可信計算的發(fā)展路徑大體可分為可信計算1.0�����、可信計算2.0和可信計算3.0三個階段�。
圖1 可信計算的發(fā)展路徑
可信計算1.0是以容錯技術(shù)為標志,以保障系統(tǒng)的可靠性為主要目標��,采用故障排除�、冗余備份等手段解決軟硬件隨機故障、物理干擾、設(shè)計錯誤等影響系統(tǒng)正常運行的各種問題�。
可信計算2.0以可信計算組織(TCG)提出的TPM技術(shù)為代表,主要采用硬件被動掛接���、軟件被動調(diào)用模式��,通過應(yīng)用程序調(diào)用TPM的可信度量��、可信存儲�、可信報告等功能�����,實現(xiàn)對信息系統(tǒng)的靜態(tài)保護��。由于未改變原有體系結(jié)構(gòu),故難以對系統(tǒng)進行主動防御。國際上可信計算的推動者主要是TCG�,其制定了一系列可信計算技術(shù)規(guī)范��,并不斷對這些技術(shù)規(guī)范進行修改完善和版本升級��。2013年�����,TCG公開發(fā)布了第二代可信平臺模塊(TPM2.0)標準庫���,并積極推動其成為國際標準�。目前�����,國內(nèi)外幾乎所有品牌的筆記本電腦都配備了TPM芯片�,一些公司推出了可信終端和服務(wù)器產(chǎn)品。
我國對可信計算的研究開始于上個世紀90年代初����,經(jīng)過長期攻關(guān)形成了自主創(chuàng)新的可信計算3.0技術(shù)體系�����?�?尚庞嬎?.0采用運算和防御并行的雙體系架構(gòu)�,在計算運算的同時進行安全防護,形成主動防護的新型計算模式�����,使計算全程可測可控、不被干擾��,使計算結(jié)果總是與預(yù)期保持一致��?�?尚庞嬎?.0能為用戶提供數(shù)據(jù)保護�����、身份證明和完整性度量���、存儲��、報告等功能�,將可信計算技術(shù)與訪問控制機制結(jié)合�,可以建立計算機系統(tǒng)的免疫體系,及時識別“自己”和“非己”成份�����,禁止未授權(quán)行為�,使攻擊者無法利用缺陷和漏洞對系統(tǒng)進行非法操作,最終達到“進不去�、拿不到����、看不懂�����、改不了��、癱不成����、賴不掉”的效果。
可信計算3.0體系創(chuàng)造性地提出了雙系統(tǒng)體系架構(gòu)和主動可信監(jiān)控機制,提出了在保持現(xiàn)有應(yīng)用系統(tǒng)不變的情況下�,構(gòu)建自主自控的可信系統(tǒng)����,為應(yīng)用提供主動免疫的工作環(huán)境的可信計算體系架構(gòu)。
圖2 可信計算3.0體系架構(gòu)
雙系統(tǒng)體系架構(gòu)是指保持可信計算平臺原有通用計算體系結(jié)構(gòu)不變�,在其外建立一個邏輯上獨立的可信計算體系。通過可信計算體系對通用計算體系硬件和操作系統(tǒng)的可信監(jiān)控機制實現(xiàn)對通用計算體系上運行應(yīng)用的可信保障�����。而其對通用計算體系的監(jiān)控方式就是主動監(jiān)控方式,通過可信監(jiān)控機制攔截系統(tǒng)的行為并進行可信判定����,及時發(fā)現(xiàn)并禁止不符合預(yù)期的行為,保證可信平臺預(yù)期行為的可靠運行�。
雙系統(tǒng)體系架構(gòu)保持了現(xiàn)有應(yīng)用的兼容性,現(xiàn)有應(yīng)用不需修改即可利用可信計算技術(shù)實施可信監(jiān)控�����,使得可信計算技術(shù)能夠廣泛應(yīng)用于現(xiàn)有系統(tǒng)當中�,成為普及型的安全技術(shù)。
雙系統(tǒng)體系架構(gòu)下可信計算是一個從系統(tǒng)底層到上層的完整體系�。其以密碼技術(shù)為基礎(chǔ), 芯片為信任根, 主板為平臺, 軟件為核心, 網(wǎng)絡(luò)為紐帶, 應(yīng)用成體系。為實現(xiàn)雙系統(tǒng)體系架構(gòu)下的可信計算機制�����,我國可信計算領(lǐng)域的科研工作者們在可信密碼技術(shù)�、可信芯片、可信主板�、可信基礎(chǔ)軟件和可信網(wǎng)絡(luò)連接等方面突破難關(guān)�,進行了多項關(guān)鍵技術(shù)創(chuàng)新�,構(gòu)建起了一個可信計算技術(shù)體系。
圖3 可信計算3.0的技術(shù)創(chuàng)新點
(1)可信計算密碼技術(shù)的創(chuàng)新
密碼體制是可信計算的基礎(chǔ), 可信3.0架構(gòu)依據(jù)國內(nèi)標準�,針對國內(nèi)需求,在三個方面實施了創(chuàng)新:
首先�����,可信3.0架構(gòu)下的可信計算密碼技術(shù)以國內(nèi)密碼算法為基礎(chǔ)��,對稱密鑰算法使用SM4算法���,非對稱密鑰算法使用SM2算法����,哈希算法使用SM3算法����。使得可信密碼機制符合國內(nèi)標準����,滿足自主自控的要求。
其次����,可信3.0架構(gòu)下的可信計算密碼技術(shù)采用對稱和非對稱密碼相結(jié)合���,對稱密碼算法用于可信存儲和數(shù)據(jù)保護,非對稱密碼算法用于簽名認證和密鑰管理�,使得可信密碼機制更為合理,提升了系統(tǒng)性能�,使其可以支持高性能的數(shù)據(jù)加解密處理。
最后��,可信3.0架構(gòu)下的可信計算密碼技術(shù)采用雙證書體系�,將TCG提出的五種證書配置簡化為兩種。用平臺證書認證系統(tǒng)�,用加密證書保護密鑰,并且將加密功能和系統(tǒng)認證功能分離管理�,符合國內(nèi)證書要求,簡化了證書管理工作��,并且方便系統(tǒng)通過隔離增強加密和認證功能的安全性��。
(2)可信平臺控制模塊的創(chuàng)新
可信計算3.0提出以可信平臺控制模塊(TPCM)作為可信根����,TPCM在提供可信密碼功能的TCM模塊基礎(chǔ)上增添對系統(tǒng)和外設(shè)的總線級控制機制。TPCM是系統(tǒng)可信的源頭,它將密碼機制與控制機制相結(jié)合����,先于CPU啟動,主動對主板進行度量并實施控制����。這一度量控制方式使得系統(tǒng)的信任起點從TPCM開始,不依賴于CPU或系統(tǒng)的BIOS代碼�����,因此可以有效地規(guī)避CPU后門或?qū)IOS的惡意篡改����,保證系統(tǒng)初始度量過程的可信性,并為系統(tǒng)硬件層面的控制機制提供一條自主自控的可信途徑�。目前開展TPCM研究的廠商包括華大半導(dǎo)體和御芯微電子(廈門)有限公司。
(3)可信主板的創(chuàng)新
可信3.0下的可信平臺主板將可信節(jié)點與計算節(jié)點融合�,可信節(jié)點由TPCM和系統(tǒng)中的多個度量節(jié)點(包括TPCM對Boot ROM的度量機制)組成,計算節(jié)點保持原有架構(gòu)不變��。這一創(chuàng)新設(shè)計在CPU上電前,由TPCM主動對Boot ROM進行度量�,讓信任鏈在“加電第一時刻”開始建立,從而提高了系統(tǒng)安全性�。同時在主板上的多個度量節(jié)點實施多度量代理,通過這些度量代理來提供硬件控制����,在可信根和可信軟件之間補充硬件環(huán)境的信任傳遞過程,并為可信軟件層提供可信硬件度量和控制接口����。
(4)可信軟件基的創(chuàng)新
基于雙系統(tǒng)體系結(jié)構(gòu)的思想,可信計算3.0創(chuàng)造性地提出了以原始信息系統(tǒng)為宿主軟件系統(tǒng)��,在其內(nèi)部獨立構(gòu)建基于可信軟件基的可信軟件架構(gòu)��,通過可信軟件架構(gòu)支撐系統(tǒng)可信運行環(huán)境的雙系統(tǒng)體系結(jié)構(gòu)���。
可信軟件基在可信計算體系中處于承上啟下的核心地位�����,對上與可信管理機制對接����,通過主動監(jiān)控機制保護應(yīng)用��,對下管理TPCM和其它可信硬件資源����,對系統(tǒng)安全機制提供可信支撐�����,同時與網(wǎng)絡(luò)環(huán)境中其它可信軟件基實現(xiàn)可信協(xié)同�?�?尚跑浖?����,并行于宿主基礎(chǔ)軟件�,在TPCM的支撐下通過在宿主操作系統(tǒng)內(nèi)部進行主動攔截和度量保護,實現(xiàn)主動免疫防御的安全能力�����。目前開展可信軟件基研究的廠商主要是可信華泰信息技術(shù)有限公司��。
(5)可信網(wǎng)絡(luò)連接的創(chuàng)新
可信計算3.0針對集中控管的網(wǎng)絡(luò)安全環(huán)境�����,創(chuàng)造性地提出了三元三層可信連接架構(gòu)��。這一架構(gòu)能夠為我國等級保護和分級保護制度中通過安全管理中心集中管理的網(wǎng)絡(luò)安全架構(gòu)提供可信支撐,有效防范合謀攻擊等來自內(nèi)部的攻擊手段���。同時�,這一架構(gòu)在縱向上把網(wǎng)絡(luò)訪問���、可信評估和可信度量分層處理,使得系統(tǒng)的結(jié)構(gòu)清晰��,控制有序�。在橫向上則進行訪問請求者、訪問控制者和策略仲裁者之間的三重控制和鑒別����,實現(xiàn)了服務(wù)器集中控管的網(wǎng)絡(luò)可信連接模式,提高了架構(gòu)的策略和可管理性�。目前開展可信網(wǎng)絡(luò)連接研究的廠商主要是西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司。
可信計算3.0其理論基礎(chǔ)為計算復(fù)雜性理論以及可信驗證���。它針對已知流程的應(yīng)用系統(tǒng)����,根據(jù)系統(tǒng)的安全需求��,通過“量體裁衣”的方式,針對應(yīng)用和流程制定策略來適應(yīng)實際安全需要��,特別適合為重要生產(chǎn)信息系統(tǒng)提供安全保障����。
圖4 可信計算3.0防御特性
可信計算3.0以密碼為基因,通過主動識別��、主動度量���、主動保密存儲,實現(xiàn)統(tǒng)一管理平臺策略支撐下的數(shù)據(jù)信息處理可信和系統(tǒng)服務(wù)資源可信�,可在攻擊行為的源頭判斷異常行為并進行防范���,其安全強度較高��,可抵御未知病毒���、未知漏洞的攻擊,能夠智能感知系統(tǒng)運行過程中出現(xiàn)的問題����。
可信計算3.0通過獨立的可信架構(gòu)實現(xiàn)主動免疫,對現(xiàn)有硬軟件架構(gòu)影響小�,實現(xiàn)成本低��??梢岳矛F(xiàn)有計算資源的冗余�����,在多核處理器內(nèi)部實現(xiàn)可信節(jié)點�。同時����,可信計算3.0提供可信UKey接入、可信插卡以及可信主板改造等不同的方式�,既可適用于新系統(tǒng)建設(shè),也可用于舊系統(tǒng)改造��;系統(tǒng)通過對應(yīng)用透明的主動可信監(jiān)控機制保障應(yīng)用可信運行����,不需要修改原應(yīng)用,而是通過制定策略進行主動實時防護����,這種防護機制對業(yè)務(wù)性能影響很小?�?尚?.0應(yīng)用實例表明系統(tǒng)性能影響在3%以下。
