无干扰可信模型及可信平台体系结构实现研究--《解放军信息工程大学》2009年博士论文

《解放军信息工程大学》 2009年
加入收藏获取最新
无干扰可信模型及可信平台体系结构实现研究
张兴
【摘要】： Hyposys系统。是一个分布式的计算机信息系统,由分布很广的若干个网络节点组成,上面运行着多个专用业务软件,这些业务软件运行过程中,生成大量的文件和数据库需要进行严格的访问控制,该系统内部安全程度要求很高,但又不得不连接到互联网,这样,系统成为攻击和渗透的重点对象,因此系统从BIOS、操作系统到终端、服务器,再到网络采用了种种安全措施解决系统的安全问题,即便如此,系统依然面临着来自内部的非法篡改和来自外部病毒木马干扰等一系列重大安全问题。针对这一应用背景,本文主要探讨利用可信计算达到系统运行可信目标,研究保障系统安全运行的可信平台的模型和体系结构。 首先借鉴无干扰安全策略模型,提出了一种适用于可信计算平台系统设计的理论模型----基于进程的无干扰可信模型(NITM),该模型将系统抽象为进程、操作、状态和输出,形式化地定义了进程运行可信,利用逻辑推理方法获得了系统达到运行可信所需满足的三条性质,结果隔离性、单步隔离性和无干扰隔离性,便于将模型映射到实际系统。 依据无干扰可信模型,提出了以可信根为核心支撑的可信平台体系结构,将密码机制融入到计算机体系结构的设计之中,给出可信计算平台体系结构的总体实现框架。基本思路是以密码为基础实现可信功能,以可信功能支撑系统平台的无干扰可信运行,保障系统运行安全。以可信平台控制模块为信任根,实现可信度量根、可信报告根和可信存储根,以这三个信任根为基础实现可信管道,实现应用与TPCM之间的交互,在此基础上,利用密码协议和相关命令形成一个不受其它进程干扰的运算管道,保证经过管道的输出结果预期,由此提出无干扰可信管道的工程模型,并用计算不可区分性证明了无干扰可信管道被干扰的概率可以归结为密码破译,从而将无干扰理论向工程应用推进了一步。然后分章节描述了可信平台体系结构的各个关键部分,包括可信平台密码方案、可信平台控制模块、可信平台基础支撑软件。 本文基本思路是以密码为基础实现可信计算功能,支撑系统可信运行,保障系统安全。以可信平台控制模块为可信根,由信任链扩展形成TCB(Trusted Computing Base),由可信管道实现不同层面TCB无缝连接,使TCB不受其它实体干扰。TCB扩展实质上将系统与安全相关的功能基于可信根实现,从而大大减少了TCB的规模,更便于形式化描述、验证,并且可实现。 本文是笔者参加多项可信计算科研项目基础上完成的,项目包括全国信安标委下达的可信计算标准研究制定任务,国家科技计划2007CB311100、2006AA01Z440等,所述工作以重大应用为背景,研究相应理论模型,提出工程模型,突破多项可信计算平台的关键技术,主要创新点如下: 第一、在理论模型方面提出了系统运行可信的判定条件,用逻辑推理和形式化方法研究系统运行可信,提出了基于进程的无干扰可信模型,该模型建立在严格的逻辑推理基础上,不依赖于安全机制和实现.任何一种符合这个模型的实现,都可以达到系统运行可信的目标。 第二、在工程模型方面提出了无干扰可信管道模型,用形式化方法描述可信管道是非传递无干扰可信模型的实例,并用计算不可区分性证明了可信管道模型被干扰的概率可以归纳为密码破译,达到无干扰要求,该工程模型可以用于可信平台体系结构的设计。 第三、改进了可信平台密码实现方案,提出双证书的平台证书管理方案,简化了平台密钥迁移;提出授权数据复用的授权数据管理方法和统一的授权协议,解决了大量授权数据管理中的同步问题,并用BAN逻辑方法分析了授权协议的安全性。 第四、提出可信平台控制模块(Trusted Platform Control Model,TPCM)设计方案,解决可信根问题。改变了TCG规范中的可信平台模块作为被动设备的思路,将可信平台模块设计为主控设备,实现了TPCM芯片对整个平台的主动控制作用。将可信根全部设计在芯片内部,使其受到强度更高的物理保护。 第五、研究可信平台基础支撑软件设计方案,提出可信监控器(TRM)模型,描述了由三个可信根为基础构成的三个可信管道,利用这些管道完成系统完整性度量、平台证实,外部实体对TPCM访问等功能,使得TCB不被篡改,不受其它实体运行干扰。
【关键词】：无干扰可信平台体系结构可信管道TPCM
【学位授予单位】：解放军信息工程大学
【学位级别】：博士
【学位授予年份】：2009
【分类号】：TP309
【DOI】：CNKI:CDMD:1.2009.261550
【目录】： 摘要10-12
Abstract12-15
第1章 绪论15-24
1.1 研究背景15-16
1.2 与科研项目的关系16-18
1.3 问题的提出18
1.4 设计目标18-19
1.5 研究思路19
1.6 研究意义和实用价值19-20
1.7 论文主要贡献20-21
1.8 论文的组织结构21-24
第2章 可信计算平台相关研究工作24-43
2.1 可信与可信计算平台24-26
2.2 可信计算平台相关技术26-33
2.2.1 安全协处理器IBM 475826-27
2.2.2 安全增强型CPU与Intel LT、TXT27-30
2.2.3 操作系统可信与Micro NGSCB和Vistal30-31
2.2.4 国际可信计算组织TCG31-32
2.2.5 国内可信计算研究32-33
2.3 TCG可信计算平台分析33-41
2.3.1 可信平台模块TPM33-35
2.3.2 TCG可信平台密码方案存在的问题35-39
2.3.3 TCG软件栈TSS39-40
2.3.4 TCG信任链40-41
2.4 TCG可信平台的局限性总结41-43
第3章 无干扰可信模型研究43-56
3.1 基本概念43-44
3.2 基本无干扰策略模型44-46
3.3 基于进程的无干扰可信模型46-56
3.3.1 基本符号定义47-48
3.3.2 进程运行可信48-54
3.3.3 关于可信验证函数54
3.3.4 结论54-56
第4章 可信计算平台体系结构56-80
4.1 可信平台体系结构56-62
4.1.1 体系结构相关研究56-58
4.1.2 基于密码的可信平台体系结构58-59
4.1.3 体系结构特点59-62
4.2 可信管道62-68
4.2.1 完整性度量管道63-65
4.2.2 平台身份证实管道65-66
4.2.3 可信存储管道66-68
4.3 可信管道的无干扰属性描述与证明68-74
4.3.1 基本定义68-72
4.3.2 完整性度量管道的无干扰分析72-74
4.4 可信管道是非传递无干扰的实例74-79
4.4.1 可信管道形式化描述74-76
4.4.2 可信管道模型分析76-79
4.5 可信管道模型与无干扰安全策略模型的对比79-80
第5章 可信平台密码方案80-100
5.1 可信平台密码模型80-81
5.2 TPCM中的非对称密码算法改进81-86
5.2.1 ECC与RSA的比较82-84
5.2.2 TPCM中ECC的实现84-86
5.3 TPCM的密钥管理86-88
5.3.1 TPCM密钥种类86-87
5.3.2 密钥迁移87-88
5.4 TPCM证书方案88-91
5.4.1 TCG证书配置88
5.4.2 TPCM证书配置改进方案88-91
5.4.3 证书改进方案的安全分析91
5.5 TPCM数据授权管理91-100
5.5.1 TCG授权协议分析91-94
5.5.2 TPCM授权协议方案94-97
5.5.3 BAN逻辑分析97-98
5.5.4 TPCM授权协议安全性分析98-100
第6章 可信平台控制模块100-108
6.1 TCG可信平台模块分析100-101
6.2 TPCM设计方案101-104
6.2.1 TPCM组成101-102
6.2.2 TPCM固件102-103
6.2.3 TPCM工作状态图103-104
6.3 TPCM作为主动设备与CPU相连104
6.4 TPCM主动度量方案104-106
6.5 扩展度量模块106-108
第7章 可信基础支撑软件108-120
7.1 可信软件栈108-110
7.2 TBSS实现模型110-114
7.2.1 服务提供模块112
7.2.2 上下文管理器112
7.2.3 可信参考监控器RTM112-113
7.2.4 参数块生成器113
7.2.5 设备驱动库113-114
7.3 可信参考监视器TRM114-120
7.3.1 证书配置114
7.3.2 密码功能114-115
7.3.3 文件访问控制协议115-120
第8章 结论120-123
8.1 论文取得的研究成果120-121
8.2 论文进一步研究工作121-123
参考文献123-131
作者简历 攻读博士学位期间完成的主要工作131-133
致谢133