終端是用戶(hù)接觸云,使用云的第一道門(mén)戶(hù)�����,終端的安全顯得尤為重要���。為讓用戶(hù)放心使用云服務(wù)����,所以需要采用更多的手段來(lái)促進(jìn)終端的安全�����。但隨著云計(jì)算技術(shù)的不斷發(fā)展�����,大家更關(guān)心云安全又該怎樣變化?它未來(lái)的核心技術(shù)會(huì)是什么?
點(diǎn)擊進(jìn)入DOIT直播專(zhuān)題
北京時(shí)間2013年6月7日��,在云終端與移動(dòng)互聯(lián)網(wǎng)專(zhuān)題論壇上��,來(lái)自廣州杰賽科技股份有限公司副總經(jīng)理劉緒偉分享了關(guān)于云終端的安全問(wèn)題以及解決方案。
劉緒偉介紹說(shuō)�,可信計(jì)算是針對(duì)目前計(jì)算系統(tǒng)不能從根本上解決安全問(wèn)題而提出的,通過(guò)在計(jì)算系統(tǒng)中集成專(zhuān)用的硬件模塊(TPM)建立信任源點(diǎn)�,利用密碼機(jī)制建立信任鏈,構(gòu)建可依賴(lài)的計(jì)算環(huán)境���,從而使從根本上解決計(jì)算安全問(wèn)題成為一種可能��。
廣州杰賽科技股份有限公司副總經(jīng)理劉緒偉
廣州杰賽結(jié)合云終端與TPM的特性開(kāi)發(fā)基于云終端的可信計(jì)算模塊���,劉緒偉向大家展示了可信計(jì)算模塊在TPM上解決的幾個(gè)問(wèn)題。
CTPM解決問(wèn)題一:增強(qiáng)TPM的主動(dòng)控制力
由于通用的PC處理器具有較強(qiáng)的處理���、調(diào)度能力��,傳統(tǒng)的TPM作為協(xié)處理器即可適應(yīng)其安全需求��,但是云終端的處理器的能力與PC機(jī)相比弱了很多��,難以控制整個(gè)信任鏈的度量與擴(kuò)展過(guò)程。
與此同時(shí)���,云終端具有軟硬件可裁性�,在系統(tǒng)研發(fā)和使用飛過(guò)程中,根據(jù)實(shí)際環(huán)境對(duì)其上的軟件����、硬件進(jìn)行改動(dòng)去除其中部分不需要的模塊或增加一些必要模塊。這些改動(dòng)都需要經(jīng)過(guò)可信云終端平臺(tái)的完整性度量���,無(wú)疑加重了處理能力本就弱的云終端處理器的負(fù)擔(dān)�。CTPM具有良好的控制能力�����,能夠控制嵌入式平臺(tái)的信任鏈擴(kuò)展過(guò)程�,將會(huì)對(duì)可信云終端的效率和靈活性起到較大幫助。
CTPM解決問(wèn)題二:解決密碼能力不足問(wèn)題
TCG規(guī)范在TPM的結(jié)構(gòu)中沒(méi)有明確設(shè)置對(duì)稱(chēng)密碼��。TCG在規(guī)范中一方面說(shuō)允許采訪(fǎng)對(duì)稱(chēng)密碼����,另一方面又多次強(qiáng)調(diào)淡化對(duì)稱(chēng)密碼。
眾所周知��,公鑰密碼和對(duì)稱(chēng)密碼各有自己的缺點(diǎn)����,在應(yīng)用中同時(shí)采用這兩種密碼互相配合���,才會(huì)發(fā)揮更好的安全作用。而TCG在TPM結(jié)構(gòu)中只設(shè)置對(duì)稱(chēng)密碼引擎嗎���,但在密鑰設(shè)置時(shí)卻設(shè)置了對(duì)稱(chēng)密碼密鑰����。因此�,用戶(hù)只能采用軟件方式實(shí)現(xiàn)對(duì)稱(chēng)密碼,這必然導(dǎo)致對(duì)稱(chēng)密碼的加解速度不高���。
另外�����,TPM密鑰各種類(lèi)繁多���,管理復(fù)雜。TCG采用如此復(fù)雜的密鑰的主要是在TPM中采用了公鑰密碼RSA���,而沒(méi)有采用對(duì)稱(chēng)密碼��,使得采用公鑰密碼和對(duì)稱(chēng)密碼結(jié)構(gòu)很容易解決問(wèn)題����,在只采用公鑰密碼的情況下變得不好解決�����。
CTPM解決問(wèn)題三:解決硬件安全防護(hù)問(wèn)題
現(xiàn)有可信計(jì)算芯片的一個(gè)重大缺陷是硬件的安全防護(hù)能力弱����。2010年,世界上公認(rèn)安全強(qiáng)度高的英飛凌TPM芯片�,被物理窮搜對(duì)密碼算法,從理論上攻破芯片�����。因此�,必須要解決可信平臺(tái)模塊的安全防護(hù)問(wèn)題,設(shè)計(jì)出具備獨(dú)一性���、可靠性��、安全性和高效性的可信平臺(tái)模塊�。
杰賽將通過(guò)一種完全對(duì)稱(chēng)的結(jié)構(gòu)設(shè)計(jì)雙仲裁起物理不可克隆模塊(DAPUF)�,借助對(duì)稱(chēng)結(jié)構(gòu)差分有效降低噪聲�����,通過(guò)對(duì)稱(chēng)結(jié)構(gòu)定位重建出錯(cuò)的位置���,從而在滿(mǎn)足密碼的可靠性要求的前提下有效的降低糾正重建出錯(cuò)的復(fù)雜度。對(duì)稱(chēng)分差也會(huì)有效的改善DAPUF應(yīng)答的獨(dú)特性����,有效地改善安全性和實(shí)現(xiàn)效率。
最后�����,針對(duì)云安全問(wèn)題�,劉旭偉回答說(shuō),杰賽提出了200多條設(shè)計(jì)要求�����,以此來(lái)保障終端系統(tǒng)��,用戶(hù)數(shù)據(jù)���,通訊協(xié)議等安全��。但是絕對(duì)的安全是不存在的��,我們盡量要做的是提供盡可能多的防護(hù)手段��,加固我們的系統(tǒng)����,讓用戶(hù)更加放心�����。
