可信计算平台理论和其体系架构(节选).docx

可信计算平台理论及其体系架构2.1 可信计算平台2.1.1 可信计算可信的概念，根据TCG(Trusted Computing Group)从行为学角度的定义为：如果一个实体的行为总是以期望的方式，达到预期的目的，我们认为它是可信的。TCG的可信概念是行为可信，建立在以可信测量、可信报告、可信管理等为基础的可信计算平台概念上。可信的概念体现着信息安全观念的发展[5][17]，这种安全观念的发展在于建立一种新的体系，即计算机系统的信息安全应该由用户决定，而不是由计算机硬件生产商和操作系统等软件开发商来决定。一个系统是否可信与是否安全是有区别的。如果一个系统是安全的，说明该系统在安全技术领域中实施了一定条件下相对较为安全的功能，且具有相对较为安全的服务能力，但该系统所提供的这些安全功能和服务能力是否真的安全，该系统的用户并不能确定的对系统建立信任。如果一个系统是可信的，说明该系统不仅实施了一定条件下相对较为安全的功能，且具有相对较为安全的服务能力，还向该系统的用户提供了用于考察该系统是否可信的能力，能够做到让系统的用户和管理者建立对系统的安全信任，让用户在使用系统提供的安全功能的同时，还对系统产生信任。2.1.2可信计算平台技术背景所谓平台是一种能向用户发布信息或从用户那里接收信息的实体。可信计算平台则是能够提供可信计算服务的计算机软硬件综合实体，它能向系统提供可靠性、可用性和信息的安全性。可信计算平台是指一种能提供可信计算服务的计算机软硬件平台，它基于可信平台模块TPM(Trusted Platform Module)，以密码技术为支持，以安全操作系统为核心，目标是成为信息安全领域中起关键作用的体系结构。现有计算平台是开放平台，它具有广泛的灵活性，但基于其硬件和第三方很难建立起完整的信任关系，这是现有计算平台安全性缺陷的根本所在。为保证信息安全，一些机构和组织研发出封闭式平台，但这种平台的局限性很大，它要求必须使用专用的硬件设备和专用的软件程序，用户必须通过专用接口进行通讯，这种方案通常只能用于特定的应用环境，如军事应用环境等某些特定的应用环境。封闭式平台的好处是安全性较高，但其缺点也很致命，它不能被广泛的用户普及使用。基于这两方面基础上提出了可信计算平台。可信计算产品主要用于电子商务、安全风险管理、数字版权管理[18][19][20]、安全监测与应急响应等领域。2.1.3可信计算平台功能结构TCG认为如果从一个初始的“信任根”出发，在平台计算环境的每一次转换时，这种信任状态都可以通过传递的方式保持下去而不被破坏[21]，那么平台上的计算环境将保持在可信的状态中，在可信环境下的各种可信的操作也不会破坏平台的可信状态，平台本身的完整性也就可以得到保证，平台将一直处于安全状态，这称为信任的传递机制。可信不是指行动的可靠性，它是指经常性的活动，即行为，一次行动可以得出安全性结论，但不能得出可信性结论，安全是可信的必要条件，但不充分。可信的概念涵盖了主题、客体和行为三个方面的内容。另外，可信概念还表现在对事前的预警、事中的监督和事后的审查过程中。因此，计算机安全的概念[22]可以表示为：⑴把计算机的可信概念定义为行为可信概念；⑵把计算机的可信平台概念定义为行为完整性和系统完整性。可信计算平台是一个对本地用户和远程用户都可信的平台。为了让用户相信在计算平台中已经正确安装并正确运行着一个用户期望的启动过程、一个用户选择的操作系统和一系列用户选择的安全功能，在用户和计算平台之间必须建立信任关系[23]。平台的可信主要体现在以下四方面：⑴身份认证[24]，体现了平台对使用者的信任；⑵平台软硬件配置的正确性，体现了使用者对平台运行环境的信任；⑶应用程序的完整性和合法性，体现了应用程序运行的可信；⑷平台之间的可验证性，体现了网络环境下平台之间的相互信任。TCG认为，可信计算平台应具有数据完整性、数据安全存储和平台身份证明等方面的功能。一个可信计算平台必须具备四个基本技术特征：安全输入输出、存储器屏蔽、密封存储和平台身份的远程证明。可信计算的基本思想是：首先构建一个信任根，再建立一条信任链，从信任根开始到硬件平台，到操作系统，再到应用，一级认证一级，一级信任一级，把这种信任扩展到整个计算机系统，从而确保整个计算机系统的可信，可信计算机系统如图2-1所示。图2-1计算机的可信结构图可信计算平台是集合可信硬件和可信软件包括可信操作系统在内的一个可被本地用户和远程实体信赖的平台，它是可信软硬件的综合实体。可信计算平台重要基础部件主要包括可信平台模块TPM和TCG软件协议栈TSS(TCG SoftwareStack)[25]。可信计算平台可信的核心是被称为可信平台模块TPM的安全芯片[26]。在TPM中，有一系列平台配置寄存器PCR(Platform Con