解析可信计算(1):信息安全与可信

解析可信计算(1):信息安全与可信

作者: 寂静的海,  出处:IT专家网, 责任编辑: 张帅, 
2009-01-16 21:42
  可信是对已有安全体系的增强,是一种解决安全问题的方法,传统的安全防护体系和方法并不会消失,在未来的很长时间里,可信计算平台与非可信计算平台将互相融合,并朝着更加安全的系统形式发展。

  【IT专家网独家】互联网最早是服务于军事与科研的,网络相对封闭,主要用于技术人员之间文件传输和消息传递。此时,所有用户都是可以信任的,网络协议与应用是建立这种假设基础上的。这种基于信任与匿名的假设在很大程度上促进了互联网的迅速普及。

  1993 年, P.Steiner 在《NEW YORKER》上发表了 “On the Internet,nobody knows you ' re a dog” 漫画和评论,真实写照了“ 虚拟 ”的互联网。互联网的虚拟在给人以巨大包容和开放性的同时,还带来很多欺诈和犯罪行为,再加上系统客观存在的各种各样的漏洞,就产生了一系列信息安全问题。而随着互联网日益深入到社会的政治、军事、经济、文化、生活等方方面面,信息社会必须建立信任保障体系,建立体系化的安全机制。信息安全就是要在开放包容与安全可控、匿名隐私与实名确认之间找到一个平衡点。

  信息安全与“可信”具有千丝万缕的联系。在日常的生活中,“可信”是谈论得较多的话题,可以信任,可以信赖等等。“可信”本身是一个多层次、多范畴的概念,它是一个相对的概念,比较模糊。在谈到信息安全时,可信同样有不同的理解与解释,在不同的上下文,在不同的应用领域,可能其内涵都不一样。“可信”既是信息安全的目标,也是一种方法。

  传统的信息安全主要通过防火墙、病毒检测、入侵检测及加密等手段实现,是以被动防御为主,结果是不仅各种防御措施花样层出,防火墙越砌越高、入侵检测越做越复杂、恶意代码库越做越大,但是信息安全仍然得不到有效保障。 现在研究“可信”的主要目的就是要建立起主动防御的信息安全保障体系。

  可信计算的历程

  可信是通过可信计算达到的一种状态。容错计算、安全操作系统、网络安全、信息安全等领域的研究使可信计算的含义不断拓展,由侧重硬件的可靠性、可用性,到针对硬件平台、软件系统服务的综合可信,再到可信网络连接、网络可信等,一步步适应了 Internet 应用不断发展的需要。

  在计算机领域,“ 可信 ”主要是从容错计算发展而来,2000 年 IEEE 国际容错计算会议 (FTCS) 与国际信息处理联合会 (IFIP)10.4 工作组关键应用可信计算工作会议合并,并改名为 IEEE 可信系统与网络国际会议 (ICDSN) 。在容错计算领域,可信性被定义为计算机系统的一种性质,它所提供的服务是用户可感知的一种行为,并可以论证其可信赖,而用户则是能与之互动的另一个系统 ( 人或者物理的系统 ) 。因为“可靠 (Dependability)” 而“可信”,因此容错计算又称为“ 可靠计算 ”(Dependable Computing) 。容错计算领域的可信性包括可用性、可靠性、可维护性、安全性、健壮性和可测试性等。

  上个世纪80年代中期,美国国防部国家计算机安全中心代表国防部为适应军事计算机的保密需要,在 70 年代的基础理论研究成果 " 计算机保密模型 " 的基础上,制定并出版了 " 可信计算机安全评价标准 "(TCSEC) 。在 TCSEC 中第一次提出可信计算机和可信计算基 TCB (Trusted computing base) 的概念,并把 TCB 作为系统安全的基础。 1987 年 7 月,针对网络、安全的系统和数据库的具体情况又做出了三个解释性文件,即可信网络解释 TNI(Trusted Network Interpretation) 、计算机安全系统解释和可信数据库解释 TDI(Trusted Database Interpretation) ,形成了安全信息系统体系结构的最早原则。

  欧洲于2006年1月启动了名为“开放式可信计算 (pen Trusted Computing) ”的研究计划。

  1993年1月,美国公布了融合欧洲的 ITSEC 的可信计算机安全评价准则之联邦准则。

  1999年10月为了解决 PC 机结构上的不安全,从基础上提高其可信性,由几大 IT 巨头 Compaq 、 HP 、 IBM 、 Intel 和 Microsoft 牵头组织了可信计算平台联盟 TCPA(Trusted Computing Platform Alliance) ,成员达 160 家。 TCPA 定义了具有安全存储和加密功能的可信平台模块( TPM ),并于 2001 年 1 月发布了基于硬件系统的 “ 可信计算平台规范 ”(v1.0) 。 2003 年 3 月 TCPA 改组为 TCG(Trusted Computing Group) ,其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性,扩展可信的范围。

  在可信计算领域,现在的情况是技术超前于理论,具有 TPM 功能的 PC 机已经上市( IBM、HP等),微软提出了NGSCB (Next-Generation Secure Computing Base)的可信计算计划,并在操作系统 VISTA 支持可信计算机制。 Intel 为支持可信计算,推出相应的新一代处理器和相应的处理技术。现在支持 TCG 规范,包含 TPM 的计算机已占北美市场的60%,并还在迅速提升中。

  可信的概念

  在计算机应用环境中,对 “ 可信 ” 有多种解释。目前,关于可信尚未形成统一的定义,主要有以下几种说法。

  可信计算组织 TCG 用实体行为的预期性来定义可信:如果一个实体的行为总是以预期的方式,朝着预期的目标,则该实体是可信的。其基本思想是在计算机系统中首先建立一个信任根,再建立一条信任链,一级测量认证一级,一级信任一级,把信任关系扩大到整个计算机系统,从而确保计算机系统的可信。

  ISO/IEC 15408 标准定义可信为:参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和物理干扰。

  微软公司比尔·盖茨认为可信计算是一种可以随时获得的可靠安全的计算,并包括人类信任计算机的程度,就像使用电力系统、电话那样自由、安全。

  我国著名的信息安全专家屈延文教授的《软件行为学》把“可信”解释为“可信性是考察行为预期性的满足,这种预期性满足是在多主体多行为范畴内,实现对行为性质、行为输入输出、行为过程、行为属性等方面符合必须遵守的要求、约定、规定、规则、法律的满足性认识与评价。”

  其它的一些解释还有:可信是指计算机系统所提供的服务是可以论证其是可信赖的;如果一个系统按照预期的设计和政策运行,这个系统是可信的;当第二个实体按着第一个实体的期望行为时,第一个实体可假设第二个实体是可信的等等。这些解释都从不同角度诠释了可信的内涵与外延。

  在信息安全领域,可信研究主要着力于解决信息世界当前所面临的普遍的安全威胁和不可信危机,其中TCG 组织的“可信”的定义受到更多的关注, TCG 也有更多的实践。

  对于可信,应当看到:

  (1)“可信”包含 TCG 的内容,包含微软的NGSCB,但不等于这些。TCG不保证终端的内容和行为的可信。可信包含可信计算,但内涵与外延更大。

  (2)“可信”包含终端但不只针对终端,尽管可信计算研究源于终端可信。“ 可信 ”不仅要包含传统的网络安全技术,而且要能够体现当前的和未来的信息安全要求,应该放到“ 传统的网络安全技术不能解决当前复杂的网络安全问题”这一大背景下。

  (3)“可信”应体现与“ 可信系统与网络(容错计算)”的交叉与融合。

  (4)“可信”不是一套规范,也不是一个具体的安全产品或一套针对性的安全解决方案,而是一个有机的信息安全体系。

  (5) 可信的目标是网络可信,主要关注内容是网络元素及其行为以及网络元素之间的行为;

  ( 6 )可信计算≠绝对安全。“没有绝对的安全”这一定律并不会因为可信计算平台的普及而失效,可信计算并不能解决所有的安全问题,可信计算平台只是提供了一个支点。

  可信计算在中国

  我国在可信计算技术研究方面起步较早。在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作,并取得了可喜的成果。

  早在九十年代,我国就开发了PC机安全防护系统,实现了可信防护,其结构、功能与TCP类同。

  2000年,国内公司开始可信安全计算机的研发工作。2004 年,推出自主知识产权的可信计算机产品,国密局鉴定为“国内第一款可信安全计算平台”。

  联想集团和中科院计算所安全芯片的研发工作2003年在国密办立项,2005年4月完成。其安全芯片和可信P 平台已通过国密局主持的鉴定。其后长城和联想也相继推出了各自的可信安全计算机产品。

  2005年4 月,兆日科技推出符合可信计算联盟(TCG)技术标准的 TPM 安全芯片,并与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国密局主持的鉴定。

  应用集成的企事业单位也纷纷提出了可信应用框架,如天融信公司的可信网络框架与可信网络世界、卫士通公司的终端控制系统、鼎普公司的可信存储系统等。

  2005年1月,我国成立国家安全标准委员会 WG1 可信计算工作小组专门规划相关标准,现在已经推出了《 可信计算密码支撑平台技术规范 》等几个标准。

  2002 年成立了中国信息产业商会信息安全产业分会,之后几年相继出版了《软件行为学》、《银行行为监管》、《银行行为控制》、《信息化的科学梦 --- 从计算机科学到信息化科学》、《 CPK 标识认证》等理论专著,并正式提出了可信网络世界体系结构框架( Trusted Cyber Architecture Framework ,简称 TCAF )。 TCAF 计划针对中国信息化的体系结构设计核心可信平台以及体系结构与标准化方法的概念、模型、方法、定义、引用和分级进行了描述与说明。

  2008 年4月底,中国可信计算联盟 (CTCU ) 在国家信息中心成立。现已有 20 家正式成员,包含计算机厂商、信息安全厂商和一些应用厂商,以及国家的科研院所。 CTCU 的成立标志着中国在可信计算领域和信息安全的一次成功的尝试,标志着可信计算由理论逐步转化为产业,转入到实质性的实现阶段 , 并逐步开始应用到政府、军事等领域。

  可信网络连接

  可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互连可信、互联网交易等应用系统可信等。从范围上讲有计算机系统可信、局域网可信、专用网可信和大规模互联网可信等。从访问控制角度看,可以分为主体身份可信,主体间行为的可信,内容可信等。

  对于一般用户,相对更关注“网络互连可信”。 网络互连可信包括用于网络连接的物理设备可信、传输可信和可信接入等几个方面。对于用于网络连接的物理设备可信,包括两层: (1) 物理设备本身,即物理设备本身是否可靠,是否可以采用容错计算技术;

  (2) 设备的位置安全、限制物理访问、物理环境安全和地域因素等,可以通过可信管理方法解决。

  可信传输是指为网络实体间在网络交换过程中的发信、转发、接受等提供可信证据,就像现实社会中的邮件,每经一个邮局就要加盖一次印章一样,在每一次转报过程中都要提供经手的证明。但是,目前的网络协议,对如何保证安全传输的问题考虑得不够,更谈不上可信传输了。如作为 Internet 灵魂协议的 TCP/IP ,存在着很大的安全隐患, TCP 扫描攻击、协议栈指纹鉴别、 IP 欺骗、 DNS 欺骗、 DoS 等都是利用了 TCP/IP 的缺陷。如何解决可信传输,目前较好的解决办法是修改网络协议,如 MPLS 、 ATM 和 IPv6 等协议。另外一种方式是利用 IPSEC/SSL/L2TP 等 VPN 技术与产品实现可信传输,同时还可以辅以常规的安全手段。

  可信接入即网络的准入控制,符合要求(即满足预期)的终端才被允许接入网络,并被赋予相应的权限。网络准入技术包括平台身份认证、终端环境的完整性检查、网络状态检查、授权、访问控制、隔离及补救等。典型的解决方案有: (1) TGG 的可信网络连接 (Trusted Network Connection , TNC) , TNC 侧重与 TPM 绑定的主机身份鉴别与主机完整性验证,是一种开放的工业标准; (2) Cisco 自动防御网络 (Self-Defending Network , SDN) 的 “ 网络准入控制 (Network Admission Control , NAC)” , NAC 构架中接入设备的位置占了很大的比例,或者说 NAC 自身就是围绕着思科的设备而设计的; (3) 微软的网络访问保护( Network Access Protection NAP ), NAP 则偏重在终端 agent 以及接入服务 (VPN 、 DHCP 、 802.1x 、 IPsec 组件 ) 。

  可信是对已有安全体系的增强,是一种解决安全问题的方法,传统的安全防护体系和方法并不会消失,在未来的很长时间里,可信计算平台与非可信计算平台将互相融合,并朝着更加安全的系统形式发展。

  虽然可信的理论研究相对滞后,可信的应用需要开拓,可信的一些思想存在争议,但是不论是对全球互联网的发展,或是对国家的信息安全,或对安全产业界,可信都是巨大的机会。在中国,政府、金融、电信、电力等的采购始终占据着信息安全市场相当高的比例,可信对这些用户有着巨大的吸引力。

你可能感兴趣的:(信息安全)