可信計算技術在網絡信息安全中的應用

李志強

河北省科技工作者服務中心 河北石家莊 050000

隨著現代網絡信息的不斷增加，人們對網絡信息的需求也越來越廣泛，保障網絡信息的安全是至關重要的。在互聯網的設計初期，人們主要集中在如何提高網絡的傳輸效率上，而沒有充分考慮到網絡的安全性。傳統的網絡安全設計思路很少涉及體系結構的核心，其核心是簡單的，邊緣是復雜的。由于網絡系統是完全開放的，因此很難追蹤、獲取證據、確定攻擊來源，蠕蟲、特洛伊木馬、漏洞、拒絕服務攻擊等各種安全問題不斷涌現。傳統的安全保護方法包括殺毒、安全掃描、補丁升級、入侵檢測、防火墻、訪問控制、虛擬專用網、身份認證、內容過濾等，其核心內容是通過不斷升級或者打補丁來處理網絡安全問題。隨著網絡安全的日趨嚴重，傳統的漏洞檢測、補充和外圍封鎖的網絡安全模式已經難以發揮作用，很難在短時間內抵抗不斷增加的威脅和攻擊，不能從根本上解決網絡的安全性和可靠性問題。在此背景下，可信計算技術應運而生。從目前的網絡信息安全角度來看，可信計算技術在保證網絡信息安全方面有著無可替代的作用。因此，必須加強對可視化技術和網絡信息安全的研究，使可視化技術在整個網絡信息系統中得到有效的應用，以適應現實的需求。

1 可信計算的發展

美國國家計算機安全中心于20世紀80年代中期制定并頒布了《可信計算機系統評價標準》(Trusted Computer System Evaluation Criteria，TCSEC)，它為一些關鍵環節提供了可靠的安全評價準則：計算機操作系統、數據庫、計算機網絡，20世紀90年代，計算機網絡已成為最早的安全管理理論。可信計算平臺聯盟(Trusted Computing Platform Alliance，TCPA)在2001年1月公布了以硬件為基礎的可信計算平臺規范,2003年3月，TCPA被改組為可信計算組織(Trusted Computing Group，TCG)，并于同年10月發布了可信平臺模塊(Trusted Platform Module，TPM)主要技術規范。其目標是將硬件安全模塊支持的可信計算平臺應用到計算機及通信系統中，從而增強總體安全性。

2 可信計算概述

可信計算是一種將信任和計算理論有機地結合起來的一種信息安全保護技術。該方法在目前的網絡信息安全保護中具有十分重要的作用，并且在實踐中取得了較為理想的結果。所謂可信，就是對有關主體進行屬性特性的描述，它包含了主體與客體的兩個層面。客觀特征的判定主要是由計算機硬件來完成，而主觀的特點則是由個別人的主觀判斷所決定的。可信計算是一種能夠在任意運行狀態下進行有效預測的特定可信部件，并具有良好的抵抗不良代碼性能，能夠有效地避免由物理干擾引起的故障。可信計算是當今計算機網絡信息安全的重要基礎。從可信計算的觀點來看，可以很好地解決計算機網絡的安全性問題。在此基礎上，提出了一種基于可信計算平臺模塊的可信計算模型，該模型包含了數據保護、身份認證、完整性度量、完整性存儲和報表等多種功能。在當前的應用中，安全芯片的架構是在計算機的硬件平臺上，通過它所具有的安全性能來加強其本身的安全性。在實現可信計算的具體方法有以下內容。

首先，在PC上建立起一個信任根，通過物理安全、技術安全和管理安全來確保其可信，然后，建立信任鏈。整個信任鏈從一個信源到一個硬件平臺，一個操作系統，一個應用。通過逐級認證和逐級信任，這個信任可以在PC系統中繼續延伸，在信任鏈條的傳遞和信任的環境中，是一個信任鏈。特別是在切斷電源之后，電腦開始開機，系統運行將由可信BIOS傳送至自檢，然后傳送至主要引導區及可信操作系統裝載程式，再傳送至操作系統核心，以啟動系統初始化進程。在整個過程中，采用受信任的加密模塊進行身份驗證和數據處理。信任的服務和受信任的應用，在經過信任鏈之后被存取。通過上述方法，可以實現整個系統的安全啟動，并使用信任平臺模塊對系統的可信度進行測試和評價，以保證網絡信息的安全性，使其在網絡中的應用得到充分的應用。因此，在目前的網絡信息安全形勢下，如何將可信計算技術有效地運用起來，不僅具有很大的實際應用價值，而且還有現實意義。

3 可信計算技術在網絡信息安全中的應用意義及價值

通過對上述可信計算技術的分析，目前的網絡信息安全領域中，運用可信計算技術可以達到預期的安全目的，其價值和意義主要是：首先，從安全技術角度來看，信任計算技術對信息控制中心的保護具有很大的意義和價值。在處理各類信息資料、網絡信息系統的實際操作時，能更好地保障網絡信息系統的安全與完整性，從而達到對網絡信息的應用和需要。其次，從管理手段上看，當前許多網絡信息安全管理采用的是白名單機制，基于可信計算技術中的分級度量和分級信任訪問機制，可以對信息安全進行更有效的控制，從而更好地保證網絡信息的安全。最后，是技術上的價值，當前，許多互聯網上的信息都含有一些機密信息，這些信息關系到公司、單位的重要內容，如果泄露將會造成很大的影響和產生損失。通過使用可信計算技術，可以更好地保護企業的信息安全，減少企業的信息泄露和企業的經濟損失。因而，其價值與意義十分重大。

4 網絡信息安全中可信計算技術的具體應用

信任計算在網絡信息安全中扮演了舉足輕重的角色，所以對其進行高效的應用是十分必要的。在此基礎上，下文提出了基于可信計算技術的網絡信息安全體系。

4.1 基于可信計算技術構建信息安全密鑰管理機制

在網絡信息安全中，信息安全存儲是其核心內容之一，其中密鑰管理技術是信息安全存儲的核心技術。目前可信計算平臺采用的是基于可信計算技術標準的密鑰管理機制，其管理機制包括密鑰分類、密鑰對象數據結構、密鑰對象存儲機制和密鑰的具體應用?；谄鋺妙I域，信任計算平臺上的密鑰可以分為移植密鑰和不移植密鑰，按其功能劃分，可將其劃分為存儲密鑰與簽名密鑰。在密鑰管理機制中，每一個密鑰都具有一種固定的數據結構，它由密鑰特性、密鑰通用信息、密鑰專門信息三大部分組成。其中，關鍵特征的內容主要是描述重點目標的可運輸特性，并將數據輸入PCR值中；密鑰通用信息主要包含相關加密算法、密鑰類型和密鑰授權信息；密鑰的具體信息包括密鑰長度、密鑰識別和密鑰數據。目前的密鑰物件儲存系統，主要包含外部密鑰儲存與內部密鑰儲存。其內部的密鑰庫以明文為主，而外密文則是以密文為主。在目前的關鍵對象中，僅有兩個被永久保存在受信任計算平臺上，也就是背書密鑰與密鑰根。在信任計算平臺的模塊中，支持根密鑰能夠代表擁有者的身份，可以用于身份文件的申請，無法直接提供身份認證，每個受信任的計算平臺都有一個唯一的密鑰根。

4.2 基于可信計算技術的信息安全遠程報告機制

目前的電腦網絡維護工作中，在系統補丁安裝時，有必要對PC操作系統進行適當的修復；在網上交易平臺中，要判斷交易軟件的安全程度和是否受到了病毒的攻擊；在將個人資料遞交給網絡系統時，必須確保資料的安全。在計算機網絡信息系統的應用中，建立了一種基于可信計算技術的遠程安全報告機制。在與受信任網絡相連的情況下，既要鑒別其自身的身份可信度，又要對目標網絡服務器進行鑒別，其關鍵在于確定其操作環境和相關程序的可信度。利用這種方法，可以有效地防止惡意程序的入侵，同時還能把這種方法和惡意網絡相結合，提高整個網絡的安全性和可信度。

4.3 基于可信計算技術的信息安全匿名認證機制

隨著科技的飛速發展，筆記本電腦、智能手機等信息終端有可信計算平臺模塊，在日常生活和工作中日益受到歡迎。最初，由于信任計算平臺模塊的設置，使得用戶無法獲得可靠的數據。為了更好地利用和擴展信任平臺的模塊，在信任計算平臺上建立了一個基于隱私的系統，其中，基于AIK認證的可信計算平臺模塊，對其進行了驗證。但該方法在實際應用中依然存在一些問題，基于此提出了一個新的匿名認證方法。在此機制中，遠程實體的身份驗證是由知識驗證完成的，通過這種方式，可以有效地保障遠程平臺的身份驗證。它能更好地保護使用者的個人資料，有效地提升網絡資訊的安全性，為使用者更好地使用網絡資訊提供依據與支持。

5 推動可信計算與可信網絡應用的對策措施

5.1 要加強頂層設計

可信計算技術的研究是一個復雜的系統。要從系統的整體、高端的角度，全面地考慮和設計信任技術的各個層面和要素，從而推動其健康發展，開發的次序和主要的工作應該被確定。信任計算技術作為一項基本技術，能夠在計算機網絡中得到廣泛的應用。它的研究范圍很快從個人計算機擴展到服務器，個人數字助理，移動電話和其他的信息平臺，設計的原則、特點及設計要求應清晰明了?；谝延械目尚啪W絡研究成果，并結合我國電子產業技術基礎、“核高基”等國產基礎軟件和硬件研發計劃，確定網絡協議體系及相關關鍵網絡設備的研發次序，重點突破核心技術，保證其有序發展。

5.2 要加強標準制定

建立健全的、統一的標準和規范。我國可信計算技術發展較早，技術上也有一定的優勢，但是目前還沒有一個統一的標準。為了使可信計算技術的發展更具科學性，需要進一步制訂科學、合理的技術標準，并將其應用于可信計算技術領域。

5.3 要加強理論研究

可信理論對可信計算技術的發展起到了至關重要的作用，盡管它起源于工程技術，但是它的概念依然是認知論的范疇，當前，國內外學術界對其進行了較多的研究，對其概念尚不熟悉。目前，盡管可信計算技術發展很快，但由于其組織結構不夠健全，無法形成一個完整的體系。這主要是因為信任理論的發展落后于可信計算技術的發展?？尚爬碚摰某墒鞂槠浒l展提供無窮無盡的動力與基礎支撐。

5.4 加強技術研發

可信終端是發展可信行業的重要組成部分?？尚沤K端是以可信平臺模塊為中心，集成CPU、操作系統、應用程序、網絡設備等的基礎設施。作為信息技術的重要組成部分，信任終端是支撐信息產業發展的重要手段。可信平臺的模塊化是其競爭優勢的關鍵。計算機芯片作為計算機的重要組成部分，包括可信計算在內。信任平臺的終極目的就是利用加密技術來保證數據的安全性和完整性，從而保證應用資源的安全性。高性能的信任平臺模塊可以使信任平臺的性能得到最優化，使其在市場上的競爭能力得到極大提升。

結語

在目前的計算機網絡中，保證網絡信息的安全是一個非常重要的工作和需求，是實現網絡信息高效利用的關鍵。因此，這就要求在這一領域進行更多的投入，而采用可信計算技術將會極大地促進這一目標的實現。因此，必須重視可信計算技術，建立一種高效的安全機制，以保證網絡的安全，并能更好地適應互聯網的實際應用。