金秋　裴斐

摘要：互聯(lián)網(wǎng)技術(shù)的發(fā)展將人類帶入了信息資源共享的新時代，同時也極大的提高了社會生產(chǎn)力。但是隨著信息系統(tǒng)安全形勢的日益嚴(yán)峻，它也成為了人類信息互聯(lián)時代發(fā)展的重大阻礙。為了控制這些安全隱患的根源，提高安全投入的回報率，可信計算設(shè)計理念應(yīng)運而生。該文基于高可信計算中的核心技術(shù)TPM這一安全防護(hù)機制展開討論，探究了高可信計算平臺的體系構(gòu)成、功能原理及相關(guān)應(yīng)用。

關(guān)鍵詞：高可信計算；互聯(lián)網(wǎng)；安全防護(hù)機制；TPM；體系結(jié)構(gòu)；密鑰

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）12-0027-03

互聯(lián)網(wǎng)在架構(gòu)布局上具有相當(dāng)充分的開放性和其他固有特性，這些特性滋生了實際應(yīng)用中所出現(xiàn)的許多網(wǎng)絡(luò)安全問題，而且遲遲未能得到根本性的解決。在DOS服務(wù)器攻擊、網(wǎng)絡(luò)病毒這樣的計算機安全威脅體系日益成熟的背景下，互聯(lián)網(wǎng)及計算機系統(tǒng)的缺陷與漏洞也日趨增加。高可信計算平臺就是針對這些安全問題而誕生的，它的核心思想是通過傳統(tǒng)的安全信息解決辦法，利用不同的思路來從根本上解決一些計算機系統(tǒng)及網(wǎng)絡(luò)安全失控的誘因，從而建立一個有安全保證的“高可信網(wǎng)絡(luò)”，并能滿足一切“高可信”質(zhì)量的計算機應(yīng)用操作與需要。

1 高可信計算平臺

1.1 基本定義

高可信計算（Trusted Computing）的定義并不固定，因為眾多廠商對其都有各自的理解，但是它的基本思路是統(tǒng)一的，那就是通過引入了安全芯片架構(gòu)的計算機硬件平臺，為計算機終端及網(wǎng)絡(luò)終端系統(tǒng)提供必要的安全性保護(hù)，從而提高系統(tǒng)運行的穩(wěn)定性與安全性。

高可信計算并非出自于可信計算組織（Trusted Computing Group），而是由彩虹系列橘皮書所提出的。他們認(rèn)為高可信計算的目標(biāo)就是一種能夠超越預(yù)設(shè)的安全規(guī)則，從而實現(xiàn)特殊行為的運行實體。這種運行實體所依托的操作系統(tǒng)環(huán)境就叫做“高可信計算基礎(chǔ)平臺（Trusted Computing Base TCB）。TCB主要是以硬件中的各種模塊為基礎(chǔ)的，這其中就包括了密匙加速器、安全協(xié)助處理器、可信平臺模塊等等多功能硬件設(shè)備。高可信計算平臺的實際設(shè)計目標(biāo)就是能夠保證真實數(shù)據(jù)的傳輸、存儲、加密與保護(hù)。同時它也保證了計算機中各種代碼的機密性與真實性。所以對計算機及互聯(lián)網(wǎng)平臺來說，高可信計算體系結(jié)構(gòu)具有極為重要的應(yīng)用價值。

1.2 體系架構(gòu)

高可信計算平臺的體系架構(gòu)是基于高可信網(wǎng)絡(luò)計算環(huán)境、空間信息及相應(yīng)軟件而構(gòu)建的。

1）高可信網(wǎng)絡(luò)計算環(huán)境

隨著時代的發(fā)展，高可信網(wǎng)絡(luò)計算環(huán)境已經(jīng)日益趨向多元化，這是通信技術(shù)的極度發(fā)達(dá)所帶來的結(jié)果。但是如今的通信業(yè)務(wù)缺乏對安全質(zhì)量需求標(biāo)準(zhǔn)的保護(hù)，同時也忽視了對網(wǎng)絡(luò)安全需求的保護(hù)，所以高可信計算平臺及網(wǎng)絡(luò)技術(shù)的提出正是為計算機及互聯(lián)網(wǎng)系統(tǒng)提供了這種高可靠性與安全性。我國國務(wù)院已經(jīng)將“高可信計算”及“高可信網(wǎng)絡(luò)”技術(shù)正式列入了《國家中長期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要（2006-2020）》。綱要中提出“高可信計算就是要以發(fā)展高可信網(wǎng)絡(luò)為重要目標(biāo)，以此來開發(fā)相關(guān)網(wǎng)絡(luò)安全信息技術(shù)與周邊產(chǎn)品，試圖建立一套具有保障功能的高可信計算平臺體系，進(jìn)而具備能夠防范各種信息安全突發(fā)事件的能力”。

2）高可信空間信息

高可信空間信息要求其管理系統(tǒng)具有完整性、實用性和機密性。例如像基于GIS軟件的高可信計算平臺就能夠?qū)ψ陨頂?shù)據(jù)庫進(jìn)行高等級的授權(quán)功能與數(shù)據(jù)保護(hù)。數(shù)據(jù)一旦授權(quán)，管理系統(tǒng)就會為其加密，并能夠在遭遇意外情況后為系統(tǒng)備份恢復(fù)數(shù)據(jù)，避免了重要信息的遺漏和丟失。

3）高可信軟件

高可信軟件是對平臺功能的一種擴(kuò)展，它可以根據(jù)用戶的需求與依賴來完善和構(gòu)建新功能，是一種動態(tài)配置機制。也就是說，高可信軟件在開發(fā)過程中完全不依托于平臺的體系結(jié)構(gòu)，而是獨立的。這就增加了高可信計算平臺的功能應(yīng)用靈活性，使其能夠適應(yīng)各種情況的發(fā)生，并根據(jù)軟件功能的多樣性來提出各種有效的解決方案[1]。

2 TPM

2.1 概念

如果說高可信計算平臺是一種能夠為計算機服務(wù)系統(tǒng)提供安全可靠性保護(hù)的計算機軟硬件實體的話，那么高可信計算平臺模塊就是這一安全技術(shù)的核心。高可信平臺模塊（Trusted Platform Model TPM）為高可信計算平臺的實現(xiàn)提供了基本思路。實際上，這一模塊的存在相當(dāng)于在高可信計算平臺創(chuàng)建了一個信任根，而圍繞這個信任根再建立信任鏈，將這種信任關(guān)系從計算機系統(tǒng)的底層擴(kuò)展到整個平臺，所以就確立了計算機系統(tǒng)的高可信屬性。一般來說，高可信計算平臺應(yīng)該具有三個基本特性，對信息數(shù)據(jù)的安全存儲保護(hù)、平臺完整性的報告及度量、還有用戶身份證明機制。

2.2 結(jié)構(gòu)

作為高可信計算平臺技術(shù)的核心，TPM具備了運算及安全控制兩大功能。具體來說，TPM所提供的功能就是計算與數(shù)據(jù)防篡改，它的組件屬性決定了它的功能特色，讓它成為了高可信計算平臺的信任基礎(chǔ)。TPM模塊具有多種組件，包括密碼協(xié)處理器、HMAC引擎、輸入輸出、密鑰生成器、電源檢測、SHA-1引擎、執(zhí)行引擎、易失性存儲器等等。如圖1。

3 高可信計算平臺體系架構(gòu)

一個完整的高可信計算平臺在體系架構(gòu)上應(yīng)該包括三個層面，首先就是高可信平臺模塊，這其中最為主要的就是TPM模塊；高可信軟件棧（TCG Software Stack TSS）以及相關(guān)應(yīng)用軟件。如圖2。

如圖2所示，除核心的TPM核心模式以外，還有TSS應(yīng)用軟件，它屬于用戶模式，介于TPM與應(yīng)用軟件二者之間，它主要為計算機系統(tǒng)的所有應(yīng)用程序提供模塊接口，以實現(xiàn)各個軟件與可信平臺模塊的同步訪問。理論上講，TSS主要包含了三個層次：TCG設(shè)備驅(qū)動庫TDDL、TSS核心服務(wù)TCS以及TSS服務(wù)的提供者TSP。TDDL能夠為用戶模式提供開放接口，它不會對TPM進(jìn)行交互管理，而是將其過渡交由更高層的軟件棧來完成?；赥PM一般都是單線程設(shè)計，所以一個計算機平臺只需要單獨一個TDDL。它一方面能夠確保TSS以不同的通信形式與系統(tǒng)中的任意一個TPM通信，另外也允許TPM模塊為操作系統(tǒng)提供仿真功能甚至是與系統(tǒng)無關(guān)的應(yīng)用接口[2]。

4 高可信計算平臺的應(yīng)用研究

上文提到，高可信計算平臺具備三個基本特性，對信息數(shù)據(jù)的安全存儲保護(hù)、平臺完整性的報告及度量、用戶身份證明機制。這三種特性的展示也實現(xiàn)了計算機系統(tǒng)達(dá)成可信計算的目標(biāo)。

4.1 身份證明機制的應(yīng)用

身份證明機制主要應(yīng)用于對主機信息的真?zhèn)悟炞C，同時它也能夠?qū)W(wǎng)絡(luò)通信實體進(jìn)行身份認(rèn)證。高可信計算平臺的特殊之處就在于它還引入了對計算機平臺完整性的度量值計算，這有利于進(jìn)一步鑒別通信對方的平臺安全環(huán)境及實際配置情況，所以說兩種功能機制的結(jié)合對網(wǎng)絡(luò)通信中對通信實體的安全驗證有很大幫助，提高了高可信網(wǎng)絡(luò)的應(yīng)用安全性，這就是基于TCG平臺的證明機制。

一般來說，TCG的證明機制包括了三個層次，平臺身份可信性證明、平臺行為可信性證明和平臺狀態(tài)可信性證明。在實際應(yīng)用中，如果TPM與公鑰證書EK相一一對應(yīng)，那就說明平臺身份具有可信性。即每一個平臺中的TPM模塊必須擁有一個合法的EK證書，才能證明TPM模塊身份在高可信計算平臺中的可信性；而如果希望通過高可信計算平臺來使用或獲取某些證明證書，就需要首先證明平臺中一切行為的完整性度量過程是可信的，這里需要依靠證書的子集數(shù)據(jù)來證明平臺的行為是可信任的。同時，利用證書子集數(shù)據(jù)證明行為可信性與完整性度量數(shù)據(jù)安全可信的過程就稱為平臺狀態(tài)可信性的證明。這一證明過程需要通過對TPM中的AIK證書進(jìn)行證明，并結(jié)合SML存儲度量日志，才能校驗度量的完整性參考值。

4.2 高可信計算平臺安全存儲的應(yīng)用

安全存儲是高可信計算平臺最重要的功能，它既可以保證系統(tǒng)中敏感數(shù)據(jù)的完整性，又能為它們保密。應(yīng)用TPM進(jìn)行敏感信息保密具有很高的時效性，因為它應(yīng)用到了TPM自身所具備的防篡改與身份識別功能。但是，TPM也有存儲空間不足這樣的缺陷，所以還不能滿足大量信息存儲的需求。為此，利用基于加密機制的封裝存儲來擴(kuò)展TPM的安全存儲容量就能解決這一難題。

所謂封裝存儲是一種加強型加密存儲方式，它的主要元件就是PCR寄存器。PCR會對所有數(shù)據(jù)在封裝以后進(jìn)行非對稱加密處理，然后將被封裝的數(shù)據(jù)信息，比如授權(quán)值、PCR值或密鑰等等進(jìn)行一一輸入。隨后，TPM會利用存儲密鑰將那些已封裝的PCR值及信息數(shù)據(jù)進(jìn)行二次非對稱加密，從而生成封裝密文塊，并保存到本地存儲設(shè)備之中。

4.3 基于信息數(shù)據(jù)安全存儲與身份認(rèn)證的高可信計算平臺密鑰封裝存儲方案

高可信計算平臺對數(shù)據(jù)信息的封裝存儲是利用到了RSA密鑰裝載機制，這種機制是基于安全存儲與身份認(rèn)證兩大TPM特性方面的密碼體制方案算法，是一種加密機制。這種加密算法體現(xiàn)了兩個優(yōu)勢，首先，新方案中的PKG完全由TPM負(fù)責(zé)。換言之，所有主要密鑰與系統(tǒng)參數(shù)都通過TPM產(chǎn)生；其次，主密鑰主要由KCM與TPM共同計算管理，二者在可信度方面值得計算機系統(tǒng)完全信任。所以這一方案算法具體包括了建立系統(tǒng)參數(shù)與加密兩大部分。

1）建立系統(tǒng)參數(shù)

TPM內(nèi)部首先會隨機生成RNG安全參數(shù)n與k，然后再依照相應(yīng)算法生成主密鑰與系統(tǒng)公開參數(shù)。其中，主密鑰就是應(yīng)用于計算之中的私鑰，具體計算如下：

第一步：以大素數(shù)q的GDH群G1和G2作為選擇階，G1為橢圓曲線E（Fp）上各點所構(gòu)建的加法循環(huán)群，P為生成元，G2表示域Fq中的乘法子群；

第二步：選擇雙線性映射e：G1xG2→G2和G1中的生成元P；

第三步：任意選擇s∈Zq，Ppub=sP；

第四步：在系統(tǒng)中加入hash函數(shù)H1：{0，1}→G1 H2：G2→{0，1}；

第五步：根據(jù)上述數(shù)據(jù)公式定義明文密鑰對象空間，即M={0，1}，包括密文密鑰對象空間C=G1x{0，1}n。

根據(jù)上述五步算法，就可以令TPM生成系統(tǒng)公開參數(shù)params={q，G1，G2，e，n，P，Ppub，H1，H2}。

2）加密設(shè)計

建立系統(tǒng)公開參數(shù)之后就可以進(jìn)行數(shù)據(jù)信息加密，加密是在建立新密鑰對象時的必要操作，如果取密鑰的身份公鑰ID為ID∈{0，1}*，那么就應(yīng)該在加密保護(hù)過程中輸入params，由TPM重新生成一個明文子密鑰對象m∈{0，1}n，計算過程如下：

第一步：輸入身份公鑰ID，并用TPM計算QID=H1（ID）∈G1；

第二步：TPM計算QID后再次隨機選擇r∈Zq；

第三步：計算gID=e（QID，Ppub）∈G2；

第四步：計算U=rP，V=mH2（grID），密文C取值（U，V）。

所以，根據(jù)上述計算所得到的TPM密鑰對象在加密過程中就應(yīng)該體現(xiàn)出如圖4的流程[3]。

5 總結(jié)

現(xiàn)如今，基于安全性考慮的高可信計算已經(jīng)能夠?qū)崿F(xiàn)對計算機系統(tǒng)密碼的機密性保護(hù)、身份證明和認(rèn)證等應(yīng)用，充分的體現(xiàn)了目前計算機系統(tǒng)體系中所強調(diào)的整體安全與相對安全的概念。作為一種全新的安全防護(hù)解決方案，它的安全機制更加利于對現(xiàn)代互聯(lián)網(wǎng)中安全問題的解決，值得廣泛應(yīng)用和深度研究。

參考文獻(xiàn)：

[1] 吳信才，陳占龍，吳亮，等.構(gòu)建GIS高可信服務(wù)計算環(huán)境探討[J].地理與地理信息科學(xué)，2007，23（4）：5-8.

[2] 劉寧.基于TPM的可信計算的研究[J].北京機械工業(yè)學(xué)院學(xué)報：綜合版，2008，23（4）：50-52.

[3] 宋成.可信計算平臺中若干關(guān)鍵技術(shù)研究[D]. 北京： 北京郵電大學(xué)，2011：46-49.