1、可信計算的發(fā)展摘 要可信計算是信息安全領(lǐng)域的一個新的研究分支，如何建立高效安全的可信計算機制是當(dāng)前研究的熱點，具有極其廣泛的應(yīng)用背景。這里詳細介紹和分析可信計算的國際發(fā)展歷程、相關(guān)定義、關(guān)鍵技術(shù)、相關(guān)國際標準、相關(guān)規(guī)。基于以上分析，指出目前可信計算研究存在理論滯后于應(yīng)用，部分關(guān)鍵技術(shù)尚未攻克，缺乏配套軟件系統(tǒng)等問題。最后指出可信計算在基礎(chǔ)理論、關(guān)鍵技術(shù)和相應(yīng)應(yīng)用方面亟待解決的問題。關(guān)鍵詞可信計算；理論模型；信任理論；信息安全摘 要- 1 -0 引言- 3 -1 可信計算的研究背景- 3 -2國際可信計算發(fā)展- 4 -3信計算相關(guān)定義和關(guān)鍵技術(shù)- 4 -3.1可信計算的相關(guān)定義- 4 -3.2可

2、信計算關(guān)鍵技術(shù)- 5 -4可信計算相關(guān)國際標準- 6 -4.1TCG 規(guī)- 6 -4.2可信計算機安全評價標準（TCSEC）- 7 -4.3息安全評價標準（ITSEC）- 7 -5.信計算亟待研究的領(lǐng)域- 8 -5.1技術(shù)方面- 8 -5.2理論方面- 8 -5.3計算的應(yīng)用- 8 -6.結(jié)束語- 8 -參考文獻- 9 -0 引言隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的拓展，可信計算技術(shù)研究與其相關(guān)產(chǎn)業(yè)化應(yīng)用已經(jīng)成為當(dāng)前信息安全領(lǐng)域關(guān)注的熱點問題之一。國外可信計算起步較早，在組織機制，產(chǎn)業(yè)化應(yīng)用和標準研發(fā)等領(lǐng)域都處于領(lǐng)先。盡管對于可信計算存在不同的認識，但是可信計算是目前公認的信息安全發(fā)展面臨的重大機遇

3、，是從一個全新的角度解決信息安全問題。在云計算、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)等新技術(shù)日益發(fā)展的今天與將來，可信計算也將成為新的發(fā)展趨勢。 1 可信計算的研究背景傳統(tǒng)信息安全系統(tǒng)以防外部入侵為主，與現(xiàn)今信息安全的主要威脅來自部的實際不符合&采用傳統(tǒng)的信息安全措施的最終結(jié)果是防不勝防&這是由于只封堵外圍，沒有從根本上解決產(chǎn)生不安全的問題&概括起來，信息安全事故產(chǎn)生的技術(shù)原因主要有幾點:(1) 目前的PC機軟硬件結(jié)構(gòu)簡化，可任意使用資源，特別是修改執(zhí)行代碼，植入惡意程序;(2) 操作系統(tǒng)對執(zhí)行代碼不檢查一致性，病毒程序可利用這一弱點將病毒代碼嵌入到執(zhí)行代碼中進行擴散;(3)黑客可利用被

4、攻擊系統(tǒng)的漏洞，從而竊取超級用戶權(quán)限，并植入攻擊程序，最后進行肆意破壞，攻擊計算機系統(tǒng);(4)用戶未得到嚴格的控制，從而可越權(quán)訪問，致使不安全事故的產(chǎn)生所有這些入侵攻擊都是從個人計算機終端上發(fā)起的。應(yīng)采取防為主外兼防的模式來保護計算機，提高終端節(jié)點的安全性，建立具備安全防護功能的電腦系統(tǒng)。為從終端上解決計算機系統(tǒng)安全的問題，需要建立信息的可信傳遞。這就和 SARS期間隔離患者以控制病源的傳播一樣。算機終端的“可信”實現(xiàn)了人與程序之間、人與機器之間的數(shù)據(jù)可信傳遞就能得到保證。鑒于此，“可信計算”上了議事日程，這就是它的研究背景。所以，可信計算的核心就是要建立一種信任機制，用戶信任計算機，計算機信

5、任用戶，用戶在操作計算機時需要證明自己的身份，計算機在為用戶服務(wù)時也要驗證用戶的身份。這樣一種理念來自于人們所處的社會生活&社會之所以能夠和諧運轉(zhuǎn)，就得益于人與人之間建立的信任關(guān)系。與社會所不同的是建立信任的途徑不同。社會之中的信任是通過親情、友情、愛情等紐帶來建立，但計算機是沒有感情的實體，一切的信息都是二進制串，所以在計算機世界中就需要建立一種二進制串的信任機制，這就必須使用密碼技術(shù)，從而密碼技術(shù)成為了可信計算的核心技術(shù)之一。近年來，體現(xiàn)整體安全的可信計算技術(shù)越來越受到人們的關(guān)注，這正是因為它有別于傳統(tǒng)的安全技術(shù)，從根本上來解決安全問題。2國際可信計算發(fā)展從 20 世紀 60 年代

6、，可信計算誕生以來，可信計算的發(fā)展共經(jīng)歷了 3 個階段：硬件可信階段；綜合可信階段和深入發(fā)展階段。 （1）硬件可信階段 從 1960 年到 1970 年中期，以可信電路相關(guān)研究為核心發(fā)展起硬件可信概念。在該時期，對信息安全性的理解主要關(guān)注硬件設(shè)備的安全，而影響計算機安全的主要因素為硬件電路的可靠性，所以該階段研究的重點為電路的可靠性。根據(jù)該使其的可信研究，普遍把高可靠性的電路成為可信電路。 （2）綜合可信階段 從 1970 年到 1990 年，以“可信計算基”概念的提出為標志。在該時期，系統(tǒng)的可信性設(shè)計和評價成為關(guān)注的核心。1983 年美國國防部制定了世界第一個可信計算標準：TCSEC。在 T

7、CSEC 中第一次提出可信計算基的概念，并把可信計算基（TCB，Trusted Computing Base）作為信息安全的基礎(chǔ)。TCSEC 主要考慮了信息的秘密性。（3）深入發(fā)展階段 1990 年至今，以可信平臺（TPM，Trusted Platform Module）為主要標志。該階段中，可信計算研究的體系化更加規(guī)，規(guī)模進一步擴大，可信計算的產(chǎn)業(yè)組織，標準逐步形成體系并完善。1999年 IEEE 太平洋沿岸國家容錯系統(tǒng)會議改名為“可信計算會議”，這標志著可信計算又一次成為學(xué)術(shù)界的研究熱點。2000 年 12 月，在美國卡基梅農(nóng)大學(xué)與美國國家宇航局研究中心牽頭，IBM、HP、微軟等著名企業(yè)參

8、加，成立了可信計算平臺聯(lián)盟（TCPA, Trusted Computing Platform Alliance）1,這標志著可信計算進入產(chǎn)業(yè)界。TCPA 改名為可信計算組織（TCG, Trusted Computing Group）。TCG 的成立標志著可信計算技術(shù)和應(yīng)用領(lǐng)域的進一步擴大。3信計算相關(guān)定義和關(guān)鍵技術(shù)3.1可信計算的相關(guān)定義目前可信計算中可信存在多種不同的定義。ISO/IEC 將可信定義為：參與計算的組件、操作或過程在任意的條件下是可預(yù)測的，并能夠地域病毒和一定程度的物理干擾。IEEE 給出的可信定義為：計算機系統(tǒng)所提供服務(wù)的可信賴性是可論證的。TCG將可信定義為：一個實體是可信

9、的，如果它的行為總是以預(yù)期的方式，朝著預(yù)期的目標。TCG 的可信技術(shù)思路是通過在硬件平臺上引入 TPM 來提高計算機系統(tǒng)的安全性。這種技術(shù)思路目前得到了產(chǎn)業(yè)界的普遍認同，認為可信是以安全芯片為基礎(chǔ)，建立可信計算環(huán)境，確保系統(tǒng)實體按照預(yù)期的行為執(zhí)行。 （1）信任鏈 TCG 提出“信任鏈”2來解決安全問題，基本思想是，如果從一個初始的“信任根”出發(fā),在平臺上計算環(huán)境的每一次轉(zhuǎn)換時，這種信任可以通過傳遞的方式保持下去不被破壞，那么平臺上的計算環(huán)境始終是可信的。 （2）可信平臺（TPM） 在可信鏈傳遞中，TPM 是核心，是信任根。作為可信計算技術(shù)的底層核心固件, TPM 被稱為安全PC 產(chǎn)業(yè)鏈的“信任

10、原點”。在實際應(yīng)用中, TPM 安全芯片被嵌入到 PC 主板之上,可為平臺提供完整性度量與驗證,數(shù)據(jù)安全保護和身份認證等功能，TPM 在更底層進行更高級別防護,通過可信賴的硬件對軟件層次的攻擊進行保護可以使用戶獲得更強的保護能力和選擇空間。傳統(tǒng)的安全保護基本是以軟件為基礎(chǔ)附以密鑰技術(shù),事實證明這種保護并不是非常可靠而且存在著被篡改的可能性。TPM 將加密、解密、認證等基本的安全功能寫入硬件芯片,并確保芯片中的信息不能在外部通過軟件隨意獲取。（3）TCG 軟件棧 TCG 軟件棧3(TSS, TCG Software Stack)的縮寫。TSS 是可新平臺的核心軟件，它運行于操作系統(tǒng)用戶態(tài)，在可信

11、平臺中起著承上啟下的作用，TSS為應(yīng)用程序提供了使用 TPM 安全功能的接口，同時屏蔽了不同制造商在 TPM 生產(chǎn)中造成的各種差異，增強應(yīng)用程序的可移植性。目前，TSS 是應(yīng)用程序與 TPM 進行交互的主要接口之一。TSS 系統(tǒng)包括的功能，可用于創(chuàng)建 Crypto API 接口，使 TPM 支持當(dāng)前和未來的相關(guān)應(yīng)用程序，從而充分拓展 TPM 功能，包括密鑰備份、密鑰遷移功能、平臺認證等。 （4）可信計算網(wǎng)絡(luò) 可 信 計 算 網(wǎng) 絡(luò) （ TCN, Trusted Computing Networking）是一個通過現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全子系統(tǒng)有效整合和管理，并結(jié)合可信網(wǎng)絡(luò)的接入控制機制、網(wǎng)絡(luò)

12、部信息的保護和信息加密傳輸機制，實現(xiàn)全面提高網(wǎng)絡(luò)整體安全防護能力的可信網(wǎng)絡(luò)安全技術(shù)體系。 3.2可信計算關(guān)鍵技術(shù)可信計算包括5個關(guān)鍵技術(shù)4概念，它們是完整可信系統(tǒng)所必須的，整個系統(tǒng)將遵從 TCG 規(guī)。5個關(guān)鍵技術(shù)如下: （1）簽注密鑰 簽注密鑰是一個2048位的RSA公私有密鑰對，它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠在芯片里，而公共密鑰用來認證與加密發(fā)送到該芯片的敏感數(shù)據(jù)。 （2）安全輸入輸出 安全輸入輸出是指電腦用戶和他們認為與之交互的軟件間受保護的路徑。當(dāng)前，電腦系統(tǒng)上惡意軟件有許多方式來攔截用戶和軟件進程間傳送的數(shù)據(jù)。例如，鍵盤監(jiān)聽和截屏。 （3）儲存器屏蔽 儲存器屏蔽拓

13、展了一般的儲存保護技術(shù)，提供了完全獨立的儲存區(qū)域。例如，包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲存的完全訪問權(quán)限，所以入侵者即便控制了操作系統(tǒng)信息也是安全的。 （4）密封儲存 密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息。意味著該數(shù)據(jù)只能在一樣的軟硬件組合環(huán)境下讀取。 （5）遠程認證 遠程認證準許用戶電腦上的改變被授權(quán)方感知。例如，軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術(shù)保護措施。它通過讓硬件生成當(dāng)前軟件的證明書。隨后電腦將這個證明書傳送給遠程被授權(quán)方來顯示該軟件公司的軟件尚未被干擾（嘗試破解）。4可信計算相關(guān)國際標準4.1TCG 規(guī)TCG5于2003年到

14、2008年已經(jīng)建立起比較完整的TPM1.2 技術(shù)規(guī)標準體系。包括：TPM 功能與實現(xiàn)規(guī)（TPM main specification 1.2）；TSS 功能與實現(xiàn)規(guī)（TSS specification version 1.2）；針對 PC 平臺的 TCG 規(guī)（PC client specific implementation specification, for conventional BIOS, Version 1.2）；針對服務(wù)器平臺的 TCG 規(guī) （ TCG server specific implementation specification for TCG version 1.2

15、 和 TCG IPF architecture server specification）；針對手機平 臺 的 TCG 規(guī) （ mobile phone technical specification 1.0 和use case）；基礎(chǔ)設(shè)施技術(shù)規(guī)，包括書、網(wǎng)絡(luò)認證協(xié)議、完整性收集和完整性服務(wù)等規(guī)。其中一個可信網(wǎng)絡(luò)連接工作小組，已經(jīng)制定出一系列可信網(wǎng)絡(luò)連接的協(xié)議、接口規(guī)，將對網(wǎng)絡(luò)安全技術(shù)發(fā)展產(chǎn)生重要的影響；針對外設(shè)在可信計算架構(gòu)中的技術(shù)規(guī)；針對網(wǎng)絡(luò)安全 存儲的 TCG 規(guī)（storage architecture core specification 1.0）；基于 CC（common crit

16、eria）的相關(guān)符合性的測評規(guī)等。從 TCG 的技術(shù)標準體系涵蓋的圍可以看出，TCG 技術(shù)標準已經(jīng)滲透到 IT 技術(shù)每一個層面。 4.2可信計算機安全評價標準（TCSEC）TCSEC 標準是計算機系統(tǒng)安全評估的第一個正式標準，具有劃時代的意義。可信計算機系統(tǒng)評價準則第一次提出可信計算機和可信計算基（TBC，Trusted Computing Base)的概念，并將 TBC 作為系統(tǒng)安全的基礎(chǔ)。該準則于 1970 年由美國國防科學(xué)委員會提出，1985 年，國防部國家計算機安全中心代表國防部制定并出版可信計算機安全評價標準，即著名的“桔皮書”。TCSEC 將計算機系統(tǒng)的安全劃分為 4 個等級、7

17、個安全級別，如表1所示:表 1 TCSEC 安全等級劃分等級分類保護等級D類:最低保護等級D級:無保護等級C 類：自主保護級C1級:自主安全保護級C2級:控制訪問保護級B 類：強制保護級B1 級：標記安全保護級B2 級：結(jié)構(gòu)化保護級B3 級：安全區(qū)域保護級A 類：核查保護級A1 級：驗證設(shè)計級4.3息安全評價標準（ITSEC）ITSEC 是英國、法國、德國和荷蘭制定的 IT 安全評估準則6，較美國軍方制定的 TCSEC 準則在功能的靈活性和有關(guān)評估技術(shù)方面均有很大的進步。ITSEC 是歐洲多全評價方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。該標準將安全概念分為功能與評估兩部分。功能準則從F1F

18、10共分10級。15 級對應(yīng)于 TCSEC 的 D 到 A。F6 至 F10 級分別對應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的性以與性和完整性的網(wǎng)絡(luò)安全。評估準則分為 6 級，分別是測試、配置控制和可控的分配、能訪問詳細設(shè)計和源碼、詳細的脆弱性分析、設(shè)計與源碼明顯對應(yīng)以與設(shè)計與源碼在形式上一致。 5.信計算亟待研究的領(lǐng)域目前可信計算研究存在理論滯后于應(yīng)用，部分關(guān)鍵技術(shù)尚未攻克，缺乏配套軟件系統(tǒng)。根據(jù)以上分析，這里總結(jié)可信計算亟待研究的領(lǐng)域。可信計算亟待研究的領(lǐng)域包括三部分。 5.1技術(shù)方面關(guān)鍵技術(shù)方面可研究領(lǐng)域包括 7 個方面：可信計算的系統(tǒng)結(jié)構(gòu)，包括可信計算平臺的硬件

19、結(jié)構(gòu)與可信計算平臺的軟件結(jié)構(gòu)；TPM 的系統(tǒng)結(jié)構(gòu)：TPM 的硬件結(jié)構(gòu)，TPM 的物理安全，TPM 的嵌入式軟件；可信計算中的密碼技術(shù)：公鑰密碼，傳統(tǒng)密碼，HASH 函數(shù)，隨機數(shù)產(chǎn)生；信任鏈技術(shù)：完整的信任鏈和信任的延伸；信任的度量：信任的動態(tài)測量、存儲和報告機制，軟件動態(tài)可信測量；可信軟件：可信操作系統(tǒng)、可信編譯、可信數(shù)據(jù)庫、可信應(yīng)用軟件；可信網(wǎng)絡(luò)：可信網(wǎng)絡(luò)結(jié)構(gòu)、可信網(wǎng)絡(luò)協(xié)議、可信網(wǎng)絡(luò)設(shè)備、可信網(wǎng)格。 5.2理論方面可信計算基礎(chǔ)理論方面?zhèn)€科研究領(lǐng)域包括以下4 個方面：可信計算模型：可信計算的數(shù)學(xué)模型、可信計算的行為學(xué)模型；可信性的度量理論：信任的屬性與度量、軟件的動態(tài)可信性度量理論與模型；信任鏈理論：信任的傳遞理論、信任傳遞的損失度量；可信軟件理論：軟件可信性度量理論、可信軟件工程、可信程序設(shè)計方法學(xué)、軟件行為學(xué)。 5.3計算的應(yīng)用可信計算技術(shù)的應(yīng)用是可信計算發(fā)展的根本目的。可信計算技術(shù)與產(chǎn)品主要用于電子商務(wù)、電子政務(wù)、安全風(fēng)險管理、數(shù)字管理、安全監(jiān)測與應(yīng)急響應(yīng)等領(lǐng)域。6.結(jié)束語目前可信計算已經(jīng)成為世界信息安全領(lǐng)域的一個新潮流。可信計算技術(shù)是一種行之有效的信息安全技術(shù)。可信計算機與普通計算機相比，安全性大大提高，但可信計算機目