可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。
1.1 可信计算相关概念
可信计算的概念由TCG提出,但并没有明确定义,而且联盟内部的各大厂商对“可信计算”的理解也不尽相同。其目的主要是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全,意义就是在计算机网络中搭建一个诚信体系,每个终端都具有合法的网络身份,并能够被认可;而且终端具有对恶意代码,如病毒、木马等有免疫能力。在这样的可信计算环境中,任何终端出现问题,都能保证合理取证,方便监控和管理。可信计算提供的安全功能有:终端设备认证、数据完整性校验、用户身份认证、用户权限合法性、端口控制和管理、数据的加密存储、重要信息的硬件保护。这些安全功能保证了使用者、软硬件的配置、应用程序等的可信,进一步保证了终端的可信,最终构建出可信任的计算机网络。
1.2可信硬件
要构建可信计算平台,必须引入独立的硬件,其实现方式一般采用独立CPU设计的片上系统,同时辅以外部控制逻辑和安全通信协议。作为可信计算平台的基础部件,可信硬件自身的保护措施也是相当严格的,涉及到命令协议的设计,算法的实现,存储部件的保护等。除此之外,硬件的实现还要考虑各种固件的可信设计,主要是对BIOS和各种ROM代码的改进。
1.2可信计算平台
TCG从行为的角度来定义可信性:如果一个实体的行为总是以所期望的方式,朝者预期目标。那么它是可信的,所谓平台是一种能向用户发布信息或从用户那里接收信息的实体。可信计算平台是能够提供可信计算服务的计算机软硬件实体,它能够提供系统的可靠性、可用性和信息的安全性。可信计算平台基于可信平台模块(TPM),以密码技术为支持、安全操作系统为核心。安全操作系统是可信计算平台的核心和基础,没有安全的操作系统,就没有安全的应用,也不能使TPM发挥应有的作用。
1.3内网安全架构解决方案
在最初的信息安全建设中,人们首先想到的是防止外部攻击以及本地网络安全边界问题,因而重点采用访问控制、入侵检测、网络隔离和病毒防范等方法来解决信息安全问题。在这之后用户认识到,作为网络组成部分的终端是网络与用户的接口,是安全保障比较脆弱的地方,也是一般网络安全解决方案所容易忽视的地方。据统计,网络上超过一半的安全问题来自内部用户,也就是内网的终端结构和操作系统的不安全所引起的。
2.1内部安全威胁的分析
通过详细分析内网面临的风险,我们发现所有的安全威胁都是通过内网的用户终端来起作用的。威胁看似来源于外部,其实,若能安全合理控制内网的用户终端,就不可能对内网造成伤害。来自用户终端的安全威胁主要有以下几种表现形式:1.随意更改IP地址;2.私自以拨号等方式上互联网;3.内部人员大量使用移动存储设备,易造成内外网间接地交换数据;4.安装、使用盗版软件或黑客软件,对内网的其它计算机构成了重大的安全威胁;5.窃取、传播违禁、机密的数据资料;6.内部终端用户越权使用单位的网络资源;7.操作系统的“后门”引起的安全问题。
2.2基于可信计算机的解决方案
采用可信计算机实现内网用户终端的安全防护问题,可信计算机能够确保用户的合法性和资源的一致性,使用户只能按照规定的权限和访问控制规则进行操作,能做到什么样权限级别的人只能做与其身份规定的访问操作,只要控制规则是合理的,那么整个信息系统资源访问过程是安全的。可信计算机奠定了可信网络的基础。可信计算机的安全功能如下:基于智能卡和口令的身份认证,防止非法使用机器;自主和强制存取控制,防止非法访问文件;多级权限管理,防止越权操作;存储设备安全管理,防止非法软盘拷贝和硬盘启动;数据和程序代码加密存储,防止信息被窃;预防病毒,防止病毒侵袭;严格的审计跟踪,便于追查责任事故。此种解决方案除了“随意更改IP地址”不能解除以外,其他安全威胁均可解决。
2.3构建在操作系统增强基础上的解决方案
采用在普通终端上加装“USB电子钥匙+现有操作系统的增强软件”,通过USB KEY和终端之间的双向认证,达到终端设备和用户之间的双向认证关系。USB电子钥匙中可以存储网络终端用户的密钥或算法,或是存储用户的个人身份以及用户可访问网络的权限。此种方案需要配合内网的审计、监控和管理等其他手段,才能够有效解决前述安全威胁。
审计的作用是:1.自动登记受控终端的硬件配置;2.自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器;3.自动记录系统服务的启动和停止;4.自动记录受控终端上应用程序的安装与卸载情况;5.自动记录受控终端上运行进程的启动和停止;6.记录用户对规则指定文件进行的各种操作;7.记录用户对规则指定网址进行的访问操作;8.对本地打印机使用情况进行审计;9.对受控终端的USB移动存储设备的使用情况进行审计;10.对受控终端软盘使用状态进行审计;11.对拨号访问情况进行审计。
监控的作用是:1.允许或阻断用户通过拨号访问Internet;2.允许或阻断用户对受控终端的各种输出设备进行访问;3.对受控终端进行IP地址和MAC地址的绑定;4.允许或禁止某些进程的启动;5.允许或阻断对某些网络地址的访问;6.允许或阻断用户对本地打印机进行访问。
管理的作用是:1.自动发现并生成网络拓扑图;2.动态显示交换机端口状态、流量等信息;3.监视、分析网络性能提供未知(未登记)IP地址、MAC地址列表,自动发现有未知受控终端接入的交换机端口;4.实现交换机端口的打开和阻断控制;5.自动识别网络中所有设备的IP地址、MAC地址、设备名称等基本设备信息;6.动态显示受控终端的当前状态,对各种不正常状态均提供声音报警和屏幕显示报警;7.可以按设备类型(如服务器、主机、打印机、交换机、路由器、网关)、子网、部门等方法对设备进行分类管理,列表显示出设备的名称、所属部门、IP地址、MAC地址、发现时间等信息;8.可以根据交换机端口连接的工位对内网终端进行管理;9.可以方便地查看受控终端的配置信息、审计日志信息。
3.结语
目前可信计算正成为我国信息安全研究的热点领域,我国也已完成了多个符合美国国家可信计算机系统评价准则中B1级以上的安全操作系统以及有中国自主知识产权和特色的可信计算机。一方面,信息安全问题的日趋严重带来信任恐慌,使得构建一个可信任的环境成为重点行业用户的共识。另一方面,国内“可信技术”的发展与国际同步,在某些方面有自己的独到之处。可以说,可信计算代表未来计算机的发展趋势,一旦技术和产品成熟,将掀起一场新的革命。