基于Tripwire及TPM的完整性检测方法研究.pdf

基于Tfipwire及TPM的完整性检测方法 李伟楠石文昌 中国人民大学信息学院 中国人民大学数据工程与知识工程教育部重点实验室 摘要：完整性检测是可信计算中一项重要的研究课题。本文介绍完整性检 TPM的不同并将两者结合。探讨Tripwire存在的问题，引入文件修改位的概念， 使得用户能够更容易分析完整性检查的结果。 TPM可信计算 关键词：完整性检测Tripwire 1 引言 在网络中，我们希望交互的双方能够建立一个相互信任的环境，可信环境的 建立依赖于可信计算，而完整性度量恰恰是可信计算的关键。 可信问题要研究的本质是信任问题，信任问题从根本上来说是实体行为的可 预测性和可控制性，即实体的完整性，因此，检测和维护实体的完整性就成了可 信计算追逐的目标。 对于实体完整性的检测，从上世纪70年代末G．H．Nibaldi提出可信计算的 概念、建立可信计算基(TCB)开始，研究人员在之后的几十年里从硬件和软件 各个角度提出了实体完整性检测的方法。 可信平台模块(TPM)[41正是利用硬件度量实体完整性的代表，它以硬件PCR 中存储的特征值作为信任根，系统启动时，通过计算系统软件的特征值与保存在 硬件中的特征值进行比较，建立起软件的可信链，从而实现软件可信，完成软件 的完整性度量。 资助。 ·177· 第十八届全国信息必威体育官网网址学术会议(IS2008)论文集 COPS、TAMU、ATP等工具简单审计的不足，在分布式系统中应用广泛。 本文首先介绍Tripwire的原理、应用以及存在的问题。然后，针对改进的 Tripwire结构提出一些应用建议，在软件实现完整性检测的基础上分析引入硬件的 优点，将TPM与Tripwire进行结合，以期为完整性检测提供了更好的方法。 2实体完整性 所谓完整性，是指实体按照预期的方式执行，实体的行为可以预测并且可以 控制。在建立可信环境保护信息安全时，完整性是其中最关键的一环。随着电子 商务与电子政务的兴起，如何在网络交互的环境中证明自己的可靠性，同时验证 对方的可信越来越多的引起用户的关注。无论是必威体育官网网址系统还是金融系统，我们更 为关注的是系统是否执行了未经授权的修改操作。 完整性检测的方法多种多样，但它们有一个共同的前提：首先要求建立一个 可以信任的基准，记做信任根，然后由该信任根逐步扩展，根据特征值和数字签 名验证其他实体的完整性。 完整性研究几十年的历史中，安全人员提出了各种完整性检测的方法模型， 这其中有着眼于硬件的如TPM，还有大部分软件工具，如Tripwire等。 3基于Tripwire的完整性检测 3．1 Tripwire的体系结构 Tripwire的目标十分简单，它仅仅要求能够报告系统中文件的改变，而对修改 文件的操作则不予考虑，这在一定程度上简化了完整性检测工具的设计。 结构框架。 们仅使用一个tw．config文件指定要保护的文件，同时该配置文件并未加密存放， 而在商业版的Tripwire中，开发人员加入了tw．pol策略文件指明要保护的文件， 将配置文件单独分离出来记录密钥、数据库路径、完整性保护等级等配置信息， ·178· 基于Tfipwim及TPM的完整性检测方法 图1 ， Tfipwire总体框架 这样就使得两个文件分工更明确，便于系统管理员进行设置，同时它还加入了两 个密钥文件对数据库、配置文件和策略文件进行加密，提高了防篡改能力，但如 何管理密钥却成了新的问题。 3．2 Tripwire的工作原理 Tfipwire作为一个广泛使用的完整性检测工具，其基本思想可以归纳为：首先 计算所有要保护文件的特征值，保存在数据库中，作为之后检测的基准数据，然 后在每次检测时，调用特征值的函数Siggen计算当前要保护文件的特征值，与保 存的基准值进行比较，若相同时文件完整性保持，若不同时则认为完整性可能被