公开版-开放可信平台和下一代智能OS(7-13)资料

1、可信计算北京市重点(zhngdin)实验室 胡俊下一代智能操作系统(co zu x tn)互联协议设计思路共五十一页*可信计算北京市重点(zhngdin)实验室*可信计算基本概念开放可信平台(pngti)下一代智能OS共五十一页*可信计算北京市重点(zhngdin)实验室*可信指的是可预期性可信不等于安全，只是你对安全相关事件的准确判断。例子：水利预报可信预测：半个月内有洪水，洪峰流量XXXX可信预测可预警威胁可信检测：沿岸某处江堤有缺陷,且半个月内来不及加固可信检测可发现自身(zshn)的脆弱性可信评估：动用泄洪区A,B均可以应对该次洪峰，财产损失分别为XXX和XXX。可信评估可帮助决策者确

2、定应对措施可信的含义共五十一页*可信计算北京市重点(zhngdin)实验室*可信不替代安全，它只是支撑安全所有安全机制首先应当是一个可信的机制。安全机制的自身(zshn)可信表示安全系统能按照预期方式运行安全机制应当以可信的方式组合成一个防护体系安全机制的可信组合表示安全机制之间的认证、连接和交互符合预期安全机制应当确保所执行安全策略的可信安全策略的可信表示安全机制是从可信的来源按照可信的流程部署下来的网络空间安全正如人类社会的安全，首先需要一个信任体系可信于网络空间的意义共五十一页*可信计算北京市重点(zhngdin)实验室*不要抱着猎奇的心态可信计算是一个体系，碎拆下来，不成片段。不要抱着

3、被动的心态可信计算和实际系统只有相互融合，才能引起无限变化。不要抱着功利(gngl)的心态汲汲于利益得失，无法构建信任的体系不要抱着跟随的心态信任是如此重要，请不要轻易把它交出去请以正确的心态面对可信计算共五十一页*可信计算北京市重点(zhngdin)实验室*安全机制自身的安全问题上世纪八十年代的TCSEC标准将系统中所有安全机制的总和定义为可信计算基（TCB)TCB的要求：独立的，具有抗篡改(cungi)性不可旁路最小化以便于分析和测试问题：当安全机制分布在系统的各个位置时，如何保证TCB的要求能够满足？可信计算的技术源头共五十一页*可信计算北京市重点(zhngdin)实验室*可信计算的核心

4、概念：可信根和可信链可信环境必须有一个基于密码学和物理保护的可靠的信任源头，这一信任源头就是系统的可信根（TPM/TCM或者TPCM)。系统中的可信元件（安全机制），其可信性应通过从这一可信根出发，经过一环套一环的可信传递过程来保障其可信性。系统的可信计算基中所有元件应构成一个完整(wnzhng)的可信链条，以确保整个可信计算基的可信性。可信计算的解决思路共五十一页*可信计算北京市重点(zhngdin)实验室*可信计算的三大(sn d)特色功能可信报告可信存储可信度量如何构建可信链条？共五十一页*可信计算北京市重点(zhngdin)实验室*可信报告(bogo)基本原理TPM/TCM背书密钥（E

5、K）背书密钥的公钥平台身份密钥（AIK）平台身份证书(含CA签名以及AIK公钥）证书认证中心可信报告可信报告签名验证共五十一页*可信计算北京市重点(zhngdin)实验室*可信报告实施(shsh)方式本地可信计算平台TPM/TCM背书密钥（EK）平台身份密钥（AIK）平台可信度量服务证书认证中心EK私钥存放于可信报告根中，公钥证书公开，但并不直接用于认证AIK由EK和证书认证中心联合生成，用以认证平台的身份可信策略服务中心远程可信计算平台证书认证中心为可信计算平台可信策略服务中心提供证书支持远程可信计算平台接收发来的可信报告，并根据可信策略服务中心获取的度量基准值验证本地可信计算平台的可信性平

6、台可信度量服务度量平台可信性，并将度量结果发送给可信根，生成可信报告发送给远程可信计算平台共五十一页*可信计算北京市重点(zhngdin)实验室*可信存储(cn ch)基本原理TPM/TCM存储根密钥（SRK）存储密钥保密数据加密存储密钥存储密钥密钥策略存储密钥存储密钥加密存储密钥包解密密钥导入/导出共五十一页*可信计算北京市重点(zhngdin)实验室*可信存储实施(shsh)方式存储根密钥（SRK）平台身份密钥（AIK）不可迁移存储密钥平台迁移密钥用户可迁移存储密钥用户不可迁移存储密钥用户签名密钥用户绑定密钥存储根密钥存放于可信根中，永远不TPM 传播密钥向外界暴露内容存储根密钥保护用于可

7、信报告的平台身份密钥不可迁移存储密钥与平台绑定，仅能在本机执行，管理本机环境下的用户签名密钥和用户绑定密钥平台迁移密钥可通过密码协议实现存储密钥在可信计算平台间的迁移，以实现平台间的安全数据交换共五十一页*可信计算北京市重点(zhngdin)实验室*可信度量基本原理TPM/TCMPCR寄存器安全(nqun)机制写入安全机制读取可信基准库验证PCR写入原理PCR旧值写入值哈希算法PCR新值验证写入值1写入值2写入值3写入值n.写入值序列共五十一页*可信计算北京市重点(zhngdin)实验室*可信度量实施(shsh)方式可信度量根可信存储根可信报告根可信根BIOSBIOS度量阶段OS Loader

8、度量阶段OS 度量阶段OS Loader可信基准值OS LoaderOS应用可信芯片度量阶段可信链条度量值度量值度量值OS 可信基准值系统从可信根开始，首先进行BIOS的可信度量，度量通过后启动BIOSBIOS度量OS Loader，度量通过后将控制权移交OS Loader度量OS启动过程，度量通过后执行OS启动流程共五十一页*可信计算北京市重点(zhngdin)实验室*TCG的观点：这些机制可以用来验证系统元件的来源，并防止系统元件未经开发商同意的篡改。开发者可以使用这些机制来保存和验证自己和环境的运行历史TCG期望依托这些机制构建一个二元化的信任环境我们(w men)使用的所有系统、软件和

9、配置都可以由权威机构认证所有经可信认证的系统元件构成一个生态圈，排除所有未经认证的元件和修改件用户在这个生态圈下使用，就可以免于黑客的非法篡改和未知来源恶意软件的侵害。可信计算功能能带给我们什么？共五十一页*可信计算北京市重点(zhngdin)实验室*TCG 的倡导者共五十一页*可信计算北京市重点(zhngdin)实验室*“垄断信任”的做法得不到支持固定、僵化的可信规则无法适应现代(xindi)信息系统的需求TCG甚至解决不了自身的易用性问题TCG research a wrong question共五十一页*可信计算北京市重点(zhngdin)实验室*1997年TCG前身(qinshn)TP

10、CA建立，18年来进展乏善可陈。Windows 8被禁止在中国政府信息系统应用，原因正是可信计算我国有自己的更开放和自由的可信计算理念和标准更多的证据共五十一页*可信计算北京市重点(zhngdin)实验室*可信系统独立于应用运作,主动实施可信监控功能可信系统中，应用不需要修改。可信系统通过系统的监控机制主动提供可信支撑(zh chng)功能可信系统保护用户自己选择的可信规则用户的可信规则以策略形式表述可信计算机制保护策略的正确执行不同用户求同存异，以自组织方式建立可信体系我国的可信计算理念共五十一页*可信计算北京市重点(zhngdin)实验室*可信计算基本概念开放可信平台(pngti)下一代智

11、能OS共五十一页*可信计算北京市重点(zhngdin)实验室*TCG的可信计算调用(dioyng)方式：TSSTSS是一种被动的，由应用主动执行可信计算调用的可信中间件。共五十一页*可信计算北京市重点(zhngdin)实验室*主动(zhdng)可信计算体系下的可信调用方式主动可信计算体系下，可信模块主动运行，监控系统并可自发协作，完成复杂的交互过程共五十一页*可信计算北京市重点(zhngdin)实验室*根据主动可信机制的设计，系统可信计算功能由各机器的可信软件基主动、独立实现在可信软件基内部对可信资源的访问进行多重封装，可以(ky)解决前述五种问题。封装可以分为五个层面进行硬件封装，接口封装，

12、插件封装，流程封装，应用封装实现方式：基于主动可信机制进行多重封装共五十一页*可信计算北京市重点(zhngdin)实验室*通过对可信计算具体功能的C语言接口封装，以实现(shxin)隐藏可信软件栈的接口细节，简化调用过程为不同类型的可信根提供基本一致的API,方便可信机制的移植规范可信计算接口的调用方式接口封装的实现方式通过一个静态的tesi库，实现接口封装tesi库可以包括TPM,TCM，TPCM等不同版本接口封装共五十一页TESI*可信计算北京市重点(zhngdin)实验室*接口(ji ku)封装示意图TSMTPCM软件栈TPMTSSTESI通用接口TCMTPCMTPCM个性化接口TSS封

13、装库TSM封装库TPCM软件栈封装库共五十一页*可信计算北京市重点(zhngdin)实验室*接口(ji ku)封装实例共五十一页*可信计算北京市重点(zhngdin)实验室*直接面向安全应用的需求以应用透明方式提供可信支撑功能通过可信基础软件(run jin)对安全应用进行可信管理 应用封装目标共五十一页*可信计算北京市重点(zhngdin)实验室*应用层可信支撑机制的原型系统实现了五层封装功能可以迅速上手进行可信计算开发工作不同(b tn)层面的开发工作可以无缝结合基于Cube-1.1的开放可信平台原型共五十一页*可信计算北京市重点(zhngdin)实验室*可信计算功能透明添加的演示在不对登

14、陆程序进行任何修改的情况下，增加可信计算绑定-解绑功能具体方法：通过切面路由机制，将用户登陆信息旁路到可信绑定加密-解绑插件中，完成可信计算功能可信功能还可以扩展为对整个平台可信链的认证和局域网内的自动绑定加密按照试用系统(xtng)和开发手册，可以自行体验这一流程的实现实例1：登陆程序的绑定-解绑共五十一页*可信计算北京市重点(zhngdin)实验室*封装实例(shl)：用户身份验证程序的绑定-解绑共五十一页*可信计算北京市重点(zhngdin)实验室*一个独立于现有云系统的可信架构未修改现有openstack中的任何代码可以提供一个可由第三方验证，包含系统可信属性细节的可信报告(bogo)

15、功能与中兴通讯联合申报并获得了电子学会科技进步一等奖有巨大的功能扩展余地目前北工大正在进行全面升级开发实例2：openstack上的可信架构共五十一页*可信计算北京市重点(zhngdin)实验室*实例(shl)2：openstack上的可信架构共五十一页*可信计算北京市重点(zhngdin)实验室*Linux版本试用版已完成Window版本的移植正在进行中将成为北工大可信云架构的核心技术已在北工大学生社区推广已有数家单位开始试用今年(jnnin)9-10月发布试用版和教程年内完整版正式发布并提供教材开放可信平台的进展情况 共五十一页*可信计算北京市重点(zhngdin)实验室*可信计算基本概念

16、开放可信平台(pngti)下一代智能OS共五十一页*可信计算北京市重点(zhngdin)实验室*全栈工程师网百度(bi d)“FSEN即可查到发起人:魏永明miniGUI开发者Linux device driver第二版、第三版翻译者飞漫公司总裁下一代智能OS网址 共五十一页*可信计算北京市重点(zhngdin)实验室*2015.5.23 清华(qn hu)NGOS第二次沙龙后晚宴章文嵩李卓桓张福新宋美娜魏永明陶品陈昊共五十一页*可信计算北京市重点(zhngdin)实验室*2015.6.15 NGOS第三次沙龙(shlng)宫力罗未刘智聪马天夫熊谱翔康晓宁陈渝共五十一页*可信计算北京市重点(z

17、hngdin)实验室*一种编程语言（JavaScript）全栈开发。运行在传统操作系统之上，抹平云到端的差异。将智能硬件、智能终端、云端的计算机系统看成一个虚拟的、抽象的计算环境。将计算机系统上运行的不同应用看成是上述抽象计算环境中的抽象设备。为上面(shng min)的抽象设备提供全新的操作原语和 API，如传统操作系统中的文件、套接字一样。NGOS的设想共五十一页*可信计算北京市重点(zhngdin)实验室*简而言之(jin r yn zh)万物互联！共五十一页*可信计算北京市重点(zhngdin)实验室*整体(zhngt)架构共五十一页*可信计算北京市重点(zhngdin)实验室*大神们

18、设计架构、协议和API，实现核心代码。专业开发者们参与开发，稳定系统，实现驱动程序和功能模块。企业可以自组团队参与开发或将开发外包给专业开发者，实现设备驱动和应用程序初级开发者和普通用户可以通过简化的开发界面实现场景(chng jng)定制的各种应用开发模式共五十一页*可信计算北京市重点(zhngdin)实验室*项目1：针对低端智能硬件的javascript运行环境(hunjng)项目牵头人：马天夫，熊谱翔项目2：针对高端智能硬件的javascript运行环境项目牵头人：魏永明，项目3：面向异构互联网络的去中心化消息协议以及广域javascript应用开发框架项目牵头人：宋美娜，胡俊开发方向共

19、五十一页*可信计算北京市重点(zhngdin)实验室*项目1环境(hunjng)软件栈共五十一页*可信计算北京市重点(zhngdin)实验室*项目(xingm)2环境软件栈共五十一页*可信计算北京市重点(zhngdin)实验室*去中心化，自组织的管理消息协议与现有机制(jzh)互联的直连消息协议切面方式接入的安全控制机制和可信支撑机制项目3构想共五十一页*可信计算北京市重点(zhngdin)实验室*中国开源软件基金会一个(y )公益性基金会组织由aka社区元老等筹款向有价值的开源开发项目提供支持NGOS验证实验室由东莞政府支持建立尝试与硬件结合的商业化运作相关计划 共五十一页*可信计算北京市重点(zhngdin)实验室*设计一个全新的消息协议支持从云到端的异构无障碍连接自组织方式(fngsh)的网络配置+兼容现有协议的点对点通信通过独立的切面增加安全和可信功能项目3方案规划共五十一页*可信计算北京市重点(zhngdin)实验室*从高校入手的”宿舍邦“项目“技术宅的乌托邦” 跨学校，跨地域