謝小賦，吳成波，龐 飛，武丹丹

（1.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.中國人民解放軍93114 部隊，北京 100195）

0 引 言

由無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)和計算設(shè)施組成的信息環(huán)境，作為一種保障網(wǎng)絡(luò)空間中信息高效處理和數(shù)據(jù)可靠通信的信息基礎(chǔ)設(shè)施，近年來已經(jīng)取得了較快的發(fā)展。由于信息環(huán)境在網(wǎng)絡(luò)空間中的作用越來越重要，特別是對高度信息化武器裝備效果發(fā)揮的作用越來越關(guān)鍵，信息環(huán)境已經(jīng)成為敵手網(wǎng)絡(luò)攻擊的主要目標(biāo)之一。此外，隨著網(wǎng)絡(luò)空間對抗博弈的不斷加劇，網(wǎng)絡(luò)攻擊方式逐漸由病毒感染、漏洞入侵、非授權(quán)篡改等一般網(wǎng)絡(luò)攻擊方式，向更具隱蔽性、復(fù)合性的強(qiáng)網(wǎng)絡(luò)攻擊方式發(fā)展，例如系統(tǒng)完整性破壞、惡意代碼植入、系統(tǒng)漏洞利用、社會工程學(xué)入侵等，使得信息環(huán)境面臨更加嚴(yán)峻的網(wǎng)絡(luò)攻擊威脅。

信息環(huán)境在防火墻、防病毒軟件和入侵檢測等傳統(tǒng)安全防護(hù)措施下，僅能有效應(yīng)對一般性網(wǎng)絡(luò)攻擊威脅，面對強(qiáng)網(wǎng)絡(luò)攻擊威脅卻束手無策。為了解決信息環(huán)境所面臨的防御困局，國內(nèi)諸多學(xué)者對可信計算下信息環(huán)境的安全增強(qiáng)作用進(jìn)行了深入研究。沈昌祥院士等人[1]提出了基于可信計算技術(shù)構(gòu)建縱深防御信息安全保障體系的理念，以防范未知漏洞或威脅。黃強(qiáng)等人[2]從終端安全角度，提出了利用可信計算技術(shù)解決主機(jī)程序被篡改、系統(tǒng)完整性被破壞、惡意代碼被植入與運(yùn)行、系統(tǒng)漏洞被利用、用戶權(quán)限被篡改、秘密信息被竊取等強(qiáng)網(wǎng)絡(luò)攻擊問題的新思路。金剛[3]從安全體系結(jié)構(gòu)角度，剖析了可信計算對艦艇計算環(huán)境的安全防護(hù)作用。近年來，可信計算技術(shù)的安全增強(qiáng)作用研究，主要側(cè)重于計算終端安全增強(qiáng)方面，對于其在由無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)和計算設(shè)施等組成的信息環(huán)境中的安全增強(qiáng)作用研究還有待突破。

針對信息環(huán)境在強(qiáng)網(wǎng)絡(luò)攻擊威脅下所面臨的安全防護(hù)難點，本文首先在已有傳統(tǒng)的安全防護(hù)措施的條件下，分析了信息環(huán)境面臨的網(wǎng)絡(luò)攻擊威脅，進(jìn)而研究可信計算對信息環(huán)境的安全增強(qiáng)作用。

1 信息環(huán)境安全威脅

本文在信息環(huán)境采用了接入認(rèn)證、入侵檢測、訪問控制、隔離交換、鏈路加密、主機(jī)防護(hù)和安全審計等傳統(tǒng)的安全防護(hù)措施的條件下，對信息環(huán)境的無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)和計算設(shè)施所面臨的安全威脅進(jìn)行分析。

1.1 無線網(wǎng)絡(luò)面臨的安全威脅

無線網(wǎng)絡(luò)作為信息傳輸?shù)臉屑~，采用甚高頻（Very High Frequency，VHF）、高 頻（High Frequency，HF）等無線電信號運(yùn)行在一個傳播開放、干擾嚴(yán)重的無線環(huán)境中，面臨的威脅有環(huán)境干擾、竊聽、物理攻擊、非法篡改等[3]。特別是無線通信協(xié)議面臨關(guān)鍵字段被截獲、敏感內(nèi)容被篡改、協(xié)議通信被重放等攻擊威脅。采用傳統(tǒng)的安全防護(hù)措施對無線通信協(xié)議的關(guān)鍵字段、敏感內(nèi)容等進(jìn)行機(jī)密性保護(hù)，對通信協(xié)議格式進(jìn)行抗重放、防篡改等安全加固設(shè)計，能夠?qū)o線通信提供機(jī)密性和抗截獲等安全保護(hù)。

基于可信計算的視角，采用上述安全防護(hù)措施的無線網(wǎng)絡(luò)環(huán)境，存在傳輸不可信數(shù)據(jù)的漏洞。由于重點關(guān)注通信雙方身份安全和信息傳輸安全的無線通信系統(tǒng)缺乏與傳輸數(shù)據(jù)的終端可信狀態(tài)的綁定，缺乏對數(shù)據(jù)產(chǎn)生終端的可信狀態(tài)進(jìn)行基于可信計算的度量手段，無法確保數(shù)據(jù)產(chǎn)生終端是否存在變異的風(fēng)險，從而無法確保通過無線通信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)是否可信。一旦數(shù)據(jù)產(chǎn)生終端遭受滲透攻擊，使得終端機(jī)體變異，則會致使終端存在產(chǎn)生不可信數(shù)據(jù)的漏洞。這種安全漏洞將導(dǎo)致無線網(wǎng)絡(luò)將發(fā)送端產(chǎn)生的不可信數(shù)據(jù)毫無戒備地傳輸?shù)酵ㄐ沤邮斩说陌踩L(fēng)險。相比于無線網(wǎng)絡(luò)傳輸環(huán)境面臨的信息被監(jiān)聽、身份被假冒、數(shù)據(jù)被篡改等安全風(fēng)險，這種安全風(fēng)險更為隱蔽且極具破壞力。

1.2 有線網(wǎng)絡(luò)面臨的安全威脅

在信息環(huán)境中，有線網(wǎng)絡(luò)主要由網(wǎng)絡(luò)系統(tǒng)、控制系統(tǒng)、信息局域網(wǎng)等組成。有線網(wǎng)絡(luò)面臨的攻擊威脅包括供應(yīng)鏈環(huán)節(jié)可能帶來的病毒/木馬注入攻擊威脅，以及有線網(wǎng)絡(luò)不可控成員或終端非法接入威脅。在有線網(wǎng)絡(luò)的安全防護(hù)設(shè)計中，主要采用防火墻、接入控制、病毒查殺和身份認(rèn)證等安全手段對其網(wǎng)絡(luò)關(guān)口、內(nèi)網(wǎng)終端的接入進(jìn)行安全防護(hù)[4]，具有網(wǎng)絡(luò)邊界防護(hù)的安全功效。

有線網(wǎng)絡(luò)存在對未知病毒或木馬不能免疫的隱患。有線網(wǎng)絡(luò)的出口部署防火墻或接入控制等設(shè)備僅能對已知的病毒和木馬進(jìn)行查殺，對于未知病毒和木馬則缺乏相應(yīng)的處置能力。有線網(wǎng)絡(luò)只有在未知病毒或木馬對其造成了不良后果，方能事后發(fā)現(xiàn)，顯然這種安全防護(hù)機(jī)制難以對未知病毒和木馬進(jìn)行免疫。

有線網(wǎng)絡(luò)存在難以防止變異終端接入內(nèi)網(wǎng)的漏洞。有線網(wǎng)絡(luò)采用數(shù)字證書技術(shù)對接入終端身份合法性進(jìn)行判斷，可有效防止非法節(jié)點接入內(nèi)網(wǎng)。這種技術(shù)僅對數(shù)字證書的有效性和合法性進(jìn)行檢驗，只要具有表征合法性身份證書的終端均能合法接入內(nèi)網(wǎng)。這種機(jī)制忽視了對接入終端健康度的檢查，一旦具有合法證書或Key 的終端機(jī)體發(fā)生變異，則無法避免“合法”終端接入內(nèi)網(wǎng)。

1.3 計算設(shè)施面臨的安全威脅

終端、服務(wù)器等計算設(shè)施主要面臨硬件被惡意置換、病毒/木馬侵入、系統(tǒng)應(yīng)用軟件被篡改、硬件平臺被事前植入“后門”等安全威脅。計算設(shè)施雖然采用登錄認(rèn)證、準(zhǔn)入控制、病毒防護(hù)、補(bǔ)丁加固和安全審計等技術(shù)手段，對其進(jìn)行較為全面的安全防護(hù)，但面臨計算設(shè)施的物理硬件被惡意替換，應(yīng)用軟件被隱蔽篡改的安全威脅時，卻無能為力。在計算設(shè)施中，軟硬件的任何一個漏洞被敵手所用，都會對網(wǎng)絡(luò)空間的信息環(huán)境造成難以估計的威脅。

此外，雖然計算設(shè)施使用的硬件平臺與應(yīng)用軟件都有相應(yīng)的國產(chǎn)化要求，但其仍然難以完全杜絕預(yù)置“后門”的存在。硬件平臺中被預(yù)置“后門”很可能在關(guān)鍵時刻被激活，從內(nèi)部直接獲得CPU 的運(yùn)行權(quán)，并發(fā)起對信息環(huán)境的攻擊。顯然被預(yù)置的“后門”能繞過計算設(shè)施所采取的登錄認(rèn)證、準(zhǔn)入控制、病毒防護(hù)、補(bǔ)丁加固等傳統(tǒng)的安全防護(hù)措施的圍堵與查殺，并能輕松地獲取計算設(shè)施的關(guān)鍵信息。嚴(yán)重的是，攻擊者通過對計算設(shè)施實施干擾，植入惡意代碼，進(jìn)而控制網(wǎng)絡(luò)和關(guān)鍵系統(tǒng)，最終達(dá)到癱網(wǎng)和控網(wǎng)的目的[5]。

2 可信計算安全增強(qiáng)作用

可信計算作為一種基于密碼的運(yùn)算與防護(hù)并存的安全計算模式，具有助力信息環(huán)境建立計算環(huán)境可信、網(wǎng)絡(luò)可信和接入可信的安全能力。本文在已采取傳統(tǒng)的安全防護(hù)措施的基礎(chǔ)上，聚焦分析可信計算在信息環(huán)境的無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)和計算設(shè)施中的安全增強(qiáng)作用。

2.1 可信計算在無線網(wǎng)絡(luò)中的作用

采用可信計算技術(shù)，可在無線通信系統(tǒng)的收發(fā)兩端對傳輸?shù)臄?shù)據(jù)進(jìn)行有效的完整性驗證，防止數(shù)據(jù)報文被篡改而帶來的安全風(fēng)險。

（1）發(fā)送端可杜絕不可信數(shù)據(jù)產(chǎn)生的風(fēng)險。無線通信發(fā)送端具備數(shù)據(jù)加密能力，對發(fā)送端產(chǎn)生的數(shù)據(jù)進(jìn)行加密操作，并將加密的數(shù)據(jù)通過無線通信協(xié)議發(fā)送出去。一旦發(fā)送端遭到病毒、木馬等惡意程序的入侵，則會使其上的硬件、操作系統(tǒng)、業(yè)務(wù)應(yīng)用面臨被惡意篡改的風(fēng)險，從而引發(fā)無線通信發(fā)送端產(chǎn)生的數(shù)據(jù)是否可信的安全問題。

為解決上述問題，可在對數(shù)據(jù)加密前，采用可信度量方法對發(fā)送端的軟硬件進(jìn)行完整性度量，產(chǎn)生度量值，并對度量值進(jìn)行簽名，再將簽名后的度量值與數(shù)據(jù)一起發(fā)送，這樣既保障了發(fā)送端數(shù)據(jù)加密操作是建立在數(shù)據(jù)可信的基礎(chǔ)之上，又保障了接收端接收到的加密數(shù)據(jù)是安全可信的。因此，在無線網(wǎng)絡(luò)中，可信計算可以防止因硬件、操作系統(tǒng)、業(yè)務(wù)應(yīng)用等被惡意程序篡改所導(dǎo)致發(fā)送端產(chǎn)生不可信數(shù)據(jù)的安全風(fēng)險，也能防止接收端接收到不可信數(shù)據(jù)的安全風(fēng)險。

（2）接收端可以杜絕數(shù)據(jù)被竊取的風(fēng)險。一旦無線通信接收端具有相應(yīng)的解密能力，便能對無線鏈路中傳輸?shù)募用軘?shù)據(jù)包進(jìn)行解密操作，從而獲取無線鏈路傳輸?shù)娜魏螖?shù)據(jù)。若接收端硬件、操作系統(tǒng)、業(yè)務(wù)軟件的任意一個部件被惡意攻擊，使得程序被篡改，都將導(dǎo)致接收端數(shù)據(jù)存在被竊取的安全風(fēng)險。對接收到的無線通信協(xié)議進(jìn)行解密之前，都必須對接收端進(jìn)行可信度量檢查，在確保其可信度量合規(guī)的情況下，允許其對接收到的無線通信協(xié)議數(shù)據(jù)進(jìn)行解密操作?？尚哦攘繖z查可以從技術(shù)上保障，只有未遭受篡改的接收端（可信）才能執(zhí)行解密操作，遭受過篡改的接收端（不可信）不能進(jìn)行解密操作，從而杜絕從接收端將數(shù)據(jù)竊取的風(fēng)險。

2.2 可信計算在有線網(wǎng)絡(luò)中的作用

對于有線網(wǎng)絡(luò)，可信計算主要具有兩方面的安全作用：一是對所有獲取處理器（Central Processing Unit，CPU）運(yùn)行權(quán)限的進(jìn)程進(jìn)行可信度量，可防止有線網(wǎng)絡(luò)中病毒/木馬運(yùn)行的安全風(fēng)險；二是對所有接入終端實施可信接入控制機(jī)制，可防止變異終端非法接入網(wǎng)絡(luò)的安全風(fēng)險。

（1）可對未知病毒/木馬免疫。當(dāng)前，有線網(wǎng)絡(luò)在防無線入侵攻擊方面，主要是設(shè)計統(tǒng)一無線通信關(guān)口并在其上部署相應(yīng)的防火墻、入侵檢測、接入控制等設(shè)備，對病毒/木馬等進(jìn)行網(wǎng)絡(luò)攔截、過濾篩選和入侵檢測。由于防火墻、入侵檢測、接入控制等安全設(shè)備主要依靠既定的安全策略（如特征碼）進(jìn)行工作，僅能對安全策略限定的病毒/木馬等起到較好的防護(hù)作用，在其他未知病毒或木馬的滲透面前，則顯得力不從心，往往只能采取事后處置、策略調(diào)整的方式加以應(yīng)對，其安全防御效果也難以達(dá)到最佳。

可信計算采用基于密碼的可信運(yùn)行控制機(jī)制，在獲取CPU 運(yùn)行權(quán)限前，對所有進(jìn)程進(jìn)行可信度量的安全檢查，只有符合可信度量安全檢查要求的進(jìn)程才能獲得CPU 的運(yùn)行權(quán)限。部署在有線網(wǎng)絡(luò)關(guān)口的防火墻、入侵檢測等安全設(shè)備能夠阻止安全策略設(shè)定內(nèi)的已知病毒/木馬進(jìn)入網(wǎng)絡(luò)內(nèi)部，對于安全策略設(shè)定范圍外的已知或未知的病毒/木馬則難以有效攔截。對于繞過上述安全防護(hù)設(shè)備的病毒/木馬，即使其進(jìn)入到網(wǎng)絡(luò)內(nèi)部，也會因為無法通過可信運(yùn)行控制機(jī)制的嚴(yán)格檢查，而得不到運(yùn)行。因此，可信計算安全防護(hù)機(jī)制，在不需要做任何安全策略調(diào)整的情況下，可對已知或未知的病毒/木馬都具有免疫的功效。

（2）可杜絕非法終端的接入。有線網(wǎng)絡(luò)處于相對封閉的空間，與無線網(wǎng)絡(luò)相比，其受到外部非法接入攻擊的可能性較小。有線網(wǎng)絡(luò)主要采用身份認(rèn)證、網(wǎng)絡(luò)接入控制技術(shù)，實現(xiàn)對接入終端的身份合法性與設(shè)備地址屬性進(jìn)行管控，以防止非法節(jié)點接入有線網(wǎng)絡(luò)。上述的安全防護(hù)機(jī)制能對接入網(wǎng)絡(luò)終端的用戶身份進(jìn)行安全性確認(rèn)，也能確保地址合規(guī)的設(shè)備接入網(wǎng)絡(luò)，但無法防止設(shè)備狀態(tài)或軟件系統(tǒng)變異的終端接入有線網(wǎng)絡(luò)。

可信計算在身份認(rèn)證技術(shù)的基礎(chǔ)上，對終端設(shè)備狀態(tài)（包括其上運(yùn)行的應(yīng)用軟件）進(jìn)行可信驗證，并將終端設(shè)備的信任鏈擴(kuò)展到整個網(wǎng)絡(luò)，得到第三方認(rèn)證系統(tǒng)的確認(rèn)后，才允許接入有線網(wǎng)絡(luò)。上述的可信網(wǎng)絡(luò)接入控制機(jī)制，既確定了終端身份的合法性，又驗證了設(shè)備狀態(tài)合法性，只有在二者均合規(guī)的條件下才允許接入有線網(wǎng)絡(luò)。因此，可信計算不僅能夠阻止非法終端接入有線網(wǎng)絡(luò)，也能阻止身份合法但狀態(tài)被篡改的終端接入有線網(wǎng)絡(luò)。

2.3 可信計算在計算設(shè)施中的作用

可信計算對于計算設(shè)施的安全防護(hù)作用主要體現(xiàn)在兩個方面：一是對端口進(jìn)行可信管控，防止物理部件被非法替換的安全風(fēng)險；二是對計算設(shè)施的軟件運(yùn)行進(jìn)行可信運(yùn)行控制，防止被篡改軟件和被植入“后門”程序運(yùn)行的安全風(fēng)險。

（1）可杜絕物理部件被非法替換的風(fēng)險。 計算設(shè)施的空間相對封閉，通常采用設(shè)備機(jī)箱加鎖、部件加固、專用接口等物理方法防止硬件被替換，但其防御效果較差，無法絕對保障其部件不被替換。

可信計算基于完整性度量機(jī)制[6]，可以直接對物理部件屬性進(jìn)行可信度量（如讀取磁盤物理序列號、光驅(qū)序列號、顯卡OPROM、網(wǎng)卡設(shè)備ID 等硬件特征），并與存儲在可信硬件里的預(yù)期值進(jìn)行比對，從而保障計算設(shè)施中物理部件的唯一性。采用該防范措施的好處是可以從技術(shù)層面防止物理部件被更換，即使其物理替換攻擊行為發(fā)生，也能被系統(tǒng)快速檢測到，并終止該部件的運(yùn)行，從而保障整個系統(tǒng)的安全。

（2）可禁止被惡意篡改的軟件、系統(tǒng)運(yùn)行。一方面，可信計算可以禁止計算設(shè)施中病毒/木馬等程序的運(yùn)行，防止計算設(shè)施中軟件、系統(tǒng)被病毒/木馬等惡意軟件篡改；另一方面，即使計算設(shè)施中軟件、系統(tǒng)被惡意篡改，在這些軟件、系統(tǒng)執(zhí)行前，都需要經(jīng)過可信計算的運(yùn)行控制檢查，一旦其可信度量值不符合系統(tǒng)設(shè)定的安全值，則會被拒絕執(zhí)行，從而達(dá)到保護(hù)計算設(shè)施中軟件、系統(tǒng)安全運(yùn)行的目的。

（3）可禁止被植入“后門”的運(yùn)行。如果“后門”程序通過不可預(yù)知的渠道避開了層層檢查，進(jìn)入計算設(shè)施中隱蔽躲藏，病毒掃描也難以發(fā)現(xiàn)其蹤跡。此外，“后門”程序喚醒或激活的方式多樣、毫無規(guī)律可言，防火墻、入侵檢測等安全防護(hù)設(shè)備對其攔截的效率也難以準(zhǔn)確評估。“后門”程序易被喚醒或激活，從而對計算設(shè)施發(fā)起攻擊，進(jìn)而給整個信息環(huán)境帶來致命的打擊。

在可信計算的防護(hù)下，即使進(jìn)入計算設(shè)施的“后門”程序，并被喚醒或激活，但其在獲取CPU 的運(yùn)行權(quán)限時，若沒有運(yùn)行控制策略的授權(quán)，則無法通過運(yùn)行控制的可信度量檢查，會被拒絕執(zhí)行。因此，可信計算可在上述兩道防線都失效的情況下，能夠起到禁止計算設(shè)施中被植入“后門”程序運(yùn)行的作用，從而達(dá)到保護(hù)信息環(huán)境的目的。

3 結(jié) 語

信息環(huán)境作為網(wǎng)絡(luò)空間的信息基礎(chǔ)保障平臺，其安全性受到了越來越多的關(guān)注。本文在傳統(tǒng)的安全防護(hù)措施的條件下對信息環(huán)境所存在的安全漏洞、面臨的安全威脅，以及對可信計算在信息環(huán)境中的作用進(jìn)行深入分析，這對信息環(huán)境安全增強(qiáng)方法的研究和安全防護(hù)方案的建立具有較強(qiáng)的支撐作用。本文的研究工作雖然能夠有效提升信息環(huán)境的安全防御能力，但尚不能全面解決信息環(huán)境的安全防御問題。信息環(huán)境安全防御問題的全面解決，需要業(yè)界一起從不同角度，不斷挖掘存在的漏洞和探索新的防御方法。