沈昌祥 石磊 張輝 劉春 商子豪

摘要：在可信計算領(lǐng)域，我國自主發(fā)展了完整的體系標準，采用安全可信策略管控下的運算和防護并存的主動免疫的新計算體系結(jié)構(gòu)，以密碼為基因?qū)嵤┥矸葑R別、狀態(tài)度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質(zhì)。云安全是可信計算當前的重點應(yīng)用方向，基于可信計算建立主動免疫的可信云安全框架，是解決當前各類云安全問題的重要基礎(chǔ)和保障。

關(guān)鍵詞：可信計算；云計算；云安全

中圖分類號：TP309 文獻標識碼：A DOI：10.3969/j.issn.1003-8256.2018.02.001

可信計算（Trusted Computing）已是世界網(wǎng)絡(luò)安全的主流技術(shù)，國際可信計算組織（以下簡稱TCG，Trusted Computing Group）于2003年正式成立，已有190多成員。我國可信計算源于1992年正式立項研究“主動免疫的綜合防護系統(tǒng)”，經(jīng)過長期攻關(guān)、軍民融合，形成了自主創(chuàng)新的可信體系，該體系中的許多標準已被國際可信計算組織（TCG）采納[1]。

1 發(fā)展可信計算的意義

發(fā)展可信計算技術(shù)與實施網(wǎng)絡(luò)安全等級保護制度是構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施、確保整個網(wǎng)絡(luò)空間安全的基本保障。推廣發(fā)展中國主動免疫的可信計算技術(shù)可以筑牢我國的網(wǎng)絡(luò)安全防線。

1.1 網(wǎng)絡(luò)安全是永遠的主題

傳統(tǒng)的計算設(shè)備是工具，與他人利益無關(guān)，因此無需防止別人攻擊破壞。而現(xiàn)在由計算設(shè)備構(gòu)成的網(wǎng)絡(luò)空間是資產(chǎn)財富、基礎(chǔ)設(shè)施和國家主權(quán)，因此黑客用病毒獲取金錢、敵對勢力以APT實施暴恐、霸權(quán)國家以網(wǎng)絡(luò)戰(zhàn)攻擊它國，對網(wǎng)絡(luò)空間構(gòu)成重大的威脅。這些都暴露了網(wǎng)絡(luò)空間極其脆弱的問題：計算科學(xué)缺少攻防理念、體系結(jié)構(gòu)缺少防護部件、工程應(yīng)用缺乏安全服務(wù)，由此造成了網(wǎng)絡(luò)安全極大風險。從科學(xué)原理上看，人們對IT認知邏輯的局限性，不能窮盡所有邏輯組合，只能局限于完成計算任務(wù)去設(shè)計IT系統(tǒng)，必定存在邏輯不全的缺陷，從而形成了難以應(yīng)對人為利用缺陷進行攻擊的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全是永遠的主題。因此，為了防御對方攻擊，必須進行科學(xué)技術(shù)創(chuàng)新，從邏輯正確性角度驗證理論、計算體系結(jié)構(gòu)和計算工程應(yīng)用模式等方面，以解決邏輯缺陷被攻擊者利用的問題，形成攻防矛盾的統(tǒng)一體。確保用于完成計算任務(wù)的邏輯組合不被篡改和破壞，實現(xiàn)正確計算，這就是主動免疫防御的相對安全目標[1]。

1.2 “封堵查殺”被動防護已過時

當前大部分網(wǎng)絡(luò)安全系統(tǒng)主要是由防火墻、入侵監(jiān)測和病毒查殺等傳統(tǒng)安全設(shè)施組成，原理上簡單可概括為“封堵查殺”。這些傳統(tǒng)的安全手段難以應(yīng)對利用邏輯缺陷的攻擊。首先，傳統(tǒng)手段根據(jù)已發(fā)生過的特征庫內(nèi)容進行比對查殺，面對層出不窮的新漏洞與攻擊方法，這種消極被動應(yīng)對是防不勝防的；其次，傳統(tǒng)手段屬于超級用戶，權(quán)限越規(guī)，違背了基本的安全原則；第三，傳統(tǒng)手段有可能被攻擊者控制，從而成為網(wǎng)絡(luò)攻擊的平臺。例如，“棱鏡門”就是利用世界著名防火墻收取情報，而某些殺毒軟件的病毒庫篡改后可以導(dǎo)致系統(tǒng)癱瘓（將正常程序作為惡意程序查殺）。最近美國認為俄國利用卡巴斯基殺病毒軟件破壞了美國總統(tǒng)大選。因此，只有重建主動免疫可信體系才能有效抵御已知和未知的各種攻擊[2]。

1.3 建立主動免疫的計算模式與結(jié)構(gòu)

主動免疫可信計算是指計算運算的同時進行安全防護，計算全程可測可控，不被干擾，只有這樣方能使計算結(jié)果總是與預(yù)期一樣。這種主動免疫的計算模式改變了傳統(tǒng)的只講求計算效率，而不講安全防護的片面計算模式。

我國自主設(shè)計的雙體系結(jié)構(gòu)中，采用了一種安全可信策略管控下的、運算和防護并存的、主動免疫的新計算體系結(jié)構(gòu)，以密碼為基因?qū)崿F(xiàn)身份識別、狀態(tài)度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質(zhì)，相當于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力[2]。

1.4 發(fā)展安全可信的體系框架

云計算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等新型信息化環(huán)境需要安全可信作為基礎(chǔ)和發(fā)展的前提，必須進行可信度量、識別和控制。采用安全可信系統(tǒng)架構(gòu)可以確保體系結(jié)構(gòu)可信、資源配置可信、操作行為可信、數(shù)據(jù)存儲可信和策略管理可信，從而達到積極主動防御的目的。

2 我國在可信計算領(lǐng)域的革命性創(chuàng)新

國外可信計算體系主要是由少數(shù)IT巨頭公司主導(dǎo)和推動發(fā)展的，在技術(shù)上存在許多封閉性和局限性；與此同時，我國通過長期攻關(guān)，已經(jīng)形成了自主可控的可信體系，其中包含很多革命性的創(chuàng)新。

2.1 全新的可信計算標準體系

相對于國外可信計算被動調(diào)用的外掛式體系結(jié)構(gòu)，我國可信計算革命性的開創(chuàng)了自主密碼為基礎(chǔ)、控制芯片為支柱、雙融主板為平臺、可信軟件為核心、可信連接為紐帶、策略管控成體系、安全可信保應(yīng)用的全新的可信計算體系結(jié)構(gòu)框架[2]。

在該體系結(jié)構(gòu)框架指引下，我國2010年前完成了核心的9部國家標準和5部國軍標的研究起草工作。到目前為止，已發(fā)布國家標準3項和國軍標3項，即將發(fā)布國家標準2項，已發(fā)布團體標準（中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟標準）4項，授權(quán)國家專利上百項。我國可信計算標準體系是創(chuàng)新的成果。標準體系的創(chuàng)新性體現(xiàn)在：第一是打基礎(chǔ)，具有自主的密碼體系；第二是構(gòu)主體，確定了四個主體標準是可信平臺控制模塊、可信平臺主板功能接口、可信基礎(chǔ)支撐軟件及可信網(wǎng)絡(luò)連接架構(gòu)；第三是搞配套，提出了四個配套標準，分別是可信計算規(guī)范體系結(jié)構(gòu)、可信服務(wù)器平臺、可信存儲及可信計算機可信性測評指南；第四是成體系，包括了管控應(yīng)用相關(guān)標準，涉及到等級保護系統(tǒng)各個方面。

2.2 跨越了TCG可信計算局限性

國際可信計算組織（TCG）可信體系，在機制和體系結(jié)構(gòu)方面存在一定的局限性，我國的可信計算體系則很好的處理了相應(yīng)問題

（1） 密碼體制方面

TCG原版本只采用了公鑰密碼算法RSA，雜湊算法只支持SHA1系列，回避了對稱密碼。由此導(dǎo)致密鑰管理、密鑰遷移和授權(quán)協(xié)議的設(shè)計復(fù)雜化（包括五類證書、七類密鑰），也直接威脅著密碼的安全。而我國的可信平臺模塊（TPM2.0）則采用了我國對稱與公鑰結(jié)合的密碼體制，該機制已申報成為了國際標準。

（2） 體系結(jié)構(gòu)方面

TCG采用外掛式結(jié)構(gòu)，并未從計算機體系結(jié)構(gòu)上進行變更，而是把可信平臺模塊（TPM）作為外部設(shè)備掛接在外部總線上。在軟件層面，可信軟件棧（TSS）是可信平臺軟件TPS的子程序庫，被動調(diào)用，無法動態(tài)主動度量。而我國可信計算創(chuàng)新的采用雙系統(tǒng)體系架構(gòu)，變被動模式為主動模式，使主動免疫防御成為可能。

2.3 創(chuàng)新可信密碼體系

我國可信計算平臺密碼方案的創(chuàng)新之處主要體現(xiàn)在算法、機制和證書結(jié)構(gòu)三個方面：

第一、在密碼算法上，全部采用國有自主設(shè)計的算法，定義了可信計算密碼模塊（TCM）；

第二、在密碼機制上，采用對稱與公鑰密碼相結(jié)合體制，提高了安全性和效率；

第三、在證書結(jié)構(gòu)上，采用雙證書結(jié)構(gòu)，簡化了證書管理，提高了可用性和可管理性。

公鑰密碼算法采用的是橢圓曲線密碼算法SM2，對稱密碼算法采用的是SM4算法，而SM3用于完整性校驗。利用密碼機制可以保護系統(tǒng)平臺的敏感數(shù)據(jù)和用戶敏感數(shù)據(jù)[3]。

2.4 創(chuàng)建主動免疫體系結(jié)構(gòu)

主動免疫是中國可信計算革命性創(chuàng)新的集中體現(xiàn)。我國自主創(chuàng)建的主動免疫體系結(jié)構(gòu)，在雙系統(tǒng)體系框架下，采用自主創(chuàng)新的對稱/非對稱相結(jié)合的密碼體制作為免疫基因；在主動度量控制芯片（TPCM）硬件中植入可信源根，在TPCM基礎(chǔ)上加以信任根控制功能，實現(xiàn)密碼與控制相結(jié)合，將可信平臺控制模塊設(shè)計為可信計算控制節(jié)點，實現(xiàn)了TPCM對整個平臺的主動控制；在可信平臺主板中增加了可信度量控制節(jié)點，實現(xiàn)了計算和可信雙節(jié)點融合；軟件基礎(chǔ)層實現(xiàn)宿主操作系統(tǒng)和可信軟件基的雙重系統(tǒng)核心，通過在操作系統(tǒng)核心層并接一個可信的控制軟件，接管系統(tǒng)調(diào)用，在不改變應(yīng)用軟件的前提下實施對應(yīng)執(zhí)行點的可信驗證，達到主動防御效果；網(wǎng)絡(luò)層采用三層三元對等的可信連接架構(gòu)，在訪問請求者、訪問連接者和管控者（即策略仲裁者）之間進行三重控制和鑒別，管控者對訪問請求者和訪問連接者實現(xiàn)統(tǒng)一的策略驗證，解決了合謀攻擊的難題，提高系統(tǒng)整體的可信性[4]。

另外，該體系對應(yīng)用程序未作干預(yù)處理，這是確保能正確完成計算任務(wù)邏輯完整性所要求的，正確的應(yīng)用程序不應(yīng)打補丁，否則將形成新的漏洞。

2.5 開創(chuàng)可信計算3.0新時代

主動免疫體系結(jié)構(gòu)開創(chuàng)了以系統(tǒng)免疫性為特性的可信計算3.0新時代。可信計算1.0以世界容錯組織為代表，主要特征是主機可靠性，通過容錯算法、故障診查實現(xiàn)計算機部件的冗余備份和故障切換?？尚庞嬎?.0以TCG為代表，主要特征是包含PC節(jié)點安全性，通過主程序調(diào)用外部掛接的可信芯片實現(xiàn)被動度量。我國自主建立的可信計算3.0，主要特征是系統(tǒng)免疫性，保護對象是以系統(tǒng)節(jié)點為中心的網(wǎng)絡(luò)動態(tài)鏈，構(gòu)成“宿主+可信”雙體系可信免疫架構(gòu)，宿主機運算的同時由可信機制進行安全監(jiān)控，實現(xiàn)對網(wǎng)絡(luò)信息系統(tǒng)的主動免疫防護。

3 基于可信計算的云安全框架

云計算是可信計算當前最重要的應(yīng)用領(lǐng)域之一。以可信計算體系為基礎(chǔ)，建立和完善云安全框架，指導(dǎo)云系統(tǒng)的建設(shè)，是解決云安全問題的根本途徑。

3.1 云中心結(jié)構(gòu)

信息系統(tǒng)云化是指其信息處理流程在云計算中心完成。云計算中心負責信息系統(tǒng)的系統(tǒng)服務(wù)防護，用戶負責業(yè)務(wù)信息安全保護，這是典型的“賓館服務(wù)”模式。用戶自己不用建機房，把業(yè)務(wù)信息程序（如門戶網(wǎng)站、開發(fā)軟件、定制應(yīng)用）遷移到云計算中心機房，由云中心負責運行（包括SaaS、PaaS和IaaS三種模式）。相當于傳統(tǒng)招待所的點菜吃飯、開會研究事和小型商店服務(wù)等都沒有必要經(jīng)營，直接去賓館接受服務(wù)更價廉物美。

云計算中心應(yīng)當可以同時運行多個不同安全級別的信息系統(tǒng)。云計算中心安全防護能力必須不低于承運最高等級信息系統(tǒng)的級別。

云中心一般由用戶網(wǎng)絡(luò)接入、區(qū)域邊界、計算環(huán)境和管理平臺組成（如圖1所示）。云中心是聚集式的應(yīng)用軟件、計算節(jié)點以及計算環(huán)境的計算中心，用戶通過通信網(wǎng)絡(luò)連接到前置機（邊界）再接入到計算節(jié)點組成的計算環(huán)境，中心后臺提供運維管理等功能。

云計算模式和云中心的出現(xiàn)，帶來了一系列新的安全問題，解決這些問題必須從框架上進行調(diào)整。

3.2 可信云安全框架

云計算可信安全架構(gòu)是在安全管理中心支撐下的可信計算環(huán)境、可信接入邊界、可信通信網(wǎng)絡(luò)三重防護架構(gòu)，如圖2所示。

可信云計算環(huán)境，可信鏈傳遞從基礎(chǔ)設(shè)施可信根出發(fā)，度量基礎(chǔ)設(shè)施、計算平臺，驗證虛擬計算資源可信，支持應(yīng)用服務(wù)的可信，確保計算環(huán)境可信。業(yè)務(wù)信息安全應(yīng)由用戶確定主體/客體關(guān)系，制定訪問控制策略，實現(xiàn)控制流程安全。系統(tǒng)服務(wù)安全由中心負責計算資源可信保障，還要對訪問實體和操作環(huán)境進行可信驗證，確保服務(wù)安全可信[4]。

可信接入邊界，這一層驗證用戶請求和連接的計算資源可信，拒絕非法用戶和偽造請求。

可信通信網(wǎng)絡(luò)，本層次確保用戶服務(wù)通信過程的安全可信。

安全管理中心分工與傳統(tǒng)的信息系統(tǒng)有所區(qū)別，系統(tǒng)管理由云中心為主，保證資源可信；安全（策略）管理由用戶為主，負責安全可信策略制訂和授權(quán)；審計管理由云中心和用戶協(xié)同處理，負責應(yīng)急和追蹤處置。

以下重點說明可信云計算所需的有關(guān)資源及相互連接關(guān)系。如圖3所示。

云計算環(huán)境由大量的云計算環(huán)境節(jié)點（即宿主機節(jié)點）組成計算資源。為了充分發(fā)揮基礎(chǔ)軟硬件資源效率，基于虛擬化資源調(diào)度管理，虛擬機管理器（VMM）即時按照用戶服務(wù)的需求，分配必要的計算資源，創(chuàng)建、就緒、運行虛擬機（VM）（虛擬計算節(jié)點），當服務(wù)完成后終止虛擬機，回收資源，再分配給其他服務(wù)的虛擬機使用。這樣形成了任意多個動態(tài)的虛擬機映射使用宿主機群物理計算資源的體系架構(gòu)?？尚旁瓶蚣芗纫ＷC基礎(chǔ)計算資源的可信，也要保證虛擬機資源和運行的可信，因此提供了虛擬可信根和虛擬機安全可信機制，支持和保護虛擬機資源。虛擬可信根的可信性源于物理可信芯片中的可信根。另外，虛擬機安全可信機制基于虛擬可信根，并根據(jù)安全管理中心制訂的策略進行具體的安全控制[1]。

可信接入邊界一般由計算中心的前置處理機組成，可信云安全框架要求前置處理機設(shè)計成安全可信的計算環(huán)境，與可信云計算環(huán)境的要求類似，只不過規(guī)模相對小一些。由可信根支撐下的可信軟件基實施邊界處理的安全可信檢測，按照安全管理中心制訂的安全策略進行外部用戶請求的可信驗證。

可信通信網(wǎng)絡(luò)由交換機、路由器等設(shè)備組成，這些設(shè)備本質(zhì)上是通過計算機軟硬件實現(xiàn)的。通信網(wǎng)絡(luò)是用戶和云中心之間的連接環(huán)節(jié)，其設(shè)備必須可信，可信根、可信軟件基和可信監(jiān)管是不可缺少的。

4 結(jié)語

我國在可信計算領(lǐng)域已經(jīng)自主建立了完整的體系，開創(chuàng)了可信計算3.0時代。主動免疫的可信計算體系是我國構(gòu)建網(wǎng)絡(luò)安全和信息系統(tǒng)安全的重要基礎(chǔ)和保障。云計算是可信計算當前最重要的應(yīng)用方向之一。在云計算領(lǐng)域引入可信計算，構(gòu)造主動免疫的云安全框架體系，可以指導(dǎo)完善云計算系統(tǒng)的安全防御機制，有力保障云計算產(chǎn)業(yè)的健康發(fā)展。

參考文獻：

[1] 沈昌祥.用可信計算3.0筑牢網(wǎng)絡(luò)安全防線[J].信息通信技術(shù)，2017，11（3）：4-6.

[2] 沈昌祥，陳興蜀.基于可信計算構(gòu)建縱深防御的信息安全保障體系[J].四川大學(xué)學(xué)報（工程科學(xué)版），2014，46（1）：1-7.

[3] 沈昌祥，公備.基于國產(chǎn)密碼體系的可信計算體系框架[J].密碼學(xué)報，2015，2（5）：381-389.

[4] 沈昌祥，張煥國，王懷民，王戟，趙波，嚴飛，余發(fā)江，張立強，徐明迪.可信計算的研究與發(fā)展[J].中國科學(xué)：信息科學(xué)，2010，40（2）：139-166.

（編輯：姚英）

Abstract：In the field of trusted computing， our country has independently established a trusted computing system for active immunity， the new computational architecture of active immunity， which is based on the operation and protection under the control of secure and credible policy， is used to identify the "self" and "non self" components in time by using the functions of identity identification， state measurement and confidential storage. thereby destroying and rejecting the harmful substances. Cloud security is the key application direction of trusted computing， and it is an important basis and guarantee to solve all kinds of cloud security problems based on trusted computing.

Keywords：：trusted computing；cloud computing