太“给力”的可信计算应用方案
安全研究
在政府、金融、教育、邮电、制造、航天军工、公共事业等领域,可信计算已经初步显示出了它的安全价值,当人们认识到信息安全的重要性时,可信计算的概念也得到了肯定,可信计算的产品应用也将不断普及,为了让行业用户切实从可信计算中获益,我们有必要了解可信计算的各种应用方案。
理财帮手:可信网络支付方案
据数据显示,到2011年,中国电子支付将达到2800亿元,年复合增长率将超过60%。但持卡人开通网上银行并实际进行网上支付的比例不足1%,用户不愿使用网上支付,是由于70%的人群担心安全问题。业内人士指出,如果能解决电子支付的安全问题,网络购物的前景将更加广阔,幸运的是,可信网络支付系统的出现,将彻底解决网络支付的安全问题。
可信网络支付系统是基于可信计算平台的完整安全电子支付解决方案,它囊括了身份认证和设备认证,极大地增强了用户终端中机密数据(密码、口令、数字证书)、交易数据(交易类型、商品数量、交易金额等)的安全性。交易时可信密码模块将与支付硬件进行安全认证,建立彼此间的信任关系,并保护用户密钥和数字证书,实现与计算机唯一绑定的功能。
以清华同方的可信网络支付系统为例,它由理财电脑(即TST2.0安全电脑)、刷卡设备和银联支付网关等几部分组成,每个设备都具有唯一的标志且不可仿冒,通过采用国标非对称密码算法、CA认证、加密通信等技术手段,使银行卡磁道信息与密码在交易过程中从未在电脑上以明文出现,密钥与证书也不可能在理财电脑上获得,即使计算机主机中潜伏了恶意代码也无法窃取相关的敏感信息。换句话说,即使电脑是由恶意的CPU 和操作系统所控制,用户的数据仍然是安全的。
在实际应用中,拥有清华同方理财电脑的用户,只需要登录银联网站激活并绑定银联卡,即可在在线购物时选择直接刷卡支付,换句话说,只要拥有一张银联卡、一台理财电脑,就可以像在商场刷卡购物一样在网上买东西。此外,同方理财电脑具有对智能卡和射频卡的读取功能,用户通过刷卡方式即可直接登录各网银系统,从而进行在线消费记录、银行卡余额查询,甚至在网上缴水费、电费、天然气费、电话费等,让电脑真正成为家庭理财的好帮手。
网络安全:可信网络接入方案
随着互联网的广泛应用,企业在办公、贸易、财务、管理等诸多方面都离不开网络。然而,网络木马、病毒、蠕虫也频繁造访,企业的信息安全工作面临无法跟上病毒“进步”步伐的尴尬和困窘。在这种情况下,企业把大量精力放在防御非法入侵者的外部攻击上。但是,当前网络安全事件绝大部分来自企业内部,例如员工在论坛留下电子邮件地址、不小心安装了间谍软件,使得越来越多的非法入侵者通过窃取用户名与密码,以“合法者”身份入侵企业网络。
如果在企业网络中部署可信计算系统,让内网和外网都实现可信接入,不仅可抵御来自外网的恶意攻击,也避免了内网使用者的安全疏忽。可信网络接入方案主要包括可信安全管理系统、可信代理安全机制、可信网络保护机制,可信网络安全管理系统通过对网络中各种设备(路由设备、安全设备等)、安全机制、安全信息的综合管理与分析,以此获得全局网络安全视图,并制定安全策略指导网络接入。
可信代理安全机制结合终端系统的认证、评估子系统来实现对接入可信网络的终端系统、用户进行认证和授权控制,只有通过了用户身份鉴别和工作终端系统安全状况评估后,用户使用的终端系统才能够接入到动态的可信网络中;可信网络信息保护机制重点关注可信网络内部重要信息的保护,以确保这些数据在存储、使用以及传输过程中的安全,并且通过控制可信网络内部用户访问外部时的安全策略检查机制以及输出信息的检查机制来避免敏感信息的外泄,从而保证可信网络内部信息的机密性和可信性。
在实际应用中,可信网络接入的部署并不复杂,以清华同方的可信网络接入方案为例,它是基于TCM的网络接入控制,通过把TCM认证、口令认证和智能卡认证有机地结合在一起,在网络内实现对于计算机终端以及计算机用户的认证,实现对计算机身份的识别和用户身份的识别,从而实现了基于计算机身份的网络隔离,保证了只有拥有合法授权的用户在经过授权的计算机终端上才能实现对网络资源的正常访问,彻底杜绝了未授权的计算机或个人对内网和外网的非法访问,为网络信息系统的安全防护提供技术支撑。
底层安全:可信EFI固件方案
熟悉计算机硬件的用户都知道,PC主机上的主板都内置了BIOS芯片,因为计算机的加电是由BIOS来控制,尽管可信计算不断应用,但BIOS在PC机中的地位并没被忽略,甚至BIOS成了嵌入式平台或软件的载体,例如常规计算机加载操作系统和应用软件的时间很长,不符合家用设备或企业应用的需求,而PC用户希望计算机能“即开即用”,当在BIOS中集成某些应用软件后,使这些应用能在操作系统加载前,在BIOS控制下迅速加载运行。
为了实现可扩展性和可定制性,英特尔推出了EFI架构来取代传统BIOS,遗憾的是,作为PC机的底层应用程序,EFI并没有解决BIOS面临的安全威胁,而且EFI大部分程序由C语言实现,因此EFI面临更大的被恶意程序修改和攻击的威胁。所以在可信计算机平台里,同样要求EFI BIOS具有“认证”模块,以测量加电过程中平台的可信性,并将可信链从可信根部传播到计算机的其他部分。
目前EFI安全机制大多基于TPM安全芯片或USB Key来建立可信链,但由于这些技术被国外厂商所掌握,国内企业在应用时依旧存在安全隐患。为此,清华同方电脑联手国内软件开发商,推出了真正的国产可信EFI固件,即在EFI固件中加载国产TCM模块,它支持开机点亮屏幕、原生分辨率的动态LOGO、支持鼠标操作的图形化界面、启动管理器等特殊功能,可应用于服务器、台式机、笔记本电脑及嵌入式领域,为可信计算技术在信息系统中的应用提供了更广泛的基础平台。清华同方EFI平台搭载了TCM可信技术,在EFI中实现了对于系统部件的完整性度量及报告,从而实现了系统的信任链向上传递,为构建可信计算系统提供了有力支撑。
为了提前点亮屏幕,给用户不一样的视觉效果,清华同方的EFI可信平台可实现开机1~2秒时间点亮计算机屏幕,而动态企业LOGO可以实现计算机开机原生分辨率显示,并实现EFI下的动画播放。从操作方式来看,同方EFI平台用起来就像一个简单的操作系统,可以用鼠标操作各项功能,在实际应用中,内置EFI的计算机在开机播放企业LOGO时,用户只要按下F11键即可进入启动管理器,启动管理器界面显示开机过程检测到的所有可启动设备,并显示可启动设备的型号,用户鼠标点击期望系统启动的设备,系统即从该设备启动。
按需定制:可信操作系统方案
任何一种可信计算机都离不开操作系统,所有软件、数据都需借助操作系统来执行,然而现有的可信计算度量机制存在动态性和效率的不足,因而操作系统的可信计算也至关重要。可信操作系统的出现,将给PC用户带来更安全的应用环境,例如有的可信操作系统采用强制访问控制框架和角色权限管理机制,支持以模块化方式实现安全策略,提供多种访问控制策略的统一平台,包括管理员分权、最小特权、结合角色的基于类型的访问控制、细粒度的自主访问控制、安全目录保护等多项安全功能,从内核到应用提供全方位的安全保护。
以清华同方的多域安全操作系统为例,它结合我国自主可信计算技术,利用TCM对不同用户操作系统进行完整性保护及校验,能够进一步保护用户操作系统的完整性,提升系统的可信赖性,保护用户免受病毒和恶意代码的攻击。在多域安全桌面操作系统上,用户可以应用多个用户操作系统,每个操作系统可以对应一个特殊的数据访问域。对于这些数据,仅会在访问它的用户操作系统内出现,而不会跨域操作,从而能够有效避免不同安全域之间的数据交叉访问,进而避免被动的无意识泄露信息事件频繁发生,最终为终端用户提供多域安全访问体验。
安全存储:可信移动存储方案
移动硬盘、U盘、存储卡已成为移动存储的基本设备,当越来越多的敏感信息、秘密数据和档案资料被存储其中时,就给企业信息资源带来了相当大的安全隐患,诸如U盘未经授权在企业内部使用,当U盘被带出在外部非授权使用时,存储在U盘中的秘密信息在联网或人工交换时被泄露或被窃取。当移动硬盘发生故障去维修时,存有的秘密信息容易被非法窃取。当存储卡损坏被废弃处理时,即便磁盘经消磁十余次后,破解高手仍有办法恢复原来记录的信息。
可信移动存储解决方案的出现,让用户彻底摆脱数据被泄露的风险,可信移动存储解决方案是利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护的软件系统,使信息资产、涉密信息不能被移动存储设备非法流失,其特点包括:移动存储设备交换的数据必须是密文,保证数据离开应用环境后不可用;数据交换前必须通过正确的身份认证;记录数据交换过程的工作日志,便于以后进行跟踪审计;未经授权的移动存储设备,在工作环境中不可用,只有经过授权的移动存储设备才能进入工作环境;移动存储设备带出工作环境后变为不可用。
以清华同方的可信移动硬盘为例,它在移动硬盘内部嵌入操作系统,在可信的设备内部完成用户身份认证与授权,从而使得设备摆脱了其所接入的计算机终端的影响,在纷繁复杂的计算机终端面前保持了独立安全的特性。在逻辑上,计算机变成了访问存储设备的一个终端设备,从而实现对信息的智能访问,有效抵御对敏感信息的非法访问。在与可信计算机终端进行绑定后,能够进一步增强信息系统的安全性。此外,当移动硬盘遭受恶意攻击后,移动硬盘自毁机制启动,销毁上面存储的敏感数据。