基于安全芯片的应用方案设计与实施
|
摘要
如今,计算机和计算机网络已经进入人类生活,越来越多的应用,如协同办公、电子政务、电子商务、在线娱乐等成为我们日常生活的一部分。然而伴随计算机和计算机网络的发展,病毒、黑客、恶意代码也越来越威胁着网络和网络中存储、传递的信息安全。
虽然大量的安全产品和方案,如防病毒软件、防火墙、虚拟专用网、AAA服务器等被广泛地应用,但是网络中数量最大的计算机终端却缺乏必要的安全保护。通过不安全的终端,黑客能够轻易得到用户账户、密码等关键机密信息。更严重的是,一个被黑客破坏,嵌入恶意程序的终端往往成为攻击网络的帮凶,导致网络堵塞,信息丢失等严重事件。
为彻底解决终端的安全问题,业界提出在终端中集成一个安全模块(安全芯片)。该芯片具备安全信息存储、密码算法运算、平台配置寄存器等特征。安全芯片可以与非对称密码算法结合,用来标识平台的身份,同时平台配置寄存器可以记录平台的安全状态。硬件存储保护、平台身份标识和平台状态标识这些特性与802.1X.IPsec等相关协议和中间件结合,使基于安全芯片建立硬件级别的可信计算环境成为可能。
本文中将探讨与安全芯片相关的信息安全技术、安全芯片应具备的特征,以及新型的应用方案。
作者主要进行了如下几个方面的工作:
1.阐述信息安全背景技术,对安全芯片应具备的功能特征进行需求描述。
2.对安全芯片和可信平台进行框架进行研究。
3.研究安全芯片在单机环境下的终端应用场景。
4.研究安全芯片的网络安全应用场景。
5.对安全芯片与802.1x协议和CA结合,在网络安全中实现终端身份鉴别的网络准入方案进行设计、实现。
6.提出与安全芯片相关的后续研究课题。
信息安全是信息产品最重要的方向,国内外的领导企业和各国政府、行业机构非常关注信息安全。当前虽然安全芯片已经被大量的集成在计算机中,然而方案的缺乏却阻碍了可信计算的进一步发展。本文归纳、整理了安全芯片及相关信息安全技术,通过一系列实际应用案例的设计和实现说明安全芯片的应用价值,并提出安全芯片在信息安全的未来应用场景。这些研究和具体的方案对安全芯片的应用、推广,对可信计算发展带来价值。
Nowadays, Computing Network comes into humans' life. More and more applications, such as cooperative-work, electronic government, electronic business and on-line entertainment became a part of everyday life. Unfortunately, more and more attacks caused by virus, hacker and malicious code. These attackers threat network and the information which stored or transported through network.
Although large number of security products and solutions, such as Anti-Virus software, Firewall, Virtual Personal Network, AAA servers were deployed in network, but personal computers (the most amount and end-point device) are not safe and be protected enough. Through attack those vulnerable end-point computers, hacker can get password and other secrets. Once be connected to network, a damaged computer which has been injected malicious code or be controlled by a hacker maybe become an accomplice, it will attack the whole network and result in bandwidth jam or important information loss.
In order to solve the security problem of end-point computer, we embedded a secure module (Secure Chip) on mother board. This chip can store information securely and be embedded a cryptography engine and some platform Configuration Registers. With some relative protocols and middle wares, such as 802.1x and IPsec, we can build a trusted computing environment to realize information security.
This paper will discuss this security module and related information security technologies and products. The main topics are below:
1. Information Security and relative products.
2. Secure module and trusted platform.
3. Secure module' use case on end-point and network environment.
4. A Network Access Control solution using secure module. Information Security is the most aspect in IT industry, allgovernments, organizations and companies focus on information security. Although more and more secure modules have been embedded on computers, but we need more network solutions to use this chip. This essay collects and describes some use cases in information security.
虽然大量的安全产品和方案,如防病毒软件、防火墙、虚拟专用网、AAA服务器等被广泛地应用,但是网络中数量最大的计算机终端却缺乏必要的安全保护。通过不安全的终端,黑客能够轻易得到用户账户、密码等关键机密信息。更严重的是,一个被黑客破坏,嵌入恶意程序的终端往往成为攻击网络的帮凶,导致网络堵塞,信息丢失等严重事件。
为彻底解决终端的安全问题,业界提出在终端中集成一个安全模块(安全芯片)。该芯片具备安全信息存储、密码算法运算、平台配置寄存器等特征。安全芯片可以与非对称密码算法结合,用来标识平台的身份,同时平台配置寄存器可以记录平台的安全状态。硬件存储保护、平台身份标识和平台状态标识这些特性与802.1X.IPsec等相关协议和中间件结合,使基于安全芯片建立硬件级别的可信计算环境成为可能。
本文中将探讨与安全芯片相关的信息安全技术、安全芯片应具备的特征,以及新型的应用方案。
作者主要进行了如下几个方面的工作:
1.阐述信息安全背景技术,对安全芯片应具备的功能特征进行需求描述。
2.对安全芯片和可信平台进行框架进行研究。
3.研究安全芯片在单机环境下的终端应用场景。
4.研究安全芯片的网络安全应用场景。
5.对安全芯片与802.1x协议和CA结合,在网络安全中实现终端身份鉴别的网络准入方案进行设计、实现。
6.提出与安全芯片相关的后续研究课题。
信息安全是信息产品最重要的方向,国内外的领导企业和各国政府、行业机构非常关注信息安全。当前虽然安全芯片已经被大量的集成在计算机中,然而方案的缺乏却阻碍了可信计算的进一步发展。本文归纳、整理了安全芯片及相关信息安全技术,通过一系列实际应用案例的设计和实现说明安全芯片的应用价值,并提出安全芯片在信息安全的未来应用场景。这些研究和具体的方案对安全芯片的应用、推广,对可信计算发展带来价值。
Nowadays, Computing Network comes into humans' life. More and more applications, such as cooperative-work, electronic government, electronic business and on-line entertainment became a part of everyday life. Unfortunately, more and more attacks caused by virus, hacker and malicious code. These attackers threat network and the information which stored or transported through network.
Although large number of security products and solutions, such as Anti-Virus software, Firewall, Virtual Personal Network, AAA servers were deployed in network, but personal computers (the most amount and end-point device) are not safe and be protected enough. Through attack those vulnerable end-point computers, hacker can get password and other secrets. Once be connected to network, a damaged computer which has been injected malicious code or be controlled by a hacker maybe become an accomplice, it will attack the whole network and result in bandwidth jam or important information loss.
In order to solve the security problem of end-point computer, we embedded a secure module (Secure Chip) on mother board. This chip can store information securely and be embedded a cryptography engine and some platform Configuration Registers. With some relative protocols and middle wares, such as 802.1x and IPsec, we can build a trusted computing environment to realize information security.
This paper will discuss this security module and related information security technologies and products. The main topics are below:
1. Information Security and relative products.
2. Secure module and trusted platform.
3. Secure module' use case on end-point and network environment.
4. A Network Access Control solution using secure module. Information Security is the most aspect in IT industry, allgovernments, organizations and companies focus on information security. Although more and more secure modules have been embedded on computers, but we need more network solutions to use this chip. This essay collects and describes some use cases in information security.
引文
1.Carlton R.Davis,IPSec VPN的安全实施,清华大学出版社,2002年1月
2.王达,网管员必读-网络安全,电子工业出版社,2006年4月
3.思科系统有限公司,下一代网络安全,北京邮电大学出版社,2006年12月
4.关振胜,公钥基础设施PKI与认证机构CA,电子工业出版社,2002年1月
5.杨守君,黑客技术与网络安全,中国对外翻译出版公司,2000年4月
6.Wade Trappe,Introduction to Cryptography with Coding Theory(密码导论及编码原理),科学出版社,2004年1月
7.Wenbo Mao,Modern Cryptography:Theory and Practice(现代密码学理论与实践),电子工业出版社,2004年5月
8.Sean Convery,Networks Security Architectures(网络安全体系结构),人民邮电出版社,2005年6月
9.TCG,Trusted Platform Module(TPM)Specifications,2007年https://www.trustedcomputinggroup.org/specs/TPM/
10.TCG,PC Client Specifications,2007年https://www.trustedcomputinggroup.org/specs/PCClient/
11.TCG,Infrastructure Specifications,2007年https://www.trustedcomputinggroup.org/specs/IWG/
12.TCG,Trusted Network Connect(TNC)Specifications,2007年https://www.trustedcomputinggroup.org/specs/TNC/
13.Microsoft,Standardizing Network Access Control:TNC and Microsoft NAP to Interoperate https://www.trustedcomputinggroup.org/news/Industry_Data/TNC_NAP_white_paper_final_may_18_07.pdf
14.瞿松,VPN技术的应用和发展,IT世界网,2005年4月http://www.it.com.cn/f/network/054/15/98037.htm
15.任罡,IPv6如何才能“更安全”,中国教育和科研计算机网,2005年9月,http://www.edu.cn/20050928/3153898.shtml
2.王达,网管员必读-网络安全,电子工业出版社,2006年4月
3.思科系统有限公司,下一代网络安全,北京邮电大学出版社,2006年12月
4.关振胜,公钥基础设施PKI与认证机构CA,电子工业出版社,2002年1月
5.杨守君,黑客技术与网络安全,中国对外翻译出版公司,2000年4月
6.Wade Trappe,Introduction to Cryptography with Coding Theory(密码导论及编码原理),科学出版社,2004年1月
7.Wenbo Mao,Modern Cryptography:Theory and Practice(现代密码学理论与实践),电子工业出版社,2004年5月
8.Sean Convery,Networks Security Architectures(网络安全体系结构),人民邮电出版社,2005年6月
9.TCG,Trusted Platform Module(TPM)Specifications,2007年https://www.trustedcomputinggroup.org/specs/TPM/
10.TCG,PC Client Specifications,2007年https://www.trustedcomputinggroup.org/specs/PCClient/
11.TCG,Infrastructure Specifications,2007年https://www.trustedcomputinggroup.org/specs/IWG/
12.TCG,Trusted Network Connect(TNC)Specifications,2007年https://www.trustedcomputinggroup.org/specs/TNC/
13.Microsoft,Standardizing Network Access Control:TNC and Microsoft NAP to Interoperate https://www.trustedcomputinggroup.org/news/Industry_Data/TNC_NAP_white_paper_final_may_18_07.pdf
14.瞿松,VPN技术的应用和发展,IT世界网,2005年4月http://www.it.com.cn/f/network/054/15/98037.htm
15.任罡,IPv6如何才能“更安全”,中国教育和科研计算机网,2005年9月,http://www.edu.cn/20050928/3153898.shtml