可信計算，產(chǎn)業(yè)發(fā)展上新階

申請免費試用、咨詢電話：400-8352-114

在IT產(chǎn)業(yè)迅速發(fā)展、互聯(lián)網(wǎng)廣泛應用和滲透的今天，各種各樣的威脅模式也不斷涌現(xiàn)。信息領域犯罪的隱蔽性、跨域性、快速變化性和爆發(fā)性給信息安全帶來了嚴峻的挑戰(zhàn)。面對信息化領域中計算核心的脆弱性，如體系結構的不健全、行為可信度差、認證力度弱……信息安全的防護正在由邊界防控向源頭與信任鍵的防控轉移，這正是可信計算出臺的背景。如何提供可信的信息安全服務，如何確保用戶得到可預期的安全，這些都成為業(yè)界關注的問題?！靶畔踩獜脑搭^、從體系、從行為抓起，爭取實體安全結果的可控和可預期，這就是可信計算的理念。”國家信息化專家咨詢委員會委員、研究員曲成義如是說。

基于信任構建安全

可信計算技術實際上是信息安全領域一個支撐性的安全技術，它不僅涉及到計算機，還涉及到網(wǎng)絡可信環(huán)節(jié)的構建。從技術角度看，可信計算定義為“系統(tǒng)提供可信賴的計算服務的能力，而這種可信賴性是可以驗證的”。任何一個信任體系都有一個公認的、不需要證明的起始點，這個起始點就是根信任關系。于是，信任關系可以從根開始一級一級向下傳遞，從而確保了可信的安全引導過程。同時，可信計算平臺在網(wǎng)絡上不再依賴 IP地址，而是通過唯一的身份證書來標識自己，內(nèi)部各元素之間進行嚴密的互相認證、對用戶身份進行鑒別，這保證了完整的身份認證?？尚庞嬎憔褪腔谟布湃胃慕ⅰ⒒诿艽a的身份認證、基于標簽的強制訪問和執(zhí)行代碼的一致性驗證，從而能夠做到系統(tǒng)的最小優(yōu)化配置與資源的嚴格控制。

從可信計算的應用角度看，它是保障國家信息安全核心的技術基礎。事實上，國際上IEEE在1999年便首次提出了可信計算聯(lián)盟(TCPA)，2002年則由國際IT巨頭廠商Intel、 IBM、HP 、Sony 、Microsoft等正式成立了可信平臺聯(lián)盟TCPA，并在2003年更名為可信計算組織(TCG)(Trusted Computing Group)。此后，全球上百家大型IT企業(yè)都進入了可信計算領域，可信計算已然成為一種全球性行為。而作為關系國家安全的核心技術，中國必須要在可信計算標準、規(guī)范的制定中占有一席之地，從而具有與國際標準對話的話語權。在這樣的背景下，我國的可信計算研究在在國家相關重要政策的引導下逐步發(fā)展起來。

自2006年11月正式成立中國可信計算工作組（TCMU）至今，我國的可信計算在標準制定和技術研究方面都取得了可喜的成果。如今工作組已經(jīng)包括了19家成員，他們涉及芯片、PC系統(tǒng)、網(wǎng)絡接入、系統(tǒng)/應用軟件、CA證書等多個領域，這也使得“可信計算”的產(chǎn)業(yè)鏈發(fā)展初具規(guī)模。中國可信計算工作組（TCMU）組長、中國科學院軟件研究所副總工程師馮登國更是將2008年稱為“中國可信計算元年”。

可信“元年”成績斐然

“中國可信計算元年”是馮登國給2008年中國可信計算產(chǎn)業(yè)的發(fā)展所下的定義。關于“元年”的含義，一方面在于2008年，《可信計算密碼實施平臺接口規(guī)范》正式由行業(yè)規(guī)范上升為國家標準。標準的意義不言而喻，“規(guī)范上升為標準，這本身是一個國家行為，它塑造了一面旗幟?！瘪T登國強調說，“國家標準是排他行為。國家標準的意義在于，沒有這個標準，產(chǎn)業(yè)就沒有方向，整個產(chǎn)業(yè)就處于等待當中，而這個標準一旦出來，產(chǎn)業(yè)有了明確的方向才可以發(fā)力?！敝信d集成電路公司PC業(yè)務部經(jīng)理趙立生也表示，“國家標準是旗幟，目前這個旗幟已經(jīng)基本上堅定地樹立了起來，在她的指引下依靠產(chǎn)業(yè)鏈各環(huán)節(jié)的努力，實現(xiàn)我們期待中的‘可信計算’只是時間和速度方面的問題?！?/p>

可以說，《規(guī)范》作為國家標準頒布后，可信計算產(chǎn)業(yè)便有了發(fā)展的原動力，由國家主導、推動，在國家層面獲得認可并進行導向、管理，國家標準為產(chǎn)業(yè)發(fā)展指明了方向。此外，標準的頒布還有另一個層面的含義，那就是在可信計算產(chǎn)業(yè)界的國際競爭中爭取更多的主動權。因此，《規(guī)范》作為一個我國自主可控的基礎性標準，除了讓國內(nèi)可信計算產(chǎn)業(yè)有了一個認知的基礎點之外，也讓我國在國際可信計算競爭中擁有了一個與國際對話的起點。

基礎性標準制定后的另一項標志性成果就是我國自主研發(fā)的TCM芯片通過了國家主管部門認可，并正式投放市場，而多家IT企業(yè)的多項產(chǎn)品開發(fā)標志著我國可信計算產(chǎn)業(yè)鏈已經(jīng)初步形成。中興集成在2008年完成了TCM芯片的技術優(yōu)化和量產(chǎn)任務，同方微電子新開發(fā)的TCM芯片完成了前、后端的設計。與此同時，業(yè)內(nèi)著名的PC廠商、系統(tǒng)集成與應用軟件開發(fā)廠商，也推出了眾多基于可信計算TCM芯片的軟件與硬件產(chǎn)品、應用解決方案，如聯(lián)想開天M800s電腦、昭陽K43A與R2000加固筆記本、方正君逸M500電腦、長城世恒S系列、國防科大麒麟天機網(wǎng)絡安全存儲系統(tǒng)、中天一維的指紋安全登錄系統(tǒng)、吉大正元的可信應用支撐系統(tǒng)、南方基地的可信軟件鑒別引擎、北信源的安全終端管理系統(tǒng)、清大安科的移動存儲設備管理、瑞達的可信計算產(chǎn)品以及航天信息的系統(tǒng)安全解決方案……

據(jù)了解，現(xiàn)在市場上已經(jīng)銷售了數(shù)十萬片帶有可信計算芯片的電腦，這些電腦已經(jīng)廣泛應用于包括政府、金融、公共事業(yè)、教育、郵電、制造以及廣大中小企業(yè)在內(nèi)的各行各業(yè)中。而且，不少政府部門已經(jīng)認可產(chǎn)品并將帶有可信計算芯片的產(chǎn)品采購寫入標書?！皬娜ツ觊_始，也就是在有了‘規(guī)范’和產(chǎn)品之后，我們獲得了國家政府的支持。政府采購就是一個導向，可信計算的產(chǎn)品肯定要納入政府采購中去?！瘪T登國說。政府采購是一個標志性的認可，代表了政府對產(chǎn)品的信任，而這種信任也可以成為一種導向性因素被傳導至企業(yè)市場，甚至普及到個人市場。從產(chǎn)業(yè)未來發(fā)展角度看，可信計算或許正是會尋求這樣一種從政府市場到企業(yè)市場再到個人市場的發(fā)展路徑。

產(chǎn)業(yè)成熟仍需時日

盡管在2008年，我國可信計算在標準制定與產(chǎn)品量產(chǎn)并投放市場方面都有所突破，然而，“元年”還僅僅是個起步，中國可信計算之后的路該怎么走？產(chǎn)業(yè)發(fā)展的走向又是怎樣？

《可信計算密碼實施平臺接口規(guī)范》是關于TCM基礎模塊的標準，而在基礎模塊之外，還有關于接口、應用等諸多模塊，它們同樣需要統(tǒng)一的標準來規(guī)范。此外，在關于特定模塊的規(guī)范基礎上，還存在兼容性的問題，也就是在基礎規(guī)范外，還需要相關的測試規(guī)范、認證來解決?？梢哉f，《可信計算密碼實施平臺接口規(guī)范》是核心和基礎，但是產(chǎn)業(yè)要繼續(xù)發(fā)展，還需要制定更多的基于核心規(guī)范的根據(jù)應用差別來制定其他規(guī)范。

另一方面，可信計算的意義決不僅限于可信計算芯片或者可信計算模塊。TCM只是一個根模塊，真正要構建一個安全體系還需要很多應用開發(fā)的配合。具體的應用開發(fā)包括軟件層面，還包括軟硬件結合層面的應用、設計。拿聯(lián)想開發(fā)的一款密碼箱為例，這項應用就是保證相關的機密文檔與電腦綁定，從而實現(xiàn)機密文件即使被木馬盜走，也依然可以保持信息的不可見?？梢哉f，真正的“可信計算”需要應用來實現(xiàn)。

“從安全角度說，不是有了TCM，就能夠把所有的問題都解決了。

我們希望得到操作系統(tǒng)的支持、軟件的支持、芯片廠商的支持，”馮登國還提到，“這些環(huán)節(jié)都支持TCM，這樣的產(chǎn)業(yè)鏈才會對可信計算的發(fā)展起到良性的推動作用?！笨尚庞嬎悴粌H僅是作一個TCM芯片，對于用戶來說，最終的可信是通過操作系統(tǒng)和應用軟件體現(xiàn)出來的，所以TCM芯片只是最原始的一步，其他更高層次的軟件設計才是決定系統(tǒng)是否可信的關鍵因素。因此，一個系統(tǒng)是否可信，至少需要TCM芯片制造廠商、可信CPU設計廠商、整機制造商、操作系統(tǒng)廠商、應用軟件廠商的支持。

事實上，在如今的產(chǎn)業(yè)鏈中，盡管民族企業(yè)都有涉足，但是都不夠深入，很多核心技術還與國際先進水平有很大差距。以操作系統(tǒng)為例，國內(nèi)有支持TCM的麒麟操作系統(tǒng)，但是用戶的應用范圍卻很小，與微軟操作系統(tǒng)的應用范圍完全無法同日而語。而如果僅僅是“根”用TCM，操作系統(tǒng)卻是國外的，這無疑會使可信計算的效果打折扣。盡管馮登國表示，工作組正在與微軟等國際巨頭IT企業(yè)就我國的TCM標準兼容進行洽談，微軟也支持工作組進行了基于TCM的CNG(Cryptography Next Generation)接口的研究，但是馮登國依然表示，“我們僅僅是在某一個點上，而中國的可信計算產(chǎn)業(yè)應該是一條鏈。如果微軟是我們的、Intel是我們的、IBM是我們的……如果這條鏈很成熟，我們就很好推動?！笨梢姡嬲龅絿倚畔踩淖灾骺煽?，還需要產(chǎn)業(yè)鏈上各個環(huán)節(jié)的廠商自身的發(fā)展壯大。

最后，應用環(huán)境的局限性也是產(chǎn)業(yè)發(fā)展的一大障礙?！澳壳暗膽眠€處于很有限的環(huán)境中，無論是國內(nèi)還是國外，可信技術從應用角度講都還僅僅處于起步階段?！倍鴳玫木窒扌赃€要依靠人們對于可信計算、信息安全在認識和意識上的提高。事實上，可信計算的應用不僅局限于我們尋常所了解的應用于電腦與服務器上的TCM芯片、可信操作系統(tǒng)與可信存儲，他還可以擴展到網(wǎng)絡層面、應用于手機安全性的保護，甚至在家用電器與汽車上也可以應用到可信計算。由于TCM所解決的歸根到底是信任問題，它是一種控制行為，因此它的應用可以無限擴展?！拔覀儗赥CM的中國自主可信計算技術的發(fā)展前景充滿信心?！壁w立生對記者說，“隨著市場和用戶的認知和需求發(fā)展，TCM會普及到手機、MID、上網(wǎng)本等產(chǎn)品中，未來趨勢是在全部互聯(lián)網(wǎng)終端實現(xiàn)普及和標配?！?nbsp;

可信征途繼續(xù)邁進

“我們工作組的主要工作是可信計算TCM的應用以及與它相關的標準規(guī)范的制定，我們希望能夠找到更多的應用點，讓更多的人了解TCM的作用，聯(lián)合更多的廠商以及研究機構來共同推動中國可信計算產(chǎn)業(yè)的發(fā)展?！瘪T登國的話也道出了業(yè)界對于可信計算未來發(fā)展的愿景和期待。

在2009年，中國可信計算工作組的內(nèi)容主要包括可信計算相關標準規(guī)范的健全；TCM芯片產(chǎn)品的擴展與豐富；以及對于行業(yè)應用與解決方案的進一步豐富，馮登國介紹。標準規(guī)范的制定、推廣方面是工作組首當其沖的工作。在2009年，工作組會在《可信計算密碼實施平臺接口規(guī)范》的基礎上，在測評以及接口方面制定一系列的標準，從而為可信計算制定出一個明確的可信計算的標準體系。

另外，在2008年TCM產(chǎn)品大量投放市場的基礎上，2009年將進一步加大投入進行新規(guī)格芯片的研發(fā)。畢竟對于可信計算來說，技術上的不斷創(chuàng)新與完善始終是產(chǎn)業(yè)發(fā)展的助推動力。據(jù)了解，中興集成還會投入完成可信計算TCM-M芯片的研發(fā)與出品工作。可以看到，在移動領域的可信計算應用已經(jīng)被提上議事日程，并作為可信計算一個嶄新的應用呈現(xiàn)于公眾面前。

最后，行業(yè)的試點與應用推廣也是工作組2009年的又一工作重點。讓更多行業(yè)應用切身感受到可信計算平臺所帶來的安全優(yōu)勢，提升用戶對于可信計算的認識也是推動產(chǎn)業(yè)發(fā)展重要的一步。工作組計劃在一些區(qū)域做小范圍的試點應用，從而讓更多的用戶了解到可信計算的方案可以解決他們的需求。在試點應用的推廣過程中，逐步達到應用的進一步普及。

沒有人會懷疑可信計算對于國家甚至個人信息安全的重要意義，同時我們也看到，可信計算應用的普及與推廣也在不斷前進，包括技術與產(chǎn)品的創(chuàng)新研發(fā)、標準規(guī)范的制定完善，以及相關部門的法規(guī)政策……當然，中國可信計算產(chǎn)業(yè)的發(fā)展將有待更多產(chǎn)業(yè)鏈各個參與環(huán)節(jié)的支持與促進。在信息安全形勢日益嚴峻的今天，中國可信計算已邁入新的發(fā)展階段，我們也期待著看到更多的可信計算產(chǎn)品、解決方案的應用！  (ccw)