LaGrande
LaGrande是一组通用的硬件安全增强功能,在今后几年里LaGrande技术将被应用在英特尔的处理器和芯片组中。LaGrande技术在个人电脑平台上构成了一个硬件安全系统,这个系统可以保护电脑数据的机密和安全性,并防止恶意软件对电脑的攻击。
开放的个人电脑
现在的个人电脑通常都和互联网或局域网连接在一起,这些电脑被用来创建、存储、编辑和共享各种文件和信息。在各种商业活动、协同工作和信息获取中,个人电脑扮演着越来越重要的角色。个人电脑之所以被广泛应用的关键原因在于电脑平台开放的特性,现有电脑平台的架构已经被很好地认识,开放的平台在让我们拥有了众多功能强大的应用软件和硬件产品的同时,也让现在的电脑很容易受到恶意的攻击。
*安全和保密的挑战
个人电脑在应用过程中涉及到了越来越多的高度敏感和保密的信息,这些信息通常具有很高的价值,是黑客最感兴趣的攻击目标。目前,不仅对电脑进行攻击的技巧不段提高,而且攻击电脑的频率也不断增加,专家预计这种攻击趋势肯定将愈演愈烈。
防火墙软件、病毒扫描、加密软件和其他安全应用程序为我们提供了一些电脑安全防护功能,但这些软件解决方案只能解决部分安全保护的问题,仅基于软件的防护功能已经越来越不能胜任电脑用户的安全需求,这驱使业界必须开发新的和创新性的电脑安全解决方案。
*LaGrande安全技术
面对安全和保密的新挑战,英特尔提出了研发代码为LaGrande的基于硬件的全新电脑安全架构。LaGrande技术应用的目的是在防止个人电脑被恶意软件攻击的同时,保持目前个人电脑所拥有的可管理性、通用性和兼容性,并且不降低电脑的性能。
LaGrande是一组增强硬件组件,这些组件被设计用来防止敏感的信息被恶意软件进行攻击。LaGrande技术的安全功能被整合在处理器、芯片组、输入/输出系统和其他系统组件上。当支持LaGrande技术的操作系统和支持LaGrande技术的应用程序相互配合时,LaGrande技术可以保护电脑系统中数据的机密和完整性。LaGrande技术提供了一种灵活和通用的安全保护环境,这个安全保护环境可以运行各种不同的操作系统和应用软件。
*LaGrande技术架构
基于LaGrande技术的平台具有几项关键的性能,这些性能相互配合提供了对目前广泛应用于个人电脑的IA-32平台的安全保护,这种保护对IA-32平台的安全性能的改进和提高至关重要。
这些性能包括:
攻击者盗取密码的方法。1. 通过伪造系统进入界面盗窃密码。2. 通过键盘窃取密码。3. 从内存中读取密码。4. 通过改变程序跳过密码鉴别。
1. 对运行过程的保护:让应用程序可以在被隔离保护起来的环境下运行,这样电脑平台上那些未经认可的其他软件就不可能危及或窥视相关运行程序所涉及的信息。处理器、芯片组和操作系统内核负责每一个隔离运行环境的管理和系统资源分配。
2. 封闭的存储:具有在硬件平台上加密处理和保密信息存储的性能,这种性能提供了一种保密信息只有在特定的运行环境下才能被解密的安全保护运行模式。保密信息解密时系统的运行环境必须和保密信息被加密时完全相同,这就防止了被加密的数据在其他平台上被其他用户或恶意攻击者进行攻击的可能。
3. 输入的保护:提供了一种在安全保护的运行环境下对键盘/鼠标和应用程序之间的通讯进行保护的机制,这防止了键盘/鼠标的输入信息被其他未经认可者的窥视或篡改。对于USB输入来说,LaGrande技术对键盘的敲击或和鼠标的点击信息进行密码加密。在进行这种密码加密时,被保护的系统应用程序和输入装置使用相同的密匙。只有那些具有相同密匙的输入信息才能对所传输的保密数据进行解密。
4. 图像保护:为应用程序提供了一种安全运行机制,这种运行机制让从图像缓存输出的显示信息不被运行于电脑平台上的那些未经认可的程序所窥视和危害。这种安全机制是通过创建一条更安全的信息传送路径来实现的,这种信息传送路径负责应用程序与输出显示环境之间的数据传输。
5. 证明:确保系统安全保护环境正在被正确地调用。在证明功能开启下,不同电脑之间依靠标识密匙证书来确保交换信息的安全性,这种证书被用来建立不同用户之间的相互信任。
6. 启动保护:对操作系统和其他应用程序在安全保护运行环境下的运行和调用进行控制。
*LaGrande硬件
LaGrande平台安全保护功能的实施需要几项硬件增强功能的支持。这些支持LaGrande技术的重要硬件组件为:
1. 处理器:扩展的IA-32架构让处理器可以创建多重的运行环境或分区。这让标准(传统)分区和被安全保护的分区可以同时存在。被保护的程序独立地运行于被安全保护的分区里,避免了其他程序的窥视或攻击。使用支持LaGrande技术的处理器和芯片组硬件,对系统资源(如内存)的访问变得更加安全。处理器在安全保护方面的增强还包括:减少由于信息数据暴露于其他处理过程而造成的漏洞被攻击;对安全保护环境的运行指令进行管理;建立更加安全的程序运行指令。
2. 芯片组:增强型芯片组为这个全新和更加安全的平台提供重要的功能。这些功能包括:增强对内存数据访问的安全保护,保护通往图像和输入/输出装置的数据传输通道,支持进入可信平台模式TPM(Trusted Platform Module)的界面。
3. 键盘和鼠标:增强型键盘和鼠标让运行于安全保护区的应用程序在它们进行通讯时,所传输的信息数据不被未经认可的其他软件窥视或攻击。
4. 图像:增强型图像子系统让运行于安全保护分区的应用程序所传送出来的图像信息不会被其他未经认可的软件窥视或攻击。
5. TPM 1.2装置:TPM 1.2装置提供了基于硬件机制的对密匙和其他数据的保存或密封。它还以硬件的方式提供系统安全证明报告。