基于可信计算的终端安全防护系统

  • 格式:pdf
  • 大小:521.93 KB
  • 文档页数:4

0 引言传统的信息安全措施主要是堵漏洞、做高墙、防外攻等“老三样”,但最终的结果是防不胜防。

产生这种局面的主要原因是我们没有去控制产生不安全问题的根源,而总是在外围进行封堵。

基于共识,所有的计算机入侵攻击都是从个人计算机终端上发起的:黑客利用被攻击系统的漏洞窃取超级用户权限,肆意进行破坏;注入病毒也是从终端发起的,病毒程序利用个人计算机操作系统对执行代码不检查一致性的弱点,将病毒代码嵌入到执行代码程序,从而造成病毒的传播,更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成了许多不安全事件。

因此,我们应该以“防内为主、内外兼防”的模式,从提高终端节点自身的安全着手,构筑积极、综合的安全防护系统。

王 澎(北京市信息技术应用研究所,北京 100091)【摘 要】 文中重点讨论了C2安全级别的可信计算改造,以可信计算机中的信任根为基础,利用参考监视器模型可信增强内核概念,采用安全控制、密码保护和可信计算等安全技术对Windows 操作系统进行可信计算改造。

通过构建操作系统安全内核,并有效结合现有内网安全监控与管理系统,针对应用定制安全策略,从而构建可信的终端安全环境。

【关键词】 可信计算;终端安全;可信增强内核【中图分类号】 TP309 【文献标识码】A 【文章编号】1009-8054(2010) 01-0119-03Terminal Security Protection System Based on Trusted ComputingWANG Peng(Beijing Application Institute of Information Technology, Beijing 100091, China)【Abstract 】 This paper focuses on the trusted computing transformation of C2 security level OS. Based on the trusted root of trusted computer and the concept of enhanced credible kernel of reference monitor model, by use of technologies such as security control, password protection and trusted computing, the transformation of Windows OS to trusted com-puting system is realized. By building security kernel of the operating system and effectively integrating with the existing intranet security monitoring and management system, and by tailoring security policy to the applications, a trusted end-security environment is thus constructed.【Keywords 】 trusted computing; terminal security; enhanced credible kernel基于可信计算的终端安全防护系统收稿日期:2009-11-09作者简介:王澎,1978年生,男,硕士,研究方向:信息安全技术、数据库管理系统、软件测试等。

1 可信计算概述目前,大部分用户的操作系统都是微软的Windows 系列产品,然而微软Windows 平台作为开放的系统,给用户带来了极大灵活性的同时,使得用户获得对CPU 的控制权之后,就获得了整个微机系统的控制权,可以为所欲为,无安全可言,系统不仅受到病毒的感染,而且非法用户可用不正当的手段篡改和窃取机内保密信息,严重威胁用户的信息安全。

要解决来自计算机内部的安全威胁,就需要建立一个信息的可信传递模式。

只有实现终端的“可信”,才能从源头上解决人与程序之间、人与机器之间的信息安全传递。

因此,“可信计算”成为信息安全发展的必由之路。

有别于传统的安全技术,可信计算技术从终端开始防范攻击。

可信计算的主要思想是在硬件平台上引入安全芯片(称作可信平台模块(TPM ))架构,来提高终端系统的安全性,从而将部分或整个计算平台变为“可信”的计算平台。

其主要目的是通过增强现有的PC 终端体系结构的安全性来保证整个计算机网络的安全,意义就是在计算机网络中搭建一个诚信体系,每个终端都具有合法的网络身份,并能够被认可,而且终端具有对恶意代码(病毒、木马等)的免疫能力。

在这样的可信计算环境中,任何终端出现问题,都能保证合理取证,方便监控和管理[1]。

可信计算平台的安全性根植于具有一定安全防护能力的安全硬件,它基于安全硬件实现隔离计算、计算环境完整性保证和远程安全性证明等服务,以保证平台上计算实体行为的可信性,从而解决远程信任问题。

增加可信密码模块的可信计算机可以实现:抵御病毒攻击、识别假冒平台、盗取密钥不可行、受保护数据拷不走等功能。

2 解决方案2.1 系统目标基于可信计算的终端安全系统由终端操作系统入手,采用安全控制、密码保护和可信计算等安全技术构建操作系统安全内核,针对应用定制安全策略,实施集中式、面向应用的安全管理,达到在终端保证系统环境安全可信,防止病毒、黑客的入侵破坏,以及控制使用者非法操作的目的,并由此全面封堵病毒、黑客和内部恶意用户对系统的攻击,保障整个信息系统的安全。

实现上需采用认证体系,对所有启动的用户态进程静态验证其完整性,确保用户进程不被非法篡改,以达到系统的主动安全防御。

具体实现如下功能:① 可对系统文件进行完整性校验,并实现强制访问控制,确保系统文件的安全;② 可对所有应用进程进行完整性校验,实现进程安全,确保系统对病毒、木马的基本免疫。

2.2 可信框架设计可信框架设计着重于从体系结构上将安全功能和可信机制结合起来,有效保证安全策略的正确实施,确保系统基础可信和总体安全目标的实现。

整个框架不仅包含操作系统部分,重点在于引入的可信根和可信引导机制作为框架的基础支撑部件[2]。

框架体系结构如图1所示。

框架由3个主要部分构成:可信根作为硬件支撑基础,中间是可信机制,上层是安全功能。

(1) 可信根为了确保平台基础硬件的可信,同时为上层提供支撑功能,由可信计算机硬件厂商实现可信计算芯片。

(2) 可信机制包括两个层次,底层是保障系统框架建立过程可信的可信引导机制,上层保障安全功能及安全策略正确实施的可信机制,由硬件和软件共同实现可信增强内核,可将其分为可信验证、可信存储和可信报告:① 可信硬件驱动:处于可信机制底层,是访问可信根的唯一合法入口,确保可信根不能被非授权使用;② 可信引导:确保系统按照经过严格验证的路径进行引导。

它对主引导记录、操作系统装载器、操作系统内核、系统配置信息进行验证,确保引导过程中各部件的完整性。

其中,作为内核部分的可信增强内核被验证,保证可信增强框架被正确建立,没有被旁路或篡改;③ 可信验证:结合可信根中保存的预期值,对调用的可执行体或数据进行一致性验证。

可信引导将控制权转移给可信增强内核后,内核模块或用户进程在调用可执行程序时都将利用可信验证机制对其进行验证,通过后才能调用;④ 可信存储和可信报告:参考TCG 规范设计,能够为内核安全功能和上层应用提供敏感信息的存储和获取系统当前环境状态等服务。

其具体应用可结合安全功能和应用环境安全需求定义。

(3) 安全功能安全功能实施安全策略,安全策略又为安全目标服务。

具体应用环境对应不同的安全目标,但总体上可归纳为保密性、完整性和可用性,其中可用性也可部分由完整性和保密性体现,因此,在框架中将重点针对前两个目标设计3种安全功能:进程完整性校验、安全审计、系统文件完整性校验。

进程完整性校验确保用户启动进程未被非法篡改;系统文件完整性校验确保系统文件未被非授权篡改;安全审计功能确保操作的可追踪性。

2.3 操作系统可信增强内核从图1可以看到,操作系统可信增强内核作为非常重要的一个组件配合可信硬件基础层实现对应用程序和文件的完整性验证。

操作系统可信增强内核的实现对整个系统安全起着至关重要的作用。

(1) 基于安全参考监视器模型的操作系统可信增强内核利用“可信计算”的TPM 芯片完成系统的完整性校验是本方案的技术核心。

基于TPM 芯片为系统提供了标准的可信计算接口,采用强制访问控制原则与机制,搭建可信图1 框架体系结构应用平台。

由于NT 内核的Windows 操作系统本身并不提供强制访问控制接口,也就无法基于TPM 芯片采用可信机制进行系统完整性校验和机密性的防护。

因此,对于操作系统内核的改造是该方案的重点与难点,其安全性和可验证性直接关系到系统的整体安全级别。

该方案采用安全参考监视器模型实现操作系统可信增强内核。

安全参考监视器[3](Anderson 于1972年提出)是控制主体试图访问对象时所采取行为的一个黑盒子(见图2)。

参考监视器是一个抽象的概念,目的是为了控制主体访问对象的请求。

将这种概念形象化的一种好的方法是将主体放在左边,将参考监视器放在中间,将对象放在右边。

主体访问对象的唯一路径必须要通过参考监视器。

通俗地讲,参考监视器起到了对象的保护作用。

参考监视器利用了一个授权数据库来决定是否允许主体发出的访问请求。

当一个访问请求到达参考监视器的时候,它会检查授权数据库看这个操作是否被允许[4]。

授权数据库从概念上包括了所有的授权表:{主体、对象、访问类型}。

通常情况下仅仅考虑对对象的读和写的权限。

从图2可以看出,授权数据库不是参考监视器的一部分,但却是参考监视器必须赖以工作的基础。

利用参考监视器模型,结合TPM 可信芯片,就可以构建一个强制访问控制体系来保障系统的安全。

因为有TPM 可信芯片的参与,系统的可信链得以安全构建,在完成对系统文件的完整性鉴别的基础上,通过我方搭建的参考控制器对应用态进程进行静态完整性校验,确保启动进程未被非法篡改,实现安全目标。

参考监视器是一个需要依附在产品中实现的安全增强的概念,可以把它看作是一种高层的设计结构。

(2) 操作系统可信增强内核设计要求一个理想的参考监视器需要满足两个需求:首先,参考监视器本身必须能够防止攻击。

其次,参考监视器必须在主体对对象的每一次安全相关的访问中都能够进行安全审核,如果主体能够绕过参考监视器访问对象,那么就失去了参考监视器的意义。

基于参考监视器的操作系统可信增强内核也应具有如下特征:① 安全性:如果操作系统可信增强内核在没有解决自身安全的前提下,所能提供的安全服务是极为有限的,其力度也是值得质疑的。