76算机安全 2008.8学术.技术1 信息安全问题的技术根源21 世纪是信息的时代。一方面，信息技术和产业高速发展，呈现出空前繁荣的景象。另一方面，危害信息安全的事件不断发生，形势是严峻的。信息安全事关国家安全、社会稳定。因此，必须采取措施确保我国的信息安全。为什么通信息安全的问题如此严重呢？从技术角度来看，主要有以下一些原因 ：(1) 微机的安全结构过于简单。20 世纪 70 年代，由于集成电路技术的发展，产生了微机。微机被称为个人计算机（Personal Computer） 。由于是个人使用的计算机，不是公用的计算机，一是为了减低成本，二是认为许多安全机制不再必要。所以就去掉了许多成熟的安全机制，如存储器的隔离保护机制、程序安全保护机制等。于是，程序的执行可以不经过认证，程序可以被随意修改，系统区域的数据可以随意修改。这样，病毒、蠕虫、木马等恶意程序就乘机泛滥了。(2) 信息技术的发展使微机变成公用计算机。20 世纪70 年代的小型和中型计算机。在应用上，微机已不再是单纯的个人计算机，而变成了办公室或家庭的公用计算机。可是由于微机去掉了许多成熟的安全机制，面对公用的环境，微机的安全防御能力就显得薄弱了。(3) 网络的发展使微机变成网络中的一个组成部分，突破了计算机机房的地理隔离，信息的交互扩大到了整个网络。而 Internet 网络却缺少足够的安全设计。于是置于网络世界中的微机，更是危机四伏。难怪人们说 ： “如果微机上网，你所受到安全威胁将增大几倍。而如果不上网，你所得到的服务则减少几倍。 ”(4) 网络协议存在着安全缺陷。由于网络协议的复杂性，使得网络协议的安全证明和验证十分困难。目前人们只能证明和验证一些简单的网络协议。所以，无法避免在我们应用的网络协议中存在着安全缺陷。即使网络协议是正确的，也不能确保百分之百安全。正确的协议也可能被利用进行攻击。攻击者完全可以根据哲学上“从量变到质变”的原理，发起大量的正常访问，耗尽计算机或网络的资源，从而使计算机瘫痪。著名的DoS 攻击就是明证。(5) 操作系统存在着安全缺陷。操作系统是计算机最主要的系统软件，是信息安全的基础之一。然而，因为操作系统太庞大（如，Windows XP 操作系统就有几千万行程序） ，致使操作系统都不可能做到完全正确。操作系统的缺陷所造成的功能故障，往往可以忽略。如，当Windows 出现死机时，人们按一下复位键重新启动就可以了。但是，如果操作系统的缺陷被攻击者利用，所造成的安全后果却不能忽略。(6) 确保信息安全要从微机源头做起。据美国安全杂志SECURE CYBERSPACE调查，89的用户安装了防火墙，60的用户安装了入侵检测系统，但其中仍有90的用户的系统安全受到破坏。据 2002 年美国 FBI 统计，83的信息安全事故为内部人员或内外勾结所为，而且呈上升的趋势。其中很多问题都是微机结构和操作系统可信计算应用技术董晓宁( 海军计算技术研究所，北京 100841)摘 要 : 可信计算是当前信息安全领域的一个新潮流。我国在可信计算领域起步不晚，水平不低，成果可喜。该文重点介绍国内外可信计算应用技术。关键词 ： 可信计算 ； 可信计算机 ； 信息安全Application of Trusted Computing DONG Xiao-ning(Computing Technology Institute of Navy,Beijing 100841,P.R.China)Abstractor:Trusted computing is a trend of information security reserching.some scholars of our country have concentrated on this area more earlier than we thought,and has made some important contribution to this?issue?,this article maily introduce? some Application of? trusted computingKey words:trusted computing,trusted computing PC,infomation secutiry772008.8 计算机安学术.技术不安全引起的。2 可信计算的基本思想人们在与危害信息安全事件的斗争实践中逐渐认识到，大多数安全隐患来自于微机终端，因此，确保源头微机的安全是重要的，必须从微机的结构和操作系统上解决安全问题。这样，绝大多数不安全因素将从终端源头被控制。众所周知，硬件结构的安全和操作系统的安全是信息系统安全的基础，密码、网络安全等技术是关键技术。只有从信息系统的硬件和软件的底层采取安全措施，从信息系统的整体上采取措施，才能比较有效地确保信息系统的安全。对于应用最广泛的微机系统，只有从芯片、主板等硬件结构和 BIOS、操作系统等底层软件作起，综合采取措施，才能比较有效地提高微机系统的安全性。正是基于这种思想，产生了可信计算技术。1999 年，IBM、HP、Intel、 微 软 等 美 国 著 名 IT企业发起成立了可信计算平台联盟 TCPA（Trusted Computing Platform Alliance） 。TCPA 的成立，标志着可信计算高级阶段的形成。2003 年，TCPA 改组为可信计算组织 TCG，标志着可信计算技术和应用领域的进一步扩大。TCPA 和 TCG 的出现形成了可信计算的新高潮。我国在可信计算领域起步不晚，水平不低，成果可喜。武汉瑞达公司和武汉大学合作，研制出我国第一款可信计算机。随后，联想和兆日公司也研制出自己的可信计算产品。这些产品都通过了国家密码管理委员会的鉴定和认可。此外，同方、方正、浪潮、天融信等公司也都加入了可信计算的行列。武汉大学、科学院软件所、北京工业大学等高校和研究所也都开展了可信计算的研究。至此，中国的可信计算事业进入了蓬勃发展的阶段。2.1 可信计算平台的基本思想可信计算平台是能够提供可信计算服务的计算机软硬件实体，它能够提供系统的可靠性、可用性、信息和行为的安全性。一个可信计算机系统由可信硬件平台、可信操作系统和可信应用组成。如图 1 所示。图 1 可信计算机系统可信计算平台的基本思路是 ： 首先构建一个信任根。再建立一条信任链，从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而把这种信任扩展到整个计算机系统。2.2 可信平台的信任根可信计算平台的信任根由 3 个根组成，它们是可信度量根、可信存储根和可信报告根。可信度量根是平台开机后要首先执行的一段程序，不可绕过，不可篡改。由它开始可信的度量。在可信度量过程中要对度量的结果数据进行记录存储， 以便以后应用。这个存储实体就是可信存储根。可信计算平台应当对授权访问的实体提供平台的可信状态报告。这个提供平台的可信状态报告的实体就是可信报告根。可信存储根和可信报告根由可信平台模块 TPM 充当。可信平台模块 TPM 是一个可信硬件芯片，而且是一种 SOC（System on Chip）芯片。它由 CPU、存储器、I/O、密码运算处理器、随机数产生器和嵌入式操作系统等部件组成。完成可信度量的存储、可信度量的报告、密钥产生、加密、签名，数据安全存储等功能。其逻辑结构如图 2 所示。必须注意 ： TPM 是可信计算机的信任根，一定要把中国可信计算机的信任根留在中国。也就是说，中国的可信计算机必须采用中国的根芯片，而且中国的根芯片必须采用中国的密码。图 2 TCG 的 TPM 框图2.3 信任链可信计算平台的可信性建立在以 TPM 为信任根和从信任根开始的信任链之上。根据信任链，从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而确保计算机系统的可信性。见图 3。图 3 TCG 的信任链78算机安全 2008.8学术.技术3 可信计算机的应用3.1 应用范围可信计算机与普通计算机相比，在安全性方面增强了很多。因此，可信计算机可以广泛应用于对信息安全要求较高的应用领域。TCG 的目标是将可信计算机主要用于 ：风险管理、数字资源管理、电子商务和安全监管与应急响应。通过风险管理尽量减少恶意攻击以及恶意攻击所造成的损失。数字资源管理的目的是确保安装在可信计算机上的各种数字资源不被未授权地拷贝和使用。在电子商务中，交易的双方都需要确认对方是可信的，否则是不能进行交易的，以确保交易的安全性。因为可信计算机具有可信度量、存储、报告功能，因此可以实现对平台可信状况的监控，即使在受到攻击时也能够应急响应，减少损失。由于我国的可信计算机在安全性和可控性方面都有自己的特点，因此可以在我国信息化进程中得到广泛应用。目前，我国武汉瑞达公司的可信计算机已经在我国电子政务、公安、金融和军队得到成功应用。我国的可信计算机在应用方面具有以下特色 ：(1) 确保平台身份真实性TPM 与主板绑定，平台拥有证书，TPM 存储和保护证书，确保平台身份的惟一性、真实性。(2) 确保平台系统资源完整性信任链机制确保系统资源完整性， 确保系统开机无病毒。(3) 确保平台数据的秘密和真实性由于 TPM 中采用了密码技术和数字证书技术，可以确保平台数据的秘密和真实性。(4) 确保用户身份真实性采用智能卡和口令相结合的用户身份认证，确保用户身份真实性。(5) 确保系统可控性可控制所有 I/O 口的开放与关断。两级日志 ：系统日志，TPM 芯片日志。确保系统的可控性，从技术上支持我国安全可控的安全管理政策。(6) 确保重要数据安全存储口令、密钥、证书等重要数据存储于 TPM，由 TPM、密码和嵌入式操作系统共同保护数据，可以确保重要数据的安全存储。采用可信计算机作为安全终端的应用是不言而喻的。基于可信计算机可以构成各种安全应用平台。3.2.1 网络与网格应用在网络应用方面，将信任链从平台延伸到网络，将终端可信扩展到网络可信，扩展到可信网络服务和可信网络管理，可以构成网络信任管理系统。网络信任管理系统服务器将对用户和终端等进入可信域进行审核，收集机器名、IP 地址、网卡 MAC、硬件信息和软件信息等终端资源信息，并对终端进行锁定和解锁等实时控制。采用集中管理、分布式控制方式，提供网络安全管理平台。还可通过网络可信域管理服务器，统一监管多个网络信任管理系统，从而确保更大范围的网络安全。如图 4 所示。武汉大学与美国 HP 公司合作成功地将可信计算机用于增强网格安全性，实现了网格中证书和密钥的安全存储和安全迁移，大大增强了网格的安全，得到国际同行的好评。图 4 可信计算平台在网络安全中的应用3.2.2 USB-Key 应用USB Key 是一种具有 USB 接口，具有身份认证、加密 / 解密、数字签名等多种安全保密功能的便携式安全设备。用户使用 USB Key 时，则无需使用智能卡读卡器，只要将 USB Key 插入计算机 USB Key 接口，就可给计算机增加安全子系统，实现双因素身份认证和硬件数据加密等安全保护功能。基于可信平台模块 TPM 可以方便地开发出安全性能很高的 USB Key，因此成为可信计算领域的一个重要应用。USB Key 的主要功能有 ： (1) 开机身份认证 ： 只有将USB Key 插入计算机 USB 接口、并输入正确口令后，计算机才能通过身份认证而启动运行。在计算机运行状态下拔出 USB 钥匙，计算机自动锁定键盘、鼠标、屏幕等外部设备，防止非法用户恶意操作计算机。(2) 文件加密保792008.8 计算机安学术.技术护 ： 将任意新建文件夹设置为“文件保险箱” ，USB Key自动在设备层对保存到“文件保险箱”内的所有文件进行加密。可防止计算机被盗或丢失所产生的信息泄露问题。(3) 网络物理隔离 ： 插入 USB Key 后，计算机自动关闭网络接口。为用户建立一个安全封闭的计算环境，使网络黑客和内部非法用户无法