万方数据可信安全体系架构原理与实践硼．陬喳酌皇宝技胗τ尚虐踩谌莺驮李毓才」瘸细钱钢牟李晓勇啦啃畔⒓际踔行谋本尚偶扑阕橹疶、富士通美国实验室暇┦Ψ洞笱Ы泄笛槭冶本本┙煌ù笱П本伎葡低中国缂际跤邢薰颈本摘要：本文介绍了可信安全理念和应用设计示例。可信安全简要概括为通过结构化的可信计算基、可信安全工程化等可信安全机制保证系统安全机制具有期望的功能以及来源的真实性、机制自身的不可旁路和防篡改能力。结构化可信计算基也增加了系统安全功能机制形式化描述的可行性从而提高人们对系统安全的信心。关键词：可信安全峁够疶尚疟Ｖせ苶可信安全工程化近年来保证信息安全的相关领域研究不断深入但信息安全所面临的形势依然日益严峻。既有的潜在威胁没有根本性的改变新的安全威胁不断增加针对信息及信息系统的攻击方式日益专业化和隐蔽化攻击手段更具针对性和危害性一些深层次的攻击攻击芄淮酉低车撞惚芸已有的安全机制对用户信息和信息系统进行破坏甚至直接颠覆和破坏系统安全机制本身。现有的信息安全防范体系远没有达到人们预期的水平。导致上述信息安全现状的根本原因在于以往的研究和产品实现中往往只强调安全功能的多样性和安全保障强度而不能保证安全功能的总足有效作用甚至安全机制本身被篡改或破坏。尽管有关安全准则对信息系统的安全机制渤可佶计算基作了明确要求围绕目尚疟Ｖの侍猓呀卸喾教剿鳎钦饣怪煌Ａ粼某些局部环节和领域上在整体性和综合性方面还存在欠缺。一些研究尝试通过减小拇牍婺＃谷嗣怯锌赡对它们进行完整的测试和分析从而提高其可信程度。比如通过安全通道技术将胫姓己艽蟊壤纳璞盖糠ㄍ缧檎从刑蕹觯荰功能多样性特性导致了对氲牟眉醪豢赡艽锏胶芾硐氲某潭取可信保证的另一个重要研究方向是可信计算平台相关技术或国内的可信计算联盟等试图以密码技术为基础通过受物理保护的可信密码模块及相关软件栈为计算平台提供身份和状态可信保证从而加强系统的安全保证能力。比如可信计算的一个重要内容是可信传递它通过行为预期对系统每一个代码执行进行控制从而保证系统运行的可信。但是可信计算技术不能改善系统安全机制的来源和功能可信问题一旦恶意代码通过各种方式进入信任链那么系统的安全问题还会继续存在。上述情况表明在信息系统越来越复杂、功能越来越多样化、产品和技术来源越来越社会性的环境下单一或局部的可信保证措施都不能根本提高目尚哦取１匦朐诩忧踩üδ堋⑻岣逿安全强度的同时还要从慕构上提高其可信保证能力并结合可信技术、管理和过程控制措施等多个方面满足目尚疟ＶひG螅═的来源真实性、功能正确性和可靠性、运行完备性等等使信息系统能够真正为人们所信赖。可信安全侵竿ü浞挚尚爬档男畔全功能机制使系统安全保护能力达到更高的信任度。可信安全的目标是为信息系统的安全功能和安全保证提供整体解决方案从根本上提高系统的安全保护能力。可信安全可以认为是可以信赖的安全。可信安全的定义有以下方面含义：①具有期望的安全功能、能保证其安全策略有效正确地执行并且来源可信；⑦能够正确度量系统中的用户、平台和环境状态跿本身不会被篡改。可信安全体系是基于可信的定义和可信计算基的定义导万方数据隅安呈技术与应用．结构化可信安全的保证能力牟豢膳月沸院头来鄹哪芰男问交枋可信安全工程化出的。它包括结构化的⒒诿苈氲目尚疟Ｖせ坪涂信安全工程化的过程控制机制等方面的内容。可信安全不等于可信计算技术但是可信计算技术可以作为可信安全的一个技术基础。可信安全是可信与安全往技术和管理等综合层面的融合体使得系统弑敢韵驴尚疟Ｖつ芰Γ孩俦旧必须能够抵制攻击、防止被篡改；②必须总足能够发挥其设计安全功能郾匦胱愎恍。芄痪闷鸩馐院头治觥鉴于业内在墓δ芗盎频睦砺勰Ｐ头矫娴难芯恳经取得了丰富的成果本文在以后部分将重点放在氖现结构与可信保证层面。可信安全的一个核心内容是结构化Ｓ捎赥的来源和功能表现为多样化特征因此对拇牍婺Ｄ以进行有效裁减只能通过结构化的猅可信提供保证支持。结构化那疤崾荰模块化。橘皮书指出该实现良好的内部模块化结构并且这些模块之间有较高的独立性。而一般来讲？橹溆殖氏忠恢钟行虻牟愦化关系即结构比如操作系统、中间件、应用系统中的模块之间的关系就表现为这种内在的有序层次化关系。认知了恼庵植愦谓峁梗L岣逿的可信程度必须加强其内部机制与功能以便能够鉴别这砦