可信计算翻译

1.2 计算机安全和可信计算

自1960年代有文献记录以来,计算机安全是个经久不衰的课题,诞生了很多著作(见Gollmann和Pfleeger)。在本书所讨论的范围内,可信计算,作为一个比较新的研究领域,实际上是广义计算机安全概念的一部分,可信计算概念是随着计算机系统性质的转变以及性能的提升而出现的。

从历史的角度看,计算机安全为从根本上理解操作系统内安全功能提供了重要的理论支撑,这些功能解决涵盖了诸如多用户资源访问控制等一系列的问题,大多数的计算机安全问题通过相关的软件解决,而对利用硬件来解决安全问题的方式则关注较少。

原因很显然,在PC机出现之前,计算机一直都是一种体积巨大、耗费昂贵且被很多人同时使用的设备,硬件通常放置在安全位置,对硬件的直接访问仅仅授权给有访问权限的人员。所以主要的安全问题是设计可靠的文件系统以保证数据和资源不被无关人员访问和利用,硬件的安全性在软件的正常工作前提下通常不会被考虑到。

这导致涌现了大量优秀的计算机安全理论,包括多层次系统安全和访问控制系统模型等,这些理论直到今天依然非常重要,虽然在用词上有所重叠,但是这些并不是本书讨论的主题,由于长期以来可信计算基础(Trusted Computiing Base, TCB)已被广泛地用于与我们今天所研究的可信计算不同的领域,术语的表达上可能会产生一定的混乱。

根据黄皮书[3]中定义,TCB是指计算机系统内总的保护机制,包括硬件、固件和软件,这些与可信计算不无关联,但是我们所讨论的话题与此无关。

诚然物理安全子系统在可信计算领域中始终占有一席之地,但是它们主要在特定的应用中使用,如许多安全子系统被设计和应用于保证密钥存储在物理上安全,这些系统可参见IBM 4758(亦可见参考文献5第十五章中讨论此类子系统接口的内容)。

传统理论假设中对重要计算机系统的物理保护已经不适用于今天所使用的大多数个人计算机,个人计算机通常只有单一的用户,没有额外的硬件物理防护。短暂的访问接入即可轻松实现对软件和数据未经授权的非法复制与修改操作,无论是采用何种软件防护都只能起到暂时的保护效果,简单地通过可移动磁盘或者将其置入其它系统内即可越过这种保护。因而无论传统理论是如何定义操作系统“安全”,有关人员淡薄的安全意识决定了在PC上所存储的软件或信息是不可被信任的,即此类信息事实上是无保密性可言的。受现代计算机操作系统和应用日益复杂化的影响,消除所有软件漏洞几乎是不可能的,在多种因素的结合下,今天的系统在许多攻击面前往往脆弱的不堪一击。

本书中可信计算是指为解决这些问题而出现的方法,通过在计算机系统上实现需要额外硬件所具备的功能,从而使得计算机之间的交互在一定程度上是可被信任的。Pearson定义了可信平台相关的概念,即“可信平台是指利用可信组件,通常是内置硬件的形式,创建一个软件过程可依赖的基础环境”。

可信平台其它特性将在本书下文中展开(尤其是第2章和第3章),在Varadharajan最近的文章中出现了一些关于可信计算有趣的讨论,Felten为可信计算做了些较高层次的介绍,在本书的第二章中探索了可信计算对未来分布式计算的影响。

1.3 可信计算简史

尽管一些关键的思想可能已经存在了很长时间,在本书中所指可信计算的概念只是最近才出现。两篇较早讨论可信计算的论文最早出现在2000年。如Person指出,旨在发展和规范可信平台技术的可信计算平台联盟(Trusted Computing Platform Alliance, TCPA)成立于1999年10月,TCPA于2001年发布了第一个规范标准,定义了可信平台的基本组成部件,即可信平台模块(Trusted Platform Module),TPM由在PC主板上的安装专用的芯片(内嵌入BIOS)得以实现,为PC上所有可信功能提供基础支持。

TCPA的工作被它的继任者——可信计算小组(Trusted Computing Group, TCG)所继承,TCG将继续发展已有的规范标准。TCPA规范细节已经由2002年公开出版发行,Reid等人分析了TCG中隐私问题,本文第三章针对TCG规范进一步展开了讨论。

TCPA和TCG并非是目前唯一规范可信计算的组织,在这里只简单地介绍部分关键的发展过程,同时在第3章中将作详细的论述。

微软公司是这一领域中最知名的倡议者,最先提出的Palladium,随后发展成为“下一代安全计算基础”(Next Generation Secure Computing Base, NGSCB),NGSCB是在一定可信基础平台上构建的安全操作系统体系,其中包括了TCG的TPM等由其它专用处理器所提供的增强功能。NGSCB的架构显著地改善了第一代Palladium的性能,与此相关的介绍在本书的第4章中展开,文献13-15介绍了NGSCB发展的背景情况。

AEGIS架构的历史可以追溯到1997年Arbaugh、Farber和Smith共同发表的论文,最近关于AEGIS的论文由Suh等人发表。这一架构并不符合本书所讨论可信计算的概念,类似于TCG,它依赖安全硬件为计算机系统提供可信功能,包括一个可信启动引导过程用于允许应用程序安全地存储数据,Itoi等人讨论了相关的话题。

Terra系统架构与当前版本的NGSCB具有某些相似之处,Terra基于可信虚拟机监视器(Trusted Virtual Machine Monitor, TVMM)的概念将计算平台分割为多个独立的虚拟机,该系统需要底层硬件提供类似于NGSCB所需要的功能支持,其中包括符合TCG所要求的TPM功能。

最后,我们注意到可信计算这一话题一直存在有争议,有观点认为可信计算即是对用户隐私潜在的威胁也是对用户适应能力的考验,这些观点在本章讨论的范围之外,Anderson和Arbaugh对此类观点作了详尽的论述。

1.4 可信计算现状

TCG既发展了包括TPM在内的基本规范,也进一步将些类规范拓展应用到不同平台上。最新的1.2版TPM规范特别值得注意的一个地方是它集成了为可信平台提供隐私保护的新途径,在旧版本的规范中TPM依赖到第三方组件为可信平台提供伪身份,以便用户部署多个无关联的伪身份以防跟踪自身行为被跟踪。

由于这种方法过于依赖第三方组件而饱受批评,因而不依赖于第三方组件而又能保证伪身份行为之间安全新的系统应运而生,这种被称之为直接匿名认证(Direct Anonymous Attestation, DAA)的新技术由Brickell、Camenisch和Chen所提出,DAA的发展过程在第5章中有详细的阐述,DAA作者之一的Camenisch最近还提出了如何进一步改善可信平台隐私保护的新方法。

如第4章所指出的,微软继续将NGCSB发展为一个操作系统平台,用以提供TCG硬件才能实现的功能,NGSCB(如并行运行的Terra系统)既依赖于硬件可信引导(类似于TPM),又依赖于其它增强的处理器功能。如第3章所讨论的,芯片组所需要提供的硬件功能已经被Intel和ARM公司实现。

最后,在Terra架构上相关的工作正在为利用TCG和其它安全硬件为提供公共领域的可信操作系统而努力,值得注意的是类似NGSCB提供的安全功能的Linux发行版也正在开发中,Sadeghi和Stuble介绍了此类工作的进展情况。

1.5 可信计算应用

目前已经存在不少与可信计算潜在的可信计算技术应用,尽管本书内容涉及到部分此类技术,但是这些技术只是可信计算较为浅显应用,在这里简要地介绍迄今存在的各种应用。

  • Balacheff等人、Spalka、Cremers和Langweg各自独立地提出采用可信计算加强数字签名过程的安全,这些建议均建立在TCPA规范的基础上,但是同样适用于最新的TCG规范。
  • Scheckter等讨论了如何利用可信计算提升点对点(Peer to Peer, p2p)计算网络中终端节点安全性,Kinateder和Pearson尝试着将可信计算应用于P2P分布式网络中,本书第10章详细讨论了可信计算技术在P2P系统安全中的应用。
  • 文献31介绍了利用可信计算支撑单点登录解决方案,本书第6章对此进行了更一般性地讨论。
  • Chen等人提出了通过可信计算提高和解决用户身份验证过程中生物识别的安全性和隐私问题。
  • Balacheff等人讨论了可信平台与物理安全模块(如智能卡)的联合应用的优越性。
  • Mont等人讨论了可信计算在身份管理解决方案中的应用。
  • 目前,对广播视频内容的保护通常是利用专用的“机顶盒”(set-top-boxes),对未来各种移动个人设备中广播内容而言,显然这不是恰当的解决方案,本书第7章中讨论了在移动平台上采用可信计算的内容保护技术。
  • 互联网服务个性化的趋势愈来愈显著,这种个性化通常需要利用到潜在的个人敏感信息,因而产生了一系列终端用户隐私问题,本书第8章中提出一种方法利用可信计算技术控制此类个人信息传播。
  • 最后,第9章中讨论了利用可信计算平台提供安全应用环境从而安全地部署TTP服务,其中详细分析了一个关于TTP服务的特殊案例,此案例由认证机构所提供。文献11、20和36中讨论了其它未在本书中所讨论的可信计算应用技术,Erickson研究了数字版权管理(Digital Rights Management, DRM)技术,Marchesini等人在不同的应用视角下就此类话题展开了讨论,他们的实验中通过在Linux操作系统中使用TPM硬件设备构建了一个虚拟的安全协生殖器。
Advertisements
此条目发表在未分类分类目录。将固定链接加入收藏夹。

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s