作者:胡春燕
摘 要:介绍了传统电子商务的信息安全技术并讨论了可信计算模块安全策略,将传统电子商务模式与可信计算平台结合起来,实现了一个电子商务信息安全的新模式。该模式利用可信计算平台可信信息链的传递,在可信环境中确保用户惟一身份、权限、工作空间的完整性和可用性;确保存储、处理、传输的机密性和完整性;以及服务和应用程序的完整性。
1电子商务的信息安全技术
电子商务的应用是以Internet的基础设施和标准为基础,涉及从通信协议到应用集成的广泛领域,套用国际标准化组织ISO的开放系统互联OSI七层协议模型,相应地将各安全措施映射到对应层次中,可以较好地描述电子商务安全技术体系。
1.1网络层技术
网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。
1.2加密层技术
数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。
1.3认证层技术
安全认证技术是为了保证电子商务活动中的交易双方身份及其所用文件真实性的必要手段。包括:数字摘要、数字签名、数字时间戳、数字证书、认证、智能卡。
1.4协议层技术
电子商务的在线支付是通过Internet完成的,必须使用安全协议来保证支付信息传输的安全、交易方的合法身份的确认及支付过程的完整。不同交易协议的复杂性、开销、安全性各不相同。同时,不同的应用环境对协议目标的要求也不尽相同。
2可信计算模块安全策略
随着电子商务和商业的发展,人们对于信息保护的需求逐渐增加,这样人们越来越希望进行可信的计算。
可信计算平台的基础是提供一种汇报当前计算环境的可靠证据,对所选择的计算环境的一种证明。当可信计算平台汇报一个给定的环境并提供该环境有足够的用于特定目的功能、保护和完整性的证据,这样就可以认为该可信计算平台对于该目的是安全的。也就是说当一个用户执行一个需要保护的敏感数据上的任务时,他必须只有在任务所处的软件环境处于可以保护该数据的情况下才能执行该任务。一个用户可以维持它的个人数据的隐私性同时也可以向其他人确保它们所提供的敏感数据和得到同样的对待。
可信计算机子系统必须增加以下额外的硬件、固件和软件和一个增强的操作系统,最基础的改变是增加了一个可信的根。一般分为以下三个部分:TPM包含可信的功能,典型情况下使用一个安全芯片实现,安全功能实现数字签名、数据的机密性和对密钥和数据的访问控制;TSS包含对称加密功能和相应的支持功能使用固件和软件实现:一个增强的安全操作系统,包含驱动程序和TSS部分功能,用于和TPM通信以及汇报操作系统以及其装载的应用的状态。
2.1身份标示和认证策略
对于TPM定义了三个操作角色:管理员、实体属主、实体用户。管理员或者用户访问所有受保护的功能和保护存储必须通过认证机制。TPM提供三种认证令牌:TPM属主关系的证据(当属主完成属主关系协议时产生令牌。令牌值存储在TPM的保护存储中。管理员通过提供该令牌来访问管理员功能包括系统配置)、实体属主关系的证据(在实体创造过程中产生该令牌、实体属主必须提供该令牌来让TPM加载该实体)、实体用户使用实体的权利的证据(在实体创造过程中产生该令牌,在实体被成功的加载到TPM中以后用户每次使用加载后的实体都必须提供该令牌)。所有的认证都使用相同的机制:TCPA认证协议,该协议使用HMAC方法来提供关于令牌的知识同时不泄漏真实的令牌值。检查认证令牌的有效性是通过执行TCPA认证协议并比较协议的结果。
管理员身份标示和认证:访问TPM保护功能和配置功能需要知道TPM属主令牌的知识,只有被授权执行管理员角色的个人和应用才能拥有TPM属主令牌的知识。同时从事管理员角色的人必须同意保护密钥和数据的访问、同意汇报密钥的丢失和感知到的对安全的妥协、同意不会进行共谋。
实体属主身份标示和认证:实体属主认证作为加载实体到TPM的一个条件,实体属主必须使用TCPA中定义的机制来提供实体属主令牌来加载实体,一个成功的加载将会使实体从被包装的状态加密出来并被加载到TPM中一个被适当保护的区域。保护实体属主令牌是实体属主的责任,属主令牌有属主使用任何方法来产生,在TPM外存储的属主令牌需要加密保护。实体属主所在的组织必须确保属主保护属主令牌、同意汇报令牌的丢失和感知到的对安全的妥协、同意不会进行共谋。
实体用户身份标示和认证:实体用户认证被作为使用一个加载后的实体一个条件,实体用户必须通过TCPA中定义的机制来提供实体使用令牌来使用已加载的实体。实体用户必须确保所有的使用令牌都有保护,实体使用令牌有实体属主使用任何机制来产生,在TPM外存储的使用令牌需要加密保护。实体用户所在的组织必须确保用户保护使用令牌、同意汇报令牌的丢失和感知到的对安全的妥协、同意不会进行共谋。
2.2访问控制策略
TPM根据特定的访问控制策略来执行用户对密码相关的IT资产的访问,他们包括角色和这些角色可以访问的服务、关键的安全参数例如认证令牌和密钥、对服务和密码相关的安全参数的访问模式。其中角色和服务包括:
管理员角色和服务,执行系统配置相关的命令管理员必须提供TPM属主令牌,对了管理员才有的TPM系统配置命令包括设置TPM属主认证令牌、设置配置状态。管理员要求周期性的更换TPM属主令牌。
实体属主角色和服务,实体属主使用该实体的实体属主令牌来加载实体,如果实体属主认为属主令牌的安全受到危险,属主有责任通知管理员或者自己重新设置受影响的实体的属主令牌。
实体用户角色和服务,实体用户使用实体使用令牌来使用己加载的实体,如果实体用户认为使用令牌的安全受到危险,用户有责任通知管理员或者实体属主。3基于可信计算平台的电子商务模式
电子商务系统中的可信计算平台基于TPM,以密码技术为支持、安全操作系统为核心。如图1所示。
我们依据可信计算平台的可信链的传递过程,以及信息系统的安全保障需求—保密性、完整性和可用性,将可信计算平台的安全体系分为以下部分:
(1)可信根:整个平台的信任基础。它确保硬件平台基础可信,并为上层提供硬件支撑功能。可信根是可信计算平台的信任源,它可以防止软件及一定程度的物理攻击,能够准确的计算一个平台上软件运行环境的完整性度量值,并能够将这种度量值记录在TPM中。
(2)可信环境:对加载的重要应用程序和服务进行完整性和一致性验证;将信任链传递到应用层。确保用户惟一身份、权限、工作空间的完整性和可用性;确保存储、处理、传输的机密性和完整性;以及服务和应用程序的完整性。
可信引导能够保证操作系统在引导过程中的可信;但是目前的操作系统还存在诸多的安全问题,不足以为用户提供可信的应用和服务。建立可信环境的目的是将可信链传递到应用层来保障终端安全。
可信环境的建立主要依靠可信机制和安全功能两个方面
(1)可信机制保障可信链传递到应用层,保障安全功能及安全策略正确实施,在可信增强内核中实现。
●可信验证机制:结合可信根中保存的预期值,对调用的可执行体或数据进行完整性验证。可信引导将控制权转移给验证过的可信增强内核后,内核自身或用户进程在调用可执行程序时都将利用可信验证机制对其进行验证,通过后才能调用。
●可信存储和可信报告机制:参考TCG规范设计,能够为内核安全功能和上层应用提供敏感信息的存储和获取系统当前环境状态等服务。
(2)安全功能:遵循保密性、完整性和可用性的安全目标,我们在普通操作系统的基础上进行了安全增强,增加了身份认证、访问控制、透明加解密、一致性验证、网络控制和安全审计等功能。
身份认证对用户登录系统进行检查验证,保证合法用户可以登录系统,防止非法用户使用系统。访问控制实现自主访问控制和强制访问控制功能。透明加解密满足自主保密性和离线保密性需求,确保用户实施自定义保密策略和数据的密文存储,保证其机密性;并防止物理攻击。一致性验证完成对系统可执行文件和用户数据文件的一致性验证功能,防止非授权用户对数据的非法修改。网络控制根据规则,确保用户合法的访问网络资源和限制恶意网站对终端的攻击行为,减少攻击所带来的危害。安全审计在系统的身份验证控制点、文件访问控制点、文件加解密控制点、文件完整性验证控制点以及设备访问控制点,对系统的重要事件和违规事件进行监控,并调用审计记录服务功能进行记录。
在可信环境中,可信计算平台终端通过预定制的安全策略,运用安全功能保障终端安全,实现对终端平台机密性、一致性和可用性的保障,并能够提供一定程度上的防病毒、防黑客功能,极大地提高了平台安全。
(1)机密性:通过自主访问控制对可信计算平台终端所有敏感信息进行透明加解密,保存在磁盘中的内容都是密文。并结合强制访问控制,限制有权限的合法用户才可访问相对应级别的敏感信息,不能访问高级别的信息。
(2)一致性:通过强制访问控制对可执行文件和用户数据文件进行一致性校验。对可执行文件的验证首先要检查该文件是否存在预期摘要值,如果没有,则为其生成预期摘要值(首次执行);否则计算文件的当前摘要值,和保存的预期摘要值进行比较,如果不一致,则拒绝该文件的执行,并进行审计。对验证失败的文件在系统的备份区查找备份文件,如果存在备份文件,则替换系统中被破坏的文件。
(3)可用性:是在普通操作系统的基础上进行安全增强,与操作系统兼容性好。在保证机密性、一致性的基础上,透明加解密、一致性校验等功能,对用户透明,不需用户干预,具有良好地可用性。
(4)防病毒:主动式的防病毒策略,并且与病毒类型无关。通过访问控制机制,对网络的使用进行限制,使得符合网络访问规则的数据内容才能下载到终端平台,防止被病毒感染。即使有可执行程序被病毒感染,由于强制访问的限制,它只能感染有限的数据,并且当该可执行程序再次运行时,会由于一致性校验不成功被删除并可信恢复,将病毒感染程序彻底消除。
(5)防黑客:通过身份认证和对网络的限制使用,如禁用网卡、物理禁用端口等限制,可以有效防止黑客入侵。即使可信计算平台终端存在黑客软件,它也只能访问特定范围内的数据,将破坏降低到最少,并且它所有的违规操作都被审计系统记录下来,终端平台管理员可以根据审计的违规记录对其进行追踪。
4 总结
本文的创新点在于将传统电子商务模式与可信计算平台结合起来,实现了一个电子商务信息安全的新模式。该模式利用可信计算平台可信信息链的传递,在可信环境中确保用户惟一身份、权限、工作空间的完整性和可用性;确保存储、处理、传输的机密性和完整性;以及服务和应用程序的完整性。
参考文献[1]张毅.电子商务的信息安全及技术研究,http://[2]徐雪梅.浅谈保障电子商务活动中的信息安全[J].科技情报开发与经济,2003(5)[3]邵烈雄.信息安全工程研究.硕士学位论文,20031201[4]王飞,刘毅.可信计算平台安全体系及应用研究.微计算机信息,2007(3-3)P76-78