主動免疫可信計算綜述

張建標/ZHANG Jianbiao，黃浩翔/HUANG Haoxiang，胡俊/HU Jun

（ 1.北京工業大學，中國 北京 100124；2.可信計算北京市重點實驗室，中國 北京 100124 ）

網絡空間已成為繼陸、海、空、天之后的第五大主權領域空間，沒有網絡安全就沒有國家安全。提供安全可信的網絡產品和服務是國家法律（《中華人民共和國網絡安全法》[1]）、戰略（網絡空間安全戰略[2]）和等級保護制度的要求。為配合網絡安全法的實施，新修訂的網絡安全等級保護（簡稱等級保護2.0）標準[3]，突出了主動免疫可信計算支撐的一個中心三重防護的安全框架，通過可信驗證確保各個環節的安全可信，保障國家重要信息系統的安全。

1 主動免疫可信計算介紹

1.1 基本思想

信息安全問題由圖靈計算模型缺少攻防理念、馮·諾依曼架構缺少防護部件、工程應用無安全管控服務三大原始缺陷而引起[4]。傳統的計算機體系結構專注于計算功能的實現，缺乏對安全防護的考慮。這就相當于一個人沒有免疫系統，只能生活在無菌狀態下。此外，人類對事物的認知存在局限性，而系統設計過程中所具有的邏輯組合無法窮盡，必然會存在邏輯不全的缺陷，而當前大部分網絡安全系統主要是由防火墻、入侵監測和病毒防范等“老三樣”組成，消極被動的封堵查殺不僅難以應對利用邏輯缺陷的攻擊，且只能被動抵御已知病毒[5]。

相較于“老三樣”，主動免疫可信計算能夠實現計算機體系結構的主動免疫，其基本思想為：在計算機系統中建立一個可信根，可信根的可信性由物理安全、技術安全、管理安全共同確保；再建立一條可信鏈，從可信根開始到硬件平臺、操作系統、應用，一級測量認證一級，一級信任一級，把這種信任擴展到整個計算機系統中，從而確保整個計算機系統的可信[6]。

主動免疫可信計算就是要為計算平臺建立起免疫系統，是一種在運算的同時進行安全防護的新計算模式。該模式以密碼為基因實施身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞并排斥進入機體的有害物質。這相當于為網絡信息系統培育了免疫能力[7]。

1.2 主要特征

（1）新計算模式：計算同時進行安全防護

計算機最初的設計目標是為了解決復雜計算問題，因此其體系結構在設計時要解決的核心問題即是提高計算速度，但卻忽略了安全問題，如系統任務難以隔離、內存無越界保護等。這直接導致網絡化環境下的計算服務存在很多安全問題，如源配置可被篡改、惡意程序被植入執行、利用緩沖區（棧）溢出攻擊、非法接管系統管理員權限等[6]。主動免疫可信計算是一種運算時進行安全防護的新計算模式，該模式采用計算和防護并行的雙體系結構，在計算的同時進行安全防護，使計算結果總是符合預期，計算全程可測可控，不被干擾。

（2）雙體系結構：計算部件+防護部件

如圖1所示，主動免疫可信計算采用計算部件和防護部件并行的雙體系結構。其中，計算部件即為通用計算系統，防護部件則是負責實施主動免疫可信計算的部件。主動免疫可信計算保持通用計算系統功能流程不變的同時，通過邏輯獨立的防護部件，能夠主動實施對計算部件（計算組件、系統固件、系統軟件、應用軟件）的可信監控，從而實現對計算部件全生命周期的可信保障。

▲圖1 計算+防護的雙體系結構

防護部件以并接于計算部件的可信平臺控制模塊（TPCM）作為可信根。TPCM在連接可信密碼模塊（TCM）的基礎上增添對計算部件和外設的總線級控制功能，成為系統可信的源頭。TPCM融合密碼機制與控制機制，先于計算部件中央處理器（CPU）啟動，主動對計算部件進行度量并實施控制。之后，可信軟件基構建，對上承接可信管理機制，在安全策略規則的支配下實施主動監控；對下調度管理TPCM等可信硬件資源，協調完成主動度量及控制。

針對集中控管的網絡環境安全需求，我們提出了三元三層對等可信網絡連接架構，通過安全管理中心集中管理，對網絡通信連接的雙方資源實施可信度量和判決，有效防范內外合謀攻擊。

（3）四要素可信動態訪問控制

傳統訪問控制機制是實現系統安全的有效措施，它基于主體、客體和操作三要素，控制主/客體的操作行為，保證系統訪問的安全。但傳統無計算環境要素的訪問控制策略模型只基于授權標識屬性進行操作，不作可信驗證。這帶來了難防篡改的安全缺陷，如惡意用戶假冒合法實體進行資源訪問、合法實體被篡改導致越權訪問資源破壞、破壞被授權客體的完整性、計算環境的重要配置文件被篡改[8]等，訪問控制過程的可信性無法保障。

因此，我們必須對訪問控制過程中的“主體、客體、操作、環境”四要素進行動態可信度量、識別和控制，如圖2所示。

▲圖2 四要素可信動態訪問控制

（4）三重防護框架

一個中心三重防護，就是針對安全管理中心和安全計算環境、安全區域邊界、安全通信網絡的安全合規進行方案設計，建立以計算環境安全為基礎，以區域邊界安全、通信網絡安全為保障，以安全管理中心為核心的信息安全整體保障體系。2019年12月實施的國家標準《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239—2019）更加強調了安全通信網絡、安全區域邊界和安全計算環境的可信驗證要求，即實現以可信驗證為支撐的一個中心三重防護，如圖3所示。

▲圖3 可信驗證支撐的一個中心三重防護

2 主動免疫可信計算研究進展

2.1 標準體系

2006年中國進入可信計算規范和標準的制定階段，國家密碼管理局制定了《可信計算平臺密碼技術方案》和《可信計算密碼支撐平臺功能與接口規范》。2007年在國家信息安全標準化委員會的主持下，北京工業大學可信計算實驗室牽頭，聯合幾十家單位，開始“可信平臺控制模塊”等4個主體標準和“可信計算體系結構”等4個配套標準的研究工作，構建了中國可信計算標準的體系框架，為后續制定一系列的可信計算國家標準奠定了基礎。目前中國已經發布的可信計算相關標準如表1所示。

▼表1 可信計算國家標準

2.2 解決方案

TPCM作為構建主動免疫可信計算體系的信任錨點，具備主動控制和度量功能。當前，根據應用平臺的不同，TPCM主要有3種構建形式：計算部件主板上增加TPCM；多核CPU的一個核作為TPCM；通過外部設備互連（PCI）插卡接入TPCM。

1）TPCM結構有兩種主流的呈現方式。

（1）獨立TPCM芯片：多用于以嵌入式系統為代表的計算資源有限的平臺中，能夠降低計算平臺資源開銷，且具備較高的物理可信性。文獻[9]所述基于TPCM芯片的三階三路可信平臺主動防護架構方案表明，實驗芯片通過直接存儲器訪問（DMA）協議或CPU共享總線交換數據，降低了系統開銷，具備較高的安全性。

（2）基于基板管理控制器（BMC）構建TPCM：BMC具有獨立處理器、內存和存儲空間的服務器度量器件，能夠實現對服務器硬件設備的主動監測和控制，成為構建“計算”與“防護”并行的主動免疫雙體系結構的理想方案。北京工業大學可信計算重點實驗室基于BMC構建服務器啟動及運行過程，對“計算”和“防護”并行主動免疫架構進行了較為豐富的研究。隨著TPCM相關的產、學、研、用多領域深度融合以及相應接口標準的完善，TPCM軟硬生態建設及工程應用已趨于成熟。

2）隨著多核CPU計算平臺/服務器在實際中應用，基于其多核特性，構建計算核、安全核并行的主動免疫可信架構成為一種高效的解決思路。以海光、申威為代表的國產服務器生產商均研發了多核可信服務器，有效提高了國產服務器的安全性。在文獻[10]中，安全防御機制由與普通處理器并行運行的安全處理器來充當，實現硬件級別的物理隔離，具備較高的安全性。但是由于物理隔離導致安全處理器對主機內存語義信息的獲取較為困難，因此主動可信度量的結果較為粗粒度，且該方案只是對靜態代碼段進行周期性度量，度量有效性較低。文獻[11]提出了一種改進的針對飛機硬件的攻擊免疫超級監控可信架構。該架構基于輕量級精簡指令集計算機（RISC）CPU來獨立運行可信監控系統（TMS），實現TMS與主處理器系統（MPS）的安全隔離，使得對手很難通過軟件進行攻擊。

3）外接可信插卡：通過外接可信插卡的方式實現防護部件，能實現對舊計算系統改造，降低了實現難度和工程成本。如華虹設計推出的高速串行計算機擴展總線標準（PCIE）可信加固卡提供了一組串行外設（SPI）Master接口，用于對計算平臺主機基本輸入輸出系統（BIOS）進行主動度量，并可用來控制計算機主板上電時序的多組隔離輸入/出開關控制系統，從而實現芯片層面的主動控制要求。文獻[12]通過在異構計算網絡加速卡上設置控制邏輯芯片、安全可信芯片及PCIE總線開關，構造了一種基于異構計算的安全可信卡。文獻[13]提出了一種PCIE和MINIPCIE雙接口的通用安全可信接口卡，能夠通過TCM芯片與主板復雜可編程邏輯器件（CPLD）和CPU之間的信號傳遞及控制實現主動度量及端口主動控制功能。

TrustZone的快速發展為防護部件提供了隔離受保護的可信運行環境，同時防護部件為系統、應用提供豐富的可信度量、監控等功能，這種構建模式契合雙系統體系架構的核心思想，成為構建主動免疫可信方案的一種改造思路[14]。文獻[15]從控制流的角度提出了一種動態度量方案，該方案基于TrustZone構建內核飛地，從而確保監控度量模塊無法被攻擊者篡改或繞過，最終確保動態度量過程的可信性。文獻[16]中的TrustZone架構實現了一種雙系統體系架構下的主動度量機制，使得位于安全世界的防護部件能夠主動對非安全世界的計算部件進行度量。

2.3 產業發展

2014年4月16日，由中國工程院沈昌祥院士提議，中國電子信息產業集團、北京工業大學、中國電力科學研究院等60家單位發起的中關村可信計算產業聯盟正式成立。目前，該聯盟成員包括國有企業、民營企業、上市公司、研究院所、大專院校等網絡安全領域各種單位200多家，涉及中國可信計算產業鏈的各個環節，覆蓋了產、學、研、用、測各界，有效推動了可信計算的產業化和市場化。2020年10月28日，國家網絡安全等級保護制度2.0與可信計算3.0攻關示范基地在北京工業大學揭牌成立。目前，基于TPCM國家標準，主板并加可信SoC、多核CPU可信核及外接可信插卡3種產品形態已被研發并大量推廣應用[4]。“白細胞”等可信軟件基產品的發布標志著中國自主創新的基于可信技術的新一代網絡安全技術路線實現產業化。

3 對比分析

1999年，IBM、HP、Intel和微軟等著名IT企業發起并成立了可信計算平臺聯盟（TCPA），2003年TPCA改組為可信計算組織（TCG），這標志著可信計算開始向泛計算領域應用擴展。TCG可信計算技術是以可信賴平臺模塊（TPM）芯片來增強計算平臺的安全性。這種可信計算技術防護部件的安全性依賴于計算部件，因此存在著被旁路或篡改的風險。此外，TCG采用被動調用的外掛式體系結構，這種結構不僅缺乏主動防御能力，且計算和防護串行執行，難以符合等級保護2.0標準中對重要信息系統實施主動、動態安全防護的要求。

主動免疫可信計算提出了“計算+防護”的雙體系結構，防護部件邏輯獨立于計算平臺。該結構不僅有效防止源于通用計算系統的廣泛攻擊，而且有效提高了性能。TPCM作為可信根，能夠先于主機計算部件上電啟動，實現對計算平臺的主動控制。無須修改應用軟件，TPCM上運行的可信軟件基接管系統軟件的內核層系統調用，實現主動、動態防護。表2給出了可信計算技術對比分析。

▼表2 可信計算技術對比

4 結束語

提供安全可信的網絡產品和服務是國家網絡安全法律、國家網絡空間安全戰略和國家等級保護制度的要求。2021年9月施行的關鍵信息基礎設施安全保護條例，強調運營者應當優先采購安全可信的網絡產品和服務。隨著等級保護2.0標準的實施，主動免疫可信計算技術已在保障重要信息系統的安全可信中發揮了重要的作用。但在面對云計算、移動互聯、物聯網和工業控制系統等應用場景，我們還需要深入進行主動免疫可信計算關鍵技術研究、相關標準制定、產品研制、適配測試和推廣應用。