆 1铁道部信息技术中心 北京 100844 2 可信计算组织TCG、富士通美国实验室 3 南京师范大学 江苏 210097 4 EMC中国实验室 北京 100084 5 北京交通大学 北京 100044 6 思科系统(中国)网络技术有限公司 北京 100022 摘要：本文介绍了可信安全理念和应用设计示例。可信安全简要概括为通过结构化的可信计算基、可信安全工程化等可 信安全机制，保证系统安全机制具有期望的功能以及来源的真实性、机制 自身的不可旁路和防篡改能力。结构化可信计算基 也增加了系统安全功能机制形式化描述的可行性，从而提高人们对系统安全的信心。 关键词：可信安全；结构化TCB；可信保证机制；可信安全工程化 O 引言 关软件栈为计算平台提供身份和状态可信保证，从而加强系 近年来 ，保证信息安全的相关领域研究不断深入 ，但信 统的安全保证能力。比如可信计算的一个重要 内容是可信传 息安全所面I15的形势依然 日益严峻。既有的潜在威胁没有根 递，它通过行为预期对系统每一个代码执行进行控制，从而 本性的改变，新的安全威胁不断增加 ，针对信息及信息系统 保证系统运行的可信。但是，可信计算技术不能改善系统安 的攻击方式 日益专业化和隐蔽化 ，攻击手段更具针对性和危 全机制的来源和功能可信问题，一旦恶意代码通过各种方式 害性，一些深层次的攻击(如rootkit攻击)能够从系统底层避开 进入信任链，那么系统的安全 问题还会继续存在。 已有的安全机制，对用户信息和信息系统进行破坏，甚至直 上述情况表明，在信息系统越来越复杂、功能越来越多 接颠覆和破坏系统安全机制本身。现有的信息安全防范体系 样化、产品和技术来源越来越社会性的环境下，单一或局部 远没有达到人们预期的水平 。 的可信保证措施都不能根本提高TCB的可信度。必须在加强 导致上述信息安全现状的根本原因在于以往的研究和产 TCB安全功能、提高TCB安全强度的同时，还要从TCB的结 品实现中，往往只强调安全功能的多样性和安全保障强度， 构上提高其可信保证能力，并结合可信技术、管理和过程控 而不能保证安全功能的总是有效作用，甚至安全机制本身被 制措施等多个方面满足TCB的可信保证要求，包括TCB的来 篡改或破坏。尽管有关安全准则对信息系统的安全机制(也称 源真实性、功能正确性和可靠性、运行完备性等等，使信息 可信计算基，TurstedComputingBase，TCB)作 了明确要求 ，围 系统能够真正为人们所信赖 。 绕TCB的可信保证问题，已进行多方探索，但是这还只停留在 1可信安全内容和原理 某些局部环节和领域上 ，在整体性和综合性方面还存在欠缺。 可信安全(TrustedSecurity)是指通过充分可信赖的信息安 一 些研究尝试通过减小TCB的代码规模 ，使人们有可能 全功能机制，使系统安全保护能力达到更高的信任度。可信 对它们进行完整的测试和分析，从而提高其可信程度。比如 安全的目标是为信息系统的安全功能和安全保证提供整体解决 通过安全通道技术将 TCB代码中占很大比例的设备驱动部分 方案，从根本上提高系统的安全保护能力。可信安全可以认为 (包括网络协议栈)从TCB中剔出，但是TCB功能多样性特性 是可以信赖的安全。可信安全的定义有以下方面含义：①TCB 导致了对TCB代码的裁减不可能达到很理想的程度。TCB可 具有期望的安全功能、能保证其安全策略有效正确地执行， 信保证的另一个重要研究方向是可信计算平 台相关技术 ， 并且来源可信；②能够正确度量系统中的用户、平台和环境 TCG(TrustedComputingGroup)或国内的可信计算联盟等试 状态；③TCB本身不会被篡改。 图以密码技术为基础 ，通过受物理保护的可信密码模块及相 可信安全体系是基于可信的定义和可信计算基的定义导