可信計算技術(shù)綜述

張秀娟

摘 要：本文主要介紹了可信計算的現(xiàn)狀和發(fā)展趨勢，基于對相關(guān)專利申請的分析對可信計算技術(shù)進(jìn)行了梳理。首先，對可信計算技術(shù)的發(fā)展歷程進(jìn)行了回顧，分析了可信計算方面幾個重要的發(fā)展領(lǐng)域，然后分析了國內(nèi)外可信計算的發(fā)展?fàn)顩r。

關(guān)鍵詞：可信計算;可信平臺;可信認(rèn)證;專利申請;發(fā)展歷程

引言

在可信計算中，通過信息加密等方式對存儲的文件和數(shù)據(jù)進(jìn)行管理，從而保證了信息存儲的安全性;通過對系統(tǒng)組件進(jìn)行可信度量是保障信息的基礎(chǔ)，根據(jù)度量值對系統(tǒng)組件進(jìn)行管理和檢測，可有效管理信息運(yùn)行的環(huán)境變化，從而保障運(yùn)行環(huán)境的安全性;通過消息簽名的方式對目的端進(jìn)行驗(yàn)證，從而保障信息傳輸?shù)陌踩浴?/p>

一、可信計算技術(shù)概述

1、可信計算發(fā)展歷程

在可信計算技術(shù)的形成過程中，容錯計算、安全操作系統(tǒng)和網(wǎng)絡(luò)安全等領(lǐng)域的研究使得可信計算的含義不斷擴(kuò)展，由側(cè)重于硬件的可靠性、可用性，到針對硬件平臺、軟件系統(tǒng)服務(wù)的綜合可信，適應(yīng)了Internet應(yīng)用系統(tǒng)不斷擴(kuò)展的發(fā)展需要。下面從與可信計算發(fā)展緊密相關(guān)的三個領(lǐng)域的發(fā)展。

在容錯計算領(lǐng)域，可信性被定義為計算機(jī)系統(tǒng)的一種性質(zhì)，它所提供的服務(wù)是用戶可感知的一種行為，并可以論證其可信賴，則用戶則是能與之互動的另一系統(tǒng)。因?yàn)椤翱煽俊倍翱尚拧保虼耍蒎e計算又被稱為可靠計算。

從50年代中期出現(xiàn)的第一個簡單的批處理系統(tǒng)，到60年代中期出現(xiàn)的多道程序批處理系統(tǒng)，以及此后的基于多道程序的分時系統(tǒng)，甚至再后來的分時系統(tǒng)和分布式操作系統(tǒng)，僅僅靠“容錯技術(shù)”并不能完全解決操作系統(tǒng)對共享資源的安全訪問問題。因而，為了進(jìn)一步提高安全性，研究者開始逐步探究如何提高操作系統(tǒng)的安全性。

在網(wǎng)絡(luò)安全階段，保護(hù)網(wǎng)絡(luò)的安全包括兩個方面的技術(shù)內(nèi)容：（1）開發(fā)各種網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)，包括身份認(rèn)證、授權(quán)和訪問控制、PKI/PMI/IPSec、電子郵件安全、安全掃描、網(wǎng)絡(luò)病毒防范等，這些系統(tǒng)一般可獨(dú)立運(yùn)用于網(wǎng)絡(luò)平臺之上;（2）加強(qiáng)網(wǎng)絡(luò)安全相關(guān)的組件或系統(tǒng)組成網(wǎng)絡(luò)可信基，內(nèi)嵌在網(wǎng)絡(luò)平臺中，受網(wǎng)絡(luò)平臺保護(hù)。前者得到了產(chǎn)業(yè)界的廣泛支持，并成為主流的網(wǎng)絡(luò)安全解決方案，而后者得到了學(xué)術(shù)界的廣泛重視，學(xué)術(shù)界還對“可信系統(tǒng)”和“可信組件”進(jìn)行了廣泛的研究。1987年，美國國家計算機(jī)安全中心提出的可信網(wǎng)絡(luò)結(jié)識成為該技術(shù)的標(biāo)志性成果。

2、我國可信計算的發(fā)展

2006年6月武漢瑞達(dá)公司和武漢大學(xué)合作，開始研制可信安全計算機(jī)。2003年研制出我國第一款可信計算平臺模塊和第一款可信計算平臺，2003年7月15日通過國家密碼管理局的安全審查。2004年10月通過國家密碼管理局主次的技術(shù)鑒定。2005年，聯(lián)想公司、兆日公司的TPM芯片和聯(lián)想公司的可信計算機(jī)也相繼研制成功，并通過國家密碼管理局的認(rèn)證。從2006年開始我國進(jìn)入指定可信計算規(guī)范和標(biāo)準(zhǔn)的階段，制定了一系列的可信計算規(guī)范與標(biāo)準(zhǔn)。我國成為除TCG之外唯一擁有自主可信計算規(guī)范與標(biāo)準(zhǔn)的國家。2007年我國國家自然科學(xué)基金啟動了可信軟件重大研究專項(xiàng)。2008年中國可信計算連通成立。由此可見，從2007年開始，包括芯片、微機(jī)、服務(wù)器、軟件、可信網(wǎng)絡(luò)連接等標(biāo)準(zhǔn)，國家自然科學(xué)基金委和聯(lián)想公司的“可信計算重大研究計劃”。2008年中國可信計算聯(lián)盟CTCU成立，推動我國的可信計算的進(jìn)一步發(fā)展。

3、可信計算的重要模塊以及重要系統(tǒng)

3.1可信平臺模塊TPM

在可信平臺中，TCG定義了可信平臺模塊TPM，其為一種系統(tǒng)芯片，它是可信計算平臺的信任根（可信存儲根RTS核可信報告根RTR），它由執(zhí)行引擎、存儲器、I/O、密碼協(xié)處理器、隨機(jī)數(shù)產(chǎn)生器等部分組成。由于可信平臺模塊TPM擁有豐富的計算資源和密碼資源，其具有密鑰管理、加解密、數(shù)字簽名、數(shù)據(jù)安全存儲等功能，因此，其可以完成作為可信存儲根和可信報告根的職能。

3.2可信計算平臺

可信計算平臺是廣泛的概念，不管是服務(wù)器、PC機(jī)、PDA還是手機(jī)，只要具有可信計算的主要技術(shù)機(jī)制和可信服務(wù)功能，都可稱之為可信平臺。在可信平臺中，主要的是要有信任根核信任鏈機(jī)制、度量存儲報告機(jī)制、TSS支撐軟件、確保系統(tǒng)數(shù)據(jù)完整性、數(shù)據(jù)安全存儲和平臺遠(yuǎn)程證明等方面的可信功能。

3.3. 可信計算平臺間的通信

TCG提出了一種基于系統(tǒng)資源數(shù)據(jù)完整性的二進(jìn)制代碼遠(yuǎn)程證明方法，這種遠(yuǎn)程證明建立在可信計算的度量存儲報告機(jī)制、密碼和證書技術(shù)、可信網(wǎng)絡(luò)連接技術(shù)的基礎(chǔ)之上。對于可信計算平臺，平臺的系統(tǒng)資源和應(yīng)用軟件，都由可信度量根核信任鏈進(jìn)行了可信性（完整性）的度量，并將度量值存儲到可信存儲根中，作為平臺可信任的證據(jù)。當(dāng)需要遠(yuǎn)程證明時，由可信報告根向用戶提供平臺可信性報告。在存儲和網(wǎng)絡(luò)傳輸過程總，通過加密、數(shù)字簽名和認(rèn)證技術(shù)保護(hù)，結(jié)合可信網(wǎng)絡(luò)連接技術(shù)，確保平臺可信性的遠(yuǎn)程證明。

二、可信計算技術(shù)專利狀況分析

1、全球?qū)＠暾埛治?/p>

通過對全球涉及基于可信計算技術(shù)的專利申請的文件進(jìn)行統(tǒng)計與分析可知，在全球的專利申請中，申請量處于領(lǐng)先地位的是英特爾，這是因?yàn)榭尚庞嬎阕畛醯乃枷胧茄芯咳绾螐挠布讓娱_始加強(qiáng)通信系統(tǒng)的安全性，而英特爾作為全球芯片占有量遙遙領(lǐng)先的大公司，其在可信芯片等硬件方面的科研投入相當(dāng)大，因而英特爾有關(guān)可信計算的專利申請量大是可以預(yù)期的。IBM、惠普和微軟作為國際大公司，其分別在和操作系統(tǒng)上的地位是相當(dāng)高的，由于可信計算逐步由研究芯片等硬件方面逐步擴(kuò)展到研究如何提供可信計算機(jī)系統(tǒng)以及可信操作系統(tǒng)，作為該領(lǐng)域處于領(lǐng)先地位的大公司，IBM和微軟在可信計算方面的專利申請量大也是可以理解的。諾基亞、華為等其他公司有關(guān)可信計算的專利申請量相差不大。從該圖仍然可以看出美國在可信計算技術(shù)領(lǐng)域處于絕對領(lǐng)先的地位，我國的專利申請中企業(yè)申請不是很多，說明我國在該技術(shù)領(lǐng)域中的研究實(shí)力還有待提升。

2、國內(nèi)專利申請分析

國內(nèi)有關(guān)可信計算技術(shù)的專利申請起步較國外要晚一些，但與全球可信計算技術(shù)的專利申請類似，國內(nèi)的專利申請也是在2000年以后逐步上升。在2008年之后的幾年內(nèi)，國內(nèi)有關(guān)可信計算的專利申請?jiān)鏊佥^明顯，這與2008年中國可信計算聯(lián)盟CTCU密不可分，國家對該技術(shù)領(lǐng)域的經(jīng)濟(jì)支撐，增強(qiáng)了科研院校、國內(nèi)公司等對該技術(shù)領(lǐng)域的研究興趣，從而在短短3年之后，也就是2011年，我國可信計算的研究達(dá)到了巔峰。在2011年之后，我國有關(guān)可信計算的專利申請量也處于比較高的水平。由于2015年后專利申請的公開數(shù)據(jù)不完整，導(dǎo)致總申請量下降，并不能因此判定該領(lǐng)域申請呈現(xiàn)出大幅下降趨勢。根據(jù)以上數(shù)據(jù)進(jìn)行大致預(yù)期可知，以及云計算、虛擬化技術(shù)等的引入，可信計算技術(shù)仍然有可能成為信息安全領(lǐng)域的研究熱點(diǎn)。

三、小結(jié)

本文圍繞可信計算這一技術(shù)主題，對全球和國內(nèi)相關(guān)的專利申請進(jìn)行了分析。目前，可信計算技術(shù)中國專利申請的國外申請人借助其在計算機(jī)領(lǐng)域的領(lǐng)先優(yōu)勢，已經(jīng)展開了在華專利布局，對我國的IT企業(yè)構(gòu)成了一定威脅。雖然我國在可信計算技術(shù)已經(jīng)取得了一定的成果，但我國在可信計算領(lǐng)域的專利部署還有待進(jìn)一步加強(qiáng)，從而加強(qiáng)我國在可信計算領(lǐng)域的競爭力，以擺脫該技術(shù)領(lǐng)域的科技產(chǎn)品主要靠進(jìn)口的弊端。

參考文獻(xiàn)：

[1]可信計算中的動態(tài)遠(yuǎn)程證明研究綜述[J]，李紅嬌，2013.1

[2]基于國產(chǎn)密碼體系的可信計算體系框架[J]，沈昌祥等，2016.1