專家論壇丨沈昌祥院士:主動免疫可信計算打造安全可信網絡產業生態體系
作者簡介
沈昌祥
中國工程院院士,從事計算機信息系統、密碼工程、信息安全體系結構、系統軟件安全(安全操作系統、安全數據庫等)、網絡安全等方面的研究工作。曾獲國家科技進步一等獎2項、二等獎2項、三等獎3項,軍隊科技進步獎十多項。在網絡安全領域科技創新、諮詢論證和學科專業建設、人才培養等方面作出了傑出貢獻。1989年被授予“海軍模範科技工作者”榮譽稱號,1995年5月當選爲中國工程院院士,1996年獲軍隊首屆專業技術重大貢獻獎,2002年榮獲國家第四屆“光華工程科技獎”,2016年獲首屆中國網絡安全傑出人才獎,2019年獲中國計算機學會終身成就獎。
田楠
中國人民解放軍91977部隊工程師,主要研究方向爲信息安全體系結構、可信計算等。
摘要:作爲第五大主權領域空間,網絡空間安全對於國家安全具有至關重要的意義。近年來,在國家相關法律法規的要求以及產業政策的推動下,以主動免疫爲代表的安全可信計算相關產品與服務蓬勃發展,成爲推動我國網絡安全產業發展的重要力量。簡述了推動可信網絡產業發展的重要意義以及國家對於可信網絡安全產業發展的要求,並對安全可信產業的定義及需求進行了介紹;然後闡述了主動免疫可信計算在可信計算理論發展過程中的地位日趨重要,給出了基於可信計算3.0的安全可信創新體系的主要內容;最後提出了以等級保護2.0與可信計算3.0構築網絡安全防禦體系的思路。
引言
當前,網絡空間已經成爲繼陸、海、空、天之後的第五大主權領域空間,也是國際戰略在網絡社會領域的演進,我國的網絡安全正面臨着嚴峻挑戰。沒有網絡安全就沒有國家安全,按照國家網絡安全法律、戰略和等級保護制度要求,推廣安全可信產品和服務,築牢網絡安全底線是歷史的使命。《中華人民共和國網絡安全法》(簡稱《網絡安全法》)提出[1],“國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,扶持重點網絡安全技術產業和項目,支持網絡安全技術的研究開發和應用,推廣安全可信的網絡產品和服務,保護網絡技術知識產權,支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目”。《國家網絡空間安全戰略》提出的戰略任務“夯實網絡安全基礎”,強調“儘快在覈心技術上取得突破,加快安全可信的產品推廣應用”[2]。《網絡安全等級保護條例》及《關鍵信息基礎設施安全保護條例》要求優先採購安全可信的網絡產品和服務,以此來築牢網絡安全保障體系。
1、主動免疫可信計算與安全可信產業
1.1 安全可信的網絡產品和服務
安全可信指的是網絡設備所具備的安全性能,即在設備工作的同時,內含的安全部件進行動態並行實時全方位安全檢驗,確保計算過程及資源不被破壞和篡改,正確完成計算任務。這就是主動免疫可信計算產品所具有的安全性能,符合國家法律戰略制度推廣應用的要求。
隨着信息技術的快速發展和網絡安全形勢的不斷變化,人們逐漸認識到,只有自主創新才能擺脫“被人卡脖子”,實現芯片、整機、操作系統、數據庫等基礎軟硬件的產品及供應鏈安全可信,爲建設網絡強國築牢萬里長城。但是,我國當前網絡信息產品的自主創新程度和安全防護水平相對較低,重要信息系統和關鍵基礎設施存在大量安全隱患,要扭轉這種被動局面,必須放棄跟隨仿造的技術路線,堅持自立自強創新發展模式,用主動免疫可信計算開創安全可信產業新生態。
1.2 網絡安全風險的本質
首先要認清網絡安全風險的本質。安全風險源於圖靈機原理少安全理念、馮.諾依曼體系結構少防護部件和網絡信息工程無安全治理三大原始性缺失,再加上人們對IT產品邏輯認知的侷限性,不可能窮盡所有的邏輯組合,只能侷限處理完成計算任務有關的邏輯,必定存在大量邏輯處理不全的缺陷漏洞,從而難以應對人爲利用缺陷漏洞進行攻擊獲取利益的惡意行爲,可見網絡安全風險是永遠的命題。爲了降低網絡安全風險,必須從計算模式邏輯正確驗證、計算體系結構和工程構建等方面進行科學技術創新,以解決存在的漏洞缺陷被攻擊者所利用的問題,形成主動免疫防護體系。
與人體健康一樣,網絡設施必須有免疫系統,計算的同時並行進行防護,以物理可信根爲基礎,一級驗證一級,通過構建可信鏈條,爲用戶提供可信存儲、可信度量和可信報告等多種功能,確保用戶的數據資源和操作全程可測可控,爲用戶提供可信任的計算環境。
可見,《網絡安全法》要求所有網絡產品和服務都要具有安全可信的性能是科學合理的,應加快依法用主動免疫的可信計算打造安全可信的網絡產業新生態。
2、主動免疫可信計算搶佔安全可信戰略高地
目前,可信計算概念在不斷更新,其發展大體可分爲可信計算1.0→可信計算2.0→可信計算3.0三個層級,具體參見圖1。
圖1 可信計算的發展層級
2.1 可信計算1.0
可信計算1.0是20世紀70年代以世界容錯組織爲代表,用容錯算法及時發現和處理故障,降低故障的風險,以提高系統的安全性和可靠性。採用故障排除、冗餘備份等手段應對軟硬件工程性故障、物理干擾、設計錯誤等影響系統正常運行的各種問題。
2.2 可信計算2.0
可信計算2.0以可信計算組織(Trusted Computing Group,TCG)爲代表,TCG成立於2003年,採用可信平臺模塊(Trusted Platform Module,TPM)與主機串接架構,通過應用主程序調用軟件棧子程序用TPM進行可信度量、報告等功能,實現對計算系統的串行靜態檢測保護。由於未改變原有體系結構,故難以對計算系統進行主動防禦。目前,國內外品牌的Wintel(Windows-Intel架構)都配備了TPM芯片,推出了可信終端和服務器產品。
2.3 可信計算3.0
可信計算3.0源於我國20世紀90年代初。1992年,正式立項研製免疫的綜合防護系統,研發了並行連接主機的智能安全卡;1995年2月,通過測評鑑定,定型裝備推廣使用,經過長期攻關構成安全可信的產品鏈,形成了自主創新的主動免疫可信計算技術體系。經《求是》雜誌、新華社等權威媒體評價和同行院士專家認定爲可信計算3.0[3]。該技術體系構建了運算和防禦並行的雙體系架構,在計算運算的同時進行安全防護,全程管控、不被幹擾,使計算結果總是與預期保持一致。將可信計算技術與訪問控制相融合,能及時識別“自己”和“非己”成份,禁止未授權行爲,使攻擊者無法利用缺陷和漏洞對系統進行非法操作,最終達到使攻擊者“進不去、拿不到、看不懂、改不了、癱不成、賴不掉”的效果,對已知和未知病毒不查殺而自滅。
3、可信計算3.0安全可信創新體系
3.1 安全可信體系架構的創新
可信計算3.0創立雙體系架構,保持原有通用計算部件功能流程不變,同時並行建立一個邏輯上獨立的可信防護部件,對通用計算系統硬件和操作系統及應用程序工作過程實施可信監控,實現對通用計算系統上全程運行的可信保障。雙體系架構把現有應用系統當作保護對象,不需修改和打補丁,能夠廣泛應用於現有系統當中,成爲普適型的通用架構。雙體系架構從系統底層到上層實施可信鏈傳遞,構建了以密碼爲基礎,芯片固件爲信任根,主板爲平臺,軟件爲核心,網絡爲紐帶,應用見成效等安全可信的技術體系框架,並制訂發佈了國家系列標準(見圖2)。
圖2 可信計算3.0的技術體系框架
3.2 可信計算密碼技術的創新
密碼是可信計算的基礎,比喻爲可信的免疫基因,依據國家密碼算法標準,制訂了可信密碼模塊(Trusted Cryptography Module,TCM)國家標準,在以下三個方面有重要創新。
(1)全部採用國產密碼算法,對稱密鑰算法使用SM4算法,非對稱密鑰算法使用SM2算法,哈希算法使用SM3算法,有機組合實現全部可信保護功能,走密碼獨立自主創新之路。
(2)首創用對稱和非對稱密碼相結合可信計算密碼混合體制,使得可信密碼機制更爲科學合理,提升了系統的安全性能。
(3)採用雙證書體制,相比TCG的5種證書配置,更爲合理有效。用雙證書的平臺證書認證系統,用加密證書保護密鑰,並且將加密功能和認證功能分離管理,符合國家電子簽名法要求,簡化了證書管理,增強了安全性,不少技術被TCG採用。
3.3 可信平臺控制模塊的創新
提出了以可信平臺控制模塊(Trusted Platform Control Module,TPCM)作爲可信根,並接於主機的計算部件,TPCM在連接TCM模塊的基礎上增添對計算部件和外設的總線級控制功能,成爲系統可信的源頭。它將密碼機制與控制機制相結合,先於計算部件中央處理器(CPU)啓動,主動對主板固件和基礎軟件進行度量並實施控制,不依賴主機CPU和系統的BIOS代碼,能有效地規避利用CPU後門對固件的惡意篡改,保證系統初始啓動過程的可信性。主機啓動後繼續對系統軟硬件執行過程進行動態控制,成爲依據可信策略進行全方位平行可信驗證的控制平臺。目前,TPCM國家標準已發佈,研究發展成爲插卡、主板SoC和多核CPU可信核三種模式產品,被大量推廣應用。
3.4 可信主板的創新
可信平臺主板將可信防護部件與主機計算部件並接,可信防護部件由TPCM和系統中的多個度量點(Boot ROM等)組成,計算部件保持原有架構不變。控制電路設計成在CPU上電前先啓動TPCM對Boot ROM進行度量,讓信任鏈在“加電第一時刻”開始建立。同時,在主板上設置多個固件度量代理接口,在可信根和可信軟件之間提供硬件支持接口,爲可信軟件層提供對主機軟硬件進行度量的控制路徑。
3.5 可信軟件基的創新
在原宿主軟件系統不變的條件下,構建基於TPCM對宿主系統進行動態可信驗證的可信軟件基,形成了雙軟件架構,通過可信軟件基對系統運行環境實施可信保障。可信軟件基在可信計算體系中處於承上啓下的核心地位,對上與可信管理機制對接,通過策略庫的規則主動監控主機應用,對下連接TPCM和其他可信資源,對系統可信度量和控制提供支撐,同時與網絡環境中其他可信資源實現協同處理。可信軟件基在TPCM的支撐下解釋可信策略,通過在宿主操作系統代理主動攔截獲取的有關參數進行度量驗證,實現判定和執行等安全機制。目前,“白細胞”等可信軟件基產品已成爲安全可信的基礎軟件代表作[4]。
3.6 可信網絡連接的創新
針對集中控管的網絡環境安全需求,提出了三元三層對等可信網絡連接架構,通過安全管理中心集中管理,對網絡通信連接的雙方資源實施可信度量和判決,有效防範內外合謀攻擊。同時,在縱向上把網絡訪問、可信評估和可信度量分層處理,使得系統結構清晰,控制嚴謹有序;在橫向上則進行訪問請求者、訪問控制者和策略仲裁者之間的三重控制和鑑別,使得集中控管的網絡無縫銜接,提高了可信控制部件的自身安全性。
4、以等級保護2.0與可信計算3.0築牢網絡安全防禦體系
4.1 可信計算3.0主動免疫防禦特性
可信計算3.0基於計算複雜性理論以及逆向驗證方法,對已知流程的信息系統量體裁衣的方式,按應用和流程的安全需求制定可信策略,依據策略對信息系統進行主動免疫的安全防禦,其防禦特性見表1。
表1 可信計算3.0主動免疫防禦特性
可信計算3.0防禦以密碼爲基因,通過科學嚴謹邏輯組合逆向驗證,進行主動識別、主動度量、保密存儲,實現統一管理平臺策略支撐下對數據信息和系統服務資源可信檢驗判定,實施智能感知主動防禦,適用於服務器、終端及嵌入式系統,可在行爲源頭判斷異常行爲並進行防範,達到已知病毒不查殺而自滅,免疫地抵禦未知病毒及利用未知漏洞的攻擊,安全強度高,防護效率高;結構上可採取處理器內部並建可信核模塊,還可以外接可信插卡以及主板內並加可信SoC等不同實現方法實現防護部件,既適用於新系統組建,也可用於舊系統改造,降低了實現難度和工程成本;通過動態並行對應用過程監控,不需要打補丁修改原應用代碼,對業務工作性能影響很小,實時性強,大量應用實例表明對系統性能影響小於3%。
4.2 加速推進安全可信產業生態環境建設
經過近十年對可信計算的大量應用,《國家中長期科學和技術發展規劃綱要(2006—2020 年)》明確提出了以發展高可信網絡爲重點開展網絡安全技術及相關產品,建立網絡安全技術保障體系的任務[5]。“十二五”規劃有關重大工程項目都把主動免疫可信計算列爲發展重點,國家重要信息系統,如增值稅防僞、彩票防僞、二代居民身份證安全系統等都採用了可信計算3.0。
近年來,隨着數字經濟的蓬勃發展,全球網絡安全威脅持續加劇。各國政府紛紛加強網絡監管,企業的安全投入不斷增加,網絡安全保險作爲承保網絡安全風險的新險種,日益成爲轉移、防範網絡安全風險的重要工具。西方發達國家網絡安全保險市場已進入快速發展階段,展現出巨大的網絡安全保險市場空間。國內網絡安全保險市場雖然尚處於市場探索期,但已引發政府部門、研究機構、保險公司、網絡安全企業等相關機構的高度關注,發展前景值得期待。
5 結束語
目前,日趨嚴峻的網絡空間安全形勢,要求我國不僅要建立健全網絡空間安全治理相關制度,更要從技術研發與產業推廣層面不斷創新,持續提升網絡空間安全防護水平。以主動免疫理論爲代表的新型可信計算體系作爲近年來我國可信計算領域的最新研究成果,實現了對系統內合法與非法成分的有效區分。以該體系爲支撐的安全可信創新體系,目前已在體系架構、密碼技術、控制模塊、主板、軟件基、網絡連接等的研究中得到了廣泛應用。未來新一代可信計算與等級保護理論的深度結合,將有效促進我國網絡安全防禦體系的構建與完善,爲我國網絡空間安全防護能力的提升以及互聯網相關產業的健康發展提供有力支撐。
>End
本文轉載自“信息通信技術與政策”,原標題《專家論壇丨沈昌祥院士:主動免疫可信計算打造安全可信網絡產業生態體系》。
爲分享前沿資訊及有價值的觀點,太空與網絡微信公衆號轉載此文,並經過編輯。
支持保護知識產權,轉載請註明原出處及作者。
部分圖片難以找到原始出處,故文中未加以標註,如若侵犯了您的權益,請第一時間聯繫我們。
HISTORY/往期推薦
充滿激情的新時代,
充滿挑戰的新疆域,
與踔厲奮發的引領者,
卓爾不羣的企業家,
一起開拓,
一起體驗,
一起感悟,
共同打造更真品質,
共同實現更高價值,
共同見證商業航天更大的跨越!
——《衛星與網絡》,觀察,記錄,傳播,引領。
· 《衛星與網絡》特別顧問:王兆耀
· 《衛星與網絡》編輯委員會
主任:陳玉忠
高級顧問:王國玉、劉程、童旭東、相振華、王志義、楊烈
編輯委員:曹志剛、陳嵩輝、鄧中亮、荊繼武、景貴飛、郎燕、劉進軍、劉天雄、寧振波、秦智、汪春霆、吳季、徐小舒、閻麗娟、趙敏、肇啓明、周建華、朱鐸先
· 《衛星與網絡》創始人:劉雨菲
·《衛星與網絡》副社長:袁鴻翼
· 微信公衆號(ID:satnetdy)團隊
編輯:豔玲、哈玫
主筆記者:李剛、魏興、張雪松、霍劍、樂瑜、刀子、趙棟
策劃部:楊豔
視覺總監:董寧
專業攝影:馮小京、宋偉
設計部:顧錳、潘希峎、楊小明
行政部:姜河、林紫
業務部:王錦熙、瑾怡
原創文章轉載授權、轉載文章侵權、投稿等事宜,請加微信:18600881613
商務合作;展覽展廳設計、企業VI/CI及室內設計、企業文化建設及品牌推廣;企業口碑傳播及整體營銷傳播等,請加微信:13811260603
雜誌訂閱,請加微信:wangxiaoyu9960
·衛星與網絡各分部:
成都分部負責人:沈淮
長沙分部負責人:賓鴻浦
西安分部負責人:郭朝暉
青島分部負責人:江偉
·衛星與網絡總部負責人:農燕
·會議活動部負責人:喬顥益
· 投融資及戰略層面合作:劉雨菲
·本平臺簽約設計公司:一畫開天(北京)文化創意設計有限公司
· 航天加(深圳)股權投資基金管理負責人:楊豔