典型安全事件
从2003年开始,重要数据丢失已经成为严重的信息安全问题。尽管企业、机构和个人均不同程度地部署了保密措施,但泄密案例还是层出不穷。从近年来国内外公开发布的失泄密案件资料中,我们选择了以下几个经典案例。
2010年阿桑奇和他的“维基解密”几乎成为所有政府和企业的梦魇。各种“爆料”犹如一个个重磅炸弹,以致于整个世界引起轩然大波, 美国的安全防范级别几乎是世界范围内密集程度和技术含量最高的,但阿桑奇却用实际行动证明其并非见不可破!由此可见,数据泄密是没有真空领域的.
2011年12月21日上午,黑客在网上公开CSDN网站的用户数据库,导致600余万个注册账号泄露,之后网上曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网等知名网站的用户称密码遭网上公开泄露。最新监测数据发现,目前网上公开暴露的网络账户密码超过1亿个。因此,“泄密门”为我们敲响网络安全警钟。
一、安全芯片发展现状
随着安全形势的越来越严峻,目前国内外越来越重视安全芯片的研制,主要分为国外的TPM和国内的TCM两大阵营,TPM(Trusted Platform Module)标准的芯片从要求上首先必须具有产生加、解密密钥功能,还必须能够进行高速的资料加、解密。在我国为避免影响国家战略安全的核心技术控制在某些国家手中,我国也在同步进行可信计算平台的研究和部署工作。其中,部署可信计算体系中,密码技术是最重要的核心技术。
二、TPM安全芯片
传统的系统中,密钥和授权信息都存储在硬盘中,这样非常不安全,而在带TPM安全芯片的系统中,难度加大了很多,这时攻击者只有攻破TPM才有可能攻破系统的防护。这样,这样以来TPM成为系统可信的最低层次,它提供了整个系统可信的基础。那么TPM就安全吗?TPM的可信基础来源于可信根,可信根(Root of trust)是无条件被信任的,系统并不检测可信根的行为,因此可信根是否真正值得信任,是系统可信的关键。TPM是一个含有密码运算部件和存储部件的小型系统,也可以作为另一个芯片的一部分出现,比如以太网接口。如下图所示,TPM安全芯片包含了分别实现RSA、SHA-I等算法硬件处理引擎,它既是密钥生成器,又是密钥管理器件。TPM通过提供密钥管理和配置管理等特性,与配套的应用软件一起,主要用于完成计算平台的可靠性认证、防止未经授权的软件修改、用户身份认证、数字签名以及全面加密硬盘和可擦写等功能。TPM安装在输入/输出控制器,即连接外部设备与内存的总线中,让TPM可以监视每一个从外存装载入内存的软件。由于TPM处于硬件层,所以只要用户选择了打开TCG功能,任何行为都无法逃避监视。TPM安全芯片首先验证当前底层固件的完整性,如正确则完成正常的系统初始化,然后由底层固件依次验证BIOS和操作系统完整性,如正确则正常运行操作系统,否则停止运行。之后,利用TPM安全芯片内置的加密模块生成系统中的各种密钥,对应用模块进行加密和解密,向上提供安全通信接口,以保证上层应用模块的安全。
TPM会按照整个系统及应用软件栈的装载顺序来监视装载到计算平台上的系统软件及所有应用软件,TPM采用哈希扩展算法,以哈希值特征的形式来存储所有能够被平台装载的全部软件。例如,在X86平台运行过程中,从机器加电启动开始,TPM将按照如下的顺序监视软硬件系统及应用软件栈的装载过程:BIOS、MBR、OS装载器、OS、用户应用程序1-n. TPM将计算平台上的整个软件链的哈希值进行记录,之后就能够把该平台上的软件加载状况向管理中心报告。TPM可以对每个报告进行数字签名,确保报告的真实性。
三、笔记本中的TPM安全芯片
ThinkPad笔记本中的TPM安全芯片可以与指纹识别模块一起使用,普通笔记本中的指纹识别技术一般是把指纹验证信息储存在硬盘中,而ThinkPad中的TPM安全芯片则是直接将指纹识别信息置于安全芯片中。一旦遭到暴力破解,安全芯片就启动自毀功能,这样保证了您的个人信息资料不会泄密。安全芯片通过LPC总线下的系统管理总线来与处理器进行通信,安全芯片的密码数据只能输入而不能输出。即关键的密码加密与解密的运算将在安全芯片内完成,而只将结果输出到上层。安全芯片和指纹识别配合能达到最高的安全级别。基于以上的思想,TCG计算机使用TPM安全芯片对硬盘中的数据进行加密。TPM安全芯片可以插入主板或直接以焊接到主板上的方式进入主机,还可以将它们与BIOS集成在一起。TPM实际上就是在计算机系统中加入了一个可信第三方,通过可信第三方对系统的度量和约束来保证一个系统可信。
四、TPM应用
安全领域多年的研究已经证明,在网络接入层构建安全的接入模式是形成一体化深度防御的基础,要经过长期的努力。但是在关键行业,如政府机关、企业的内部体系中, 政府部门每天都要面对众处理日常事务,对象相对复杂,增加了流失和泄露机密文件的概率, 所以部署TPM安全平台;型企业内部网络结构复杂,应用众多,需要进行大量的跨部门信息传递。因此,它对可信计算技术的需求最为强烈,以解决底层安全、身份认证、数据加密、集成管理等一系列问题。如目前国外有很多公司在研究TPM芯片,也有不少成熟的产品,例如Thinkpad在X、R、T、W系列都带有TPM安全芯片,由于国内起步较晚也有商用的产品主要由联想、兆日及同方等少数公司在开发TPM平台, 接下来我将以ThinkpadT系列机型为例给大家介绍如何启用TPM。
1.在开机时按F1,进入Security安全栏选中Security Chip,使得在启动状态,如下图所示
当你在BIOS中设置好启动安全芯片时,这时系统提示“是否立即激活安全设备”,选中是以后,系统会提示需要重启。
2.当再次启动时,首先系统会提示配置TPM平台,只需要按F10即可激活TPM。
这时进入Windows系统就会看到安全设备已激活的信息。点击确定以设置Client Security Solution
首次进入CSS会有几秒钟时间系统初始化设置。
ClientSecuritySolution启动界面
主程序界面
TPM安全芯片除了能进行传统的开机加密以及对硬盘进行加密外,还能对系统登录、应用软件登录进行加密。比如目前咱们常用的ADSL上网帐号、MSN、QQ、网游以及网上银行的登录信息和密码,都可以通过TPM加密后再进行传输,这样就不用担心信息和密码被人窃取。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:揭秘TPM安全芯片技术及应用