11.4.1 可信計算平台
TCG認為,如果從一個初始的「信任根」出發,在平台計算環境的每一次轉換時,這種信任狀態都可以通過傳遞的方式保持下去而不被破壞,那麼平台上的計算環境將保持在可信的狀態中。在可信環境下的各種可信的操作也不會破壞平台的可信狀態,平台本身的完整性也就可以得到保證,平台將一直處於安全狀態。這稱為信任的傳遞機制。
可信不是指行動的可靠性,它是指經常性的活動,即行為。一次行動可以得出安全性結論,但不能得出可信性結論,安全是可信的必要條件,但不充分。可信的概念涵蓋了主題、客體和行為3個方面的內容。另外,可信概念還表現在對事前的預警、事中的監督和事後的審查過程中。
因此,計算機安全的概念可以表示為:
1)把計算機的可信概念定義為行為可信概念。
2)把計算機的可信平台概念定義為行為完整性和系統完整性。
可信計算平台是一個對本地用戶和遠程用戶都可信的平台。為了讓用戶相信在計算平台中已經正確地安裝並正確運行著一個用戶期望的啟動過程、一個用戶選擇的操作系統和一系列用戶選擇的安全功能,在用戶和計算平台之間必須建立信任關係。
平台的可信主要體現在以下4個方面:
1)身份認證,體現了平台對使用者的信任。
2)平台軟硬件配置的正確性,體現了使用者對平台運行環境的信任。
3)應用程序的完整性和合法性,體現了應用程序運行的可信。
4)平台之間的可驗證性,體現了網絡環境下平台之間的相互信任。
TCG認為,可信計算平台應具有數據完整性、數據安全存儲和平台身份證明等方面的功能。一個可信計算平台必須具備4個基本技術特徵:安全輸入輸出、存儲器屏蔽、密封存儲和平台身份的遠程證明。
可信計算的基本思想是:首先構建一個信任根,再建立一條信任鏈,從信任根開始到硬件平台,到操作系統,再到應用,一級認證一級,一級信任一級,把這種信任擴展到整個計算機系統,從而確保整個計算機系統的可信。可信計算機系統如圖11-7所示。
圖11-7 可信計算機系統示意
可信計算平台是集合可信硬件和可信軟件(包括可信操作系統)在內的一個可被本地用戶和遠程實體信賴的平台,它是可信軟硬件的綜合實體。可信計算平台的重要基礎部件包括可信平台模塊TPM和TCG軟件協議棧TSS(TCG SoftwareStack)。
可信計算平台可信的核心是被稱為可信平台模塊TPM的安全芯片。在TPM中,有一系列平台配置寄存器PCR(Platform Configuration Register),在TCG最新的TPM 1.2版103修訂版規範中,要求TPM至少支持24個PCR,而其之前的版本則只要求支持16個PCR,這些PCR是保證平台完整性的基礎。每個PCR都是一個擁有160bit的存儲空間,都處於TPM內部,屬受保護區域,為易失性存儲器。平台完整性度量的結果以SHA-1運算摘要的形式保存在PCR中。PCR在系統啟動時自動復位,為了在某個特定的PCR中存儲無限量的度量摘要信息,在PCR中保存的方式,要求新值必須基於原有的舊值和即將寫入的新值,這個操作被稱為擴展,對PCR的擴展運算要求保持完整性度量發生的次序。對PCR的操作需要使用TPM的保護功能,禁止直接把一個值賦給一個PCR。完整性度量的日誌信息被保存在TPM外部,該信息保存了每次完整性度量的信息及對PCR的擴展操作信息,不僅保存度量數據本身,還包括度量的次序、對像等。
可信計算平台對外提供安全服務,如平台完整性報告、平台身份認證、基於可信硬件模塊的平台數據安全服務等。
可信計算平台至少要包括3種功能:保護功能、證明功能、完整性度量機制。
(1)保護功能
保護功能是指一套命令集合,該命令集合擁有高級權限,能夠訪問受保護的區域。保護區域指的是可以對敏感數據進行安全操作的區域,在保護區域中的數據只能通過保護功能的命令才能訪問。在可信計算平台中,保護功能和保護存儲可以用於保存和報告完整性度量的結果。此外,保護功能還包括了密鑰管理、隨機數發生器以及數據密封等。
(2)證明功能
證明功能是一個對信息的準確性進行驗證的過程。外部實體能夠認證受保護的區域、保護功能和可信根。在證明時,需要提供被證明實體的特徵信息,對於平台來說,特徵即為影響平台完整性的狀態信息。在所有形式的認證過程中,都必須保證使用的被證明實體信息是可靠的。
(3)完整性度量機制
平台完整性是可信計算平台的一個重要特性,完整性度量機制主要包括完整性度量計算、存儲、報告和驗證。可信計算平台構建平台可信性的重要思路就是通過完整性度量機制,將平台信任根的可信性和控制權逐級傳遞形成信任鏈,並將平台可信性傳遞到整個平台各個部分的軟硬件組件,確保平台可信。