论文部分内容阅读
为了解决PC机自身结构缺陷,改变传统安全技术(如防火墙、杀毒软件和入侵检测系统等)在应对如今与日俱增的信息安全问题情形下的被动局面,从芯片、硬件结构和操作系统等方面综合采取措施的可信计算技术应运而生。作为可信计算的核心技术之一,可信度量在信任链构建以及确保计算机系统按预期运行发挥着重要作用。目前,在系统启动过程中以及启动后确保系统资源静态完整性的静态度量仍是可信计算组织(TCG Trusted Computing Group)在其规范中以及当前可信计算产品中所采用的主要度量技术,但是,静态度量无法保障系统的运行时可信,可信计算的发展迫切需要深入研究可信性的动态度量理论与技术,通过动态度量解决可信计算平台操作系统层以上的信任链构建和维护。 我国的“可信计算标准工作组”在可信计算关键标准的研究制定中提出的可信计算平台架构,实现了主动的可信应用支撑和可信保障能力,为细粒度的行为度量构建了平台基础。本文以“行为可预期”为目标,研究可信计算平台可信性动态度量模型,基于软件行为学理论,建立度量粒度细化到一次行为引用的度量模型,运用并发理论,从可信度量的关键步骤“预期描述”、“证据获取”和“可信性验证”环节进行优化,缓解由度量粒度细化所引发的系统可用性降低。此外,采用交互式马尔可夫链模型,在功能度量基础上对模型进行扩展,增加性能特征指标度量,综合考虑功能和性能指标对系统进行度量,全面保障系统可信性和可靠性。最后,将本文提出的度量模型和方法布署于重要信息系统--国家税控收款机标准GB18240.7样机系统中,以确保税控系统的可信性,为系统安全提供保障。 本文的主要研究工作如下: 1.基于行为的可信动态度量模型与方法。基于软件行为学理论,研究细粒度动态度量。通过软件行为学的语法语义描述形式描述动态度量模型,即通过构建度量行为信息基描述行为预期,以扩展行为迹方法获取可信计算平台证据,在特定度量行为信息基下对平台证据实施可信性验证,实现“预期行为可描述,行为证据可采集,行为结果可评估”的度量目标,并给出相关定义和定理。该模型从理论上研究了细粒度动态度量,为基于行为的可信动态度量提供了理论依据。 2.基于并发理论的动态度量模型优化。度量粒度的细化导致的一个直接问题是度量空间将随软件规模的增大而急剧膨胀,从而引发系统的状态空间爆炸,导致度量模型的可用性面临严峻挑战。本文从可信度量关键步骤入手,提升度量效率,提高可信计算平台的可用性。 (1)约简行为预期的状态空间。基于并发理论,分别从主观和客观角度对行为系统的状态空间进行约简。主观方面,根据信任主观性抽象信任属性,约简对信任属性不可见(无关)的行为;客观方面,通过并发模型的主要分支--“事件结构”研究行为间关系,依据原因关系重构行为系统,合并重构后系统中出现的相同路径,实现行为系统的约简,并对主、客观两方面的约简效率进行分析。通过约简,有效地缓解了状态空间爆炸,并且不降低其可信性。相应地,平台证据通过同样方式予以简化。 (2)层次化行为可信性验证。可信验证通常采用依时序的顺次验证方式,本文将这种顺次验证方式转化为层次化验证,层次化验证改变了始终在最低抽象层关注行为细节的验证方式,在行为细化的过程中可因非预期的出现提前终止验证,提高验证效率,文中给出并论证了验证方式转化的充要条件。 3.基于交互式马尔可夫链的功能特征与性能特征相结合的动态度量模型。为确保可信计算平台的可用性,动态度量还需考虑系统的可靠性。随着计算机系统复杂程度不断增加,可信功能度量已不能全面描述和反映系统的可靠性,系统可靠性指标还需由时间特征、概率特征等性能特征指标体现。本文基于交互式马尔可夫链(IMC)在功能模型上对性能特征进行正交化扩展,增加性能特征指标描述和度量,扩展过程中,功能度量沿用基于行为的可信动态度量模型,性能特征指标通过并发理论的性能模型提取,并通过IMC实现两者的正交结合。基于IMC的度量模型实现功能与性能相结合的可信性验证,更全面地确保系统可信。 4.行为可信动态度量模型在国家税控系统中的应用。为了对商业销项税进行管理,掌控销项数据,国家先后出台了税控收款机标准GB18240.1~GB18240.6等六个部分,明确了以票控税的基本原则,GB18240.7针对目前作为重要商业模式的基于网络环境的多机销售系统进行了扩展。作为国家掌控销项数据的重要手段,税控系统对安全性、可靠性提出了较高要求。本文将所研究的动态度量模型布署于GB18240.7样机系统,设计基于可信计算技术的税控系统,给出实现方法,并论证基于行为的可信度量在确保税源数据的有效获取,税控事务的完整性,以及对税控收款机侵入行为的有效对抗方面所发挥的重要作用:通过行为约简将作为度量对象的税控功能行为从业务行为中分离,减小度量空间;通过基于IMC的度量确保税控系统符合GB18240.7的性能要求,保障可靠性,同时在性能指标异常时,通过度量模型进一步定位了异常点,以确定异常行为,有效地防止非可信行为对系统的不良影响。