可信計(jì)算，產(chǎn)業(yè)發(fā)展上新階

申請免費(fèi)試用、咨詢電話：400-8352-114

在IT產(chǎn)業(yè)迅速發(fā)展、互聯(lián)網(wǎng)廣泛應(yīng)用和滲透的今天，各種各樣的威脅模式也不斷涌現(xiàn)。信息領(lǐng)域犯罪的隱蔽性、跨域性、快速變化性和爆發(fā)性給信息安全帶來了嚴(yán)峻的挑戰(zhàn)。面對信息化領(lǐng)域中計(jì)算核心的脆弱性，如體系結(jié)構(gòu)的不健全、行為可信度差、認(rèn)證力度弱……信息安全的防護(hù)正在由邊界防控向源頭與信任鍵的防控轉(zhuǎn)移，這正是可信計(jì)算出臺的背景。如何提供可信的信息安全服務(wù)，如何確保用戶得到可預(yù)期的安全，這些都成為業(yè)界關(guān)注的問題?！靶畔踩獜脑搭^、從體系、從行為抓起，爭取實(shí)體安全結(jié)果的可控和可預(yù)期，這就是可信計(jì)算的理念?！眹倚畔⒒瘜＜易稍兾瘑T會委員、研究員曲成義如是說。

基于信任構(gòu)建安全

可信計(jì)算技術(shù)實(shí)際上是信息安全領(lǐng)域一個(gè)支撐性的安全技術(shù)，它不僅涉及到計(jì)算機(jī)，還涉及到網(wǎng)絡(luò)可信環(huán)節(jié)的構(gòu)建。從技術(shù)角度看，可信計(jì)算定義為“系統(tǒng)提供可信賴的計(jì)算服務(wù)的能力，而這種可信賴性是可以驗(yàn)證的”。任何一個(gè)信任體系都有一個(gè)公認(rèn)的、不需要證明的起始點(diǎn)，這個(gè)起始點(diǎn)就是根信任關(guān)系。于是，信任關(guān)系可以從根開始一級一級向下傳遞，從而確保了可信的安全引導(dǎo)過程。同時(shí)，可信計(jì)算平臺在網(wǎng)絡(luò)上不再依賴 IP地址，而是通過唯一的身份證書來標(biāo)識自己，內(nèi)部各元素之間進(jìn)行嚴(yán)密的互相認(rèn)證、對用戶身份進(jìn)行鑒別，這保證了完整的身份認(rèn)證。可信計(jì)算就是基于硬件信任根的建立、基于密碼的身份認(rèn)證、基于標(biāo)簽的強(qiáng)制訪問和執(zhí)行代碼的一致性驗(yàn)證，從而能夠做到系統(tǒng)的最小優(yōu)化配置與資源的嚴(yán)格控制。

從可信計(jì)算的應(yīng)用角度看，它是保障國家信息安全核心的技術(shù)基礎(chǔ)。事實(shí)上，國際上IEEE在1999年便首次提出了可信計(jì)算聯(lián)盟(TCPA)，2002年則由國際IT巨頭廠商Intel、 IBM、HP 、Sony 、Microsoft等正式成立了可信平臺聯(lián)盟TCPA，并在2003年更名為可信計(jì)算組織(TCG)(Trusted Computing Group)。此后，全球上百家大型IT企業(yè)都進(jìn)入了可信計(jì)算領(lǐng)域，可信計(jì)算已然成為一種全球性行為。而作為關(guān)系國家安全的核心技術(shù)，中國必須要在可信計(jì)算標(biāo)準(zhǔn)、規(guī)范的制定中占有一席之地，從而具有與國際標(biāo)準(zhǔn)對話的話語權(quán)。在這樣的背景下，我國的可信計(jì)算研究在在國家相關(guān)重要政策的引導(dǎo)下逐步發(fā)展起來。

自2006年11月正式成立中國可信計(jì)算工作組（TCMU）至今，我國的可信計(jì)算在標(biāo)準(zhǔn)制定和技術(shù)研究方面都取得了可喜的成果。如今工作組已經(jīng)包括了19家成員，他們涉及芯片、PC系統(tǒng)、網(wǎng)絡(luò)接入、系統(tǒng)/應(yīng)用軟件、CA證書等多個(gè)領(lǐng)域，這也使得“可信計(jì)算”的產(chǎn)業(yè)鏈發(fā)展初具規(guī)模。中國可信計(jì)算工作組（TCMU）組長、中國科學(xué)院軟件研究所副總工程師馮登國更是將2008年稱為“中國可信計(jì)算元年”。

可信“元年”成績斐然

“中國可信計(jì)算元年”是馮登國給2008年中國可信計(jì)算產(chǎn)業(yè)的發(fā)展所下的定義。關(guān)于“元年”的含義，一方面在于2008年，《可信計(jì)算密碼實(shí)施平臺接口規(guī)范》正式由行業(yè)規(guī)范上升為國家標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的意義不言而喻，“規(guī)范上升為標(biāo)準(zhǔn)，這本身是一個(gè)國家行為，它塑造了一面旗幟?！瘪T登國強(qiáng)調(diào)說，“國家標(biāo)準(zhǔn)是排他行為。國家標(biāo)準(zhǔn)的意義在于，沒有這個(gè)標(biāo)準(zhǔn)，產(chǎn)業(yè)就沒有方向，整個(gè)產(chǎn)業(yè)就處于等待當(dāng)中，而這個(gè)標(biāo)準(zhǔn)一旦出來，產(chǎn)業(yè)有了明確的方向才可以發(fā)力?！敝信d集成電路公司PC業(yè)務(wù)部經(jīng)理趙立生也表示，“國家標(biāo)準(zhǔn)是旗幟，目前這個(gè)旗幟已經(jīng)基本上堅(jiān)定地樹立了起來，在她的指引下依靠產(chǎn)業(yè)鏈各環(huán)節(jié)的努力，實(shí)現(xiàn)我們期待中的‘可信計(jì)算’只是時(shí)間和速度方面的問題?！?/p>

可以說，《規(guī)范》作為國家標(biāo)準(zhǔn)頒布后，可信計(jì)算產(chǎn)業(yè)便有了發(fā)展的原動力，由國家主導(dǎo)、推動，在國家層面獲得認(rèn)可并進(jìn)行導(dǎo)向、管理，國家標(biāo)準(zhǔn)為產(chǎn)業(yè)發(fā)展指明了方向。此外，標(biāo)準(zhǔn)的頒布還有另一個(gè)層面的含義，那就是在可信計(jì)算產(chǎn)業(yè)界的國際競爭中爭取更多的主動權(quán)。因此，《規(guī)范》作為一個(gè)我國自主可控的基礎(chǔ)性標(biāo)準(zhǔn)，除了讓國內(nèi)可信計(jì)算產(chǎn)業(yè)有了一個(gè)認(rèn)知的基礎(chǔ)點(diǎn)之外，也讓我國在國際可信計(jì)算競爭中擁有了一個(gè)與國際對話的起點(diǎn)。

基礎(chǔ)性標(biāo)準(zhǔn)制定后的另一項(xiàng)標(biāo)志性成果就是我國自主研發(fā)的TCM芯片通過了國家主管部門認(rèn)可，并正式投放市場，而多家IT企業(yè)的多項(xiàng)產(chǎn)品開發(fā)標(biāo)志著我國可信計(jì)算產(chǎn)業(yè)鏈已經(jīng)初步形成。中興集成在2008年完成了TCM芯片的技術(shù)優(yōu)化和量產(chǎn)任務(wù)，同方微電子新開發(fā)的TCM芯片完成了前、后端的設(shè)計(jì)。與此同時(shí)，業(yè)內(nèi)著名的PC廠商、系統(tǒng)集成與應(yīng)用軟件開發(fā)廠商，也推出了眾多基于可信計(jì)算TCM芯片的軟件與硬件產(chǎn)品、應(yīng)用解決方案，如聯(lián)想開天M800s電腦、昭陽K43A與R2000加固筆記本、方正君逸M500電腦、長城世恒S系列、國防科大麒麟天機(jī)網(wǎng)絡(luò)安全存儲系統(tǒng)、中天一維的指紋安全登錄系統(tǒng)、吉大正元的可信應(yīng)用支撐系統(tǒng)、南方基地的可信軟件鑒別引擎、北信源的安全終端管理系統(tǒng)、清大安科的移動存儲設(shè)備管理、瑞達(dá)的可信計(jì)算產(chǎn)品以及航天信息的系統(tǒng)安全解決方案……

據(jù)了解，現(xiàn)在市場上已經(jīng)銷售了數(shù)十萬片帶有可信計(jì)算芯片的電腦，這些電腦已經(jīng)廣泛應(yīng)用于包括政府、金融、公共事業(yè)、教育、郵電、制造以及廣大中小企業(yè)在內(nèi)的各行各業(yè)中。而且，不少政府部門已經(jīng)認(rèn)可產(chǎn)品并將帶有可信計(jì)算芯片的產(chǎn)品采購寫入標(biāo)書。“從去年開始，也就是在有了‘規(guī)范’和產(chǎn)品之后，我們獲得了國家政府的支持。政府采購就是一個(gè)導(dǎo)向，可信計(jì)算的產(chǎn)品肯定要納入政府采購中去?！瘪T登國說。政府采購是一個(gè)標(biāo)志性的認(rèn)可，代表了政府對產(chǎn)品的信任，而這種信任也可以成為一種導(dǎo)向性因素被傳導(dǎo)至企業(yè)市場，甚至普及到個(gè)人市場。從產(chǎn)業(yè)未來發(fā)展角度看，可信計(jì)算或許正是會尋求這樣一種從政府市場到企業(yè)市場再到個(gè)人市場的發(fā)展路徑。

產(chǎn)業(yè)成熟仍需時(shí)日

盡管在2008年，我國可信計(jì)算在標(biāo)準(zhǔn)制定與產(chǎn)品量產(chǎn)并投放市場方面都有所突破，然而，“元年”還僅僅是個(gè)起步，中國可信計(jì)算之后的路該怎么走？產(chǎn)業(yè)發(fā)展的走向又是怎樣？

《可信計(jì)算密碼實(shí)施平臺接口規(guī)范》是關(guān)于TCM基礎(chǔ)模塊的標(biāo)準(zhǔn)，而在基礎(chǔ)模塊之外，還有關(guān)于接口、應(yīng)用等諸多模塊，它們同樣需要統(tǒng)一的標(biāo)準(zhǔn)來規(guī)范。此外，在關(guān)于特定模塊的規(guī)范基礎(chǔ)上，還存在兼容性的問題，也就是在基礎(chǔ)規(guī)范外，還需要相關(guān)的測試規(guī)范、認(rèn)證來解決?？梢哉f，《可信計(jì)算密碼實(shí)施平臺接口規(guī)范》是核心和基礎(chǔ)，但是產(chǎn)業(yè)要繼續(xù)發(fā)展，還需要制定更多的基于核心規(guī)范的根據(jù)應(yīng)用差別來制定其他規(guī)范。

另一方面，可信計(jì)算的意義決不僅限于可信計(jì)算芯片或者可信計(jì)算模塊。TCM只是一個(gè)根模塊，真正要構(gòu)建一個(gè)安全體系還需要很多應(yīng)用開發(fā)的配合。具體的應(yīng)用開發(fā)包括軟件層面，還包括軟硬件結(jié)合層面的應(yīng)用、設(shè)計(jì)。拿聯(lián)想開發(fā)的一款密碼箱為例，這項(xiàng)應(yīng)用就是保證相關(guān)的機(jī)密文檔與電腦綁定，從而實(shí)現(xiàn)機(jī)密文件即使被木馬盜走，也依然可以保持信息的不可見?？梢哉f，真正的“可信計(jì)算”需要應(yīng)用來實(shí)現(xiàn)。

“從安全角度說，不是有了TCM，就能夠把所有的問題都解決了。

我們希望得到操作系統(tǒng)的支持、軟件的支持、芯片廠商的支持，”馮登國還提到，“這些環(huán)節(jié)都支持TCM，這樣的產(chǎn)業(yè)鏈才會對可信計(jì)算的發(fā)展起到良性的推動作用?！笨尚庞?jì)算不僅僅是作一個(gè)TCM芯片，對于用戶來說，最終的可信是通過操作系統(tǒng)和應(yīng)用軟件體現(xiàn)出來的，所以TCM芯片只是最原始的一步，其他更高層次的軟件設(shè)計(jì)才是決定系統(tǒng)是否可信的關(guān)鍵因素。因此，一個(gè)系統(tǒng)是否可信，至少需要TCM芯片制造廠商、可信CPU設(shè)計(jì)廠商、整機(jī)制造商、操作系統(tǒng)廠商、應(yīng)用軟件廠商的支持。

事實(shí)上，在如今的產(chǎn)業(yè)鏈中，盡管民族企業(yè)都有涉足，但是都不夠深入，很多核心技術(shù)還與國際先進(jìn)水平有很大差距。以操作系統(tǒng)為例，國內(nèi)有支持TCM的麒麟操作系統(tǒng)，但是用戶的應(yīng)用范圍卻很小，與微軟操作系統(tǒng)的應(yīng)用范圍完全無法同日而語。而如果僅僅是“根”用TCM，操作系統(tǒng)卻是國外的，這無疑會使可信計(jì)算的效果打折扣。盡管馮登國表示，工作組正在與微軟等國際巨頭IT企業(yè)就我國的TCM標(biāo)準(zhǔn)兼容進(jìn)行洽談，微軟也支持工作組進(jìn)行了基于TCM的CNG(Cryptography Next Generation)接口的研究，但是馮登國依然表示，“我們僅僅是在某一個(gè)點(diǎn)上，而中國的可信計(jì)算產(chǎn)業(yè)應(yīng)該是一條鏈。如果微軟是我們的、Intel是我們的、IBM是我們的……如果這條鏈很成熟，我們就很好推動。”可見，要真正做到國家信息安全的自主可控，還需要產(chǎn)業(yè)鏈上各個(gè)環(huán)節(jié)的廠商自身的發(fā)展壯大。

最后，應(yīng)用環(huán)境的局限性也是產(chǎn)業(yè)發(fā)展的一大障礙。“目前的應(yīng)用還處于很有限的環(huán)境中，無論是國內(nèi)還是國外，可信技術(shù)從應(yīng)用角度講都還僅僅處于起步階段?！倍鴳?yīng)用的局限性還要依靠人們對于可信計(jì)算、信息安全在認(rèn)識和意識上的提高。事實(shí)上，可信計(jì)算的應(yīng)用不僅局限于我們尋常所了解的應(yīng)用于電腦與服務(wù)器上的TCM芯片、可信操作系統(tǒng)與可信存儲，他還可以擴(kuò)展到網(wǎng)絡(luò)層面、應(yīng)用于手機(jī)安全性的保護(hù)，甚至在家用電器與汽車上也可以應(yīng)用到可信計(jì)算。由于TCM所解決的歸根到底是信任問題，它是一種控制行為，因此它的應(yīng)用可以無限擴(kuò)展。“我們對基于TCM的中國自主可信計(jì)算技術(shù)的發(fā)展前景充滿信心?！壁w立生對記者說，“隨著市場和用戶的認(rèn)知和需求發(fā)展，TCM會普及到手機(jī)、MID、上網(wǎng)本等產(chǎn)品中，未來趨勢是在全部互聯(lián)網(wǎng)終端實(shí)現(xiàn)普及和標(biāo)配?！?nbsp;

可信征途繼續(xù)邁進(jìn)

“我們工作組的主要工作是可信計(jì)算TCM的應(yīng)用以及與它相關(guān)的標(biāo)準(zhǔn)規(guī)范的制定，我們希望能夠找到更多的應(yīng)用點(diǎn)，讓更多的人了解TCM的作用，聯(lián)合更多的廠商以及研究機(jī)構(gòu)來共同推動中國可信計(jì)算產(chǎn)業(yè)的發(fā)展?！瘪T登國的話也道出了業(yè)界對于可信計(jì)算未來發(fā)展的愿景和期待。

在2009年，中國可信計(jì)算工作組的內(nèi)容主要包括可信計(jì)算相關(guān)標(biāo)準(zhǔn)規(guī)范的健全；TCM芯片產(chǎn)品的擴(kuò)展與豐富；以及對于行業(yè)應(yīng)用與解決方案的進(jìn)一步豐富，馮登國介紹。標(biāo)準(zhǔn)規(guī)范的制定、推廣方面是工作組首當(dāng)其沖的工作。在2009年，工作組會在《可信計(jì)算密碼實(shí)施平臺接口規(guī)范》的基礎(chǔ)上，在測評以及接口方面制定一系列的標(biāo)準(zhǔn)，從而為可信計(jì)算制定出一個(gè)明確的可信計(jì)算的標(biāo)準(zhǔn)體系。

另外，在2008年TCM產(chǎn)品大量投放市場的基礎(chǔ)上，2009年將進(jìn)一步加大投入進(jìn)行新規(guī)格芯片的研發(fā)。畢竟對于可信計(jì)算來說，技術(shù)上的不斷創(chuàng)新與完善始終是產(chǎn)業(yè)發(fā)展的助推動力。據(jù)了解，中興集成還會投入完成可信計(jì)算TCM-M芯片的研發(fā)與出品工作?？梢钥吹?，在移動領(lǐng)域的可信計(jì)算應(yīng)用已經(jīng)被提上議事日程，并作為可信計(jì)算一個(gè)嶄新的應(yīng)用呈現(xiàn)于公眾面前。

最后，行業(yè)的試點(diǎn)與應(yīng)用推廣也是工作組2009年的又一工作重點(diǎn)。讓更多行業(yè)應(yīng)用切身感受到可信計(jì)算平臺所帶來的安全優(yōu)勢，提升用戶對于可信計(jì)算的認(rèn)識也是推動產(chǎn)業(yè)發(fā)展重要的一步。工作組計(jì)劃在一些區(qū)域做小范圍的試點(diǎn)應(yīng)用，從而讓更多的用戶了解到可信計(jì)算的方案可以解決他們的需求。在試點(diǎn)應(yīng)用的推廣過程中，逐步達(dá)到應(yīng)用的進(jìn)一步普及。

沒有人會懷疑可信計(jì)算對于國家甚至個(gè)人信息安全的重要意義，同時(shí)我們也看到，可信計(jì)算應(yīng)用的普及與推廣也在不斷前進(jìn)，包括技術(shù)與產(chǎn)品的創(chuàng)新研發(fā)、標(biāo)準(zhǔn)規(guī)范的制定完善，以及相關(guān)部門的法規(guī)政策……當(dāng)然，中國可信計(jì)算產(chǎn)業(yè)的發(fā)展將有待更多產(chǎn)業(yè)鏈各個(gè)參與環(huán)節(jié)的支持與促進(jìn)。在信息安全形勢日益嚴(yán)峻的今天，中國可信計(jì)算已邁入新的發(fā)展階段，我們也期待著看到更多的可信計(jì)算產(chǎn)品、解決方案的應(yīng)用！  (ccw)