可信计算技术研究 沈昌祥40页PPT

舆论场Forum发展可信计算技术筑牢网络安全屏障——专访中国工程院院士沈昌祥文/本刊记者潘树琼李天楠当前，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间，也是国际战略在军事领域的演进，我国的网络安全正面临着严峻挑战。

该如何应对？发展可信计算技术与实施网络安全等级保护制度是构建国家关键信息基础设施、确保整个网络空间安全的基本保障；推广发展主动免疫的可信计算技术可以筑牢我国的网络安全防线。

那么我国可信计算技术发展情况如何？本刊独家专访长期致力于我国网络安全建设的中国工程院院士沈昌祥，详细剖析中国网络安全的深层含义。

从被动“防御”到主动“免疫”《网络传播》:《网络安全法》提出要推广安全可信的网络产品和服务,那么什么是主动免疫可信计算？沈昌祥：主动免疫可信计算采用运算和防护并存的主动免疫新计算模式,以密码为基因实施身份识别、状态度量、保密存储等主动防御措施，及时识别"自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

通过实施三重防护主动防御框架,能够实现攻击者进不去、非授权者重要中国工程院院士沈昌祥。

图/本刊记者潘树琼摄信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。

《网络传播》：请简要介绍主动免疫可信计算的技术逻辑？沈昌祥：主动免疫可信计算与人体的免疫系统在机理上类似。

主动免疫可信计算的防御措施类似于人体的免疫系统身份识别、状态度量和生物编码保护三大功能。

可信计算的密码则相当于人体的基因，对于“机体”的变异可用编码原理检验其有无变化。

计算系统的软硬件与可信系统的软硬件是可以并行的，保证计算机的健康运行不被干扰，并不是简单地为安全而安全的防护。

就像人体的免疫功能一样,是一个动态的支撑体系，可独立成为一个循环系统进行完整性检查。

《网络传播》：为何必须发展主动免疫可信计算技术，这和传统的“老三样”网络安全防护方式有哪些区别？沈昌祥：近年来，网络攻击频发再度为网络安全敲响警钟。

初始化以及平台硬件测试后将信任传递给操作系统，在这个阶段平台将传递信任根，ＢＩＯＳ会将信任链传递给ＭＢＲ，然后ＭＢＲ保存信任链并将信任传递给操作系统，将ＴＰＭ的控制权移交给操作系统后，操作系统会加载可信计算软件栈来访问ＴＰＭ，同时关闭ＢＩＯＳ对ＴＰＭ的支持，这样就完成了开机启动过程中整个信任链的传递。

整个信任传递流程见图３。

图３信任链传递流程３．２ＴＰＭ设计技术’ＴＰＭ是一个密码芯片硬件装置，它储存了独特的平台信息和加密钥匙，并包括了一个用于加密算法的随机数发生器。

它为安全可信计算提供硬件保护，它能够提供以下主要安全功能：＞受保护的密码处理过程：硬件保护下的密钥生成、随机数生成、ｈａｓｈ和数字签名操作以及加解密操作；＞受保护的存储：提供安全封闭式空间来存储信息，对敏感数据进行硬件保护存储；＞平台认证：ＴＰＭ包含一个密码学上唯一的值。

这个值只在平台所有者的控制下被用来生成平台别名ＩＤ以提供对可信平台身份的认证；＞平台可信状态：具有对平台可信状态证明的通信能力；＞存储和报告数据完整性测量结果：＞初始化和管理功能。

·４‘ＴＰＭ的实现可以在硬件或软件中完成。

下图４是关于ＰＣ的ＴＰＭ的体系结构。

图４ＴＰＭ体系结构图３．３可信软件栈设计技术可信计算软件栈由内核层、系统服务层和用户程序层二部分组成，其中内核层的核心软件是可信设备驱动模块，系统服务层的核心软件是可信设备驱动库模块和可信计算服务模块，而用户层的核心可信计算技术作者：冷欣， 沈崧作者单位：中国航天科工集团二院七○六所,1008541.期刊论文李超.王红胜.陈军广.孙蕊.LI Chao.WANG Hong-sheng.CHEN Jun-guang.SUN Rui基于可信计算的计算机安全防护体系设计-计算机安全2009,""(1)当今,计算机终端操作系统已经不能满足信息私密性和完整性的要求.纯软件的解决方案不能从本质上解决终端信息安全问题.据此,可信计算组织成立并发布了解决方案及相关规范.参考这些规范,利用现阶段计算机的相关资源,研究并设计了基于硬件PCI卡和软件协议栈的结合来构建稳固的计算机安全防护体系.2.会议论文刘欣.孙春来.刘敬申基于可信计算技术的主动防御系统2007由于PC机本身的缺陷带来的安全隐患，因而以现有被动防御手段无法彻底解决信息安全问题，为此，可信计算技术应运而生。

沈昌祥：可信计算让信息系统国产化真正落地作者：杨侠来源：《中国名牌》2016年第01期Windows系统升级的背后，有着怎样的可信计算机制较量？可信计算究竟是怎样的一种信息安全保障模式，在自主可控信息系统国产化战略中又能起到怎样的作用？带着这些问题，记者特别专访了信息安全领域权威专家、中国工程院院士沈昌祥。

《中国名牌》：对于可信计算在信息安全领域的主动免疫作用怎么理解？沈昌祥：可信计算与人体的免疫系统在机理上非常对应。

人体免疫有三大功能，分别是身份识别、状态度量和生物编码保护。

可信计算也是一样，可做身份的鉴别、状态的度量和重要信息加密存储。

可信计算的密码就相当于人体的基因，对于“基因”的变异可用编码原理检验其有无变化。

可信计算的免疫功能就像人体的免疫功能一样，是一个动态的支撑体系，可独立成为一个循环系统，进行完整性检查。

换言之，计算系统的软硬件与可信系统的软硬件是可以并行的，保证计算机的健康运行不被干扰，并不是简单的为安全而安全的防护。

目前我国的可信计算软硬件的发展已基本达到体系化要求，在这方面属于国际领先水平。

《中国名牌》：您曾提出“五可一有”的要求，具体指什么？为什么要有这样的要求？沈昌祥：“五可”是指“可知、可编、可重构、可信、可用”，“一有”是指“有自主知识产权”。

对于外企向中国企业的技术开放，我们非常欢迎，在这个过程中，一定要知道合作企业究竟开放了哪些内容，哪些内容是没开放的，没能拿到手的部分是不是可以用其他方法自己进行弥补，这就是“可知”。

“可编”强调的是引进以后能进行消化，会进行编码再吸收。

“可重构”是对引进的内容进行结构上的重构，比如流程处理上要创新变化，而且是要动真格的变化，这就是自主创新的部分。

“可信”则是指在重构的过程中可能出现新问题不被掌握，这就需要可信计算的机制进行保障。

“可用”当然是最后强调国产化的新产品是适应市场需求的，满足使用的需要。

我国的自主创新是必要的，要长远发展也必须要有自己的知识产权。

【沈昌祥】用可信计算构筑智能城市安全生态圈（一）2016 年10 月21 日，美国东海岸( 世界最发达地区) 发生世界上瘫痪面积最大（大半个美国）、时间最长（6个多小时）的分布式拒绝服务（DDOS）攻击。

造成该事件的原因是“物联网破坏者”（“ Mirai”未来）攻击美国大量的网络摄像头等物联网设备，把它们当“肉鸡”，攻击美国多个知名网站，使人们每天都使用的网站被迫中断服务。

更有甚者，攻击者Bricker Bot 已经升级为PDOS（永久拒绝服务攻击），即清除设备里的所有文件，破坏存储器并切断设备网络链接。

2017 年5 月12 日，一款名为“WannaCry”的勒索病毒网络攻击席卷全球，被攻击计算机的数据文件被加密，只有支付高额赎金才能解密恢复，从而导致大量信息系统无法正常工作，服务被中断、严重影响系统的可用性。

据统计，目前有近150 个国家受害，仅当天我国就有数十万例感染报告，教育、交通、医疗、能源网络成为本轮攻击的重灾区，大量加油站无法提供服务。

这两个案例是对智能城市的直接警示。

因为智能城市以全球可以互联互通的数据以及处理、传输这些数据的设备系统平台为基础，一旦受到DDOS、PDOS 的攻击，程序被篡改，数据被破坏，系统将无法运行，甚至会造成毁灭性破坏。

同时也警示我们，构筑智能城市的安全生态圈应该从两个方面考虑，一方面是数据系统要安全可控，另一方面是设备处理系统要安全可控。

为了解决网络空间安全问题，我国《网络安全法》中第十六条指出，“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

”近期发布的《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。

可信计算概述⽬录⼀、为什么需要可信计算？⼆、什么是可信计算？三、可信计算的发展概况四、可信计算技术五、围绕可信计算的⼀些争议参考⽂献⼀、为什么需要可信计算？如今信息技术已经成为了⼈们⽣活中不可分割的⼀部分，⼈们每天都通过计算机和互联⽹获取信息、进⾏各种活动。

但计算机与⽹络空间并不总是安全的，⼀⽅⾯⿊客们会通过在⽹络中散布恶意病毒来对正常⽤户进⾏攻击，例如2017年5⽉爆发的勒索病毒；另⼀⽅⾯许多不良⼚商会在⾃⼰的软件中“开后门”，趁⽤户不注意时获取⽤户的隐私或者弹出弹窗⼴告，这些都给维护⽹络空间的信息安全带来了巨⼤的挑战。

为了使⼈们能够正常地通过计算机在互联⽹上进⾏各种活动，我们必须建⽴⼀套安全、可靠的防御体系来确保我们的计算机能够按照预期稳定地提供服务。

⽬前⼤部分⽹络安全系统主要由防⽕墙、⼊侵检测、病毒防范等组成。

这种常规的安全⼿段只能在⽹络层、边界层设防，在外围对⾮法⽤户和越权访问进⾏封堵，以达到防⽌外部攻击的⽬的。

由于这些安全⼿段缺少对访问者源端—客户机的控制，加之操作系统的不安全导致应⽤系统的各种漏洞层出不穷，其防护效果正越来越不理想。

此外，封堵的办法是捕捉⿊客攻击和病毒⼊侵的特征信息，⽽这些特征是已发⽣过的滞后信息，属于“事后防御”。

随着恶意⽤户的攻击⼿段变化多端，防护者只能把防⽕墙越砌越⾼、⼊侵检测越做越复杂、恶意代码库越做越⼤，误报率也随之增多，使得安全的投⼊不断增加，维护与管理变得更加复杂和难以实施，信息系统的使⽤效率⼤⼤降低，⽽对新的攻击毫⽆防御能⼒。

近年来，“震⽹”“⽕焰”“Mirai”“⿊暗⼒量”“WannaCry勒索病毒”等重⼤安全事件频频发⽣，显然，传统防⽕墙、⼊侵检测、病毒防范等“⽼三样”封堵查杀的被动防御已经过时，⽹络空间安全正遭遇严峻挑战。

安全防护⼿段在终端架构上缺乏控制，这是⼀个⾮常严重的安全问题，难以应对利⽤逻辑缺陷的攻击。

⽬前利⽤逻辑缺陷的漏洞频繁爆出，如“幽灵”“熔断”，都是因为CPU性能优化机制存在设计缺陷，只考虑了提⾼计算性能⽽没有考虑安全性。

课题名称：基于攻击模式的可信软件的建模、度量与验证课题基金：国家自然科学基金重大科技研究计划面上项目，2008.1-2010.12课题责任人：李晓红课题依托单位：天津大学研究背景：随着计算机应用的不断发展，软件已渗透到国民经济和国防建设的各个领域，在信息社会中发挥着至关重要的作用。

但是，软件产品生产现状仍然不能令人满意，主要体现在软件质量得不到保证。

当软件发生失效时，会对人们生活工作带来不利影响，甚至造成巨大的损失。

为了解决这个问题，业界提出可信系统（Trusted System）的概念，并进一步成立了“可信计算组”TCG（Trusted Computing Group），制订了关于可信计算平台、可信存储和可信网络连接等一系列技术规范。

目前，可信计算发展中还存在一些亟待研究解决的问题：理论研究相对滞后，可信计算的理论研究落后于技术开发。

迫切需要研究如下的问题：软件系统的行为特征；软件可信性质与软件行为的关系；面向软件可信性质的设计和推理；以及软件系统可信性质的确认。

研究内容：面向可信软件的设计与开发，深入研究可信软件模型与工程方法，探索基于威胁树模型和攻击树模型构建可信软件模型的方法，研究基于面向方面编程的高可信软件工程方法学。

在可信软件的评估和度量方面，研究构建可信软件模型的可信性评估和度量系统的关键技术，以软件面临的威胁和攻击为核心研究内容，深入研究攻击模式并探求构建攻击模式系统的方法，实现攻击模式的自动识别、提取和求精。

以软件的容侵性、可预测性、可控性三个软件可信性质为核心，研究可信软件模型的定性评估和定量度量系统的构建技术，特别针对复杂软件探讨其不信任度评估和度量方法。

深入研究可信软件的验证理论与测试方法，在软件设计阶段，划分出可信攸关的核心组件，针对可信软件的核心组件，结合模型检测和定理证明进行形式化的验证；在软件测试阶段，研究基于统计方法的软件可信性测试，综合形式化的验证方法和实证方法确保软件可信性。