安全之心：一文讀懂可信計算

可信計算

TC （Trusted Computing）

業界新寵，越來越被高頻提到

本質是

創造可信執行環境的晶片級安全防護方案

然而，江湖流傳 TA 的傳說

卻鮮少有人見過真身

阿裡雲作為亞太區最早布局可信計算的雲廠商

今天我們一起來聊聊 TA 是誰？

一、環境可信

“把大象放入冰箱需要幾步”           

如何通過“信任鍊”建立可信執行環境

可以分為三步來了解它

• 可信根
• 可信鍊
• 度量/驗證

第一步

可信根：晶片級、底層、不可篡改

晶片級硬體的不可篡改性

決定了其可以作為最高等級安全的基礎

再将硬體層安全虛拟映透傳整個目标環境

形成軟硬結合的安全體系

一台電腦元件來自四面八方

包括他的主機闆晶片

當你打開電腦的時候

可能同時喚醒了隐藏在啟動鍊路上的後門

Rootkit/Bootkit

可信硬體的插入

病毒無法篡改系統原設計

快速發現Rootkit/Bootkit并及時處理

對密鑰等私密資料進行實體保護

參與建立并保障可信鍊的傳遞

對可信晶片進行安全調用

面對深度隐藏且難以察覺的威脅

需要來自底層的保護

保障上層的不可篡改性

此處

引入一個比喻來加深一下了解

勞工把半成品交給下一個勞工

為了工作順利完成

首先需要保證

工作鍊條是在可信的前提下推進着……

方法一

每個勞工在交出去之前

檢查下一個勞工是否為内部人士

注：第一個勞工很重要

如果其身份造假

後面的工作都是錯誤的

此時第一位勞工就是信任根

其參與建立并決定可信鍊的傳遞

方法二

流水線保持流動

每一次傳遞都記錄下來

注：每次傳遞的記錄本身很重要

保證這個記錄不被篡改

記錄就像密鑰一樣存儲在可信根

把 TA 作為整個安全的可信起點

對不可控的軟硬體實體實作管理

那麼

問題來了

如何完成從可信起點到應用、到網絡的透傳？

兩步并作一步：

信任鍊與驗證/度量結果

說好的三步變兩步

此處我失去了一點你的信任

此處，

我們又故作神秘的引入一個曆史故事

戰國“策”

秦攻打趙

魏信陵君希望魏王出兵營救

信陵君

通過通關密文進了魏王殿

通過使者找到了魏王妃

通過魏王妃拿到兵符

（一半的玉佩）

通過兵符配對

（與将軍手裡的兵符契合成功）

曆史上的信陵君成功調用兵力

這是一個中性的信任關系的傳遞

因為其未經驗證

不可信的人完成了整體關系的傳遞

如果

關系鍊起點和傳遞過程

經過驗證與及時異常行為管理

兵符并不會這麼輕易被拿走

是以

驗證/度量結果的重要性不容忽視

同樣是這個故事

我們換成當代可信環境下驗證思考

會有不同的結局

當信陵君進魏王殿

守衛發現其并非白名單成員

再比如

信陵君見到魏王妃

王妃驗證目的：

你要偷兵符

上報魏王

或者

最後就算信陵君拿到兵符

魏王有及時發現兵符丢失的敏感機制

并及時甚至提前通報将軍

“誰拿着兵符來找你就殺了他”

這是有可信根參與的

經過路徑成本比對的可信鍊

可信計算的核心功能

是基于可信硬體建立主動免疫機制

核心流程是可信根通過可信鍊連結各應用

過程經過路徑成本比對

将信任關系逐漸擴充至整機乃至網絡

二、隐世高手

可信計算神龍見首不見尾？           

曆史上真實發生的“竊符救趙”

更貼近傳統IT架構下安全産品和服務的部署

想要實作可信計算環境

并不容易

一個相對重要的計算環境

為了保障處于可信環境

至少需要面對以下問題

• 懂晶片
• 懂硬體
• 懂固件
• 懂虛拟技術
• 懂可信鍊
• 懂軟硬結合
• 懂……

一邊是啥也不懂很難

一邊是啥都懂了的阿裡雲

現在

阿裡雲“拿捏住了”這個點：

可信内置在基礎設施中

雲管理實體機運作環境可信

阿裡雲可以按需對雲虛拟伺服器提供可信服務

BIOS、引導程式、作業系統核心、

應用程式加載等進行度量/驗證

不需要使用者采購元件

1、系統可信：

雲上實體機和虛拟機運作環境

即作業系統的可信

2、應用可信：

雲上管理應用和使用者側應用可信

三、安全可信

雲環境比以往任何計算環境
都需要安全可信           

場景一

資料上雲

資料不在自己眼前

而在遠端存儲

使用者需要确認遠端的存儲環境是否可信

可信前：

存儲之後

東西被黑了

可信後：

遠端證明

可以遠端确認儲存/計算環境可行性

場景二

APT等高等級攻擊威脅不斷更新

黑客瘋狂攻擊

手段變幻莫測

驚叫“這是什麼新手段”

單點防禦傳統安全思路照搬到雲環境

必然面臨水土不服的窘境

可信計算方案

則是将防護前置

這也是更有前瞻性的安全技術

任你千變萬化，我以不變應萬變

可信雲服務方案示意圖

啟動時

通過可信啟動機制

對系統程式和引導程式等

進行可信驗證以及控制

運作時

通過貫穿固件和軟體各層面的可信軟體基

對軟體執行的關鍵環節

例如程序啟動、檔案通路和網絡通路等

進行攔截和判定

審計上報

所有報警均上報雲運維監控平台

或使用者側的雲安全中心

切勿浮沙築高台

将安全建立在硬體的不可篡改性

與密碼學的理論安全性之上

關于可信計算的實際應用：

構築企業級可信計算環境

遠端證明：

基于數字簽名安全上報度量結果

可靠證明系統啟動與運作狀态

動度量的狀态作為遠端證明依據

零信任密鑰管理與密碼算法應用：

vTPM/vTCM（虛拟可信子產品）

提供完備的密鑰管理與密碼算法功能

是以依托vTPM

ECS環境可在啟動時

第一時間可靠的建立密鑰、申請證書

并執行數字簽名與加解密等運算

最後

我們不妨再做一個令人興奮的假設：

此時你擁有500萬流動資金

在開心之餘

這筆錢的安全問題也給你帶來了幸福的煩惱

這筆财富放在哪？

家裡和銀行怎麼選？

選擇

銀行中專業的保險箱

還是

家裡普通的櫃子

相當于

雲上網絡、主機等各方面系統化的

安全防護機制

vs

個人安裝的防毒軟體

選擇銀行卡

還是現金

雲上專業完善的資料安全機制

個人簡陋單一的密碼機制

而且

服務方面銀行專職的保安與櫃員

對比

家裡普通家庭成員

雲上态勢感覺服務與專業安全專家運

個人非專業的安全知識

綜上

多數人都會選擇把這筆巨款存放銀行

這就好比傳統架構與雲上架構對比

從平台、資料、服務三個次元

為雲上客戶提供可信與安全

為雲上使用者提供硬體級安全計算環境

阿裡雲将繼續

不斷探索安全的更高峰！