可信安全-1-安全可信网络安全观

胡俊老师可信计算3.0工程初步系列课程笔记

传统安全机制

• 防火墙、防病毒、入侵检测，统称被动防御措施
• 比被动防御措施更传统的安全机制–访问控制

可信计算

• 可信-> 可预期性
• 根据行为预测，在计算的同时进行安全防护，让计算可测可控，不受干扰

可信计算与安全

• 信息安全有两个基本属性：安全功能和安全保障
• 安全功能是指所实现的具体功能，安全保障是指功能的强度
• 只有能够预期的安全行为，才可以讨论安全保障强度
• 可信安全支撑的、以访问控制为核心的、安全机制

访问控制

• 访问控制的基本模型：引用监视器模型（独立、最小化、不可旁路）
  - 困难：机制（兼容性、互联互通）、功能（语义断层、动态策略）、保障（防旁路、防篡改）
• 可信计算（作为技术）可以为访问控制的上述问题提供解决途径

可信计算发展阶段

	可信1.0（主机）	可信2.0	可信3.0
特性	主机可靠性	节点安全性	公钥、对称双密码主动系统免疫
对象	计算机部件	PC单机为主	终端、服务器、存储系统体系可信
结构	冗余备份	功能模块	宿主+可信双节点平行架构
机理	故障诊查	被动度量	基于网络可信服务验证
形态	容错算法	TPM+TSS	动态度量实时感知

网络安全的三个基本问题

• 科学计算问题：图灵计算模型（少攻防理念）
• 体系结构问题：冯诺依曼架构（缺防护部件）
  安全可信策略管控下的运算和防护并存的主动免疫的新计算体系结构：构建一个防护部件组成的可信子系统，在计算的同时进行安全防护。

• 计算模式问题：重大工程应用（无安全服务）

CUBE架构

开源cube架构（工大可信计算实验室开发）
架构源码网址：https://gitee/com/biparadox/cube-1.3
可信软件基：以策略处理和策略传递为核心，具有可信资源使用、管理和调度功能的分布式事件驱动操作系统核。
实现方法：

• c语言实现的轻量级消息驱动
• 针对安全需求提供软件定义的记录格式解析和消息路由功能
• 由框架和构建模块组成
• 尽量降低对宿主系统的依赖性

按照功能独立-逻辑独立-物理独立三个过程实现独立的可信软件基

• 功能独立：可信软件基的功能实现不使用其他模块的功能（已实现）
• 逻辑独立：可信软件基不调用任何计算部件的软件（已有方案）
• 物理独立：讲可信软件基移植到TPCM或专用CPU核上
  

cube核心架构

cube核心架构主要功能：

• 数据格式定义、解析与转换
• 内存记录数据库
• 消息处理
• 子模块载入、管理与调度
• 消息路由设置

中间层：cube功能组件集

• 基础功能组件集：消息产生、显示、文件传输、websocket数据通路

TCM(TCM可信密码模块)

1. 以国内密码算法为基础。
2. 采用对称和非对称密码相结合。
3. 采用双证书体系（平台证书和用户证书）。

TCM使用的算法包括：非对称密码算法、对称密码算法和杂凑算法。