（计算机应用技术专业论文）可信分布式计算环境的关键技术研究.pdf

摘要 由于宽带网络的迅猛发展，分布式计算有可能成为继c s 和b s 之后的一种 新型主流计算模式。分布式计算的目标是实现多计算平台之间的作业协同和信息 共享，这一目标需要以分布式计算作业各参与平台之问的相互信任为基础。但是 在现实系统中，上述信任要求面临着各种来源的安全威胁。比如攻击者可能通过 协同作业方式非法获取本地敏感秘密信息、分布式计算作业的过程及结果也可能 因为被恶意篡改而没有意义。 本文提出了一个三维可信分布式计算模型( t t d c m ) ，试图从作业管理平台、 客户机平台和作业代码数据等三个层面建立一个以作业管理者为中心的可信分 布式计算环境。 在t t d c m 中，作业管理者通过一个动态多路径的信任链建立可信的作业管理 平台；并要求客户机通过基于系统行为或可信传递策略的远程平台可信证明方式， 保证分布式作业在客户机中计算过程及其结果的完整性和真实性；对分发到客户 机上的与分布式作业相关代码数据，t t d c m 采用基于密钥的安全级别标记方法， 实现分布式计算环境中的强制访问控制机制，确保这些代码数据只有在作业运行 过程中力能被j 下确解密和使用。 研究成果表明，t t d c m 是一个有效的可信分布式计算模型。 关键词：可信计算；分布式计算环境：可信证明；信任传递；完整性；保密性； 分类号：t p 3 0 9 a bs t r a c t w i t ht h e r a p i dd e v e l o p m e n t o fb r o a d b a n dn e t w o r kt e c h n o l o g y , n e t w o r k b a n d w i d t hi sb e y o n dt h ec o m p u t i n gc a p a b i l i t yo fs i n g l ec o m p u t e r , t h i sm a k e si t p o s s i b l ef o rc o o r d i n a t i n gc o m p u t i n g d i s t r i b u t e dc o m p u t i n gm a yg r o wu pt o b ea m a i n s t r e a mc o m p u t i n gm o d e la f t e rc sa n db s d i s t r i b u t e dc o m p u t i n gi st os u p p o r t t h ej o bc o o p e r a t i o na n di n f o r m a t i o ns h a r i n g ，b u tt h i sg o a lh a st ob eb u i l to nt h e m u t u a lt r u s t w o r t h i n e s sa m o n ga l lp a r t i c i p a t i n gp l a t f o r m s i nr e a ls y s t e m ，t h en e e d e d t r u s t w o r t h i n e s sa l w a y ss u f f e r sf r o mv a r i o u st h r e a t s ，f o re x a m p l e ，t h ec l i e n tp l a t f o r m s m a yw o r r ya b o u tt h ec o n f i d e n t i a l i t yo fl o c a li n f o r m a t i o nw h i c hm a yb es t o l e no r t e m p e r e db ya t t a c k e r sw h ot a k et h ed i s t r i b u t e dj o b sa sh i j a c kt o o l s ；a n dj o bm a n a g e r s i m i l a r l yw o r r ya b o u tt h ei n t e g r i t ya n da u t h e n t i c i t yo ft h ep r o c e s s i n ga n dc o m p u t i n g r e s u l t so fd i s t r i b u t e dj o b sb e i n gd e l i v e r e dt oc l i e n tp l a t f o r m sw h i c ha r eo u to fj o b m a n a g e r sc o n t r 0 1 t h i sp a p e rp r e s e n t sat r i p l e d i m e n s i o nt r u s t e dd i s t r i b u t e dc o m p u t i n gm o d e l ( t t d c m ) f o rj o bm a n a g e ri nd i s t r i b u t e dc o m p u t i n ge n v i r o n m e n t t t d c mo n l y c o n s i d e r st h es e c u r i t yr e q u i r e m e n t so fj o bm a n a g e r sa n dt r i e st o s a t i s f yt h e r e q u i r e m e n t si nf o l l o w i n gt h r e ef a c e t s ：1 ) b u i l d i n gc o n f i d e n c et oj o bm a n a g e m e n t p l a t f o r m st om a k ea s s u r et h ei n t e g r i t y o fj o bm a n a g e m e n t 如n c t i o n s ；2 ) b u i l d i n g c o n f i d e n c et ot h ei n t e g r i t yo ft h ep r o c e s s i n go fd i s t r i b u t e dj o b so nc l i e n tp l a t f o r m s ，a s w e l la st h ea u t h e n t i c i t yo ft h er e l a t e dc o m p u t i n gr e s u l t s ；3 ) b u i l d i n gc o n f i d e n c et ot h e c o n f i d e n t i a l i t yo fj o br e l a t e dc o d ea n dd a t ab e i n gd e l i v e r e dt ot h ec l i e n tp l a t f o r m si n c a s ea n yi l l e g a la c c e s so rl e a k a g eo f j o br e l a t e ds e n s i t i v ei n f o r m a t i o n i nt t d c m ，t h et r u s t w o r t h i n e s so f j o bm a n a g e m e n tp l a t f o r m sc a nb ea s s u r e db y at r a n s i t i v et r u s tm e c h a n i s mn a m e dd y n a m i cm u l t i p a t ht r u s tc h a i n ( d m p t c ) d m p t ct a k e sd i f f e r e n tm e t r i c st od e s c r i p td i f f e r e n tk i n do fc o d e sa n ds o l v e st h e d i 币c u l t i e so fm e a s u r e m e n ta n dv e r i f i c a t i o no ft h e m t h eo t h e rt w of a c e t so f1 v r d c m a r es a t i s f i e da sf o l l o w s ：1 ) c l i e n tp l a t f o r m sh a v et op r o v i d e j o bm a n a g e r sw i t hn e e d e d e v i d e n c e st op r o v et h a tt h e ya r ei nj o bm a n a g e r se x p e c t i n gs t a t u sd u r i n gt h e p r o c e s s i n go fd i s t r i b u t e dj o b s ，t t d c mg i v e st w oa p p r o a c h e sf o rr e m o t ea t t e s t a t i o n w h i c hi n c l u d e ss y s t e mb e h a v i o rb a s e dc o m p u t i n gp l a t f o r ma t t e s t a t i o na n dp o l i c y b a s e dc o m p u t i n gp l a t f o r ma t t e s t a t i o n ；2 ) j o bm a n a g e r sh a v et os e a lt h ej o br e l a t e d c o d e d a t at ob ed e l i v e r e dt oc l i e n tp l a t f o r m sb yw h i c ha t t a c k e r so nr e m o t ec l i e n t v l i ：l 匕立交通厶堂匣鲎位论塞 p l a t f o r m sc a n n o td e c r y p tt h es e a l e dc o d e d a t at h o u g ht h ed a t ac a l lb en o r m a l l yu s e d b yj o br e l a t e dc o d e sd u r i n gj o bp r o c e s s i n g t h i si sd o n eb ya ni m p l e m e n t a t i o no fa l a t t i c eb l pm o d e lw i t hk e yb a s e ds e c u r i t yl e v e ll a b e l s ( k t a c m ) 。k t a c mt a k e st h e a d v a n t a g e so fr e f e r e n c em o n i t o rm e c h a n i s ma n dc r y p t o g r a p h yb a s e da c c e s sc o n t r o l m e c h a n i s m k t a c mt a k e st h eh a r d w a r ec r y p t o g r a p h ym o d u l e si nc l i e n tp l a t f o r m s w h i c ha r et r u s t e dc o m p u t i n gb a s e dt op r o t e c tt h ec r y p t o g r a p h yk e y s k t a c mc a n p r o t e c tj o br e l a t e dc o d e d a t af r o mb e i n gr e a u t h o r i z e db yr e m o t ec l i e n t s r e s e a r c ha n dr e l a t e dp r o t o t y p es h o wt h a tt t d c mi sa ne f f e c t i v et r u s t e dd c e m o d e l k e y w o r d s ：t r u s t e dc o m p u t i n g ；d i s t r i b u t e dc o m p u t i n g ；a t t e s t a t i o n ；t r a n s i t i v et r u s t ； i n t e g r i t y ；c o n f i d e n t i a l i t y ；c r y p t o g r a p h y c l a s s n o ：t p 3 0 9 v i i i 图与附表清单 图1 1 分布式计算体系结构2 图2 1t p m 体系结构示意1 0 图2 2 终端的可信传递1 2 图2 3t c g 的远程证明机制1 3 图2 4 密钥层次结构1 4 图3 1三维可信分布式计算模型1 9 图4 1实际系统的可信传递过程2 4 图4 2d m p t c 模型结构2 5 图4 3t s l 的一般格式2 6 图4 4e f i 的信任链传递机制2 7 图4 5 静态代码的可信度量和验证3 0 图4 6 可执行代码的验证3 3 图4 7 恶意代码判断过程模型3 7 图4 8 实验结果r o c 曲线3 9 图4 9 可执行代码文件数量统计分布状态4 0 图4 1 0 应用安全管理系统部署方式示意4 6 图4 11 恶意代码捕获及识别系统结构4 7 图5 1 质询方安全策略预期描述示例5 3 图5 2 基于系统行为的远程平台可信证明模型5 4 图5 3 可信行为白名单示例5 6 图5 4t s l e 的一般格式5 7 图5 5 基于安全策略的远程平台状态可信证明模型5 8 图5 6 可执行代码文件数量统计分布状态6 0 图5 7 计算平台可信判别过程6 1 图5 8 实际系统中软件总量分布6 2 图5 9 软件包中所含p e 文件数量的分布情况 6 2 图5 1 0d n a c 结构示意6 5 图6 1k t a c m 结构示意6 9 图6 2j d m 密钥分发管理实例7 8 图6 3 一般系统中的k t a c m 8 1 图7 1 生产系统中的分布式计算8 7 表4 1 试验相关数据3 8 表4 2t s l 文件大小4 0 表4 。3 查询t s l 的最大时问4 l 表4 4 可执行代码文件h a s h 值计算时问4 l 表4 5d m p t c 平均时间损耗比4 2 表4 6 优化后的d m p t c 平均时间损耗比4 3 表5 1t s l 文件大小6 0 表5 2t s l 记录结果的h a s h 值计算时间6 0 表5 3 不同条件下计算平台可信验证时问丌销( 毫秒) 6 3 表6 1 密钥一安全标记转换表7 5 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 签字嗍扣形月小 导师签名： 签字日期护艿年j 月币 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 9 虢盼：拗年刍月加 1 0 l 致谢 首先，在此对我的导师沈昌祥院士表示深深的感谢! 本课题是在沈老师的悉 心指导下丌展和完成的，沈老师不仅在理论层面给本课题指明了研究方向，而且 还从工程实践上给出了很多决定课题成败的经验参考和意见，这是我能够完成本 课题的重要基础。在跟随沈老师的多年工作和学习中，我不只在治学方面获得了 深刻的教益，更重要的是在做人、做事等方面从沈老师那罩学到了、也体会到了 很多使我终生受益的教诲和道理。没有良好的人品和处事能力，我们是难以在学 问上取得成就的。 我还要对韩臻教授表示感谢。韩教授在本课题丌展期问提出了很多具体的指 导意见，尤其在论文撰写方面给了我重要建议。不仅如此，在本课题亟需人手之 时，韩教授给了我巨大的帮助，支持其研究生参与本课题的研究，这是本课题得 以顺利丌展的基础。 感谢本课题组的所有成员：刘巍伟、郭煜、石勇、李江涛、李明明、刘博、 戴月、张静、郭菲菲、凌明清、周明、彭双合、左晓栋等等。他们的真诚、热心、 合作、投入是本课题得以顺利开展的保证。这是一支在关键时候能毫无怨言、合 作无间的攻峰团队，这是一支能从失败中快速总结经验、勇往直前的团队，能和 这样的团队合作是我的运气和荣誉。 感谢我的同事和同学：何永忠、杜晔、袁中兰、黄强、唐为明、吕辉军、唐 宏、赵勇、王飞、刘威鹏、张海明、曾瑶、张玲、李呈等等，他们在本课题丌展 期问给了我巨大的鼓励和无私的意见。 最后，我要深深地感谢我的家人。他们的支持是我能够全身心投入课题研究 的动力。 1 绪论 1 1 分布式计算概述及其特征 分布式计算的思想就是通过网络将空闲的计算资源( 包括c p u 计算资源和 存储资源) 组织起来，共同完成一个计算密集型任务。n a s a 的b e o w u l f 项目 1 】 是分布式计算的一个早程碑，它显示了通过很多性能一般的计算机也可以实现高 性能计算。类似的将计算任务分解并分布到多个计算平台的研究项目还包括 m o s i x 2 * 1c o n d e r 3 。 近年来，网络带宽相对计算能力的超速发展已经成为分布式计算重新成为研 究热点的一个重要保i i e 4 】。在应用需求的推动下，i n t e l 、m i c r o s o f t 、s u n 、i b m 等厂商丌始认识到分布式计算的重要意义，纷纷丌始相关标准规范的制定 5 1 1 6 】 和应用模式的推广，促进分布式计算的实用化和普及化；一大批研究单位和机构 也试图通过分布式计算解决计算难题或从中寻求巨大商机。一些典型的应用包括 s e t i h o m e 、n a p s t e r 系统、g n u t e l l a 网络以及b i tt o r r e n t 应用等【7 】 8 】 9 】【1 0 】。 p 2 p 11 】和g r i d 1 2 是分布式计算两个新的发展方向。p 2 p 最早是通过互联 网音乐共享下载系统n a p s t e r 引起人们的重视，目前已经有了其它很多实际的应 用，包括办公协同( 如g r o o v e 系统【1 3 】) 、i p 电话( 如s k y p e 1 4 】) 、即时通信( 如 q q ) 以及分布存储( 如o c e a n s t o r e 系统 1 5 】) 等等。在p 2 p 应用产业迅速发展 的同时，学术界对p 2 p 系统也展丌了深入的研究。自2 0 0 0 年起，在o s d i 、s o s p 、 s i g c o m m 、u s e n i x 、h o t o s 等系统结构方向的项级会议上不断出现关于p 2 p 系统的重要研究成果。 g r i d 的实际应用也非常广泛，相关领域包括自然科学( 如l h c h o m e ，模 拟大型强子对撞机) 、生命科学( 如x o r i d s t a n f o r d ， 研究心脏健康) 、密码学 ( 如p r i m e g r i d ，挑战r s a 因数分解) 、金融( 如m o n e y b e e ，资本的流通及信息 传递) 等众多领域 1 6 】。由全球网格论坛( g g f ) 下属g l o b u s 项目组成员联合开 发的g l o b u st o o l k i t 1 7 】标准工具包，已被公认为当前建立网格系统和丌发网格软 件的事实上的参考标准。2 0 0 2 年2 月，在加拿大多伦多市召丌的全球网格论坛 ( g l o b u sg r i df o r u m ，g g f ) 会议上，g l o b u s 项目组和i b m 提出了丌放网格服 务体系( o g s a ) ，o g s a 将g l o b u s 标准与w e bs e r v i c e s 标准相结合，统一以 s e r v i c e s 的方式对外界提供网格服务。2 0 0 5 年1 月g l o b u st o o l k i t4 ( g t 4 ) 发布， 其目标是建立分布式异构计算环境。 = i 匕瘟銮适厶堂匾：堂位论塞 分布式计算的另一个发展方向是企业分布式计算。随着企业业务的发展，应 用规模的不断增长，对企业业务信息系统的计算性能要求也越来越高。在技术上， 企业业务信息系统有两种性能瓶颈突破方向：一是单机提升方式，即不断提高单 台服务器的计算能力，这种方式会受到硬件技术和成本的严重制约；另一种方向 是分布式计算方式，即通过集成企业内部的空闲计算资源实现应用性能的提高， 这种方式无论是在成本还是在性能提高程度上都有非常好的前景，尤其是对基于 w e b 服务的应用类型更为有意义 1 8 】，i b m 的i n t r a g r i d 是一个典型的实例【1 9 】。 企业内部采用分布式计算不仅可以解决性能问题，而且还可以提高业务系统的可 用性，减少系统的单点故障。 分布式计算的典型结构如图1 。1 所示： 客户机 ( c l ie n t s ) 计算结果 ( r e s u l t ) 作业分发 ( j obd i s p a t c h ) 作业管理者 ( j o bm a n a g e r ) f i g u r e1 1t h ea r c h i t e c t u r eo fd i s t r i b u t e dc o m p u t i n g 图1 1 分布式计算体系结构 图1 1 中表现了分布式计算的两类主要参与者：作业管理者和客户机。作业 管理者负责将任务分解成多个作业单位，并根据客户机的状态( 如客户机主动申 请作业) 选择将作业分发到客户机上；作业管理者还负责接收和处理由客户机返 回的计算结果。客户机利用自身空闲的计算资源完成被分发的作业，并将作业结 果返回给作业管理者 1 9 】。 分布式计算有以卜特征 11 2 0 1 1 2 1 ： 1 ) 去集中化管理：在分布式计算中，每个计算节点都是对等的参与者，系 统中没有集中的管理者，所有参与者( 包括作业管理者和客户机) 的资 源和数据都由各自系统负责管理和控制。 2 ) 动态性：分布式计算作业本身是动态创建的，参与分布式计算作业的计 算节点及其数量并不固定，客户机可以自由决定是否加入或退出计算任 务。 3 ) 异构性：参与分布式计算的作业管理者和客户机在硬件结构和性能上都 不必相同，其操作系统和其它软件也可能相差各异。 基于上述特征，集群计算( c l u s t e rc o m p u t i n g ) 由于其任务紧耦合性特征、 静态性特征以及专用操作系统和强集中式管理要求，一般被归类为高性能计算 ( h i 曲p e r f o r m a n c ec o m p u t i n g ，h p c ) ，而非分布式计算范畴。 1 2 分布式计算面临的安全挑战 分布式计算存在与其它计算模式类似的安全问题，比如身份认证、访问授权、 信息保密性和完整性保护、边界安全、资源隔离保护、审计等等【1 1 【1 9 2 1 【2 2 】。 这些安全问题是分布式计算的相关研究领域中非常重要的内容，在g l o b u s t o o l k i t 中有专门的与安全相关的规范g r i ds e c u r i t yi n f r a s t r u c t u r e ( g s i ) 2 3 】。g s i 目前已经从r e l e a s e1 进化到了r e l e a s e 4 ，它包括了g r i d 计算中的消息保护、认 证、动态计算实体创建、访问控制以及证书映射等安全内容。 认证和资源访问授权是分布式计算安全研究中的重点。m t h o m p s o n 2 4 】、 i a nf o s t e r 2 5 2 6 】、k k e a h e y 2 7 、b ol a n g 2 8 等人在资源访问控制授权以及g r i d 安全授权框架等方面进行了深入的研究，分别提出了比较经典的资源授权模型、 方法和改进建议；j n o v o t n y 通过一个在线证书库系统( m y p r o x y ) 解决g r i d 入口站点和g s i 之间的融合问题 2 9 】；vw e l c h 针对用户动态创建实体、动态权 限委托中的问题以及重复登录问题提出了相应的认证方案 3 0 】。 多安全域策略一致性问题是分布式计算安全研究中的另一个方向。分布式计 算本身是一个去集中化管理系统，作业管理者和客户机可能来自不同的安全域， 归属不同的安全管理范围。这一特征决定了在分布式计算系统存在以下安全要求 2 2 3 l 】： 1 ) 多安全域之问安全策略的一致性转换和执行。由于参与分布式计算 的各个客户机和作业管理者可能来自不同的安全域，归属不同的安 全管理范围，并且相互异构，因此需要在安全域之间实现安全策略 的一致性转换和执行；h a ow a n g 等人在【3 2 】提出了在不同安全域之 间实现安全策略调和( p o l i c yr e c o n c i l i a t i o n ) 的方法； 2 ) 边界安全。客户机以及作业管理者之间的作业协同通信需要跨越不 同安全域边界，这可能导致分布式计算作业相关安全策略与各安全 域边界安全策略之问的冲突； 3 )本地资源的重用和安全隔离。客户机的本地作业和被分配的分布计 算作业之间除共用c p u 及存储资源外，需要保证彼此之f b j 的安全隔 离，保护本地资源( 包括程序、数据、进城等) 的安全； 4 ) 代码和数据安全。某些应用情况下，比如密码计算或物探分析计算， 这些作业可以被分发到大量客户机上，但是与作业相关的代码和数 据可能属于国家安全或商业秘密，需要安全保护，防止在客户机上 被窃取或破坏。 = 匕塞交道厶堂匾堂位途塞 去集中化管理的特点使得在研究安全的分布式计算系统时必须要考虑：1 ) 与已有系统和技术的融合( i n t e g r a t i o n ) 要求；2 ) 不同主机环境之间的互操作 ( i n t e r o p e r a b i l i t y ) 要求；3 ) 不同主机之间的互信( t r u s tr e l a t i o n s h i p ) 要求 3 3 】。 在去集中化安全管理的分布式系统中，不同主机之l 、日j 的互信是分布式计算中 各计算节点( 包括作业管理者和客户机) 能够协同作业的基础。从安全需求角度 分析，这种信任关系有两种类型：1 ) 客户机需求类型。比如客户机需要确认分布 式作业包来源是真实、没有被篡改的，并且在本地计算过程中，不会破坏本地系 统的安全性。只有获得这种安全信心保证，客户机才可能允许分布式作业在本地 运行：2 ) 管理者需求类型。比如作业管理者需要确认分发到各个客户机上的作业 代码和相关数据是有安全保证的，不会被客户机的用户窃取和破坏，并且其计算 结果是真实可信的。只有在获得这种信心保证的前提下，作业管理者才会将作业 包分发给客户机执行。 除了需求主体不同外，上述两种信任关系在建立过程和保证方法上都有着显 著的区别。对于客户机，由于分布式作业是在本地执行，因此可以采用传统的安 全技术和机制来保证自身的安全。比如通过数字证书和数字签名技术可以确保分 布式作业包的真实性和完整性；通过本地沙箱( s a n d b o x ) 机制可以将分布式作 业隔离在一个受限的范围，或者采用适当的资源授权来限制或控制它们对本地资 源的越权访问。如何保护客户机本地计算平台的安全也是目前g s i 的主要内容。 但是对于作业管理者，很难完全用传统的技术手段来帮助它建立对客户机的 信任，而且这种信任的程度也非常有限。目前几种可以采用的方法包括：1 ) 通过 数字证书和数字签名等机制来保证客户机用户的身份，但是由于证书是可移植 的，即证书不能和平台绑定，因此这种方法不能用来鉴别客户机的平台身份；2 ) 通过将同一作业包分发给多个客户机，并比对各客户机返回的计算结果，可以在 一定程度上保证计算结果的可信度，比如s e t i h o m e 就是采用冗余计算并比对 三个结果 1 1 】来加强计算结果的可信程度。这种方法会带来巨大的资源浪费，而 且不能在本质上提高计算结果的可信程度，因此对很多分布式计算应用，尤其在 企业分布式计算环境中是不可行的。 除了客户机用户身份和分布式作业计算结果的可信保证之外，作业管理者可 能更为关心以下问题： 1 ) 作业管理平台本身的安全和可信性。在分布式计算作业过程中，客户机 与作业管理者之间冈为协同作业需要相互通信，如果作业管理平台本身 不安全，它可能会影响到整个系统的安全。比如感染病毒、木马或蠕虫 等恶意代码，那么它在和其它客户机的通信过程中，可能会将这些恶意 代码传播并感染到这些计算平台上； 4 2 ) 分布式计算作业在客户机平台中的运行完整性。作业管理者需要确认被 分发的作业包在客户机上能够不被篡改的运行，从而确保计算结果的真 实可信； 3 ) 分布式计算作业代码及其计算结果在客户机平台中的保密性。对特定应 用，作业管理者可能需要确保分布式作业相关代码和数据在客户机上的 保密性。 传统的安全技术措施难以解决这些问题，这主要是因为分布式计算作业是在 客户机上运行，而作业管理者在去集中化的管理模式下无法对远程客户机的安全 策略和安全状态进行管理和控制，因此也就不能控制客户机上分布式作业的运行 状态及其环境安全。 可信计算( t r u s t e dc o m p u t i n g ) 相关技术的出现和成熟为这些问题的解决提 供了基础。通过可信计算的硬件密钥保护、信任链传递和扩展、远程计算平台证 明、密封存储等技术和机制，以密码技术为基础，可以建立一个以作业管理者为 中心的可信分布式计算环境。 1 3 可信分布式计算环境的研究背景及目标 可信分布式计算环境关键技术研究是作为国家”八六三”高技术研究发展计 划基金项目( 编号：2 0 0 6 0 1 0 1 2 4 0 1 5 ) 的一个重要内容而开展的。 可信计算技术作为信息安全领域的一个新兴的综合基础技术，近年来备受瞩 目。1 9 9 9 年l o 月山国际几大i t 巨头c o m p a q 、h p 、i b m 、i n t e l 和m i c r o s o f t 牵 头组织了可信计算平台联盟t c p a ( t r u s t e dc o m p u t i n gp l a t f o r ma l l i a n c e ) 。该联盟 的主要技术目标是为了解决p c 机结构上的不安全问题，从根本上提高其可信性。 t c p a 定义了具有安全存储和加密功能的可信平台模块( t r u s t e dp l a t f o r m m o d u l e ，t p m ) ，并于2 0 0 1 年1 月发布了基于硬件系统的“可信计算平台规范” ( v 1 o ) 。2 0 0 3 年3 月t c p a 改组为t c g ( t r u s t e dc o m p u t i n gg r o u p ) ，同年1 0 月发 布了t p m 主规范( v 1 2 ) 。目前t c g 已经就可信p c 、服务器、存储、p d a 、网 络以及可信计算平台模块和可信软件栈等层面制定了相关的规范 3 4 】。 我们围家对可信计算平台技术及其相关技术的认识和研究起步较早，从上个 世纪9 0 年代中期丌始，一些科研机构和团队在可信计算平台技术领域方面就已 经进行了广泛深入地研究；与此同时，国内一些企业也在产品市场化方面取得了 巨大的进展，2 0 0 4 年以来，瑞达己推出首款可信计算平台，联想则己推出使用 了基于可信计算平台技术的安全芯片的p c ，不少企业如兆同、清华同方、浪潮、 方正、长城等也在可信计算上投入巨大。 5 = i 匕立交道厶堂煌堂位论塞 我们国家在“十一五”国家科技发展规划中也已经将可信计算平台技术作为 一个重要的发展领域给予大力支持。2 0 0 5 年1 月，为了研究可信计算平台技术 的中国标准，国家成立了国家安全标准委员会w g l 可信计算工作小组；国家“十 一五”规划和“8 6 3 ”计划都将“可信计算”列入重点支持项目，并有较大规模 的投入与扶植。 另一方面，如前一节所述，计算平台之间的互信是分布式计算实现的一个安 全支持基础，因此我们试图通过可信计算技术来帮助实现一个可信的分布式计算 环境。研究可信的分布式计算环境有以下意义： 1 ) 推动平台之间的作业协同和资源共享，尤其是促进企业范围内的分布式 计算应用的发展，提高企业信息系统的计算能力和资源的利用水平，降 低企业信息化成本； 2 ) 提高传统安全技术措施的安全强度；以可信计算技术为基础、以密码技 术为支撑，为传统信息安全技术建立可信基础，弥补传统信息安全技术 的不足； 3 ) 将可信分布式计算环境作为可信计算技术的一个应用内容，反过来可以 推动可信计算技术本身的发展。 可信分布式计算环境的研究内容和目标是：从作业管理者的安全需求出发， 通过可信计算技术，确保作业管理平台的安全可信；并以此为基础，通过可信证 明及验证过程，确保加入分布式计算作业的客户机平台在完成分布式作业过程中 的安全可信性；同时，作j l k 管理者还必须能够在可信计算和密码技术的支持下， 确保特定的代码和数据在客户机平台上的安全性。 1 4 论文组织及主要研究成果 建立可信的分布式计算环境面临以下难题：1 ) 信任链建立方法以及信任链 建立过程中的性能问题，尤其是在w i n d o w s 等操作系统中的实现问题；2 ) 可信 证明模型的建立以及可信描述的定义、抽象、提取和验证问题；3 ) 去集中化管 理环境中访问控制策略的一致性执行问题。 本文在大量理论研究及实践、实现工作基础上，针对上述问题提出了一些有 现实意义的模型方法，并结合这些模型方法，着重从性能、可用性上加以优化实 现，从而使本课题的研究成果具有很强的现实意义。目前本研究的一些成果已经 用于恶意代码的主动防范、敏感数据的安全保密等实际安全应用领域。 本文的编写结构组织如下：第一章简要介绍分布式计算的发展状况、总结了 分布式计算的主要特点，并基于这些特点对其安全需求进行了深入的分析，从而 6 发现现有分布式计算相关安全技术措施的不足。本章从分布式计算作业管理 者对客户机平台的信任需求出发，简要说明了本文相关课题的研究背景，提出了 本文的研究目标和内容。第二章简单介绍了可信计算技术的发展背景和状况，并 概要描述了可信计算技术的基本知识和关键技术内容。第三章介绍本文的详细研 究内容，并着重提出了本文的核心内容“三维可信分布式计算模型 ( t r i p l e - d i m e n s i o nt r u s t e dd i s t r i b u t e dc o m p u t i n gm o d e l ，t t d c m ) ”；t t d c m 以 作业管理者的安全要求为目标，从作业管理平台、客户机平台以及分布式作业相 关代码数据的可信为内容，建立了分布式计算环境中的可信保证模型和方法； 此外，本章还提出了上述模型和方法中面临的关键技术挑战。第四章以作业管理 平台为中心，着重研究了通过信任链传递机制实现对分布式计算作业的可信管 理。第五章以客户机为中心，讨论通过远程平台证明机制确保作业管理者对客户 机完成分布式作业过程和结果的信心，其中重点提出了基于系统行为的远程计算 平台可信证明机制和基于策略的远程计算平台可信证明机制。第六章以分布式作 业相关代码数据的安全保证为核心，通过基于密钥的可信访问控制机制 ( k t a c m ) 来实现在分布式计算系统中对作业相关代码数据的一致性安全保 护。第七章探讨了在生产系统中实现业务应用分布式计算的必要性及其主要优 点，并给出了在生产系统中通过t t d c m 实现可信分布式计算的建议。 7 2 可信计算平台技术 本章主要对可信计算平台技术的发展过程和背景、基础知识进行简要介绍， 并着重说明了可信计算平台技术包含的几个重要概念和主要可信机制，包括信任 链的建立和传递、身份认证、远程证明以及可信存储，这些概念和技术机制是建 立可信分布式计算环境的重要支撑基础。 2 1 可信计算技术的发展背景 1 9 8 3 年美国国防部颁布了可信计算机系统评价准则( t c s e c ) 【3 5 】，该标准 是在基于安全核技术的安全操作系统研究基础上制定出来的。标准中提出了可信 计算基( t c b ) 的概念。t c b 是计算机系统中由硬件、软件和固件组成的负责 实旋系统统一安全策略的保护机制总和。t c b 必须具有不被绕过，自身不被篡 改并且f 确性可验证的特性。但是由于p c 结构的简化，t c b 缺乏安全硬件的支 持，这也是在传统p c 上难以实现高安全等级计算系统的根本原因。 为了解决p c 上一些特定应用对物理安全的要求问题，i b m 曾经推出一款可 编程的安全协处理器i b m4 7 5 8 3 6 。i b m4 7 5 8 可以通过协处理器提高密码计算 的速度，并提供对密钥的安全存储，此外，它还定义了认证引导的概念，即代码 在加载时必须是完整可信的 3 7 】。 出于通用性和兼容性考虑，同时为了更有利于占据标准和产业领先地位， i b m 公丌了其芯片设计。在此基础上，t c g 提出了以密码技术为基础的硬件可 信平台模块( t p m ) ，并通过硬件支持的“受保护能力”保护其内部不被非法访 问或破坏 3 8 1 1 3 9 。在t p m 以及其它可信组件的支持下，i n t e l 和a m d 已经分别 提出可信的p c 体系结构l a g r a n d et e c h n o l o g y ( l t ) 4 0 和s e c u r ee x e c u t i o nm o d e ( s e m ) 4 1 】，而m i c r o s o f t 计划在其下一代安全计算基( n g s c b ) 中以t p m 为基 础实现高安全等级的操作系统 4 2 】，并且部分功能已经在v i s t a 系统中实现。 基于t p m 的可信计算平台，还可以实现可信的计算机网络系统。m i c r o s o t t 、 c i s c o 分别提出了网络接入保护( n a p ) 4 3 矛1 网络准入控制( n a c ) 4 4 】机制， 试图通过禁止非安全可信的终端计算设备( 比如感染了病毒的用户p c ) 接入网 络，保护系统不被破坏。但是因为缺少硬件可信根的支持，n a p 和n a c 都不能 真诈解决系统安全问题。在可信计算技术的支持下，t c g 的可信网络连接( t n c ) 【4 5 从根本上克服了n a p 和n a c 的结构缺陷。 9 l 匕五! 交通厶堂匾上堂位途塞 此外，可信计算技术还被广泛地用于呵信p d a 、可信存储系统、数据版权 保护、社会公共信任体系、分布式计算等多个应用领域。尽管人们对可信计算技 术之外的动机或负面影响还存在或多或少的疑问，比如可能被某些大厂商用作技 术垄断并谋取不合理利益的手段 4 6 】，但是，从技术观点看，可信计算虽然不等 同于安全，但它的确能够大大提升系统的安全水平【4 7 】。 2