可信計(jì)算，產(chǎn)業(yè)發(fā)展上新階

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在IT產(chǎn)業(yè)迅速發(fā)展、互聯(lián)網(wǎng)廣泛應(yīng)用和滲透的今天，各種各樣的威脅模式也不斷涌現(xiàn)。信息領(lǐng)域犯罪的隱蔽性、跨域性、快速變化性和爆發(fā)性給信息安全帶來(lái)了嚴(yán)峻的挑戰(zhàn)。面對(duì)信息化領(lǐng)域中計(jì)算核心的脆弱性，如體系結(jié)構(gòu)的不健全、行為可信度差、認(rèn)證力度弱……信息安全的防護(hù)正在由邊界防控向源頭與信任鍵的防控轉(zhuǎn)移，這正是可信計(jì)算出臺(tái)的背景。如何提供可信的信息安全服務(wù)，如何確保用戶得到可預(yù)期的安全，這些都成為業(yè)界關(guān)注的問(wèn)題。“信息安全要從源頭、從體系、從行為抓起，爭(zhēng)取實(shí)體安全結(jié)果的可控和可預(yù)期，這就是可信計(jì)算的理念?！眹?guó)家信息化專家咨詢委員會(huì)委員、研究員曲成義如是說(shuō)。

基于信任構(gòu)建安全

可信計(jì)算技術(shù)實(shí)際上是信息安全領(lǐng)域一個(gè)支撐性的安全技術(shù)，它不僅涉及到計(jì)算機(jī)，還涉及到網(wǎng)絡(luò)可信環(huán)節(jié)的構(gòu)建。從技術(shù)角度看，可信計(jì)算定義為“系統(tǒng)提供可信賴的計(jì)算服務(wù)的能力，而這種可信賴性是可以驗(yàn)證的”。任何一個(gè)信任體系都有一個(gè)公認(rèn)的、不需要證明的起始點(diǎn)，這個(gè)起始點(diǎn)就是根信任關(guān)系。于是，信任關(guān)系可以從根開(kāi)始一級(jí)一級(jí)向下傳遞，從而確保了可信的安全引導(dǎo)過(guò)程。同時(shí)，可信計(jì)算平臺(tái)在網(wǎng)絡(luò)上不再依賴 IP地址，而是通過(guò)唯一的身份證書(shū)來(lái)標(biāo)識(shí)自己，內(nèi)部各元素之間進(jìn)行嚴(yán)密的互相認(rèn)證、對(duì)用戶身份進(jìn)行鑒別，這保證了完整的身份認(rèn)證。可信計(jì)算就是基于硬件信任根的建立、基于密碼的身份認(rèn)證、基于標(biāo)簽的強(qiáng)制訪問(wèn)和執(zhí)行代碼的一致性驗(yàn)證，從而能夠做到系統(tǒng)的最小優(yōu)化配置與資源的嚴(yán)格控制。

從可信計(jì)算的應(yīng)用角度看，它是保障國(guó)家信息安全核心的技術(shù)基礎(chǔ)。事實(shí)上，國(guó)際上IEEE在1999年便首次提出了可信計(jì)算聯(lián)盟(TCPA)，2002年則由國(guó)際IT巨頭廠商Intel、 IBM、HP 、Sony 、Microsoft等正式成立了可信平臺(tái)聯(lián)盟TCPA，并在2003年更名為可信計(jì)算組織(TCG)(Trusted Computing Group)。此后，全球上百家大型IT企業(yè)都進(jìn)入了可信計(jì)算領(lǐng)域，可信計(jì)算已然成為一種全球性行為。而作為關(guān)系國(guó)家安全的核心技術(shù)，中國(guó)必須要在可信計(jì)算標(biāo)準(zhǔn)、規(guī)范的制定中占有一席之地，從而具有與國(guó)際標(biāo)準(zhǔn)對(duì)話的話語(yǔ)權(quán)。在這樣的背景下，我國(guó)的可信計(jì)算研究在在國(guó)家相關(guān)重要政策的引導(dǎo)下逐步發(fā)展起來(lái)。

自2006年11月正式成立中國(guó)可信計(jì)算工作組（TCMU）至今，我國(guó)的可信計(jì)算在標(biāo)準(zhǔn)制定和技術(shù)研究方面都取得了可喜的成果。如今工作組已經(jīng)包括了19家成員，他們涉及芯片、PC系統(tǒng)、網(wǎng)絡(luò)接入、系統(tǒng)/應(yīng)用軟件、CA證書(shū)等多個(gè)領(lǐng)域，這也使得“可信計(jì)算”的產(chǎn)業(yè)鏈發(fā)展初具規(guī)模。中國(guó)可信計(jì)算工作組（TCMU）組長(zhǎng)、中國(guó)科學(xué)院軟件研究所副總工程師馮登國(guó)更是將2008年稱為“中國(guó)可信計(jì)算元年”。

可信“元年”成績(jī)斐然

“中國(guó)可信計(jì)算元年”是馮登國(guó)給2008年中國(guó)可信計(jì)算產(chǎn)業(yè)的發(fā)展所下的定義。關(guān)于“元年”的含義，一方面在于2008年，《可信計(jì)算密碼實(shí)施平臺(tái)接口規(guī)范》正式由行業(yè)規(guī)范上升為國(guó)家標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的意義不言而喻，“規(guī)范上升為標(biāo)準(zhǔn)，這本身是一個(gè)國(guó)家行為，它塑造了一面旗幟?！瘪T登國(guó)強(qiáng)調(diào)說(shuō)，“國(guó)家標(biāo)準(zhǔn)是排他行為。國(guó)家標(biāo)準(zhǔn)的意義在于，沒(méi)有這個(gè)標(biāo)準(zhǔn)，產(chǎn)業(yè)就沒(méi)有方向，整個(gè)產(chǎn)業(yè)就處于等待當(dāng)中，而這個(gè)標(biāo)準(zhǔn)一旦出來(lái)，產(chǎn)業(yè)有了明確的方向才可以發(fā)力?！敝信d集成電路公司PC業(yè)務(wù)部經(jīng)理趙立生也表示，“國(guó)家標(biāo)準(zhǔn)是旗幟，目前這個(gè)旗幟已經(jīng)基本上堅(jiān)定地樹(shù)立了起來(lái)，在她的指引下依靠產(chǎn)業(yè)鏈各環(huán)節(jié)的努力，實(shí)現(xiàn)我們期待中的‘可信計(jì)算’只是時(shí)間和速度方面的問(wèn)題?！?/p>

可以說(shuō)，《規(guī)范》作為國(guó)家標(biāo)準(zhǔn)頒布后，可信計(jì)算產(chǎn)業(yè)便有了發(fā)展的原動(dòng)力，由國(guó)家主導(dǎo)、推動(dòng)，在國(guó)家層面獲得認(rèn)可并進(jìn)行導(dǎo)向、管理，國(guó)家標(biāo)準(zhǔn)為產(chǎn)業(yè)發(fā)展指明了方向。此外，標(biāo)準(zhǔn)的頒布還有另一個(gè)層面的含義，那就是在可信計(jì)算產(chǎn)業(yè)界的國(guó)際競(jìng)爭(zhēng)中爭(zhēng)取更多的主動(dòng)權(quán)。因此，《規(guī)范》作為一個(gè)我國(guó)自主可控的基礎(chǔ)性標(biāo)準(zhǔn)，除了讓國(guó)內(nèi)可信計(jì)算產(chǎn)業(yè)有了一個(gè)認(rèn)知的基礎(chǔ)點(diǎn)之外，也讓我國(guó)在國(guó)際可信計(jì)算競(jìng)爭(zhēng)中擁有了一個(gè)與國(guó)際對(duì)話的起點(diǎn)。

基礎(chǔ)性標(biāo)準(zhǔn)制定后的另一項(xiàng)標(biāo)志性成果就是我國(guó)自主研發(fā)的TCM芯片通過(guò)了國(guó)家主管部門(mén)認(rèn)可，并正式投放市場(chǎng)，而多家IT企業(yè)的多項(xiàng)產(chǎn)品開(kāi)發(fā)標(biāo)志著我國(guó)可信計(jì)算產(chǎn)業(yè)鏈已經(jīng)初步形成。中興集成在2008年完成了TCM芯片的技術(shù)優(yōu)化和量產(chǎn)任務(wù)，同方微電子新開(kāi)發(fā)的TCM芯片完成了前、后端的設(shè)計(jì)。與此同時(shí)，業(yè)內(nèi)著名的PC廠商、系統(tǒng)集成與應(yīng)用軟件開(kāi)發(fā)廠商，也推出了眾多基于可信計(jì)算TCM芯片的軟件與硬件產(chǎn)品、應(yīng)用解決方案，如聯(lián)想開(kāi)天M800s電腦、昭陽(yáng)K43A與R2000加固筆記本、方正君逸M500電腦、長(zhǎng)城世恒S系列、國(guó)防科大麒麟天機(jī)網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)、中天一維的指紋安全登錄系統(tǒng)、吉大正元的可信應(yīng)用支撐系統(tǒng)、南方基地的可信軟件鑒別引擎、北信源的安全終端管理系統(tǒng)、清大安科的移動(dòng)存儲(chǔ)設(shè)備管理、瑞達(dá)的可信計(jì)算產(chǎn)品以及航天信息的系統(tǒng)安全解決方案……

據(jù)了解，現(xiàn)在市場(chǎng)上已經(jīng)銷(xiāo)售了數(shù)十萬(wàn)片帶有可信計(jì)算芯片的電腦，這些電腦已經(jīng)廣泛應(yīng)用于包括政府、金融、公共事業(yè)、教育、郵電、制造以及廣大中小企業(yè)在內(nèi)的各行各業(yè)中。而且，不少政府部門(mén)已經(jīng)認(rèn)可產(chǎn)品并將帶有可信計(jì)算芯片的產(chǎn)品采購(gòu)寫(xiě)入標(biāo)書(shū)?！皬娜ツ觊_(kāi)始，也就是在有了‘規(guī)范’和產(chǎn)品之后，我們獲得了國(guó)家政府的支持。政府采購(gòu)就是一個(gè)導(dǎo)向，可信計(jì)算的產(chǎn)品肯定要納入政府采購(gòu)中去?！瘪T登國(guó)說(shuō)。政府采購(gòu)是一個(gè)標(biāo)志性的認(rèn)可，代表了政府對(duì)產(chǎn)品的信任，而這種信任也可以成為一種導(dǎo)向性因素被傳導(dǎo)至企業(yè)市場(chǎng)，甚至普及到個(gè)人市場(chǎng)。從產(chǎn)業(yè)未來(lái)發(fā)展角度看，可信計(jì)算或許正是會(huì)尋求這樣一種從政府市場(chǎng)到企業(yè)市場(chǎng)再到個(gè)人市場(chǎng)的發(fā)展路徑。

產(chǎn)業(yè)成熟仍需時(shí)日

盡管在2008年，我國(guó)可信計(jì)算在標(biāo)準(zhǔn)制定與產(chǎn)品量產(chǎn)并投放市場(chǎng)方面都有所突破，然而，“元年”還僅僅是個(gè)起步，中國(guó)可信計(jì)算之后的路該怎么走？產(chǎn)業(yè)發(fā)展的走向又是怎樣？

《可信計(jì)算密碼實(shí)施平臺(tái)接口規(guī)范》是關(guān)于TCM基礎(chǔ)模塊的標(biāo)準(zhǔn)，而在基礎(chǔ)模塊之外，還有關(guān)于接口、應(yīng)用等諸多模塊，它們同樣需要統(tǒng)一的標(biāo)準(zhǔn)來(lái)規(guī)范。此外，在關(guān)于特定模塊的規(guī)范基礎(chǔ)上，還存在兼容性的問(wèn)題，也就是在基礎(chǔ)規(guī)范外，還需要相關(guān)的測(cè)試規(guī)范、認(rèn)證來(lái)解決。可以說(shuō)，《可信計(jì)算密碼實(shí)施平臺(tái)接口規(guī)范》是核心和基礎(chǔ)，但是產(chǎn)業(yè)要繼續(xù)發(fā)展，還需要制定更多的基于核心規(guī)范的根據(jù)應(yīng)用差別來(lái)制定其他規(guī)范。

另一方面，可信計(jì)算的意義決不僅限于可信計(jì)算芯片或者可信計(jì)算模塊。TCM只是一個(gè)根模塊，真正要構(gòu)建一個(gè)安全體系還需要很多應(yīng)用開(kāi)發(fā)的配合。具體的應(yīng)用開(kāi)發(fā)包括軟件層面，還包括軟硬件結(jié)合層面的應(yīng)用、設(shè)計(jì)。拿聯(lián)想開(kāi)發(fā)的一款密碼箱為例，這項(xiàng)應(yīng)用就是保證相關(guān)的機(jī)密文檔與電腦綁定，從而實(shí)現(xiàn)機(jī)密文件即使被木馬盜走，也依然可以保持信息的不可見(jiàn)?？梢哉f(shuō)，真正的“可信計(jì)算”需要應(yīng)用來(lái)實(shí)現(xiàn)。

“從安全角度說(shuō)，不是有了TCM，就能夠把所有的問(wèn)題都解決了。

我們希望得到操作系統(tǒng)的支持、軟件的支持、芯片廠商的支持，”馮登國(guó)還提到，“這些環(huán)節(jié)都支持TCM，這樣的產(chǎn)業(yè)鏈才會(huì)對(duì)可信計(jì)算的發(fā)展起到良性的推動(dòng)作用。”可信計(jì)算不僅僅是作一個(gè)TCM芯片，對(duì)于用戶來(lái)說(shuō)，最終的可信是通過(guò)操作系統(tǒng)和應(yīng)用軟件體現(xiàn)出來(lái)的，所以TCM芯片只是最原始的一步，其他更高層次的軟件設(shè)計(jì)才是決定系統(tǒng)是否可信的關(guān)鍵因素。因此，一個(gè)系統(tǒng)是否可信，至少需要TCM芯片制造廠商、可信CPU設(shè)計(jì)廠商、整機(jī)制造商、操作系統(tǒng)廠商、應(yīng)用軟件廠商的支持。

事實(shí)上，在如今的產(chǎn)業(yè)鏈中，盡管民族企業(yè)都有涉足，但是都不夠深入，很多核心技術(shù)還與國(guó)際先進(jìn)水平有很大差距。以操作系統(tǒng)為例，國(guó)內(nèi)有支持TCM的麒麟操作系統(tǒng)，但是用戶的應(yīng)用范圍卻很小，與微軟操作系統(tǒng)的應(yīng)用范圍完全無(wú)法同日而語(yǔ)。而如果僅僅是“根”用TCM，操作系統(tǒng)卻是國(guó)外的，這無(wú)疑會(huì)使可信計(jì)算的效果打折扣。盡管馮登國(guó)表示，工作組正在與微軟等國(guó)際巨頭IT企業(yè)就我國(guó)的TCM標(biāo)準(zhǔn)兼容進(jìn)行洽談，微軟也支持工作組進(jìn)行了基于TCM的CNG(Cryptography Next Generation)接口的研究，但是馮登國(guó)依然表示，“我們僅僅是在某一個(gè)點(diǎn)上，而中國(guó)的可信計(jì)算產(chǎn)業(yè)應(yīng)該是一條鏈。如果微軟是我們的、Intel是我們的、IBM是我們的……如果這條鏈很成熟，我們就很好推動(dòng)。”可見(jiàn)，要真正做到國(guó)家信息安全的自主可控，還需要產(chǎn)業(yè)鏈上各個(gè)環(huán)節(jié)的廠商自身的發(fā)展壯大。

最后，應(yīng)用環(huán)境的局限性也是產(chǎn)業(yè)發(fā)展的一大障礙?！澳壳暗膽?yīng)用還處于很有限的環(huán)境中，無(wú)論是國(guó)內(nèi)還是國(guó)外，可信技術(shù)從應(yīng)用角度講都還僅僅處于起步階段?！倍鴳?yīng)用的局限性還要依靠人們對(duì)于可信計(jì)算、信息安全在認(rèn)識(shí)和意識(shí)上的提高。事實(shí)上，可信計(jì)算的應(yīng)用不僅局限于我們尋常所了解的應(yīng)用于電腦與服務(wù)器上的TCM芯片、可信操作系統(tǒng)與可信存儲(chǔ)，他還可以擴(kuò)展到網(wǎng)絡(luò)層面、應(yīng)用于手機(jī)安全性的保護(hù)，甚至在家用電器與汽車(chē)上也可以應(yīng)用到可信計(jì)算。由于TCM所解決的歸根到底是信任問(wèn)題，它是一種控制行為，因此它的應(yīng)用可以無(wú)限擴(kuò)展?！拔覀儗?duì)基于TCM的中國(guó)自主可信計(jì)算技術(shù)的發(fā)展前景充滿信心?！壁w立生對(duì)記者說(shuō)，“隨著市場(chǎng)和用戶的認(rèn)知和需求發(fā)展，TCM會(huì)普及到手機(jī)、MID、上網(wǎng)本等產(chǎn)品中，未來(lái)趨勢(shì)是在全部互聯(lián)網(wǎng)終端實(shí)現(xiàn)普及和標(biāo)配?！?nbsp;

可信征途繼續(xù)邁進(jìn)

“我們工作組的主要工作是可信計(jì)算TCM的應(yīng)用以及與它相關(guān)的標(biāo)準(zhǔn)規(guī)范的制定，我們希望能夠找到更多的應(yīng)用點(diǎn)，讓更多的人了解TCM的作用，聯(lián)合更多的廠商以及研究機(jī)構(gòu)來(lái)共同推動(dòng)中國(guó)可信計(jì)算產(chǎn)業(yè)的發(fā)展?！瘪T登國(guó)的話也道出了業(yè)界對(duì)于可信計(jì)算未來(lái)發(fā)展的愿景和期待。

在2009年，中國(guó)可信計(jì)算工作組的內(nèi)容主要包括可信計(jì)算相關(guān)標(biāo)準(zhǔn)規(guī)范的健全；TCM芯片產(chǎn)品的擴(kuò)展與豐富；以及對(duì)于行業(yè)應(yīng)用與解決方案的進(jìn)一步豐富，馮登國(guó)介紹。標(biāo)準(zhǔn)規(guī)范的制定、推廣方面是工作組首當(dāng)其沖的工作。在2009年，工作組會(huì)在《可信計(jì)算密碼實(shí)施平臺(tái)接口規(guī)范》的基礎(chǔ)上，在測(cè)評(píng)以及接口方面制定一系列的標(biāo)準(zhǔn)，從而為可信計(jì)算制定出一個(gè)明確的可信計(jì)算的標(biāo)準(zhǔn)體系。

另外，在2008年TCM產(chǎn)品大量投放市場(chǎng)的基礎(chǔ)上，2009年將進(jìn)一步加大投入進(jìn)行新規(guī)格芯片的研發(fā)。畢竟對(duì)于可信計(jì)算來(lái)說(shuō)，技術(shù)上的不斷創(chuàng)新與完善始終是產(chǎn)業(yè)發(fā)展的助推動(dòng)力。據(jù)了解，中興集成還會(huì)投入完成可信計(jì)算TCM-M芯片的研發(fā)與出品工作?？梢钥吹?，在移動(dòng)領(lǐng)域的可信計(jì)算應(yīng)用已經(jīng)被提上議事日程，并作為可信計(jì)算一個(gè)嶄新的應(yīng)用呈現(xiàn)于公眾面前。

最后，行業(yè)的試點(diǎn)與應(yīng)用推廣也是工作組2009年的又一工作重點(diǎn)。讓更多行業(yè)應(yīng)用切身感受到可信計(jì)算平臺(tái)所帶來(lái)的安全優(yōu)勢(shì)，提升用戶對(duì)于可信計(jì)算的認(rèn)識(shí)也是推動(dòng)產(chǎn)業(yè)發(fā)展重要的一步。工作組計(jì)劃在一些區(qū)域做小范圍的試點(diǎn)應(yīng)用，從而讓更多的用戶了解到可信計(jì)算的方案可以解決他們的需求。在試點(diǎn)應(yīng)用的推廣過(guò)程中，逐步達(dá)到應(yīng)用的進(jìn)一步普及。

沒(méi)有人會(huì)懷疑可信計(jì)算對(duì)于國(guó)家甚至個(gè)人信息安全的重要意義，同時(shí)我們也看到，可信計(jì)算應(yīng)用的普及與推廣也在不斷前進(jìn)，包括技術(shù)與產(chǎn)品的創(chuàng)新研發(fā)、標(biāo)準(zhǔn)規(guī)范的制定完善，以及相關(guān)部門(mén)的法規(guī)政策……當(dāng)然，中國(guó)可信計(jì)算產(chǎn)業(yè)的發(fā)展將有待更多產(chǎn)業(yè)鏈各個(gè)參與環(huán)節(jié)的支持與促進(jìn)。在信息安全形勢(shì)日益嚴(yán)峻的今天，中國(guó)可信計(jì)算已邁入新的發(fā)展階段，我們也期待著看到更多的可信計(jì)算產(chǎn)品、解決方案的應(yīng)用！  (ccw)