基于网络计算的可信环境研究

(河南工业大学 信息科学与工程学院,河南 郑州 450001)

摘要:网络计算技术的应用越来越广泛,其安全问题显得尤为重要,可信计算相关研究的兴起,为网络计算应用技术的安全性研究提供了新的契机。提出了基于网络计算的可信环境的架构思想及其实现模型。

关键词:网络安全;网络计算;可信计算;可信网络接入;可信环境

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)28-7913-03

Network Computing Based on the Credibility of Environmental Studies

GU Da-wei, WANG Yu-hua, HOU Zhi-qiang

(College of Information Science and Engineering, Henan University of Technology, Zhengzhou 450001, China)

Abstract: The application of network computing technology, more and more widely, its security is particularly important to the emergence of trusted computing research for the security of network computing application technology research has provided new opportunities. In this paper, thecredibility of Web-based computing environment, the structure of thought and its implementation model.

Key words: network security; network computing; trusted computing; trusted network connect; trusted environment

伴随着网络计算技术的迅速发展,如何更好的整合现有研究成果,通过更为基础的网络计算环境,提供更广泛的资源共享空间。在网络计算环境下各自治域系统的可信接入、可信传输、可信管理等计算模型,提供对网络计算系统中各种计算资源、数据资源、服务资源的整合与共享,对终端设备的安全可信接入、网络设备的安全可信管理、数据信息的安全可信传输等环节进行组织与管理,以数据和信息的机密性、完整性、身份认证和行为的不可抵赖为目的,为各类科学活动提供可信的互联、互通和互操作手段,以及网络安全的保证机制。由此,基于网络计算的可信环境研究至关重要。

1 网络计算的发展

20世 纪 9 0年代,Internet蔓延到世界各地,成为人们沟通信息和协同工作的有效工具.更为重要的是,Internet上汇集的成千上万的计算资源、数据资源、软件资源、各种数字化设备和控制系统共同构成了生产、传播和使用知识的重要载体。人们开始思考如何将物理上互连的众多资源汇聚起来,联合提供服务,重新认识网络计算技术的实质。网格计算和P2P计算即是在此阶段应运而生的两种新兴计算模式。

网格是指将地理分布、系统异构的各种高性能计算机、数据库服务器、大型存储检索系统和可视化、虚拟现实系统等“大”资源,通过高速互连网络连接并集成起来,形成对用户相对透明的高性能虚拟计算环境,协同解决大型应用的计算问题。

P2P是指将散布在Internet上的众多闲置的“小”资源以自愿参与的原则进行合理的组织与集成,以解决存储、计算及远程协作等应用问题。在产生的初期,这两种技术由于所面对资源实体和应用类型的不同而分别采用了不同的解决方法:但是随着研究的深入,基于两者目标上的一致性很多研究者开始意识到能够(也应该)将这两种技术结合起来。这种网络协作环境被称为网络计算环境或全球计算环境(Global Computing Environment)。

网络计算的特征:

网络计算环境一方面继承了网格和P2P各自的特征。同时由于系统的融合也使其具有其独有的特征,这主要体现在资源的多样性。

1) 资源类型的多样性:网络计算环境中的资源包括计算资源、存储资源、仪器设备等。

2) 资源状态的多样性:网络计算环境中网格资源的状态相对稳定,可以提供具有优良服务质量保证的资源共享,而其中的P2P资源状态变化较大,难以提供具有服务质量保证的资源共享。

3)资源使用的多样性:网络计算环境中的网格资源分属于不同的所有者,有偿使用是其基本原则;而其中的P2P资源主要由众多志愿者贡献出来,基本上是基于无偿使用的。

2 可信计算

2.1 可信计算的目标和基本思想

TCG 认为,可信计算平台应具有数据完整性、数据安全存储和平台身份证明等方面的功能。一个可信计算平台必须具备4个基本技术特征:安全输入输出(Secure I/O)、存储器屏蔽(memory curtaining)、密封存储(sealed storage)和平台身份的远程证明(remote attestation)。可信计算的基本思想是:首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。一个可信计算机系统由可信根、可信硬件平台、可信操作系统和可信应用系统组成。

2.2 信任根和信任链

信任根和信任链是可信计算平台的最主要的关键技术之一。信任根是系统可信的基点。TCG 认为一个可信计算平台必须包含3个信任根:可信测量根RTM(root of trust for measurement)、可信存储根RTS(root of trust for storage) 和可信报告根RTR(root of trust for reporting)。 而信任根的可信性由物理安全和管理安全确保。信任链把信任关系从信任根扩展到整个计算机系统。在TCG 的可信PC 技术规范中,具体给出了可信PC 中的信任链,如图1 所示。我们可以看出:这个信任链以BIOS Boot Block 和TPM芯片为信任根,经过BIOSOS loaderOS。沿着这个信任链,一级测量认证一级, 一级信任一级,以确保整个平台的系统资源的完整性。

2.3 可信测量、存储、报告机制

可信测量、存储、报告机制是可信计算的另一个关键技术。 可信计算平台对请求访问的实体进行可信测量,并存储测量结果,实体询问时平台提供报告。应当指出,根据图1所进行的可信测量只是系统开机时的系统资源静态完整性测量,因此只能确保系统开机时的系统资源静态完整性。这不是系统工作后的动态可信测量,因此尚不能确保系统工作后的动态可信性。然而,由于软件可信测量理论与技术的限制,目前,无论是国外还是国内的可信计算机都还未能够完全实现动态可信测量、存储、报告机制。

2.4 可信计算环境

参照TCG关于可信计算的相关概念,我们定义了可信计算环境,即该环境中的实体与行为都是可信的。这里, "可信"被定义为,一个实体在实现给定目标时,其行为总是如预期一样的结果。鉴于"预期"是一个相对主观的词汇,我们在构建可信计算环境时,需要制定实际的规则来具体化这种"预期",这些规则被称之为"可信规则"。另外,这些可信规则也定义了对实体与行为可信性的度量规范。所谓"度量",指的是实体或行为的可观察、可测度、可比较的属性,而且该属性能反映实体或行为的唯一性、可信性(为可信规则所界定)或特殊性。只有可度量的实体和行为,其可信性才能被规则所识别、验证。比如,我们将"进程可信"定义为"该进程的消息摘要值与已知的可信摘要值相吻合",这个定义即可信规则,而消息摘要值则是对进程的度量。至此,我们所定义的可信计算环境,由实体、行为以及可信规则三要素构成,无论是实体的可信,还是行为的可信都需严格遵照可信规则做出判断。这里简要讨论一下可信计算环境中实体与行为可信的通用判别规则。一般而言,硬件在计算环境中相对保持静止,只需在其加入计算环境时确保可信,则可认为其在计算活动中可信。事实上,现有的关于可信计算的文档甚少涉及关于硬件的可信规则的内容,除了自身可证明可信的TPM芯片。未运行的指令序列(即软件实体)并未真正参与到计算活动中,相当于数据,其可信性通过数据的可信规则加以保证。而实际执行的指令序列(即进程)的可信规则,往往要求计算指令序列的消息摘要并与某个已知值加以比较。数据的可信规则通常要求保证其私密性、完整性等,一般采用密码学的方法,如通过加密手段保障其私密性,计算消息摘要保障其完整性等。行为的可信往往与应用需求高度相关,不易度量,亦难以制定较通用的规则。但这的确是可信计算环境的一个重要方面。一个实体对另一个实体的操作,可能会也可能不会导致其改变状态,从而可能对可信性造成影响。