第五章總結(jié)與展望5.1可信鏈完整性度量5.2可信鏈測(cè)評(píng)

5.1可信鏈完整性度量

可信鏈的完整性度量分為靜態(tài)(完整性)度量和動(dòng)態(tài)(完整性)度量?jī)刹糠?。其中，TCG定義的完整性度量主要關(guān)注的是靜態(tài)度量。靜態(tài)度量的思想比較簡(jiǎn)單，也不存在大的理論障礙或者技術(shù)門檻。圖5.1污點(diǎn)分析平臺(tái)的基本架構(gòu)圖5.2基于污點(diǎn)分析技術(shù)的軟件動(dòng)態(tài)行為度量開發(fā)平臺(tái)圖5.2給出了對(duì)圖5.1中的污點(diǎn)標(biāo)記引擎、污點(diǎn)傳播引擎和規(guī)則判斷引擎細(xì)化后的結(jié)果。

(1)污點(diǎn)標(biāo)記引擎。

(2)污點(diǎn)傳播引擎。

(3)規(guī)則判斷引擎。

5.2可信鏈測(cè)評(píng)

關(guān)于可信鏈測(cè)評(píng)部分，本書采用了安全進(jìn)程代數(shù)SPA對(duì)可信鏈進(jìn)行安全性建模和分析，圍繞如何建立刻畫可信鏈本質(zhì)問題的模型和由該模型引申出的可信鏈安全模型，通過安全進(jìn)程代數(shù)、標(biāo)記轉(zhuǎn)移系統(tǒng)對(duì)模型中的元素和規(guī)則進(jìn)行描述，更多考慮的是實(shí)體間在復(fù)合關(guān)系下對(duì)安全性質(zhì)的保持。首先根據(jù)TCG可信鏈規(guī)范給出了可信鏈規(guī)范說明模型，將可信鏈抽象為System、RTM和TPM三個(gè)交互實(shí)體，并按照SPA的指稱語義和操作語義，用進(jìn)程的概念進(jìn)一步刻畫實(shí)體間的交互關(guān)系，建立了實(shí)體間的接口模型和相應(yīng)的輸入/輸出關(guān)系。根據(jù)信息流無干擾安全的思想，高安全級(jí)進(jìn)程的輸出不會(huì)對(duì)低安全級(jí)進(jìn)程的輸入造成影響，但反過來，低安全級(jí)進(jìn)程會(huì)不會(huì)演繹出高安全級(jí)進(jìn)程的行為呢？我們從這個(gè)角度出發(fā)討論了可信鏈接口安全模型，論述了可信鏈復(fù)合模型的幾種安全屬性保持的條件，并提出了我們的觀點(diǎn)：復(fù)合系統(tǒng)E的ActH集合中的元素對(duì)偶和Sy集合滿足雙射關(guān)系，那么E滿足SBNDC安全性質(zhì)。同時(shí)，根據(jù)Alpern和Schneider的觀點(diǎn)，屬性(property)和系統(tǒng)(system)都是跡集合，屬性對(duì)于系統(tǒng)是可保持的當(dāng)且僅當(dāng)系統(tǒng)是屬性的一個(gè)細(xì)化。從直觀上來看，一個(gè)屬性的跡集合包含了滿足這個(gè)屬性的跡，一個(gè)系統(tǒng)跡集合包含了系統(tǒng)所表現(xiàn)出的跡。Abadi和Lamport在此框架之上加入了規(guī)范(specification)的概念，這里的規(guī)范是兩種屬性(也就是跡集合)的并集：遵從規(guī)范預(yù)期行為的跡集合和違反系統(tǒng)輸入約束的跡集合。第一個(gè)跡集合表達(dá)了將一個(gè)系統(tǒng)放置在一個(gè)滿足輸入約束環(huán)境下的需求，而第二個(gè)跡集合反映了系統(tǒng)運(yùn)行時(shí)所處的環(huán)境。但是，基于跡的表達(dá)對(duì)于安全屬性是難以表達(dá)的。另一方面，可信鏈?zhǔn)怯刹煌踩珜傩缘淖酉到y(tǒng)組成的復(fù)合系統(tǒng)，復(fù)合后的高安全級(jí)子系統(tǒng)的安全性質(zhì)應(yīng)該保持。通過抽取可信計(jì)算平臺(tái)可信鏈規(guī)范中的高、低等級(jí)的輸入、輸出，找出它們之間的關(guān)聯(lián)規(guī)則，把對(duì)可信鏈安全屬性的驗(yàn)證轉(zhuǎn)換為對(duì)表示進(jìn)程的代數(shù)項(xiàng)的語法檢查上。我們認(rèn)為高安全級(jí)進(jìn)程的動(dòng)作元素對(duì)偶與限制集合滿足雙射關(guān)系是可信鏈滿足復(fù)合安全性質(zhì)的充分條件。我們用CoPS工具對(duì)實(shí)際規(guī)范說明進(jìn)行了安全驗(yàn)證，發(fā)現(xiàn)其中潛在的安全缺陷及其可能造成的影響。最后，通過對(duì)國(guó)內(nèi)外可信鏈系統(tǒng)的測(cè)評(píng)，我們認(rèn)為可信鏈主要存在的安全問題如下：

(1)目前可信鏈的可信根是存在于BIOS中的CRTM，由于根證書的缺失導(dǎo)致CRTM的安全性無法得到保障，因此可以考慮在TPM中首先對(duì)CRTM進(jìn)行完整性度量。

(2)目前幾乎所有的可信計(jì)算平臺(tái)都沒有實(shí)現(xiàn)MA驅(qū)動(dòng)，而MA驅(qū)動(dòng)是BIOS早期對(duì)平臺(tái)進(jìn)行完整性度量的重要接口，TCGPCClient規(guī)范也明確規(guī)定了MA驅(qū)動(dòng)的重要性。沒有實(shí)現(xiàn)MA驅(qū)動(dòng)是目前可信鏈的另一個(gè)重要安全隱患。

(3)現(xiàn)有可信鏈模型中存在信息流安全問題，導(dǎo)致了目前大量對(duì)可信計(jì)算平臺(tái)進(jìn)行攻擊的案例，需要增強(qiáng)可信鏈復(fù)合系統(tǒng)之間的接口安全性。

(4)目前TCG并沒有提出對(duì)于可信鏈傳遞過程中出現(xiàn)度量不一致的建議方案，因此廠商們大多只是實(shí)現(xiàn)了度量卻沒有進(jìn)行度量值的比較，并沒有從真正意義上實(shí)現(xiàn)安全度量和可信鏈恢復(fù)機(jī)制。

(5)TCG的可信鏈保障的是代碼和數(shù)據(jù)的完整性，但對(duì)于保護(hù)信息的