中国可信技术的创新解析
记者:您曾经提到可信计算是一种“免疫”的计算模式,应当如何理解?
沈昌祥:信息安全问题是由设计缺陷而引起,传统的计算机体系结构只强调了计算功能,而没有考虑安全防护,这相当于一个人没有免疫系统,只能生活在无菌状态下。当前大部分网络安全系统主要是由防火墙、入侵监测和病毒防范等组成,消极被动的封堵查杀是防不胜防的。可信计算就是要为计算机建立起免疫系统。从专业的定义上来说,可信计算是指计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。可以说,可信计算就是一种运算和防护并存的主动免疫的新计算模式,具有身份识别、状态度量、保密存储等功能,能及时识别“自己”和“非己”成份,从而破坏与排斥进入机体的有害物质。
记者:与国际可信计算组织TCG相比,中国可信计算理论体系发展有哪些创新和突破?
沈昌祥:中国可信计算于1992年正式立项研究并规模应用,早于TCG(2000年成立),经过长期攻关,形成了“密码为基础、芯片为支柱、主板为平台、软件为核心、网络为纽带、应用成体系”的可信计算技术结构框架。这样一套体系架构实际上克服了TCG计算体系的缺陷,也规避了其局限的地方。TCG可信计算方案主要有两大局限性,一是密码体制的局限性,TCG的TPM1.0只采用了公钥密码算法(RSA),回避了对称密码算法,杂凑算法只支持SHA1系列,由此导致密钥管理、密钥迁移和授权协议的设计复杂化(五类证书,七类密钥),也直接威胁着密码的安全;二是其体系结构不合理,目前还主要停留在工程层面,尚缺乏比较完善的理论模型,未从计算机体系结构上做变更,只是把可信平台模块(TPM)作为外部设备挂在外总线上,缺少主动控制功能,可信软件栈(TSS)作为子程序库被动调用,无法动态主动度量。
中国可信计算创新点简要概括成以下几个方面:一是可信计算自主密码方案;二是芯片层面的主动控制;三是主板层面的计算和可信双节点融合;四是软件层面的双系统体系结构;五是网络层面的三元三层对等架构。
记者:能否详细介绍一下这几个创新层面的具体创新点在哪里?
沈昌祥:第一,从密码层面看,可信计算平台密码方案的创新之处主要体现在算法、机制和证书结构三个方面。在密码算法上,全部采用国有自主设计的算法,提出了可信计算密码模块(TCM);在密码机制上,对称密码与非对称密码相结合,提高了安全性和效率;在证书结构上,采用双证书结构,简化了证书管理,提高了可用性和可管性。
第二,从芯片控制层面看,我们提出了可信平台控制模块TPCM。创新点主要体现在以下三点:首先,TPCM作为自主可控的可信根,植入可信源根,在TCM基础上加以信任根控制功能,实现密码与控制相结合;其次,TPCM先于CPU启动,对BIOS进行验证,实现了以TPCM为根的主动控制和度量功能;再次,改变了可信平台模块作为被动设备的传统思路,将可信平台模块设计为主动控制节点,实现了TPCM对整个平台的主动控制。
第三,从主板层面看,创新点主要在两方面,一是在可信平台主板中增加了可信度量节点,实现了主动度量与控制;二是提出了多代理度量方式,利用多度量代理(EMM)建立信任链。在主板上构成“TPCM+TCM”的双节点,信任链在“加电第一时刻”开始建立,并对外设资源实行总线级硬件可信控制,为上层提供可信硬件环境平台,提高系统安全性。以多度量代理方式建立信任链,实现到操作系统的信任传递,为TCB扩展提供安全保障,为动态和虚拟度量提供支撑。
第四,从软件层面看,创新点主要在于提出了可信基础支撑软件的双系统体系结构。双系统指宿主软件系统和可信软件基(TSB)。宿主软件系统是可信计算平台中实现正常系统功能的部分。可信软件基是可信计算平台中实现可信功能的可信软件元件的全体,它不是一个独立的系统,而是由宿主系统内部多个可信软件元件逻辑上互联构成,融为一体。双系统体系结构通过在操作系统核心层加一个可信的控制软件接管系统调用,在不改变应用的前提下实施主动防御。
第五,从网络层面看,创新点是提出了三层三元对等的可信连接架构。在访问请求者、访问控制者和策略仲裁者之间进行三重控制和鉴别;通过服务器集中控管,提高了架构的安全性和可管理性;对访问请求者和访问控制者实现统一的策略管理,提高系统整体的可信性。
解决核心技术受制于人问题
记者:我国可信计算技术已有长足发展,那么,从科研到产业,我国可信计算产业化条件是否具备?
沈昌祥:我认为,我们已经基本具备了可信计算的产业化条件。首先,国家在战略规划制定中高度重视可信计算。《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”。“十二五”规划有关工程项目都把可信计算列为发展重点。其次,我国可信计算标准系列逐步制定完备。标准的研究制定单位达40多家,参加人员达400多人,标准的创新点都作了技术验证,申报专利达40多项。不少单位和部门已按有关标准研制了芯片、整机、软件和网络连接等可信部件和设备,并得到了有效的应用。第三,成立了中关村可信计算产业联盟,推动可信计算的产业化工作。2014年4月,由中国电子信息产业集团、中国信息安全研究院、北京工业大学、中国电力科学研究院等60家单位发起,经北京市民政局批准、具有法人资格的中关村可信计算产业联盟(以下简称联盟)正式成立。联盟成员单位具有广泛的代表性,60家发起单位涉及到国内可信计算产业链的各个环节,覆盖了“产学研用”各界。其中既有国有企业,也有民营企业;既有科研院所、又有大学等事业单位;既有生产企业,还有行业用户,甚至包括政府采购领域媒体、投资平台等。联盟相较于其他行业协会有很多创新的地方,例如有16位院士组成的“超豪华”专家阵容,发扬“两弹一星”和载人航天精神,同时充分适应市场经济规律,建立行政线、技术线和保障线,将联盟打造成技术创新和重大工程组织模式创新的平台等。成立联盟的目的就是促进可信计算技术的产业化、市场化,解决我国核心技术受制于人的问题,构建我们国家的积极防御保障体系,保卫我们国家的网络空间主权。
记者:您提到要解决我国核心技术受制于人的问题,我们首先想到去年WindowsXP操作系统停服事件,您如何看待这个事件?操作系统是计算机最为核心的技术之一,您认为我国发展自主操作系统的战略和目标是什么?
沈昌祥:去年4月8日,微软公司正式停止对Windows XP的服务支持。如果我们继续使用XP系统,那么我国有约2亿台运行XP操作系统的终端面临无人服务的局面;如果按照微软期望,大家把操作系统升级到Windows8,其危害也许更大。Windows8与可信平台模块(TPM2.0)绑定,同时还捆绑了微软的杀毒软件,时刻在检查用户终端,随时可以给用户电脑下载补丁,更容易为“棱镜”项目等监控手段提供支撑。同时,升级为Windows8不仅耗费巨资,还失去安全控制权和二次开发权。
在这个问题上,我们国家的态度是很坚决的,中央国家机关政府采购中心发出要求,国家机关进行信息类协议供货强制节能产品采购时,所有计算机类产品不允许安装Windows8操作系统。我认为,Windowsxp停止服务事件带给我们既有风险,也有机遇。我国自主操作系统已有一定的基础,该事件给我国发展自主操作系统带来重大契机,加快发展我国自主可控、安全可信的操作系统已刻不容缓。
对于我国自主操作系统发展来看,我们的战略思路应该是,解决当前急需和长远发展相统一。我们通过服务接管与安全加强解决目前的应急问题,使得现有XP系统不受恶意代码感染,保护国家大量运行XP的业务系统不受安全威胁;同时加快促进国产化健康替代,为国产化替代提供安全和服务支撑。
从短期目标来看,应当组织力量建立基于可信对象防护策略的服务体系,改变微软打补丁的服务模式,建立权威机构组建的安全运维服务中心,向用户提供可信策略服务,及时发现XP系统受攻击的情况并作出响应。要形成一批Windowsxp系统安全加固方案,整合相关安全产品,具备针对各种应用的安全加固能力,并组织权威第三方机构开展安全加固产品的测评,向社会公布进行推广,核心指标是在Windowsxp系统建立主动防御和自我免疫能力,使得缺陷漏洞不被轻易利用。在保障现有系统缺陷不被利用同时,还要加快可信计算与自主操作系统相结合的研究力度,为自主操作系统安全可信做好支撑。
从中期目标来看,应当选准突破点,通过协同攻关,到2020年形成PC终端、手机、嵌入式每种类型1-2款成熟的国产操作系统,充分运用自主创新的可信计算技术,研发出满足不同应用需求的国产操作系统以及相应的应用开发、测试等工具,具备对国外PC和移动终端操作系统的替代能力。
而长远目标就应着眼于研制具有世界领先水平的操作系统产品,形成自主可控、安全可信的操作系统知名品牌,全面实现操作系统国产化,为构建我国安全可信的积极防御体系作支撑。
在发展自主操作系统过程中,基于开源技术进行引进消化吸收再创新是现实的选择。经过20多年的攻关,我们在操作系统关键技术上有相当的积累和储备,这些技术积累主要是在开源操作系统基础上取得的突破。从继承的角度,我们需要选择开源作为技术路线;从发展的角度,目前也来不及重新编码形成一套全新的操作系统。要共享人类知识财富,开源依然是现实选择。自主创新不是封闭起来搞安全,而是要充分继承和发展。具体来讲,要做到“五可一有”:可知,即对开源系统完全掌握其细节,不能有1%的代码未知;可编,要基于对开源代码的理解,可以自主编写代码;可重构,面向具体的应用场景和安全需求,对基于开源技术的代码进行重构,形成定制化的新的体系结构;可信,通过可信计算技术增强自主操作系统免疫性,防范自主系统中的漏洞影响系统安全性;可用,做好应用程序与操作系统的适配工作,确保自主操作系统能够替代国外产品;有自主知识产权,要对最终的自主操作系统拥有自主知识产权,开源技术要受到GPL协议的约束,目前我国现有基于开源的操作系统尚未遇到知识产权方面的明显纠纷,但这仅仅因为这些系统尚无规模应用,一旦我自主操作系统形成气候,必然会面临这方面的挑战,因此,要处理好所使用的开源技术的知识产权问题。
新技术应用的可信安全保障思考
记者:当前新技术新应用层出不穷,您如何看待它们的安全问题?
沈昌祥:当前,我国信息化发展正进入全面深化的新阶段,工业控制、三网融合、物联网、云计算,这些新型信息技术发展应用,给我国网络与信息安全保障工作提出了新任务,新技术的出现与应用需要安全保障。
工业控制系统。2010年“网震”病毒事件破坏了伊朗核设施,震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。应对APT已成为确保国家关键基础设施安全,保障国家安全、社会稳定、经济发展、人民生活安定的核心问题。传统的封堵安全防护做法难以解决封闭实时处理的工业控制系统安全问题。
三网融合。电信网、广电网和互联网三网融合后,信息安全风险将主要来自于网络开放性、终端复杂性、信息可信性等方面。信息量急剧增加,信息内容控制将对信息保密防范技术提出更高要求。终端智能化和移动等多接入方式,使其将面临更复杂的攻击。另外,大规模的用户数量将给监管带来重大挑战。也存在原有法律与三网融合新要求相冲突的问题。应建立新的监管体制和法律体系。
物联网。物联网将传感、通信和信息处理整合成网路系统。把物品与互联网连接起来,实现智能化识别、定位、跟踪监控和管理,这必然会成为影响社会稳定、国家安全的重要因素之一。物联网运用大量感知节点(智能设备和传感器),将成为窃取情报、盗窃隐私的攻击对象,而且庞大节点以集群方式连接将对网络通信的依赖更加敏感,对分布式的物联网核心网络的管理平台安全性、可信性要求更高。另外,物联网对数据传输的安全性和身份认证的可信性提出了更高的要求。
云计算。云计算是一种能够动态伸缩的虚拟化资源,通过网络以服务的方式提供给用户的计算模式,用户不需要知道如何管理那些支持云计算的基础设施,其安全风险在于:由不可控、不可信的云经营商统管IT资源和计算基础设施,以及更大规模异构共享和虚拟动态的运营环境难以控制。如何保证云中IT资源安全、用户隐私保护以及云计算环境的可信可靠,已成为阻碍云计算进一步发展的主要因素。另外,制定相应的云计算法律法规,明确用户和运营商法律责任也是发展云计算必不可少的。
记者:您如何看待工业控制系统的安全问题与挑战?
沈昌祥:现在国家越来越信息化、越来越依赖网络,工业控制系统到处都存在,如果爆发了网络战,工业控制系统是敌人摧毁的首要目标。工业控制系统一般由监控与数据采集系统、分布式控制系统、过程控制系统、可编程逻辑控制器、应急管理系统等组成,相对于一般的信息系统,具有通信实时性、系统不允许重启、人和控制过程安全、加入安全功能后不影响控制流程、通信协议多种多样、设备生命周期长且不易更换等特点和要求。因此,传统的“封堵查杀”安全防护技术难以解决工控系统安全问题。
相对而言,可信计算技术能更好的解决工控安全问题,通过实施安全管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架,能够达到“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的防护效果。首先,在可信计算的主动免疫防护下,攻击者很难入侵系统,即便攻进去了,由于强制访问控制,他也拿不到重要数据;即便拿到了重要数据,因为有数据加密保护,他也看不懂。其次,在可信计算的可信度量和可信报告功能保护下,攻击者难以篡改重要数据,因此无法注入恶意代码;即使入侵系统以后要瘫痪一些部件,利用可信计算能及时发现这部件变异并,能够马上启动备份,恢复系统正常运行。最后利用可信计算的审计功能,能发现并保护证据,使攻击者无处可逃。
记者:现在云计算很火,应用也快速普及,安全问题随之而来,那么,可信计算如何应对云计算的安全问题呢?
沈昌祥:云计算为我国IT产业实现跨越式发展提供难得的历史机遇。近年来,我国正加大力度支持云计算技术及产业的发展,国内企业也围绕云计算产业链抢占服务市场,与此同时,云安全事故频发却严重制了约云计算产业的发展壮大。云计算的安全问题主要表现在以下几个方面:一是共享技术漏洞引入的虚拟化安全风险;二是云服务不可信带来的信息安全风险;三是多租户模式带来的数据泄露风险;四是云平台恶意使用带来的运营安全风险。因此,信息安全是制约云计算产业发展的首要瓶颈。
人和技术的可信是信息安全的信任基础,而云计算自身的技术特点、服务模式严重影响传统信息安全解决方案的有效性,用可信计算技术能有效降低云计算安全风险。首先,用可信链技术建立主动防线,能有效防范虚拟化高危漏洞。现有虚拟化安全方案只能在外围或事后进行查封,对新的攻击毫无防御能力,更不能防止监守自盗,不能实施主动防御。在可信链支持下,可信计算机制能够保障整个系统环境的可信性,拒绝攻击者利用漏洞植入和(或)执行攻击代码。其次,可信的安全监管体系能保护云用户信息安全,建立云环境下信任关系。当前的云安全产品缺少可信的安全监管支持,无法对云服务商进行监管,通过安全管理中心支持的可信云架构,可以为云环境的监控提供可信支持,保障云服务和云用户信息安全。再次,可信接入机制能防御应用级恶意攻击,提供云接入服务安全保障。现有云产品鉴别和认证机制的缺乏使得对接口的恶意攻击泛滥,云安全产品对此往往束手无策。可信接入技术可以对接入对象的身份、物理平台、运行环境、接入行为全面检查,发现并阻断用户对云平台的恶意使用。最后,基于可信计算技术能够从顶层设计出发,构建能协同防护、主动免疫、自主可控的可信云架构。传统的信息安全解决方案在云环境中面临诸多孤立零散、防御被动、缺乏针对性和依赖国外的困境,缺乏全局战略和顶层架构设计,无法为云计算提供可信的协同防线。依托可信云架构建立云安全体系,能够为建设我国基于云计算技术的安全信息基础设施做好技术支撑。
最后,就促进可信云架构发展谈几点建议。一是要高度重视安全,把云安全放在发展云计算的核心位置,从战略高度制定基于可信云架构的云安全产业发展路线图;参考国内等级保护、可信计算相关标准,结合国内云应用、云安全相关技术发展现状,制定统一的云环境可信技术标准和可信测评标准;同时加快云计算安全和可信计算人才培养进程。二是要鼓励自主创新,在国家的大力支持下,立足自主可控、安全可信,集中力量攻关,突破关键技术,改变受制于人的局面;应当促进云安全领域的协同创新工作,加强云安全创新环境建设,并促进技术成果向产品的转化;提高知识产权意识,支持和鼓励云安全可信方面的专利申请和知识产权保护。三是要加大支持力度,对现有安全专项做适当整合,依据可信云架构发展路线制定专项支持方向;改变研发资金支持方式,由给资金、先补助改为促应用、后补助,同时可适当引入社会基金等资金的投入;加大政府采购自主研发的云安全产品的力度,对外国产品实行安全审查制度;制定相应的政策与法规,确保云计算基础设施安全可信。四是要开展试点示范,选择典型的、有代表性的云计算应用,分门别类建立仿真系统和测试平台,验证基于可信云架构的云计算平台的实用性、可靠性和安全性;对每类重要云计算基础设施,都应该在实际环境中进行可信云架构的试运行,总结经验,不断完善,逐步扩大规模,形成产业生态环境。
| 
