翻开历史的封页
J. P. Anderson于1972年针对计算机的安全功能的设计,提出了一个较为具体的想法,建立可信系统 (Trusted System) ,这算是计算机诞生以后,人们首次具体思考、规划与设计计算机的安全功能的开始。1987年,第一个具有破坏性质电脑病毒C-BRAIN诞生了,业界都公认这是真正具备完整特征的电脑病毒始祖。而这个时期的计算机安全和我们现在理解得定义有着很大的出入。早期科学家们对可信赖计算机研究的内容主要集中在操作系统的安全机制、支撑它的硬设备和系统评估,这一时期的可信赖计算机被命名为:Dependable Computing,其与容错计算
研究领域有密切的关系。人们将关注点放在了组件随机故障、生产过程缺陷、定时或数值的不一致、随机外界干扰、环境压力等物理故障、设计错误、交互错误等人为故障造成的同系统失效状况,并设计出许多集成了故障检测技术、冗余备份系统
的高可用性容错计算机。这一阶段研发出的许多容错技术已被用于目前普通计算机的设计与生产。
TCG与可信计算
“可信计算”的概念开始在世界范围内被广泛接受已经是1999年了。由Intel、IBM、HP、Compaq (已被HP并购)及Microsoft发起组织了一个可信赖计算平台联盟(Trusted Computing Platform Alliance, TCPA),该联盟致力于促成新一代具有安全且可信赖的硬件运算平台。2003年4月8日TCPA扩展其宗旨与目标,重新组成现在的可信计算组织(Trusted Computing Group, TCG)。TCG原來TCPA强调建构安全硬件平台的初始宗旨上更进一步,将焦点投注到软件安全性的问题,目的是希望从操作环境的硬件组件和软件接口两方面制定可信计算相关标准与规范。可信平台模块(Trusted Platform Module .TPM)作为可信计算得核心,是指在计算机系统中嵌入一个可抵制篡改的独立计算引擎,使非法用户无法对其内部数据进行更改,从而确保了身份认证和数据加密的安全性。它并不像安全软件那样只能被动地抵抗病毒和黑客,而是在检测到系统数据被非法篡改后即自动恢复,以保证平台的完整性。这种办法从本质上提高了电脑自身的免疫力,弥补了电脑的先天不足,做到主动预防多种病毒的攻击。2003年10月TCG发布了“可信计算平台规范”1.2版,
作为目前个人计算机的安全性标准。针对不同的终端类型和平台形式制订出了一系列完整的规范,主要包括:
l 鉴别:计算机系统的用户可以确定与他们进行通信的对象身份;
l 完整性:用户确保信息能被正确传输;
l 私有性:用户相信系统能保证信息的私有性。
思“源”
人们在享受眩目的网络震撼同时,面临的安全风险也越来越大。有的时候,病毒危害、数据丢失、系统入侵、网络瘫痪对于用户的损害是致命的。于是大多数校园网在网络边界安装了防火墙、在桌面上安装了防病毒、使用信息加密技术传输和保存数据。在不断更新、升级补丁程序、加固整个校园网的举措中,仍然无法摆脱病毒、黑客等网络危机的魔咒。人们开始对网络本身的“信誉”产生了怀疑。经过多年的摸索以及厂商对于安全产品的更加合理化的趋势,网络安全经历了从“被动防御”向“主动防御”过渡;“产品叠加型”防御方式向“以策略管理”为核心的主动防御过渡;安全产品从“单一形式”向“集中管理(UTM)”过渡的阶段。经过了这样一个似乎完整合理的阶段后,人们开始回到起点思考问题,造成网络不可信的源头在哪里?黑客?漏洞?
以往的安全解决方案往往侧重于先防外后防内、先防Server后防Client,而可信计算则采取逆向思维,首先保证所有终端的安全性。PC是网络实体的最终部分,是安全最薄弱的地方,也是最核心的地方。这就需要我们对网络接入进行控制,进行策略的强制,从源头入手,把安全做进端点,通过确保网络中每一个“端点”安全措施的完整,来保护整个资源应用的稳定通畅。因此,要从根本上解决信息安全问题,必须考虑建立网络信任机制,只有网络中每一个个体都是可信的都能保证整个网络的可信。可信计算技术将从根本上解决现有计算机体系结构产生的病毒和安全问题,网络安全走进了第三次变革,也是重新回到起点
信任是安全的基础
可信赖计算的本意是确保计算过程不再受入侵威胁、计算结果安全可信:网络通过每一个主体的身份认证来确定一个主体及其所表明的身份是否一致;主体需要对其所关注的事件或信息内容的“真”、“假”程度进行判断,以确定这些信息是否可信,而做出这个判断的就是关注该信息内容的主体;从而确认每个主体之间行为的可信,主体之间是否是友善的行为。“可信平台模块”为我们提供了网络安全最基本的需求,实现了计算机安全概念的突破。
l 持续性度量
Trusted Computing首先解决的是可信的度量问题。也可以理解为前提安全评估,任何将要获得控制权的主体,都需要先接受可信度的评估。例如:从客户端加电直到运行环境的建立,度量过程都一直在进行,包括系统中的每一个硬件、操作系统以及应用软件都是可信的,遭受到病毒、木马威胁的计算机自动修复,达到接入等级。
l 数据安全
用户的密钥及身份证书在可信计算平台中是的唯一的身份标识的数据,TPM可以将这样的敏感数据存储在芯片内部的屏蔽区域,并将将用户的个人数据与芯片内封装的密钥绑定在一起。即便是数据被窃取,但由于数据已经与TPM平台绑定,而平台的信息已经发生了变化,因此其它用户也无法获取数据的内容。TPM平台真正做到就是实现了身份认证、授权访问控制和安全责任审计的“每客户”模式。
l 打破区域限制
可信计算所构建的网络信任系统是“无区域”网络。“深度防御(Defense in depth)”的概念是指用多个安全层次保护重要资产。例如重要的文件存放的带锁的房间里的带锁的文件柜中,而这个房间又在整个带锁的大楼里,大楼里还有警卫……。深度防御运用于网络已经很多年了,为保护重要的数据我们不得不将网络不平等的划分出信任等级,把相同等级的主体划分到一个区域里面,把数据一层一层的包裹的严严实实。但是,利用TPM管理的资源(包括密钥、加密存储的敏感数据),所有的访问必须通过TPM的授权协议来完成的,只有通过合法授权才能访问资源,最大限度的保护了敏感数据。如果每个系统都是可信的,每个行为都是授权的,而每个访问都是可控的,这些区域还有存在的价值吗?
“可信”最终为服务于应用
TCG所推出的规范大部分针对于硬件设施,作为全球最主要的操作系统供应商,微软力求在操作系统层面上有明显的突破。新版的Vista就是要挽回Windows是“不太可靠的操作系统”的坏名声,将可信计算技术融入到Windows操作系统当中
,其TMP架构包括:
1. 数据安全模块:目的是用来协助保护顾客资料安全的功能,包括:密钥管理、文件印章与签名、资料保护与加(解)密技术应用、用户认证与服务验证‘
2. 系统管理模块:目的是用来协助系统管理员管理控制TPM模块功能,例如:通过WMI实现远程管理、组策略(Group Policy)、容易部署和撤销技术 (Easy Deployment and Decommissioning);
3. 终端用户系统安全可信:目的是在Vista操作系统中,以TPM模块技术为基础的新功能,例如:安全的系统启动开机程序机制,以TPM模块技术为基础的安全密钥储存和提供机制等。
不论是可信计算还是可信网络,以及可信芯片这些技术与产品,永远都要服务与可信应用。“可信计算”是在互联网技术发展热潮的初期提出的,而信息安全行业的兴起是随着网络技术、互联网的普及、入侵行为细化、病毒智能化等开始高速发展起来的。可信计算是集中在初期理论与标准的研究上,随着传统IT厂商基于对信息安全该领域市场和前景的重视而再度升温,但通过一个芯片就能代替现有的所有安全产品的梦想离我们还有很大的差距。
本文转自张琦51CTO博客,原文链接:http://blog.51cto.com/zhangqi/33692 ,如需转载请自行联系原作
