信息系统可信性材料.ppt

第５章 信息系统可信性 　　　　5.1　可?信?性?概?述　　当前以防火墙、入侵监测和病毒防范为主要构成的传统网络安全系统，是以保护服务器不受外来入侵为重点，在防外上有一定的效果，但在保护整个系统上却并非固若金汤。这是因为它不适应目前信息安全主要“威胁”源自内部的状况。而要解决内部安全威胁，就需要建立一个信息的信任传递模式。必须做到终端的可信，才能从源头解决人与程序、人与机器以及人与人之间的信息安全传递。 　　可信计算技术源自于容错计算，是以1971年召开第一届国际容错计算会议(Fault- Tolerant Computing Symposium)为起点。从1975年开始，商业化的容错机推向市场。到20世纪90年代，软件容错的问题被提了出来，进而发展到网络容错。与此同时，安德逊(J. P. Anderson)首次提出可信系统(Trusted System)的概念。早期学者对可信系统研究主要集中在硬件设备和运行于其上的软件的安全和可靠性。此时的可信计算实际上是一种可靠计算(Dependable Computing)的概念，与容错计算(Fault-Tolerant Computing)领域的研究密切相关。 　　1999年10月由国际几大IT厂商Compaq、HP、IBM、Intel和Microsoft牵头组织了可信计算平台联盟(Trusted Computing Platform Alliance，TCPA)。2000年12月，美国卡内基梅隆大学与美国国家宇航总署的艾姆斯研究中心牵头，由十几家大公司和著名大学成立了高可信计算联盟，该组织致力于发展新一代安全、可信的硬件运算平台。2002年1月微软的比尔·盖茨提出可信计算(Trustworthy Computing)概念，并在邮件中称微软公司未来的工作重点将从致力于产品的功能与特性转移到侧重于解决安全问题。2003年4月，TCPA被重组为可信计算组织(Trusted Computing Group，TCG)。TCG在TCPA强调安全硬件平台的基础上， 进一步增加了对软件安全性的关注，旨在从跨平台和操作环境硬件组件和软件接口两方面，促进不依赖特定厂商的可信计算平台工作标准的制定。　　目前可信计算研究有三个技术分支，分别是 TCG的可信计算(Trusted Computing)，侧重于容错计算的可靠计算(Dependable Computing)，以及微软的高信度计算(Trustworthy Computing)，三者之间的比较见表5-1。 表5-1　三种可信计算研究路线的比较 　　TCG的可信计算重点在于推出基于硬件安全防护的可信平台模块(Trusted Platform Module，TPM)，以加强异构计算机平台的计算环境为目标。TPM作为一个系统级的安全芯片被集成到平台的主板上，为平台提供了可信根的功能，用可信根保证系统加电时的初始状态是可信的，之后利用TPM中的平台配置寄存器的功能，对系统的各个部件进行完整性度量、存储和报告，通过引入信任链的概念，保证整个系统的安全启动。TPM还通过软件协议栈(TCG Software Stack，TSS)为应用程序提供各种安全应用接口。 　　可靠计算主要关注操作系统自身安全机制和支撑它的硬件环境，并与容错计算领域研究密切相关。人们关注元件随机故障、生产过程缺陷、定时或数据不一致、随机外界干扰、环境压力等物理故障，同时，关注设计错误、交互错误、恶意推理、暗藏入侵等人为故障造成系统失效的情况，设计出了许多集成故障检测技术、冗余备份系统的高可用性容错计算机等。可靠计算属于早期的可信计算研究，在可靠计算中，一个数字系统的可信性是指该系统提供确实可信服务的综合能力，其衡量标准有6个：可靠性(Reliability)、可用性(Availability)、可测试性(Testability)、可维护性(Maintainability)、安全性(Safety)以及保密性(Privacy)。 　　高信度计算是一种可以随时获取的可靠安全计算，它从目标、手段、实施三个角度来考虑。目标考虑最终用户的需要，提供安全性、私密性、可靠性和商务完整性的保护。手段是实现目标所要进行的商务和工程方面的考虑，包括的策略有安全开发策略、信息平等原则、可用性策略、可管理策略、准确性策略、实用性策略、可审计策略和透明性策略。在高信度计算的实施方面，微软的高信度计算涵盖了整个计算机联机系统，包含从单个计算机芯片到全球Internet服务的各个方面。2007年微软基于下一代安全计算基(NGSCB)推出安全操作系统解决方案，并联合Intel推出LaGrande可信芯片技术。 5.1.1　TCG的可信定义　　TCG对“可信”的定义是：“一个实体在实现给定目标时，若其行为总是如同预期，