可信计算体系的实现原理.docVIP

可信计算体系的实现原理 摘要：21世纪是信息的时代。一方面，信息技术和产业高速发展，呈现出空前繁荣的景象，另一方面，危害信息安全的事件不断发生，形势是严峻的。信息安全事关国家安全、事关社会稳定和经济发展，必须采取措施确保信息安全。目前主要的计算机安全技术有加密、访问控制、鉴别、入侵检测和恢复等。但安全性和完整性，以及安全性和隐私性总是相互矛盾的。过分强调安全性必然会破坏数据的完整性和用户的隐私性，反之亦然。伴随着计算机以及网络技术的日益成熟，全面解决计算机安全问题的要求就显得十分迫切，不可能撇开其中任何一项而只考虑另外一项。如何对它们进行权衡和折衷从而达到系统的一致状态，就是可信计算需要研究的问题。本文对可信计算体系的实现原理这一问题进行研究，并基于TPM进行了安全协议设计。 前言 我国的互联网用户数量从2006年的1.37亿迅速增长到2007年底的2.1亿，增幅高达53%。与此同时，互联网用户遭黑客攻击数也以年均至少10％的速度上升。面对数量如此庞大且逐年上升的计算机终端，我们的网络和数据的安全保障又是如何呢？传统的防御方式主要通过防火墙、病毒检测、VPN及加密锁等安全体系，都是以被动防御为主， 结果不仅各种防御措施花样层出，而且防火墙也越砌越高、入侵检测越做越复杂、恶意代码库越做越大，但是信息安全仍然得不到有效保障。“艳照门”等越来越多的事件敲响了终端安全的警钟，许多商家虽然为保护用户的数据安全，提供了许多的技术支持，但都不是最佳选择。随着可信计算工作组在国家信息中心宣告成立以及可信计算技术的开发、应运和部署，一种构建可信计算技术体系和主动嵌入式防御机制的战略部署应运而生。2007年12月，12家中国IT民族企业和软件所等重要科研机构在京联合发布了由中国首次自主研发和自主创新的可信计算系列产品，其中可信密码模块TCM（Trust Cryptography Module）芯片被誉为“中国可信计算的安全DNA”。而可信计算自出现，到现在越来越多人关注，很大意义上被当作信息安全问题的“终结者”。尽管业界对此颇有争议，但从“可信”上说，其安全性根植于具有一定安全防护能力的安全硬件，突破了被动防御打补丁方式，为网络用户提供了一个更为宽广的安全环境。确实使根本上解决计算机系统存在的基础性安全缺陷，操作系统体系之外计算机安全平台的构建变成了可能。目前，中国可信计算技术以可信密码模块为基础，中间通过TCM的服务模块，来构建可信计算的密码支撑平台，最终，在这个平台中形成了可以有效防御恶意攻击，支撑计算机在整个运行过程中的三个安全体系：第一，防御病毒攻击的体系，通过一种可信链来防御攻击；第二，建立一个可信的身份体系，识别假冒的平台；第三， 高安全性的数据保护体系，使数据能够密封在非常安全的一个区域中，达到非法用户进不来，保密数据无泄露的目的。在可信计算体系中，密码技术是最重要的核心技术。具体的方案是以密码算法为突破口，依据嵌入芯片技术，完全采用我国自主研发的密码算法和引擎，来构件一个安全芯片，称之为可信密码模块。以可信密码模块为基础，中间通过TCM的服务模块，来构建可信计算的密码支撑平台，最终，在这个平台中形成了可以有效防御恶意攻击，支撑计算机在整个运行过程中的三个安全体系：防御病毒攻击的体 系，通过一种可信链来防御攻击；建立一个可信的身份体系，识别假冒的平台；高安全性的数据保护体系，使数据能够密封在非常安全的一个区域中，达到非法用户进不来，保密数据无泄露的目的。可信计算技术已广泛应用于政府、军队、制造业、金融、科研机构等行业部门，可信计算工作组的成立不仅对保护我国信息安全产业的自主发展，保护我国的自主知识产权，构建拥有我国自主产权的可信计算平台起到巨大的推动作用，同时也是中国IT企业走向核心技术领域的重大发展机遇。对于金融、政府、军队、通信等重要部门以及广大用户来说，可信计算产品的应用将为解决目前的安全难题打下坚实基础。