（计算机科学与技术专业论文）智能交通系统中可信综合接入子系统的设计与实现.pdf

中文摘要 摘要：由于近年来信息技术和宽带网络的发展迅速，几乎所有的企事业单位都建 立了自己的业务或办公网络，与此同时，网络攻击技术的发展也呈现多样化，计 算机网络系统面临的威胁也f 1 益严重。北京市智能交通系统关系到首都的交通命 脉，即便是短时i 日j 的中断服务也会造成全市交通的阻塞，后果极其严重，给国家 和人民带来巨大损失。各种计算机病毒、木马、间谍软件、蠕虫等形式的恶意代 码给北京交通管理网络安全带来了很大的威胁，如何搭建一个安全可信的计算机 网络系统是亟需解决的问题。 可信综合接入系统能够在很大程度上提高计算机网络系统的安全性，而可信 计算技术能够有效地增强终端的可信和安全性，进而构建可信网络连接。本论文 基于可信计算技术，提出了从两个层面建立可信的综合接入网络。 首先是建立综合接入设备本身的可信，在综合接入设备上实现可信传递。本 文基于l i n u x 系统上的动态多路径信任链( d m p t c ) 机制，从操作系统引导开始， 根据可执行代码的类型，通过多系统关键点验证机制，实现综合接入设备的可信。 其次是基于可信证明技术，采用基于设备身份和安全策略的综合接入设备可 信证明方法( i d e n t i t ya n dp o l i c yb a s e da t t e s t a t i o n ，i p b a ) 对远程综合接入设备实施网 络准入控制，从而提高综合接入系统的安全。研究结果表明，通过本文提出的l i n u x 可信链传递技术和基于设备身份和安全策略的远程证明技术可以建立可信的综合 接入系统，进而有效地提高北京市智能交通系统的安全性。 关键词：可信计算；d m p t c ；可信证明；i p b a 分类号：t p 3 0 9 5 a bs t r a c t a b s t r a c t ：w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g ya n dn e t w o r k t e c h n o l o g y , a l m o s ta l le n t e r p r i s e sh a v es e tu pt h e i ro w i ib u s i n e s so ro f f i c en e t w o r k , a t t h es a m et i m e ，m o r ea n dm o r en e t w o r ka t t a c kt e c h n i q u e sh a v ep o s e dag r e a tt h r e a tt o n e t w o r k s y s t e m i n t e l l i g e n tt r a n s p o r t a t i o n s y s t e m i s v e r yi m p o r t a n tt o t r a f f i c e n v i r o n m e n ti nb e i j i n g , s 0 1 t i es m a l lf a u l t sm a ya l s or e s u ri nt r a f f i cc o n g e s t i o n t h r o u g h o u tt h ec i t ya n dl e a dt og r e a tl o s s m a l i c i o u sc o d e ss u c ha sc o m p u t e rv i r u s e s ， t r o j a nh o r s e s ，s p y w a r e s ，a n dw o r m sp o s e dag r e a th a r mt ob e i j i n gt r a f f i cm a n a g e m e n t n e t w o r k h o wt ob u i l das a f ea n dr e l i a b l ec o m p u t e rn e t w o r ks y s t e mi sa nu r g e n tn e e dt o r e s o l v e t r u s t e di n t e g r a t e da c c e s ss y s t e mi sa b l et ol a r g e l yi m p r o v et h ec o m p u t e rn e t w o r k s y s t e ms e c u r i t y , t r u s t e dc o m p u t i n gt e c h n o l o g yc a l le f f e c t i v e l ye n h a n c et h ec r e d i b i l i t y a n ds e c u r i t yo ft e r m i n a l s ，a n dt h e nb u i l dat r u s t e dn e t w o r k b a s e do nt r u s t e dc o m p u t i n g t e c h n o l o g y , t h i sp a p e rp r e s e n t st h ef o l l o w i n gt w ol e v e l st ob u i l dat r u s t e di n t e g r a t e d a c c e s sn e t w o r k f i r s t l y , e s t a b l i s h i n gat r u s t e di n t e g r a t e d a c c e s sd e v i c e t h i sp a p e rd e s i g n sa n d i m p l e m e n t sd y n a m i cm u l t i p a t ht r u s tc h a i n ( d m p t c ) i nl i n u x ，d m p t cp r o t e c t st h e s y s t e mf r o mt h eb e g i n n i n go ft h eo p e r a t i n gs y s t e m ，m a k e ss u r et h a ti n t e g r a t e da c c e s s d e v i c ec a nr u nt r u s t e de x e c u t a b l ec o d e so n l y , a n dt h e ne n s u r e sat r u s t e dc o m p u t i n g p l a t f o r m ， s e c o n d l y , t h i sp a p e rp r e s e n t s ac o m p u t i n gp l a t f o r ma t t e s t a t i o nm o d u l e ：i d e n t i t ya n d p o l i c yb a s e da t t e s t a t i o n ( i p b a ) ，b a s e d0 1 1t h ei p b a ，n e t w o r ka c c e s sc o n t r o lc a nb e a c h i e v e d ， w h i c hc 锄s u b s t a n t i a l l yi m p r o v et h ei n t e g r a t e d a c c e s s s y s t e m s e c u r i t y r e s e a r c ha n dr e l a t e dp r o t o t y p es h o wt h a td m p t c i nl i n u xa n di p b ai sq u i t e p r a c t i c a la n du s e f u l w i 幽t h o s et e c h n o l o g i e s ，w ec a ne s t a b l i s hat r u s t e di n t e g r a t e d a c c e s sn e t w o r ka n di m p r o v et h es e c u r i t yo fb e i j i n gi n t e l l i g e n tt r a n s p o r t a t i o ns y s t e m k e y w o r d s ：t r u s t e dc o m p u t i n g ；d m f t c ；a t t e s t a t i o n ；i p b a c l a s s n 0 ：t p 3 0 9 5 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：李日目峒 签字日期： z 。c | 7 年 6 月ig 同 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。 同意学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者躲巷口嗣 签字日期：2 。1 年6 月i g 日 f 导：转移 签字日期；1 “肼日 致谢 首先，在此对我的导师韩臻教授表示最诚挚的感谢! 本课题是在韩老师的悉 心指导下完成的，韩老师严谨的治学态度和科学的工作方法给了我极大的帮助。 在此衷心感谢两年来韩老师对我的关心和指导。 我还要对李晓勇老师表示感谢，李老师悉心指导我们完成了实验室的科研工 作，在学习上、生活上给予我很大的关心和帮助，在此向李晓勇老师表示衷心的 谢意。 吕辉军博士在项目研发过程中倾囊相授了许多宝贵的理论研究和项目开发经 验，在此向吕博士表示衷心的感谢。 在实验室工作及撰写论文期f a j ，刘巍伟博士、郭煜博士、石勇博士、郭健、 斯鹏等对项目原型系统的开发和测试工作给予了我热情帮助，在此向他们表达我 的感激之情。 最后，我要由衷地感谢我的家人，正是他们的理解和支持使我能够在学校专 心完成我的学业。 1 绪论 1 1研究背景 1 1 1北京交通管理系统概况与安全需求 北京市城市总体规划要求在2 0 年或更长的时间内，逐步建设一个以公共运输 网络为主体，以快捷交通为骨干，功能完善，管理先进，具有足够完善和应变能 力的综合交通体系。而国内外的实践经验证明，仅依靠修建道路基础设施和传统 的管理方式试图解决交通问题，不仅耗资巨大，环境污染等负面影响严重，而且 缓解交通拥挤的效果也较有限。电子、通信、计算机以及自控技术的发展，为解 决交通问题提供了新的思路和方法，与不断修建更多的道路基础设施相比，采用 信息技术手段来对城市交通进行更有效的控制和管理，更能有效地提高交通的机 动性、安全性，更大限度地发挥现有道路系统的潜力。这就要求北京市交通管理 系统进行自动化、智能化的管理。 北京交通管理网络是一个覆盖北京市、结构复杂、节点众多、运行大量综合 信息和指挥调度系统的网络，承载着北京市3 0 0 多万辆机动车，4 4 0 多万机动车 驾驶员的同常管理和各项面向社会的交通管理业务服务，如违章管理、年审管理、 事故管理等，包括路口路面电视监控、信号灯控制等在内的电子控制系统均依赖 于网络。各控制系统均通过网络采集相关信息，北京交通管理网络还需为政府部 门、相关的行业单位、公众提供实时信息服务。 首都交通管理网络系统是以公安网络为核心，综合业务接入网，政府外网等 网络为补充共同组成的宽带网。公安网为双心型结构，两核心节点互为备份，采 用千兆网络技术组建，主干传输网络由1 2 个节点组成四个环路。综合业务接入网 将视频监控、信号控制、路v i 信息显示、交通事件检测等系统接入到各分指挥中 或局指挥中心然后进入公安网，通过网络将各种不同信号，按需求传输到指定地 点。政府外网1 0 兆光纤专线接入，通过信息交换隔离设备进入公安网。整个首都 交通管理网络覆盖北京市城郊，有1 5 个交通管理业务系统在网络上运行，包括图 像、语音、数据三大传输类型。网络结构图如图1 1 。 韭瘟奎i 丑厶 生鲤堂垃 监 窑 盐 ：l 盘 交通信息教布系统 1 2 2 接处警中心 图1 1 ：首都交通管理网络示意瞬 首都交通管理网的核心是公安信息网，是一个逻辑隔离的专属网络，主要承 载着多个不同类型的交通管理业务应用系统。交通管理各项业务系统的特点是任 务明确、流程明确、操作人员明确，是一种工作流程相对周定的生产系统。公安 网与政府外网之问主要是进行信息交换。交通违法罚金缴纳数据，进口车辆数据、 保险、交通运输等采集信息需要通过政府外网途径传输到公安网，供交通管理工 作者使用。交通流量等交通诱导信息需要在政府外网上发布。 综台接入网主要承担交通的指挥调度任务，将各个路口视频监控、信号控制、 路口信息显示、交通事件检测等不同信号传输到公安网。 首都交通管理网络关系整个城1 1 j 的交通命脉，短时问的中断服务也会造成全 市交通的瘫痪，其后果极其严重，会给国家和人民造成巨大损失。而首都交通管 理阀络面临着很大风险，外部威胁有来自埘外的各种攻击、入侵、植入术马、探 头( 信息搜索代理a g e n t ) 和病毒等威胁：网络设备上的后门有”r 能受控启用，造 成信息失控、设备故障。内部威胁则有由】二误操作、越权访m 等造成信息丢失、 失控等问题：内部人员通过编程等手段对重要的业务应用系统进行破坏等问题。 首都交通管理网络的核心保护内容就是变通应用的可雀运行，特别足交通信 t j 拧；叫系统、交通信息发布系统、交通检测系统以及与j “ 拉啊i 笑的业务系统的 t 靠j 薹打。为r 保护旨_ f | f 交通管理f q 络，必须确保综合接入州络的宜辛。我们知 道综合接入m 主要承担交通的指挥调度任务对首都变通僻理年关币要，综合接 入l 卅的终端负责收集备个路u 视频船拄、信息娃小、变通。j f 件榆测锋功能。综 接入网络而临各种外部威胁很多，各剃r 算机病雄、术屿、川谍软件、蠕虫等形 式的恶意代码给综台接入网带来了很大的碱胁。h 前主要的解决方案是使用防火 墙、防病毒杀毒软件和入侵检测系统等对综合接入网络进行保护，我们知道，这 类的防御往往只针对已有的攻击手段有效，而对于新病毒和攻击手段的防御有滞 后性，这一致命的缺陷使得一旦综合接入设备被恶意代码攻击，系统往往会瘫痪， 一些病毒甚至会将综合接入设备变成攻击整个综合接入网的跳板，进而威胁整个 首都智能交通网络的安全。 1 1 2主动式安全防御技术的历史与现状 近年来，主动式安全防御技术越来越多地被提及，相比传统的信息安全产品， 如防火墙、防病毒和入侵检测系统等，主动式防御显得更加有效，因为传统的被 动式防御都是在发现了攻击手段后，再针对攻击手段采取防护措施，有一定的滞 后性。而主动式的防御关注于信息系统自身的安全功能和安全保障，通过增强信 息系统自身的安全强度，来加强对病毒、木马、外部黑客和内部攻击者的免疫力， 实现对信息系统的保护。安全操作系统、可信计算等技术就是这类保护方法的代 表。 主动式的安全保护技术出现时间远早于防火墙，防病毒和入侵检测系统等被 动式安全保护技术。我们从可信计算这部分介绍主动式防御技术的发展史。 可信计算( t ct r u s t e dc o m p u t i n g ) 的源头可以追溯到1 9 7 2 年j e a n d e r s o n 提 出的可信系统的概念。此后，可信就始终是信息安全中的一个重要概念，但直到 1 9 9 9 年，可信计算组织( t c gt r u s t e dc o m p u t i n gg r o u p ) 的前身可信计算平台联 盟( t c p at r u s t e dc o m p u t i n gp l a t f o r n la l l i a n c e ) 才把t c 单独提出来进行研究，并 为其制定工业标准。 t c g 组织认为可信就是对行为可预测性，认为“信任是对设备将会以特定方 式执行的期望”，但这一描述性的定义并不能严格界定信任的内涵。而在可信计算 的具体含义上更是有多种理解，包括容错计算、软件工程等方面的内容也被归入 可信计算的范畴。可以说这些内容确实包含了可信概念，也和行为可预测性有着 联系，属于可信计算的技术流派。但国际上对可信计算的理解，特别在工程实现 上，主要还是在安全领域，基于系统可信根，通过可信链的构建来实现系统内可 信环境，并以此实现安全保障的手段。本论文中的可信计算，主要也是集中在这 一方面。 可信计算是一个从信任根出发，跨越硬件、软件体系结构，直到应用的一个 贯穿现代信息系统各个环节的技术。我们从可信计算的信任根、硬件体系架构、 操作系统体系架构和应用四个环节讨论可信计算国际上的主要技术发展方向。 信任根是可信计算的起始点。t c g 标准定义可信平台模块( t p m ) 为可信计 算平台的信任根，提供可信度量、可信报告和可信存储等功能。t p m 作为可信计 算平台的基本设备，可以作为嵌入式芯片做到可信主板里，也可以嵌入c p u 、网 卡、磁盘、输入输出设备等外设之中。 在可信计算硬件体系架构设计上，i n t e l 公司提出了l ag r a n d e 结构，通过基于 硬件的隔离技术实现一个硬件支持的可信环境；而a m d 公司则提出了v m m 以操 作系统为核心的基于可信计算的终端安全体系是学术研究和工程实现的热点。在 学术上，微内核机制和虚拟机机制是比较受到重视的研究方向，工程上，m i c r o s o f t 的n g s c b 在设计时实施安全内核最小化的原则，通过内核安全改造实现访问监督 器，并基于安全内核建立操作系统的可信架构。而在l i n u x 上的开发，则多以l s m 这种外挂式安全钩子为主。中安公司与可信计算实验室合作实现的高安全级别可 信操作系统原型中，将具体的安全机制剥离到安全模块中，通过可信机制确保安 全机制的不被旁路，又通过安全机制执行对应用的可信封装。 可信应用的发展目前相对滞后，典型应用仅有m i c r o s o f t 的b i t l o c k e r ，国内的 一些文件夹加密项目，等等。目前普遍的观点认为，基于可信计算的应用缺乏是 目前阻碍可信计算发展的最直接原因。 可信计算产品的潜在使用环境包括内部局域网的通用终端和专用终端、服务 器、网络用户终端等不同情况。不同的使用环境其特点也各不相同。专用终端其 运行程序相对固定，构建可信坏境相对容易；服务器应用相对单纯，但对系统性 能要求较高；通用终端应用种类繁多，可信度量困难；网络用户终端其使用环境 不可靠，使用人员身份难以确认，人员个人行为也难以控制。针对不同的使用环 境，需要制定不同的可信计算实施策略。 1 1 3本课题所涉及的领域 本课题研究的是大型交通管理系统的安全保护，研究对象为一个复杂的大规 模生产型信息系统( 本文以后简称为生产系统) o 生产系统，是指为明确的机构使命服务的计算机信息系统。我们可以定义生 产信息系统为针对特定的生产工作目的而部署，由身份比较确定的用户进行操作 和管理，承担相对固定的信息处理和信息传输任务的信息系统。国内的重要信息 系统，如金融信息系统、办公信息系统、工业控制信息系统等大多属于生产信息 系统。与个人电脑系统相比，生产信息系统具有如下一些特点： 1 生产系统一般有比较明确的任务目标，并围绕着这一目标部署应用和运行 系统。生产信息系统是为了具体的生产任务而建立和运行的，其目的就是以信息 化手段完成这些任务，而不需要像互联网上的个人电脑那样，需要对多种不同的 4 任务提供支持。 2 生产系统一般具有比较明确的系统边界，系统和外界的正常信息交流般 通过固定的机器和固定的应用程序来执行 1 】。 3 生产系统中的操作系统和应用程序般都有确定的来源，并可以预先进行 安全和可信方面的检测。来源不明的程序一般不允许在生产信息系统环境中运行。 从信息安全的角度上讲，生产系统是一种安全目标明确、安全边界清晰、应 用、数据来源和用户身份可追溯、安全先验知识较多的系统，恰当地利用这些特 点，有助于降低问题的复杂性，增强理论的严密程度。 本论文是围绕着生产系统进行研究工作的，以交通管理系统的实际需求为引 导，充分利用生产信息系统自身流程相对固定的安全特点，并在研究过程中把交 通管理系统的工程实现方法和对现有应用的支持放在重要位置。 1 2论文的主要工作和创新点 论文是在北京市公安交通管理局智能交通可信综合接入系统的研究的基础上 完成的。本文的主要工作是建立可信的综合接入网络，为北京市交通管理网络系 统的安全提供保障基础。 在充分分析北京市交通管理网络系统的综合接入系统的基础上，基于可信计 算技术，提出了从两个层面建立可信的综合接入网络： 1 ) 建立综合接入设备本身的可信，在综合接入设备上实现可信传递。综合接 入设备可信最关键的内容就是其行为可信，它只能运行指挥中心规定的任务或操 作，任何其它人或部门不能够干扰或破坏其行为。综合接入设备行为的可信将采 用可信计算平台技术中的信任传递机制来保证；通过基于l s m 的d m p t c 模型， 在综合接入设备建立完整的信任链，利用可信程序白名单验证机制，阻止恶意代 码的执行，从而保证综合接入设备的可信。 2 ) 基于可信证明技术，提出对远程综合接入设备实施网络准入控制，从而提 高综合接入系统的安全，综合接入设备在通过网络与交通指挥管理中心进行视频、 数据和控制信息交换之前，必须能够向网络管理中心证明自己可信，本文采用基 于设备身份和安全策略的综合接入设备可信证明方法( i d e n t i t ya n dp o l i c yb a s e d a t t e s t a t i o n ，i p b a ) ，确保只有可信的综合接入设备才能连入网络，从而进一步提高 了网络安全性。此外，本文还对于具体的工程方法( 如i p b a 等) 进行了可行性分析， 这些都是本论文的创新点。 1 3论文的组织安排 5 本文共分为以下几章： 第一章，绪论。介绍了本论文的研究背景，主要工作和创新点，论文的组织 安排等。 第二章，基础知识介绍。介绍可信计算技术的发展背景和状况以及可信计算 技术的基础知识，并对以下关键技术：t c g 可信传递，身份认证与远程证明进行 了初步介绍，最后介绍了l s m ，n e t f i l t e r i p t a b l e s 等l i n u x 安全技术基础机制。 第三章，可信综合接入系统总体设计。本章介绍了智能交通可信综合接入系 统的总体设计，提出了系统设计的总体目标，并介绍了综合接入设备信任传递的 过程，然后提出了使用可信证明技术实现网络准入控制，提高系统安全性。 第四章，可信综合接入设备。本章基于l i n u x 系统上的动态多路径信任链 ( d m p t c ) 机制，从操作系统引导开始，根据可执行代码的类型，通过多系统关键 点验证机制，实现可信的综合接入设备。 第五章，综合接入设备的可信接入。本章主要对综合接入设备远程可信证明 的相关技术进行介绍，我们知道，建立一个可信综合接入系统，除了在综合接入 设备建立完善的可信链以外，还需要能够对综合接入设备进行可信平台证明，只 有被认为可信的综合接入设备才允许连接到智能交通指挥中心系统，这样能够有 效地防止恶意代码的扩散。 第六章，可信综合接入系统详细设计与实现。阐述了可信综合接入系统的详 细设计与实现，首先介绍了可信综合接入设备的详细实现，接着介绍了综合接入 设备的可信接入控制的具体实现。 第七章，系统测试与应用。通过实际的测试验证了本文设计的有效性。并通 过安全管理平台的运行效果，直观地介绍了可信综合接入系统的应用。 第八章，结束语。对本文工作进行总结，提出不足和尚需改进的地方。 6 2 基础知识介绍 本章主要介绍了可信计算平台技术的发展过程和背景，并对相关的基础知识 进行了简要介绍，阐述了可信计算平台技术包含的几个重要概念和主要可信机制， 包括信任链的建立和传递、身份认证与远程证明，l i n u x 安全技术基础机制等，这 些概念和技术机制是建立可信计算系统的重要基础。 2 1可信计算技术发展背景 美国国防部于1 9 8 3 年颁布了可信计算机系统评价标准( t c s e c ) 4 】，该标准 是在基于安全核技术的安全操作系统研究基础上制定的。t c s e c 提出了可信计算 基( t c b ) 的概念。t c b 是计算机系统中由硬件、软件和固件组成的负责实施系 统统一安全策略的保护机制总和。t c b 具备不被篡改，不被绕过，且正确性可验 证的特性。然而随着p c 结构的简化，t c b 缺乏安全硬件的支持，这正是在传统 p c 上难以实现高安全等级计算系统的根本原因。 为了解决p c 上一些特定应用对物理安全的要求问题，m m 曾经推出一款可编 程的安全协处理器i b m4 7 5 8 1 5 。i b m4 7 5 8 提供对密钥的安全存储，并且可以通 过协处理器提高密码计算的速度，i b m 4 7 5 8 还定义了认证引导的概念，即代码在 加载时必须是完整可信的 6 】。考虑到兼容性和通用性，同时为了更有利于占据标 准和产业领先地位，i b m 公开了芯片设计。在此基础上，t c g 提出了以密码技术 为基础的硬件可信平台模块( t p m ) ，并通过硬件支持的“受保护能力 保护其内 部不被非法访问或破坏 7 】。在t p m 以及其它可信组件的支持下，i n t e l 提出了可信 的p c 体系结构l a g r a n d et e c h n o l o g y ( l t ) 8 】，a m d 则提出了可信的p c 体系结构 s e c u r ee x e c u t i o nm o d e ( s e m ) 9 】，而m i c r o s o f t 则计划在其下一代安全计算基 ( n g s c b ) 中以t p m 为基础实现高安全等级的操作系统 1 0 】，部分功能已经在 s t a 操作系统中实现。 此外，基于t p m 的可信计算平台，还可以实现可信的计算机网络系统。c i s c o 、 和m i c r o s o f t 分别提出了网络准入控制( n a c ) 【1 l 】和网络接入保护( n a p ) 1 2 】 机制，试图通过禁止非安全可信的终端计算设备( 如未安装杀毒软件的用户，或 者感染了病毒的用户) 接入网络，保护系统安全可信。但是因为缺少硬件可信根 的支持，n a p 和n a c 都不能真正解决系统安全问题。在可信计算技术的支持下， t c g 的可信网络连接( t n c ) 【1 3 】从根本上克) l a - fn a p 和n a c 的结构缺陷。此 外，可信计算技术还被广泛地用于可信存储系统、数据版权保护、可信p d a 、社 7 会公共信任体系、分布式计算等多个应用领域。尽管人们对可信计算技术之外的 动机或负面影响还存在或多或少的疑问，但是从技术的角度看可信计算的确能 够提升系统的安全性。 2 2 可信计算技术基础 t c g 从行为的角度来定义可信性：如果一个实体的行为总是符合所期望的方 式，或者预期的目标，则它是可信的。 可信计算技术的主要思路是以密码技术为基础，在硬件平台上引入安全芯片 架构，通过其提供的安全特性，并结合安全操作系统来提高系统的安全性【7 】。 可信计算技术的核心是称为t p m ( 可信平台模块) 的安全芯片。t p m 实际上 是一个含有密码运算部件和存储部件的小型片上系统，参见图2 1 。 t r u s t e dp l a t f o r mm o d u l ef t p m 剖2 1 t p m 体系结构示意 尽管t p m 内部的安全还是软件化的，但是这些算法或密钥存储是被封闭在 t p m 硬件内部的，正足这种“受保护能力( p r o t e c t e dc a p a b i l i t i e s ) ”确保了密钥不 可能被t p m 外部的任何工具非祛获得。 以耶m 为基础可信机制主要通过以下方面来体现： 1 ) 身份认证：身份认自h ! 捂机器身份和h 1 户身份的认证，即确保作为1 r 台的机器是用户预期要操作的机器并且刚户足其卢明的身份，通过t p m 的可信软件栈和密钥保护功能可以实现平台一平台之间的相互认证以驶人 机之白j 的相互认证： 2 ) 可信存储：t p m 通过保护数据加密密钥和数字箍名密切( 证- 陆) 束保护 用户文件( 数据) 的完整性和保密性。利用t p m 提供的“受保护能力” 可以抵御来自外部的针对密钥、用户秘密信息( i s l 令) 的攻击。其次通过 密封存储将信息绑定在特定的平台、配置或状态上，防止信息的泄露； 3 ) 可信度量和报告：通过基于t p m 的可信存储、可信度量、可信报告以及 可信传递机制可以保持并证明平台的完整性和策略一致性，从而保证网络 资源的安全共享和保护以及平台的安全可信，建立可信的用户计算环境。 2 3t c g 可信传递 t p m 具有硬件保护支持功能，以t p m 为基础可以构成完整性存储( i n t e g r i t y s t o r a g e ) 、完整性度量( i n t e g r i t ym e a s u r e m e n t ) 和完整性报告( i n t e g r i t yr e p o r t i n g ) 的可信根。这些可信根是实现可信传递、建立可信平台的基础。 所谓可信传递就是：在计算平台的运行控制传递过程中，可信根判断其下一 级执行代码的真实性和完整性是否被篡改，如果没有，系统将运行控制传递到下 一级可信执行代码，系统的可信范围因此就从可信根扩大到下一级功能；同理， 这种系统运行代码控制不断往下传递，就可以实现信任链的建立和传递过程，最 终实现系统可信范围的延伸。 对于综合接入设备而言，一个完整的系统可信传递过程要从可信根开始，系 统控制权顺序由可信的b i o s 传递到可信的操作系统装载器，从可信的操作系统装 载器传递到可信的操作系统，再从可信的操作系统传递到可信的应用，从而保证 整个综合接入设备计算环境的可信，抵制恶意代码感染，提高综合接入设备的安 全性。如图2 2 所示。 e x e c u t i o nf l o w 图2 2 综合接入设备的可信传递 9 m e a s u r e m e n lf l o w 2 4 身份认证与远程证明 2 4 1身份认证 可信计算平台技术中的身份认证包括两个方面：1 ) 平台和用户之间的身份认 证；2 ) 平台与平台之间的身份认证。 可信计算平台在身份认证机制中的一个特点是：通过t p m 的密钥保护机制可 以实现平台与其身份证书之间的绑定，即平台身份证书被物理地嵌入在对应平台 中，只能唯一地表示特定计算平台。 在可信计算平台中，每个t p m 模块中有两个表示平台身份的密钥： e n d o r s e m e n tk e y ( e k ) 和a t t e s t a t i o ni d e n t i t yk e y s ( a i k ) 其中e k 是芯片出厂时由厂 商分配的证书密钥，每个平台只有唯一的一个e k ，e k 不用作对外证明平台身份： a i k 是由平台拥有者基于e k 生成的 7 1 1 1 4 1 ，每个平台可以有多个a i k ，且每个 a 可以用于不同的签名或证明目的。 因为e k 和a i k 都属于不可迁移密钥，所以保证了它们和物理平台之间的绑 定关系，也即保证了平台不可被假冒。 2 4 2远程证明 远程证明技术普遍被认为是可信计算平台技术的最主要功能特征 1 5 】。在北京 市交通管理网络系统的综合接入系统中，计算平台之间很可能需要彼此证明自己 的身份和状态。比如，为了防止病毒的传播，综合接入网络可能需要综合接入平 台证明自己已经安装了杀毒软件并且已经升级到了最新的特征码。 在计算平台的远程证明过程中，平台通过可信的度量代理对指定的状态进行 度量，并将度量结果提交给t p m ，t p m 通过其由硬件保护的私钥( a t t e s t a t i o n i d e n t i t yk e y ，a i k ) 对度量结果加以签名，向第三方证明度量结果的来源真实性和 完整性。 t p m 内部有一组p c r ( p l a t f o mc o n f i g u r a t i o nr e g i s t e r ) 寄存器，每个p c r 可 以被定义只与计算平台的某一类系统特定事件状态相关。每次相关事件发尘时， 计算平台将事件记录结果保存，并将记录结果的h a s h 值扩充到t p m 中事件对应 的p c r 中 1 6 1 7 。将h a s h 值r 扩充到p c r n 】中的过程为p c r n = h a s h ( p c r n + r ) 。显然，p c r 值与事件历史过程相关，并与事件记录的顺序有关，因 此它们的值实际反映了事件发生的顺序历史。 t c g 的远程证明机制见图2 3 ： l o 图2 3 t c g 的远程证明机制 图2 3 的过程描述如下： 1 ) 质询方要求证明平台提交相关的事件记录日志及对应的p c r 值； 2 ) 平台代理采集相关的s m l ； 3 ) 平台代理从t p m 获得p c r 值； 4 ) t p m 用a i k 私钥对p c r 值进行签名； 5 ) 平台代理获取t p m 本身的证明证书，随后将签名后的p c r 值、s m l 项 及证书提交给质询方； 6 ) 质询方对度量报告进行验证。质询方对度量结果计算其摘要值并和p c r 进行比对，对t p m 证书及其签名进行验证。 远程计算平台代理的可信可通过t c g 的可信传递( t r a n s i t i v et r u s t ) 来保证。 远程平台可信证明主要包括几个过程： 1 ) 定义平台可信度量和验证指标； 2 ) 远程平台可信度量和报告； 3 ) 对远程平台状态验证。 远程平台可信证明的关键点在于如何评价远程计算平台的状态在某一个时刻 的可信性，即如何建立有效的平台可信评价指标。 目前关于平台可信证明方面的研究工作包括多个方面。r s a i l e r 等人在t c g 技术规范之上提出完整性度量体系( i n t e g r i t ym e a s u r e m e n ta r c h i t e c t u r e ，i m a ) ，并 且给出了基于l i n u x 系统的实现；a s e s h a d r i 通过s w a t 方法，利用最优化软件 随机读取远程平台( 原文称为设备) 的内存内容，并和已知的预期状态进行比对， 从而判断远程平台是否处于可信状态；s w a t i 还通过对代码执行时间上的差异进 行检查来保护代码的完整性：s a c h i k oy o s h i h a m a 等人基于w e bs e r v i c e 框架建议 一个远程证明结构，w s a t t e s t a t i o n ，试图在t c g 规范之上给出一个面向软件、动 态和细粒度的证明机制；vh a l d a r 等人为克服一些已有证明技术的静态性、不支 持异构平台等局限性，试图通过基于语言的虚拟机技术，以一种与平台无关的方 式，来解决程序远程证明过程中的复杂性、动态性以及高级语言特性问题，本质 上h a l d a r 等人研究的不是平台可信证明，而是软件本身的可信验证或证明问题； t r e n tj a e g e r 等还对i m a 进行了扩展，提出了p r i m a ( p o l i c y r e d u c e di n t e g r i t y m e a s u r e m e n ta r c h i t e c t u r e ) ，p r i m a 不仅对代码加以度量，而且还对进程间的数据 流加以度量，从而解决代码装载时度量方法的局限性和低效性。 远程平台可信证明有很多用途，其中一个较为典型的应用是综合接入设备的 准入控制。所谓综合接入设备准入控制就是系统为了保护网络安全，对试图接入 网络的综合接入设备进行验证，检查这些综合接入设备是否满足一些安全条件， 比如是否安装杀毒软件并已经升级到最新版本，如果不满足安全要求，网络禁止 这些综合接入设备接入，t c g 、m i c r o s o f t 、c i s c o 以及其他一些网络厂商纷纷制 定相关接入控制标准。但是目前这些标准或规范都只考虑了一个很局限的证明内 容，即杀毒软件是否运行或升级。对于一个可信综合接入系统，这种证明难以满 足要求，原因如下： 1 ) 仅仅依靠是否安装运行特定软件并不能真实反映综合接入设备的完全状 态； 2 ) 杀毒软件不能确保综合接入设备中没有恶意代码，因为杀毒软件总是有滞 后性，不能识别未知恶意代码。 现在计算平台远程证明有两种主要方式。一种直接的计算平台可信证明方式 是对证明平台的软硬件配置信息加以度量、报告并验证。这种方式又称为基于配 置的可信证明方法，这种证明方式实现简单，但是存在不少缺陷，如可扩充性弱、 隐私泄漏及可操作性差等【2 4 】；另一种计算平台可信证明方法是a h m a d r e z a s a d e g h i 2 6 提出的基于平台特征的可信证明方法，这种方法的优点是符合人们对 安全概念的直观认识，缺点是“平台特征 本身是个抽象的概念，在实际的计 算机系统中常常难以用自动化的方法给出精确的表述与定义，因此也就难以度量、 比较和验证；李晓勇等人针对上述可信证明方法存在的问题，提出了基于系统行 为和基于安全策略的远程计算平台可信证明方法 2 】，有效地解决了上述证明方法 的局限性。 2 5l i n u x 安全技术基础机制 1 2 l i n u x 通用安全访问控制框架( l s m ) 是l i n u x 安全技术基础机制，本节对 l s m 的发展和设计思想进行初步介绍。 2 5 1l s m 的产生背景 近年来l i n u x 系统由于其出色的性能和稳定性，开放源代码特性带来的灵活性 和可扩展性，以及较低廉的成本，而受到计算机工业界的广泛关注和应用。但在 安全性方面，l i n u x 内核只提供了经典的u n i x 自主访问控制( r o o t 用户，用户i d ， 模式位安全机制) ，以及部分的支持了p o s i x 1 e 标准草案中的c a p a b i l i t i e s 安全机 制，这对于l i n u x 系统的安全性是不足够的，影响了l i n u x 系统的进一步发展和更 广泛的应用。 有很多安全访问控制模型和框架已经被研究和开发出来，用以增强l i n u x 系统 的安全性，比较知名的有安全增强l i n u x ( s e l i n u x ) ，域和类型增强( d t e ) ，以及 l i n u x 入侵检测系统( l i d s ) 等等。但是由于没有一个系统能够获得统治性的地位而 进入l i n u x 内核成为标准；并且这些系统都大多以各种不同的内核补丁的形式提 供，使用这些系统需要有编译和定制内核的能力，对于没有内核开发经验的普通 用户，获得并使用这些系统是有难度的。在2 0 0 1 年的l i n u x 内核峰会上，美国国 家安全局( n s a ) 介绍了他们关于安全增强l i n u x ( s e l i n u x ) 的工作，这是一个灵活的 访问控制体系f l a s k 在l i n u x 中的实现，当时l i n u x 内核的创始人1 , i n u st o r v a l d s 同意l i n u x 内核确实需要一个通用的安全访问控制框架，但他指出最好是通过可加 载内核模块的方法，这样可以支持现存的各种不同的安全访问控制系统。因此， l i n u x 安全模块( l s m ) 应运而生。l i n u x 安全模块( l s m ) 是l i n u x 内核的一个轻量级 通用访问控制框架。它使得各种不同的安全访问控制模型能够以l i n u x 可加载内核 模块的形式实现，用户可以根据其需求选择适合的安全模块加载到l i n u x 内核中， 从而大大提高了l i n u x 安全访问控制机制的灵活性和易用性。目前己经有很多著名 的增强访问控制系统移植到l i n u x 安全模块( l s m ) 上实现，包括p o s i x 1 e c a p a b i l i t i e s ，安全增强l i n u x ( s e l i n u x ) ，域和类型增强( d t e ) ，以及l i n u x 入侵检测 系统( l i d s ) 等等。l i n u x 安全模块( l s m ) 已经进入l i n u x2 6 稳定版本，被l i n u x 内 核接受成为l i n u x 内核安全机制的标准，在各个l i n u x 发行版中提供给用户使用。 2 5 2l s m 的基本设计思想 l i n u x 安全模块( l s m ) 的设计必须尽量满足两方面人的要求：让不需要它的人 尽可能少的因此得到麻烦；同时让需要它的人因此得到有用和高效的功能 2 5 】。 以l i n u st o r v a l d s 为代表的内核开发人员对l i n u x 安全模块( l s m ) 提出了三点 要求： 真j 下的通用，当使用一个不同的安全模型的时候，只需要加载一个不同的内 核模块。 概念上简单，对l i n u x 内核影响最