【赛迪网讯】数据就是价值!曾有人说,电脑缺乏有效的数据保护如同在荆棘中裸奔,随时可能遭到重创。对于商务人士来说,这句话尤为贴切。目前的笔记本电脑,通过何种技术才能护住商务人士视为生命的重要数据呢?本期专题将为这些用户一一揭示。
可信计算正当红
文/联想(中国)研究院可信计算研究室主任 宋春雨
PC已经成为人们日常工作和生活不可或缺的信息处理工具,并在30多年的发展过程中迅速形成巨大产业,主要原因之一就在于技术架构上走开放与标准化路子,体系结构上强调计算效率和易用性。这种技术思路对其产业发展确实非常有利,但却给安全性留下巨大隐患,这也是目前PC经常受到攻击、却无法有效防御的根本原因所在。
传统PC的弊端
传统PC因在体系结构上缺乏安全机制设计,而操作系统和应用程序又被挖出层出不穷的漏洞,其安全性问题就不断突显。尤其是进入Internet时代,PC安全性问题变得更为紧迫。据统计,目前PC面临的首三位安全威胁是恶意代码攻击、信息非法窃取、数据和系统非法破坏,而恶意代码攻击也不断花样翻新,有病毒、蠕虫、木马、间谍软件、钓鱼软件等多种形式,它们非法进入PC系统并大肆进行恶意破坏,随着基于Internet的电子交易逐步开展,以用户私密信息为目标的恶意代码攻击已超过传统病毒成为安全最大威胁。
面对PC的安全问题,早先主要采用软件层打补丁方式,基本上围绕应用层进行“堵漏洞”、“砌高墙”、“滞后防范”来增强PC系统和网络系统的安全性,企图化解安全攻击,但因攻击技术越来越高超,比如病毒存在更隐蔽,采用深度隐藏技术(Rootkit),更难检测和根除,所以在应用层建立“堵漏洞”、“砌高墙”、“滞后防范”安全措施难以真正取得有效防御成效。
TPM的安全革命
1999年,PC产业界在总结过去经验与教训的基础上,开始着手以标准化方式从PC体系结构上嵌入安全机制来增强PC安全防御能力,以寻求真正有效的PC安全解决方案。这就是1999年由HP、COMPAQ、IBM、Intel、Microsoft牵头成立TCPA(Trusted Computing Platform Alliance)组织,提出一种可信计算技术思路,即在PC主板上嵌入一款安全芯片(简称TPM),并由TPM支撑PC系统三条安全功能主线:(1)在TPM支撑下,由CPU/芯片组的安全机制和操作系统安全机制相互配合,为每一个程序进程建立安全可信计算域,以使它们能在相互隔离的私有空间中进行计算,这样可以有效地防止现今各种恶意代码和缓冲区溢出攻击,确保应用程序在运行过程中的可信赖性和数据安全性;(2)系统主板建有唯一核心度量根CRTM,系统每次启动时,在TPM支撑下,以CRTM为起点,一环扣一环地度量和校验每一个软件模块的完整性,建立起系统平台的信任链,确保所启动的系统平台是没有被恶意代码攻击和修改过的,值得用户信赖;(3)TPM作为硬件密码模块,为整个系统提供高安全性的密码服务。
2003年,TCPA改组为TCG,首先针对PC平台全面产业化推广可信计算技术,然后再在服务器平台、移动终端平台领域产业化推广,同时,设计构建平台之间新的网络可信计算方式,所以可信计算将是未来IT安全技术发展趋势,TPM将成为每一个计算平台的标配部件。联想研究院是较早在可信计算领域里投入技术研发并达到国际一流水平的研究机构,2005年4月,联想自主研发成功“恒智TPM芯片”,并于次年3月,正式成为TCG标准组织的核心成员(TCG Promoter),与跨国公司共同制订未来可信计算技术的国际标准,进一步提升了中国企业在国际标准制订中的话语权。
笔记本电脑作为一种具有移动特性的PC平台,比台式机的安全问题更突出,安全性需求更高,所以可信计算技术理念提出后,首先是在笔记本电脑上大规模推广的,目前商用笔记本电脑有30%以上装配了TPM芯片。据IDC预测,到2008年,TPM将首先成为笔记本电脑的标配部件。
可信计算的未来
当然,可信计算技术目前还处于打基础阶段,推出了TPM和软件协议栈等模块的技术规范,但还有许多关键问题需要去突破,比如,如何建立一个平台的全信任链,包括静态信任链和动态信任链,并使平台通过全信任链能快速有效防御恶意代码攻击,构建平台的“免疫系统”,并且不能影响系统整体使用效能,使用户容易接受,还要比目前杀毒技术优越许多。国际上这方面的产品级技术还鲜有报道,而国内一些厂商已经取得较大进展,如联想新推出的系统20秒快速智能修复功能,应该能代表这方面的领先成果。
鉴于笔记本在移动环境中使用,对用户身份识别技术要求较高,而且指纹识别设备在许多笔记本产品装配,因此,这方面的工作将主要结合指纹识别和安全芯片形成具有高安全性的多因素身份认证技术,确保系统身份安全。
在数据保护技术方面,主要基于安全芯片、指纹/安全锁来建立敏感数据、平台、用户三者之间安全绑定关系,使只有合法用户在授权平台的设定条件下才能处理敏感数据,使笔记本平台的敏感数据“盗不取”、“拷不走”、“暴不露”。
在硬件平台的安全可靠性方面,主要是探索抗跌落、防电磁泄露与抗电磁干扰、异常环境适应性等方面的安全加固技术的低成本实现。
笔记本电脑安全技术的发展模式将是:以可信计算为主骨架,将基于生物特征(如指纹、虹膜)的身份识别技术、USB安全锁技术、移动网络安全技术、物理安全和可靠性加固技术,形成具有可靠性、完整性、私密性三个维度的安全特征的可信赖安全计算平台,真正满足笔记本电脑用户的安全需求。
可信计算的历史沿革
安全技术大点兵
认清真正主人
从理论上来说,任何基于密码方式的身份验证技术都并不安全,穷举破解永远是最大的威胁。基于硬件和软硬结合的方式,守住使用权限是笔记本安全的首道关卡。
指纹识别 1一指通关的必杀技
指纹识别技术的工作原理是:通过集成的指纹识别模块在系统上注册用户的指纹信息,通过验证这种独一无二的生物特征,来取代BIOS和Windows密码,同样也可用于文件加密。
最初推出的指纹识别系统采用光学识别,手指按在CCD上方,CCD将指纹转换成CMOS图像。由于光不能穿透皮肤表层,所以只能扫描手指皮肤的表面,不能深入真皮层。在这种情况下,手指的干净程度就直接影响到识别效果,由于这种识别方式只记录指纹纹路,而不记录指纹深度和温度,因此简单的指纹印模就能让窃贼达到目的既不方便也不安全。现在的笔记本都采用了更先进的第二代指纹识别技术。新一代的指纹识别系统采用了电容传感技术,当活体手指按在传感器芯片上,通过测量手指皮肤与芯片上的电容器的电容值来获得图像并与原始记录进行对比。当手指皮肤与电容器间的距离变化时,它们之间的电容值也发生变化。该技术非常成熟、稳定可靠。配合专用的软件可以轻松地实现指纹管理及系统开机、系统登录、应用软件开启、文件加密等功能。电容传感技术的一个缺点是容易受到静电放电影响,而非常干的手指往往带有静电,从而影响识别功能。
前瞻:目前,指纹识别芯片商已开发出一种基于表皮下层的传感器技术,如AuthenTec公司的TruePrint,这种技术并不真正扫描手指的表面,而是直接生成手指表面下活动层的图像,在读取干、脏或磨损的手指图像时不会存在困难。同时,AuthenTec采用射频扫描技术,传感器在埋入芯片的导电层和手指皮肤表面的导电层之间发送小的射频信号。该射频信号可测量出手指表皮下方的活细胞层的纹脊和纹谷的场势曲线。通过在不会受到损伤或污物影响的皮肤层采集数据,TruePrint传感器可以获得更精确的可再现指纹图像。而其他的光学或直流电容式传感技术则仅可从皮肤表面采集数据。
人脸识别 2相面般的奇妙体验
目前应用到笔记本电脑上的人脸识别技术是二维识别,它比指纹识别的步骤要烦琐一些,包含面像检测、面像跟踪与面像比对等。首先要对用户进行面像检测,在动态场景与复杂背景中判断是否存在面像并分离出来;之后则是对被检测到的面像进行动态目标跟踪;接下来是是对被检测到的面像进行身份确认或在面像库中进行目标搜索后比对。
目前,联想、方正等厂商已经推出了使用这项技术的笔记本电脑,对于用户安全方面的需求来说,无论是用户登录、文件保密、Email/BBS密码管理甚至待机保护,这些安全问题都能得到彻底解决,同样也可以用于文件加密,通过安装在笔记本上方的摄像头,还可以记录下非法使用者对笔记本操作的全过程。其易用性与指纹识别差不多,让用户无需记忆繁琐密码就能确保安全,在趣味性上,明显人脸识别要略胜一筹。
尽管面像识别技术的可靠性不如指纹识别技术那么高,但这也同样也值得令人放心,因为通过自动定位待检人脸特征值并且寻找多个脸部基准点扫描,其误识别概率低于百分之一。此外,从笔记本电脑本身来讲,它的成本仅仅增加在专业的面像识别软件和进行识别的摄相头,随着内置摄像头成为笔记本标配的潮流,面像识别技术的成本也有望大幅降低。
前瞻:虽然三维人脸识别的算法比二维算法有更高的精确度,但应用在笔记本电脑上的近期还将是运算量更小,同时具备一定安全级别的二维识别技术。在未来,笔记本电脑的人脸识别有望在提高识别速度、光线不足以及逆光等情况下提高识别率等方面实现技术突破。
智能卡(Smart Card) 3给电脑办张身份证
智能卡(Smart Card)技术是硬件和软件结合的解决方案,在DELL和HP等厂商的商务笔记本被经常采用。它与U锁、i-Key等设备类似,其原理都是通过一张带有存储功能的识别卡或电子密匙来对信息进行加密,另具防火墙和防病毒功能。在进行了相应软件的安装后,使用者可通过使用识别卡或电子密匙来实现启动系统、锁定键盘、鼠标、USB等周边设备,还可以单个文件,整个目录,乃至整个硬盘加密。
用户使用时只要向内置智能卡读卡器中插入智能卡,笔记本电脑中的数据则完全对用户开放;如没有智能卡则加密数据就无法打开,即使将硬盘拆下,装到别的笔记本电脑上也无济于事。有些智能卡,还可在笔记本电脑使用的过程中拔除,此时的笔记本电脑则会自动进入屏幕保护状态,再插入智能卡则又会完全恢复。
由于智能卡无法复制、并具备了资料处理能力,在受到非法解密时,会启动自我毁灭系统,毁掉所有资料,这样的安全级别足够高。唯一不便的是,卡片一旦丢失,用户只能带着笔记本电脑去找专门的维修部门处理,无法自行处理,这会带来一定的再投入。
前瞻:索尼在新推出的酷睿2版本的VGN-SZ机型中,在键盘区右下角的部分内置了非接触式智能卡(FeliCa),这是由索尼发展的一种用于微芯片的技术,结合了处理、存储和通信功能。芯片中的数据是非易失性的并能被不确定地写得过多。它使便携式设备能包含多重数据形式,包括个人或商务的ID信息、银行账号和余额、健康信息、信用卡帐目数据、交通状况以及授权代码。
护住重要数据
阻挡不法分子进入操作系统之外,还需要面对病毒侵袭,硬盘数据盗取的考验,只有不断完善加密技术,才能将重要数据牢牢护住。
全盘片加密 4拆了硬盘也不能用
数据存储在硬盘当中,因此,通过对硬盘本身进行加密,无疑是一种既能提供高安全性,又能方便用户使用的实用技术,其中的典型代表就是全盘片加密技术。最先采用全盘片加密技术的硬盘是希捷推出的首款2.5英寸笔记本电脑硬盘Momentus 5400 FDE。
全盘片加密(FDE)技术的原理其实非常简单,就是在硬盘上采用集成的硬件加密芯片,自动对写入硬盘的所有用户数据进行加密,并在读取时解密。加密和解密的速度与接口的传输速度完全相同,不会导致硬盘性能下降。支持该功能的固件还允许开启和关闭加密功能,改变主密码和用户密码,或将密钥存储到另一个位置。加密芯片独立于操作系统,对操作系统透明。利用支持管理功能,可以恢复丢失的密码。
全盘片加密技术是硬件加密技术,它的安全性比普通的BIOS密码和系统密码高得多,在使用的时候也方便得多,不用频繁地输入密码。采用这种技术的硬盘即使遗失,由于明文密钥不在硬盘上,也不必担心里面的数据被人利用,即便非法用户导出数据,他得到的也只是一堆乱码。
点评:使用加密技术的硬盘驱动器与不使用加密技术此系列的硬盘驱动器有着同样的性能。不过带有安全特征的驱动器将会更昂贵一些,但它出色的保密性能,对于极其注重数据保护的安全级别的军方用户和商务用户来说,也具有非常大的诱惑力。
内置协处理器 5加密解密专门处理
所有数据在存储之前都经过严格的加密算法,而且采用硬件方式生成最保险的随机数。无论盗窃者使用何种方式获得保存数据的硬盘,在没有密钥的情况都无法获得数据,这就是基于CPU集成协处理器的硬件加密方式。
威盛推出的C7-M处理器,其PadLock技术是通过内置协处理器来专门执行加密解密功能的。据技术指标介绍,PadLock的原理是,核心为一组高阶的随机数值产生器,利用芯片上无规律的电子杂讯,计算出对应资料本身的随机数值作为加密编码之用;而产品研发人员则可由新的X86指令,直接由硬件取得这些随机数值,无须通过软件的驱动程序。这种纯硬件的设计比过去软硬件组合的资料加密架构更有效率、更可靠。
另外,PadLock也支持多种运行模式,提供由每秒钟750K 位至6百万位不等的各种效能。以AES加密算法为例,此时最快可以达到25 Gb/s的速度,因此用户不会因为重视的安全性而令性能得到损失。当然,PadLock引擎也离不开软件支持。在微软操作系统还没有直接支持PadLock之前,VIA自己推出了StrongBox软件,这也得以让其加密功能在第一时间得到充分发挥。StrongBox最多允许设置10个虚拟StrongBox驱动器,这是特殊的加密空间,所有需要保护的数据都可以放入其中。在没有输入密码之前,这一驱动器看起来仅仅是一个IMG镜像文件,而且无法打开。
点评:从实际应用上来看,威盛将协处理器功能融入到CPU的内部设计之中,的确使得采用C7-M处理器的笔记本拥有很高的安全性,号称可以达到军事应用级别;同时,采用这款处理器的产品上市,也为用户提供了更为丰富的产品选择。
用C7-M处理器结合StrongBox创建加密分区
处理器防护 6非法程序概不运行
在Windows XP Service Pack2和后续的操作系统中,微软支持了具有里程碑意义的Date Execution Prevention数据执行保护技术(简称DEP)。DEP技术并非由微软开发,而是内嵌于CPU中,只是这项功能的执行必须得到操作系统的支持,就好比CPU的64位计算功能必须在64位操作系统下才能发挥作用一样。
由于杀毒/防木马软件本身技术滞后,仅仅更新病毒库代码还不够,处理器的DEP技术就是从源头上阻截病毒与蠕虫的新思路。病毒是一种特殊程序,在执行过程中也离不开内存。DEP技术与防火墙或者防病毒程序的根本区别在于从内存地址上加以阻截,而不是防止危险程序或者危害代码的运行。从目前的病毒发展趋势来看,攻击常用的内存地址是一条必由之路,而这恰恰是反病毒技术的突破点。支持DEP技术的CPU将某些常用内存位置标记为“不可执行”,如若任何一个程序尝试从不可执行的位置运行代码,同样支持DEP技术的操作系统将会自动关闭该程序,如此便彻底扼杀了所有危险程序与代码,而不是疲于应付地更新病毒库。
在具体实现过程中,AMD、Intel、VIA等厂商采用的DEP技术各不相同,但作为核心技术的“Non-executable”标记却是相同的。I通过CPU内部的“Non-executable”单元,内存中没有明确包含可执行代码的数据都标记为不可执行。无论什么程序,只要非法跨越,那么将瞬间被中断程序进程。
TPM安全芯片 7把密码装入保险柜
芯片级安全技术是目前最安全的系统保护措施之一。TPM(Truste Platform Mokules,受信平台模块)作为可信计算平台的核心,实际上是一块安装在主板上的含有密码运算部件和存储部件的系统芯片。它起到的作用则相当于一个“保险柜”,可以将安全、加密和密码管理等重要的信息,比如指纹识别信息等放心地存放在里面,除了储存一般的开机密码外,安全芯片还可用于储存Wireless LEAP密码及Windows密码等。并且该“保险柜”还具有物理自毁功能,也就是说当我们实在没办法打开该“保险柜”,而试图强制读取时,TPM将会破坏其中的信息,存放在里面的密码将不再生效。
由于是硬件装置,我们便不用担心软件所遇到的一些普遍问题,比方将加密的密码存放在硬盘,或是内存中,存在被破解的可能性;即使通过重装系统或是将BIOS放电都不能将密码解除。关键的密码都存储在安全芯片中,安全芯片通过LPC总线下的系统管理总线(SMB)来与计算机的主处理器进行通信。根据安全芯片的原理,密码数据只能输出,而不能输入,也就是说关键的密码加密解密的运算将在安全芯片内完成,通过执行单元进行运算、比较,只是将结果输出到上层。集成在主板上的这一方法,又可以免去丢掉或是忘记随身携带的烦恼。目前,安全芯片和指纹识别配合能达到当前最高的安全级别。当然,作为完整解决方案,也离不开客户端安全管理软件,它与安全芯片等配合使用,才可以实现文件加密、用户认证、用户权限管理等目标。
前瞻:除了提高安全芯片本身的性能之外,安全芯片目前还主要是用于形成完整的安全解决方案,包括安全主板,安全笔记本,安全解决方案,安全平台信任链软件等。
ThinkPad SDD技术 8删除数据不留痕迹
处置换代笔记本的数据并不是仅仅删掉或格式化硬盘中的数据就能高枕无忧了。对那些商务人士的敏感数据而言,这种处理方式非常危险,别有用心之人可以借用某些工具轻松恢复原机器的数据,这种情形曾多次发生于二手手机与笔记本电脑上。
ThinkPad的客户端安全解决方案(CSS)其中一项重要用途,就是帮助用户妥善解决笔记本的“身后之事”。CSS由TPM芯片和客户端安全管理软件相配合,经过优化整合后,会消除数据安全的后患。当笔记本报废时,原使用者可通过ThinkPad中符合美国军方标准的SDD技术安全删除掉硬盘(包括隐含分区)上的所有数据,并彻底无法恢复,从而杜绝敏感数据的外泄。
打造健壮系统
日常使用中造成的数据威胁不仅仅是非法侵入和病毒攻击,因为误操作而带来的数据灾难也屡见不鲜。因此,健壮的操作系统和出色的恢复软件非常必要。
Windows Vista 9搭建全面防护平台
IE低权限模式架构
Windows Vista是第一个采用SDL(Security Development Lifecycle,安全发展生命周期)进行开发的操作系统,它在系统安全方面相比Windows XP进行了多方面改进。
比如以前经常会出现因为有缺陷或恶意的驱动程序导致系统崩溃、不稳定和安全问题,而在新的64位平台之上,设备所有的设备驱动程序都必须有数字认证,PatchGuard不允许修改系统的核心状态。
在用户帐号保护方面,基于大部分用户以Admin权限登录,许多应用程序和操作系统配置的修改都需要Admin权限甚至计算机病毒和间谍软件运行的考虑,用户在登录后的缺省权限将是非Admin身份,必须通过相应的用户权限认证才能将权限升为Admin;在登录体系上,Password 也不再是唯一选择,操作系统将支持支持第三方身份认证,比如Smart Card等等。
为了防止陌生人通过移动存储拷贝数据,Vista可以由管理员指定移动存储,才能进行数据拷贝操作,而无须使用封掉端口的方式来实现。
Vista还自带了Windows Defender工具和有害软件删除工具,针对流氓软件往往会绑定系统启动,偷偷重新写入注册表的情况,这些工具可以进行扫描和检测,并予以清除。
IE的安全漏洞是病毒和间谍软件传播的主要途径之一,普通用户经常受到“钓鱼”攻击。新版本浏览器中,IE和文件浏览器权限是独立的,文件浏览器不能上网。IE运行于低权限模式下,只能对文件系统的特定部分执行写操作,不能对高权限的其它进程操作,敏感操作由代理进程(broker process)执行。这样就减少了安全漏洞的影响范围。
为了控制感染病毒的电脑在网络上传播病毒,Vista在网络权限保护方面,要求电脑必须通过系统健康检查后才能接入内部网络,而未通过系统健康检查的机器会被隔离到一个受控网络当中。
一键恢复 10操作系统重生之道
通过快捷键进行进行系统备份和系统恢复算不上新技术,但却非常实用。比如一个在外地出差的用户,他没有IT服务部门支持,当系统彻底崩溃时,或者硬盘被格式化或误删除时,都可以用一键恢复来使系统恢复到出差前的状态。
厂商在这部分推出的特色技术很多,比如联想推出的LTT技术中,融入其第4.5代版本的“一键恢复”功能,和以往的版本相比,它的突出特色就是快速性,使用一键恢复只需要5分钟。ThinkPad提供的应急与恢复系统(R&R)技术,最新版的R&R可以恢复文件、文件夹以及整个系统映像,包括数据、应用和操作系统,甚至能挽救系统出问题之前没备份的文件,并可从“预启动”环境把这些文件拷贝到外部存储设备中。
一键杀毒 11不进系统也能杀毒
如果病毒库升级不即使,病毒有可能会侵入核心文件,甚至导致无法进入操作系统。当系统无法进入时,或者系统核心文件被破坏的情况下,系统会反复重启或是开关机,使用Windows自带的杀毒软件很难实现杀毒。
目前,联想等笔记本厂商在随机软件当中提供了一键杀毒功能。这项功能实现往往采用嵌入式操作系统,即本身就独立于Windows操作系统。一键操作进入界面后,将在非Windows状态下查杀引导分区和硬盘其他分区存在的病毒,以解决Windows操作系统无法启动时查杀病毒的问题。