可信計算與可信云安全框架

沈昌祥 石磊 張輝 劉春 商子豪

摘要：在可信計算領域，我國自主發展了完整的體系標準，采用安全可信策略管控下的運算和防護并存的主動免疫的新計算體系結構，以密碼為基因實施身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質。云安全是可信計算當前的重點應用方向，基于可信計算建立主動免疫的可信云安全框架，是解決當前各類云安全問題的重要基礎和保障。

關鍵詞：可信計算；云計算；云安全

中圖分類號：TP309 文獻標識碼：A DOI：10.3969/j.issn.1003-8256.2018.02.001

可信計算（Trusted Computing）已是世界網絡安全的主流技術，國際可信計算組織（以下簡稱TCG，Trusted Computing Group）于2003年正式成立，已有190多成員。我國可信計算源于1992年正式立項研究“主動免疫的綜合防護系統”，經過長期攻關、軍民融合，形成了自主創新的可信體系，該體系中的許多標準已被國際可信計算組織（TCG）采納[1]。

1 發展可信計算的意義

發展可信計算技術與實施網絡安全等級保護制度是構建國家關鍵信息基礎設施、確保整個網絡空間安全的基本保障。推廣發展中國主動免疫的可信計算技術可以筑牢我國的網絡安全防線。

1.1 網絡安全是永遠的主題

傳統的計算設備是工具，與他人利益無關，因此無需防止別人攻擊破壞。而現在由計算設備構成的網絡空間是資產財富、基礎設施和國家主權，因此黑客用病毒獲取金錢、敵對勢力以APT實施暴恐、霸權國家以網絡戰攻擊它國，對網絡空間構成重大的威脅。這些都暴露了網絡空間極其脆弱的問題：計算科學缺少攻防理念、體系結構缺少防護部件、工程應用缺乏安全服務，由此造成了網絡安全極大風險。從科學原理上看，人們對IT認知邏輯的局限性，不能窮盡所有邏輯組合，只能局限于完成計算任務去設計IT系統，必定存在邏輯不全的缺陷，從而形成了難以應對人為利用缺陷進行攻擊的網絡安全問題，網絡安全是永遠的主題。因此，為了防御對方攻擊，必須進行科學技術創新，從邏輯正確性角度驗證理論、計算體系結構和計算工程應用模式等方面，以解決邏輯缺陷被攻擊者利用的問題，形成攻防矛盾的統一體。確保用于完成計算任務的邏輯組合不被篡改和破壞，實現正確計算，這就是主動免疫防御的相對安全目標[1]。

1.2 “封堵查殺”被動防護已過時

當前大部分網絡安全系統主要是由防火墻、入侵監測和病毒查殺等傳統安全設施組成，原理上簡單可概括為“封堵查殺”。這些傳統的安全手段難以應對利用邏輯缺陷的攻擊。首先，傳統手段根據已發生過的特征庫內容進行比對查殺，面對層出不窮的新漏洞與攻擊方法，這種消極被動應對是防不勝防的；其次，傳統手段屬于超級用戶，權限越規，違背了基本的安全原則；第三，傳統手段有可能被攻擊者控制，從而成為網絡攻擊的平臺。例如，“棱鏡門”就是利用世界著名防火墻收取情報，而某些殺毒軟件的病毒庫篡改后可以導致系統癱瘓（將正常程序作為惡意程序查殺）。最近美國認為俄國利用卡巴斯基殺病毒軟件破壞了美國總統大選。因此，只有重建主動免疫可信體系才能有效抵御已知和未知的各種攻擊[2]。

1.3 建立主動免疫的計算模式與結構

主動免疫可信計算是指計算運算的同時進行安全防護，計算全程可測可控，不被干擾，只有這樣方能使計算結果總是與預期一樣。這種主動免疫的計算模式改變了傳統的只講求計算效率，而不講安全防護的片面計算模式。

我國自主設計的雙體系結構中，采用了一種安全可信策略管控下的、運算和防護并存的、主動免疫的新計算體系結構，以密碼為基因實現身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當于為網絡信息系統培育了免疫能力[2]。

1.4 發展安全可信的體系框架

云計算、大數據、工業控制、物聯網等新型信息化環境需要安全可信作為基礎和發展的前提，必須進行可信度量、識別和控制。采用安全可信系統架構可以確保體系結構可信、資源配置可信、操作行為可信、數據存儲可信和策略管理可信，從而達到積極主動防御的目的。

2 我國在可信計算領域的革命性創新

國外可信計算體系主要是由少數IT巨頭公司主導和推動發展的，在技術上存在許多封閉性和局限性；與此同時，我國通過長期攻關，已經形成了自主可控的可信體系，其中包含很多革命性的創新。

2.1 全新的可信計算標準體系

相對于國外可信計算被動調用的外掛式體系結構，我國可信計算革命性的開創了自主密碼為基礎、控制芯片為支柱、雙融主板為平臺、可信軟件為核心、可信連接為紐帶、策略管控成體系、安全可信保應用的全新的可信計算體系結構框架[2]。

在該體系結構框架指引下，我國2010年前完成了核心的9部國家標準和5部國軍標的研究起草工作。到目前為止，已發布國家標準3項和國軍標3項，即將發布國家標準2項，已發布團體標準（中關村可信計算產業聯盟標準）4項，授權國家專利上百項。我國可信計算標準體系是創新的成果。標準體系的創新性體現在：第一是打基礎，具有自主的密碼體系；第二是構主體，確定了四個主體標準是可信平臺控制模塊、可信平臺主板功能接口、可信基礎支撐軟件及可信網絡連接架構；第三是搞配套，提出了四個配套標準，分別是可信計算規范體系結構、可信服務器平臺、可信存儲及可信計算機可信性測評指南；第四是成體系，包括了管控應用相關標準，涉及到等級保護系統各個方面。

2.2 跨越了TCG可信計算局限性

國際可信計算組織（TCG）可信體系，在機制和體系結構方面存在一定的局限性，我國的可信計算體系則很好的處理了相應問題

（1） 密碼體制方面

TCG原版本只采用了公鑰密碼算法RSA，雜湊算法只支持SHA1系列，回避了對稱密碼。由此導致密鑰管理、密鑰遷移和授權協議的設計復雜化（包括五類證書、七類密鑰），也直接威脅著密碼的安全。而我國的可信平臺模塊（TPM2.0）則采用了我國對稱與公鑰結合的密碼體制，該機制已申報成為了國際標準。

（2） 體系結構方面

TCG采用外掛式結構，并未從計算機體系結構上進行變更，而是把可信平臺模塊（TPM）作為外部設備掛接在外部總線上。在軟件層面，可信軟件棧（TSS）是可信平臺軟件TPS的子程序庫，被動調用，無法動態主動度量。而我國可信計算創新的采用雙系統體系架構，變被動模式為主動模式，使主動免疫防御成為可能。

2.3 創新可信密碼體系

我國可信計算平臺密碼方案的創新之處主要體現在算法、機制和證書結構三個方面：

第一、在密碼算法上，全部采用國有自主設計的算法，定義了可信計算密碼模塊（TCM）；

第二、在密碼機制上，采用對稱與公鑰密碼相結合體制，提高了安全性和效率；

第三、在證書結構上，采用雙證書結構，簡化了證書管理，提高了可用性和可管理性。

公鑰密碼算法采用的是橢圓曲線密碼算法SM2，對稱密碼算法采用的是SM4算法，而SM3用于完整性校驗。利用密碼機制可以保護系統平臺的敏感數據和用戶敏感數據[3]。

2.4 創建主動免疫體系結構

主動免疫是中國可信計算革命性創新的集中體現。我國自主創建的主動免疫體系結構，在雙系統體系框架下，采用自主創新的對稱/非對稱相結合的密碼體制作為免疫基因；在主動度量控制芯片（TPCM）硬件中植入可信源根，在TPCM基礎上加以信任根控制功能，實現密碼與控制相結合，將可信平臺控制模塊設計為可信計算控制節點，實現了TPCM對整個平臺的主動控制；在可信平臺主板中增加了可信度量控制節點，實現了計算和可信雙節點融合；軟件基礎層實現宿主操作系統和可信軟件基的雙重系統核心，通過在操作系統核心層并接一個可信的控制軟件，接管系統調用，在不改變應用軟件的前提下實施對應執行點的可信驗證，達到主動防御效果；網絡層采用三層三元對等的可信連接架構，在訪問請求者、訪問連接者和管控者（即策略仲裁者）之間進行三重控制和鑒別，管控者對訪問請求者和訪問連接者實現統一的策略驗證，解決了合謀攻擊的難題，提高系統整體的可信性[4]。

另外，該體系對應用程序未作干預處理，這是確保能正確完成計算任務邏輯完整性所要求的，正確的應用程序不應打補丁，否則將形成新的漏洞。

2.5 開創可信計算3.0新時代

主動免疫體系結構開創了以系統免疫性為特性的可信計算3.0新時代。可信計算1.0以世界容錯組織為代表，主要特征是主機可靠性，通過容錯算法、故障診查實現計算機部件的冗余備份和故障切換。可信計算2.0以TCG為代表，主要特征是包含PC節點安全性，通過主程序調用外部掛接的可信芯片實現被動度量。我國自主建立的可信計算3.0，主要特征是系統免疫性，保護對象是以系統節點為中心的網絡動態鏈，構成“宿主+可信”雙體系可信免疫架構，宿主機運算的同時由可信機制進行安全監控，實現對網絡信息系統的主動免疫防護。

3 基于可信計算的云安全框架

云計算是可信計算當前最重要的應用領域之一。以可信計算體系為基礎，建立和完善云安全框架，指導云系統的建設，是解決云安全問題的根本途徑。

3.1 云中心結構

信息系統云化是指其信息處理流程在云計算中心完成。云計算中心負責信息系統的系統服務防護，用戶負責業務信息安全保護，這是典型的“賓館服務”模式。用戶自己不用建機房，把業務信息程序（如門戶網站、開發軟件、定制應用）遷移到云計算中心機房，由云中心負責運行（包括SaaS、PaaS和IaaS三種模式）。相當于傳統招待所的點菜吃飯、開會研究事和小型商店服務等都沒有必要經營，直接去賓館接受服務更價廉物美。

云計算中心應當可以同時運行多個不同安全級別的信息系統。云計算中心安全防護能力必須不低于承運最高等級信息系統的級別。

云中心一般由用戶網絡接入、區域邊界、計算環境和管理平臺組成（如圖1所示）。云中心是聚集式的應用軟件、計算節點以及計算環境的計算中心，用戶通過通信網絡連接到前置機（邊界）再接入到計算節點組成的計算環境，中心后臺提供運維管理等功能。

云計算模式和云中心的出現，帶來了一系列新的安全問題，解決這些問題必須從框架上進行調整。

3.2 可信云安全框架

云計算可信安全架構是在安全管理中心支撐下的可信計算環境、可信接入邊界、可信通信網絡三重防護架構，如圖2所示。

可信云計算環境，可信鏈傳遞從基礎設施可信根出發，度量基礎設施、計算平臺，驗證虛擬計算資源可信，支持應用服務的可信，確保計算環境可信。業務信息安全應由用戶確定主體/客體關系，制定訪問控制策略，實現控制流程安全。系統服務安全由中心負責計算資源可信保障，還要對訪問實體和操作環境進行可信驗證，確保服務安全可信[4]。

可信接入邊界，這一層驗證用戶請求和連接的計算資源可信，拒絕非法用戶和偽造請求。

可信通信網絡，本層次確保用戶服務通信過程的安全可信。

安全管理中心分工與傳統的信息系統有所區別，系統管理由云中心為主，保證資源可信；安全（策略）管理由用戶為主，負責安全可信策略制訂和授權；審計管理由云中心和用戶協同處理，負責應急和追蹤處置。

以下重點說明可信云計算所需的有關資源及相互連接關系。如圖3所示。

云計算環境由大量的云計算環境節點（即宿主機節點）組成計算資源。為了充分發揮基礎軟硬件資源效率，基于虛擬化資源調度管理，虛擬機管理器（VMM）即時按照用戶服務的需求，分配必要的計算資源，創建、就緒、運行虛擬機（VM）（虛擬計算節點），當服務完成后終止虛擬機，回收資源，再分配給其他服務的虛擬機使用。這樣形成了任意多個動態的虛擬機映射使用宿主機群物理計算資源的體系架構。可信云框架既要保證基礎計算資源的可信，也要保證虛擬機資源和運行的可信，因此提供了虛擬可信根和虛擬機安全可信機制，支持和保護虛擬機資源。虛擬可信根的可信性源于物理可信芯片中的可信根。另外，虛擬機安全可信機制基于虛擬可信根，并根據安全管理中心制訂的策略進行具體的安全控制[1]。

可信接入邊界一般由計算中心的前置處理機組成，可信云安全框架要求前置處理機設計成安全可信的計算環境，與可信云計算環境的要求類似，只不過規模相對小一些。由可信根支撐下的可信軟件基實施邊界處理的安全可信檢測，按照安全管理中心制訂的安全策略進行外部用戶請求的可信驗證。

可信通信網絡由交換機、路由器等設備組成，這些設備本質上是通過計算機軟硬件實現的。通信網絡是用戶和云中心之間的連接環節，其設備必須可信，可信根、可信軟件基和可信監管是不可缺少的。

4 結語

我國在可信計算領域已經自主建立了完整的體系，開創了可信計算3.0時代。主動免疫的可信計算體系是我國構建網絡安全和信息系統安全的重要基礎和保障。云計算是可信計算當前最重要的應用方向之一。在云計算領域引入可信計算，構造主動免疫的云安全框架體系，可以指導完善云計算系統的安全防御機制，有力保障云計算產業的健康發展。

參考文獻：

[1] 沈昌祥.用可信計算3.0筑牢網絡安全防線[J].信息通信技術，2017，11（3）：4-6.

[2] 沈昌祥，陳興蜀.基于可信計算構建縱深防御的信息安全保障體系[J].四川大學學報（工程科學版），2014，46（1）：1-7.

[3] 沈昌祥，公備.基于國產密碼體系的可信計算體系框架[J].密碼學報，2015，2（5）：381-389.

[4] 沈昌祥，張煥國，王懷民，王戟，趙波，嚴飛，余發江，張立強，徐明迪.可信計算的研究與發展[J].中國科學：信息科學，2010，40（2）：139-166.

（編輯：姚英）

Abstract：In the field of trusted computing， our country has independently established a trusted computing system for active immunity， the new computational architecture of active immunity， which is based on the operation and protection under the control of secure and credible policy， is used to identify the "self" and "non self" components in time by using the functions of identity identification， state measurement and confidential storage. thereby destroying and rejecting the harmful substances. Cloud security is the key application direction of trusted computing， and it is an important basis and guarantee to solve all kinds of cloud security problems based on trusted computing.

Keywords：：trusted computing；cloud computing