摘要:可信計(jì)算將對(duì)數(shù)字取證有著深刻的意義。本文首先介紹了可信環(huán)境的安全特性�,并分析了其有利于取證的特點(diǎn)和不足,提出一個(gè)擴(kuò)展的可信計(jì)算取證模型���,應(yīng)用可信計(jì)算技術(shù)和分布式技術(shù)擴(kuò)展了可信計(jì)算取證服務(wù)功能����。
一、引言
數(shù)字取證和可信計(jì)算技術(shù)都是信息安全領(lǐng)域重要內(nèi)容���。數(shù)字取證是相對(duì)較新的學(xué)科,指的是采用科學(xué)上推導(dǎo)及證明的方法,對(duì)來(lái)自數(shù)字源的數(shù)字證據(jù)進(jìn)行保護(hù)��、收集、驗(yàn)證�����、識(shí)別��、分析��、解釋、歸檔以及出示。經(jīng)過(guò)這些年的發(fā)展����,已經(jīng)在理論和實(shí)踐上取得了不少的成績(jī)��。但隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的迅速發(fā)展����,計(jì)算機(jī)取證還必須應(yīng)對(duì)新的挑戰(zhàn)��?����?尚庞?jì)算技術(shù)則為一類解決計(jì)算機(jī)安全問(wèn)題的計(jì)算�,是對(duì)多類傳統(tǒng)計(jì)算的綜合。近年來(lái)��,可信計(jì)算技術(shù)研究取得了較大發(fā)展�,相關(guān)技術(shù)的產(chǎn)品化日益加快,如Intel正在開發(fā)LaGrande Technology(LT)芯片��、Microsoft發(fā)布Windows Vista新型可信操作系統(tǒng)以及國(guó)內(nèi)聯(lián)想等公司于06年根據(jù)TCG1.2規(guī)范開發(fā)出新型芯片等��。然而�,可信技術(shù)是一把雙刃劍?;诳尚偶夹g(shù)的硬件和軟件的研究及其大規(guī)模的應(yīng)用,必將帶來(lái)新的安全問(wèn)題���,如利用可信計(jì)算技術(shù)從事數(shù)字犯罪等�����。因此研究可信計(jì)算環(huán)境中的數(shù)字取證技術(shù)具有重要的現(xiàn)實(shí)意義����。
二、可信計(jì)算對(duì)數(shù)字取證的影響
1.可信計(jì)算技術(shù)概述
可信計(jì)算之所以能夠引起重視����,根本原因在于計(jì)算環(huán)境中日益復(fù)雜的安全威脅,無(wú)論從構(gòu)架還是從強(qiáng)度上來(lái)看���,傳統(tǒng)的安全保護(hù)方法已經(jīng)鞭長(zhǎng)莫及�����。目前業(yè)內(nèi)的安全解決方案往往側(cè)重于先防外后防內(nèi)�����、先防服務(wù)設(shè)施后防終端設(shè)施��,而可信計(jì)算則反其道而行之��,首先保證所有終端的安全性��,即通過(guò)確保安全的組件來(lái)構(gòu)建更大的安全系統(tǒng)�?����?尚庞?jì)算平臺(tái)是在更底層進(jìn)行更高級(jí)別的防護(hù)��,通過(guò)可信賴的硬件對(duì)軟件層次的攻擊進(jìn)行保護(hù)���,這樣可以使用戶獲得更強(qiáng)的保護(hù)能力和選擇空間��。而傳統(tǒng)的安全保護(hù)基本是以軟件為基礎(chǔ)附以密碼技術(shù)��,事實(shí)證明這種保護(hù)并不是非??煽慷掖嬖谥淮鄹牡目赡苄?����??尚庞?jì)算平臺(tái)將加密、解密��、認(rèn)證等基本的安全功能寫入硬件芯片,并確保芯片中的信息不能在外部通過(guò)軟件隨意獲取�����。在這種情況下除非將硬件芯片從系統(tǒng)中移除��,否則理論上是無(wú)法突破這層防護(hù)的���,這也是構(gòu)建可信的計(jì)算機(jī)設(shè)備以及建立可信的計(jì)算機(jī)通信的基礎(chǔ)����。在硬件層執(zhí)行保護(hù)的另外一個(gè)優(yōu)勢(shì)是能夠獲得獨(dú)立于軟件環(huán)境的安全保護(hù)���,這使得可以設(shè)計(jì)出具有更高安全限制能力的硬件系統(tǒng)��。通過(guò)系統(tǒng)硬件執(zhí)行相對(duì)基礎(chǔ)和底層的安全功能��,能阻止一些軟件層的非法訪問(wèn)和惡意操作�����,同時(shí)這也為生產(chǎn)更安全的軟件系統(tǒng)提供了支持��。
綜合來(lái)看�����,可信計(jì)算平臺(tái)的應(yīng)用可以為建設(shè)安全體系提供更加完善的底層基礎(chǔ)設(shè)施�����,并為需要高安全級(jí)別的用戶提供更強(qiáng)有力的解決方案�。然而����,“沒有絕對(duì)的安全”這一定律并不會(huì)因?yàn)榭尚庞?jì)算平臺(tái)的普及而失效,盡管無(wú)論從理念還是實(shí)效上來(lái)說(shuō)可信計(jì)算平臺(tái)都有所創(chuàng)新���,但是可信計(jì)算并不能解決所有的安全問(wèn)題�����?���?尚庞?jì)算環(huán)境必將創(chuàng)造新型的數(shù)字犯罪�����,并且在可信計(jì)算環(huán)境中進(jìn)行取證調(diào)查也將給司法機(jī)構(gòu)帶來(lái)巨大的挑戰(zhàn)。因此�����,將可信計(jì)算技術(shù)和數(shù)字取證技術(shù)進(jìn)行結(jié)合是解決數(shù)字犯罪的較好方法��。
2.可信計(jì)算技術(shù)的取證特性
可信計(jì)算平臺(tái)具有一些必需的特性����,它們是:保護(hù)能力(Protected Capabilities)、證明(Attestation)�����、完整性度量存儲(chǔ)和報(bào)告(Integrity Measurement�, Storage and Reporting)。以及建立可信鏈(Chain of Trust)的可信根�,它們是:度量可信根(Root of trust for measurement, RTM)、存儲(chǔ)可信根(root of trust for storage��,RTS)和報(bào)告可信根(root of trust for reporting�, RTR)。
這些特征提供可信計(jì)算服務(wù)�����。但是不能直接應(yīng)用于數(shù)字取證技術(shù)。需要擴(kuò)展可信計(jì)算服務(wù)�,以更好地支持可信計(jì)算平臺(tái)的數(shù)字取證。
為此��,提出了一種可信計(jì)算取證服務(wù)擴(kuò)展方法����,其原理是:將可信計(jì)算平臺(tái)上運(yùn)行的安全服務(wù)進(jìn)行權(quán)限劃分,設(shè)置特定的取證服務(wù)�。同時(shí)結(jié)合分布式技術(shù)(如網(wǎng)格技術(shù)或者P2P網(wǎng)絡(luò)技術(shù)等),在可信計(jì)算環(huán)境中提供一種分布式取證服務(wù)���。這樣,可以從不同的基于可信計(jì)算技術(shù)的設(shè)備�,比如日志文件記錄設(shè)備、防火墻�、入侵檢測(cè)系統(tǒng)、抗病毒系統(tǒng)等�����,獲取取證數(shù)據(jù)�����。擴(kuò)展的取證服務(wù)如下:
(1)密鑰恢復(fù) 即由可信第三方提供該功能,用于在數(shù)字調(diào)查或者其它情況(比如加密硬件故障)從可信第三方獲取密鑰�。該功能無(wú)論對(duì)于用戶還是取證人員來(lái)說(shuō),都至關(guān)重要����。
(2)取證密封服務(wù) 可信計(jì)算平臺(tái)用戶不能訪問(wèn)該服務(wù)。該服務(wù)僅限取證調(diào)查人員訪問(wèn)��。
(3)取證密封數(shù)據(jù) 可信平臺(tái)用于無(wú)權(quán)訪問(wèn)未加密的程序或未加密的數(shù)據(jù)��。只有取證調(diào)查人員或授權(quán)服務(wù)有權(quán)訪問(wèn)這些數(shù)據(jù)或程序�����。
(4)取證認(rèn)證 當(dāng)授權(quán)服務(wù)或取證調(diào)查人員訪問(wèn)或者改變密封數(shù)據(jù)時(shí)���,必須進(jìn)行認(rèn)證���,并記錄相關(guān)的操作日志等。
(5)分布式取證服務(wù) 分布式取證服務(wù)是指在可信計(jì)算環(huán)境中能夠從多個(gè)可信計(jì)算平臺(tái)上進(jìn)行數(shù)字取證調(diào)查��,比如實(shí)時(shí)獲取數(shù)據(jù)等��。這項(xiàng)服務(wù)必須同分布式技術(shù)結(jié)合才能達(dá)到分布式取證的目的��。
三、可信環(huán)境下的數(shù)字取證模型
為了在可信計(jì)算環(huán)境中進(jìn)行取證分析���,必須考慮利用可信計(jì)算有益于取證的特性���,并結(jié)合傳統(tǒng)數(shù)字取證模型,其目的在于能夠進(jìn)行可信計(jì)算環(huán)境中的數(shù)字取證調(diào)查��。我們提出的模型如圖1所示���。
該模型包含的分析活動(dòng)主要有:意識(shí)�、授權(quán)�、計(jì)劃、識(shí)別�、收集�����、分析以及證據(jù)出示���。對(duì)應(yīng)每個(gè)活動(dòng)所產(chǎn)生的結(jié)果�����,可以參考圖1���。此外在收集活動(dòng)中����,必須利用擴(kuò)展可信計(jì)算服務(wù)才能完成這個(gè)活動(dòng)的功能��。還有就是在分析活動(dòng)中��,除了具備傳統(tǒng)的分析方法之外�,尤其增加了取證日志分析、文件系統(tǒng)分析以及加密特性分析�。其原因在于:該模型利用了可信計(jì)算技術(shù)在這些取證方面的優(yōu)點(diǎn)。
四��、可信計(jì)算取證模型的特點(diǎn)
可信計(jì)算環(huán)境中的數(shù)字取證不同于傳統(tǒng)數(shù)字取證調(diào)查��,擴(kuò)展可信計(jì)算取證模型同時(shí)具備了傳統(tǒng)的數(shù)字取證模型和可信計(jì)算技術(shù)的特點(diǎn)��。具體如下:
1. 數(shù)據(jù)獲取能力
數(shù)據(jù)獲取是數(shù)字取證過(guò)程中進(jìn)行取證分析的第一個(gè)環(huán)節(jié)�����。但是在基于可信技術(shù)的環(huán)境中進(jìn)行數(shù)字調(diào)查時(shí)�����,可信計(jì)算技術(shù),如安全I(xiàn)/0����、保護(hù)內(nèi)存(Curtained Memory)和密封存儲(chǔ)(Sealed Storage)等,可能阻止或者破壞從存儲(chǔ)介質(zhì)中獲取數(shù)據(jù)�。因此,在可信計(jì)算環(huán)境中����,可信計(jì)算擴(kuò)展數(shù)字取證模型的數(shù)據(jù)獲取能力成為衡量該模型的一個(gè)重要指標(biāo)。我們?cè)谠撃P椭胁捎玫姆椒ㄊ牵和ㄟ^(guò)擴(kuò)展的可信計(jì)算服務(wù)�,如取證密封數(shù)據(jù)服務(wù)等,結(jié)合傳統(tǒng)中的數(shù)據(jù)獲取技術(shù)來(lái)獲取要分析的數(shù)據(jù)����。
2. 加密信息分析能力
可信平臺(tái)的加密特性使用戶能夠有效使用密碼技術(shù)來(lái)隱藏文件并且能夠阻止其他人訪問(wèn)這些文件。在可信平臺(tái)上存在大量的加密信息�。這些信息同傳統(tǒng)的數(shù)字調(diào)查的信息不同��。那么在該模型中�����,采用的方法是通過(guò)密鑰恢復(fù)服務(wù)分析這些信息。此外����,密鑰恢復(fù)服務(wù)也是解決加密硬件故障情況下可信計(jì)算平臺(tái)信息取證的方法。
3. 有害代碼檢測(cè)能力
有害代碼檢測(cè)在傳統(tǒng)的數(shù)字取證中成為一個(gè)取證難點(diǎn)����。但是在可信計(jì)算環(huán)境中,該模型利用完整性度量存儲(chǔ)和報(bào)告特征使得檢測(cè)有害代碼變得容易�����。在TCG的體系中���,所有模塊(軟件和硬件)都被納入保護(hù)范圍內(nèi)�����,假如有任何模塊被惡意感染�,它的摘要值必然會(huì)發(fā)生改變�。因此取證人員就可以知道它出現(xiàn)了問(wèn)題,即是否感染了病毒����、是否有木馬�、是否使用盜版軟件等���。通過(guò)這種方式�����,數(shù)字調(diào)查人員就能夠來(lái)檢測(cè)軟件損害以及系統(tǒng)內(nèi)的惡意代碼等���。
4. 日志記錄取證能力
在基于可信計(jì)算技術(shù)的系統(tǒng)中,取證日志記錄對(duì)于取證調(diào)查來(lái)說(shuō)是及其重要的���。因?yàn)槿∽C日志記錄含有大量系統(tǒng)和用戶操作等信息���。不僅很多系統(tǒng)數(shù)據(jù)存在防篡改日志中,而且之前越界的數(shù)據(jù)也將定時(shí)需要簽名�����、封存�,并且與可行計(jì)算環(huán)境中的相應(yīng)用戶進(jìn)行綁定。每次當(dāng)有人要操作可信計(jì)算的系統(tǒng)時(shí)�����,用戶要聯(lián)系一個(gè)數(shù)字對(duì)象�����,該數(shù)字對(duì)象成為一個(gè)唯一的指紋并被創(chuàng)建���。假如出現(xiàn)數(shù)字事件���,那么數(shù)字取證調(diào)查人員將能夠依賴認(rèn)證過(guò)程中的數(shù)字簽名和事件戳來(lái)確證證據(jù)并判斷嫌疑人。這些日志信息能夠把用戶同行為聯(lián)系在一起�����,因此增加了證據(jù)在法庭上被接受的可能性��。
5. 分布式取證能力
分布式取證能力可以通過(guò)分布式取證服務(wù)獲得���。調(diào)查人員使用這種能力能夠從多個(gè)可信計(jì)算平臺(tái)上進(jìn)行數(shù)字取證調(diào)查��,比如實(shí)時(shí)獲取數(shù)據(jù)等�。
五����、結(jié)語(yǔ)
本文探討了可信計(jì)算的特性���,并提出了一個(gè)擴(kuò)展可信計(jì)算取證模型。通過(guò)對(duì)該模型的取證能力比較和評(píng)價(jià)可知��,該模型有較強(qiáng)的取證能力�����,并能有效進(jìn)行可信計(jì)算環(huán)境中的數(shù)字取證�����。同其它的數(shù)字取證模型相比����,該模型不僅適合可信計(jì)算環(huán)境中的數(shù)字調(diào)查,而且可以適合非可信計(jì)算環(huán)境中的數(shù)字取證����。
來(lái)源:中國(guó)可信計(jì)算網(wǎng)
作者:李炳龍 劉 鑌 王清賢 來(lái)源:中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心
