摘要: 現(xiàn)有的可信計(jì)算支撐軟件的規(guī)范只定義了軟件的功能接口，對(duì)其要達(dá)到的安全功能需求沒(méi)有明確的描述，這使得可信計(jì)算支撐軟件的分析和設(shè)計(jì)沒(méi)有明確的安全目標(biāo). 針對(duì)這一問(wèn)題，結(jié)合通用準(zhǔn)則 CC 的思想，提出一種可信計(jì)算支撐軟件的設(shè)計(jì)方法，通過(guò)分析可信計(jì)算支撐軟件的安全功能需求，并按照功能類(lèi)、功能族和組件的層次對(duì)其安全功能進(jìn)行了劃分，確定功能組件間的依賴(lài)關(guān)系，完成了可信計(jì)算支撐軟件原型的設(shè)計(jì)，能實(shí)現(xiàn)密碼支持和完整性保護(hù)等安全目標(biāo). 實(shí)驗(yàn)結(jié)果表明，該軟件支持 TPM2. 0 的接口調(diào)用，并能夠?qū)χ袊?guó)密碼算法 SM4 提供調(diào)用支持.

　　關(guān)鍵詞: 通用準(zhǔn)則; 可信計(jì)算平臺(tái); 可信計(jì)算支撐軟件; 可信平臺(tái)模塊; 安全功能

　　0 引言

　　當(dāng)前，全球范圍內(nèi)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)日益突出，沈昌祥院士提出用可信計(jì)算構(gòu)筑網(wǎng)絡(luò)安全[1]. 可信計(jì)算的基本思想體現(xiàn)在可信計(jì)算平臺(tái)( trusted computing platform，TCP) 的設(shè)計(jì)中，先在平臺(tái)中建立一個(gè)信任根，即可信平臺(tái)模塊( trusted platform module，TPM) ，再建立一條信任鏈，從信任根開(kāi)始到硬件平臺(tái)、可信計(jì)算支撐軟件、操作系統(tǒng)、應(yīng)用軟件，逐級(jí)測(cè)量認(rèn)證，從而把信任擴(kuò)展到整個(gè)可信計(jì)算平臺(tái)，并確保整個(gè)平臺(tái)的可信[2].

　　可信計(jì)算支撐軟件( trusted computing supporting software，TCSS) 是 TCP 的重要組成部分，它在應(yīng)用軟件與 TPM 之間搭建了通訊的橋梁，應(yīng)用程序通過(guò)調(diào)用可信計(jì)算支撐軟件的接口來(lái)使用 TPM 提供的安全功能[3].

　　國(guó)內(nèi)外的可信計(jì)算支撐軟件大多數(shù)參照可信計(jì)算組織( trusted computing group，TCG) 的可信軟件棧規(guī)范，代表性的產(chǎn)品有: IBM 公司發(fā)布的開(kāi)源軟件 TrouSerS[4]、奧地利格拉茨技術(shù)大學(xué) IAIK 開(kāi)發(fā)的 Trusted Computing API for Java[5]、聯(lián)想公司的 Client Security Solution8. 3[6].

　　現(xiàn)有的 TCSS 多按照 TCG 規(guī)范定義了軟件的功能接口，但 TCG 規(guī)范中對(duì) TCSS 要達(dá)到的安全功能需求和安全目標(biāo)沒(méi)有明確的定義. 本文在通用準(zhǔn)則( common criteria，CC) 的基礎(chǔ)上，結(jié)合對(duì) TCSS 安全功能劃分和實(shí)際應(yīng)用需求，提出一種可信計(jì)算支撐軟件的實(shí)現(xiàn)方案，并實(shí)現(xiàn)了可信計(jì)算支撐軟件的原型.

　　1 背景知識(shí)

　　1. 1 可信計(jì)算支撐軟件

　　TCG 規(guī)范中定義的可信計(jì)算支撐軟件也稱(chēng) TCG 軟件棧( TCG software stack，TSS) ，是一種為上層的應(yīng)用程序提供訪問(wèn) TPM 接口的軟件系統(tǒng)，是可信計(jì)算平臺(tái)體系中必不可少的組成部分[7]. TSS 是多層次體系結(jié)構(gòu)，對(duì)本地和遠(yuǎn)程的可信計(jì)算平臺(tái)都能提供服務(wù)支持.

　　TSS 的體系結(jié)構(gòu)具體可分為 TCG 服務(wù)提供層( TCG service provider，TSP) 、TCG 核心服務(wù)層( TCG core service，TCS) 和 TCG 設(shè)備驅(qū)動(dòng)庫(kù) TCG device driver library，TDDL) ，各個(gè)層次都定義了規(guī)范化的函數(shù)接口. TSP 主要作為本地和遠(yuǎn)程應(yīng)用的可信代理，TCS 用于提供公共服務(wù)的集合，而 TDDL 負(fù)責(zé)與 TPM 的交互. 1.

　　2 通用準(zhǔn)則通用準(zhǔn)則

　　CC 是國(guó)際上廣泛認(rèn)可的信息安全評(píng)估標(biāo)準(zhǔn)，能夠?yàn)樾畔⒓夹g(shù)產(chǎn)品的安全功能要求和安全保證措施提供通用的標(biāo)準(zhǔn)[8].

　　CC 也可以指導(dǎo)具有安全功能相關(guān) IT 產(chǎn)品的開(kāi)發(fā)和評(píng)估過(guò)程.在 CC 的體系中，保護(hù)輪廓( protection profile，PP) 是安全性評(píng)估的依據(jù)，是對(duì) IT 安全產(chǎn)品的一組安全要求的描述，是抽象層次較高的安全需求說(shuō)明書(shū). CC 發(fā)展委員會(huì)還提出了一種基于合作性保護(hù)輪廓的安全測(cè)評(píng)框架[9].

　　PP 有助于提高 IT 產(chǎn)品開(kāi)發(fā)和評(píng)估過(guò)程的規(guī)范性，通過(guò)對(duì)評(píng)估對(duì)象( target of evaluation，TOE) 進(jìn)行描述，以確定 TOE 的安全要求.

　　TOE 通常被定義為參照規(guī)范實(shí)現(xiàn)的軟件、固件和硬件，本文研究的 TOE 為可信計(jì)算支撐軟件.在開(kāi)發(fā)階段建立的安全要求對(duì)滿(mǎn)足用戶(hù)的安全目標(biāo)意義重大，CC 不強(qiáng)制要求采用特定的開(kāi)發(fā)方法和模型.

　　CC 指導(dǎo) TOE 的開(kāi)發(fā)過(guò)程是將抽象安全目標(biāo)逐步細(xì)化為最終實(shí)現(xiàn)的過(guò)程，該過(guò)程的基礎(chǔ)是將安全要求細(xì)化為安全目標(biāo)中的 TOE 概要規(guī)范，使每個(gè)低層次的細(xì)化代表具有更為詳細(xì)的設(shè)計(jì)分解，最低的抽象表示是 TOE 實(shí)現(xiàn)本身，每個(gè)層次的細(xì)化是更高層次的實(shí)例化[10]. 文獻(xiàn)[11]從設(shè)計(jì)分解的角度論述了 CC 的基本評(píng)估模型，并提出了對(duì)安全功能要求進(jìn)行半形式化的方法.

　　2 TCSS 的安全功能分析安全功能需求定義用于描述產(chǎn)品應(yīng)該提供的安全功能，CC 為安全功能需求的描述制定了規(guī)范的類(lèi)描述方式，從而保障產(chǎn)品開(kāi)發(fā)的規(guī)范性.所有 TOE 安全功能要求從根本上均來(lái)源于對(duì) TOE 的用途和環(huán)境的考慮，TCSS 的設(shè)計(jì)要求和規(guī)范的導(dǎo)出過(guò)程可分成多個(gè)層次，首先確定 TCSS 的安全環(huán)境，接著確定 TCSS 的安全目標(biāo)，然后導(dǎo)出 TCSS 的安全要求，包括功能要求、保證要求和環(huán)境要求，最后導(dǎo)出安全功能規(guī)范，可以參照安全功能規(guī)范完成對(duì) TCSS 的設(shè)計(jì)和測(cè)試.

　　CC 中定義了安全功能要求，用類(lèi)、族和組件來(lái)表示，一個(gè)功能類(lèi)包含一個(gè)或多個(gè)功能族，一個(gè)功能族又包含一個(gè)或多個(gè)組件，每個(gè)組件提供一組安全功能元素. 我們以 TCG 規(guī)范定義的 TCSS 為研究對(duì)象，TCG 服務(wù)提供層( TSP) 、TCG 核心服務(wù)層( TCS) 和 TCG 設(shè)備驅(qū)動(dòng)庫(kù)( TDDL) 各層次抽取出的安全功能為功能類(lèi); 每個(gè)安全功能又劃分為不同的子功能模塊，即對(duì)應(yīng)為功能族; 每個(gè)模塊有不同的接口函數(shù)，即對(duì)應(yīng)組件，且接口函數(shù)間存在著相互依賴(lài)的關(guān)系.參照 TCG 可信軟件棧規(guī)范滿(mǎn)足可信計(jì)算平臺(tái)的安全需求，并實(shí)現(xiàn) TCSS 自身的設(shè)計(jì)功能目標(biāo)，遵照不同規(guī)范實(shí)現(xiàn) TCSS 的分析和設(shè)計(jì)，本文對(duì)可信計(jì)算規(guī)范進(jìn)行抽取，定義出了 TCSS 的安全功能，如圖 1 所示. 不同的規(guī)范中定義的函數(shù)功能接口有差異，各 TCSS 產(chǎn)品的實(shí)現(xiàn)機(jī)制會(huì)有不同，但只要 TCSS 能實(shí)現(xiàn)相對(duì)應(yīng)的安全功能，同樣能達(dá)到設(shè)計(jì)目標(biāo).下面具體分析 TCSS 的 TSP 層安全功能和相關(guān)子功能的關(guān)系. 將 TSP 劃分為完整性保護(hù)、可信認(rèn)證和密碼支持 3 個(gè)安全功能.

　　TSP 的各安全功能又可分解為相關(guān)子功能，完整性保護(hù)包括 HASH 功能和 TPM 管理; 可信認(rèn)證包括上下文管理、策略管理和 PCR 管理; 密碼支持包括密鑰管理和數(shù)據(jù)加解密. TCSS 的設(shè)計(jì)采用自頂向下方法，確定功能類(lèi)和對(duì)應(yīng)的功能族，再逐步求精設(shè)計(jì)相關(guān)的組件.

　　下面以密碼支持類(lèi)為例，詳細(xì)描述 TCSS 的設(shè)計(jì)過(guò)程.

　　CC 中對(duì)密碼支持類(lèi)( FCS 類(lèi)) 由兩個(gè)功能族組成[12]: 密鑰管理( FCS_CKM) 和密碼運(yùn)算( FCS_COP) .

　　參照 CC 中對(duì)安全功能類(lèi)、功能族和組件的劃分，對(duì) TSP 的密碼支持安全功能進(jìn)行分析.

　　密鑰管理子功能對(duì)應(yīng) FCS_CKM 功能族，解決密鑰管理方面的問(wèn)題; 數(shù)據(jù)加解密子功能對(duì)應(yīng) FCS_COP 功能族，與密鑰在運(yùn)算中的使用情況相關(guān).

　　FCS_CKM 功能族包括 4 個(gè)組件: 密鑰生成( FCS_CKM. 1) 、密鑰分發(fā)( FCS_CKM. 2) 、密鑰使用( FCS_CKM. 3) 和密鑰銷(xiāo)毀( FCS_CKM. 4) ，F(xiàn)CS_COP 功能族的組件為密碼運(yùn)算( FCS_COP. 1) . 密碼支持功能各組件間的依賴(lài)關(guān)系如圖 2 所示，可以看出在完成密碼支持安全功能的過(guò)程中，密鑰生成組件最先執(zhí)行，密鑰銷(xiāo)毀組件最后執(zhí)行.

　　密鑰生成、密鑰分發(fā)、密鑰使用、密鑰銷(xiāo)毀和密碼運(yùn)算等組件中分別設(shè)計(jì)具體的功能函數(shù).表1描述了TSP層密碼支持類(lèi)的部分函數(shù)功能劃分.

　　

　　3實(shí)驗(yàn)

　　本文可信計(jì)算支撐軟件的開(kāi)發(fā)平臺(tái)為支持TPM2.0的Intel小型機(jī)，操作系統(tǒng)為Ubuntu10.04，編譯器版本為GCC3.3.根據(jù)完整性保護(hù)、可信認(rèn)證和密碼支持等安全功能的要求設(shè)計(jì)實(shí)現(xiàn)了31個(gè)功能函數(shù)，該TCSS的功能函數(shù)設(shè)計(jì)是TCG規(guī)范中定義軟件棧的子集，實(shí)現(xiàn)了核心的安全功能，同時(shí)還增加了對(duì)中國(guó)標(biāo)準(zhǔn)的加密算法SM4的調(diào)用支持.

　　通過(guò)對(duì)所有TCSS實(shí)現(xiàn)的函數(shù)接口進(jìn)行功能測(cè)試，全部達(dá)到規(guī)范的功能要求，下面以對(duì)SM4算法調(diào)用的測(cè)試為例，介紹TCSS原型的工作流程.先創(chuàng)建主密鑰(PrimaryKey)，授權(quán)后再生成SM4密鑰對(duì)，用私鑰進(jìn)行簽名，公鑰驗(yàn)證簽名.圖3描述了整個(gè)測(cè)試流程，其中Tspi_TPM2_CreatePrimaryKey函數(shù)的功能是產(chǎn)生1個(gè)主密鑰，其函數(shù)測(cè)試界面如圖4所示.

　　

　　Tspi_TPM2_CreatePrimaryKey測(cè)試界面中相關(guān)字節(jié)的參數(shù)說(shuō)明如下:

　　發(fā)送的數(shù)據(jù)包是十六進(jìn)制的形式顯示，2位數(shù)表示1個(gè)字節(jié).下面對(duì)圖中標(biāo)識(shí)出的重要數(shù)據(jù)做一下說(shuō)明.

　　1)前2個(gè)字節(jié)代表參數(shù)TPMI_ST_COMMAND_TAG的值為T(mén)PM_ST_SESSIONS=0x8002，表示命令有一個(gè)或多個(gè)連接的會(huì)話，授權(quán)值在當(dāng)前的范圍;

　　2)第7～10個(gè)字節(jié)代表參數(shù)TPM_CC的值TPM_CC_CreatePrimary=0x00000131，表示生成了主密鑰;

　　3)第11～14個(gè)字節(jié)代表參數(shù)TPM_AUTH_HANDLE的值TPM_RH_PLATFORM=0x4000000C，表明是平臺(tái)身份的密鑰;

　　4)設(shè)置PrimaryKey密碼為0x00ff，接收到TPM返回的數(shù)據(jù)，生成的句柄為0x80000000，表示為普通的臨時(shí)對(duì)象，傳給下一個(gè)函數(shù)Tspi_TPM2_CreateKey.

　　測(cè)試結(jié)果表明，接收到TPM返回的數(shù)據(jù)，平臺(tái)的主密鑰創(chuàng)建成功.

　　4結(jié)論

　　本文借鑒通用準(zhǔn)則CC的思想，提出了一種TCSS的設(shè)計(jì)方法，在分析TCSS的安全功能需求的基礎(chǔ)上抽取安全功能集，并確定對(duì)應(yīng)的子功能和核心功能函數(shù)，結(jié)合實(shí)際應(yīng)用需求實(shí)現(xiàn)了一種TCSS的原型.最后對(duì)已完成的TCSS相關(guān)功能函數(shù)進(jìn)行了測(cè)試.實(shí)驗(yàn)表明:本文實(shí)現(xiàn)的TCSS原型能提供密碼支持服務(wù)、可信認(rèn)證、完整性保護(hù)等安全目標(biāo)，也支持對(duì)國(guó)家密碼算法SM4的調(diào)用.今后將進(jìn)一步完善支持TPM2.0規(guī)范的TCSS設(shè)計(jì)工作，實(shí)現(xiàn)對(duì)遠(yuǎn)程應(yīng)用的支持.

　　參考文獻(xiàn):

　　[1]沈昌祥.用可信計(jì)算構(gòu)筑網(wǎng)絡(luò)安全[J].求是，2015(20):33-34.

　　[2]沈昌祥，張煥國(guó)，王懷民等.可信計(jì)算的研究與發(fā)展[J].中國(guó)科學(xué)(E輯:信息科學(xué))，2010，40(2):139-166.

　　[3]PROUDLERG，CHENL，DALTONC.Trustedcomputingplatforms:TPM2.0incontext[M].Switzerland:Springer，2014.

　　[4]Internationalbusinessmachine.TrouSerS[EB/OL].(2008-10-03)[2017-05-28].http://trousers.sourceforge.net/.

　　[5]IAIKGrazUniversityofTechnology.TrustedcomputingAPIforJava[EB/OL].(2011-12-05)[2017-5-28].https://jcp.org/en/jsr/detail?id=321.

　　[6]聯(lián)想集團(tuán).ThinkVantage客戶(hù)端安全軟件8.3[EB/OL].(2014-02-28)[2017-05-26].http://think.lenovo.com.cn/support/driver/detail.aspx?docID=DR1256885488596.

　　[7]Trustedcomputinggroup.TCGsoftwarestack(TSS)specifiction，version1.2，errataA[EB/OL].(2009-03-01)[2017-05-21].http://www.trustedcomputinggroup.org/resources/tcg_software_stack_tss_specification.

　　[8]Commoncriteriaforinformationtechnologysecurityevaluation，part1introductionandgeneralmodel，Version3.1，revision5[S].Commoncriteriarecognitionarrangementmanagementcommittee，2017:11-12.

　　[9]CCRAManagementCommittee.CCRA:arrangementontherecognitionofcommoncriteriacertificatesinthefieldofinformationtechnologysecurity[EB/OL].(2014-07-02)[2017-05-28].http://www.commoncriteriaportal.org/ccra/.

　　[10]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T18336.1—2008，信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型[S].北京:中國(guó)標(biāo)準(zhǔn)出版社，2008:11-12.

　　[11]石竑松，高金萍，賈煒，等.CC標(biāo)準(zhǔn)中安全架構(gòu)與策略模型的分析方法[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版)，2016，56(5):493-498.

　　[12]Commoncriteriaforinformationtechnologysecurityevaluation，part2securityfunctionalcomponents，Version3.1，revision5[S].Commoncriteriarecognitionarrangementmanagementcommittee，2017:48-51.

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/yingyongdianzijishulw/67062.html