PROYECCIÓN DE FIABILIDAD DESDE UN ENTORNO DE CONFIANZA A UN ENTORNO SIN CONFIANZA.

Proyección de fiabilidad desde un entorno de confianza a un entorno sin confianza Campo de la invención La presente invención se refiere, en general al campo de la seguridad de los ordenadores. Más en particular, esta invención versa acerca del uso de entornos plurales de ejecución (por ejemplo, sistemas operativos) en un único dispositivo informático, y proporciona técnicas que soportan la fiabilidad de tales sistemas o entornos operativos. Antecedentes de la invención Los primeros ordenadores solo eran capaces de ejecutar un único programa a la vez. Sin embargo, en los tiempos modernos se espera de los ordenadores que sean capaces de ejecutar varios soportes lógicos diferentes a la vez. Por ejemplo, los sistemas operativos multitarea típicos pueden ejecutar varios programas de aplicación a la vez en una sola máquina. En vista de esto y de la evolución de una red abierta compartida (es decir, Internet), la seguridad y la privacidad se han convertido en dos cuestiones importantes y difíciles que afronta la industria de los ordenadores. A medida que el ordenador personal cobra importancia central en el hogar, el trabajo y la enseñanza, los consumidores y los clientes en el mundo empresarial son cada vez más conscientes, por igual, de los problemas de privacidad y seguridad. Mejorar la capacidad del soporte lógico y del soporte físico de proteger la integridad de la información digital y la privacidad de los usuarios de ordenadores se ha convertido en una prioridad vital tanto de los desarrolladores de soportes lógicos como de los fabricantes de soportes físicos. La Microsoft Corporation, de Redmond, Washington, ha introducido la plataforma de ordenadores personales Base Informática Segura de Próxima Generación (NGSCB) que proporciona seguridad y privacidad en un sistema operativo. Según se muestra en la Figura 2, en la NGSCB convencional dentro de un ordenador 110 un sistema de seguridad de la parte derecha (PD) trabaja conjuntamente con un sistema tradicional de la parte izquierda (PI) y una unidad central de proceso (CPU). La PD está diseñada para proteger contra un soporte lógico malicioso mientras se mantiene la apertura del sistema operativo. Con la NGSCB, las aplicaciones se ejecutan en un espacio protegido de memoria que es sumamente resistente a la alteración de un soporte lógico y a la interferencia. Típicamente, hay un conjunto de chips en el ordenador 110 que usan tanto la PI como la PD. La PI y la PD son una división o partición lógica, aunque impuesta físicamente, del ordenador 110. La PI comprende aplicaciones tradicionales 205, 210, tales como Microsoft® Word® y Microsoft® Excel®, junto con un sistema operativo convencional 201, tal como el sistema operativo Microsoft® Windows®. Aunque se muestran dos aplicaciones, típicamente puede implementarse un número cualquiera. La PD comprende agentes 255, 260 de confianza, junto con un nexo 251. Un nexo es un sistema operativo de alta seguridad que proporciona cierto nivel de seguridad en cuanto a su comportamiento y puede comprender todo el código en modo de núcleo en la PD. Por ejemplo, podría emplearse un nexo para trabajar con información secreta (por ejemplo, claves criptográficas, etc.) que no debiera divulgarse, proporcionando una memoria cubierta que está garantizado que no filtre información fuera del nexo y permitiendo que solo ciertas aplicaciones certificadas se ejecuten bajo el nexo y accedan a la memoria cubierta. El nexo 251 no debería interactuar con el sistema operativo principal 201 de ninguna manera que permitiera que ocurriesen eventos en el sistema operativo principal 201 que comprometiesen el comportamiento del nexo 251. El nexo 251 puede permitir que se ejecuten todas las aplicaciones, o el propietario de una máquina puede configurar una directiva de máquina en la que el nexo 251 permite que se ejecuten únicamente ciertos agentes. En otras palabras, el nexo 251 ejecutará cualquier agente que el propietario de la máquina le diga que ejecute. El propietario de la máquina puede también decir al nexo qué no ejecutar. El nexo 251 aísla los agentes 255, 260 de confianza, gestiona las comunicaciones hacia los agentes 255, 260 de confianza y procedentes de los mismos, y cifra criptográficamente los datos almacenados (por ejemplo, almacenados en una unidad de disco duro). Más en particular, el nexo 251 se ejecuta en modo de núcleo en un espacio de confianza y proporciona servicios básicos a los agentes 255, 260 de confianza, como el establecimiento de los mecanismo de proceso para comunicarse con agentes de confianza y otras aplicaciones, y servicios especiales de confianza, como la ratificación de una plataforma de soporte físico / soporte lógico o un entorno de ejecución y el descifrado de secretos. La ratificación es la capacidad de una porción de código para firmar o ratificar de otra forma un dato y para garantizar, además, al receptor que los datos fueron construidos por medio de una pila de soporte lógico infalsificable identificada de manera criptográfica. Un agente de confianza es un programa, o parte de un programa, o un servicio que se ejecuta en modo de usuario en un espacio de confianza. Un agente 255, 260 de confianza llama al nexo 251 para servicios relacionados con la seguridad y servicios críticos generales, como la gestión de la memoria. Un agente de confianza es capaz de almacenar secretos usando un almacenamiento cifrado y se autentica a sí mismo usando los servicios de ratificación del nexo. Cada agente o entidad de confianza controla su propio dominio de confianza y no es preciso que tengan dependencias mutuas. 2 E08003059 30-11-2011   La PD comprende, además, un componente 253 de soporte de seguridad (SSC) que usa un par de claves de infraestructura de clave pública (PKI) junto con funciones de codificación para proporcionar un estado seguro. La NGSCB proporciona características como ratificación, almacenamiento cifrado y aislamiento fuerte de procesos. La ratificación permite que otros ordenadores sepan que un ordenador es realmente el ordenador que pretende ser y está ejecutando el soporte lógico que pretende estar ejecutando. Dado que el soporte lógico y el soporte físico de la NGSCB son criptográficamente verificables para el usuario y los demás ordenadores, programas y servicios, el sistema puede verificar que otros ordenadores y procesos son fiables antes de acoplarse a los mismos y compartir información. Así, la ratificación permite que el usuario revele características seleccionadas del entorno operativo a peticionarios externos. El almacenamiento cifrado permite que el usuario codifique información para que solo pueda ser objeto de acceso por parte de una aplicación fiable. Esto puede incluir solo la aplicación que creó la información en su origen o cualquier aplicación en la que confíe la aplicación propietaria de los datos. Por lo tanto, el almacenamiento cifrado permite que un programa almacene secretos que no puedan ser recuperados por programas en los que no se confía, como un virus o un troyano. El aislamiento fuerte de procesos proporciona un espacio de confianza para forjar un área segura (la PD). Las operaciones que se ejecutan en la PD están protegidas y aisladas de la PI, lo que las hace significativamente más seguras ante un ataque. La NGSCB también proporciona una entrada y una salida seguras. Con la NGSCB, las pulsaciones de tecla son cifradas antes de que puedan ser leídas por el soporte lógico y descifradas una vez que alcanzan la PD. Esto significa que no puede usarse un soporte lógico malicioso para grabar, robar o modificar pulsaciones de tecla. La salida segura es similar. La información que aparece en pantalla puede ser presentada al usuario para que nadie más pueda interceptarla ni leerla. Tomadas en conjunto, estas cosas permiten que un usuario sepa con un alto grado de confianza que el soporte lógico de su ordenador está haciendo lo que se supone que hace. A pesar de los recursos de confianza sustancial disponibles a la PD, sigue sin confiarse en la PI. La presente invención aborda esta y otras deficiencias de los actuales sistemas informáticos fiables. El documento US 6 308 208 B1 versa acerca de un procedimiento para monitorizar recursos informáticos distribuidos por la red usando agentes celulares distribuidos. Se asocia un conjunto de una o más células con un conjunto de recursos informáticos dados que comprende un recurso maestro. Preferentemente, cada célula está asociada con un recurso respecto del conjunto de recursos informáticos dados. Se asocia una célula de mayor nivel correspondiente al recurso maestro con una o más de las células de menor nivel. Un agente distribuido particular no monitorización no sabe necesariamente a qué otras células está afectando. Un mecanismo de vigilancia de células permite que una consola de operador monitorice el sistema automático... [Seguir leyendo]

un agente (355, 360) que se ejecuta en un entorno de ejecución de confianza, siendo el entorno de ejecución de confianza un entorno de ejecución que comprende un sistema operativo seguro (351) y que tiene acceso a una porción aislada de la memoria de un ordenador, en el que la porción aislada de la memoria del ordenador es accesible solo para el entorno de ejecución de confianza; un agente (390, 395) de monitorización asociado al agente y que se ejecuta en el entorno de ejecución de confianza, estando adaptado el agente de monitorización para proteger al agente contra un soporte lógico malicioso; y un agente base (380) de monitorización que se ejecuta en el entorno de ejecución de confianza, estando adaptado el agente base de monitorización para monitorizar el agente de monitorización. 2. El sistema de la reivindicación 1 en el que el agente es una máquina virtual que contiene una imagen de un sistema operativo. 3. El sistema de la reivindicación 2 en el que el agente de monitorización monitoriza la memoria de proceso para proteger a la máquina virtual contra ataques desde la imagen del sistema operativo contenido en la máquina virtual. 4. El sistema de la reivindicación 2 que, además, comprende una aplicación (305, 310) asociada con el agente de monitorización, en el que el agente base de monitorización protege a la aplicación contra un soporte lógico malicioso. 18 E08003059 30-11-2011   19 E08003059 30-11-2011   E08003059 30-11-2011   21 E08003059 30-11-2011   22 E08003059 30-11-2011