主动免疫可信计算打造安全可信网络产业生态体系
2022-09-01沈昌祥田楠
沈昌祥 田楠
(中国工程院,北京 100088)
0 引言
当前,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在网络社会领域的演进,我国的网络安全正面临着严峻挑战。没有网络安全就没有国家安全,按照国家网络安全法律、战略和等级保护制度要求,推广安全可信产品和服务,筑牢网络安全底线是历史的使命。《中华人民共和国网络安全法》(简称《网络安全法》)提出[1],“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目”。《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”,强调“尽快在核心技术上取得突破,加快安全可信的产品推广应用”[2]。《网络安全等级保护条例》及《关键信息基础设施安全保护条例》要求优先采购安全可信的网络产品和服务,以此来筑牢网络安全保障体系。
1 主动免疫可信计算与安全可信产业
1.1 安全可信的网络产品和服务
安全可信指的是网络设备所具备的安全性能,即在设备工作的同时,内含的安全部件进行动态并行实时全方位安全检验,确保计算过程及资源不被破坏和篡改,正确完成计算任务。这就是主动免疫可信计算产品所具有的安全性能,符合国家法律战略制度推广应用的要求。
随着信息技术的快速发展和网络安全形势的不断变化,人们逐渐认识到,只有自主创新才能摆脱“被人卡脖子”,实现芯片、整机、操作系统、数据库等基础软硬件的产品及供应链安全可信,为建设网络强国筑牢万里长城。但是,我国当前网络信息产品的自主创新程度和安全防护水平相对较低,重要信息系统和关键基础设施存在大量安全隐患,要扭转这种被动局面,必须放弃跟随仿造的技术路线,坚持自立自强创新发展模式,用主动免疫可信计算开创安全可信产业新生态。
1.2 网络安全风险的本质
首先要认清网络安全风险的本质。安全风险源于图灵机原理少安全理念、冯.诺依曼体系结构少防护部件和网络信息工程无安全治理三大原始性缺失,再加上人们对IT产品逻辑认知的局限性,不可能穷尽所有的逻辑组合,只能局限处理完成计算任务有关的逻辑,必定存在大量逻辑处理不全的缺陷漏洞,从而难以应对人为利用缺陷漏洞进行攻击获取利益的恶意行为,可见网络安全风险是永远的命题。为了降低网络安全风险,必须从计算模式逻辑正确验证、计算体系结构和工程构建等方面进行科学技术创新,以解决存在的漏洞缺陷被攻击者所利用的问题,形成主动免疫防护体系。
与人体健康一样,网络设施必须有免疫系统,计算的同时并行进行防护,以物理可信根为基础,一级验证一级,通过构建可信链条,为用户提供可信存储、可信度量和可信报告等多种功能,确保用户的数据资源和操作全程可测可控,为用户提供可信任的计算环境。
可见,《网络安全法》要求所有网络产品和服务都要具有安全可信的性能是科学合理的,应加快依法用主动免疫的可信计算打造安全可信的网络产业新生态。
2 主动免疫可信计算抢占安全可信战略高地
目前,可信计算概念在不断更新,其发展大体可分为可信计算1.0→可信计算2.0→可信计算3.0三个层级,具体参见图1。
2.1 可信计算1.0
可信计算1.0是20世纪70年代以世界容错组织为代表,用容错算法及时发现和处理故障,降低故障的风险,以提高系统的安全性和可靠性。采用故障排除、冗余备份等手段应对软硬件工程性故障、物理干扰、设计错误等影响系统正常运行的各种问题。
2.2 可信计算2.0
可信计算2.0以可信计算组织(Trusted Computing Group,TCG)为代表,TCG成立于2003年,采用可信平台模块(Trusted Platform Module,TPM)与主机串接架构,通过应用主程序调用软件栈子程序用TPM进行可信度量、报告等功能,实现对计算系统的串行静态检测保护。由于未改变原有体系结构,故难以对计算系统进行主动防御。目前,国内外品牌的Wintel(Windows-Intel架构)都配备了TPM芯片,推出了可信终端和服务器产品。
2.3 可信计算3.0
可信计算3.0源于我国20世纪90年代初。1992年,正式立项研制免疫的综合防护系统,研发了并行连接主机的智能安全卡;1995年2月,通过测评鉴定,定型装备推广使用,经过长期攻关构成安全可信的产品链,形成了自主创新的主动免疫可信计算技术体系。经《求是》杂志、新华社等权威媒体评价和同行院士专家认定为可信计算3.0[3]。该技术体系构建了运算和防御并行的双体系架构,在计算运算的同时进行安全防护,全程管控、不被干扰,使计算结果总是与预期保持一致。将可信计算技术与访问控制相融合,能及时识别“自己”和“非己”成份,禁止未授权行为,使攻击者无法利用缺陷和漏洞对系统进行非法操作,最终达到使攻击者“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的效果,对已知和未知病毒不查杀而自灭。
3 可信计算3.0安全可信创新体系
3.1 安全可信体系架构的创新
可信计算3.0创立双体系架构,保持原有通用计算部件功能流程不变,同时并行建立一个逻辑上独立的可信防护部件,对通用计算系统硬件和操作系统及应用程序工作过程实施可信监控,实现对通用计算系统上全程运行的可信保障。双体系架构把现有应用系统当作保护对象,不需修改和打补丁,能够广泛应用于现有系统当中,成为普适型的通用架构。双体系架构从系统底层到上层实施可信链传递,构建了以密码为基础,芯片固件为信任根,主板为平台,软件为核心,网络为纽带,应用见成效等安全可信的技术体系框架,并制订发布了国家系列标准(见图2)。
3.2 可信计算密码技术的创新
密码是可信计算的基础,比喻为可信的免疫基因,依据国家密码算法标准,制订了可信密码模块(Trusted Cryptography Module,TCM)国家标准,在以下三个方面有重要创新。
(1)全部采用国产密码算法,对称密钥算法使用SM4算法,非对称密钥算法使用SM2算法,哈希算法使用SM3算法,有机组合实现全部可信保护功能,走密码独立自主创新之路。
(2)首创用对称和非对称密码相结合可信计算密码混合体制,使得可信密码机制更为科学合理,提升了系统的安全性能。
(3)采用双证书体制,相比TCG的5种证书配置,更为合理有效。用双证书的平台证书认证系统,用加密证书保护密钥,并且将加密功能和认证功能分离管理,符合国家电子签名法要求,简化了证书管理,增强了安全性,不少技术被TCG采用。
3.3 可信平台控制模块的创新
提出了以可信平台控制模块(Trusted Platform Control Module ,TPCM)作为可信根,并接于主机的计算部件,TPCM在连接TCM模块的基础上增添对计算部件和外设的总线级控制功能,成为系统可信的源头。它将密码机制与控制机制相结合,先于计算部件中央处理器(CPU)启动,主动对主板固件和基础软件进行度量并实施控制,不依赖主机CPU和系统的BIOS代码,能有效地规避利用CPU后门对固件的恶意篡改,保证系统初始启动过程的可信性。主机启动后继续对系统软硬件执行过程进行动态控制,成为依据可信策略进行全方位平行可信验证的控制平台。目前,TPCM国家标准已发布,研究发展成为插卡、主板SoC和多核CPU可信核三种模式产品,被大量推广应用。
3.4 可信主板的创新
可信平台主板将可信防护部件与主机计算部件并接,可信防护部件由TPCM和系统中的多个度量点(Boot ROM等)组成,计算部件保持原有架构不变。控制电路设计成在CPU上电前先启动TPCM对Boot ROM进行度量,让信任链在“加电第一时刻”开始建立。同时,在主板上设置多个固件度量代理接口,在可信根和可信软件之间提供硬件支持接口,为可信软件层提供对主机软硬件进行度量的控制路径。
3.5 可信软件基的创新
在原宿主软件系统不变的条件下,构建基于TPCM对宿主系统进行动态可信验证的可信软件基,形成了双软件架构,通过可信软件基对系统运行环境实施可信保障。可信软件基在可信计算体系中处于承上启下的核心地位,对上与可信管理机制对接,通过策略库的规则主动监控主机应用,对下连接TPCM和其他可信资源,对系统可信度量和控制提供支撑,同时与网络环境中其他可信资源实现协同处理。可信软件基在TPCM的支撑下解释可信策略,通过在宿主操作系统代理主动拦截获取的有关参数进行度量验证,实现判定和执行等安全机制。目前,“白细胞”等可信软件基产品已成为安全可信的基础软件代表作[4]。
3.6 可信网络连接的创新
针对集中控管的网络环境安全需求,提出了三元三层对等可信网络连接架构,通过安全管理中心集中管理,对网络通信连接的双方资源实施可信度量和判决,有效防范内外合谋攻击。同时,在纵向上把网络访问、可信评估和可信度量分层处理,使得系统结构清晰,控制严谨有序;在横向上则进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别,使得集中控管的网络无缝衔接,提高了可信控制部件的自身安全性。
4 以等级保护2.0与可信计算3.0筑牢网络安全防御体系
4.1 可信计算3.0主动免疫防御特性
可信计算3.0基于计算复杂性理论以及逆向验证方法,对已知流程的信息系统量体裁衣的方式,按应用和流程的安全需求制定可信策略,依据策略对信息系统进行主动免疫的安全防御,其防御特性见表1。
表1 可信计算3.0主动免疫防御特性
可信计算3.0防御以密码为基因,通过科学严谨逻辑组合逆向验证,进行主动识别、主动度量、保密存储,实现统一管理平台策略支撑下对数据信息和系统服务资源可信检验判定,实施智能感知主动防御,适用于服务器、终端及嵌入式系统,可在行为源头判断异常行为并进行防范,达到已知病毒不查杀而自灭,免疫地抵御未知病毒及利用未知漏洞的攻击,安全强度高,防护效率高;结构上可采取处理器内部并建可信核模块,还可以外接可信插卡以及主板内并加可信SoC等不同实现方法实现防护部件,既适用于新系统组建,也可用于旧系统改造,降低了实现难度和工程成本;通过动态并行对应用过程监控,不需要打补丁修改原应用代码,对业务工作性能影响很小,实时性强,大量应用实例表明对系统性能影响小于3%。
4.2 加速推进安全可信产业生态环境建设
经过近十年对可信计算的大量应用,《国家中长期科学和技术发展规划纲要(2006—2020年)》明确提出了以发展高可信网络为重点开展网络安全技术及相关产品,建立网络安全技术保障体系的任务[5]。“十二五”规划有关重大工程项目都把主动免疫可信计算列为发展重点,国家重要信息系统,如增值税防伪、彩票防伪、二代居民身份证安全系统等都采用了可信计算3.0。
近年来,随着数字经济的蓬勃发展,全球网络安全威胁持续加剧。各国政府纷纷加强网络监管,企业的安全投入不断增加,网络安全保险作为承保网络安全风险的新险种,日益成为转移、防范网络安全风险的重要工具。西方发达国家网络安全保险市场已进入快速发展阶段,展现出巨大的网络安全保险市场空间。国内网络安全保险市场虽然尚处于市场探索期,但已引发政府部门、研究机构、保险公司、网络安全企业等相关机构的高度关注,发展前景值得期待。
5 结束语
目前,日趋严峻的网络空间安全形势,要求我们不仅要建立健全网络空间安全治理相关制度,更要从技术研发与产业推广层面不断创新,持续提升网络空间安全防护水平。以主动免疫理论为代表的新型可信计算体系作为近年来我国可信计算领域的最新研究成果,实现了对系统内合法与非法成分的有效区分。以该体系为支撑的安全可信创新体系,目前已在体系架构、密码技术、控制模块、主板、软件基、网络连接等的研究中得到了广泛应用。未来新一代可信计算与等级保护理论的深度结合,将有效促进我国网络安全防御体系的构建与完善,为我国网络空间安全防护能力的提升以及互联网相关产业的健康发展提供有力支撑。