解讀可信計(jì)算 信息安全與可信

申請免費(fèi)試用、咨詢電話：400-8352-114

互聯(lián)網(wǎng)最早是服務(wù)于軍事與科研的，網(wǎng)絡(luò)相對封閉，主要用于技術(shù)人員之間文件傳輸和消息傳遞。此時(shí)，所有用戶都是可以信任的，網(wǎng)絡(luò)協(xié)議與應(yīng)用是建立這種假設(shè)基礎(chǔ)上的。這種基于信任與匿名的假設(shè)在很大程度上促進(jìn)了互聯(lián)網(wǎng)的迅速普及。

1993 年， P.Steiner 在《NEW YORKER》上發(fā)表了 “On the Internet，nobody knows you ' re a dog” 漫畫和評論，真實(shí)寫照了“ 虛擬 ”的互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)的虛擬在給人以巨大包容和開放性的同時(shí)，還帶來很多欺詐和犯罪行為，再加上系統(tǒng)客觀存在的各種各樣的漏洞，就產(chǎn)生了一系列信息安全問題。而隨著互聯(lián)網(wǎng)日益深入到社會(huì)的政治、軍事、經(jīng)濟(jì)、文化、生活等方方面面，信息社會(huì)必須建立信任保障體系，建立體系化的安全機(jī)制。信息安全就是要在開放包容與安全可控、匿名隱私與實(shí)名確認(rèn)之間找到一個(gè)平衡點(diǎn)。

信息安全與“可信”具有千絲萬縷的聯(lián)系。在日常的生活中，“可信”是談?wù)摰幂^多的話題，可以信任，可以信賴等等?！翱尚拧北旧硎且粋€(gè)多層次、多范疇的概念，它是一個(gè)相對的概念，比較模糊。在談到信息安全時(shí)，可信同樣有不同的理解與解釋，在不同的上下文，在不同的應(yīng)用領(lǐng)域，可能其內(nèi)涵都不一樣。“可信”既是信息安全的目標(biāo)，也是一種方法。

傳統(tǒng)的信息安全主要通過防火墻、病毒檢測、入侵檢測及加密等手段實(shí)現(xiàn)，是以被動(dòng)防御為主，結(jié)果是不僅各種防御措施花樣層出，防火墻越砌越高、入侵檢測越做越復(fù)雜、惡意代碼庫越做越大，但是信息安全仍然得不到有效保障。 現(xiàn)在研究“可信”的主要目的就是要建立起主動(dòng)防御的信息安全保障體系。

可信計(jì)算的歷程

可信是通過可信計(jì)算達(dá)到的一種狀態(tài)。容錯(cuò)計(jì)算、安全操作系統(tǒng)、網(wǎng)絡(luò)安全、信息安全等領(lǐng)域的研究使可信計(jì)算的含義不斷拓展，由側(cè)重硬件的可靠性、可用性，到針對硬件平臺(tái)、軟件系統(tǒng)服務(wù)的綜合可信，再到可信網(wǎng)絡(luò)連接、網(wǎng)絡(luò)可信等，一步步適應(yīng)了 Internet 應(yīng)用不斷發(fā)展的需要。

在計(jì)算機(jī)領(lǐng)域，“ 可信 ”主要是從容錯(cuò)計(jì)算發(fā)展而來，2000 年 IEEE 國際容錯(cuò)計(jì)算會(huì)議 （FTCS） 與國際信息處理聯(lián)合會(huì) （IFIP）10.4 工作組關(guān)鍵應(yīng)用可信計(jì)算工作會(huì)議合并，并改名為 IEEE 可信系統(tǒng)與網(wǎng)絡(luò)國際會(huì)議 （ICDSN） 。在容錯(cuò)計(jì)算領(lǐng)域，可信性被定義為計(jì)算機(jī)系統(tǒng)的一種性質(zhì)，它所提供的服務(wù)是用戶可感知的一種行為，并可以論證其可信賴，而用戶則是能與之互動(dòng)的另一個(gè)系統(tǒng) （ 人或者物理的系統(tǒng) ） 。因?yàn)椤翱煽?（Dependability）” 而“可信”，因此容錯(cuò)計(jì)算又稱為“ 可靠計(jì)算 ”（Dependable Computing） 。容錯(cuò)計(jì)算領(lǐng)域的可信性包括可用性、可靠性、可維護(hù)性、安全性、健壯性和可測試性等。

上個(gè)世紀(jì)80年代中期，美國國防部國家計(jì)算機(jī)安全中心代表國防部為適應(yīng)軍事計(jì)算機(jī)的保密需要，在 70 年代的基礎(chǔ)理論研究成果 “ 計(jì)算機(jī)保密模型 ” 的基礎(chǔ)上，制定并出版了 “ 可信計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) ”（TCSEC） 。在 TCSEC 中第一次提出可信計(jì)算機(jī)和可信計(jì)算基 TCB （Trusted computing base） 的概念，并把 TCB 作為系統(tǒng)安全的基礎(chǔ)。 1987 年 7 月，針對網(wǎng)絡(luò)、安全的系統(tǒng)和數(shù)據(jù)庫的具體情況又做出了三個(gè)解釋性文件，即可信網(wǎng)絡(luò)解釋 TNI（Trusted Network Interpretation） 、計(jì)算機(jī)安全系統(tǒng)解釋和可信數(shù)據(jù)庫解釋 TDI（Trusted Database Interpretation） ，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的最早原則。

歐洲于2006年1月啟動(dòng)了名為“開放式可信計(jì)算 （pen Trusted Computing） ”的研究計(jì)劃。

1993年1月，美國公布了融合歐洲的 ITSEC 的可信計(jì)算機(jī)安全評價(jià)準(zhǔn)則之聯(lián)邦準(zhǔn)則。

1999年10月為了解決 PC 機(jī)結(jié)構(gòu)上的不安全，從基礎(chǔ)上提高其可信性，由幾大 IT 巨頭 Compaq 、 HP 、 IBM 、 Intel 和 Microsoft 牽頭組織了可信計(jì)算平臺(tái)聯(lián)盟 TCPA（Trusted Computing Platform Alliance） ，成員達(dá) 160 家。 TCPA 定義了具有安全存儲(chǔ)和加密功能的可信平臺(tái)模塊（ TPM ），并于 2001 年 1 月發(fā)布了基于硬件系統(tǒng)的 “ 可信計(jì)算平臺(tái)規(guī)范 ”（v1.0） 。 2003 年 3 月 TCPA 改組為 TCG（Trusted Computing Group） ，其目的是在計(jì)算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計(jì)算平臺(tái)，以提高整體的安全性，擴(kuò)展可信的范圍。

在可信計(jì)算領(lǐng)域，現(xiàn)在的情況是技術(shù)超前于理論，具有 TPM 功能的 PC 機(jī)已經(jīng)上市（ IBM、HP等），微軟提出了NGSCB （Next-Generation Secure Computing Base）的可信計(jì)算計(jì)劃，并在操作系統(tǒng) VISTA 支持可信計(jì)算機(jī)制。 Intel 為支持可信計(jì)算，推出相應(yīng)的新一代處理器和相應(yīng)的處理技術(shù)。現(xiàn)在支持 TCG 規(guī)范，包含 TPM 的計(jì)算機(jī)已占北美市場的60%，并還在迅速提升中。

可信的概念

在計(jì)算機(jī)應(yīng)用環(huán)境中，對 “ 可信 ” 有多種解釋。目前，關(guān)于可信尚未形成統(tǒng)一的定義，主要有以下幾種說法。

可信計(jì)算組織 TCG 用實(shí)體行為的預(yù)期性來定義可信：如果一個(gè)實(shí)體的行為總是以預(yù)期的方式，朝著預(yù)期的目標(biāo)，則該實(shí)體是可信的。其基本思想是在計(jì)算機(jī)系統(tǒng)中首先建立一個(gè)信任根，再建立一條信任鏈，一級(jí)測量認(rèn)證一級(jí)，一級(jí)信任一級(jí)，把信任關(guān)系擴(kuò)大到整個(gè)計(jì)算機(jī)系統(tǒng)，從而確保計(jì)算機(jī)系統(tǒng)的可信。

ISO/IEC 15408 標(biāo)準(zhǔn)定義可信為：參與計(jì)算的組件、操作或過程在任意的條件下是可預(yù)測的，并能夠抵御病毒和物理干擾。

微軟公司比爾·蓋茨認(rèn)為可信計(jì)算是一種可以隨時(shí)獲得的可靠安全的計(jì)算，并包括人類信任計(jì)算機(jī)的程度，就像使用電力系統(tǒng)、電話那樣自由、安全。

我國著名的信息安全專家屈延文教授的《軟件行為學(xué)》把“可信”解釋為“可信性是考察行為預(yù)期性的滿足，這種預(yù)期性滿足是在多主體多行為范疇內(nèi)，實(shí)現(xiàn)對行為性質(zhì)、行為輸入輸出、行為過程、行為屬性等方面符合必須遵守的要求、約定、規(guī)定、規(guī)則、法律的滿足性認(rèn)識(shí)與評價(jià)。”

其它的一些解釋還有：可信是指計(jì)算機(jī)系統(tǒng)所提供的服務(wù)是可以論證其是可信賴的；如果一個(gè)系統(tǒng)按照預(yù)期的設(shè)計(jì)和政策運(yùn)行，這個(gè)系統(tǒng)是可信的；當(dāng)?shù)诙€(gè)實(shí)體按著第一個(gè)實(shí)體的期望行為時(shí)，第一個(gè)實(shí)體可假設(shè)第二個(gè)實(shí)體是可信的等等。這些解釋都從不同角度詮釋了可信的內(nèi)涵與外延。

在信息安全領(lǐng)域，可信研究主要著力于解決信息世界當(dāng)前所面臨的普遍的安全威脅和不可信危機(jī)，其中TCG 組織的“可信”的定義受到更多的關(guān)注， TCG 也有更多的實(shí)踐。

對于可信，應(yīng)當(dāng)看到：

（1）“可信”包含 TCG 的內(nèi)容，包含微軟的NGSCB，但不等于這些。TCG不保證終端的內(nèi)容和行為的可信?？尚虐尚庞?jì)算，但內(nèi)涵與外延更大。

（2）“可信”包含終端但不只針對終端，盡管可信計(jì)算研究源于終端可信?！?可信 ”不僅要包含傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，而且要能夠體現(xiàn)當(dāng)前的和未來的信息安全要求，應(yīng)該放到“ 傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)不能解決當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全問題”這一大背景下。

（3）“可信”應(yīng)體現(xiàn)與“ 可信系統(tǒng)與網(wǎng)絡(luò)（容錯(cuò)計(jì)算）”的交叉與融合。

（4）“可信”不是一套規(guī)范，也不是一個(gè)具體的安全產(chǎn)品或一套針對性的安全解決方案，而是一個(gè)有機(jī)的信息安全體系。

（5） 可信的目標(biāo)是網(wǎng)絡(luò)可信，主要關(guān)注內(nèi)容是網(wǎng)絡(luò)元素及其行為以及網(wǎng)絡(luò)元素之間的行為；

（ 6 ）可信計(jì)算≠絕對安全?！皼]有絕對的安全”這一定律并不會(huì)因?yàn)榭尚庞?jì)算平臺(tái)的普及而失效，可信計(jì)算并不能解決所有的安全問題，可信計(jì)算平臺(tái)只是提供了一個(gè)支點(diǎn)。

可信計(jì)算在中國

我國在可信計(jì)算技術(shù)研究方面起步較早。在安全芯片、可信安全主機(jī)、安全操作系統(tǒng)、可信計(jì)算平臺(tái)應(yīng)用等方面都先后開展了大量的研究工作，并取得了可喜的成果。

早在九十年代，我國就開發(fā)了PC機(jī)安全防護(hù)系統(tǒng)，實(shí)現(xiàn)了可信防護(hù)，其結(jié)構(gòu)、功能與TCP類同。

2000年，國內(nèi)公司開始可信安全計(jì)算機(jī)的研發(fā)工作。2004 年，推出自主知識(shí)產(chǎn)權(quán)的可信計(jì)算機(jī)產(chǎn)品，國密局鑒定為“國內(nèi)第一款可信安全計(jì)算平臺(tái)”。

聯(lián)想集團(tuán)和中科院計(jì)算所安全芯片的研發(fā)工作2003年在國密辦立項(xiàng)，2005年4月完成。其安全芯片和可信P 平臺(tái)已通過國密局主持的鑒定。其后長城和聯(lián)想也相繼推出了各自的可信安全計(jì)算機(jī)產(chǎn)品。

2005年4 月，兆日科技推出符合可信計(jì)算聯(lián)盟（TCG）技術(shù)標(biāo)準(zhǔn)的 TPM 安全芯片，并與長城、同方等多家主流品牌電腦廠商的合作。其安全芯片已通過國密局主持的鑒定。

應(yīng)用集成的企事業(yè)單位也紛紛提出了可信應(yīng)用框架，如天融信公司的可信網(wǎng)絡(luò)框架與可信網(wǎng)絡(luò)世界、衛(wèi)士通公司的終端控制系統(tǒng)、鼎普公司的可信存儲(chǔ)系統(tǒng)等。

2005年1月，我國成立國家安全標(biāo)準(zhǔn)委員會(huì) WG1 可信計(jì)算工作小組專門規(guī)劃相關(guān)標(biāo)準(zhǔn)，現(xiàn)在已經(jīng)推出了《 可信計(jì)算密碼支撐平臺(tái)技術(shù)規(guī)范 》等幾個(gè)標(biāo)準(zhǔn)。

2002 年成立了中國信息產(chǎn)業(yè)商會(huì)信息安全產(chǎn)業(yè)分會(huì)，之后幾年相繼出版了《軟件行為學(xué)》、《銀行行為監(jiān)管》、《銀行行為控制》、《信息化的科學(xué)夢 --- 從計(jì)算機(jī)科學(xué)到信息化科學(xué)》、《 CPK 標(biāo)識(shí)認(rèn)證》等理論專著，并正式提出了可信網(wǎng)絡(luò)世界體系結(jié)構(gòu)框架（ Trusted Cyber Architecture Framework ，簡稱 TCAF ）。 TCAF 計(jì)劃針對中國信息化的體系結(jié)構(gòu)設(shè)計(jì)核心可信平臺(tái)以及體系結(jié)構(gòu)與標(biāo)準(zhǔn)化方法的概念、模型、方法、定義、引用和分級(jí)進(jìn)行了描述與說明。

2008 年4月底，中國可信計(jì)算聯(lián)盟 （CTCU ） 在國家信息中心成立?，F(xiàn)已有 20 家正式成員，包含計(jì)算機(jī)廠商、信息安全廠商和一些應(yīng)用廠商，以及國家的科研院所。 CTCU 的成立標(biāo)志著中國在可信計(jì)算領(lǐng)域和信息安全的一次成功的嘗試，標(biāo)志著可信計(jì)算由理論逐步轉(zhuǎn)化為產(chǎn)業(yè)，轉(zhuǎn)入到實(shí)質(zhì)性的實(shí)現(xiàn)階段 , 并逐步開始應(yīng)用到政府、軍事等領(lǐng)域。

可信網(wǎng)絡(luò)連接

可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互連可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信等。從范圍上講有計(jì)算機(jī)系統(tǒng)可信、局域網(wǎng)可信、專用網(wǎng)可信和大規(guī)模互聯(lián)網(wǎng)可信等。從訪問控制角度看，可以分為主體身份可信，主體間行為的可信，內(nèi)容可信等。

對于一般用戶，相對更關(guān)注“網(wǎng)絡(luò)互連可信”。 網(wǎng)絡(luò)互連可信包括用于網(wǎng)絡(luò)連接的物理設(shè)備可信、傳輸可信和可信接入等幾個(gè)方面。對于用于網(wǎng)絡(luò)連接的物理設(shè)備可信，包括兩層： （1） 物理設(shè)備本身，即物理設(shè)備本身是否可靠，是否可以采用容錯(cuò)計(jì)算技術(shù)；

（2） 設(shè)備的位置安全、限制物理訪問、物理環(huán)境安全和地域因素等，可以通過可信管理方法解決。

可信傳輸是指為網(wǎng)絡(luò)實(shí)體間在網(wǎng)絡(luò)交換過程中的發(fā)信、轉(zhuǎn)發(fā)、接受等提供可信證據(jù)，就像現(xiàn)實(shí)社會(huì)中的郵件，每經(jīng)一個(gè)郵局就要加蓋一次印章一樣，在每一次轉(zhuǎn)報(bào)過程中都要提供經(jīng)手的證明。但是，目前的網(wǎng)絡(luò)協(xié)議，對如何保證安全傳輸?shù)膯栴}考慮得不夠，更談不上可信傳輸了。如作為 Internet 靈魂協(xié)議的 TCP/IP ，存在著很大的安全隱患， TCP 掃描攻擊、協(xié)議棧指紋鑒別、 IP 欺騙、 DNS 欺騙、 DoS 等都是利用了 TCP/IP 的缺陷。如何解決可信傳輸，目前較好的解決辦法是修改網(wǎng)絡(luò)協(xié)議，如 MPLS 、 ATM 和 IPv6 等協(xié)議。另外一種方式是利用 IPSEC/SSL/L2TP 等 VPN 技術(shù)與產(chǎn)品實(shí)現(xiàn)可信傳輸，同時(shí)還可以輔以常規(guī)的安全手段。

可信接入即網(wǎng)絡(luò)的準(zhǔn)入控制，符合要求（即滿足預(yù)期）的終端才被允許接入網(wǎng)絡(luò)，并被賦予相應(yīng)的權(quán)限。網(wǎng)絡(luò)準(zhǔn)入技術(shù)包括平臺(tái)身份認(rèn)證、終端環(huán)境的完整性檢查、網(wǎng)絡(luò)狀態(tài)檢查、授權(quán)、訪問控制、隔離及補(bǔ)救等。典型的解決方案有： （1） TGG 的可信網(wǎng)絡(luò)連接 （Trusted Network Connection ， TNC） ， TNC 側(cè)重與 TPM 綁定的主機(jī)身份鑒別與主機(jī)完整性驗(yàn)證，是一種開放的工業(yè)標(biāo)準(zhǔn)； （2） Cisco 自動(dòng)防御網(wǎng)絡(luò) （Self-Defending Network ， SDN） 的 “ 網(wǎng)絡(luò)準(zhǔn)入控制 （Network Admission Control ， NAC）” ， NAC 構(gòu)架中接入設(shè)備的位置占了很大的比例，或者說 NAC 自身就是圍繞著思科的設(shè)備而設(shè)計(jì)的； （3） 微軟的網(wǎng)絡(luò)訪問保護(hù)（ Network Access Protection NAP ）， NAP 則偏重在終端 agent 以及接入服務(wù) （VPN 、 DHCP 、 802.1x 、 IPsec 組件 ） 。

可信是對已有安全體系的增強(qiáng)，是一種解決安全問題的方法，傳統(tǒng)的安全防護(hù)體系和方法并不會(huì)消失，在未來的很長時(shí)間里，可信計(jì)算平臺(tái)與非可信計(jì)算平臺(tái)將互相融合，并朝著更加安全的系統(tǒng)形式發(fā)展。

雖然可信的理論研究相對滯后，可信的應(yīng)用需要開拓，可信的一些思想存在爭議，但是不論是對全球互聯(lián)網(wǎng)的發(fā)展，或是對國家的信息安全，或?qū)Π踩a(chǎn)業(yè)界，可信都是巨大的機(jī)會(huì)。在中國，政府、金融、電信、電力等的采購始終占據(jù)著信息安全市場相當(dāng)高的比例，可信對這些用戶有著巨大的吸引力。（IT專家網(wǎng)）