可信计算技术在文件保密中的应用

摘要：在分析传统文件保密技术的基础上，针对其不足之处，结合可信计算技术，分析了可信计算平台下文件的保密方案。分析表明该方案提高了文件存储时的安全性和机密性，并节约了系统开销。

关键词：可信计算；TPM；文件保密；密封技术

中图分类号：TP311文献标识码：A文章编号：1009-3044(2012)22-5388-03

随着信息技术的发展，计算机在人们生活中的应用越来越广泛，人们依赖计算机进行各种各样的信息存储和信息处理。但威胁随之而来，一些非法人员试图通过各种途经来获取人们存储在计算机上的信息。为了保证存储在计算机上的信息的安全性，人们普遍采用给操作系统加密、文件加密等技术。此类技术在一定程度上保护了用户的隐私，但并没从根本上起到预期的效果，主要原因在于：1）基于系统加密的方式不安全。此类方式不能抵制“脱机攻击”威胁；2）基于软件的文件加密机制不可靠。此类加密方式中加密文件和密钥绑定在一起，此类文件对于蠕虫、木马那些隐藏性很深探究能力特别强的病毒来说，获得密码只是时间的问题。基于以上原因，该文将可信计算技术引入到文件保密系统中，使用可信计算提供的密封功能和信任链技术，来克服传统的“脱机攻击”威胁和基于软件加密的不可靠性。

1可信计算关键技术

可信计算的优势体现在可信计算平台能够提供保证系统运行环境可信的能力。“可信”[1,2]是指计算平台能够按照人们预期的方式运行。可信计算技术的核心思想是，如果一个平台是可信的，那么它就可以按照人们预期的方式正常运行，如果平台不可信，那么系统将根据预先定义的访问控制机制来采取相应的措施。

1.1总体架构

典型的可信计算平台总体架构[1]如图1所示。由图1可以看出，可信计算平台主要由8大部分组成，除了TPM（Trusted Computing Model，TPM），其它都是传统PC机上所具有的部件。TPM是可信计算平台的核心，平台的可信性及平台上数据的机密性都必须依靠TPM及平台的完整性度量、信任链、数据密封等技术来实现。系统中的所有的文件由TPM进行加密，存储部件不参与任何加解密过程，从而保证系统的安全性。

图1可信计算平台总体架构

1.2工作原理

可信计算平台的可信性是通过可信计算平台提供的完整性度量技术和信任链技术来保障的[1]。其中可信度量核心根（CRTM，Core Root of Trusted Measurement）是可信平台中的一个关键部件，是系统信任传递的起点，是绝对可信的部分。可信构建块（Trusted Building Boundary，TBB）和系统可信根是（Roots of Trusted，RT）建立系统信任链的必备要素。TBB是系统信任根的一部分，通常包括实现TPM和完整性度量根初始化的指令。RT通常由可信度量根（Root of Trusted for Measurement，RTM）、可信存储根（Root of Trust for Storage，RTS）和可信报告根（Root of Trust for Reporting，RTR）构成。RTM是系统信任的起点，也是系统信任链传递的起点，是一组绝对可信的指令代码，通常指CRTM；RTS是用来存储完整性度量结果及度量顺序的指令代码；RTR是用来准确报告RTS中所存储信息的指令。RTM、RTS和RTR必须能够保证正常运行，且不被外界损坏。

完整性度量的理论依据是：一个对象是可信任的，那么其完整性度量结果必然符合预期的要求，如果完整性度量结果与预期结果不同，那么该对象的可信性已不能保证。

完整性度量的过程是获取影响平台可信性系统特征参数的过程，度量的结果是代表这些特征参数的值和度量日志。根据度量对象的不同，完整性度量值被存储在不同的TPM平台配置寄存器（Platform Configuration Register，PCR）中。度量算法为：

PCR[n]newSHA-1(PCR[n]old+度量数据)

“PCR[n]new”表示新的度量值被存储在第n个PCR中（第n个PCR中的初始值为0）；“PCR[n]old”表示本次度量之前第n个PCR中已经存储的度量值；“度量数据”表示被度量对象的特征值；“+”表示连接，即将PCR[n]old的度量值与被度量对象的特征数据进行连接；SHA-1是SHA-1函数，使用SHA-1函数进行新的度量值的计算；“”表示将新的度量结果作为完整性度量值存储在PCR[n]中。

完整性度量过程不仅存储度量值，而且按照度量顺序保存度量组件及度量顺序等相关信息，这些存储的信息被称为存储度量日志（Stored Measurement Log，SML），使用SML可以重新计算获得完整性度量值，此技术主要用在远程证明过程中[5]。

信任链是保证系统可信的另一个关键技术，其基本思想是：系统将控制权转交给下一个实体之前需要对其进行完整性度量，如果其完整性度量值满足预期的要求，那么系统就将控制权转交给该实体，否则拒绝该实体的运行。从系统加电启动至系统正常运行，如果能够保证所有运行的组件都是可信的，那么整个系统必然能够按照预期的方式运行，从而保证了整个系统的可信。

要实现可信计算平台上的文件保密，除了完整性度量技术和信任链技术之外，还必须依赖TPM提供的密钥技术和密封技术。基于TPM的可信平台在进行传统的账户认证之前，首先需要进行TPM所有者的认证。该认证方法也是基于用户名和密码技术，但其属于硬件认证，而且所采用的加密算法密钥长度大于2048[3,4]位。一旦TPM所有者认证通过，系统才会进行操作系统账号的认证。此外，TPM提供的密封技术使得系统存在任何潜在威胁的加密文件都不能解密获得明文，进而加强了文件的机密性。

2基于可信计算平台的文件保密系统

基于可信计算平台的文件保密系统工作原理如图2所示。

图2基于可信计算平台的文件保密系统原理图

具体步骤如下所示：

1)系统加电，进行TPM初始化和系统关键硬件的初始化；

2) TPM进行所有者认证。如果TPM所有者认证通过，那么执行后续操作，否则根据预先制定的访问控制策略执行相应的操作（如关机，等）；

3)可信度量核心根对操作系统加载代码进行完整性度量，如图2步骤①所示。如果操作系统加载代码的完整性度量结果满足预期的要求，那么系统将控制权转交给操作系统加载代码，执行如图2步骤②所示的操作。否则根据预先制定的访问控制策略执行相应的操作；

4)操作系统加载代码对操作系统代码进行完整性度量，如图2步骤③所示。如果操作系统的完整性度量结果满足预期的要求，那么系统将控制权转交给操作系统，执行如图2步骤④所示的操作。否则根据预先制定的访问控制策略执行相应的操作；

5)操作系统对系统中的应用程序代码进行完整性度量，如图2步骤⑤所示。如果应用程序的完整性度量结果满足预期的要求，那么应用程序获得系统运行权，执行如图2步骤⑥所示的操作。否则根据预先制定的访问控制策略执行相应的操作。

由此可以得出，如果从系统加电启动到整个系统正常运行的每个环节都可以保证是可信的，那么整个系统就是可信的。此时，一旦要运行某个文件，如果该文件处于明文状态，那么就可以直接运行，如果该文件是密文，那么系统将根据需要重新计算系统的完整性度量值，如果其可信状态与此文件加密时所处的状态一致（或可信性满足一定的要求），那么就可以输入解密密码获得该密文的明文，否则即使输入正确的密钥也不能获得该密文的明文。

3基于可信计算平台的文件保密系统分析

基于可信计算平台的文件保密系统相对传统的文件保密方法具有以下几方面的优势：

1)能够有效抵制“脱机攻击”。基于可信计算平台的文件保密系统不只具有传统的用户账号密码保护机制，而且还具有硬件密码保护机制，使用TPM硬件提供的所有者密码和传统用户账号密码相结合的保护机制，使得没有正确硬件密码的人根本不可能饶过用户账号密码进入系统，窃取文件机密；

2)使用可信计算平台提供的完整性度量机制和信任链机制，保证从系统加电开机直至正常运行的每一个环节都是可信的，潜在威胁和已被破坏的对象可以很容易被检测到并采取相应的措施，有效制止损失的扩大；

3)基于可信计算的文件加密系统不是单纯的软件加密，可以使用TPM中的密钥生成器基于特定的技术（如不可迁移密钥）来产生相应的加密文件的密钥来对文件进行加密，所以说该密钥是一种硬件密钥。该技术使得加密文件和密钥分离，进一步提高了文件的保密性；

4)使用可信计算平台提供的密封技术可以进一步提高文件的保密性。密封技术使得不满足解密环境要求的文件即使拥有正确的解密密码也不能被解密。

4结束语

在对可信计算工作原理进行介绍的基础上，给出了基于可信计算平台的文件保密系统总体架构，并分析了使用可信计算平台提高文件的机密性的原理。分析表明，基于可信计算平台的TPM所有者认证机制可以有效抵制传统的“脱机攻击”威胁；使用可信平台提供的完整性度量和信任链机制可以提高整个系统可靠性；使用TPM提供的硬件密钥和密封技术可以进一步提高文件的保密性。下一步工作是对该理论性分析进行更具体的实验验证。

参考文献：

[1] Trusted Computing Group-Developers[EB/OL].https:///groups/TCG_1_4_Architecture_Overview.pdf.

[2]张焕国,罗捷,金刚..可信计算研究进展[J].武汉大学学报:理学版,2006(5):513-518.

[3] TPM Main[DB/OL]./files/static_page_files/72C26AB5-1A4B-B294-D002BC0B8C062FF6/TPM MainPart 1 Design Principles_v1.2_rev116_01032011.pdf.

[4] David Challener, Kent Yoder, Ryan Catherman.可信计算[M].赵波,严飞,余发江,译.北京:机械工业出版社,2009.

[5] TCG Trusted Network ConnectTrusted Network Connect TNC Architecture for Interoperability[DB/OL].www.trustedcomputinggroup. org/files/resource_files/2884F884-1A4B-B294-D001FAE2E17EA3EB/TNC_Architecture_v1_5_r3-1.pdf.