杰赛:可信计算模块解决云终端安全问题

终端是用户接触云,使用云的第一道门户,终端的安全显得尤为重要。为让用户放心使用云服务,所以需要采用更多的手段来促进终端的安全。但随着云计算技术的不断发展,大家更关心云安全又该怎样变化?它未来的核心技术会是什么?

点击进入DOIT直播专题

北京时间2013年6月7日,在云终端与移动互联网专题论坛上,来自广州杰赛科技股份有限公司副总经理刘绪伟分享了关于云终端的安全问题以及解决方案。

刘绪伟介绍说,可信计算是针对目前计算系统不能从根本上解决安全问题而提出的,通过在计算系统中集成专用的硬件模块(TPM)建立信任源点,利用密码机制建立信任链,构建可依赖的计算环境,从而使从根本上解决计算安全问题成为一种可能。

广州杰赛科技股份有限公司副总经理刘绪伟

广州杰赛结合云终端与TPM的特性开发基于云终端的可信计算模块,刘绪伟向大家展示了可信计算模块在TPM上解决的几个问题。

CTPM解决问题一:增强TPM的主动控制力

由于通用的PC处理器具有较强的处理、调度能力,传统的TPM作为协处理器即可适应其安全需求,但是云终端的处理器的能力与PC机相比弱了很多,难以控制整个信任链的度量与扩展过程。

与此同时,云终端具有软硬件可裁性,在系统研发和使用飞过程中,根据实际环境对其上的软件、硬件进行改动去除其中部分不需要的模块或增加一些必要模块。这些改动都需要经过可信云终端平台的完整性度量,无疑加重了处理能力本就弱的云终端处理器的负担。CTPM具有良好的控制能力,能够控制嵌入式平台的信任链扩展过程,将会对可信云终端的效率和灵活性起到较大帮助。

CTPM解决问题二:解决密码能力不足问题

TCG规范在TPM的结构中没有明确设置对称密码。TCG在规范中一方面说允许采访对称密码,另一方面又多次强调淡化对称密码。

众所周知,公钥密码和对称密码各有自己的缺点,在应用中同时采用这两种密码互相配合,才会发挥更好的安全作用。而TCG在TPM结构中只设置对称密码引擎吗,但在密钥设置时却设置了对称密码密钥。因此,用户只能采用软件方式实现对称密码,这必然导致对称密码的加解速度不高。

另外,TPM密钥各种类繁多,管理复杂。TCG采用如此复杂的密钥的主要是在TPM中采用了公钥密码RSA,而没有采用对称密码,使得采用公钥密码和对称密码结构很容易解决问题,在只采用公钥密码的情况下变得不好解决。

CTPM解决问题三:解决硬件安全防护问题

现有可信计算芯片的一个重大缺陷是硬件的安全防护能力弱。2010年,世界上公认安全强度高的英飞凌TPM芯片,被物理穷搜对密码算法,从理论上攻破芯片。因此,必须要解决可信平台模块的安全防护问题,设计出具备独一性、可靠性、安全性和高效性的可信平台模块。

杰赛将通过一种完全对称的结构设计双仲裁起物理不可克隆模块(DAPUF),借助对称结构差分有效降低噪声,通过对称结构定位重建出错的位置,从而在满足密码的可靠性要求的前提下有效的降低纠正重建出错的复杂度。对称分差也会有效的改善DAPUF应答的独特性,有效地改善安全性和实现效率。

最后,针对云安全问题,刘旭伟回答说,杰赛提出了200多条设计要求,以此来保障终端系统,用户数据,通讯协议等安全。但是绝对的安全是不存在的,我们尽量要做的是提供尽可能多的防护手段,加固我们的系统,让用户更加放心。