三
可信賴計算
Windows XP要比
x系列的操作系統安全和穩定得多
但是一連串的漏洞
修補漏洞的補丁
利用漏洞發起攻擊的蠕蟲又顯示出微軟還有很長一段路要走
改進安全性不僅僅是一個修補Bug和補救設計疏忽的問題
它還意味著提供這樣一個平台
這個平台內含的功能使得設計者和用戶能夠執行安全的
可信賴的計算
微軟的戰略是繼續評估其代碼中存在問題的領域並發布補丁
同時開始將更多的開發工作轉移到使用
NET框架的托管代碼
以避免可能影響安全性的常見錯誤
就長期目標而言
微軟正在開發一個野心勃勃的新式基礎結構——以前叫做Palladium
現在則改成了一個笨拙的縮寫詞NGSCB(讀作
ing
scub
)
全稱是Next
Generation Secure Computing Base
盡管有人嘲笑NGSCB只不過是一種強制許可限制和實現嚴格DRM(數字版權管理)技術的升級版
但其設計目標是提供這樣一種功能
這種功能確保應用程序確實就是它們所宣稱的那樣
它們的角色和權限受到適當的限制
可以可靠地采用高強度加密技術建立起可信賴的平台
為信息交換和交易提供安全的服務
要使用NGSCB功能
主板必須帶有SSC/TPM(Secure Support Component/Trusted Platform Module
即安全支持組件/可信賴平台模塊)
還要有支持NGSCB的處理器和芯片組
經過改裝的外圍設備
在處理器方面
Intel已在討論有關LaGrande技術的計劃
這種技術將提供諸如保護安全內存(即使是對於DMA訪問)引擎之類功能
從即將出現的Prescott CPU及其支持芯片組開始
Intel將在它的芯片組中提供LaGrande技術
NGSCB提供了一種額外的運行模式
軟件可以在需要執行敏感任務時隨時切換進入這種模式
想象一個三層的蛋糕模型
底層是硬件
中間是內核模式的軟件(例如操作系統核心)
頂層是用戶模式的軟件
例如應用程序
在概念上
NGSCB將把每一層分成兩個部分
左邊的部分就是現在的硬件/軟件運行情況
它仍象以前一樣工作
右邊的一部分則屬於安全區域
應用程序通常在左邊的一部分運行
直到需要某種安全服務時
它們才臨時地切換到右邊的部分
在右邊這一部分中
系統提供四種關鍵性的功能
安全IO
密封存儲
進程高度隔離
以及簽證(Attestation)——數字簽名的程序標識
安全IO意味著流經輸入/輸出設備和系統的每一比特信息不僅已經加密(因而很難嗅探)
而且經過密碼簽名(因而不可能在傳遞途中被修改)
在NGSCB的最初版本中
安全IO路徑具體包括USB設備(包括鍵盤和鼠標)
CPU和芯片組
圖形控制器
以及連接這些設備的通道
由於這些位置的信息都得到了保護
這樣
惡意軟件就很難得逞
例如很難監視鍵盤動作
也很難掃描視頻內存竊取輸出到屏幕的信息
密封存儲是經過密碼加密的安全磁盤存儲
只能通過特定的密鑰加密/解密——這樣
除非取得明確的授權
否則一個應用程序就不能偷窺另一程序的密封存儲空間中的內容
進程高度隔離的意義也相似
它意味著一個程序不能分析或操作另一個程序使用的內存空間
簽證則提供了這樣一種機制
這種機制保證每一個應用程序就是它所聲明的那個程序
具體是記錄一個加密的校驗和
如果應用程序被修改
校驗和就變成非法
其基本思路是保證特定的數據只能由獲得明確授權的應用程序訪問——同時確保應用程序不會被諸如特洛伊木馬之類的惡意程序非法修改
這種層次的安全機制不僅能在獨立的系統上發揮作用
在聯網的機器上也同樣有效
管理這些功能並為應用程序提供API的是nexus
這是一個運行在右邊內核層的組件
微軟打算在Longhorn中提供一個基本的nexus——但是
如果你不信任Microsoft
又該怎麼辦?
首先
是否使用nexus和NGSCB功能完全由用戶自己決定
其次
微軟計劃向研究機構和有限的用戶開放其nexus源代碼
另外
作為一種可選的方案
第三方也可以創建可替換使用的nexus
這種第三方的nexus不必局限於Windows設備
因此可以想象的是
具有NGSCB功能的Windows客戶程序能夠與支持NGSCB的Linux或Solaris服務器建立安全的聯系——只要這些環境能夠提供相應的支持
在用戶感受方面
NGSCB的實際效果在很大程度上還不能確定
不過微軟已經認識到一個高效的UI是至關緊要的
系統的整體安全性由整個鏈條上最薄弱的環節決定
而這個最薄弱的環節往往是用戶以及用戶作出的判斷
例如
今天的惡意軟件之所以擴散得如此之快
很大一部分原因在於用戶浏覽網站時
一遇到是否信任某個程序的對話框總是習慣性地點擊
是
令人感興趣的是
NGSCB允許第三方信任代理擔保應用程序
這就使得企業可以將判斷/決策委托給可信賴的外部實體
NGSCB不是萬能的魔法
但它承諾讓硬件
操作系統和應用程序開發者一起協作
在應用程序之間提供更堅固的隔離牆
堵塞大量可能洩漏敏感信息的機會
這一切應該能夠讓系統管理員睡得更安穩一些了
四
存儲系統
在過去的
年中
DOS和Windows的文件存儲系統不斷發展
位的文件分配表(FAT
)在大於
GB的磁盤上遇到了困難
它的
位的繼承者FAT
雖然解決了容量問題
但仍顯得弱不禁風
只要一個字節出錯就可能導致整個文件不能訪問
NTFS(New Technology File System)
自Windows NT
開始引入
使用了一個數據庫風格的主文件表(Master File Table)
提高了訪問文件的可靠性和速度
直到現在
無論底層的操作系統是FAT還是NTFS
用戶的感覺不外乎層次型的文件夾樹形結構
訪問某個文件可能需要在層次結構中跋涉
層甚至
層——這裡還有一個前提
那就是你知道文件的保存位置
如果你不知道文件的保存位置
那就要向Windows的搜索功能求助
問題是
為什麼我們必須記住文件的保存位置?我們關心的是文件的內容
而不是它的保存位置
這個問題不是第一次提出
早在
年
微軟有關Cairo(Windows
的代碼名稱)的早期描述中就提到了一個根據文件內容而不是位置來訪問文件的文件系統
這個項目後來被擱置
但現在微軟告訴我們
它終於要在Longhorn的Windows Future Storage(WinFS)中成為現實了
WinFS在NTFS的基礎上增加了一個數據庫層
這個數據庫層以即將出現的SQL Server的Yukon版為基礎
在WinFS文件系統中
文件除了我們熟悉的屬性
諸如文件名稱
大小
日期
還將通過諸如作者名稱
圖像大小之類的元數據建立索引
底層的文件夾分層結構仍將存在
但現在用戶使用的將是相似文件構成的庫(Library)
每個庫由一組通過查詢WinFS數據庫獲得的文件構成
對於洩露出來的Longhorn Alpha版
報告稱它內建的庫包括
Documents
Games
Music
My Contacts(替代地址簿)
Picture以及Video
可以設想
Longhorn將允許用戶根據自己的條件創建庫
庫裡面的文件不會移出其所在的文件夾
實際上
一個文件可以出現在多個庫中
用戶可以配置庫
使其顯示方式匹配文件的內容
當用戶創建符合條件的新文件時
文件會自動出現在庫中
基於XML的文件格式具有自我描述的特點
它們的元數據很容易被WinFS訪問
從而促進這類文件格式的應用
我們現在還不知道WinFS是否會被移植到其他的Windows版本
也不知道WinFS是否是Longhorn的默認文件系統
當前Longhorn的Alpha版中
WinFS還不能實際運作
但是
當WinFS正式到來時
我們查找文件的依據將是它是什麼
而不是它在哪裡
(完)
From:http://tw.wingwit.com/Article/os/xtgl/201311/9218.html
