首页 能链洞察 区块链百科

可信计算基(TCB):信息安全的基础

可信计算基(TCB):信息安全的基础

发布时间:2020.11.15
可信并不等同于安全,但它是安全的基础。因为安全的方案、策略只有运行在未被篡改的环境下才能进一步确保安全目的。“可信计算基”便是计算机系统的保护机制,也是数据库安全中的一个基本概念。本文围绕“可信计算基”,与大家一起探讨计算机系统的安全体系结构。

在社会运转过程中,信任往往是人们对他人话语、承诺和声明可信赖的整体期望。因相信而敢于托付,这种信念维系着社会共享价值和稳定。

但在遇到危机或触及敏感问题的情况下,他人能否兑现承诺将决定一段关系或交易的成败。

类似的情况在计算机系统中同样存在。我们赖以维持稳定或抵御攻击的计算机系统及网络,若辜负我们对它们的信任,可能无法继续正常运作,甚至会造成灾难性的数据泄露。

因此,除了组件和程序的基础设施外,计算机系统还需要一个安全体系结构,以确定其抵御攻击和渗透企图的能力,并提供检测和应对威胁的能力。

1972年,美国政府发布报告“计算机安全技术规划研究”,并规定了计算机系统要想达到购买和部署所应该满足的最基本安全要求。而后,更进一步构建和明确了这些要求,即产生了可信计算机系统评价标准。

这些要求为几乎今天使用的所有系统所应遵循的安全架构提供了框架,其核心内容便是可信计算基、安全边界、引用监视器和安全内核。



一、可信计算基

对于计算机系统,可信计算基(TCB)是实现数据安全的所有实施策略和机制的集合,其包括硬件、软件以及固件等组件,它们共同执行计算机安全策略并提高系统的安全性。

通常,TCB由一个操作系统及其所有内置的安全控制、单独的系统硬件、网络硬件和软件、已检测的安全过程和协议,以及系统本身的实际物理位置组成。

维护系统数据的机密性和完整性是TCB的主要职责。

因此,在为安全体系结构设计TCB,通常会对访问控制、用户身份验证支持、授权特定应用程序、防止恶意软件的系统渗透,以及数据备份等方面进行规定。而这也意味着,如果TCB的任何部分被破坏或包含缺陷,系统的整体安全策略可能会受到损害。

二、安全边界

正如软件工程师在开发系统时,需要知道所开发的是一个怎样的系统,例如哪些组件是负责系统安全性,哪些是与安全无关的组件。

安全边界便是划分可信与不可信的边界,并不是每一个进程和资源都会位于TCB内,与安全无关的不可信资源便是位于安全边界(security perimeter)之外。

当然,为了让系统处于一种安全和可信的状态,还必须开发精确的通信标准,以确保在TCB 内部的组件需要和TCB 外部的组件进行通信时。这种类型通信并不会给系统带来安全危害,往往是通过接口来处理和控制的。



三、引用监视器


作为计算机系统中所有保护机制的总和,可信计算基负责执行安全策略,并通过安全边界来确保这些机制安全通信。

然而,仍需要开发和实现一种机制,持续监控所有这些活动,以确保系统正确运行并遵守该策略的所有方面。为此,可信计算基将根据“引用监视器”抽象模型运行,这是一个访问控制概念,而不是实际的物理概念。

引用监视器在系统的受信任域和不受信任域之间工作,其不但要确保主体拥有必要的访问权限,而且还要保护客体不被未授权访问和破坏性更改。

为了让系统能够获得更高的信任级别,引用监视器必须要求主体(程序、用户或进程)在访问客体(文件、程序或资源)之前取得完全授权。

四、安全内核

安全内核,则是负责运行执行功能和抵抗攻击所需的进程,它是一个有形的部分,是每个计算机系统的中心。

安全内核有效地在安全边界内执行勘察工作。为了保护自身的完整性,所有的执行和控制机制本身都位于安全范围内。为了安全内核的进程、安全内核本身与引用监控器概念之间的关系,我们可以想象若干个人组成一个社会的过程。

个人代表进程,社会则代表安全内核。社会具有一定的生活标准,其成员必须以特定的方式进行交互,这就是我们需要法律的原因。法律则代表引用监控器,每个人都被要求不超出法律的界线,并且以特定的方式行事,从而使社会在整体上不会受到不利的影响,生活标准也不会遭到威胁。一个系统内部的组件必须不超出引用监控器法律的界线,以便它们不会对其他组件造成不利影响,也不会威胁这个系统的安全。



整体来说,计算机对信息系统安全可信的要求,便是从可信计算基(TCB)开始层层扩充,对计算资源进行保护,从而确保系统服务安全。

*本文图片来源于网络,仅供学习交流使用,不具任何商业用途,图片版权归原作者所有,如有侵权还请联系我们,谢谢!