張欣 婁健

摘要：針對(duì)目前Web應(yīng)用中存在的大量安全威脅，該文給出了一種使用可信計(jì)算技術(shù)保障Web服務(wù)器內(nèi)容安全、可信的模型。該模型使用TPM（TrustedPlatformModule）作為系統(tǒng)的可信根，通過TPM內(nèi)部的散列和加/解密部件實(shí)現(xiàn)對(duì)Web服務(wù)器內(nèi)容完整性、機(jī)密性、隱私性的保護(hù)，從而保證Web應(yīng)用的安全、可信。

關(guān)鍵詞：可信計(jì)算；TCG；TPM；Web服務(wù)器

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044（2012）36-8634-04

隨著互聯(lián)網(wǎng)的快速發(fā)展，Web服務(wù)以其特有的高效性、易用性、交互性和及時(shí)性引發(fā)了廣泛關(guān)注，各行各業(yè)均出現(xiàn)了大量的Web應(yīng)用，如郵件處理、數(shù)據(jù)存儲(chǔ)、在線辦公等。特別是近年來云計(jì)算概念的出現(xiàn)與發(fā)展，更使得Web應(yīng)用無所不在，成為人們生活中不可缺少的一部分。伴隨著Web服務(wù)作為基礎(chǔ)服務(wù)不斷滲透到應(yīng)用的各個(gè)角落，Web應(yīng)用和Web服務(wù)器的安全卻不容樂觀，網(wǎng)絡(luò)攻擊也大量轉(zhuǎn)向Web應(yīng)用層面。根據(jù)Gartner的最新調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，三分之二的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊。黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。然而現(xiàn)實(shí)確是，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒有從真正意義上保證Web應(yīng)用本身的安全，給黑客以可乘之機(jī)。2011年底，國(guó)內(nèi)互聯(lián)網(wǎng)業(yè)界爆發(fā)的CSDN等眾多網(wǎng)站“泄密門”系列事件，其實(shí)只是掀開WEB應(yīng)用威脅的冰山之一角。

當(dāng)今世界，因特網(wǎng)已經(jīng)成為一個(gè)非常重要的基礎(chǔ)平臺(tái)，很多企業(yè)都將應(yīng)用架設(shè)在Web平臺(tái)上，為客戶提供更為方便、快捷的服務(wù)支持。Web應(yīng)用防護(hù)和數(shù)據(jù)安全已經(jīng)成為企事業(yè)機(jī)構(gòu)信息安全綜合體系中的核心與重點(diǎn)。傳統(tǒng)防火墻不能有效阻止應(yīng)用層的網(wǎng)絡(luò)攻擊，這就需要一個(gè)能提供面向應(yīng)用層的網(wǎng)絡(luò)防護(hù)系統(tǒng)來保證Web應(yīng)用及Web服務(wù)器的安全。

該文基于可信計(jì)算組織（TrustedComputingGroup，TCG）提出的可信平臺(tái)模塊（TrustedPlatformMoude，TPM），給出了一個(gè)可信Web服務(wù)器的模型，該模型使用可信計(jì)算技術(shù)來保障Web應(yīng)用和Web服務(wù)器自身的安全。

1相關(guān)工作

目前，大部分Web應(yīng)用防護(hù)及Web服務(wù)器數(shù)據(jù)安全依然依賴于傳統(tǒng)的網(wǎng)絡(luò)安全手段，如防火墻、漏洞掃描工具、加密算法等。傳統(tǒng)的安全措施并不能保證Web應(yīng)用的安全，如：防火墻可以阻止對(duì)重要端口的訪問，但是80和443端口始終要開放，無法判斷這兩個(gè)端口中通訊數(shù)據(jù)是善意的訪問還是惡意的攻擊；漏洞掃描工具僅僅用來分析網(wǎng)絡(luò)層面的漏洞，不了解應(yīng)用本身，所以不能徹底提高Web應(yīng)用安全性；加密算法可以加密數(shù)據(jù)，但是它僅僅保護(hù)了在傳輸過程中數(shù)據(jù)的安全性，并沒有保護(hù)Web應(yīng)用本身；只要訪問可以順利通過企業(yè)的防火墻，Web應(yīng)用就毫無保留的呈現(xiàn)在用戶面前。

但傳統(tǒng)的網(wǎng)絡(luò)安全手段重在保障網(wǎng)絡(luò)傳輸?shù)陌踩头乐狗欠ㄔL問，并不能根據(jù)Web應(yīng)用本身的特點(diǎn)，建立完整的安全保障體系。只有加強(qiáng)Web應(yīng)用自身的安全，才是真正的Web應(yīng)用安全解決之道。

為解決上述問題，Web應(yīng)用防火墻（WebApplicationFirewall，WAF）在這種形勢(shì)下應(yīng)運(yùn)而生，成為防護(hù)Web應(yīng)用層網(wǎng)絡(luò)攻擊有力的武器。WAF也稱為網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)，按照國(guó)際上公認(rèn)的定義，WAF是指通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。作為一種專業(yè)的Web應(yīng)用安全防護(hù)工具。WAF能應(yīng)對(duì)Web應(yīng)用中的各類安全威脅，如SQL注入、跨站腳本攻擊（XSS）、跨站請(qǐng)求偽造攻擊（CSRF）、cookie篡改以及應(yīng)用層DDoS等，并且能有效解決網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問題，充分保障Web應(yīng)用的高可用性和可靠性。Web應(yīng)用防火墻與傳統(tǒng)防火墻不同，它工作在應(yīng)用層，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，它可以解決傳統(tǒng)防火墻設(shè)備束手無策的Web應(yīng)用安全問題。

可信計(jì)算技術(shù)作為一種新型信息安全技術(shù)，已經(jīng)成為信息安全領(lǐng)域的研究熱點(diǎn)?？尚庞?jì)算組織（TrustedComputingGroup，TCG）提出了可信計(jì)算機(jī)平臺(tái)的概念，并把這一概念具體化到服務(wù)器、微機(jī)、PDA和手機(jī)，而且具體給出了可信計(jì)算平臺(tái)的體系結(jié)構(gòu)和技術(shù)路線。可信計(jì)算的基本思想是：首先構(gòu)建一個(gè)信任根，再建立一條信任鏈，從信任根開始到硬件平臺(tái)，到操作系統(tǒng)，再到應(yīng)用，一級(jí)認(rèn)證一級(jí)，一級(jí)信任一級(jí)，把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)，從而確保整個(gè)計(jì)算機(jī)系統(tǒng)的可信。一個(gè)可信計(jì)算機(jī)系統(tǒng)由可信根、可信硬件平臺(tái)、可信操作系統(tǒng)和可信應(yīng)用系統(tǒng)組成。

該文給出了一個(gè)基于可信計(jì)算機(jī)系統(tǒng)的Web應(yīng)用防護(hù)和Web服務(wù)器數(shù)據(jù)安全的模型，該模型重復(fù)利用可信計(jì)算技術(shù)的特點(diǎn)，不單可以實(shí)現(xiàn)WAF的功能，而且還能提供諸如關(guān)鍵數(shù)據(jù)恢復(fù)、隱私數(shù)據(jù)平臺(tái)綁定等功能，進(jìn)一步保障了Web應(yīng)用及Web服務(wù)器的安全。

2可信Web服務(wù)器設(shè)計(jì)

TPM中主要部件介紹如下：

1）非易失存儲(chǔ)器：主要用于密鑰的存儲(chǔ)，如存儲(chǔ)根密鑰SRK、證實(shí)密鑰EK及為用戶產(chǎn)生的各種其他密鑰。這部分存儲(chǔ)器與計(jì)算機(jī)系統(tǒng)存儲(chǔ)物理隔離，密鑰不會(huì)以明文方式離開TPM，從而保證密鑰不被泄露。

2）平臺(tái)配置寄存器（PCR）：用于可信平臺(tái)的配置度量，指示相關(guān)系統(tǒng)BIOS、操作系統(tǒng)及應(yīng)用程序當(dāng)前運(yùn)行的完整性。每個(gè)TPM至少有16個(gè)PCR，TCG給出了部分PCR的功能和使用的協(xié)議，其余的可被用戶使用。

3）SHA-1引擎：實(shí)現(xiàn)安全的哈希算法，用于完整性檢查、數(shù)字簽名等目的。

4）RSA引擎：支持TPM中不同類型RSA密鑰操作，如加/解密、數(shù)字簽名等。

5）密鑰生成：提供標(biāo)準(zhǔn)的RSA算法基礎(chǔ)，用于創(chuàng)建存儲(chǔ)密鑰和簽名密鑰，是最常用的組件之一。

Web可信引擎（WTE）是實(shí)現(xiàn)可信Web服務(wù)器的核心部件?？尚乓婊赥PM功能為Web應(yīng)用提供網(wǎng)頁(yè)防篡改、關(guān)鍵數(shù)據(jù)鏡像、隱私數(shù)據(jù)保護(hù)等可信服務(wù)?？尚乓娴膶?shí)現(xiàn)基于Web服務(wù)器擴(kuò)展模塊，現(xiàn)有的Web服務(wù)器大多可通過擴(kuò)展模塊（如Apache支持的mod模塊）進(jìn)行功能擴(kuò)展，可信引擎以Web服務(wù)器擴(kuò)展模塊形式存在，通過TSS訪問TPM芯片，實(shí)現(xiàn)對(duì)Web應(yīng)用的可信支持。

可信Web服務(wù)器從以下兩個(gè)方面保證Web服務(wù)器及Web應(yīng)用的安全。

1）文檔防篡改

該功能保證Web應(yīng)用的HTML、Javascript、CSS等文檔的完整性，不被攻擊者非法篡改?？尚乓鎃TE利用TPM中的密鑰生成、加/解算法等部件對(duì)相應(yīng)文檔做散列、簽名處理，并將處理結(jié)果存儲(chǔ)。每次用戶請(qǐng)求頁(yè)面時(shí)，可信引擎會(huì)將現(xiàn)有頁(yè)面的散列、簽名值與存儲(chǔ)的散列、值進(jìn)行比較，如相同則頁(yè)面未被篡改，不同則對(duì)用戶發(fā)出警報(bào)。

需要注意的是上述過程在TPM內(nèi)部實(shí)現(xiàn)，而不是在系統(tǒng)內(nèi)存中實(shí)現(xiàn)，私鑰SK始終沒有離開TPM。此外，由于TPM的計(jì)算能力有限，為保證系統(tǒng)效率，并沒有調(diào)用TPM的SHA-1部件實(shí)現(xiàn)散列計(jì)算，而是由系統(tǒng)CPU完成的。

當(dāng)被保護(hù)文檔發(fā)生授權(quán)更改時(shí)，需對(duì)其重新進(jìn)行散列、簽名處理，過程與生成簽名類似，不再贅述。

盡管其他安全系統(tǒng)（如Web應(yīng)用防火墻WAF）也可實(shí)現(xiàn)類似功能，但利用TPM可更好的保證Web應(yīng)用可信，因?yàn)椋?/p>

簽名計(jì)算和驗(yàn)證過程在隔離環(huán)境（TPM芯片）中進(jìn)行，而不是在系統(tǒng)內(nèi)存中，這樣可保證計(jì)算過程可信，不被惡意程序干擾；

②用于簽名的私鑰存儲(chǔ)在TPM內(nèi)部的非易失存儲(chǔ)器里，不以明文方式出現(xiàn)在TPM外部，非授權(quán)用戶無法獲得該私鑰，杜絕惡意程序的非法簽名操作。

2）隱私數(shù)據(jù)保護(hù)

3系統(tǒng)實(shí)現(xiàn)

系統(tǒng)實(shí)現(xiàn)的整體構(gòu)建在Debian6.0操作系統(tǒng)和ApacheHTTPServer服務(wù)器平臺(tái)，可信引擎基于Apache模塊開發(fā)技術(shù)實(shí)現(xiàn)，以Apache標(biāo)準(zhǔn)模塊形式存在。

出于研究和實(shí)驗(yàn)?zāi)康目紤]，TPM部分沒有采用實(shí)際的TPM芯片產(chǎn)品，而是使用的TPMEmulator軟件TPM模擬器。TPMEmulator可提供與實(shí)際TPM芯片相同的操作方式和接口，支持包括Linux、MacOSX和Windows等多種操作系統(tǒng)，并且與絕大部分相關(guān)的軟件包和接口兼容。

可信計(jì)算平臺(tái)軟件棧TSS（TCGSoftwareStack）采用的是TrouSerS（Theopen-sourceTCGSoftwareStack）。TrouSerS是由IBM開發(fā)的TSS協(xié)議棧軟件，符合TCG制定的TSS和TPM協(xié)議規(guī)范。

系統(tǒng)的實(shí)現(xiàn)具有通用性，其他Web服務(wù)器平臺(tái)，如IIS，也可使用類似的方式實(shí)現(xiàn)可信引擎的功能。

4結(jié)論

該文引入可信計(jì)算技術(shù)來保證Web服務(wù)器及Web應(yīng)用的安全，給出了一個(gè)基于TPM的可信Web服務(wù)器系統(tǒng)模型并進(jìn)行了模擬實(shí)現(xiàn)。系統(tǒng)采用TPM作為信任根，使得Web服務(wù)器具有了可信的硬件平臺(tái)，實(shí)現(xiàn)了關(guān)鍵數(shù)據(jù)和運(yùn)算過程的物理隔離，充分保證了Web服務(wù)器和Web應(yīng)用的安全。下一步工作是研究可信Web服務(wù)器安全功能的進(jìn)一步擴(kuò)充及可信計(jì)算技術(shù)在云計(jì)算中的應(yīng)用。

參考文獻(xiàn)：

[1]沈昌祥，張煥國(guó)，王懷民，等.可信計(jì)算的研究與發(fā)展[J].中國(guó)科學(xué)：信息科學(xué)，2010，40（2）：139-166.

[2]TCGArchitectureOverview，Version1.4[EB/OL].http：//www.trustedcomputinggroup.org/resources/tcg_architecture_overview_version_14.

[3]TrustedComputingGroup.TPMSpecification（Version1.2）[EB/OL].http：//www.trustedcomputinggroup.org/specs/TPM/.

[4]Software-basedTPMEmulator[EB/OL].http：//tpm-emulator.berlios.de/.

[5]ApacheHTTPServer[EB/OL].http：//httpd.apache.org/.

[6]TrouSerS-Theopen-sourceTCGSoftwareStack[EB/OL].http：//trousers.sourceforge.net/.