当前位置 :  > 内容

“可信计算”:构筑国防信息安全的“防火墙”

来源:互联网 责编:ldzldz 作者:刘 毅 时间:2007-09-14

 1999年,Intel、惠普、康柏、微软、IBM等计算机巨头一起牵头,成立了“可信计算平台联盟”(TCPA),首次提出了“可信计算”(Trusted Computing)的概念。TCPA联盟在2003年又改组为“可信计算组织”(TCG),成员也扩大为200多个,遍布全球各大洲。专家们相信,利用“可信计算”技术构建通用的终端硬件平台,可以增强计算机体系结构的安全性。“可信计算”所体现的终端安全思想已成为发展信息安全的重要理念。
  一谈起信息安全,人们首先想到的是抵御来自计算机外部的病毒、黑客的攻击和侵袭,进而联想到杀毒软件与“防火墙”,却往往忽略“内患猛于虎”的道理。当初,个人计算机的设计者为了电脑的普及和易用性,在很大程度上牺牲了安全性,使得普通PC明显缺乏对病毒、黑客和内部窃密者的抵抗能力。一台没有安全防护手段的电脑就如同一只暴露在盗贼面前的没有上锁的抽屉。在互联网发展和应用的大背景下,病毒、黑客和计算机犯罪使得人们对网络的安全产生了信任危机,所造成的恐慌严重制约了信息化的发展。
  传统的信息安全措施主要是堵漏洞、做高墙、防外攻等“老三样”,但最终的结果是防不胜防。产生这种局面的主要原因是我们没有去控制产生不安全问题的根源,而总是在外围进行封堵。我们知道,所有的计算机入侵攻击都是从个人计算机终端上发起的:黑客利用被攻击系统的漏洞窃取超级用户权限,肆意进行破坏;注入病毒也是从终端发起的,病毒程序利用个人计算机操作系统对执行代码不检查一致性的弱点,将病毒代码嵌入到执行代码程序,从而造成病毒的传播,更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成了许多不安全事件。因此,我们应该以“防内为主、内外兼防”的模式,从提高使用节点自身的安全着手,构筑积极、综合的电脑安全防护系统。
  要解决来自电脑内部的安全威胁,就需要建立一个信息的可信传递模式。这就和抵抗SARS传播要控制病源一样。只有实现终端的“可信”,才能从源头上解决人与程序之间、人与机器之间的信息安全传递。基于此,“可信计算”被提到了议事日程上。
  
  “终端可信”:从源头解决“内患”
  
  “可信计算”的主要思路是,在个人计算机硬件平台上引入安全芯片架构,通过它提供的安全特性来提高终端系统的安全性。但“可信计算’目前尚没有一个明确的定义。各厂商对“可信计算”的理解不尽相同,一般可以从以下几个方面来理解:用户的身份认证,体现了对使用者的信任,平台软硬件配置的正确性,体现了使用者对平台运行环境的信任,应用程序的完整性和合法性,体现了应用程序运行的“可信”;平台之间的可验证性,体现了网络环境下平台之间的相互信任。
  “可信计算”技术的核心是被称为“可信平台模块”(TPM)的安全芯片。它通过在计算机系统中嵌入一个可抵制篡改的独立计算引擎,使非法用户无法对其内部数据进行更改,从而确保了身份认证和数据加密的安全性。“可信计算组织”定义了具有安全存储和加密功能的“可信平台模块”,于2001年1月30日发布了基于硬件系统的“可信计算平台规范”1.0版标准,2003年10月又发布了1.2版,作为目前个人计算机的安全性标准。“可信平台模块”实际上是一个含有密码运算部件和存储部件的小型片上系统。它并不像安全软件那样只能被动地抵抗病毒和黑客,而是在检测到系统数据被非法篡改后即自动恢复,以保证平台的完整性。这种办法从本质上提高了电脑自身的免疫力,弥补了电脑的先天不足,做到主动预防多种病毒的攻击。
  “可信机制”以“可信平台模块”为基础,主要通过3个方面来体现。首先是“可信”的度量。任何将要获得控制权的实体都需要先接受度量,这里主要是指完整性的计算。从平台加电直到运行环境的建立,度量过程都一直在进行。其次是度量的存储。所有度量值将形成一个序列,并保存在“可信平台模块”中,同时还包括度量过程日志的存储。最后是度量的报告。对平台是否“可信”的询问正是通过报告机制来完成的,通过接受度量值和相关日志信息的报告来获悉平台状态。如果平台的“可信环境”被破坏了,询问者有权拒绝与该平台打交道。
  “可信计算”所构建的网络信任系统为我们展现了这样一幅画面:从信任根到信任链,再到网络应用,在网络上构筑一个个信任域。构筑信任域的办法是在建立专用网络应用的时候,不只是给它加个门、堵道墙,更是要从本质上提高网络的安全性。必须对网络上所有的用户都进行认证,每个用户的本机平台对网络也要认证,这样才能保证它不会越权。在专用网(如军队网络系统)里,为了保证信息不被非法访问,必须控制用户只能上指定的网,这样对网络上的每一个节点都会有一个认证和控制,形成点对点的“可信”。如果能够建立这样一种信任机制,那么外围有没有“防火墙”就不再是那么至关重要了。
  基于这个信任系统,就可以真正做到身份认证、授权访问控制和安全责任审计。有了这3点要素,就可以确保网络里所有行为的“可信性”,从而把计算机网络这个虚拟世界变成一个有序、可认证、可管理且可追踪控制的空间。事实上,“可信计算”正是从信息安全三要素的金字塔底层做起,而不是通过外围防范或拦截保护等方式。究其本质,就是要使保证信息安全的努力从它的本源开始。
  
  打造中国标准的“可信计算”
  
  “可信计算组织”的成立有着强烈的商业目的。比如,该组织推出一项极其复杂的确保电脑系统安全的Palladium计划(也是微软推行“可信计算”的最大举措),使得用户只能按照规定的权限和访问控制规则进行操作。这样做固然是为了保证计算机信息的安全性,但深层次的用意是控制用户对计算机应用软件的使用——使其无法使用未经授权的软件,也无法播放从网络上免费下载的MP3音乐和数字电影,最终实现强有力的数字版权保护(DRM)。用户一旦使用了Palladium架构的计算机,就将难以摆脱微软公司的控制。所以,在政府、军队、科研机构等信息安全敏感部门,出于信息安全的考虑,必须采用由中国人自主研发、控制的完全“可信”的个人计算机平台。
  当前我们要面对的一个现实是,计算机操作系统的核心不在我国,芯片的核心也不在我国,别人没有公布的后门我们又掌握不了。那么用什么方法才能保证我们的信息安全呢?许多中国专家认为,是否在许多关键领域沿用国外标准,确实需要斟酌。他们号召中国的计算机企业成立一个自己的“可信计算组织”
——“中国可信计算平台”(CTCP);研究并建立与国际完全接轨的,中国的“可信计算”标准,同时推动建立国家认证机构,积极开展测评认证资质的考核。政府、军队等核心要害部门的种种需求都集中反映了国家利益,而“中国可信计算平台”的发展正是为了保障国家利益。基于这个需求,“中国可信计算平台”与国际上的“可信计算组织”相比,在根本出发点上多了一条——“维护国家利益”。
  早在1999年,国内厂商就开始对终端安全进行相关研究和尝试。如依托武汉大学技术力量的武汉瑞达科技有限公司,其独立进行的“安全计算机”体系机构和关键技术的研究和实践与“可信计算组织”的思路非常相似。瑞达提出的技术框架也是在主板上增加安全控制芯片以及从基本输入输出系统(BIOS)人手来增强平台的安全性,不同的是没有引入内涵更为丰富的“可信机制”。该公司的“可信计算”产品在遵循“可信计算组织”技术规范的基础上有所创新,其安全芯片比“可信计算组织”定义的芯片功能还强大,权限比操作系统的权限还要高,在黑客通过后门窃取用户资料时可以主动关闭端口。瑞达的“可信计算机”与“可信计算组织”的不同之处在于,后者由不同的成员分别承担开发角色,比如操作系统由微软公司开发、芯片部分由Intel公司开发、整机部分由惠普和IBM公司开发。但基于我国的情况,瑞达生产的嵌入密码型计算机的芯片、主板、软件等全部是自主研制和改造出来的,在某些性能上甚至突破了“可信计算平台联盟”的个人计算机规范。
  
  “可信计算机”:国防信息的护卫者
  
  在军事应用方面,“可信计算”必将成为保证国防信息安全的“防火墙”。通信和作战指挥系统的信息化建设是国防建设的重要内容,其安全性直接关系到国家的安危。我国军用信息系统的安全性主要是通过“管理+技术”的双重保护来实现的。“管理”就是通过相关制度来制约人为因素、保证物理安全,比如专网专用、专机专用、强制施行终端安全策略等,“技术”则是通过相应的软件系统和硬件安全设备来保护网络安全、系统安全和应用安全。目前,一些军事科研单位已开始利用“可信计算平台”研究的大环境,根据军事信息系统的实际需求,对“可信计算平台”体系结构和实现框架作深入的研究。一些院校也成立了体系结构实验室,主要研究在“可信计算平台”上实现安全操作系统等问题。
  “可信计算机”在军队的应用方兴未艾。例如近日,某军校被联合国指定为维和军人训练营,校长在感到荣誉的同时却为学校的网络大伤脑筋。校园内的专用军网可以供中国学员使用,不能供外籍军人使用,但要完成教学任务又必须让他们使用校园网,而满足他们的日常需要又必须开通互联网。要做到3网分离,学校必须申请更多经费采购大量个人计算机。最终,基于“可信计算”技术的双网隔离可信计算机方案解决了这一难题。据此方案,学校给每个学生都配发了一个内含身份信息的IC卡,上机前必须插卡验证。电脑读取卡内信息后安全芯片自动在3网间切换。不工作的网络将断电进行物理隔离。这就是“可信计算机”识别电脑使用者身份并给予相应对待的一个典型应用。
  不难看出,“可信计算”技术在军队机要、情报、指挥、后勤等系统中有广泛的应用前景。这主要体现在通过技术手段防止来自军队内部的自觉和不自觉的计算机泄密行为以及加强对内部计算机的管理上。以往的军队专网和内部局域网都以普通计算机作为接人终端,但普通计算机明显缺乏访问者身份识别、输入输出端口控制、文件的加解密、事后责任审计等功能。非法用户可以轻松破解操作系统自带的密码防入侵系统,对内网上的涉密信息进行拷贝、打印,甚至将硬盘盗走,而事后无法有效追查责任。基于“可信计算”技术的计算机则拥有四大本领:首先是“进不去”,即没有身份验证的陌生人无法进入电脑系统,其次是“拿不走”,一旦主人设置了输入输出限制,别人就无法用闪存、光盘、磁盘、打印等任何方式从电脑上取出数据,第三是“看不见”,文件一旦被主人设置为保密,即便是硬盘被偷走也无法在其他机器上读出,最后是“赖不掉”,“可信计算机”的日志记载了每个持卡人操作的日期、项目、事件等,而且人工还无法删除这些记录。
  到目前为止,“可信计算”的商业应用已经进入倒计时。在“可信计算”技术方面,武汉瑞达信息安全产业股份有限公司基于自产安全芯片研制的SQY14嵌入式密码计算机已经通过了国家密码办的鉴定,联想、方正、同方等厂商也在加紧研制符合国际标准的安全个人计算机。据业内权威人士透露,2005年,全球有一半以上的新增个人计算机被植入安全芯片,未来3—5年内,全球85%的个人计算机都将是采用“可信计算”技术的“安全计算机”。这不仅意味着巨大的商业机会,也昭示着这样一个事实:内嵌“可信平台模块”安全芯片的个人计算机将成为新一代安全终端的主流。