典型安全事件
從2003年開始,重要數(shù)據(jù)丟失已經(jīng)成為嚴重的信息安全問題。盡管企業(yè)、機構和個人均不同程度地部署了保密措施,但泄密案例還是層出不窮。從近年來國內(nèi)外公開發(fā)布的失泄密案件資料中,我們選擇了以下幾個經(jīng)典案例。
2010年阿桑奇和他的“維基解密”幾乎成為所有政府和企業(yè)的夢魘。各種“爆料”猶如一個個重磅炸彈,以致于整個世界引起軒然大波, 美國的安全防范級別幾乎是世界范圍內(nèi)密集程度和技術含量最高的,但阿桑奇卻用實際行動證明其并非見不可破!由此可見,數(shù)據(jù)泄密是沒有真空領域的.
2011年12月21日上午,黑客在網(wǎng)上公開CSDN網(wǎng)站的用戶數(shù)據(jù)庫,導致600余萬個注冊賬號泄露,之后網(wǎng)上曝出人人網(wǎng)、天涯、開心網(wǎng)、多玩、世紀佳緣、珍愛網(wǎng)、美空網(wǎng)、百合網(wǎng)等知名網(wǎng)站的用戶稱密碼遭網(wǎng)上公開泄露。最新監(jiān)測數(shù)據(jù)發(fā)現(xiàn),目前網(wǎng)上公開暴露的網(wǎng)絡賬戶密碼超過1億個。因此,“泄密門”為我們敲響網(wǎng)絡安全警鐘。
一、安全芯片發(fā)展現(xiàn)狀
隨著安全形勢的越來越嚴峻,目前國內(nèi)外越來越重視安全芯片的研制,主要分為國外的TPM和國內(nèi)的TCM兩大陣營,TPM(Trusted Platform Module)標準的芯片從要求上首先必須具有產(chǎn)生加、解密密鑰功能,還必須能夠進行高速的資料加、解密。在我國為避免影響國家戰(zhàn)略安全的核心技術控制在某些國家手中,我國也在同步進行可信計算平臺的研究和部署工作。其中,部署可信計算體系中,密碼技術是最重要的核心技術。
二、TPM安全芯片
傳統(tǒng)的系統(tǒng)中,密鑰和授權信息都存儲在硬盤中,這樣非常不安全,而在帶TPM安全芯片的系統(tǒng)中,難度加大了很多,這時攻擊者只有攻破TPM才有可能攻破系統(tǒng)的防護。這樣,這樣以來TPM成為系統(tǒng)可信的最低層次,它提供了整個系統(tǒng)可信的基礎。那么TPM就安全嗎?TPM的可信基礎來源于可信根,可信根(Root of trust)是無條件被信任的,系統(tǒng)并不檢測可信根的行為,因此可信根是否真正值得信任,是系統(tǒng)可信的關鍵。TPM是一個含有密碼運算部件和存儲部件的小型系統(tǒng),也可以作為另一個芯片的一部分出現(xiàn),比如以太網(wǎng)接口。如下圖所示,TPM安全芯片包含了分別實現(xiàn)RSA、SHA-I等算法硬件處理引擎,它既是密鑰生成器,又是密鑰管理器件。TPM通過提供密鑰管理和配置管理等特性,與配套的應用軟件一起,主要用于完成計算平臺的可靠性認證、防止未經(jīng)授權的軟件修改、用戶身份認證、數(shù)字簽名以及全面加密硬盤和可擦寫等功能。TPM安裝在輸入/輸出控制器,即連接外部設備與內(nèi)存的總線中,讓TPM可以監(jiān)視每一個從外存裝載入內(nèi)存的軟件。由于TPM處于硬件層,所以只要用戶選擇了打開TCG功能,任何行為都無法逃避監(jiān)視。TPM安全芯片首先驗證當前底層固件的完整性,如正確則完成正常的系統(tǒng)初始化,然后由底層固件依次驗證BIOS和操作系統(tǒng)完整性,如正確則正常運行操作系統(tǒng),否則停止運行。之后,利用TPM安全芯片內(nèi)置的加密模塊生成系統(tǒng)中的各種密鑰,對應用模塊進行加密和解密,向上提供安全通信接口,以保證上層應用模塊的安全。
TPM會按照整個系統(tǒng)及應用軟件棧的裝載順序來監(jiān)視裝載到計算平臺上的系統(tǒng)軟件及所有應用軟件,TPM采用哈希擴展算法,以哈希值特征的形式來存儲所有能夠被平臺裝載的全部軟件。例如,在X86平臺運行過程中,從機器加電啟動開始,TPM將按照如下的順序監(jiān)視軟硬件系統(tǒng)及應用軟件棧的裝載過程:BIOS、MBR、OS裝載器、OS、用戶應用程序1-n. TPM將計算平臺上的整個軟件鏈的哈希值進行記錄,之后就能夠把該平臺上的軟件加載狀況向管理中心報告。TPM可以對每個報告進行數(shù)字簽名,確保報告的真實性。
三、筆記本中的TPM安全芯片
ThinkPad筆記本中的TPM安全芯片可以與指紋識別模塊一起使用,普通筆記本中的指紋識別技術一般是把指紋驗證信息儲存在硬盤中,而ThinkPad中的TPM安全芯片則是直接將指紋識別信息置于安全芯片中。一旦遭到暴力破解,安全芯片就啟動自毀功能,這樣保證了您的個人信息資料不會泄密。安全芯片通過LPC總線下的系統(tǒng)管理總線來與處理器進行通信,安全芯片的密碼數(shù)據(jù)只能輸入而不能輸出。即關鍵的密碼加密與解密的運算將在安全芯片內(nèi)完成,而只將結果輸出到上層。安全芯片和指紋識別配合能達到最高的安全級別。基于以上的思想,TCG計算機使用TPM安全芯片對硬盤中的數(shù)據(jù)進行加密。TPM安全芯片可以插入主板或直接以焊接到主板上的方式進入主機,還可以將它們與BIOS集成在一起。TPM實際上就是在計算機系統(tǒng)中加入了一個可信第三方,通過可信第三方對系統(tǒng)的度量和約束來保證一個系統(tǒng)可信。
四、TPM應用
安全領域多年的研究已經(jīng)證明,在網(wǎng)絡接入層構建安全的接入模式是形成一體化深度防御的基礎,要經(jīng)過長期的努力。但是在關鍵行業(yè),如政府機關、企業(yè)的內(nèi)部體系中, 政府部門每天都要面對眾處理日常事務,對象相對復雜,增加了流失和泄露機密文件的概率, 所以部署TPM安全平臺;型企業(yè)內(nèi)部網(wǎng)絡結構復雜,應用眾多,需要進行大量的跨部門信息傳遞。因此,它對可信計算技術的需求最為強烈,以解決底層安全、身份認證、數(shù)據(jù)加密、集成管理等一系列問題。如目前國外有很多公司在研究TPM芯片,也有不少成熟的產(chǎn)品,例如Thinkpad在X、R、T、W系列都帶有TPM安全芯片,由于國內(nèi)起步較晚也有商用的產(chǎn)品主要由聯(lián)想、兆日及同方等少數(shù)公司在開發(fā)TPM平臺, 接下來我將以ThinkpadT系列機型為例給大家介紹如何啟用TPM。
1.在開機時按F1,進入Security安全欄選中Security Chip,使得在啟動狀態(tài),如下圖所示
當你在BIOS中設置好啟動安全芯片時,這時系統(tǒng)提示“是否立即激活安全設備”,選中是以后,系統(tǒng)會提示需要重啟。
2.當再次啟動時,首先系統(tǒng)會提示配置TPM平臺,只需要按F10即可激活TPM。
這時進入Windows系統(tǒng)就會看到安全設備已激活的信息。點擊確定以設置Client Security Solution
首次進入CSS會有幾秒鐘時間系統(tǒng)初始化設置。
ClientSecuritySolution啟動界面
主程序界面
TPM安全芯片除了能進行傳統(tǒng)的開機加密以及對硬盤進行加密外,還能對系統(tǒng)登錄、應用軟件登錄進行加密。比如目前咱們常用的ADSL上網(wǎng)帳號、MSN、QQ、網(wǎng)游以及網(wǎng)上銀行的登錄信息和密碼,都可以通過TPM加密后再進行傳輸,這樣就不用擔心信息和密碼被人竊取。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:揭秘TPM安全芯片技術及應用
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112153729.html