可信体系结构

可信体系结构（精选7篇）

可信体系结构 篇1

0 引言

肉类食品消费安全是关系国计民生、社会安定的国家大事,已经成为全国性的问题,商务部已经开始部署实施全国性肉类食品消费安全与追溯体系工作。但是,由于肉类食品追溯体系的建设是一个复杂的工程,“从源头到餐桌”涉及的环节众多,要实现肉类食品的质量管理控制,必须对肉类食品供应链进行优化重组,对肉类食品安全管理进行有效监控,以建立肉类食品供应链追溯体系。

1 基于可信计算的信息流划分

信息流的无干扰的思想是可信安全体系结构的核心思想,它最早由Goguen等人提出,其思想是:对于系统中的安全域u和v,如果域u中的操作造成系统状态的改变,从域v的角度来观察系统,在域u的操作发生前和发生后,域v所观察到的系统状态是相同的,那么就认为域u对于域v是无干扰的。

基于信息流的无干扰理论模型从动作和运行结果的角度建立系统安全可信策略模型,研究了基本的无干扰理论模型,给出无干扰模型的3个性质,即单步一致性、结果一致性和局部一致性。借鉴以上思想方法本文以无干扰和可信传递的为理论指导对猪肉食品信息安全系统进行了需求分析并分成养殖、屠宰、销售、核销四个域。这四个域满足信息流无干扰的原则:任何一个域中的操作不会造成另一个域状态的改变(如图1所示)。

为了更进一步细化整个肉类食品信息系统中各个子系统之间的信息流动的本文引入了原子操作的概念。如图2所示,原子操作{耳标信息采集管理系统→养殖过程管理系统}表示耳标信息采集管理系统通过箭头指向养殖过程管理系统,表明耳标信息采集管理系统会对养殖过程管理系统中的数据进行访问,在这个访问过程中访问者称为主体,被访问者称为客体。借助原子操作的概念得到更为细化的信息流动图。

2 肉类食品安全追溯系统的可信安全体系结构

在需求分析得到的数据流动的基础上,根据我们提出了一种全新可信体系结构:以可信安全管理平台为中心的三层可信体系结构。第一层是现有的各个子系统,第二层是实现各个子系统的与可信管理平台层的边界访问控制和信息流安全交换功能。第三层是整个可信体系结构的核心层。它包括:客体可信状态控制、完整性状态控制、保密性状态控制、风险预警控制等功能模块。可信安全管理平台是对整个肉类食品信息系统中信息流动的统一管理和控制(如图3)。

一次原子操作管理平台执行过程(如图4):

(1)通过客体可信状态函数实现客体可信状态控制;

(2)通过Hash函数、数字签名等实现客体完整性状态控制;

(3)通过保密性函数实现保密性状态控制;

(4)主体成功访问客体后将访问记录,保存在记录中;

(5)风险预警指撤销求并非法入侵。

3 肉类食品安全信息系统的可信体系结构实现

中间层的边界访问控制主要是通过数字证书向可信安全管理平台提交数据访问申请,通过可信管理平台层具体的数据访问操作后,实现信息的安全交互。而底层是现有的信息系统不需要的进行任何修改。以下重点介绍可信安全管理平台功能的实现。

3.1 客体可信状态控制

基于现有的计算平台可信证明方法,可以保证信息在分布式系统流动中的安全可信。其具有如下优点:(1)可以识别并防止由于远程计算平台用户的无意识行为导致的安全事件(比如木马、病毒等恶意代码或错误的安全配置)对其它系统产生影响。(2)通过分析与平台状态可信直接相关的系统行为可以更准确地判断证明平台是否可信,避免度量和验证大量无关要素所带来的隐私保护和计算可行性问题(如图5)。

客体可信函数构造=:match(主体ia安全策略预期,客体bj行为记录)

函数返回值:0表示符合要求,1表示不符合要求。

3.2 完整性状态控制

其中Hash()表示Hash函数,Sig访问请求表示访问者的对请求的数字签名,PK表示访问者的公开密钥,完整性状态控制的流程(如图6)。

3.3 基于Lampson安全模型的保密性状态控制

安全策略是一套用于规范组织如何管理、保护以及分发信息的法律、法规与行为准则,访问控制依据用户制定的安全策略对系统发生的访问事件进行控制,防止未经授权的用户访问系统资源。1971年,Lampson首次对信息系统的访问控制问题进行抽象,建立了访问矩阵模型,模型中主体(subject)代表发出访问请求的主动实体;客体(object)代表受保护的系统资源;访问矩阵(access matrix)以所有主体为行,所有客体为列,列举每个主体对每个客体的所有访问权限,以表示管理员对访问控制的具体要求,即安全策略。因此,本文提出的肉类安全追溯系统中的安全策略也采用这种(主体,客体,权限)三元组的抽象方式,描述系统的访问。

保密性函数构造=:(原子操作∈or∉访问控制矩阵)

函数返回值:属于返回0不属于返回1。根据细化的信息流图(见图2),可以得到以下为访问控制矩阵(如表1)。

描述:访问控制矩阵行元素:一次原子操作中的客体(objectj)元素:养殖过程管理系统、屠宰过程管理系统、码分配与控制系统等等。

访问控制矩阵列元素:访问客体的主体元素:检疫台账生成系统,耳标信息采集管理系统等等。

访问控制矩阵成员集合:表示操作权限Mi,j={1Z=:新增add,Z2=:显示show,Z3=:修改update,Z4=:删除delete}

3.4 审计预警控制

针对客体可信状态控制、完整性状态控制、保密性状态控制中的出现的非法入侵记录并通知到相关的责任人。

4 结束语

实现以可信计算和安全体系结构相结合的技术方法建立肉类食品安全追溯体系可以有效防止各类假冒伪劣肉类食品流入消费市场,提高肉类食品安全保障程度。包括源头防护、中间控制、最后可追溯与审计的可兼顾的控制体系。减少在生产、流通、消费各环节中存在的诸多安全隐患。建立以政府为主导的公共信息服务和发布渠道,公示经营者的信用档案和政府部门监察的记录,提高信息服务完善群众监督的环境。有助于推动我国肉类食品安全追溯体系的规划和发展。

参考文献

[1]Koen Yskout,Bart De Win and Wouter Joosen.transforming security audit reauirements into a software architecture.IBBT-DistriNet.Katholieke Universiteit Leuven.Belgium.The Third International Conference on Availability,Reliability and Security,2008IEEE DOI10.1109/ARES.2008.

[2]Pejman Salehi,Pooya Jaferian,Ahmad Abdollahzadeh Barforoush,Modeling Secure Architectural Connector with UML2.0.IMECS2007.

可信安全体系架构原理与实践 篇2

近年来, 保证信息安全的相关领域研究不断深入, 但信息安全所面临的形势依然日益严峻。既有的潜在威胁没有根本性的改变, 新的安全威胁不断增加, 针对信息及信息系统的攻击方式日益专业化和隐蔽化, 攻击手段更具针对性和危害性, 一些深层次的攻击 (如rootkit攻击) 能够从系统底层避开已有的安全机制, 对用户信息和信息系统进行破坏, 甚至直接颠覆和破坏系统安全机制本身。现有的信息安全防范体系远没有达到人们预期的水平。

导致上述信息安全现状的根本原因在于以往的研究和产品实现中, 往往只强调安全功能的多样性和安全保障强度, 而不能保证安全功能的总是有效作用, 甚至安全机制本身被篡改或破坏。尽管有关安全准则对信息系统的安全机制 (也称可信计算基, Trusted Computing Base, TCB) 作了明确要求, 围绕TCB的可信保证问题, 已进行多方探索, 但是这还只停留在某些局部环节和领域上, 在整体性和综合性方面还存在欠缺。

一些研究尝试通过减小TCB的代码规模, 使人们有可能对它们进行完整的测试和分析, 从而提高其可信程度。比如通过安全通道技术将TCB代码中占很大比例的设备驱动部分 (包括网络协议栈) 从TCB中剔出, 但是TCB功能多样性特性导致了对TCB代码的裁减不可能达到很理想的程度。TCB可信保证的另一个重要研究方向是可信计算平台相关技术, TCG (Trusted Computing Group) 或国内的可信计算联盟等试图以密码技术为基础, 通过受物理保护的可信密码模块及相关软件栈为计算平台提供身份和状态可信保证, 从而加强系统的安全保证能力。比如可信计算的一个重要内容是可信传递, 它通过行为预期对系统每一个代码执行进行控制, 从而保证系统运行的可信。但是, 可信计算技术不能改善系统安全机制的来源和功能可信问题, 一旦恶意代码通过各种方式进入信任链, 那么系统的安全问题还会继续存在。

上述情况表明, 在信息系统越来越复杂、功能越来越多样化、产品和技术来源越来越社会性的环境下, 单一或局部的可信保证措施都不能根本提高TCB的可信度。必须在加强TCB安全功能、提高TCB安全强度的同时, 还要从TCB的结构上提高其可信保证能力, 并结合可信技术、管理和过程控制措施等多个方面满足TCB的可信保证要求, 包括TCB的来源真实性、功能正确性和可靠性、运行完备性等等, 使信息系统能够真正为人们所信赖。

1 可信安全内容和原理

可信安全 (Trusted Security) 是指通过充分可信赖的信息安全功能机制, 使系统安全保护能力达到更高的信任度。可信安全的目标是为信息系统的安全功能和安全保证提供整体解决方案, 从根本上提高系统的安全保护能力。可信安全可以认为是可以信赖的安全。可信安全的定义有以下方面含义: (1) TCB具有期望的安全功能、能保证其安全策略有效正确地执行, 并且来源可信; (2) 能够正确度量系统中的用户、平台和环境状态; (3) TCB本身不会被篡改。

可信安全体系是基于可信的定义和可信计算基的定义导出的。它包括结构化的TCB、基于密码的可信保证机制和可信安全工程化的过程控制机制等方面的内容。可信安全不等于可信计算技术, 但是可信计算技术可以作为可信安全的一个技术基础。可信安全是可信与安全在技术和管理等综合层面的融合体, 使得系统TCB具备以下可信保证能力: (1) 本身必须能够抵制攻击、防止被篡改; (2) 必须总是能够发挥其设计安全功能; (3) 必须足够小, 能够经得起测试和分析。

鉴于业内在TCB的功能及机制的理论模型方面的研究已经取得了丰富的成果, 本文在以后部分将重点放在TCB的实现结构与可信保证层面。

1.1 结构化TCB

可信安全的一个核心内容是结构化TCB。由于TCB的来源和功能表现为多样化特征, 因此对TCB的代码规模难以进行有效裁减, 只能通过结构化的TCB为TCB可信提供保证支持。

结构化TCB的前提是TCB模块化。橘皮书指出, TCB应该实现良好的内部模块化结构, 并且这些模块之间有较高的独立性。而一般来讲, TCB模块之间又呈现一种有序的层次化关系, 即结构, 比如操作系统、中间件、应用系统中的TCB模块之间的关系, 就表现为这种内在的有序层次化关系。认知了TCB的这种层次结构, 要提高TCB的可信程度, 必须加强其内部机制与功能, 以便能够鉴别这些模块来保证纳入可信体系的它们是可信的, 同时还要尽量使TCB的每个模块最小、T C B各个模块之间的相互关系最简。此外还需为维系TCB模块的这种内在关系提供可信的保证。结构化TCB是通过结构化的TCB和对TCB实施结构化保护的方法来实现。

对结构化TCB实施保护的技术基础是可信传递和平台可信证明。所谓可信传递是指在系统的运行控制传递过程中, 可信根判断其下一级执行代码的真实性和完整性是否被篡改, 如果没有, 系统将运行控制传递到下一级可信执行代码, 系统的可信范围因此就从可信根扩大到下一级功能;同理, 这种系统运行代码控制不断往下传递, 就可以实现信任链的建立和传递过程, 最终实现系统在单一平台内的可信范围延伸;而平台可信证明是指计算平台在被允许接入并访问系统资源之前, 必须要通过可信的机制向系统证明自身状态的可信, 平台可信证明将系统TCB的可信范围从单一计算平台扩大到了网络系统。

在TCB各个组成模块来源和功能可信的基础上, 基于结构化的TCB构建方法, 系统TCB从初始的根TCB (Root, RTCB) 开始, 逐步加入新的TCB模块, 最终生成一个链式或树形的层次化TCB。纳入信任链的这种结构化的TCB确实是可信的, 在运行过程中TCB具有完整性保护能力, 不会被旁路或篡改。此外, TCB的结构化构建方法还为TCB的形式化描述提供了有效支持。

在实际系统中, 根据不同的环境, RTCB可以是TCG中的CRTM, 也可以是操作系统的核心系统或硬件之上的虚拟机监视器 (VMM) 。RTCB的这种动态性支持可以保证系统的灵活性和可用性, 尤其是在目前绝大多数服务器系统都还不支持TPM/TCM及TSS的现实情况下。

1.2 可信安全的保证能力

1.2.1 TCB的不可旁路性和防篡改能力

结构化的TCB保证了TCB的运行可靠性和完整性, 它有效地控制了只有可信的可执行代码才能被系统调度运行, 保证了在从系统引导到TCB被激活的中间过程阶段不可能有未经允许的代码中断或替代系统TCB的启动;在TCB被激活之后, 可信传递机制能够继续保证没有非法代码对TCB的运行完整性进行破坏, 确保TCB总能有效发挥安全功能;同理, 可信安全通过平台可信证明机制能够保证系统中的各个独立计算平台是可信的, 实现各个平台之间对安全策略的一致解释和一致执行, 确保系统TCB的可信。

1.2.2 TCB的形式化描述

在TCB规模不可能无限制裁减的情况下, TCB结构化构建方法为TCB的形式化描述和验证提供了技术支持。

可信安全基于可信的TCB组件, 通过可信传递、可信证明机制, 实现系统TCB的可信扩展。在可信安全系统中, 系统都是基于一个足够小的系统可信根, 通过可信传递机制扩展成一个可信的计算平台;在可信计算平台的基础上, 系统通过可信证明机制扩展成为最终的可信计算系统。

对TCB结构化构建过程, 可信安全可以采用递归方法对TCB加以形式化描述:首先, 将系统可信根作为TCB递归描述的初始状态, 该可信根足够小, 并且有足够证据证明它是可信的;其次, 将可信传递和可信证明机制作为形式化描述的递归部分, 对TCB的可信组件逐步扩展过程进行描述。

通过上述递归描述方法, 最终可以实现对系统TCB的形式化描述。

1.3 可信安全工程化

结构化TCB保证TCB在运行过程中不会被旁路或篡改, 是实现可信安全目标的必要条件, 至此还不能保证系统预期安全目标完整、准确的实现。作为充要条件还须保证TCB功能的正确性和可靠性、TCB的来源和产品功能 (特别是软件产品、关键部件) 的真实性。可信安全不仅是建立基于结构化TCB的安全技术体系, 还必须对安全产品的开发、评价、实施以及安全服务的过程进行管理, 将产品和系统纳入具有公信度认证与测评机制的控制之下, 使之成为一个具备完好定义的、成熟的、可测量的过程, 执行此类过程的组织开发实施的产品或系统以及提供的服务, 才具有较高安全可信度和可重复性。

TCB的来源和功能可信保证是指对TCB的真实性、TCB功能的正确性和可靠性等内容建立信心, 它包括TCB安全功能是否被正确实现、TCB是否包括安全后门和隐通道等等。采用可信的过程控制才能保证可信安全目标的实现。就实现可信安全目标的作用方面, 可信安全工程化的实践价值远大于它的理论价值。缺少或未采用这类过程的产品研制和系统实施, 不能称之为是可信安全产品或系统, 任何一个环节缺乏或弱化都将降低其最终的可信度, 造成与期望目标的偏差。面向可信安全系统全生命周期的可信安全工程化, 包括如下三方面内容: (1) 实现TCB功能正确性和可靠性的可信安全产品构造与验证工程化; (2) 确保TCB来源真实性、功能与策略符合性的可信安全实施过程工程化; (3) 维持目标系统一直处于期望可信安全状态的运行管理工程化等。

其中TCB的工程化实现是可信安全工程化的难点。欲使安全产品或工程达到人们期望的目标, 在实践中, 除技术因素外, 还存在诸如知识产权、政府法规限制等很多困难。其中的关键是一个系统安全机制的实现应具有更大包容性的结构化体系, 使得安全机制的每个功能模块, 例如密码技术, 能够独立于应用功能实现。这既为实现TCB最小化目标创造了工程条件, 又适应了TCB来源多元性、系统发展阶段性的客观事实。这既是理念问题也是技术的发展策略问题, 这个根本性的问题解决了, 政府法规符合、标准化等一系列问题就容易解决了。

2 可信安全应用设计示例

可信安全的应用重点在于如何具体实现结构化的TCB。作为结构化TCB的一个示例, 在RTCB基础之上, 将操作系统、可信安全网络、可信安全存储、可信安全服务中间件、可信安全应用软件、可信安全边界保护等TCB模块或组件构成一个完整的安全保障架构。而一般功能, 如系统服务软件和业务应用软件等, 则依托于该安全保障架构部署, 在可信安全的计算环境下, 依靠有效、一致地安全策略, 保证应用业务的安全运行和数据的安全。

2.1 结构化TCB设计与强制策略执行管理

在不同的应用环境中, 系统RTCB有不同的选择。在目前的硬件环境下, 如果物理环境和管理能力满足一定要求, 选择操作系统可信安全增强模块或直接位于硬件之上的VMM作为RTCB有相当的实际意义和安全效果。采用操作系统可信安全增强模块或VMM作为RTCB的好处是保证用户仍可继续使用商业操作系统环境, 保证业务连续性和兼容性。

RTCB应运行在系统底层, 它能对CPU、内存和I/O设备等硬件资源进行安全控制。系统正确启动并进入服务状态后, RTCB必须截获并处理上层软件实体的特权操作。RTCB可以根据统一制定的访问控制策略, 实施对指定的硬件资源访问控制, 防止硬件资源被其他软件实体的未授权访问。软件实体对硬件资源的访问难以绕过根TCB的监控。

为保证TCB的不可旁路性, 可信安全采用策略绑定机制。为实现中国GB17859-1999《计算机信息系统安全保护等级划分准则》第三级安全, 支持基于安全标记的多级安全强制访问控制的要求, 设计中每个主体 (如一个用户、进程或设备) 和客体 (如内存页面、磁盘文件或数据块) 均被加上特定级别的安全标记。在授权主体对客体进行访问时, 由于当前计算平台的计算环境可以被度量和证明, 那么系统可以将访问控制过程中的认证、授权 (决策) 和执行的每个阶段绑定到特定的计算环境。只有处于正确的计算环境, 主体才能完成对客体的正确访问。如果计算环境受到破坏, 即使指定的安全策略被旁路, 攻击者仍然不能完成对资源的访问。

在上述绑定的这个机制中, 可信域的每个主体和每个客体都有特定的安全标记。每个主体都要获得相应的信任证书, 该证书包括主体的安全标记和指定的计算环境, 将访问控制过程中的认证、授权和执行的每个阶段与特定计算环境绑定, 只有处于正确环境的主体才能完成对客体的访问。在一个请求到达时, 首先在计算环境的边界进行认证, 管理控制系统将请求分解成一个或多个任务, 并为每个任务颁发信任证书, 确定该任务的权限和计算环境。进一步, 可以将多级访问客体结合特定的系统状态加密存储, 只有在系统执行强制访问控制策略时, 系统才可以正确解密被加密的客体数据, 从而保证强制访问控制机制的不可旁路性。

这种强制的策略执行管理本质上也是一种策略执行保证机制, 它保证了在系统运行过程中, 任何系统访问都不能绕过系统安全策略, 从而保证了安全功能机制总是有效的, 其行为也是可信的。

在信息安全中, 操作系统的安全是基础。操作系统除了应该为应用提供身份认证、访问控制、安全审计等安全保护之外, 还应该为应用提供安全信心, 保证其安全机制是可信的, 即不可被旁路、也不可被篡改。

可信安全的操作系统能够保证系统中的每一个组件, 包括服务、应用、驱动都是经过安全认证认可的, 从而建立一个可信的应用环境。这种认可甚至要深入到应用组件一级, 比如Java应用 (如Java类和Jar包等) 。这样就有效防止了系统安全功能机制被旁路或恶意破坏的可能。

操作系统还应该在硬件机制的支持下, 实现进程间的安全隔离和内存的安全保护, 保证输入/输出路径的可信、阻止DMA直接访问物理内存可能带来的安全问题。基于密码技术和可信的密钥保护机制, 为重要数据的传输和存储提供保密和完整性保护。密码作为一个独立的模块设计, 根据环境可选择不同机密度的硬件或软件实现, 支持动态实体认证、证明和数据加密。该硬件应与TPM和TCM兼容, 但性能要更强大。

在保证计算平台可信安全的基础之上, 平台可信证明机制可以保证只有来源和身份符合预期、平台状态可信安全的设备才可以进入计算环境中, 参与应用计算。通过对每个系统组件身份和状态的控制, 可以保证接入系统的整体安全策略和策略执行机制的一致性, 从而保证计算环境的安全和可信。

反过来, 安全功能也可以为系统可信机制提供安全保护, 比如系统通过访问控制和完整性保护机制保证系统可信机制不会被非法访问和篡改, 或通过安全审计和备份恢复对被破坏的保证机制进行追踪或恢复。

2.2 可信安全网络

可信安全网络基于可信技术, 集身份认证、安全标记识别和传输控制于一体。在企业网络的计算机、交换机和路由器上实施强化的安全策略, 防止高敏感信息从高级安全域流向低级安全域。为保证信息安全, 可使用条件加解密功能将数据访问绑定到特定的环境中, 既使敏感数据流到不安全的环境中被访问时, 由于环境差异, 数据仍然无法被正确访问。

可信安全网络体现了网络服务与应用紧密结合的发展趋势。可信源自系统统一的信任体系, 基于开放架构的网络设备具有集成可信安全功能的能力, 作为整个系统TCB的组成部分, 网络设备安全机制通过可信证明机制扩展融入可信安全体系架构之中, 在可信终端和可信服务之间的可信通道上正确地传输可信的数据。

可信安全网络、可信安全计算平台及可信安全存储的安全策略是统一的和兼容的。数据安全标记源自可信安全计算平台, 用于标识应用/用户、数据敏感度和作用范围。实际上安全标记也标识了相应的安全策略, 传输控制机制通过可信安全的标记来识别、并据此与可定制化的传输策略绑定, 控制数据在网络不同安全域中的传输, 可实现高安全级别要求的强制传输控制, 也能据此辨识应用并对不同应用的流量进行检测。根据应用环境在端点或链路层选用适当加密算法, 确保信息在可信通道传输过程中的完整性、机密性及不可篡改性。

可信安全网络从底层开始, 实现了网络设备、传输通道与终端的可信, 端到端的统一安全标记, 在机制上屏蔽了可能的各种未知恶意攻击, 其安全保障对于网络层面是透明的。不仅提高了网络自身抵御攻击的能力, 同时也保证了信息传输的安全。

2.3 可信安全存储与数据防泄露

可信安全提供存储保护功能。用户数据的加密可以与指定的平台完整性进行绑定。只有满足指定的验证条件, 安全机制才会正确提供解密服务。另外, 基于可信安全的数据安全更容易支持动态数据标记和数据迁移, 更容易解决跨域的数据安全问题。

可信安全存储系统本身就可以被设计成可信安全计算环境中的一个相对独立的可信安全存储平台。因为它具有现代的CPU处理器和高速大容量的内存, 在存储系统内部增加认证、授权访问和密码服务功能, 将打造一个可信安全的存储系统。该存储系统通过在系统内部定义与计算环境相关的安全属性, 并对这些内部计算环境的特征和属性提供基于策略驱动和安全认证的强访问控制技术, 并与计算环境的身份认证、访问控制和密码等服务功能关联, 提供细粒度的数据保护机制, 例如指定磁盘上的某块区域只能被通过安全认证的应用程序访问。这样, 将可信安全扩展到存储系统, 使存储系统能提供与计算平台一致的数据加密和锁定、访问日志、身份认证、授权访问等安全功能。

基于可信安全机制能够有效地实现数据防泄露 (Data Leakage Prevention, DLP) 。对于敏感数据, 数据发布方可以将它们与具体的数据处理平台甚至用户身份实现绑定加密。在数据处理过程中, 首先需要对数据进行解密, 但是数据的解密除了需要用户提交信息作为解密密钥的一部分之外, 还必须获取所在平台的指定特征或其它状态信息, 并将这些特征或状态作为解密密钥的一部分。最终只有在指定的数据处理平台上, 由指定人员才可以处理特定的敏感数据。

为了防止授权人员在指定平台上将数据复制, 对这些数据的加密可以进一步和数据处理平台的状态进行绑定, 只有指定平台符合数据安全保密要求时, 比如没有运行数据复制功能的程序代码, 数据才可以在内存中被解密处理。

上述方案采用加密方法保护数据, 同时又限制了数据解密的条件, 从而有效防止内部人员绕过数据防泄露机制。这种数据防泄露技术还可以有效地用于数字版权保护 (DRM) 领域。上述方案采用加密方法保护数据, 同时又限制了数据解密的条件, 从而有效防止内部人员绕过数据防泄露机制。

3 结论

基于可信安全体系的实现, 不仅能解决既有应用的安全, 还将为安全云计算平台提供一种有效的实现, 可信安全服务使服务提供者能够向用户保障并证明其安全服务能满足用户的安全需求, 推进可信计算技术的应用。

可信安全体系的提出将加快可信计算技术的应用进程。在现阶段, 尽管与可信安全相关技术已经基本成熟, 但是还有很多内容需要深入研究和发展, 比如TCB的形式化描述、技术到实用产品的转化、可信安全管理等等, 还需要在更广泛的实践活动中不断发展和提高。

参考文献

[1]5200.28-STD DoD Trusted Computer System Evaluation Criteria.26 December 1985.Supersedes CSC-STD-001-83.dtd 15 Aug 83.Orange Book.

[2]Michael Hohmuth.Michael Peter, Hermann Hrtig, Jonathan S.Shapiro, Reducing TCB size by using untrusted components:small kernels versus virtual-machine monitors.Proceedings of the11th workshop on ACM SIGOPS European workshop.September 19-22.2004.Leuven.Belgium.

[3]Feiertag, R.J.Does TCB Subsetting Enhance Trust.Computer Security Applications Conference.1989.Fifth Annual Volume.Issue.4-8 Dec 1989 Page (s) :104.

可信体系结构 篇3

目前国内现有的追溯系统或者追溯工程最主要的问题是停留在信息的追溯上,但在食品安全追溯体系中信息的追溯仅仅是一方面,更重要的是保证信息传递的可信,也就是信息在传递和流通过程中不被篡改,这是食品安全追溯的最关键问题。提出三流一体化的体系结构是保证信息的可信传递的一个重要途径,建立功能完善、具有较高复用性的三流一体的食品安全追溯体系结构模型,并对其功能要素和非功能要素进行评估,既解决了信息流通和传递过程中的可信度量,又为系统在更大范围内应用提供了技术保障和理论支持。

1 可信计算对安全机制的保障与完善

1.1 可信计算的定义

各领域的专家分别从提供服务、关键要素以及行为目标的角度对可信进行了定义,总体来说,这些定义包含以下共同点[2]:

1)计算机系统所提供的服务是可靠的,而且这种可靠性是可以论证的;

2)目标是满足客户的信任,涉及安全性、隐私性、可靠性及商业信誉四个关键要素;

3)一个实体是否可信,取决于它是否始终沿着预期的方式(操作或行为)达到既定目标。

1.2 可信计算与安全的关系

可信计算和安全互为补充,相互依赖,可信计算弥补了安全机制根基不牢的缺陷,而安全机制又能够为可信计算提供辅助支持,使得可信计算在复杂环境下也切实可行,能够为上层提供服务。因此在设计重要信息系统的安全体系结构时,必须将可信计算和安全紧密结合起来,共同为系统安全服务。

1.3 相关理论模型

1)可信链传递模型

可信链传递是从一个可信的主体出发,通过一种可靠的方法(算法)确定主体周边客体的确切属性,从而获知主客体构成的系统功能是安全的[3]。在可信计算平台中,信任链的建立与传递涉及到三个基本的概念,一是信任根;二是可信传递;三是可信测量[4]。

2)无干扰模型

信息流的无干扰的思想最早在1982年由Goguen和Meseguer提出。其思想可以理解为:如果一个主体s1对另一个主体s2所能看到的和所能做的没有影响,则称主体s1对主体s2无干扰[5]。

3)干扰发现机制

所谓干扰发现机制,就是当度量范围内出现干扰时,干扰发现机制可以及时发现,给出相应的处理,以保证能够建立食品安全流通可追溯系统的信息环境。

三流一体化的软件体系结构正是基于以上几个理论模型提出的,通过建立一体化模型找出或屏蔽干扰,确保这个股食品流通节点处于可信状态,有效地解决了系统的安全和信息传递的可信度量等难题。

2 三流一体的多层软件体系结构

2.1 三流的定义

所谓三流,就是指物流,信息流和控制流。

物流:指猪肉从猪仔到成为客户餐桌上的猪肉的过程中相关产品(如猪仔、白条、副产品等等)的流通过程。

信息流:指猪肉在养殖、屠宰加工和销售各阶段的相关属性信息。包括两类信息,一类是追溯信息,用于追溯食品的来源;另一类是基本信息,用于记录生产者、经营者、消费者以及商品本身的具体状况。

控制流:控制流是在猪肉商品流通环节中对信息实现控制的过程,通过采取适当的控制手段,保证在食品流通过程中每一步操作的合法性,合理性及安全性。

2.2 三流之间的关系

在现有的食品追溯系统当中,通常物流和信息流是彼此独立的,无法保证在物流的某一环节信息的安全可信、不被篡改。在将要建立的体系结构模型中,通过增加控制流,对物流和信息流的信息在各环节实施监控和管理,既保持了物流和信息流原本形式上的相互独立性,又增强了三流相互间的内在联系,使其形成一个整体。

2.3 三流一体化流程的应用案例

本案例从猪的养殖阶段出发对三流一体化的含义及特点进行了阐述。物流过程主要包括购买饲料和药物,猪仔入舍,子猪和育肥猪饲养,猪的出场和运载。这一阶段追溯信息的主要载体是猪耳标,控制流包括采购信息管理,饲养信息管理,追溯信息管理,同步监测管理,检疫台账管理,此阶段三流一体化流程如图1所示。

2.4 可信思想在构件设计中的应用与体现

从食品安全可追溯系统的业务需求出发,在养殖、屠宰加工、销售阶段以及连接各阶段的中间环节抽象出所需的构件,这些构件同样遵循三流一体化的思想,可划分为物流构件,信息流构件和控制流构件,如图2所示。

控制流构件包括收购台账核销管理、批发台账核销管理、屠宰核销、零售核销、身份验证等。码的分配与控制为系统提供了信任根——追溯码,通过核销算法确保信息在每一阶段传递的一致性和可控性。系统中一旦出现数据丢失或前后不一致,就会立即做出提示,避免给消费者带来损害,也就是干扰发现机制原理在此案例中的重要体现。

2.5 基于构件技术的三流一体化软件体系结构

本系统的设计以多层软件体系结构作为整体构架[6],包括用户界面层、业务逻辑层、通用操作层、数据接口层以及数据层[7]。

其中,用户界面层由界面对象(UI对象)组成,是人机进行交互的接口,对应于用户的需求,并负责触发业务事件以启动业务逻辑;业务逻辑层是应用软件系统的主体,负责处理所有与业务逻辑和业务规则直接相关的操作;通用操作层为业务逻辑层提供一些常用的功能;数据接口层需要了解数据库服务器的类型和它的语义接口,屏蔽具体数据库服务器之间的差异,从而提高应用程序的可移植性和适应性;数据层是应用软件系统的最底层,负责基础数据和商业数据的存放和管理,并对这些数据的完整性、一致性提供保证。

肉类食品安全追溯系统的多层软件体系结构图如图3所示[8]。

2.5.1 业务逻辑层信息传递的安全性

1)各子系统间核销

由于本系统包含多个子系统,因此系统间的信息传递是否符合可信链传递模型的要求,是体系结构安全和可信度量一项重要的指标。在养殖和屠宰子系统间的核销功能是通过耳标信息管理构件和RFID卡信息管理构件实现的,此构件间的信息核对保证信息在两种状态间的流通的完整性和一致性。

2)码的加密和解密

通过参考现有类似产品的追溯码结构,拟对猪肉食品追溯码采用全球贸易项目代码(GTIN)+批号/系列号+源实体参考代码。在设计追溯码的过程中应用较缜密的合理的加密和解密技术,以及必要的断码的复原技术,可以排除商品流通过程中被恶意销毁和篡改,这是无干扰理论在控制流中的重要体现。

2.5.2 数据接口层和数据层的安全性

1)身份认证

所有操作人员访问系统数据必须经过开机口令、操作系统口令、应用程序口令、数据库访问口令检测,系统根据客户机的IP地址、操作员工号/口令、帐本/仓库号等对该用户的操作进行严格的限制。

2)存取权限控制

对数据库中的数据操作一般有输入、查询、编辑、删除四种情况,按照以上操作类别将用户划分为四个权限等级,各操作人员只能对自己权限范围内的数据进行权限范围内的操作。

3)结论

基于可信计算思想的食品安全追溯系统多层软件体系结构这一崭新课题的提出,必将为发展和完善食品安全可追溯体系提供切实可行的新思路,当然,要把此体系结构完整地实施到现实食品安全可追溯系统中还需要很长的路要走,还必须依赖于人才的培养和经费的支持。

参考文献

[1]伊铭.中国食品流通安全发展现状研究[J].上海经济研究,2008(7):62-67.

[2]沈昌祥,张焕国.信息安全综述[J].中国科学,2007,37:129-150.

[3]Chen Youlei.Study on trusted computing model and architecture[D].Wuhan:Wuhan University,2006.

[4]谭良,徐志伟.基于可信计算平台的信任链传递研究进展[J].计算机科学,2008,35(10):15-18.

[5]马建平,余祥宣,洪帆,等.一个完整的无干扰模型[J].计算机学报,1997,20(11):1034-1037.

[6]蔡喆.基于构件的N层体系结构研究与应用[D].北京:中国地质大学,2004.

[7]贾玉莹.一种基于构件的多层软件体系结构设计与应用[D].南京:南京工业大学,2006.

可信体系结构 篇4

关键词：软件可信性,构件可信性,可信性变化,传播模式,设计结构矩阵

可信软件是指其运行行为及其结果符合人们的预期、满足用户的需求, 在受到操作错误、环境影响、外部攻击等干扰时仍能持续提供服务的软件。近年来, 软件及其运行环境发生了质的变化, 边界开放、规模越来越大、技术环境因素动态多变等特点使得软件系统在可信性方面面临许多新的挑战[1,2]。软件系统投入运行后, 由于环境变化和软件变化可能导致用户对软件有新的可信性要求或者原有可信性发生变化, 而软件可信性要求一个局部的变化往往在整个系统范围内产生一系列难以预料的连锁效应, 从而给软件可信性的变化带来巨大的风险。因此, 分析软件可信性变化影响将有助于软件可信性变化的实现。

软件可信性变化属于软件变化研究的一个分支, 随着软件技术的快速发展以及软件产业要求的不断提高, 软件变化已经成为软件工程领域的研究热点。Bohner[3,4]在论文中给出了软件变化分析的过程框架, 并首次引用“波及效应”一词来形象地描述软件变化的影响;Ahmed Breech[5,6,7]等学者主要从一个软件实体 (函数、变量) 变化对另一个软件实体影响的角度来研究和预测波及范围;Chen[8]等学者则利用面向对象思想, 使用属性和连接去描述包括设计文档、软件组件、外部数据和需等变化项目及其之间的关系, 建立了一个基于对象、面向属性的软件变化影响分析模型;王映辉[9]在Bohner研究的基础上从功能视角, 利用可达矩阵来研究基于构件的软件体系结构演化与影响。从上述文献研究可以看出, 尽管对软件变化影响的研究日益增多, 但大多数学者研究的关注点主要集中在软件的功能变化, 其研究也很少涉及到软件变化传播模式。

针对当前对软件可信性变化影响研究的不足, 本文引入水波式、开花式和雪崩式等三种传播模式来研究软件可信性变化传播。将软件视作构件的组装, 将软件可信性分解到各构件, 从结构的视角, 重新定义了软件可信性;从构件内部、构件之间表征构件可信性的可信属性存在相互依赖关系的视角, 基于设计结构矩阵理论, 构建了软件可信性DSM模型;分析了三种传播模式的特点, 并通过对构件可信属性聚类和划分变化分组在软件可信性变化传播中的不同模式, 对软件可信性变化传播影响进行了刻画分析。

1 软件可信性的内涵

1.1 构件

软件产业的成熟以及软件生产要求的不断提高, 使基于构件的软件开发方法得到了广泛的应用。在基于构件的软件开发方法下, 程序开发模式也相应地发生了根本变化, 软件开发不再是算法+数据结构, 而是构件开发+基于体系结构的构件组装。在体系结构中, 构件是软件系统的构成要素和结构单元, 是软件功能设计、实现和寄居状态的承载体。从系统的构成上看, 任何在系统运行中承担一定功能、发挥一定作用的软件体都可看成构件。作为软件体系结构的构造块, 构件不是独立存在的, 各构件之间具有一定的关联关系, 具有互操作性。

1.2 软件可信性

软件可信性指一个软件系统的行为总是与预期相一致, 它是一种需求分解精化的对功能需求作用的全局性质量约束, 它的一个微小变化往往对整个软件系统产生较大范围内的影响。软件可信性通常用一组相互关联和相互影响的可信属性来描述和评价。可信属性用于描述和刻画软件可信性的若干软件关键性质, 它可被细化成多级子属性。可信属性是软件 (客体) 获得用户 (主体) 对其行为实现预期目标的能力的信任程度的客观依据。主体通过客体所具有一组表达其可信属性的客观能力事实, 从而信任客体的行为能够实现其设定的目标[10]。因此, 若软件可信, 则意味着软件拥有了一系列与软件可信属性相关的能力;反过来, 若软件具有了一系列与软件可信属性相关的能力, 则可以相信该软件能达到其预设的可信性目标。本借鉴文献[10]提出的一个可信属性模型来展现软件可信的内涵, 它用可用性 (Availability) 、可靠性 (Reliability) 、安全性 (Security) 、实时性 (Real Time) 、可维护性 (Maintainability) 和可生存性 (Survivability) 等6个可信属性表示构件或软件的可信性。尽管用户对于各种类型软件可信的期望有所差异, 但软件可信的内涵对于各种类型软件应该是基本一致的。

从上文对构件的描述, 软件可简单的视作组成系统的若干构件以及构件与构件之间交互作用关系的高度抽象, 这样软件可信就表现为组成软件的各个构件可信, 就意味着各个构件拥有了一系列与软件可信属性相关的能力。基于这样的理解, 本文从结构的视角对构件可信性和软件可信性概括定义如下:

定义1 (构件可信性) 构件可信性是指构件的可信能力, 它用一组相互关联和相互依赖的可信属性来表示。由于构件在实现目标和用户期望可信性的不同, 描述和评价其可信性的各构件的可信属性存在差异。

定义2 (软件可信性) 软件可信性是指整个软件系统的可信能力, 它用一组构件可信性来表示, 各构件可信性之间的相互依赖和相互影响的是通过可信属性之间的作用机制来体现。

根据定义2, 软件可信性实质上就高度抽象为组成系统的若干构件的可信属性和各可信属性之间的依赖关系。表征各构件可信性的可信属性, 如可用性、可靠性、安全性、实时性、可维护性和可生存性等可信属性之间的依赖关系是静态存在, 但是, 由于各构件功能和作用的差异, 同样的可信属性之间在不同的构件可能所表现的依赖强度往往有差异。为了提高软件可信性变化传播分析的有效性和减少软件可信性变化实现的复杂性, 本文假设各构件和构件内部的可信属性之间的依赖强度有一个最低阀值, 当可信属性之间的依赖强度高于该阀值时, 其可信属性之间的依赖关系才存在, 否则忽略。

2 软件可信性DSM模型

设计结构矩阵 (Design Structure Matrix, 简称为DSM) 是一个n×n的紧凑矩阵, 它包含了所有构成元素之间的信息依赖关系。系统的元素均以相同的顺序放在矩阵的最左边和最上边, 如果元素和元素之间存在联系, 则矩阵中的ij (i行j列) 元素为●, 否则为空格。设计结构矩阵有助于系统的建模, 因为它能表示一对系统元素间的关系存在与否, 与图形表示相比, 它能为整个系统元素提供整体的紧凑描绘。

目前, DSM已经发展成为基于组件和基于团队应用的静态模型、基于活动和基于参数应用的时间模型等两种类型的模型[11]。前者指同时存在的系统元素;后者指上游活动和下游活动之间的先后顺序。很多学者把DSM应用到设计过程的建模和管理中, 如文献[12]使用DSM表示复杂软件产品中设计元素之间的依赖关系以研究不同软件产品架构之间的差异。DSM为理解和分析复杂的软件可信性提供了简洁而可视的形式, 本文借鉴基于组件的静态DSM模型来表征构件内部可信属性之间和构件与构件的可信属性之间的依赖关系, 并对软件可信性DSM模型概括定义如下:

定义3 (软件可信性DSM模型) 可信性DSM模型是一个n×n阶方阵, 其矩阵的行和列与表示各构件可信性的所有可信属性相对应, 矩阵的维数n代表所有可信属性的个数, 主对角线元素标志着可信属性本身;其它元素用以表示可信属性之间的依赖关系, 其方向性由行和列分别表示, 行对应基于构件的软件可信性模型图中有向边的弧头, 列对应该图中有向边的弧尾, uij表示可信属性uj依赖于可信属性ui, 并用“●”来表示。

设某软件的可信性DSM模型如图1所示, 其中可信属性t1到t6属于构件Comi, 可信属性t7到t12属于构件Com2, 可信属性t13到t18属于构件Com3。从图中, 可以直观的看出构件内部和构件之间可信属性的直接依赖关系。

3 软件可信性变化传播模式分析

3.1 可信性变化传播影响与传播模式

从图1所示的软件可信性DSM模型不难发现, 可信属性之间不仅存在直接依赖, 而且存在间接依赖。如图1所示, 若可信属性t18发生变化, 引起了可信属性t5、t17的变化, t5进而引起了t3、t6变化, t17又引起了t6、t16的变化, t3的变化引起了t11的变化, t16又引起了t5的变化等等, 即由最初可信属性t18变化引起了t5、t17、t3、t6、t16、t11等可信属性的变化, 而且出现了重复与迭代。因此, 软件可信性变化实现初看似乎只需要根据需要对变化的可信属性分别进行实现, 但实际上由于各可信属性是彼此相互影响的, 对某一可信属性的变化会引起一连串其他可信属性的变化, 从而引发在需求变化传播。所有可信属性形成了一个复杂的可信需求变化传播网, 对某一具体可信属性而言, 则是一棵变化传播树, 如图2所示。

为了有效分析软件可信性变化传播, 本文引入文献[13]和文献[14]对机械产品设计变更传播模式的分类来研究软件可信性变化传播的影响。该文献将传播的影响划分为三类, 如图3所示:①水波式传播模式 (ripple propagation) , 即初始变化引起的传播只会引起少量的其他变化, 然后变化数量迅速减少;②开花式传播模式 (blossom propagation) :即起初变化传播引起其他变化大量增加, 如同在“开花期”, 但之后变化数量逐渐减少, 变化传播进入“凋谢期”, 最后传播引起的变化数量可以保持在一个合理的数量上;③雪崩式传播模式 (avalanche propagation) , 即变化传播引起变化数量不断增加, 如同雪崩效应或滚雪球效应, 最后导致变化影响的数量难以控制。

3.2 可信性变化传播模式分析

在图论中, 对于有向图的两个节点u、v, 若存在从节点u到节点v的通路, 则称节点u到节点v是可达的。若一个有向图中的任意两节点都是相互可达的, 则称该有向图为强连通图;若一个有向图的某几个节点导出的子图是一个强连通图, 则称该子图为原有向图的一个强连通分支。

软件可信性变化传播影响问题实际上是软件各构件可信属性之间依赖的“可达性”问题, 而当某几个可信属性处于同一个“强连通分支”时, 则它们中任意一个可信性属性的变化都会对其余的任意一个可信属性产生影响, 因而可以将其聚类为一个分组, 该分组内部的变化都会彼此影响。下面以图1所示的软件可信性DSM模型为例, 分析软件可信性变化传播影响及其传播模式。

将图1所示的软件可信性DSM模型看作一个邻接矩阵, 求取其强连通分支, 并将处在同一个强连通分支内的可信属性聚类为一个变化分组, 最后得到{t3, t15}, {t1, t2, t7, t8, t9, t10}, {t4, t11, t12, t14}, {t5, t6, t16, t17, t18}四个分组。经过聚类形成的变化分组要么在结构组成上是紧密联系在一起的, 要么是在作用上是紧密在一起的。经过重新排列元素顺序, 四个变化分组的DSM如图4所示。将分组内部可信属性和构件的变化依赖关系用有向图表示, 如图5所示。可以将变化分组分为三个层次:

(1) 变化发起分组。该分组的变化会引起其它分组的变化, 但不会受其他分组变化的影响, 如分组{t1, t2, t7, t8, t9, t10}, 对应图5中的分组CG1。

(2) 变化传递分组。该分组的变化既受其他分组的影响, 也影响其他分组, 如分组{t4, t11, t12, t14}和分组{t5, t6, t16, t17, t18}, 对应图5中的分组CG3和分组CG4。

(3) 变化吸收分组。该分组的变化只受其他分组的影响, 而不影响其他分组, 如分组{t3, t15}, 对应图5中的分组CG2。

从软件可信性的组成和作用的角度可以看出, 变化发起分组往往是整个软件可信性中最核心的部分, 其分组内部的可信属性往往是最基础的可信属性。而变化传递分组内的可信属性, 则是结构上连接各构件可信性, 或者作用上协调整个软件可信性实现的可信属性。变化吸引分组内的可信属性, 则大都是结构上处于从属地位, 依赖于软件主要的可信属性。

在实际的软件可信性变化传播过程中发现, 之所以会发生如图3所示的不同模式的变化, 实际上是由于变化传播涉及到不同类型的变化分组的缘故, 总结如下:

(1) 水波式传播模式。由于变化吸引分组自身的变化, 或者变化从初始分组传播到变化吸引分组, 没有变化传递分组参与到变化传播, 会引起水波式变化传播。

(2) 开花式传播模式。如果变化传递分组参与了变化传播, 并且变化传递分组之间没有发生变化传播, 则会引起开花式变化传播。

(3) 雪崩式传播模式。一般是由于变化传递分组之间反复地发生了变化传播, 从而引起了雪崩式变化传播。

因此, 在软件可信性变化管理过程中, 要避免或减少雪崩式的变化传播的发生, 就应该消除或尽可能减少变化传递分组之间的变化传播。

4 结束语

近年来, 随着网络应用软件和嵌入式软件在国民经济高科技各个领域的广泛应用, 这些规模大、复杂程度高的可信软件系统由于应用环境的多变和用户要求的提高, 不但面临着功能需求的不断变化, 而且还经常面临着软件可信性的变化。针对当前对软件可信性变化影响研究的不足, 本文引入水波式、开花式和雪崩式等三种传播模式来研究软件可信性变化传播。将软件视作构件的组装, 将软件可信性分解到各构件, 从结构的视角, 重新定义了软件可信性;从构件内部、构件之间表征构件可信性的可信属性存在相互依赖关系的视角, 基于设计结构矩阵理论, 构建了软件可信性DSM模型;分析了三种传播模式的特点, 并通过对构件可信属性聚类和划分变化分组在软件可信性变化传播中的不同模式, 对软件可信性变化传播影响进行了刻画分析。最后, 通过分析软件可信性变化传播不同模式的内在原因, 为实现软件可信性变化有效管理找到了一种可行的方法。

可信体系结构 篇5

一、网络数据收集与分析

YSW公司是国内某著名管理软件供应商的下属公司,主要向中小企业用户提供Saa S模式的在线会计服务业务。Saa S模式是软件即时服务的应用模式,云会计供应商根据企业用户的个性化需求,向用户提供模块化的会计信息化应用软件服务,并根据提供的服务数量和服务周期收取相应的服务费用。企业用户通过登陆浏览器的方式进行操作,便于远程协同做账和查询。既减少了前期投入开支,又免去了软件建设更新、后续管理维护工作。将软件整体部署在供应商的服务器集群上,也便于统一管理。通过对YSW公司在线会计服务业务内容的梳理,发现其主要服务业务与母公司的企业网络版AIS业务模块功能基本一致,提供了凭证、凭证汇总、明细账、总账、数量金额明细账、数量金额总账、自定义报表、期末调汇、结转损益和期末结账等业务功能,两者具体的功能对比如表1。

云会计的绝大部分可信属性可以被归类为“经验品”,只有体验过产品或服务之后,这些可信属性才能被用户知晓,并以此作为对产品或服务可信赖程度的判断依据。笔者将YSW公司在网上发布的一百多道用户常见问题进行分类,并统计用户针对每道问题的回复所投的赞同票或反对票,以此作为衡量企业用户对该问题关注程度的指标。按照服务业务及其各项具体功能的划分,对用户常见问题和关注度进行了分类整理。如表2,由于日常账务处理是会计工作中最主要的业务,而凭证管理和账簿报表查询又是其中最常用的功能,因此该部分集中了最多的问题和最高的关注度。

经过进一步数据整理后发现,所有业务功能中的常见问题都涉及可用性这一基本可信属性,且拥有极高的关注度。涉及安全性、可靠性等关键可信属性的常见问题虽然数量不多,但也拥有较高的关注度。而有关可审计性、税收可稽查性等增强可信属性的问题则没有被提及,具体数据分布如表3。

二、云会计产品可信属性调整与评价指标体系优化

(一)AIS可信性层次结构模型调整国内学者程平等构建的AIS可信性层次结构模型,对云会计环境下AIS可信性的可信属性按照重要性进行了划分和归类,期望通过不同层次的可信属性体现用户对AIS可信性的期望程度,并以金蝶K/3总账系统和网上银行系统为例说明了模型的具体应用。笔者认为,将那些可能会对可信性产生影响或发生作用的可信属性全部纳入模型,这一做法值得商榷。中小企业用户在实际操作过程中,不会也不可能对所有的可信属性予以关注,他们只关心最主要的业务和最常用的功能中涉及的可信属性,并根据供应商提供的服务中是否包含该可信属性,做出云会计产品是否可信赖的判断。因此,有必要对AIS可信性层次结构模型进行适当的简化和调整,使模型更具针对性。从实践意义看,这也给云会计供应商一个重要提示,即进行新产品或服务设计的过程中,在全面提升品质的同时,更要确保核心业务不会出现可信性瑕疵,否则将会成为整个产品或服务的致命“短板”。

(二)云会计产品可信性评价指标体系优化程平等在后续的研究中,参照AIS可信性层次结构模型中的可信属性,从质量、使用、声誉三个维度建立了云会计产品的可信性评价指标体系,并将产品的可信性划分为6个等级,提出了云会计产品的可信性等级模型,期望能够为云会计产品的可信性评价提供理论支撑,并为企业购买和厂商合理定价提供指导。笔者认为,在评价指标选取方面,该模型存在缺陷。如图1所示,AIS可信性层次结构模型中的一级可信属性“可用性”和隶属于它的三级可信属性“合规性”,在可信性评价指标体系中被设置为同级并列指标。“可用性”在可信性评价指标体系中被重复使用,指标设置不够严谨。如果是因为考虑到“合规性”在使用功能中的重要性,而必需从“可用性”中脱离出来,也应该在指标体系设计时,加以详细说明,避免在实际评级中出现理解误差。

在指标权重设置方面,该评价体系在三个维度下设置了15个评价指标,却没有给每个指标赋予不同比例的权重,也就是默认所有指标的权重相同,这显然与中小企业用户的实际认知不符。从表3可知,在三个评价维度中,中小企业用户对“质量”维度的评价指标关注最多,可用性获得最高关注。这可能源于其下设的5个评价指标均属于产品必不可少的基本可信属性和关键可性属性。可按照不同的用户关注程度,为指标赋予相应比例的权重。关注度最高的指标赋予最大权重,关注度较高的指标赋予较大权重,关注度较低的指标赋予较小权重,由此计算出的产品可信性等级更加符合用户的预期。对其他两个评价维度,用户之所以较少关注甚至不关注,可能是基于以下两个原因:一是“使用”维度中的可审计性和税收可稽查性均属于增强可信属性,与企业用户关系不密切;二是“声誉”维度中的市场占有率、厂商资信等,用户即使非常关注也因难以准确获取相关信息而无法评价。本文认为,可以通过会计师事务所、税务局、中国会计学会等利益相关者的介入,由第三方机构出具权威的检测报告或调查报告,以此作为设置相应指标权重、评定可信性等级的标准。

面向可信服务的移动可信终端研究 篇6

目前, 国内外对安全可信方面的研究已取得了一些的研究成果, 但在移动终端可信方面的研究还比较滞后。在系统的可信度方面, 参考文献[1]为可用化评估准则DBench提出了一个高级体系构架, 但没有联系具体的应用背景;参考文献[2]从系统的可信性方面探讨了软件的体系结构;参考文献[3]从软件组件的角度来研究可信软件体系结构, 提出了基于组件的容错软件结构以满足高可信应用的要求;参考文献[4]则在COTS (Commercial Off-The-Shelf) 软件组件的基础上通过一种有效的系统方法来构建可信系统。在共享数据硬件设计方面, 参考文献[5]设计了共享内存模型, 实现多个处理器之间的高速数据传输, 但该结构在处理器数目增多时会异常复杂;MPI的分布式内存结构虽然适合并行计算系统, 但需专门设计数据通信层来处理数据传输, 编程模型复杂[6]。因此, 如何在高计算性能下实现对复杂网络环境中移动终端的安全约束, 是移动可信终端安全亟待解决的关键问题。

综上分析, 移动可信终端的研究还存在以下问题: (1) 没有一种有效的移动终端可信服务的描述规范以及可信服务验证机制; (2) 移动终端硬件层面的数据交互设计中, 缺乏高速数据传输的数据可信框架, 底层数据的可信性得不到保障。本文基于已有研究成果[7,8], 提出了一种基于可信的移动终端安全数据交互方案, 从底层的硬件设计和上层的接入认证方案两个层面对移动终端进行了安全性设计。

1 移动可信终端结构

移动可信终端的设计分为两部分: (1) 着重于网络应用服务的接入安全, 使移动可信终端在复杂的网络环境中能有效地鉴别可信域端口, 实现自可信验证与双向可信验证; (2) 侧重于底层可信度量, 采用TPM为核心部件, 在系统中提供完整性度量、安全存储、可信报告以及密码服务等功能, 确保移动可信终端的自身可信。终端的结构如图1所示。

2 移动可信终端上层设计

2.1 可信框架

由于移动终端往往处于高度动态变化、不确定因素众多的环境中, 需要有效的网络体系及其动态控制方法保证端到端的数据可信传递, 使网络具有较强的容错性和稳定性。本文提出的可信框架针对性地描述了面向服务的端到端的可信服务层, 保证数据服务在网络传输中数据动作的规范性、安全性和稳定性, 如图2所示。

2.2 可信认证方案

可信认证方案中, 假定移动终端的用户持有终端使用权口令和移动网络运营商颁发的全球用户身份模块 (USIM) , 其支持对网络的认证, 并包含密码运算和存储用户的数字证书以及敏感信息等功能。由于移动可信终端基于TPM模块, 所以在方案中还应包含有自己的私钥、证书TPMCert、与生物采集设备BI (如指纹采集、瞳孔识别等) 共享的密钥Keyshare。MT是代表自行开发的移动平台, NAT是网络接入端口。可信认证方案步骤如图3所示。

(1) USIM→MT:r1, USIMID, PR1

MT在接通电源时刻需要进行自身平台完整性校验。USIM模块首先向MT发送随机数r1、USIM的身份标识USIMID和平台验证请求PR1。

(2) MT→BI:r2, TPMID, PR2

MT在接收到USIM的平台验证请求后, 通过I/O总线向BI发送随机数, TPM的身份标识TPMID以及BI的验证请求PR2。

(3) BI→MT:EACBI

式中||为级联符号。BI在收到PR2后, 计算BI完整信息的Hash值BIHash, 并利用Keyshare对收到的随机数r2进行加密, 最后通过式 (1) 计算BI认证码EACBI, 随后BI通过总线将EACBI发还给MT进行验证。

(4) MT→USIM:r3, TPMCert, TPMSig, ER

MT收到EACBI, 利用自身产生的随机数r2结合预存的BIHash按照式 (1) 计算出校验认证码EAC′BI。若EACBI≠EAC′BI, 则表明BI信息不完整, 校验终止;反之则继续验证。当BI信息验证通过后, MT产生随机数r3, 并利用自己的私钥TPMSK对自身的PCR值、操作事务记录ER和r3按照式 (2) 进行签名后, 连同TPMCert一起发送给USIM。

(5) USIM→NAT:TS, r1, r3, TPMCert ID, NAI, ER, TPMSig, EACTPMID

USIM将证书TPMCert送入移动网络接入端进行验证, 需要借助时间戳TS、TPMCert ID和密钥KeyAU来验证整个移动终端平台的合法性。若已经拥有验证过的TPMCert, 则直接校验签名TPMSig的合法性。如果签名校验失败, 则终止认证过程;反之则提示用户输入用户口令, 获取权限来控制MT。

(6) NAT→TPMNAT:r1′, NATID, PR1′, EACNAT

NAT也需要进行自身平台完整性校验。首先计算完整信息的Hash值NATHash, 将自身产生的随机数r1′、NAT的身份标识NATID、平台验证请求PR1′和利用共享密钥算出的EACNAT一同发给TPM进行平台完整性验证。其中EACNAT的计算方法与式 (1) 类似。

(7) TPMNAT→NAT:r1′, NATID, PR1′, EACNAT

TPMNAT利用式 (1) 算出EAC′NAT验证是否与接收到的EACNAT相同。若不同, 则表明网络接入端平台不可信, 不允许接入;反之, 则将赋予NAT权力对接入的移动终端进行证书验证, 并更新操作事务记录ERNAT。

(8) NAT→USIM:EACNAT, AS

NAT获得TPM验证结果, 若平台验证失败, 则发送结果至USIM, 通知网络接口不可接入;若验证成功, 则NAT根据收到的用户身份网络标识恢复出KeyAU, 根据式 (3) 校验EACTPMID的合法性。NAT利用TPMCert ID获取合法的TPMCert, 并检验TPMSig, 最后利用式 (4) 算出认证码。其中AS包含的是NAT平台自身、TPMSig以及TPMCert的验证结果。

(9) USIM→MT

USIM端得到证书验证结果, 若验证结果失败, 则同步骤 (5) , 通过TPM校验用户的口令, 获取权限来控制接入网络的MT。

3 移动可信终端底层设计

根据图1的设计结构, 底层采用可信TPM芯片, 从移动终端加电到系统内核载入, 可信根都会按照固定顺序链式传递, 过程的关键代码都经过完整性验证。同时利用DSP结合分布式内存储存机制, 提供了终端底层高性能数据访问通道。基于TPM可信芯片的自定义内部总线的分布式存储区结构如图4所示。

DSP0为主控CPU, 负责对移动可信平台的可信启动和检测、外部设备的管理以及操作系统的加载运行。其他DSP为辅CPU, 主要实现对移动通信的管理、外接SIM接口和其他功能。分布式存储区及内部总线控制器都在FPGA中实现, 各分布式存储区之间的数据拷贝是透明的, 减少了DSP用于数据传输的开销。

(1) 分布式存储空间与访问

设计中, FPGA负责各分布式存储区存储空间分配, 划分成16个4 KB的区间, 分配给不同的DSP。DSP采用异步方式访问其本地存储区, 可访问不同速度的异步器件[6]。读、写访问时序如图5所示。

(2) 内部总线消息传递

内部总线提供16位地址总线、32位数据总线及2个控制信号, 采用非复用的同步广播方式的总线型拓扑结构, 其传输规范如下: (1) 总线主节点唯一对应DSP0, 从节点对应辅DSP; (2) 主节点提供总线控制信号, 且基于同一内部时钟的触发, 数据传输过程中不需涉及握手; (3) 通过地址线来寻址数据发送方。地址高4位对应DSP的编号为数据发送方, 其余为接收方。

(3) 存储区数据一致性

当内部总线数据传输执行时, 为避免内部总线数据读写与DSP读写之间的冲突, 采用图6所示的存储区一致性模型和同步策略。

4 实验与分析

本文设计了移动可信终端的原型实验平台, 图7是Signal Tap II在移动可信终端执行完可信启动后捕获到的内部总线传输波形部分截图 (采样时钟频率为125 MHz, 采样深度是128) 。图中表明在多处理器并行的架构设计下, 依然有较高的数据传输速率 (10 M×32 b/s) , 在可信的基础上保证了移动终端的数据交互, 在一定程度上提高了移动终端的计算性能, 可靠性高。

在可信认证方案方面, 与TPM标准方案进行了对比, 本方案在密码运算量和处理效率两个方面占有较大优势, 尤其是方案中的网络接入端的自身可信验证, 让移动可信终端对网络接入端的默认可信转向验证可信, 大大提高了移动终端的安全性。

本文提出的移动可信终端设计方案底层基于TPM芯片, 建立高性能的消息传递机制和数据一致性模型;同时提出中间件层服务相隔离思想, 设计了网络可信认证方案, 在一定程度上解决了移动终端的安全问题。同时, 该方案也有不足之处, 本存储机制针对特殊应用, 仅需进行静态源和目的地址的数据传输, 扩展性有待提高。

参考文献

[1]ZHU J, MAURO J, PRAMANICK I.R3-A framework for availability benchmarking[C].In:proc.Int.Conf.on Dependable Systems and Networks (DSN 2003) , San Francisco, CA, USA, 2003:86-87.

[2]SARIDAKIS T, ISSARNY V.Developing dependable systems using software architecture[C].Proc.1st Working IFIP Conference on Software Architecture, 1999:83-104.

[3]GUERRA P A D C, RUBIRA C, LEMOS R D.A faulttolerant software architecture for component-based systems[C].Architecting Dependable Systems, LNCS, 2003, 2677:129-149.

[4]GUERRA P A D C, RUBIRA C M F, ROMANOVSKY A, et al.A dependable architecture for COTS-based software systems using protective wrappers[C].Architecting Dependable Systems II, LNCS, 2004, 3069:147-170, .

[5]Yan Luxin, Zhang Tianxu, Zhong Sheng.A DSP/FPGAbased parallel architecture for real-time image processing[C].Proc.of 6th World Congress on Control and Automation, Dalian, China, 2006:10022-10025.

[6]HURWITZ J G, Feng Wuchun.Analyzing MPI performance over 10-gigabit ethernet[J].Journal of Parallel and Distributed Computing, 2005, 65 (10) :1253-1260.

[7]Gu Xin, Xu Zhengquan, Xiong Lizhi, et al.The security analysis of data re-encryption model in cloud services[C].Source:Proceedings-2013 International Conference on Computational and Information Sciences, ICCIS 2013, 2013:98-101.

可信体系结构 篇7

随着云计算技术的不断发展,云计算在电力行业中的应用逐渐展现。很多电力公司和部门都提出了各自的云计划,提出了各种云的应用,如调度云、电力私有云、灾备云等。电力云可以最大限度地整合现有的数据资源和处理器资源,为电力系统应用提供资源复用,以降低成本和提高效率。基于云计算的电力私有云可以实现运营信息云储存和计算资源的私有控制,并且可以实现信息资源的物理隔离,保证信息数据安全。

通常云计算采用类似通用计算机网络接入的方式来确认用户的身份信息、访问和审核权限。然而,这些手段无法可靠保障云终端自身及其接入云系统的安全。一旦电力云终端被恶意代码侵入,被攻击者控制,后台的电力云系统将面临极大的安全风险。考虑到电力云已整合的众多业务系统,对电力云系统的攻击造成的风险将远远超过对独立系统的攻击。如何保障电力云终端自身的安全以及电力云终端接入电力私有云的安全,目前尚没有很好的解决方法。

文章提出一种基于可信计算思想构建的安全云终端—可信云终端。可信云终端从硬件底层开始,由可信芯片引导,采用完整性度量、信任链传递等方式,层层保护终端安全,实现云终端的安全可信,保障电力云终端接入安全。

1 电力私有云及电力云终端

目前,国家电网公司正在大力建设电力信息化SG-ERP项目,涵盖人资、财务、物资、项目、设备等多个核心业务,以支撑智能电网发展。电力灾备系统已计划按照云计算的原理搭建。电力调度系统构建调度云,将调度资源放入云端,实现调度系统资源共享,提高电力调度的效率。电力用户可以采用移动终端,利用虚拟化技术接入电力私有云。电力云能够根据应用切换资源,根据需求访问计算机和储存资源,为电力系统各种复杂计算问题的解决提供新途径。这些都是电力私有云构建的基础。电力私有云的接入模型如图1所示。

电力云终端是一种应用于电力私有云的云终端形式。电力云终端应当是一种瘦客户端形式,也可以是嵌入式系统,用户通过电力云终端访问电力私有云系统,完成相应的工作。如员工通过电力云终端访问云端SG-ERP系统,实现物资、财务管理;电力巡检人员通过嵌入式的云终端设备远程访问巡检作业系统。电力云终端应支持通过多种通信方式与云端建立通信链接,支持的通信方式主要包括有线网络、无线网络以及有保护的无线公网方式。

2 电力云终端安全问题分析

从安全角度考虑,电力私有云由于将重要数据保存在云端,避免了重要数据被窃取。但是对于电力云终端而言,终端将面临多种安全性风险。这些安全性问题仍未有效解决,主要表现在以下4个方面。

1)云终端用户登录系统、访问数据的权限控制仍然依赖传统的口令鉴别机制,口令鉴别容易被攻击者破解,缺乏强有力的认证手段,导致终端可能被他人非法利用。

2)电力云终端接入网络的多样性加大了云端通信信息被恶意窃取的可能性,攻击者可能伪造、篡改关键信息,使得云端系统产生安全性风险。

3)接入网络与用户终端的异构性、云端系统的虚拟化、存储空间的复用以及资源共享等特性,降低了对用户行为的审查能力。

4)云端系统被攻击者非法接入、蓄意攻击,会严重威胁电力私有云的运行安全,影响电力系统安全稳定运行。

3 可信云终端

当前,传统的安全防御措施主是在终端安装杀毒软件、更新补丁,并不能完全阻止各类攻击。杀毒软件和补丁是在发现病毒攻击或者发现漏洞后的事后的防范措施,只能避免更多的终端被攻击。而针对电网系统的攻击往往带有很强的目的性,一次攻击就可能造成无法估计的损失,不会给系统修补漏洞的机会。如果攻击者在攻击开始就有目的性地对电力云终端进行入侵,则传统的安全防御措施很难阻止。

可信计算是一种利用软硬件结合的方式实现计算机和网络安全防护的方法。在云终端硬件主板上嵌入可信计算芯片,结合安全芯片软件协议栈等软件接口,架设新的安全体系结构。可信计算是一种主动安全防御技术,可以防止恶意程序攻击、恶意代码植入攻击、物理数据窃取、网络窃听及嗅探等多种攻击方式。将可信计算原理应用于电力云计算,研究可以应用于电力的可信云终端,可以解决电力云终端接入电力私有云的安全性问题,实现对攻击的主动防御。

3.1 可信电力私有云

电力私有云本质上是一种终端与服务器之间的连接方式,构建可信的电力私有云必须将可信网络和电力私有云结合起来,需要在云端层面建立策略执行服务器、策略决策服务器和元数据接入服务器,可信电力云接入模型如图2所示。

1)策略执行服务器:建立在云端接入点,实现对电力云终端接入电力私有云的接入控制,是否接入云终端依据策略决策服务器的判断。

2)策略决策服务器:决策申请接入的云终端如果是系统认可的可信云终端,则通知策略执行服务器接入云终端,否则通知策略执行服务器拒绝云终端接入。

3)元数据接入服务器:实现可信计算设备与现有系统的有效结合。

4)可信电力云终端:可信电力云终端实现对自身的安全性度量,将度量数据和自身的身份信息发送给策略决策服务器,由策略决策服务器判断可信电力云终端是否为系统认可的可信终端。构建可信电力私有云的关键在于可信电力云终端对自身的安全性度量,以及策略决策服务器对云终端安全性的判断。

3.2 可信电力云终端

可信电力云终端从硬件底层开始,增加可信芯片,对云终端进行完整性度量,并实现信任链的传递。对云终端的完整性度量从云终端启动的第一步开始,对每一步都进行度量,保证云终端按照预期的结果进行,可以防止云终端在运行过程中被恶意软件攻击。信任链传递则是保证每2次度量之间都相互关联,第2次度量是基于第1次度量安全确认后而进行的,确保了云终端启动和运行过程中的安全性始终如一。

可信云终端可以分为物理层、软件层和网络层3个层次,可信云终端的结构如图3所示。

1)在物理层增加可信芯片,通过本地总线接口与控制器连接。控制器可以直接控制可信芯片进行度量、加密等操作,由可信芯片在物理层提供安全可信支持,实现从硬件保证安全。

2)软件层提供可信微内核和可信软件栈。可信微内核实现操作系统内核的安全可信,可信软件栈为系统提供了度量应用程序的工具。系统可以通过可信软件栈调用可信芯片,实现对应用程序的度量。

3)网络层构建可信网络连接和可信云接入。可信网络连接为电力私有云建立可信接入网络环境,通过可信云接入,实现电力云终端安全可信接入电力私有云。

4 完整性度量

完整性度量是可信计算的一大特点。电力可信云终端的完整性度量是获取影响电力可信云终端可信度的特征值,并将这些值的摘要存入电力可信云终端的芯片中。计算某个模块的摘要,并将其与期望值进行比较,便可以维护该模块的完整性。

图4表示恶意程序对目标程序的攻击方法,恶意程序伪装成目标程序,对目标程序进程空间里的代码进行修改,嵌入恶意代码。因此,如果恶意程序攻击具有可信计算能力的电力可信云终端,终端的任意模块被恶意感染,通过比较摘要值的变化可以检测出被感染的模块,进而可以进行相应的处理,如使用备份的模块修复被感染的模块。

5 信任链传递

可信计算的基本思想是建立一个信任根,根的可信由物理安全和管理安全来确保。建立一条信任链,从信任根开始到引导程序、操作系统、应用和网络,逐级进行认证和信任,从而把这种信任扩展到整个计算机网络,以达到增强安全性和可靠性的目的,这就是可信计算的信任链传递机制(见图5)。可信根包括完整性度量可信根(Roots of Trust for Measurement,RTM)、完整性度量值存储可信根(Roots of Trust for Storage,RTS)和完整性度量值报告可信根(Roots of Trust for Reporting,RTR),其中RTM是完成完整性度量的计算引擎,通常由核心度量可信根所控制,它同时也是信任传递的起点;RTS是维护完整性摘要的值和摘要序列的计算引擎;RTR是一个能够可靠地报告其所持数据的计算引擎。这3个可信根都被认定为绝对可信。

系统的启动由可信根开始,可信芯片验证操作系统引导程序完整性,验证通过后启动引导程序;引导程序继续调用可信芯片的功能函数验证操作系统完整性。操作系统和应用程序之间、应用程序与应用程序之间、终端与主站之间按照安全规则,调用可信芯片的安全功能,实现各种可信应用。系统的运行流程保证了引导程序、操作系统、应用程序的可信启动及可信运行。

6 结语

文章提出了一种实现可信电力云终端的方法。通过分析普通云终端接入电力私有云存在的安全性风险,揭示需要利用安全工具加强云终端接入电力私有云的安全。通过在电力云终端嵌入可信计算芯片,利用完整性度量和信任链传递实现电力云终端的自身安全可信,通过构建可信电力私有云,实现可信电力云终端安全接入,为解决电力云计算终端安全接入提供一种思路。

参考文献

[1]辛耀中.电力信息化几个问题的探讨[J].电力信息化,2003,1(3):20–23.

[2]张吉生.云计算技术在电力系统中的应用[J].现代建筑电气,2011,4(2):8–11.ZHANG Ji-sheng.Application of cloud computing in electric power system[J].Moder Architecture Electric,2011,4(2):8–11.

[3]刘孜文,冯登国.基于可信计算的动态完整性度量架构[J].电子与信息学报,2010,32(4):875–879.LIU Zi-wen,FENG Deng-guo.TPM-Based dynamic integrity measurement architecture[J].Journal of Electronics&Information Technology,2010,32(4):875–879.

[4]张兴,黄强,沈昌祥.一种基于无干扰模型的信任链传递分析方法[J].计算机学报,2010,33(1):960–971.ZHANG Xing,HUANG Qiang,SHEN Chang-xiang.A formal method based on noninterference for analyzing trust chain of trusted computing platform[J].Chinese Journalof Computers,2010,33(1):960–971.

[5]GARFINKEL T,PFAFF B,CHOW J,et al.Terra:A Virtual Machinebased Platform for Trusted Computing[C]//SOSP’03.Bolton Landing,New York,USA,2003.

[6]石勇.Windows环境下信任链传递的研究与实现[D].北京:北京交通大学,2007.

[7]李晓勇,沈昌祥.一个动态可信应用传递模型的研究[J].华中科技大学学报(自然科学版),2005,33:310–312.LI Xiao-yong,SHEN Chang-xiang.Research to a dynamic application transitive trust model[J].Journal of Huazhong University of Science and Technology(Nature Science),2005,33:310–312.