1、空天信息安全與可信計算教育部重點實驗室武漢大學計算機學院匯報人：徐明迪2009年7月18日第二屆中國信息安全博士論壇可信計算平臺測評理論與技術Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.報告提綱二總結 1可信計算平臺測評概念可信計算平臺測評系統一三Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyr

2、ight 2004-2011 Aspose Pty Ltd.一、可信計算平臺測評概念可信計算平臺測評可信計算產品已經開始走向應用幾乎所有的著名筆記本電腦都配置了TPM芯片OpenTC和IBM分別各自推出了開源的可信計算軟件我國政策規定根據中國國家信息安全測評認證管理辦法的規定，信息安全產品必須經過測評認證才能實際應用可信計算平臺測評可信計算平臺的標準一致性測試可信計算平臺的安全性測試可信計算平臺的可靠性測試Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2

3、011 Aspose Pty Ltd.一、可信計算平臺測評概念國內外研究現狀德國波鴻大學發現主流的TPM在不同程度上都存在與標準不符合的問題匈牙利布達佩斯大學將白盒測試和Fuzzing技術相結合，發現OpenTC項目中的TSS的若干Bug和遠程溢出安全漏洞中國科學院軟件所TCM、TSM測試國內外尚沒有可信計算平臺測評的完整的理論、技術和測評系統Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.報告提綱一總結1可信計算平

4、臺測評概念可信計算平臺測評系統二三Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.二、可信計算平臺測評系統測試依據TCG的規范我國國家密碼管理局制定的可信計算平臺密碼方案、可信計算密碼支撐平臺功能與接口規范和國信辦主持制定的一系列可信計算技術規范。提出“一套框架多套技術”測評對象：可信計算平臺的主要可信特征測評層次：TPM，信任鏈，TSSEvaluation only.Created with Aspose.Slid

5、es for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.二、可信計算平臺測評系統TCP測評可信計算平臺安全測評原型系統可信計算平臺安全規范標準一致性測試子系統可信計算平臺安全規范漏洞掃描測試子系統可信計算平臺安全規范滲透性測試子系統可信計算平臺安全測評理論與技術可信計算平臺可信特征描述方法可信計算平臺的測試方法可信計算平臺安全評估方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyrig

6、ht 2004-2011 Aspose Pty Ltd.1、可信特征描述方法信任鏈特征描述 可信PC信任鏈交互模型為了能夠抽象出信任鏈規范中的角色進程，建立不同角色之間的交互關系，我們將可信計算平臺抽象為三個實體：可信平臺模塊(TPM)可信度量根(RTM)軟硬件所組成的系統(System)Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.1、可信特征描述方法信任鏈特征描述(Cont.)基于Biba模型的TCG信任鏈安全

7、性分析依據Biba模型將信任鏈中的節點分為主體和客體根據信任鏈的傳遞次序給節點建立安全級別將信任鏈中的度量操作、創建日志操作和迭代PCR操作轉換為“讀”、“寫”、“執行”和“追加”操作分析信任鏈建立過程中是否存在違背安全規則的行為Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.1、可信特征描述方法TPM 特征描述TPM應用編程接口安全模型語法系統借助安全協議分析的思想，將API的執行表征為一組輸入/輸出知識的邏輯公式

8、集。根據規范表述，提取與系統安全特征相關的知識集定義攻擊者能力，通過API調用和離線密碼運算得到內部保護的秘密。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.1、可信特征描述方法TPM 特征描述(Cont.)推理系統與自動證明待驗證的安全目標以定理的形式描述利用歸結原理和反例搜索的方法，驗證安全目標能否在模型中成立，若不成立，搜索結果即反映出一組有效的攻擊序列。通過集成的可執行狀態判決機制，在一定程序上緩解了狀態空

9、間爆炸的問題。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.1、可信特征描述方法TSS特征描述TSS要為可信計算平臺的應用層提供完整性保護、身份可信性認證、數據安全性保護等可信特征功能；通過對不同TSS的規范進行分析和抽取，定義出TSS的可信特征；遵照不同規范的TSS產品實現機制會有不同，但只要TSS能實現相對應可信特征功能，同樣能達到安全的要求。Evaluation only.Created with Aspo

10、se.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.2、可信計算平臺的測試方法信任鏈測試方法基于規范的分層測試模型基于系統層次的信任鏈測試結構劃分基于動作約簡的事件和狀態測試Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.信任鏈測試方法(Cont.)基于系統層次的信任鏈測試結構劃分結合PC啟動的一般流程，信任

11、鏈的測試結構可劃分為：CRTM定義為信任鏈的最底層，它是完整性度量的起始點，也是事件日志的創建者CRTM所創建的事件日志定義為中間層，它是構建信任鏈的依據事件所產生的平臺狀態定義為最高層，它決定信任傳遞的正確與否2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.2、可信計算平臺的測試方法信任鏈測試方法(Cont.)基于動作約簡的事件和狀態測試依據RTM與TPM, System之間的交互關系通過

12、交互關系建立System動作集合和信任鏈狀態之間的有向圖從測試的角度出發進行約簡,消去影響信任鏈測試的內部動作和不可達狀態通過約簡后的有向圖得到適合信任鏈規范測試的測試例集合,并生成測試用例,對信任鏈系統進行一致性測試Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.2、可信計算平臺的測試方法信任鏈規范說明對應的LTS系統經過約簡后得到的信任鏈規范實現LTS系統信任鏈測試方法(Cont.)基于動作約簡的事件和狀態測試E

13、valuation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.2、可信計算平臺的測試方法TPM測試方法基于特征提取的功能關聯測試模型基于功能劃分的TPM測試結構基于特征提取的TPM基本功能依賴集合生成基于狀態機理論的規范一致性測試Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspo

14、se Pty Ltd. TPM測試方法(Cont.)基于功能劃分的TPM測試結構根據規范定義的TPM所必須具有的功能，將TPM功能橫向劃分為：將TPM基本信息劃分為最底層，它是其它所有功能的基礎將TPM密碼服務劃分為中間層，它為TPM可信服務提供密碼算法保障將TPM可信服務劃分為最高層，它為整個平臺提供完整性和安全性的應用與保障2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.TPM測試方法(

15、Cont.)基于特征提取的TPM基本功能依賴集合生成根據提取的TPM功能以及它們之間的關系，將提取的功能之間的縱向關系總結為基本功能依賴集，根據基本功能依賴集擴展可得到所有功能的測試順序。2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd. TPM測試方法(Cont.)基于狀態機理論的規范一致性測試根據提取的功能依賴性，對TPM規范進行了狀態機建模，通過比較測試時的狀態機模型與TPM規范的狀態機

16、模型，判斷被測試的TPM是否達到規范一致性。下圖為建立的TPM正常運行狀態下部分狀態機示意圖。2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.TSS測試方法基于反射機制的分層測試框架TSS測試的功能結構劃分基于反射機制的TSS測試框架基于靜態分析與Fuzzing的安全測試2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .

17、NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.TSS測試方法(Cont.)TSS測試的結構劃分根據TSS規范所定義的內容劃分測試的層次功能結構如下：TSP層測試:包括上下文管理測試、策略管理測試、TPM管理測試、密鑰管理測試等；TCS層測試:包括密鑰證書管理測試，事件管理測試，參數塊產生測試等；TDDL層測試:包括對TDDL接口的測試。2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.

18、0.0.Copyright 2004-2011 Aspose Pty Ltd.TSS測試方法(Cont.)基于反射機制的TSS測試框架不同TSS規范中定義的函數信息有差異，被測函數繁多且測試流程是動態組合的通過建立通用的程序框架，將被測函數的相關信息存入數據庫中，利用Java反射機制調用被測試函數并獲取相應參數信息；測試程序有良好的通用性和擴展性。2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Lt

19、d.TSS測試方法(Cont.)靜態分析（符號執行）與隨機化測試（Fuzzing測試）分析測試可信軟件棧（TCG Software Stack, TSS）設計與實現中的安全缺陷與漏洞基于TSS分層封裝特點，針對TSPI應用接口與TCSI網絡接口的API函數進行安全測試。測試框架與測試用例的構造建立在對API序列語義分析與參數語法分析的基礎上進行。測試方法兼顧程序靜態分析與隨機測試，通過具體的測試用例觸發安全缺陷。2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .

20、Copyright 2004-2011 Aspose Pty Ltd.TSS測試方法(Cont.)靜態分析（符號執行）與隨機化測試（Fuzzing測試）面向缺陷的軟件自動化測試方法研究使用符號執行+約束求解的方法自動遍歷程序內部執行路徑使用隨機構造的測試用例配合符號執行，提高效率和準確性用斷言和抽象解釋的方法顯式定義待檢測缺陷的屬性2、可信計算平臺的測試方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.3、可信計算

21、平臺安全測評原型系統Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.3、可信計算平臺安全測評原型系統信任鏈測試測試對象符合TCG規范的可信計算平臺：HP6400、HP6230和ThinkPad R61i符合中國可信計算密碼支撐平臺功能與接口規范的國內兩種可信計算機測試目標基于Biba模型，對平臺信任鏈的完整性進行評估通過結果分析，對平臺信任鏈的關鍵技術點進行評估，并判斷各個測試平臺對于可信計算平臺規范的實現程度以及與

22、規范的匹配程度通過一致性測試和安全測試之間的映射關系，找出當前可信計算平臺存在的內部安全隱患Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.信任鏈測試部分測試界面3、可信計算平臺安全測評原型系統Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd

23、.信任鏈測試測試結果及分析HP6400、HP6230、ThinkPad R61i和國內兩種可信計算機的信任鏈實現程度分別為：81.82%，72.72%，18.18%，9.09%，9.09%被測裝載TCG TPM1.1平臺的大部分測試都不滿足要求，僅提供了TPM驅動和TPM訪問接口國內外一些被測樣機，基本上沒有實現信任鏈。3、可信計算平臺安全測評原型系統Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd. TPM 測試測試

24、對象按照中國可信計算密碼支撐平臺功能與接口規范的可信平臺模塊： 某國產品牌樣片測試目標基于狀態機模型，對可信平臺模塊進行安全功能的規范一致性測試，總結各個功能模塊的規范符合程度通過結果分析，判斷各個可信平臺模塊對于規范的匹配程度3、可信計算平臺安全測評原型系統Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd. TPM 測試部分測試界面3、可信計算平臺安全測評原型系統Evaluation only.Created wit

25、h Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd. TPM 測試測試結果及分析從統計結果可以看出：HP Infineon TPM 1.1、ThinkPad Atmel TPM 1.2和某國產品牌樣片的規范符合度分別為：92.66%、80.19%和82.92%。 3、可信計算平臺安全測評原型系統Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 20

26、04-2011 Aspose Pty Ltd. TSS測試測試對象測試目標對可信軟件棧進行安全功能的規范一致性測試，總結各個功能模塊的規范符合程度通過結果分析，判斷可信軟件棧對于規范的匹配程度3、可信計算平臺安全測評原型系統Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile .Copyright 2004-2011 Aspose Pty Ltd.TSS測試界面部分測試界面3、可信計算平臺安全測評原型系統Evaluation only.Created with Aspose.Slides for