可信计算技术综述论文.doc

可信计算技术综述08网络工程 2班 龙振业 0823010032摘要：可信计算是信息安全研究的一个新阶段，它通过在计算设备硬件平台上引入安全芯片 架构，通过其提供的安全特性来提高整个系统的安全性本文简要介绍了可信计算的起源和 发展，阐述了可信性的起源与内涵着重介绍了各种高可信保障技术，并对目前的应用现状 做了总结最后，探讨了可信计算的发展趋势关键字：可信性；可信计算；可信计算系统；可信计算应用1. 可信计算系统的起源和发展计算机和通信技术的迅猛发展使得信息安全的地位日益显得重要目前的信息安全技术 主要依靠强健的密码算法与密钥相结合来确保信息的机密性、完整性，以及实体身份的惟一 性和操作与过程的不可否认性但是各种密码算法都并非绝对安全，而且很多用户并不清楚 这些密码保护机制如何设置，更重要的是，这些技术虽然在一定程度上可以阻挡黑客和病毒 的攻击，但是却无法防范内部人员对关键信息的泄露、窃取、篡改和破坏常规的安全手段只能是以共享信息资源为中心在外围对非法用户和越权访问进行封堵， 以达到防止外部攻击的目的；对共享源的访问者源端不加控制；操作系统的不安全导致应用 系统的各种漏洞层出不穷；恶意用户的手段越来越高明，防护者只能将防火墙越砌越高、入 侵检测越做越复杂、恶意代码库越做越大。

从而导致误报率增多、安全投入不断增加、维护 与管理更加复杂和难以实施以及信息系统的使用效率大大降低于是近年来信息安全学界将 底层的计算技术与密码技术紧密结合，推动信息安全技术研究进入可信计算技术阶段1999年10月，为了提高计算机的安全防护能力，Intel、微软、IBM、HP和Compaq共 同发起成立了可信计算平台联盟(Trusted Computing Platform Alliance， TCPA),并提出 了 “可信计算”(trusted computing)的概念，其主要思路是增强现有PC终端体系结构的安 全性，并推广为工业规范，利用可信计算技术来构建通用的终端硬件平台2003年 4月， TCPA重新改组，更名为可信计算集团(Trusted Computing Group TCG)，并继续使用TCPA 制定的 “Trusted Computing PlatformSpecifications”°2003 年 10 月，TCG 推出了 TCG1.2 技术规范到2004年8月TCG组织已经拥有78个成员，遍布全球各大洲2. 可信计算的概念“可信计算”的概念由 TCPA 提出，但并没有一个明确的定义，而且联盟内部的各大厂 商对“可信计算”的理解也不尽相同。

其主要思路是在计算设备硬件平台上引入安全芯片架 构，通过其提供的安全特性来提高系统的安全性可信计算终端基于可信赖平台模块(TPM)， 以密码技术为支持，安全操作系统为核心计算设备可以是个人计算机，也可以是PDA、手 机等具有计算能力的嵌入式设备可信计算”可以从几个方面来理解：(1)用户的身份认证，这是对使用者的信任；(2) 平台软硬件配置的正确性，这体现了使用者对平台运行环境的信任；(3)应用程序的完整性 和合法性，体现了应用程序运行的可信；(4)平台之间的可验证性，指网络环境下平台之间 的相互信任3. 可信性的起源与内涵3.1可信性的起源可信计算(Dependable Computing)最早出现于20世纪30年代Babbage的论文“计算机 器”中••在20世纪中期出现的第一代电子计算机是由非常不可靠的部件构建的，为确保 系统的可靠性，大量切实可行的可靠性保障技术诸如错误控制码、复式比较、三逻辑表决、 失效组件的诊断与定位等被用于工程实践中J. yon Neumann和c. E. Shannon与他们的 后继者则逐渐提出并发展了基于不可靠部件构建可靠系统逻辑结构的冗余理论旧1965年， Pierce将屏蔽冗余理论统一为失效容忍(Failure Tolerance)。

1967年，Avizienis与 Schneider等人则把屏蔽冗余理论连同错误检测、故障诊断、错误恢复等技术融入到容错系 统的概念框架中与此同时，国际上也成立了一些可信性研究机构专门研究高可信保障技术， 如IEEE・CS TC于1970年成立了“容错计算”研究小组等，它们的成立加速了可信性相关 概念走向一致Laprie于1985年正式提出可信性(Dependability)以便与可靠性 (Reliability)相区别同时期，RAND公司、纽卡斯尔大学、加利福尼亚大学洛杉矶分校等 探索性地研究了如何综合错误容忍和信息安全防卫于系统设计中1992年，Laprie把恶意代码和入侵等有意缺陷与偶然缺陷并列，丰富了可信性的内涵， 并在他的著作《Dependability： Basic Concepts and Terminology))中对可信性进行了系 统地阐 述3.2可信性的内涵可信计算从出现到现在，已经有三十多年的历史了，在它不同的发展阶段中，研究的内 容和重点在不断地演变直到目前为止，可信性这一概念，还没有达成一个被广泛接受、良 好形式化的定义，可称为 “Dependabili ty”、“Trus twor thiness”、“Hish Confidence”。

相 应地，可信计 算也有 “ Dependable ' Computing ”， “ Trusted Computing ” 和 “TrustworthyComputing”等多种叫法，不同的学者从不同的角度和层次对可信性的相关概 念和可信计算的发展进行了阐述本文中，可信性采用“Dependability”的表述简言之，“可信性”指系统在规定时间 与环境内交付可信赖的服务的能力可信性是一个复杂的综合概念，其中包含了特征属性、 降低或损害因素以及提高方式，如图1所示—可用性 CAvailabtliiy)徘征—可 3t^(RjeiiabLiity)—印维护性(Mtiinta命赴bili臼)r-^(Fault) 掴書—一欝■盪(Eironsj」失 SfcfFailuie}图1可疽性的特征’实班方袪厘拥害3.2.1 系统的可信性说到可信计算，首先必须准确地把握一个概念——信任在计算机应用环境中的含义信 任是一个复杂的概念，当某一件东西为了达到某种目的总是按照人们所期望的方式运转，我 们就说我们信任它在 Iso／IE c15408 标准中给出了以下定义：一个可信的组件、操作或 过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的 物理干扰造成的破坏。

因此，一个可信的计算机系统所提供的服务可以认证其为可依赖的 系统所提供的服务是用户可感知的一种行为，而用户则是能与之交互的另一个系统(人或者 物理的系统)计算机系统的可信性应包括：可用性、可靠性、安全性、健壮性、可测试性 可维护性等3.2.2 特征广义地讲，可信性所包含的特征属性有:可用性(Availabili ty)、可靠性(Reliabili ty)、 防危性(Safety)、安全性(Security)、可维护性(Maintainability)，其中安全性又可进一 步细分为机密性(Confidentiality)与完整性(Integrity)可用性表示系统在给定时间内可 运行的概率，它通常用来度量可延迟或短暂停止提供服务而不会导致系统发生严重后果的品 质可靠性则是指系统在给定的环境及时间区间内连续提供期望服务的能力防危性是指系 统在给定的时间内不发生灾难性事故的概率，用来度量可继续提供正常功能或以不破坏其他 系统及危害人员生命安全的方式中断服务的能力安全性是指系统防止敏感信息与数据被未 授权用户非法读写的能力，包括防止授权用户抵赖其已进行过的访问安全性可进一步细分 为机密性与完整性，其中机密性是指系统保护敏感信息与防止数据非法泄露的能力，而完整 性则是指系统保持敏感数据一致性的能力。

可维护性是指系统易于修理和可进化的能力3.2.3 损害服务是指系统根据用户的输入或其他外部条件而进行的一系列操作正确的服务是指正 确实现系统功能的服务失效(Failure )指系统实际所交付的服务不能完成规定的功能或不 能达到规定的性能要求，即正确服务向不正确服务的转化系统失效则是指系统的实现未能 与系统需求规范保持一致，或系统规范未能完全描述系统本身应具有的功能失效的根源是 由于系统(或子系统)内部出现了错误的状态，错误到达服务界面并改变服务时便产生失效 缺陷是导致错误发生的根源，它一般处于静止状态，当缺陷产生错误时，称缺陷被激活错误(Error)是指在一定的运行条件下，导致系统运行中出现可感知的不正常、不正确 或未按规范执行的系统状态错误最终能否导致系统失效由系统组成、系统行为和应用领域 决定应用于不同领域的系统，错误产生的后果也不尽相同因此，系统状态在不同的用户 看来，并非都是错误缺陷（Fault）是指因人为的差错或其他客观原因，使所设计的系统中隐含有不正确的系 统需求定义、设计及实现这些缺陷将有可能导致系统在运行中出现不希望的行为或结果 缺陷是造成错误出现的原因，其来源十分广泛。

缺陷是产生错误的根源，但并非所有缺陷都 能产生错误通常，缺陷处于静止状态，当缺陷由于系统或子系统在特定环境下运行而被激 活时，将导致系统或子系统进入错误的状态，当一个或多个错误进一步在系统或子系统中传 播并到达服务界面时，将导致系统或子系统失效一部分系统失效是非常危险的，如果这类 失效在系统范围内得不到很好的控制，将最终导致灾难性事故发生图 2为缺陷、错误及失 效之间的关系^2峽陷，错溟及.先效之何的关系3.2.4 可信性保障技术高可信保障技术可分为避错、容错、排错和预错四种1） 避错其目的是尽量避免将缺陷引入系统，主要应用于系统的设计和维护阶段在系 统的设计阶段，从需求分析、系统定义、系统设计到代码编制，每个步骤都必须最大限度地 保证其合理性和正确性，以避免缺陷的引入2） 容错容错是一种通用的可信性保障机制，其目的是使系统在运行中出现错误时能够 继续提供标准或降级服务容错技术能够处理多种类型的缺陷和错误，如硬件设计缺陷和软 件设计缺陷通常，容错被分为硬件容错、软件容错和系统容错常用的容错方法都包含错 误检测、错误处理、错误恢复三个过程，其中错误检测是设计容错系统的关键当系统中出 现错误状态时，不同的应用需采用不同的错误处理手段，。

3） 排错其目的是发现错误后及时排除，这一技术通常应用于系统的测试和维护阶段 通过模拟真实工作环境进行系统测试，发现错误并分析产生错误的原因，然后改进系统以消 除、减少错误的产生在高可信的软件开发过程中，测试开销要占 80％以上，这充分体现 了测试的重要地位4） 预错其目的是预测系统内与错误相关的各个方面，以保证满足规定的标准在系统 的运行过程中，系统可以通过分析当前所获得的系统状态信息，预测可能发生的错误并采 取措施加以避免这一技术必须依靠正确的系统状态分析，也是该类技术实施时最难以解决 的问题4. 可信计算的应用可信性是一个复杂的概念，对它的研究，还依赖于不同的应用场合需求例如，对于实 时系统而言，如果系统的时限约束没有满足，系统肯定是不可信的，谈论其他的属性如可靠 性、防危性等是没有意义的，因此必须考虑实时性与可信性的协同设计对于依赖电池供电 的移动嵌入式产品而言，如何在能耗约束的条件下，提高系统的性能并保持系统的可信性， 是一个新的研究课题随着多核芯片的集成度越来越高，温度管理也是解决此类系统可靠性 和防危性的一种重要手段应用系统是可信计算发展的根本目的和推动力需要面向电子商务、电子政务、军事电 子等不同的应用，开展对具体行业和领域的可信计算技术与产品的研究。