摘 要:传统的DAC模型和MAC模型是建立在非可信环境下,其安全性和可靠性较差;RBAC模型需要自定义安全策略,工作量大且复杂。近年来,随着对可信计算技术的研究,可信计算逐渐被认为是最具有可能从根本上解决计算机系统安全问题的一种方案。因此,提出了一个基于可信计算平台的访问控制模型。该模型在可信计算信任根的支持下,实现对用户访问计算机系统的访问控制。
关键词:可信计算;可信平台;访问控制
0 引言
随着网络威胁的增加,应用系统安全需求变得越来越紧迫,系统资源和信息资源受非系统授权的伪造、篡改、泄露,系统安全受到威胁。而在外围通过对非法用户和越权访问进行封堵,已经不能适应各种越来越高明的攻击手段。在信息系统中,通常使用访问控制(Access Control)来保证信息安全,但其可靠性和安全行较差[1][2]。可信计算建立一种特定的完整性度量机制,使计算平台运行时具备判断程序可信度的能力,从而对可信度低或者不可信的程序代码建立有效的防治方法和措施。如果能够从源头抓起,从终端进行网络连接时刻就开始建立起安全体系,将非法终端排除在信息系统之外,从而保证信息系统中每一个终端都是经过认证和授权的,那么就不会有攻击事件的发生[3]。因此,将可信计算与访问控制结合起来,以确保系统数据资源的安全性。
1.可信计算
1.1 可信计算的基本思想
可信计算的基本思想:在计算机系统中,建立一个信任根,再建立一条信任链,一级测量认证一级,一级信任一级,把信任关系扩大到整个计算机系统,从而确保计算机系统的可信。其中一个可信计算机系统由可信硬件平台、可信操作系统和可信应用等组成[4](如图1 所示)。
图 1 可信计算机系统
1.2 可信计算的定义
ISO/IEC15408 标准定义:一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定物理干扰所造成的破坏。它强调行为的可预测性,能抵抗各种破坏,达到预期的目标[5]。
1.3 可信计算技术
1.3.1 可信计算技术特征
可信计算技术具有三个个主要的功能特征:保护存储(Protected Storage)、认证启动(Authenticated boot)和证明(Attestation)。保护存储:一方面,通过嵌入的硬件设备保护用户特定的秘密信息(如密钥、身份信息等),防止通过硬件物理窥探等手段访问密钥等信息;另一方面,完成硬件保护下的密钥生成、随机数生成、HASH运算、数字签名以及加解密操作;为用户提供受保护的密码处理过程。认证启动:可信计算技术利用完整测量机制完成计算机终端从加电到操作系统装载运行过程中各个执行阶段(BIOS、操作系统装载程序等)的认证。当低级的节点认证到高一级的节点是可信时,低级节点会把系统的运行控制权转交给高一级节点,基于这种信任链传递机制,可以保证终端处于可信任的运行环境中。证明:证明是保证信息正确性的过程。网络通信中,计算机终端基于数字证书机制,可以向需要通信的对方证明终端当前处于一个可信的状态,同时说明本机的配置情况。如果通信双方都能证明彼此信息的可信和有效性,则可以继续进行通信,否则服务中断。基于此三个功能特征,可信计算技术可以对主机实施有效的安全防护,保护计算机及网络的安全运行,从而向用户提供一个可信的执行环境。
1.3.2 可信计算机关键技术
根据目前TCG已经发布的规范,可信计算涉及的关键技术(如图2所示)在硬件层主要是TPM的设计技术;在BIOS层主要包括CRTM、MAMP驱动的设计技术;在操作系统上主要是可信软件栈的设计技术以及应用层的可信网络连接技术。通过这些关键技术的设计,最终建立可信计算机的信任链传递机制。
图 2 可信计算关键技术
> 信任链传递技术
如果从一个初始的"信任根"出发,在计算机终端平台计算环境的每一次转换时,这种信任状态可以通过传递的方式保持下去不被破坏,那么平台计算环境始终可信,在此环境下的各种操作也不会破坏平台,平台本身的完整性得到保证,终端安全也就得到保证,这就是信任链的传递机制。
可信计算机的信任根是由度量信任根的核心(Core Root of Trust for Measurement , CRTM)和TPM共同组成的。对平台的信任是基于TPM和CRTM的可信性,信任传递是信任根给出第二组函数的可信性描述,基于这一描述,访问实体来确定对这组函数的信任程度,如果访问实体认为这组函数的可信等级是可以接受的,信任边界就从信任根扩展到包含这组函数。这一过程可以循环进行,第二组函数可以给出第三组的可信性描述,这样就将信任扩展到整个平台,并进一步扩展到网络上的其它平台。信任传递用来提供平台特征的一个可信性描述。
2.访问控制
2.1 访问控制原理
访问控制机制的目的是保证系统中的数据只能被有权限的人访问,未经授权的人则无法访问到数据。在访问控制中,访问可以对一个系统或在一个系统内部进行。访问控制框架主要涉及三方面:请求访问、通知访问结果以及提交访问信息。其中,主要包含主体、客体、访问控制实施模块和访问控制决策模块。实施模块执行访问控制机制,根据主体提出的访问请求和决策规则对访问请求进行分析处理,在授权范围内,允许主体对客体进行有限的访问;决策模块表示一组访问控制规则和策略,控制着主体的访问许可 [6]。
2.2 传统访问控制
2.2.1 自主访问控制
自主访问控制( Discretionary Access Control, DAC)模型是根据自主访问策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。
DAC模型的主要特点是授权灵活,系统中的主体可以将其拥有的权限自主地授予其他用户;缺点是权限很容易因传递而出现失控,进而导致信息泄漏[7]。
2.2.2 强制访问控制
强制访问控制(Mandatory Access Control, MAC)模型是一种多级访问控制策略模型,它将系统中的信息分密级和范畴进行管理,保证每个用户只能够访问那些被标明能够由它访问的信息的一种访问约束模式。
MAC模型的主要特点是系统事先给访问主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。缺点是MAC模型对主客体进行严格的等级分类,对权限的控制过于严格,而且灵活性较差,一般只用于安
全级别较高的军事领域。
2.2.3 基于角色的访问控制
DAC模型和MAC模型存在着授权管理困难,完整性控制不够等问题,于是基于角色的访问控制策略( Role-Based Access Control, RBAC )被提出:角色是系统中一类访问权限的集合,它在用户与许可权之间起到桥梁的作用,许可权分配给角色,用户通过某个角色来获得该角色所具有的许可权。
RBAC模型的优点是便于权限管理,还具有策略中立,便于分布式管理,便于赋予最小特权等优点;缺点主要是策略无关性。因此,RBAC模型需要用户自己定义适合本领域的安全策略,而且定义众多的角色和访问权限以及它们之间的关系,这些都是非常复杂的工作。
3.可信访问控制
3.1 TPM的构成
可信计算终端基于可信赖平台模块(Trusted Platform Module, TPM),为安全可信计算提供硬件保护。TPM是一块电脑芯片(微控制器),它可以安全存储用于认证工作平台(PC或者laptop)的模块.计算机安全,2003,32:1-2
作者简介:蔡家艳(1987-),女,四川内江人,硕士研究生,研究方向为信息安全、可信计算。
