專(zhuān)利名稱(chēng):可容忍非信任組件的安全終端加固模型及加固方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種保證接入網(wǎng)絡(luò)的終端設(shè)備計(jì)算平臺(tái)安全性的模型及方法,尤其涉 及一種利用可信計(jì)算技術(shù)����,構(gòu)造安全結(jié)果可預(yù)測(cè)的終端計(jì)算平臺(tái)的可容忍非信任組件的安 全終端加固模型及加固方法。
背景技術(shù):
可信計(jì)算是一種基于源頭可信的終端安全保護(hù)思想��??尚庞?jì)算組織TCGCTrusted Computing Group)將實(shí)體行為的可預(yù)期性作為可信的基礎(chǔ),它認(rèn)為如果一個(gè)實(shí)體的行為總 是以預(yù)期的方式���、朝著預(yù)期的目標(biāo)發(fā)展��,則認(rèn)為一個(gè)實(shí)體是可信的���。可信計(jì)算的基本思想 是在信任根的基礎(chǔ)上建立一條信任鏈�,基于逐級(jí)測(cè)量認(rèn)證,逐級(jí)信任傳遞��,把信任關(guān)系擴(kuò)大 到整個(gè)計(jì)算機(jī)系統(tǒng)���,從而確保計(jì)算機(jī)系統(tǒng)的可信���。TCG規(guī)范的可信計(jì)算基(TCB)和可信根 (Roots of Trust)由可信平臺(tái)模塊 TPM(Trusted Platform Module)承擔(dān)�。TPM 是 TCG 可 信計(jì)算平臺(tái)的核心��,TPM是一個(gè)帶密碼運(yùn)算功能的安全微控制器����,由輸入和輸出、密碼協(xié)處 理器���、散列消息認(rèn)證碼HMAC引擎等組件構(gòu)成�,通過(guò)LPC (Low Pin Count)總線與PC芯片集 結(jié)合在一起��。TPM通過(guò)提供密鑰管理和配置管理等特性���,與配套的應(yīng)用軟件一起�,主要用于 完成計(jì)算平臺(tái)的可靠性認(rèn)證��、用戶身份認(rèn)證和數(shù)字簽名等功能�。按照TCG可信計(jì)算的基本 概念�,一個(gè)組件是可信的當(dāng)且僅當(dāng)其通過(guò)了完整性評(píng)估。組件完整性評(píng)估的依據(jù)是可信度 量模塊(或度量代理)對(duì)組件度量的結(jié)果與參考值的比較��,如果一致則判為可信?���;谶@一觀點(diǎn),如果一個(gè)組件是“不可信”的��,說(shuō)明該組件沒(méi)有通過(guò)完整性度量���,不 能被啟動(dòng)和加載����。但實(shí)際上�,不可信的組件并不代表該組件就一定惡意破壞過(guò),如版本升 級(jí)����、新的組件等,在這種情況下���,被判定不可信的組件也許是可以信任的�。正是TCG的這一處理機(jī)制嚴(yán)重制約了可信計(jì)算平臺(tái)的應(yīng)用并受到多方的質(zhì)疑�。如 果一個(gè)升級(jí)的應(yīng)用組件或新的應(yīng)用組件要運(yùn)行在可信平臺(tái)之上,必須對(duì)可信平臺(tái)上的TPM 模塊的完整性度量參照值進(jìn)行重寫(xiě)。而這需要TPM廠商提供相應(yīng)的處理機(jī)制�����,而遺憾的是���, 這一過(guò)程復(fù)雜而漫長(zhǎng)����。也就是說(shuō)���,可信平臺(tái)的應(yīng)用加載受到了極大限制�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)中存在的不足而提供一種允許非信任組件加載 的可容忍非信任組件的安全終端加固模型及加固方法��,該方法不管終端加載的組件是否可 信�����,都要保證最終安全結(jié)果的可預(yù)測(cè)和可控性��,即保證訪問(wèn)接入網(wǎng)絡(luò)時(shí)所涉及信息的機(jī)密 性����,保證終端本地信息的機(jī)密性和完整性����。本發(fā)明的目的是這樣實(shí)現(xiàn)的—種可容忍非信任組件的安全終端加固模型,其特征在于該終端加固模型包括 硬件層����、虛擬層、操作系統(tǒng)層和應(yīng)用層���;終端硬件層除計(jì)算機(jī)基本硬件設(shè)施之外���,增加有USB —體化嵌入式可信系統(tǒng),該 系統(tǒng)實(shí)現(xiàn)通信服務(wù)�、TPM服務(wù)和可信網(wǎng)絡(luò)連接功能,是一個(gè)獨(dú)立���、完整的具有可信TPM功能的片上系統(tǒng)S0C��,由安全芯片����、通信模塊、Flash芯片和Linux系統(tǒng)共同組成��,該系統(tǒng)不受上 層操作系統(tǒng)的影響和控制�����,即使操作系統(tǒng)存在Bug或隱通道�,也不會(huì)對(duì)網(wǎng)絡(luò)訪問(wèn)控制造成 實(shí)質(zhì)性安全損害,還解決目前的終端設(shè)備缺少TPM模塊支持這一問(wèn)題�;基于USB —體化嵌入式可信系統(tǒng)能夠完成終端對(duì)非信任組件的容忍,所謂“非信 任組件”�����,按照TCG可信計(jì)算組織的觀點(diǎn)�����,一個(gè)組件是“不可信”的�,說(shuō)明該組件沒(méi)有通過(guò)完整 性度量,不能被啟動(dòng)和加載�����,但實(shí)際上���,不可信的組件并不代表該組件就一定惡意破壞過(guò)���, 在版本升級(jí)���、新的組件情況下����,被判定不可信的組件是可以信任的,針對(duì)這種情況�����,可容忍 非信任組件的終端允許非信任組件加載�����,但不管終端加載的組件是否可信�,都可保證安全 結(jié)果的可預(yù)測(cè)和可控性,保證訪問(wèn)網(wǎng)絡(luò)所涉及信息的機(jī)密性���,保證終端本地信息的機(jī)密性 和完整性����;USB 一體化嵌入式可信系統(tǒng)通過(guò)USB接口和終端設(shè)備交換信息,并提供標(biāo)準(zhǔn)的TPM 功能���,開(kāi)辟一個(gè)非易失可信存取區(qū)用以存放VM Loader,OS Loader和Visual Box虛擬機(jī)程 序�,非易失可信存儲(chǔ)區(qū)用戶不能修改��,VM Loader放置在USB存儲(chǔ)區(qū)的主引導(dǎo)記錄MBR(Main Boot Record)區(qū)�����,而擴(kuò)展代理 EMMl (Extended Measurement Module�����,EMMl 存儲(chǔ)在嵌入式可 信系統(tǒng)的用戶不可更改Flash中)��、EMM2 (EMM2存儲(chǔ)在OS Loader中)作為程序代碼分別存 儲(chǔ)在Visual Box虛擬機(jī)和OS Loader程序中���;終端虛擬層位于硬件層和操作系統(tǒng)層之間����,利用虛擬機(jī)實(shí)現(xiàn)硬件資源的透明加密 虛擬化���、任務(wù)的隔離�����、USB端口對(duì)可移動(dòng)存儲(chǔ)設(shè)備的控制以及通過(guò)虛擬網(wǎng)卡管理所有的通信 資源等功能�����;終端操作系統(tǒng)層包括支持白名單機(jī)制的可信計(jì)算軟件基TCSBCTrustedComputing Software Base)�、可信基礎(chǔ)支撐軟件系統(tǒng)服務(wù)TSS (TCBSS SystemService)和可信基礎(chǔ)支撐 軟件應(yīng)用服務(wù)TAS(TCBSS Application Service);終端應(yīng)用層是應(yīng)用程序�,它們是非信任 組件�。一種可容忍非信任組件的安全終端加固方法,其特征在于該方法基于USB —體 化嵌入式可信系統(tǒng)構(gòu)建�����,對(duì)終端計(jì)算環(huán)境安全加固的具體步驟如下(1)��、終端設(shè)備開(kāi)機(jī)后��,處于終端硬件層的USB —體化嵌入式可信系統(tǒng)首先加電�����, 加載嵌入式可信系統(tǒng)����,并清除USB存儲(chǔ)模塊的MBR ����;嵌入式可信系統(tǒng)度量VM Loader成功后����, 將存儲(chǔ)的可信VM Loader覆蓋釋放到USB存儲(chǔ)模塊的MBR ;(2)��、基于USB模塊和用戶口令PIN碼的USB MBR認(rèn)證用戶成功后���,MBR引導(dǎo)存儲(chǔ) 在USB可信存取區(qū)的虛擬機(jī)Visual Box加載啟動(dòng)��,并加載虛擬加密存儲(chǔ)���、虛擬內(nèi)存、虛擬網(wǎng) 卡���、端口控制等虛擬設(shè)備�����,同時(shí)啟動(dòng)虛擬機(jī)可信度量代理模塊EMMl �;(3) ,Visual Box啟動(dòng)成功后,EMMl度量模塊度量確認(rèn)windows操作系統(tǒng)內(nèi)核的完 整性�,生成并釋放出一個(gè)Windows的引導(dǎo)加載模塊OS Loader,覆蓋存儲(chǔ)到本機(jī)硬盤(pán)的MBR ���;(4)��、硬盤(pán)MBR引導(dǎo)內(nèi)核加載�,OS Loader內(nèi)的擴(kuò)展度量模塊EMM2度量TCSB的完 整性并加載可信計(jì)算軟件基TCSB��,TCSB包括進(jìn)程控制模塊���、訪問(wèn)控制及其訪問(wèn)決策模塊���、 VPN客戶端模塊�����、網(wǎng)絡(luò)過(guò)濾模塊���、安全代理模塊和審計(jì)模塊等安全加固模塊��,其中進(jìn)程控制 模塊作為擴(kuò)展的度量模塊EMM3 ��;(5)EMM3度量加載應(yīng)用程序�,加載分兩種情況可信加載和基于白名單加載。采用USB —體化嵌入式可信系統(tǒng)作為終端的可信根�����,包括可信度量�、可信存儲(chǔ)和可信報(bào)告,在這一方面����,它對(duì)應(yīng)TCG可信平臺(tái),實(shí)現(xiàn)可信平臺(tái)控制模塊TPM的功能�����,USB —體 化是指基于USB接口�,將通信服務(wù)、TPM服務(wù)和可信網(wǎng)絡(luò)連接融為一體��,方便用戶的使用�����, USB 一體化嵌入式可信系統(tǒng)實(shí)現(xiàn)了基于GSM/GPRS/TD-SCDMA/WLAN等多種通信網(wǎng)絡(luò)的VPN連 接,它起到網(wǎng)絡(luò)連接通信的作用�,USB—體化嵌入式可信系統(tǒng)還實(shí)現(xiàn)平臺(tái)安全策略的控制和管理?��;赩irtual Box虛擬機(jī)實(shí)現(xiàn)硬件資源的透明加密虛擬化�����,以支持存儲(chǔ)保護(hù)機(jī)制�; 虛擬機(jī)的虛擬內(nèi)存實(shí)現(xiàn)任務(wù)的隔離���;虛擬機(jī)還能夠基于USB端口對(duì)可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行控 制���,只有符合安全策略的外部存儲(chǔ)設(shè)備才和終端交互信息,防止敏感信息的外泄�����;虛擬網(wǎng)卡 管理所有的通信資源���,保障信息傳輸邏輯出口的唯一性。支持白名單機(jī)制的TCSB��,列入白名單機(jī)制的服務(wù)和應(yīng)用不需要進(jìn)行完整性度量即 可啟動(dòng),以容忍非信任組件的加載和運(yùn)行���,TCSB通過(guò)其訪問(wèn)控制及其訪問(wèn)決策�、VPN連接和 網(wǎng)絡(luò)包過(guò)濾等安全機(jī)制�����,并在虛擬機(jī)的加密存儲(chǔ)�����、內(nèi)存隔離�、端口和外設(shè)控制等安全機(jī)制配 合下,確保對(duì)非信任組件的惡意行為進(jìn)行有效的控制和管理��。本發(fā)明的目的是這樣實(shí)現(xiàn)的一種可容忍非信任組件的安全終端加固方法�,該方 法基于USB —體化嵌入式可信系統(tǒng)構(gòu)建,對(duì)終端計(jì)算環(huán)境進(jìn)行安全加固��,其特征在于加固 的具體步驟如下(1)����、終端設(shè)備開(kāi)機(jī)后,處于終端硬件層的USB —體化嵌入式可信系統(tǒng)首先加電����, 加載嵌入式可信系統(tǒng)���,并清除USB存儲(chǔ)模塊的MBR,嵌入式可信系統(tǒng)度量VM Loader成功后����, 將存儲(chǔ)的可信VM Loader覆蓋釋放到USB存儲(chǔ)模塊的MBR ;(2)��、基于USB模塊和用戶口令PIN碼的USB MBR認(rèn)證用戶成功后��,MBR引導(dǎo)存儲(chǔ) 在USB可信存取區(qū)的虛擬機(jī)Visual Box加載啟動(dòng)�,并加載虛擬加密存儲(chǔ)、虛擬內(nèi)存��、虛擬網(wǎng) 卡��、端口控制等虛擬設(shè)備����,同時(shí)啟動(dòng)虛擬機(jī)可信度量代理模塊EMMl ;(3) ,Visual Box啟動(dòng)成功后���,EMMl度量模塊度量確認(rèn)windows操作系統(tǒng)內(nèi)核的完 整性,生成并釋放出一個(gè)Windows的引導(dǎo)加載模塊OS Loader,覆蓋存儲(chǔ)到本機(jī)硬盤(pán)的MBR ����;(4)、硬盤(pán)MBR引導(dǎo)內(nèi)核加載��,OS Loader內(nèi)的擴(kuò)展度量模塊EMM2度量TCSB的完 整性并加載可信計(jì)算軟件基TCSB��,TCSB包括進(jìn)程控制模塊��、訪問(wèn)控制及其訪問(wèn)決策模塊�����、 VPN客戶端模塊�����、網(wǎng)絡(luò)過(guò)濾模塊�����、安全代理模塊和審計(jì)模塊等安全加固模塊����,其中進(jìn)程控制 模塊作為擴(kuò)展的度量模塊EMM3 ���;(5)EMM3度量加載應(yīng)用程序,加載分兩種情況可信加載和基于白名單加載���。采用USB —體化嵌入式可信系統(tǒng)作為終端的可信根���,包括可信度量、可信存儲(chǔ)和 可信報(bào)告�����,在這一方面�����,它對(duì)應(yīng)TCG可信平臺(tái)的嵌入式可信系統(tǒng)實(shí)現(xiàn)可信平臺(tái)控制模塊TPM 的功能����,USB 一體化是指基于USB接口,將通信服務(wù)�、TPM服務(wù)和可信網(wǎng)絡(luò)連接融為一體,方 便用戶的使用����,USB —體化嵌入式可信系統(tǒng)實(shí)現(xiàn)了基于GSM/GPRS/TD-SCDMA/WLAN等多種通 信網(wǎng)絡(luò)的VPN連接��,它起到網(wǎng)絡(luò)連接通信的作用��,USB —體化嵌入式可信系統(tǒng)還實(shí)現(xiàn)平臺(tái)安 全策略的控制和管理?����;赩irtual Box虛擬機(jī)實(shí)現(xiàn)硬件資源的透明加密虛擬化����,以支持存儲(chǔ)保護(hù)機(jī)制; 虛擬機(jī)的虛擬內(nèi)存可以實(shí)現(xiàn)任務(wù)的隔離��;虛擬機(jī)還能夠基于USB端口對(duì)可移動(dòng)存儲(chǔ)設(shè)備進(jìn) 行控制��,只有符合安全策略的外部存儲(chǔ)設(shè)備才和終端交互信息����,防止敏感信息的外泄;虛擬 網(wǎng)卡管理所有的通信資源���,保障信息傳輸邏輯出口的唯一性��。
支持白名單機(jī)制的TCSB���,列入白名單機(jī)制的服務(wù)和應(yīng)用不需要進(jìn)行完整性度量即 可啟動(dòng)�����,以容忍非信任組件的加載和運(yùn)行��,TCSB通過(guò)其訪問(wèn)控制及其訪問(wèn)決策��、VPN連接和 網(wǎng)絡(luò)包過(guò)濾等安全機(jī)制���,并在虛擬機(jī)的加密存儲(chǔ)、內(nèi)存隔離��、端口和外設(shè)控制等安全機(jī)制配 合下�,確保對(duì)非信任組件的惡意行為進(jìn)行有效的控制和管理。本發(fā)明的效果在于���,配合現(xiàn)有的可信計(jì)算及其它信息安全技術(shù)�,構(gòu)造一個(gè)安全結(jié) 果可預(yù)測(cè)的終端計(jì)算環(huán)境�����。當(dāng)運(yùn)行在終端上的組件不可信的情況下,保證最終結(jié)果的可預(yù) 測(cè)和可控性�,保證訪問(wèn)終端訪問(wèn)網(wǎng)絡(luò)時(shí)所涉及信息的機(jī)密性,保證終端本地信息的機(jī)密性 和完整性��。采用USB —體化嵌入式可信系統(tǒng)作為終端的可信根�,基于虛擬機(jī)實(shí)現(xiàn)對(duì)非信任 組件的行為控制,支持白名單機(jī)制的可信計(jì)算軟件基保證列入白名單機(jī)制的服務(wù)和應(yīng)用不 需要進(jìn)行完整性度量即可啟動(dòng)�,以容忍非信任組件的加載和運(yùn)行���。
圖1為可容忍非信任組件的安全終端模型���。圖2USB —體化嵌入式可信系統(tǒng)物理組成圖。圖3安全終端的可信啟動(dòng)流程�。
具體實(shí)施例方式如圖1所示,該圖為可容忍非信任組件的安全終端模型的邏輯構(gòu)成圖�����。這種安全 終端加固方法體現(xiàn)為可容忍非信任組件的安全終端加固模型��。在這一模型中���,在信息傳輸 通道(如網(wǎng)絡(luò)�����、藍(lán)牙�、紅外及其它通信手段)和存儲(chǔ)介質(zhì)(U盤(pán)、硬盤(pán)����、可讀寫(xiě)光盤(pán))環(huán)節(jié)采取 有效的技術(shù)手段,配合現(xiàn)有的可信計(jì)算及其它信息安全技術(shù)�,有效防止木馬、病毒����、系統(tǒng)后 門(mén)、隱通道或惡意人為的泄密事件的發(fā)生��,構(gòu)造一個(gè)安全結(jié)果可預(yù)測(cè)的終端可信計(jì)算環(huán)境���。 該模型包括硬件層�、虛擬層���、操作系統(tǒng)層和應(yīng)用層���。終端硬件層除計(jì)算機(jī)基本硬件設(shè)施之外,新增加了 USB —體化嵌入式可信系統(tǒng), 該系統(tǒng)實(shí)現(xiàn)通信服務(wù)�、TPM服務(wù)和可信網(wǎng)絡(luò)連接功能,是一個(gè)獨(dú)立�����、完整的具有可信TPM功 能的片上系統(tǒng)S0C���,由安全芯片��、通信模塊�����、Flash芯片和Linux系統(tǒng)共同組成。該系統(tǒng)不受 上層操作系統(tǒng)的影響和控制�,即使操作系統(tǒng)存在Bug或隱通道,也不會(huì)對(duì)網(wǎng)絡(luò)訪問(wèn)控制造 成實(shí)質(zhì)性安全損害��,還解決目前的終端設(shè)備缺少TPM模塊支持這一問(wèn)題�。基于USB —體化嵌入式可信系統(tǒng)能夠完成終端對(duì)非信任組件的容忍����。所謂“非信 任組件”,按照TCG可信計(jì)算組織的觀點(diǎn),一個(gè)組件是“不可信”的�����,說(shuō)明該組件沒(méi)有通過(guò)完整 性度量�,不能被啟動(dòng)和加載。但實(shí)際上�,不可信的組件并不代表該組件就一定惡意破壞過(guò), 如版本升級(jí)��、新的組件等���,在這種情況下����,被判定不可信的組件也許是可以信任的���。針對(duì)這 種情況�����,可容忍非信任組件的終端允許非信任組件加載��,但不管終端加載的組件是否可信���, 都可保證安全結(jié)果的可預(yù)測(cè)和可控性�,保證訪問(wèn)網(wǎng)絡(luò)所涉及信息的機(jī)密性���,保證終端本地 信息的機(jī)密性和完整性��。USB 一體化嵌入式可信系統(tǒng)由安全芯片����,flash芯片和通信模塊等部分組成����。安全芯片SCCII_U+是一款帶有USB接口的32位RISC安全芯片,它與工業(yè)標(biāo)準(zhǔn)的 ARM9單片機(jī)指令集完全兼容���,該安全芯片配置自主密碼算法引擎,內(nèi)置硬件真隨機(jī)數(shù)發(fā)生 器和安全防護(hù)單元��。安全芯片完成TPM的功能和密碼服務(wù)功能���,同時(shí)它還完成策略管理與控制的功能���。Flash芯片采用K9G8G08U0M NAND Flash芯片(2GX8Bit)��,它掛接在安全芯片的 后面�,在安全芯片的控制下提供非易失可信存儲(chǔ)的功能��。通信模塊采用雙模移動(dòng)通信模塊SIM4100��,它既支持TD-SCDMA通信網(wǎng)絡(luò)�����,也支持 GSM/GPRS通信網(wǎng)絡(luò)�。它掛接在安全芯片的后面,在安全芯片的控制下�,實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制。USB 一體化嵌入式可信系統(tǒng)通過(guò)USB接口和終端設(shè)備交換信息�����,并提供標(biāo)準(zhǔn)的TPM 功能��。開(kāi)辟一個(gè)非易失可信存取區(qū)用以存放VM Loader,OS Loader和Visual Box虛擬機(jī)程 序��,非易失可信存儲(chǔ)區(qū)用戶不能修改�。VM Loader放置在USB存儲(chǔ)區(qū)的主引導(dǎo)記錄MBR(Main Boot Record)區(qū),而擴(kuò)展代理 EMMl (Extended Measurement Module�,EMMl 存儲(chǔ)在嵌入式可 信系統(tǒng)的用戶不可更改Flash中)����、EMM2 (EMM2存儲(chǔ)在OS Loader中)作為程序代碼分別存 儲(chǔ)在Visual Box虛擬機(jī)和OS Loader程序中����。終端虛擬層位于硬件層和操作系統(tǒng)層之間,利用虛擬機(jī)實(shí)現(xiàn)硬件資源的透明加密 虛擬化��、任務(wù)的隔離���、USB端口對(duì)可移動(dòng)存儲(chǔ)設(shè)備的控制以及通過(guò)虛擬網(wǎng)卡管理所有的通信 資源等功能���;終端操作系統(tǒng)層包括支持白名單機(jī)制的可信計(jì)算軟件基TCSB (TrustedComputing Software Base)、可信基礎(chǔ)支撐軟件系統(tǒng)服務(wù)TSS (TCBSS SystemService)和可信基礎(chǔ)支撐 軟件應(yīng)用服務(wù) TAS(TCBSS Application Service)���;終端應(yīng)用層主要是各種應(yīng)用程序�,它們可以是非信任組件�����。1)硬件層現(xiàn)有網(wǎng)絡(luò)的終端設(shè)備一般缺少TPM����,無(wú)法直接基于TPM模塊構(gòu)建可信應(yīng) 用環(huán)境。本發(fā)明采用USB—體化嵌入式可信系統(tǒng)作為終端的可信根���,包括可信度量���、可信存 儲(chǔ)和可信報(bào)告,在這一方面�,它對(duì)應(yīng)TCG可信平臺(tái)的可信平臺(tái)控制模塊TPM。USB —體化是 指基于USB接口�,將通信服務(wù)、TPM服務(wù)和可信網(wǎng)絡(luò)連接融為一體�,方便用戶的使用。USB 一體化嵌入式可信系統(tǒng)實(shí)現(xiàn)了基于GSMAffRS/TD-SCDMA/WLAN等多種通信網(wǎng) 絡(luò)的VPN連接��,它起到網(wǎng)絡(luò)連接通信的作用�����。USB 一體化嵌入式可信系統(tǒng)還實(shí)現(xiàn)平臺(tái)安全策略的控制和管理���。2)虛擬層基于Virtual Box虛擬機(jī)實(shí)現(xiàn)硬件資源的透明加密虛擬化��,以支持存 儲(chǔ)保護(hù)機(jī)制�。Windows系統(tǒng)寫(xiě)存儲(chǔ)設(shè)備時(shí)��,磁盤(pán)加密模塊完成信息的加密后存入物理存儲(chǔ)設(shè) 備;Windows系統(tǒng)讀存儲(chǔ)設(shè)備時(shí)���,磁盤(pán)加密模塊讀出物理存儲(chǔ)設(shè)備存儲(chǔ)的信息���,解密后返回 給上層系統(tǒng),從而完成全盤(pán)的透明加密存儲(chǔ)��?���;赩irtual Box虛擬機(jī)實(shí)現(xiàn)的虛擬內(nèi)存可以實(shí)現(xiàn)任務(wù)的隔離;USB端口安全控 制模塊對(duì)可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行控制�����,只有符合安全策略的外部存儲(chǔ)設(shè)備才可以和移動(dòng)終端 交互信息�,防止敏感信息的外泄;虛擬網(wǎng)卡管理所有的通信資源��,保障信息傳輸邏輯出口的 唯一性�����。3)操作系統(tǒng)層操作系統(tǒng)層包括支持白名單機(jī)制的可信計(jì)算軟件基 TCSB(Trusted Computing Software Base)��、可信基礎(chǔ)支撐軟件系統(tǒng)服務(wù)和 TSS(TCBSS System Service)和可信基礎(chǔ)支撐軟件應(yīng)用服務(wù) TAS (TCBSSApplication Service)���。TCSB由嵌入可信系統(tǒng)度量完整性后加載�,以保證其自身可信性�����。TCSB的安全機(jī)制 包括進(jìn)程控制��、訪問(wèn)控制及其訪問(wèn)決策��、VPN連接��、網(wǎng)絡(luò)包過(guò)濾��、安全代理和審計(jì)���。TCSB禁 止用戶維護(hù)管理安全規(guī)則�,安全規(guī)則由后臺(tái)管理系統(tǒng)統(tǒng)一控制且通過(guò)硬件密碼模塊存儲(chǔ)分發(fā)�����,確保終端任何時(shí)候只能接入專(zhuān)用網(wǎng)絡(luò),且所有經(jīng)過(guò)網(wǎng)絡(luò)傳輸?shù)男畔⒈仨氝M(jìn)行加密��。TCSB 獨(dú)立運(yùn)行�,并不可被旁路。TCSB的進(jìn)程控制機(jī)制對(duì)可信計(jì)算平臺(tái)操作系統(tǒng)服務(wù)和應(yīng)用程序的完整性度量進(jìn) 行度量����,確保進(jìn)程的完整和可信。TCSB支持白名單機(jī)制�,列入白名單機(jī)制的服務(wù)和應(yīng)用不需要進(jìn)行完整性度量即可 啟動(dòng),以容忍非信任組件的加載和運(yùn)行�����。TCSB通過(guò)其訪問(wèn)控制及其訪問(wèn)決策��、VPN連接和網(wǎng) 絡(luò)包過(guò)濾等安全機(jī)制�,并在虛擬層的加密存儲(chǔ)、內(nèi)存隔離�����、端口和外設(shè)控制等安全機(jī)制配合 下���,確保對(duì)非信任組件的惡意行為進(jìn)行有效的控制和管理��。TSS運(yùn)行在TCSB之上��,基于嵌入式可信系統(tǒng)�����,向應(yīng)用程序提供可信平臺(tái)控制模塊 的證書(shū)�,密鑰���,密碼功能和完整性數(shù)據(jù)管理等接口��。TAS運(yùn)行在TSS之上��,向用戶提供可信計(jì)算支撐軟件的高層應(yīng)用接口�����,包括完整性 保護(hù)��、可信認(rèn)證和數(shù)據(jù)保護(hù)等三個(gè)部分�����。4)應(yīng)用層主要是各種應(yīng)用程序�����,它可以是非信任組件��。下面通過(guò)USB —體化嵌入式可信系統(tǒng)組成結(jié)構(gòu)和加載流程的介紹�����,給出可容忍非 信任組件的安全終端加固模型的具體工作過(guò)程����,這一工作已經(jīng)在Windows 2000/XP/2003 系統(tǒng)上實(shí)現(xiàn)。1. USB 一體化嵌入式可信系統(tǒng)物理組成USB 一體化嵌入式可信系統(tǒng)是一個(gè)由安全芯片����、通信模塊、Flash芯片和Linux系 統(tǒng)共同組成的片上系統(tǒng)SOC (System On Chip)����。其物理組成如圖2。安全芯片SCCII U+是一款帶有USB接口的32位RISC安全芯片����,它與工業(yè)標(biāo)準(zhǔn)的 ARM9單片機(jī)指令集完全兼容,該安全芯片配置自主密碼算法引擎�����,內(nèi)置硬件真隨機(jī)數(shù)發(fā)生 器和安全防護(hù)單元。安全芯片完成TPM的功能和密碼服務(wù)功能�����,同時(shí)它還完成策略管理與 控制的功能��。Flash芯片采用K9G8G08U0M NAND Flash芯片(2GX8Bit)�,它掛接在安全芯片的 后面����,在安全芯片的控制下提供非易失可信存儲(chǔ)的功能。通信模塊采用雙模移動(dòng)通信模塊SIM4100�����,它既支持TD-SCDMA通信網(wǎng)絡(luò)�,也支持 GSM/GPRS通信網(wǎng)絡(luò)。它掛接在安全芯片的后面�,在安全芯片的控制下,實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制�。2.基于USB —體化嵌入式可信系統(tǒng)的安全終端加載流程基于USB —體化嵌入式可信系統(tǒng)的安全終端可信啟動(dòng)流程如圖3。(1)系統(tǒng)開(kāi)機(jī)后����,USB—體化嵌入式可信系統(tǒng)加電�,加載嵌入式可信系統(tǒng)�����,并清除 USB存儲(chǔ)模塊的MBR���。嵌入式可信系統(tǒng)度量VM Loader成功后��,將存儲(chǔ)的可信VM Loader覆 蓋釋放到USB存儲(chǔ)模塊的MBR �;(2) USB MBR認(rèn)證用戶(基于USB模塊和用戶口令PIN碼)成功后����,MBR引導(dǎo)存儲(chǔ) 在USB可信存取區(qū)的虛擬機(jī)Visual Box加載啟動(dòng),并加載虛擬加密存儲(chǔ)�、虛擬內(nèi)存、虛擬網(wǎng) 卡����、端口控制等虛擬設(shè)備,同時(shí)啟動(dòng)虛擬機(jī)可信度量代理模塊EMMl ��;(3) Visual Box啟動(dòng)成功后����,EMMl度量模塊度量確認(rèn)windows操作系統(tǒng)內(nèi)核的完 整性���,生成并釋放出一個(gè)Windows的引導(dǎo)加載模塊OSLoader,覆蓋存儲(chǔ)到本機(jī)硬盤(pán)的MBR ��;(4)硬盤(pán)MBR引導(dǎo)內(nèi)核加載�,OS Loader內(nèi)的擴(kuò)展度量模塊EMM2度量TCSB的完 整性并加載TCSB(Trusted Computing Software Base),包括進(jìn)程控制模塊�、訪問(wèn)控制及其訪問(wèn)決策模塊、VPN客戶端模塊����、網(wǎng)絡(luò)過(guò)濾模塊���、安全代理模塊和審計(jì)模塊等安全加固模 塊)��。其中進(jìn)程控制模塊作為擴(kuò)展的度量模塊EMM3 �����; (5)EMM3度量加載應(yīng)用程序��。加載分兩種情況可信加載和基于白名單加載���。
權(quán)利要求
1.一種可容忍非信任組件的安全終端加固模型�,其特征在于該終端加固模型包括硬 件層�、虛擬層、操作系統(tǒng)層和應(yīng)用層�����;終端硬件層除計(jì)算機(jī)基本硬件設(shè)施之外�����,增加有USB —體化嵌入式可信系統(tǒng)�����,該系統(tǒng) 實(shí)現(xiàn)通信服務(wù)�����、TPM服務(wù)和可信網(wǎng)絡(luò)連接功能����,是一個(gè)獨(dú)立、完整的具有可信TPM功能的片 上系統(tǒng)S0C����,由安全芯片�、通信模塊�、Flash芯片和Linux系統(tǒng)共同組成,該系統(tǒng)不受上層操 作系統(tǒng)的影響和控制��,即使操作系統(tǒng)存在Bug或隱通道��,也不會(huì)對(duì)網(wǎng)絡(luò)訪問(wèn)控制造成實(shí)質(zhì) 性安全損害����,還解決目前的終端設(shè)備缺少TPM模塊支持這一問(wèn)題;基于USB —體化嵌入式可信系統(tǒng)能夠完成終端對(duì)非信任組件的容忍��,所謂“非信任組 件”����,按照TCG可信計(jì)算組織的觀點(diǎn)�����,一個(gè)組件是“不可信”的���,說(shuō)明該組件沒(méi)有通過(guò)完整性 度量�����,不能被啟動(dòng)和加載���,但實(shí)際上��,不可信的組件并不代表該組件就一定惡意破壞過(guò)����,在 版本升級(jí)��、新的組件情況下����,被判定不可信的組件是可以信任的,針對(duì)這種情況����,可容忍非 信任組件的終端允許非信任組件加載,但不管終端加載的組件是否可信���,都可保證安全結(jié) 果的可預(yù)測(cè)和可控性��,保證訪問(wèn)網(wǎng)絡(luò)所涉及信息的機(jī)密性��,保證終端本地信息的機(jī)密性和 完整性���;USB 一體化嵌入式可信系統(tǒng)通過(guò)USB接口和終端設(shè)備交換信息���,并提供標(biāo)準(zhǔn)的TPM功 能,開(kāi)辟一個(gè)非易失可信存取區(qū)用以存放VM Loader, OS Loader和Visual Box虛擬機(jī)程 序���,非易失可信存儲(chǔ)區(qū)用戶不能修改�����,VM Loader放置在USB存儲(chǔ)區(qū)的主引導(dǎo)記錄MBR(Main Boot Record)區(qū)�,而擴(kuò)展代理 EMMl (Extended Measurement Module���,EMMl 存儲(chǔ)在嵌入式可 信系統(tǒng)的用戶不可更改Flash中)�����、EMM2 (EMM2存儲(chǔ)在OS Loader中)作為程序代碼分別存 儲(chǔ)在Visual Box虛擬機(jī)和OS Loader程序中;終端虛擬層位于硬件層和操作系統(tǒng)層之間�,利用虛擬機(jī)實(shí)現(xiàn)硬件資源的透明加密虛擬 化、任務(wù)的隔離、USB端口對(duì)可移動(dòng)存儲(chǔ)設(shè)備的控制以及通過(guò)虛擬網(wǎng)卡管理所有的通信資源 等功能�;終端操作系統(tǒng)層包括支持白名單機(jī)制的可信計(jì)算軟件基TCSBCTrustedComputing Software Base)、可信基礎(chǔ)支撐軟件系統(tǒng)服務(wù)TSS (TCBSS SystemService)和可信基礎(chǔ)支撐 軟件應(yīng)用服務(wù)TAS(TCBSS Application Service)��;終端應(yīng)用層是應(yīng)用程序����,它們是非信任 組件。
2.—種可容忍非信任組件的安全終端加固方法�����,其特征在于該方法基于USB—體化 嵌入式可信系統(tǒng)構(gòu)建�����,對(duì)終端計(jì)算環(huán)境安全加固的具體步驟如下(1)����、終端設(shè)備開(kāi)機(jī)后,處于終端硬件層的USB—體化嵌入式可信系統(tǒng)首先加電��,加載 嵌入式可信系統(tǒng)����,并清除USB存儲(chǔ)模塊的MBR ;嵌入式可信系統(tǒng)度量VM Loader成功后,將 存儲(chǔ)的可信VM Loader覆蓋釋放到USB存儲(chǔ)模塊的MBR ���;(2)�����、基于USB模塊和用戶口令PIN碼的USBMBR認(rèn)證用戶成功后���,MBR引導(dǎo)存儲(chǔ)在USB 可信存取區(qū)的虛擬機(jī)Visual Box加載啟動(dòng),并加載虛擬加密存儲(chǔ)��、虛擬內(nèi)存�、虛擬網(wǎng)卡、端 口控制等虛擬設(shè)備���,同時(shí)啟動(dòng)虛擬機(jī)可信度量代理模塊EMMl �;(3)����、VisualBox啟動(dòng)成功后,EMMl度量模塊度量確認(rèn)windows操作系統(tǒng)內(nèi)核的完整 性�����,生成并釋放出一個(gè)Windows的引導(dǎo)加載模塊OS Loader,覆蓋存儲(chǔ)到本機(jī)硬盤(pán)的MBR ����;(4)��、硬盤(pán)MBR引導(dǎo)內(nèi)核加載��,OSLoader內(nèi)的擴(kuò)展度量模塊EMM2度量TCSB的完整性 并加載可信計(jì)算軟件基TCSB����,TCSB包括進(jìn)程控制模塊、訪問(wèn)控制及其訪問(wèn)決策模塊�、VPN客戶端模塊、網(wǎng)絡(luò)過(guò)濾模塊����、安全代理模塊和審計(jì)模塊等安全加固模塊,其中進(jìn)程控制模塊 作為擴(kuò)展的度量模塊EMM3;(5)EMM3度量加載應(yīng)用程序��,加載分兩種情況可信加載和基于白名單加載�����。
3.根據(jù)權(quán)利要求2所述的可容忍非信任組件的安全終端加固方法��,其特征在于采用 USB 一體化嵌入式可信系統(tǒng)作為終端的可信根,包括可信度量�����、可信存儲(chǔ)和可信報(bào)告�����,在這 一方面��,它對(duì)應(yīng)TCG可信平臺(tái)�,實(shí)現(xiàn)可信平臺(tái)控制模塊TPM的功能,USB —體化是指基于USB 接口�����,將通信服務(wù)���、TPM服務(wù)和可信網(wǎng)絡(luò)連接融為一體�����,方便用戶的使用���,USB 一體化嵌入式 可信系統(tǒng)實(shí)現(xiàn)了基于GSM/GPRS/TD-SCDMA/WLAN等多種通信網(wǎng)絡(luò)的VPN連接���,它起到網(wǎng)絡(luò)連 接通信的作用,USB —體化嵌入式可信系統(tǒng)還實(shí)現(xiàn)平臺(tái)安全策略的控制和管理�����。
4.根據(jù)權(quán)利要求2所述的可容忍非信任組件的安全終端加固方法�����,其特征在于基于 Virtual Box虛擬機(jī)實(shí)現(xiàn)硬件資源的透明加密虛擬化��,以支持存儲(chǔ)保護(hù)機(jī)制�;虛擬機(jī)的虛擬 內(nèi)存實(shí)現(xiàn)任務(wù)的隔離��;虛擬機(jī)還能夠基于USB端口對(duì)可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行控制����,只有符合 安全策略的外部存儲(chǔ)設(shè)備才和終端交互信息,防止敏感信息的外泄���;虛擬網(wǎng)卡管理所有的 通信資源�,保障信息傳輸邏輯出口的唯一性�����。
5.根據(jù)權(quán)利要求2所述的可容忍非信任組件的安全終端加固方法,其特征在于支持 白名單機(jī)制的TCSB�,列入白名單機(jī)制的服務(wù)和應(yīng)用不需要進(jìn)行完整性度量即可啟動(dòng),以容 忍非信任組件的加載和運(yùn)行�,TCSB通過(guò)其訪問(wèn)控制及其訪問(wèn)決策、VPN連接和網(wǎng)絡(luò)包過(guò)濾 等安全機(jī)制���,并在虛擬機(jī)的加密存儲(chǔ)��、內(nèi)存隔離���、端口和外設(shè)控制等安全機(jī)制配合下,確保 對(duì)非信任組件的惡意行為進(jìn)行有效的控制和管理�����。
全文摘要
本發(fā)明涉及一種保證接入網(wǎng)絡(luò)的終端設(shè)備計(jì)算環(huán)境安全性的可容忍非信任組件的安全終端加固模型及加固方法��,采用USB一體化嵌入式可信系統(tǒng)作為終端的可信根�,基于虛擬機(jī)實(shí)現(xiàn)對(duì)非信任組件的行為控制,支持白名單機(jī)制的可信計(jì)算軟件基保證列入白名單機(jī)制的服務(wù)和應(yīng)用不需要進(jìn)行完整性度量即可啟動(dòng)���,以容忍非信任組件的加載和運(yùn)行���,尤其當(dāng)運(yùn)行在終端上的組件不可信的情況下����,保證最終結(jié)果的可預(yù)測(cè)和可控性����,保證訪問(wèn)終端訪問(wèn)網(wǎng)絡(luò)時(shí)所涉及信息的機(jī)密性,保證終端本地信息的機(jī)密性和完整性����,本發(fā)明配合現(xiàn)有的可信計(jì)算及其它信息安全技術(shù)���,構(gòu)造一個(gè)安全結(jié)果可預(yù)測(cè)的終端計(jì)算環(huán)境�����。
文檔編號(hào)G06F9/445GK102004876SQ20101054946
公開(kāi)日2011年4月6日 申請(qǐng)日期2010年11月11日 優(yōu)先權(quán)日2009年12月31日
發(fā)明者劉熙胖, 司志剛, 常朝穩(wěn), 廖正赟, 梁松濤, 王一寧, 秦晰, 董建強(qiáng), 趙國(guó)磊 申請(qǐng)人:鄭州信大捷安信息技術(shù)有限公司