张焕国：关于可信计算的进一步研究和发展 - 产品和技术 - 赛迪网

张焕国：关于可信计算的进一步研究和发展

发布时间：2010.10.25 00:46      来源：赛迪网     作者：子鉃

【赛迪网-IT技术讯】从TCP在A1999年成立到2003年改组为TCG，可性行计算到今天已经历了十年辉煌发展历程，取得了令世人瞩目的成绩。我们今天还要不要继续进一步研究和发展可行性计算，以及如何来研究和发展可行性计算是大家十分关心的问题，在我的报告里就我的个人看法，想和在座朋友们进行交流，我主要汇报这几个方面的问题，首先简单回忆一下可行性计算的发展，大家知道99年底一个重要的组织可行性计算联盟TCPA成立，标志着可行性计算进入一个新的阶段。TCPA在03年改名为TCG，标志可行性计算技术和应用领域进一步扩大了。

在中国05年武汉大学和瑞达公司合作，开始研究开发安全计算机，这方面的研究工作从一开始就得到了中国政府和密码管理局的支持。在欧洲06年成立了OPENTC。可行性计算已经成为信息安全领域的新的热点，表现以下几个方面，首先是可行性计算的方式，已经成为最近几年许多国际学术会议的重要议题，而且可行性计算已经取得很多实际的研究成果，并得到一定的实际应用，在中国国家自然科学基金组织支持一个重大研究计划，叫可行性软件重大研究计划，这都表明可行性计算技术已经成为信息安全领域的新的热点。

十年来可行性计算领域已经取得哪些重要成果呢？首先要提出国际上已经制定了两个系列的技术规范，TCG提出了一系列的规范，比如PT规范，TPM的规范以及嵌入式TPM的规范、可行性存储的规范等等。在国家政府和密码管理局的领导下，也积极开展了技术标准的制定工作，已经制定出一些技术规范，制定出的是可行性计算密码支撑平台的功能和接口规范，还制定出可行性主板、可行性连接等规范，还有一些技术规范在中国正在加紧制定当中，比如TPM芯片规范，可行性计算平台测评规范、可行性服务器以及可行性软件的规范。在可行性计算产品方面，许多集成电路企业推出了TPM芯片，许多品牌的PC机，特别是笔记本电脑几乎都配备了TPM芯片，据说惠普公司提出了自己的可行性服务器，日本推出可行性TPA。另外网络安全公司推出了很多基于TNC的网络安全产品。

在中国，可行性计算的产品也非常多，武汉瑞达公司等推出了符合中国技术规范的TCM芯片，相联想等很多公司都开发出符合国家技术规范的密码支撑平台这样的产品，也推出了自己的可行性PC机。武汉大学已经研制成功中国的第一款可行性PDA，这个研究是在国家863计划支持下完成的，同时推出了可行性计算平台的测评软件系统，也是在国家863计划支持下完成的。像清华大学、武汉大学等单位都研制出DMC的原型系统。这是瑞达公司的TPM和TCM芯片，这是可行性计算机，这是武汉大学推出的可行性PDA、可行性计算平台测评软件系统的系统界面。

第三点可行性计算在十年当中的成绩就是可行性计算得到了一定范围的应用，这个应用在中国主要集中在电子商务领域，电子政务领域以及数字知识产权的管理，还包括网络安全这些方面。

下面汇报第二个问题，尽管可行性计算走过了辉煌了十年，取得了令世人瞩目的成绩，但现阶段可行性计算的发展过程中仍然存在一些问题，这些问题需要我们大家共同努力克服。我们在2007年提出来，可行性计算目前存在如下五个问题。第一个问题是可行性计算的理论研究滞后，技术超前，理论滞后。为什么呢？那么多产品、技术规范都制订了，但大家公认的可行性计算理论模型没有，软件的动态度量模型没有，需要进一步的开展理论研究。第二技术方面还有一些关键技术需要研究和解决。第三是缺少可行性操作系统、可行性数据库和可行性网络和可行性应用互相配套。第四个缺少按照机制和可靠机制的配合。第五方面，目前可行性计算的运用还不够广泛。下面具体来说。

经过十年，这五个问题已经取得了很大进展，但从整体上我们认为，这五个问题依然存在，仍然需要我们大家共同研究解决，共同推动可行性计算的发展。首先看理论运用之后的问题，取得哪些进展呢？武汉大学提出并且开展基于软件行为的动态度量模型的研究，河北大学开展了基于软件行为研究，武汉大学提出并且实际运用了新型度量模型，另外很多单位，像北京工业大学等都开展了无干扰理论用于可行性计算的研究。但仍然缺乏有效的软件的动态度量模型和方法。

第二方面看一下关键技术，首先看TPM芯片，在中国国家密码管理局领导下制定了中国的TPM芯片的规范，建成TCM，在密码配置方面采用了对称密码和非对称密码相结合的技术机制，这是非常行之有效的机制。这样的做法得到了TCG的赞赏和采纳，TCG在积极推动TPM.NEXT，吸取了中国TPM的优点。TPM.NEXT将要致力于解决TPM芯片的本地化问题以及兼容性问题，采用密码在不同国家使用的时候允许密码算法的替换，这更适合不同国家的实际应用。另外新的TPM将会支持虚拟化，通过属性定义密钥，这样的好处是TPM当中的密钥种类减少，密钥管理复杂性降低。因为原来TPM当中定义了七类密钥，密钥种类比较多，管理也比较麻烦，新的TPM.NEXT会减少密钥种类，使得密钥管理变得简单化。同时减少TPM的状态，使得TPM管理也比较容易。支持不同国家、不同地区的TPM互换，我们觉得TCG的TPM.NEXT的这些技术发展，都是非常有益的，非常重要的，我们期待它取得成功。

另外在信任链方面，英特尔芯片组支持DRTM，武汉大学开发的可信PDA当中也提出采用了新型的信任模型。这就是信任链上的一些进展，但仍然存在一些问题。比如说很多早期的可行性计算产品在信任链实现方面存在比较明显的差距，有的产品没有信任连，只给用户提供密码调用的运用接口。尽管TCG制定TPM.NEXT的规范，可是现在还没有看到TPM.NEXT芯片产品。再有虽然支持DRTM，叫做动态度量，但这个DRTM不是基于软件行为的动态度量，而仍然是一种基于数据完整性的多次度量，只是可以多次度量而不是基于软件行为的动态度量。另外TCG规范等已经写出的I/O保护的问题，目前我没有看到哪个产品实现，这些问题都需要我们进一步的研究。

第三方面关于缺少可行性计算操作系统和网络的互相配合，可行性计算主要是提高系统安全性，光有平台可行性，没有操作系统和网络的规范是不行的。中国在软件规范的研究和制定的过程中，用户还需要操作系统、数据库网络的可行性。

第四方面关于安全机制和可靠性机制之间的互相结合，我们知道，信息系统的设备稳定可靠可用的工作是信息安全的第一步，是基础，如果没有这个，其他的机制就没有办法发挥作用。因此对用户最关心的是系统首先是稳定可靠可用的工作，第二系统和信息是安全的，这样的话用户才是满意的。武汉大学做了一点尝试，我们提出新型的信任链模型，其中就具备数据的恢复，如果在信任链过程当中度量发现哪个地方损害了，或者被病毒传染了，可以立即恢复，从一定程度上体现了可靠和安全互相结合的思想。

第五方面是应用，虽然取得了一些应用，但目前总的来说这个应用规模还是不大的，应用范围也不够宽，影响应用原因有几个。首先一个是某一些可行性计算的产品不够完善。还有一些公司缺少应用产品和解决方案，用户拿到可行性计算PC机要解决某一方面的问题，还需要进行大量的开发，某些小的企业并没有这种能力。另外技术规范还要抓紧制定，很多规范长时间不能制定出来，这样会影响企业产品开发，也就应该到可行性计算的应用了。

前面我回忆了一下十年当中可行性计算取得的成绩和存在的问题，面对这样的问题，我们下一步应该怎么做，我这里建议三点，第一对可行性计算进行深入研究，第二对可行性计算进行扩展研究，第三对可行性计算进行应用研究。

首先看第一个什么是深入研究，前面说了可行性计算存在上面五个问题我们针对这五个问题没有解决的，我们进一步解决，这就是深入研究。首当其冲的是可行性计算理论研究，这需要我们进一步深入研究。第二是关键技术研究，在关键技术上，首先是规范，应当加快制定出规范，这样企业才能推出符合规范的产品。另外比如说可行性的服务器问题，还有保护的问题，动态度量问题等等，这些问题都是值得我们进一步研究的。第三方面就是关于可行性计算平台和可行性数据库、操作系统、网络的互相配合的问题，我们觉得可行性软件的研究是非常重要的，在软件安全性方面，操作系统的安全性和数据库的安全性很早以前就已经引起我们的注意，并且进行了很多的研究，取得了很多的成果。

但是编译区的安全研究最近几年才得到重视，可行性编译主要是两方面的研究。第一是可行性编译本身的安全，因为编译器也是软件，如果被病毒传染，编译出的代码也都带病毒了。另外通过编译器确保产生的代码的安全性。大家知道软件工程就是从软件的整个生命周期确保软件的质量，以前我们关注软件质量主要是指正确没有错误，没有故障，但信息安全性为什么不是质量指标呢？我们认为软件安全性不仅是软件质量指标，而且是一个重要的软件质量指标，因此应当从软件的整个生命周期来确保软件的安全性。相应就有可信程序设计方法学的研究，可信软件的开发技术研究。

另外就可行性计算平台的测评，目前武汉大学在国家863计划项目支持下进行了可行性计算平台的测评，我们认为对于用户而言光有平台不够，要把研究范围和目标从可行性计算平台发展到可行性计算环境，所谓环境就是除了硬件平台还要包括基础软件和一部分基础性的应用软件。相应的测评就应该从可行性计算平台测评发展到可行性计算环境的测评，比如可行性网络，TNC已经有规范，而且已经有产品，但是只是解决了网络的连接的可行性问题，还要研究可行性资源共享。大家知道建立网络的主要目的是数据传输和资源共享，数据传输可以用密码技术比较好的解决，那可行性资源共享就是值得研究的非常重要的问题。

关于安全机制，容错机制和互相结合的问题应当把这两种机制互相结合起来，让他们共同在可行性计算平台当中发挥作用，达到系统既容错又容灾又溶侵又安全，确保软件安全、系统安全和信息安全。基于这样的理念和观点，我们在04年就提出了可行性约等于可靠加安全这样的通俗的说法。

深入研究的第五个方面是扩展应用，我们知道，可行性计算已经取得了一些应用，但应用的规模不大，应用范围也不够广，因此我们希望能抓紧制定各种技术规范，依据规范提高可行性计算产品质量，推出用户欢迎的解决方案。另外提高产品质量，促进应用的方法就是抓紧进行可行性计算产品的测评，通过测评可以发现产品的质量在哪些方面具有优点和缺陷，因此有助于可行性计算产品质量的提升。扩展可行性计算应用是十分重要和紧迫的，如果可行性计算长期得不到广泛应用，我认为可行性计算将会逐渐消亡，这是十分值得我们每一个人所关注的。

第二个我介绍一下下一步我们开展研究，基于可行性计算进行扩展研究。可行性计算是信息安全领域的一个新技术，而且是一个行之有效的技术，它可以确保基础设施的安全，因此可行性计算能够支持任何形式的计算模式，能够支持任何形式的信息系统。只要你这个系统用计算机，就能支持，除非这个系统不用计算机，打算盘了，那就不能支持了。不管你是过去的网格计算、朴实计算还是云计算、物联网，只要你采用计算机，都能够支持你，增强你的安全，它是增强计算机系统安全的技术，只要你用计算机，他就能支持你。在这方面我们曾经在毛文波同志的带领下做过一些应用方面的研究，早期我们和惠普公司合作，做过一个研究，基于可行性计算技术，增强网格技术安全性。第二次研究和NMC公司合作，以可行性计算技术增强云计算安全的研究，也可以支持物联、网三网融合等新的信息系统。

我们举个例子，因为云计算是一个新的计算和服务模式，目前是新的热潮，可是云计算方面，可行性计算能不能发挥作用呢？在哪些方面发挥作用呢？首先云计算出现之后，在云计算系统当中，计算设备和用户数据是共享的，是公共存储的，这样必然引起用户心理上的变化，用户不放心。因为我的数据放到云上，不知道放在哪了，不知道安全是否得到保证，所以用户自然会不放心。这方面我们现在的货币银行已经取得广大民众的信任，非常成功，而我们都把多余的钱存在银行，因为我们已经信任银行了。因此可行性计算应该学习和接见货币银行成功的经验，只要是云计算能保证用户的数据安全、可用，用户就相信和信任云计算了。这时候他们就会愿意使用云计算，愿意把自己的数据放到云计算，这时候可行性计算就能够真正的为广大用户服务了。

因此，可行性计算在云计算当中可以发挥重要的作用。

另一方面基于可行性计算的技术和产品可以进一步扩展开发出各种各样的信息安全产品，比如说基于可行性计算的产品可以开发出很多网络安全的产品，可以开发出很多系统安全的产品，这些都可以使可行性计算产品和技术得到更大范围的应用。因此我们认为，只有可行性计算得到广泛的应用，才能真正算成功了，否则就会逐渐消亡。

最后我谈一下这么几个结论，可行性计算发展和应用实践告诉我们，可行性计算是一个信息安全的新技术，而且是行之有效的技术。可行性计算已经走过辉煌的十年的历程，并且取得了举世瞩目的陈果。但是可行性计算应当与时俱进，进一步逐渐的完善，进一步扩大应用，发挥越来越大的实际作用。我相信，可行性计算的明天会更美好，谢谢大家！