|
直播及回放入口: 下载钉钉扫码入群 为了便于大家更好的了解可信计算的发展和产业情况,今日我们还分享《2018网信自主创新调研报告》“可信计算”章节。   本报告由中国关键信息基础设施技术创新联盟组织相关成员单位共同编写。 专家委员会 主 任:倪光南 副主任:严 明、李新友、胡向东、胡伟武 委 员(按拼音排序): 曹 冬、陈晓桦、杜跃进、冯燕春、胡红升、李璐瑶、唐 彬、翟起滨、张焕国、张宇翔、赵战生、郑静清、祝国邦 可信计算 11 可信计算为网信自主创新保驾护航 随着信息技术的快速发展和网络安全形势的不断变化,我们逐渐认识到,掌握网信核心技术是我国摆脱网络安全受制于人的局面,保障重要信息系统及其数据安全的重要前提。保障芯片、整机、操作系统、数据库等基础软硬件的供应链安全,成为建设网络安全强国的重要保障前提。当前,我国信息技术产品的自主可控程度和安全管理水平相对较低,重要信息系统和关键基础设施存在大量安全隐患,但由于技术、产业等因素的限制,自主可控并不能在短期内完全解决网络安全受制于人的问题。 缓解或解决网络安全受制于人问题,需要从安全问题的根源着手。网络安全问题源于人们对IT认知逻辑的局限性,由于不能穷尽所有组合,只能局限于完成计算任务去设计IT系统,必定存在逻辑不全的缺陷,从而难以应对人为利用缺陷进行攻击。因此,为了安全,必须从逻辑正确验证、计算体系结构和计算模式等方面进行科学技术创新,以解决缺陷不被攻击者利用的问题,形成攻防矛盾的统一体。可信计算以物理可信根为基础,一级验证一级,通过构建可信链条,为用户提供可信存储、可信度量和可信报告等多种功能,保证用户的数据安全,为用户提供可信任的计算环境。利用可信计算技术,可以有效弥补自主可控产品的安全缺陷、降低安全风险,实现信息系统从自主可控到安全可信的提升,为自主可控战略保驾护航。 22 可信计算的三个发展阶段 可信计算的发展路径大体可分为可信计算1.0、可信计算2.0和可信计算3.0三个阶段。 图1 可信计算的发展路径 可信计算1.0是以容错技术为标志,以保障系统的可靠性为主要目标,采用故障排除、冗余备份等手段解决软硬件随机故障、物理干扰、设计错误等影响系统正常运行的各种问题。 可信计算2.0以可信计算组织(TCG)提出的TPM技术为代表,主要采用硬件被动挂接、软件被动调用模式,通过应用程序调用TPM的可信度量、可信存储、可信报告等功能,实现对信息系统的静态保护。由于未改变原有体系结构,故难以对系统进行主动防御。国际上可信计算的推动者主要是TCG,其制定了一系列可信计算技术规范,并不断对这些技术规范进行修改完善和版本升级。2013年,TCG公开发布了第二代可信平台模块(TPM2.0)标准库,并积极推动其成为国际标准。目前,国内外几乎所有品牌的笔记本电脑都配备了TPM芯片,一些公司推出了可信终端和服务器产品。 我国对可信计算的研究开始于上个世纪90年代初,经过长期攻关形成了自主创新的可信计算3.0技术体系。可信计算3.0采用运算和防御并行的双体系架构,在计算运算的同时进行安全防护,形成主动防护的新型计算模式,使计算全程可测可控、不被干扰,使计算结果总是与预期保持一致。可信计算3.0能为用户提供数据保护、身份证明和完整性度量、存储、报告等功能,将可信计算技术与访问控制机制结合,可以建立计算机系统的免疫体系,及时识别“自己”和“非己”成份,禁止未授权行为,使攻击者无法利用缺陷和漏洞对系统进行非法操作,最终达到“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的效果。 33 主动免疫的可信计算3.0 1、可信体系架构的创新 可信计算3.0体系创造性地提出了双系统体系架构和主动可信监控机制,提出了在保持现有应用系统不变的情况下,构建自主自控的可信系统,为应用提供主动免疫的工作环境的可信计算体系架构。 图2 可信计算3.0体系架构 双系统体系架构是指保持可信计算平台原有通用计算体系结构不变,在其外建立一个逻辑上独立的可信计算体系。通过可信计算体系对通用计算体系硬件和操作系统的可信监控机制实现对通用计算体系上运行应用的可信保障。而其对通用计算体系的监控方式就是主动监控方式,通过可信监控机制拦截系统的行为并进行可信判定,及时发现并禁止不符合预期的行为,保证可信平台预期行为的可靠运行。 双系统体系架构保持了现有应用的兼容性,现有应用不需修改即可利用可信计算技术实施可信监控,使得可信计算技术能够广泛应用于现有系统当中,成为普及型的安全技术。 2、可信计算关键技术的创新 双系统体系架构下可信计算是一个从系统底层到上层的完整体系。其以密码技术为基础, 芯片为信任根, 主板为平台, 软件为核心, 网络为纽带, 应用成体系。为实现双系统体系架构下的可信计算机制,我国可信计算领域的科研工作者们在可信密码技术、可信芯片、可信主板、可信基础软件和可信网络连接等方面突破难关,进行了多项关键技术创新,构建起了一个可信计算技术体系。 图3 可信计算3.0的技术创新点 (1)可信计算密码技术的创新 密码体制是可信计算的基础, 可信3.0架构依据国内标准,针对国内需求,在三个方面实施了创新: 首先,可信3.0架构下的可信计算密码技术以国内密码算法为基础,对称密钥算法使用SM4算法,非对称密钥算法使用SM2算法,哈希算法使用SM3算法。使得可信密码机制符合国内标准,满足自主自控的要求。 其次,可信3.0架构下的可信计算密码技术采用对称和非对称密码相结合,对称密码算法用于可信存储和数据保护,非对称密码算法用于签名认证和密钥管理,使得可信密码机制更为合理,提升了系统性能,使其可以支持高性能的数据加解密处理。 最后,可信3.0架构下的可信计算密码技术采用双证书体系,将TCG提出的五种证书配置简化为两种。用平台证书认证系统,用加密证书保护密钥,并且将加密功能和系统认证功能分离管理,符合国内证书要求,简化了证书管理工作,并且方便系统通过隔离增强加密和认证功能的安全性。 (2)可信平台控制模块的创新 可信计算3.0提出以可信平台控制模块(TPCM)作为可信根,TPCM在提供可信密码功能的TCM模块基础上增添对系统和外设的总线级控制机制。TPCM是系统可信的源头,它将密码机制与控制机制相结合,先于CPU启动,主动对主板进行度量并实施控制。这一度量控制方式使得系统的信任起点从TPCM开始,不依赖于CPU或系统的BIOS代码,因此可以有效地规避CPU后门或对BIOS的恶意篡改,保证系统初始度量过程的可信性,并为系统硬件层面的控制机制提供一条自主自控的可信途径。目前开展TPCM研究的厂商包括华大半导体和御芯微电子(厦门)有限公司。 (3)可信主板的创新 可信3.0下的可信平台主板将可信节点与计算节点融合,可信节点由TPCM和系统中的多个度量节点(包括TPCM对Boot ROM的度量机制)组成,计算节点保持原有架构不变。这一创新设计在CPU上电前,由TPCM主动对Boot ROM进行度量,让信任链在“加电第一时刻”开始建立,从而提高了系统安全性。同时在主板上的多个度量节点实施多度量代理,通过这些度量代理来提供硬件控制,在可信根和可信软件之间补充硬件环境的信任传递过程,并为可信软件层提供可信硬件度量和控制接口。 (4)可信软件基的创新 基于双系统体系结构的思想,可信计算3.0创造性地提出了以原始信息系统为宿主软件系统,在其内部独立构建基于可信软件基的可信软件架构,通过可信软件架构支撑系统可信运行环境的双系统体系结构。 可信软件基在可信计算体系中处于承上启下的核心地位,对上与可信管理机制对接,通过主动监控机制保护应用,对下管理TPCM和其它可信硬件资源,对系统安全机制提供可信支撑,同时与网络环境中其它可信软件基实现可信协同。可信软件基,并行于宿主基础软件,在TPCM的支撑下通过在宿主操作系统内部进行主动拦截和度量保护,实现主动免疫防御的安全能力。目前开展可信软件基研究的厂商主要是可信华泰信息技术有限公司。 (5)可信网络连接的创新 可信计算3.0针对集中控管的网络安全环境,创造性地提出了三元三层可信连接架构。这一架构能够为我国等级保护和分级保护制度中通过安全管理中心集中管理的网络安全架构提供可信支撑,有效防范合谋攻击等来自内部的攻击手段。同时,这一架构在纵向上把网络访问、可信评估和可信度量分层处理,使得系统的结构清晰,控制有序。在横向上则进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别,实现了服务器集中控管的网络可信连接模式,提高了架构的策略和可管理性。目前开展可信网络连接研究的厂商主要是西安西电捷通无线网络通信股份有限公司。 可信计算3.0主动免疫防御特性 可信计算3.0其理论基础为计算复杂性理论以及可信验证。它针对已知流程的应用系统,根据系统的安全需求,通过“量体裁衣”的方式,针对应用和流程制定策略来适应实际安全需要,特别适合为重要生产信息系统提供安全保障。 图4 可信计算3.0防御特性 可信计算3.0以密码为基因,通过主动识别、主动度量、主动保密存储,实现统一管理平台策略支撑下的数据信息处理可信和系统服务资源可信,可在攻击行为的源头判断异常行为并进行防范,其安全强度较高,可抵御未知病毒、未知漏洞的攻击,能够智能感知系统运行过程中出现的问题。 可信计算3.0通过独立的可信架构实现主动免疫,对现有硬软件架构影响小,实现成本低。可以利用现有计算资源的冗余,在多核处理器内部实现可信节点。同时,可信计算3.0提供可信UKey接入、可信插卡以及可信主板改造等不同的方式,既可适用于新系统建设,也可用于旧系统改造;系统通过对应用透明的主动可信监控机制保障应用可信运行,不需要修改原应用,而是通过制定策略进行主动实时防护,这种防护机制对业务性能影响很小。可信3.0应用实例表明系统性能影响在3%以下。 |
|
|
来自: kaller_cui > 《可信计算》
