零信任與可信計算技術研究

蹇詩婕 趙榮輝 公安部第一研究所

引言

隨著互聯網時代的發展，信息技術已經成為人們生活中不可或缺的一部分，與此同時，網絡空間安全威脅愈發嚴峻，沒有網絡安全就沒有國家安全，安全是發展的前提。然而，傳統安全架構難以抵御日益復雜的新型網絡攻擊，無法滿足新環境下的網絡安全需求。因此，零信任、可信計算等新興網絡安全防護技術成為當前工業界和學術界重點關注的內容。

零信任[1]是一種以保護資源為核心的安全理念，本質是以身份為基石的動態訪問控制，基于多維因素進行持續信任評估，并通過信任等級動態調整權限，形成動態自適應安全閉環體系。相較于專注防護邊界的傳統安全架構，零信任革新了以物理為邊界的安全架構思想，默認不存在基于物理和網絡位置的隱性信任關系。

可信計算[2]是一種主動防御技術，基于硬件屬性的可信根，形成系統啟動時逐層度量的信任鏈，從而實現系統環境的安全可信，能夠主動免疫攻擊行為。相較于傳統的防火墻、殺毒軟件等被動防御方式，可信計算從根本上解決計算平臺的安全問題，不僅在攻擊發生前進行主動防御，而且在攻擊發生后能夠及時報警和查殺。

為了應對愈發復雜的攻擊行為，當前，可信計算技術已經逐步應用于公安移動警務系統建設中。本文分別對零信任和可信計算兩種新興技術的相關背景、相關概念進行詳細梳理，并對兩種安全防護架構進行對比分析。

一、零信任

（一）相關背景

1. 內部網絡攻擊

據美國加利福尼亞州舊金山的計算機安全研究所統計分析，60%到80%的網絡濫用事件來自內部網絡。橫向移動攻擊作為APT攻擊中的重要環節，是攻擊者進入內部網絡后實施攻擊的主要手段。

傳統安全架構是一種基于區域的架構，采用網絡分段的方式將用戶、設備和服務等定義至不同的信任域中，在給定區域內可以相互通信。傳統安全架構通常使用防火墻來監控網絡流量，但是由于防火墻購買成本較高，只能創建受保護的信任區域，導致易遭受攻擊的范圍較大。

傳統安全架構更注重對邊界進行防護，認為邊界內部不存在威脅，一旦黑客突破防火墻等外部邊界防御后，便可以利用內部系統漏洞和管理缺陷逐步獲得更高級別的權限，進行內網橫向移動攻擊，盜取重要數據信息，并且不會受到任何阻礙。

傳統安全架構假設企業所有的辦公設備和數據資源都在內網，默認內網完全可信。事實上，內網并不安全，僅僅使用基于防火墻等邊界防御方法的傳統安全架構難以有效檢測內部網絡攻擊。零信任架構假設網絡中始終存在外部和內部威脅，限制網絡內部橫向移動，能夠較好地彌補傳統安全架構的缺陷。

2. 云技術興起

隨著云技術近幾年的大力發展，云計算算力不斷提升，企業數字化轉型持續深入，越來越多的企業開始使用云服務器，各企業的基礎設施和網絡結構日趨復雜。

由于企業的業務上云后，應用系統運行所需要的計算、存儲、網絡資源的物理位置不斷變化，網絡邊界變得越來越模糊，純內部系統組成的企業數據中心不復存在，因此當前企業的安全部門亟需一種新的安全思維來保護企業的重要數據信息。同時，企業內網接入模式更加多元化，移動辦公、遠程接入等方式導致IP信息動態變化，對原有企業內網架構造成了巨大沖擊，與其最初的設計理念大相徑庭。

隨著企業辦公愈發移動化、云端化，管理和維護的難度與成本顯著增加。零信任架構是對企業網絡安全發展趨勢的積極響應，能夠有效應對企業數字化轉型過程中遇到的安全問題，適配各類遠程接入場景。

（二）相關概念

1. 定義

零信任是一種安全架構的新理念，根據美國國家標準與技術研究院《零信任架構標準》中的定義：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網絡環境已經被攻陷的前提下，當執行信息系統和服務中的每次訪問請求時，降低其決策準確度的不確定性。

零信任的核心思想是默認情況下，企業內外部的任何人、事、物均不可信，應在授權前對任何試圖接入網絡和訪問網絡資源的人、事、物進行驗證[3]。零信任的本質是以身份為中心進行動態訪問控制，沒有默認被信任的主體，對任何資源的訪問都需要進行認證授權，對訪問的主體和過程進行持續檢測評估，并且動態調整訪問控制策略。

2. 零信任架構

零信任架構是一種基于零信任理念的企業網絡安全的規劃，圍繞零信任理念的組件關系、工作流規劃與訪問策略構建而成。零信任架構是一種企業資源和數據安全的端到端的保護方法，將網絡防御的邊界縮小到單個資源組，關注于保護資源，而非網絡分段，網絡位置不再是資源安全態勢的主要組成部分。

通用零信任架構的總體框架如圖1所示。零信任的安全原則是“永不信任且始終驗證”，對訪問主體和訪問客體之間的數據訪問和認證驗證進行處理，控制平面用于邏輯組件之間的網絡通信控制，數據平面則是用于應用程序數據的通信[3]。

圍1 零信任架構的總體框架

訪問主體通過控制平面發起訪問請求，由信任評估引擎、訪問控制引擎對訪問主體進行身份認證和授權，確認其信任等級后，動態配置數據平面，建立一次性安全訪問連接，授予最小訪問權限。信任評估引擎持續進行信任評估，一旦出現異常，訪問控制引擎將會及時通過訪問代理中斷連接，從而保護資源[3]。

（三）傳統安全架構和零信任架構的對比

傳統安全架構和零信任架構的詳細對比如表1所示，傳統安全架構對授權用戶開放的訪問權限較大，更注重防御邊界，零信任架構則是基于身份實現細粒度的訪問控制，注重于保護資源。

表1 傳統安全架構和零信任架構的對比

由于傳統安全架構至今仍能抵御大部分網絡攻擊，而零信任架構需要消耗大量網絡資源來支撐大量的訪問控制請求。如果使用零信任架構全面替換傳統安全架構，將會造成卡頓、請求超時等后果，影響業務功能的正常使用。

因此，在傳統安全架構的基礎上搭建零信任架構才能更好地維護網絡空間安全。同時，零信任架構提出的訪問控制目標較理想化，技術實現存在較大難度，還需要長期探索才能真正落地實施。

二、可信計算

（一）相關背景

傳統網絡安全系統主要是由防火墻、病毒查殺、入侵檢測等組成，并針對安全問題打補丁。而這些方法均屬于被動的防御方式，存在諸多弊端：防火墻難以防護內部網絡安全，內網橫向移動攻擊較嚴重；病毒查殺和基于簽名的入侵檢測只能防御已知特征庫中的攻擊，難以檢測未知的攻擊行為；打補丁的方式有可能帶來新的漏洞和后門，甚至導致某些軟件無法正常使用。

總結而言，傳統網絡安全系統有如下三項缺點：（1）僅僅依靠被動修補或積累攻擊特征的方式難以應對利用邏輯缺陷的攻擊和新型未知威脅，反而會增加自身脆弱性；（2）超級權限用戶的存在違背了最小特權安全原則；（3）傳統網絡安全系統一旦被攻擊者利用，會成為新的網絡攻擊平臺[4]。

因此，主動有效的網絡安全防護方法成為當前學者們研究的重點內容，而可信計算體系就是一種主動免疫的安全防御體系。

（二）相關概念

1. 定義

可信計算（Trusted Computing，TC）是保障信息系統可預期性的技術，是指在計算的同時進行安全防護，使計算結果總是與預期值一樣，使計算全程可測可控，不受干擾[5]?？尚庞嬎闶且环N主動應對攻擊的防御體系，核心目標是保證系統和應用的完整性，從而確定系統或軟件運行在設計目標期望的可信狀態。

可信并不代表安全，但是可信是安全的基礎，因為安全方案和策略只有運行在未被篡改的環境下才能進一步確保安全。由于大部分攻擊均會篡改計算環境，所以保證系統和應用的完整性，能夠確保使用正確的軟件棧，并在軟件棧受到攻擊后及時響應。因此，可信計算能夠減小由于使用未知或遭到篡改的系統、軟件，而遭受攻擊的可能性。

2. 度量和驗證

可信計算的實現手段主要包含度量和驗證。度量是指對系統完整性和行為安全性進行測量、評估和判定的動作。驗證則是將度量結果和可信基準庫中的參考值進行比對，查看二者是否一致，如果一致表示驗證通過，如果不一致則表示驗證失敗。其中，度量又分為靜態度量和動態度量，分別針對啟動前和運行時的完整性檢查以及合法性判斷。

可信計算的基本思想是：在計算機系統中，建立一個可信根，從可信根開始，到硬件平臺、操作系統、應用，一級度量一級，一級信任一級，把這種信任擴展到整個計算機系統，并采取防護措施，確保計算資源的數據完整性和行為的預期性，從而提高計算機系統的可信性。

可信根的可信性由物理安全、技術安全與管理安全共同確保?；诳尚鸥?，結合度量和驗證技術，在計算系統啟動和運行過程中，使用完整性度量方法在部件之間所建立的信任傳遞關系稱為信任鏈。信任鏈的具體傳遞過程如圖2所示。

圖2 信任鏈傳遞過程

3. 可信計算發展歷程

可信計算體系結構的發展歷程如表2所示。可信1.0針對計算機部件不穩定的問題，采取冗余備份、容錯算法等技術，確保信息系統在局部故障的情況下仍能保持運行，但是沒有對黑客攻擊等威脅提出針對性解決方案?？尚?.0通過可信根、可信軟件棧等可信功能模塊，向系統提供被動的可信度量機制，但是沒有從計算機體系結構上入手來解決可信問題，屬于被動的防護?？尚?.0借鑒生物免疫的思想，通過在計算節點構建“宿主+可信”雙節點可信免疫架構，在傳統系統之外構建了一個邏輯上獨立的可信計算子系統作為可信節點，通過可信節點間的可信協作形成完整的可信體系，從而對系統實施主動監控，為應用提供可信支撐[5]。

表2 可信計算體系結構發展歷程

如圖3所示，可信計算雙體系架構構造了獨立于傳統馮諾依曼架構的可信部件組成的子系統，解耦了計算部件和可信部件（即防護部件），減小了對傳統架構的影響。同時，由于屏蔽了計算部件對可信部件的訪問，保障了可信部件的可信性。在計算模式方面，雙體系架構能夠將安全可信體系從系統中分離，通過可信部件進行統一組織管理，構造安全管理中心集中管理的防御體系。

圖3 可信計算雙體系架構

三、零信任和可信計算的對比

零信任架構和可信計算架構的對比如表3所示。零信任和可信計算是基于不同維度的安全方案。零信任更注重防護，通過持續驗證、動態授權的方式，不斷退后到需要保護的資源所在位置，防止外界攻擊。而可信計算則是更注重從內部構建安全環境，保障安全方案和策略運行在未被篡改的環境下，從而保障安全。由此可見，零信任和可信計算并不沖突，屬于互補的關系。

表3 零信任架構和可信計算架構的對比

零信任和可信計算構成的網絡安全防御體系如圖4所示，零信任發揮功能的是黃色區域，可信計算發揮功能的是藍色區域。

圖4 零信任和可信計算構成的網絡安全防御體系

當外界用戶想訪問第三方應用時，首先需要零信任Agent代理通過區域邊界中的零信任網關和后臺的零信任服務進行通信，從而對用戶身份進行驗證。用戶身份通過驗證后，允許用戶訪問第三方應用以及核心資源和數據?？尚庞嬎阍谶@個過程中則是確保底層硬件和密碼設施、操作系統的完整性，確定系統或軟件運行在期望的可信狀態。因此，零信任和可信計算防護的是不同的內容，將二者相結合，能夠更好地構建網絡安全防御體系。

移動警務系統作為公安信息化建設中的重要環節，為維護社會公共安全提供了有力支撐。采用零信任技術在移動警務區域邊界及核心業務區對用戶身份進行合法性驗證，并結合可信計算技術保障移動警務硬件芯片到操作系統可信，從外部和內部兩個方面共同提升移動警務系統的安全防護能力。

四、結語

網絡安全風險通常是由外部人為攻擊和信息系統內部存在邏輯缺陷造成的。零信任默認不信任任何人、事、物，基于對訪問客體的持續評估，動態授予所需最小權限，能夠防護外部攻擊?？尚庞嬎阕鳛橐环N基于整體安全思想的主動防御技術，為各類計算環境提供安全基石，能夠從內部保障安全環境。零信任和可信計算都擁有廣闊的發展應用前景，因此，尤其在設計公安移動警務系統網絡安全防御體系時，將零信任和可信計算相結合能夠更好地筑牢網絡安全防線。