纵观全球信息产业,安全问题已经引发了用户群体乃至行业厂商的普遍性忧虑和不满,大家都在思考一个问题:未来的安全应走向何方?本文将深入挖掘“可信计算”,并探讨“可信计算平台”是否是安全问题的下一个答案。
国际性的非盈利机构可信计算工作组(Trusted Computing Group,TCG)对可信的定义:可信是一种期望,在这种期望下设备按照特定的目的以特定的方式运转。TCG针对不同的终端类型和平台形式制订出了一系列完整的规范,例如个人电脑、服务器、移动电话、通信网络、软件等等,这些规范所定义的可信平台模块(Trusted Platform Module,TPM)通常以硬件的形式被嵌入到各种计算终端以用于提供更可信的运算基础。
事实上TPM仍旧是一种基于软件的安全代理,只不过TPM是以硬件的方式集成在计算设备当中的。总体来看,可信计算平台就是在整个计算设施中建立起一个验证体系,通过确保每个终端的安全性提升整个计算体系的安全性。
可信计算平台的价值
可信计算以及相似概念所受到的推崇,究其根本源自于日益复杂的计算环境中层出不穷的安全威胁,传统的安全保护方法无论从构架还是从强度上来看已经力有未逮。目前业内的安全解决方案往往侧重于先防外后防内、先防服务设施后防终端设施,而可信计算则反其道而行之,首先保证所有终端的安全性,即透过确保安全的组件来组建更大的安全系统。
可信计算平台在更底层进行更高级别防护,通过可信赖的硬件对软件层次的攻击进行保护可以使用户获得更强的保护能力和选择空间。传统的安全保护基本是以软件为基础附以密钥技术,事实证明这种保护并不是非常可靠而且存在着被篡改的可能性。
可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片,并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除,否则理论上是无法突破这层防护的,这也是构建可信的计算机设备以及建立可信的计算机通信的基础。在硬件层执行保护的另外一个优势是能够获得独立于软件环境的安全保护,这使得可以设计出具有更高安全限制能力的硬件系统。
通过系统硬件执行相对基础和底层的安全功能,能保证一些软件层的非法访问和恶意操作无法完成,同时这也为生产更安全的软件系统提供了支持。综合来看,可信计算平台的应用可以为建设安全体系提供更加完善的底层基础设施,并为需要高安全级别的用户提供更强有力的解决方案。
可信计算的实际应用
对于安全要求较高的场合,可信计算平台能够为用户提供更加有效的安全防护。无论是要保护私密性数据,还是要控制网络访问,以及系统可用性保障等等,这些工作在应用了可信计算技术之后都能够获得更高的保护强度和更灵活的执行方式。下面我们以PC平台为主线来了解一下目前主要的各种可信计算应用。其中包含了可信计算应用最广泛的加密领域、作为软件系统核心的操作系统领域以及网络传输控制和安全管理等方面的内容,对每个方面我们都会提供一个具体的实现范例。
应用领域:信息加密保护
即使可信计算平台成为主流,加密仍将是安全保护方面的核心力量,只是应用TPM将使系统的加密更具可信性。IBM是最早利用可信计算技术保护计算机设备的厂商之一,针对个人电脑市场推出的解决方案被称为IBM嵌入式安全子系统,该系统与TPM规范规格兼容。
这个安全子系统由内嵌在计算机中的安全芯片和IBM专用的客户端安全软件组成。安全芯片可以应用于登录密码、加密密钥和数字证书的保护,同时也可对文件系统(利用IBM的文件和文件夹加密功能)和网络传输进行加密。
由于安全芯片可以在200毫秒内完成RSA运算,所以系统的运行并不会受到明显的影响。除了这些保护功能之外,该安全系统的一个突出优点是能够防止计算机内的数据被非法获取。事实上在不获得安全子系统口令的情况下未获授权的人是无法获取系统中任何信息的,因为在离开安全芯片的情况下无法读取硬盘中的数据。
而且安全芯片本身的信息存储和传送也经过了高强度的加密,加之IBM采用了特殊的芯片封装方法,使得安全芯片的破解极其困难。正确的应用了安全子系统之后用户的数据可以得到妥善的保护,特别是对于失窃这样的情况,即使非法用户盗取了计算机用户的信息也不会泄密。反之用户也要注意牢记该系统的口令信息,用户一旦被自己系统锁在外边往往会慨叹这个系统是多么的强健。
除了IBM之外,HP也有类似的产品,而在国内,武汉瑞达和联想都推出了相似的产品。武汉瑞达是中国最早开始可信计算研究的公司,已经形成了全套自主知识产权的软硬件环境。瑞达推出的可信计算机产品中包含了多种安全功能,例如插入特别的电子钥匙或IC卡才能开启计算机、为计算机提供惟一的标识、控制所有文件的输入输出等等。
据一些专业的评测机构评定,瑞达可信计算机所具有的安全功能和防护能力甚至超过了国外的产品。而联想借其推出的“恒智”安全芯片成为继ATLEM之后全球第二个推出符合TPM 1.2标准安全芯片的厂商,“恒智”芯片可用于系统完整性校验,并能够标识计算机身份以防止假冒,而且该芯片将所有密钥信息都存储在芯片当中,使得安全性大大提高。
应用领域:操作系统安全
虽然TCG所推出的规范大部分针对于硬件设施,但是同样有一些针对于软件层的规范可用。
这其中应用较多的一项技术是微软加密文件系统(EFS),这是微软向操作系统中集成可信计算技术的最早尝试之一,Windows 2000及之后出现的Windows XP等系统都支持该特性。
在微软最新的操作系统Vista中一个全新的被称为安全启动的特性将被应用,这是Windows所应用的第一个基于硬件的安全方案。一个符合TPM规范的硬件设备将对每个Windows系统开机时需要用到的文件进行标记,一旦在开机的过程中这个硬件检验出标记状态的不吻合将很可能意味着这个系统受到了非授权的篡改或破坏。
这种保护机制的问题在于如果由于用户的疏忽或者应用软件问题造成的文件损坏也可能造成标记的不符,这将对用户的使用造成不小的困扰。
应用领域:网络保护
3Com公司提供集成了嵌入式防火墙(EFW)的网卡产品,用以向安装了该产品的计算机提供可定制的防火墙保护,另外还提供硬件VPN功能。由于支持基于TPM规范的认证,所以用户能够利用这类网卡执行更好的计算机管理,使得只有合法的网卡才能用于访问企业网络。
对于执行了较严格策略的用户来说,即使是使用失窃的网卡同样无法联入到企业网络当中。基于将防范和管理更加有效的部署到终端,这类嵌入式防火墙产品使用户可以建立更具可信性的网络。网卡中的硬件防火墙模块相对于每个终端计算机上安装的软件防火墙来说性能更好,终端往往要为软件防火墙耗费很多运算能力。
不过嵌入式防火墙的可配置能力和可扩展能力要相对差些,如果用户不需要太过复杂的防火墙规则,并且希望更好地控制网络访问,那么利用这种形式的产品将会非常有效。
应用领域:安全管理
Intel主动管理技术(AMT)技术是为远程计算机管理而设计的,之所以将其划归为可信计算技术是因为这项技术对于安全管理来说具有非常独特的意义和重要的作用,而且AMT的运作方式与TPM规范所提到的方式非常吻合。
在支持AMT的处理器、主板芯片组和网卡的计算机系统当中,既使在软件系统崩溃、BIOS损坏甚至是没有开机的状态下管理员仍然能在远程对计算机完成很多操作。
举例来说,在系统因病毒而瘫痪下管理员可以利用AMT技术远程进行病毒清除、补丁更新乃至操作系统安装等工作,从而可以极大的提高安全事件的响应速度并降低管理成本。执行更加复杂的管理工作有赖于软件环境的支持,目前已经有很多计算机管理解决方案厂商开始在自己的产品线中支持AMT。
在新的解决方案中用户无须在终端计算机中部署任何客户端程序,而只透过AMT即可完成多种复杂的管理功能。AMT在系统可用性上还有很多的贡献,想象一下在支持AMT的网卡中写入一些服务功能,这样在计算机系统失效的情况下这些服务将仍能够维持运作。
没有绝对的安全
“没有绝对的安全”这一定律并不会因为可信计算平台的普及而失效,尽管无论从理念还是实效上来说可信计算平台都有所创新,但是可信计算并不能解决所有的安全问题。可信计算平台只是提供了一个支点,至于是否能够翘起地球还要依赖实际的实施者。
产品设计上的不良很容易导致安全问题,尽管基于硬件的TPM安全性很高,但是一旦发现问题同样可能被攻击者作为控制计算机系统的桥头堡。而由于目前的可信计算通常仍需要与相应的软件结合起来工作,不正确的软件使用或管理不善的密码都可能为可信计算平台形成“短板”。
安全系统的融合性与联动性一直是困扰信息安全产业的一个难题,可信计算成功的在终端层次取得了突破,如何将可信计算延展到更深更广的层面以建立起更具安全性的计算设施呢?
事实上,以更高的目标建立更加抽象的可信计算架构,是有志于在信息安全行业获得领先地位者所给出的答案。思科的自防御网络、赛门铁克的主动性安全基础架构等安全框架已经成为这一领域的先行者,而国内的天融信公司也提出了可信网络架构的理念。
在评估一项新技术时可以从这样一个角度来判定其地位,就是该技术是否能够全面替代旧有的技术。从实际情况我们可以得出结论,可信计算平台在创新的同时仍然着力于对已有安全体系的增强,传统的安全防护体系和方法并不会因为可信计算平台的出现而消失,在未来的很长时间里,可信计算平台与非可信计算平台将互相融合并朝着更加安全的系统形式发展。
而比之可信计算平台,可信网络架构在更高的抽象层次和更广的作用范围为信息安全的发展提供了指导。如果可信网络架构能够形成相对统一的标准并获得切实的应用,将对全球的信息安全建设起到积极的推动作用。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。