系统安全——可信计算

可信计算

可信计算的起源

上世纪八十年代，TCSEC标准将系统中所有安全机制的总和定义为可信计算基 （Trusted Computing Base TCB) 
TCB的要求是：
独立的（independent）
具有抗篡改性 tempering proof 
不可旁路(无法窃听) 
最小化以便于分析和测试 

TCG

2003年，可信计算组织TCG（Trusted Computing Group）成立，是由AMD、HP、IBM、英特尔和微软组成的一个组织，宗旨是建立个人电脑的可信计算概念。
​
在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。
​
TCG组织制定了TPM（Trusted Platform Module）的标准 

TPM

可信平台模块（Trusted Platform Module ）是一种植于计算机内部为计算机提供可信根的芯片。
​
中国国内研究的叫TCM（trusted cryptography module,可信密码模块），是中国标准的TPM 

TPM/TCM安全芯片的用途

存储、管理BIOS开机密码以及硬盘密码 
TPM/TCM安全芯片可以进行范围较广的加密
加密硬盘的任意分区
存储、管理BIOS开机密码以及硬盘密码
TPM/TCM安全芯片可以进行范围较广的加密
加密硬盘的任意分区 

应用举例

核心理念是基于TPM/TCM这样一个硬件核心，配合上可信软件栈（TSS），来实现一个信任根。
即使操作系统不可信，仍然可以在其中执行可信的、不被干扰的某项任务。 
比如：在不可信的操作系统上安全的存储密钥。 

可信报告

可信度量Trusted Measurement

就是利用可信计算技术逐级度量系统的运行状况，逐级保证每一级的安全可信 
系统从可信根开始，首先进行BIOS的可信度量，比如对BIOS芯片内容做HASH，没有篡改就认为度量通过，度量通过后启动BIOS，认为BIOS是可信的了
BIOS度量OS Loader，度量通过后将控制权移交 
OS Loader度量OS启动过程，度量通过后执行OS启动流程。通过这种方式逐级保证系统安全 

ARM TrustZone®

2008 年 12月 ARM 公司第一次发布了Trustzone 技术白皮书 
ARM TrustZone® 技术是系统范围的安全方法，针对高性能计算平台上的大量应用，包括安全支付、数字版权管理 (DRM)、企业服务和基于 Web的服务
Trustzone 技术已经成为移动安全领域的重要基础技术 ARM TrustZone® 
核心设计思想是“隔离” 
系统运行环境划分为
    可信的和普通的两部分
    可信的部分叫TEE (Trusted Execution Environment) ，普通的部分叫和REE ( Rich Execution Environment) 

SGX

2013 年,Intel 推出 SGX(software guard extensions)指令集扩展
允许应用程序实现一个被称为enclave的容器 

Intel SGX的安全性

总结来说有以下3点：
1.把应用程序分为两部分：安全应用程序和非安全应用程序；通过调用指令集进入或离开enclave 
2.将合法软件的安全操作封装在一个enclave中;OS和BIOS等特权系统都无法访问。
3.当调用enclave函数时，只有enclave内部的代码才能查看其数据，并始终拒绝外部访问;当调用结束时，enclave的数据会留在受保护的内存中。 

SGX和TPM/TCM比较

SGX通过扩展CPU指令集实现可信的计算基，不需要像TPM/TCM依赖于软件栈
SGX处理能里更强，可以使用的安全内存更多，可以直接应用到普通的程序设计语言中 

SGX和Trust-Zone比较

SGX在设计理念上和Trust-Zone有着明显区别。后者是在安全和非安全间建立一道墙，其上有扇门，由supervisor决定着门的开关；而前者则是建立一个个独立的安全区域 ，由cpu来保证安全区域的独立性和安全性。
简单比喻，TEE是个公用大保险柜，什么东西都装进去，有漏洞的app可能也进去了，而且保险柜钥匙在管理员手上，必须相信管理员。SGX每个app有自己的保险柜，钥匙在自己手上。

1 以下哪项不是访问控制模型
A.病毒特征码的访问控制模型  √
B.强制访问控制模型
C.基于角色访问控制模型
D.自主访问控制模型
2 自主访问控制的实现机制包括
A.磁盘阵列
B.存储网络
C.访问控制表/矩阵  √
D.网络存储
3 以下强制访问控制说法错误的是
A.安全属性是强制的，任何主体都无法自由变更
B.主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体
C.具有拥有权（或控制权）的主体任何时刻可以将这些权限回收。  √
D.安全性较高，应用于军事等安全要求较高的系统
4 关于访问控制模型-BLP，说法正确的是
A.属于自主访问控制模型
B.属于强制访问控制模型  √
C.属于基于角色访问控制模型
D.安全策略是向上读、向上写
5 RBAC支持三个著名的安全原则不包括
A.责任分离原则
B.数据抽象原则
C.最小权限原则
D.中断优先原则  √