论文部分内容阅读
摘要:本文基于第13届全国嵌入式系统学术会议,对可信计算与嵌入式系统进行讲解,分析其对今后社会发展的影响。本文网络版地址:http://www.eepw.com.cn/article/281878.htm
关键词:可信计算;安全自主;信息安全
DOI:10.3969/j.issn.1005-5517.2015.10.002
嵌入式系统是把计算机系统嵌到某一个工程或系统里。那么科学计算是什么?为什么要科学计算?跟嵌入式有没有关系?人们最担心的是,嵌入式系统提高控制能力和智能程度之后,有什么隐患?前年美国开发者大会有两个案例引起了人们的关注:第一汽车,汽车电子系统都是嵌入式系统。如果安全出现问题,汽车电子系统被控制,可能会出现制动熄火、方向盘不灵、撞车等事故,未来无人驾驶盛行之后这个问题更为突出。另一个是心脏起搏器,如果由计算机控制的起搏器被人操控,生死尽由他手。再说长江三峡工程,如果其175米的大坝控制系统被攻击、接管,把23个防水洞同时拉起,全部排水,很可能就会冲垮大坝,淹没下游城市。以前人们主要依靠防火墙、杀病毒、IDS找漏洞来解决网络安全问题,但是这些方法并不适用于嵌入式系统。嵌入式安全需要有新的、有秩序的、过硬的技术,要技术先进,攻防兼备。这就产生了可信免疫的计算机体系结构。近年来,美国也认识到了这个问题,2006年4月份新出台了联邦网络空间安全信息保障研究与发展计划,重新确定了研究方向,废除了前面说的“防火墙,杀病毒,IDS找漏洞”老三样。
可信计算是对运算的方式进行安全保护,使计算结果总是与预期一致,计算全过程可测可控、不被干扰,是一个运算和防护并存的,主动免疫的新的计算模式。其中,可信计算要识别自他:其次要判断政策有没有变化,有没有贬义:第三要进行编码保护。
计算机系统的发展是一个辩证的发展过程,安全问题和黑客、病毒问题是一个辩证统一的两个方面。计算机由大到小到微,最后到嵌入式的发展过程中,人们把重点放在控制能力、智能程度、计算能力上,而忽略了安全问题,以及能不能正常工作等。
通常的PC结构没有免疫系统,安全性较低。如图1,右边是PC结构,包括计算机主板、操作系统、应用程序接口。图1左边,加上主动免疫可信计算的部件以后,整个体系结构不会被破坏,操作行为不会被冒充,配置不会被篡改,程序数据不会丢失,管理控制策略不会被破坏,这样能构成三层防御体系,可信计算的环境。嵌入式系统也存在类似的体系框架,区别在于有些在线,有些离线。这样做的效果能让攻击者进不去,非所有权的重要性拿不到,窃取保密信息看不懂,系统和信息篡改不了,系统工作瘫不成,攻击行为赖不掉。
国内可信计算体系的创新
1992年,国家针对可信计算正式立项,而TCG世界可行性计算组织到2000年才成立。因此国内领先一步,形成了自己的创新体系,国内体系跟免疫系统一样,有基因、抗体、循环控制和主动识别。国内采用密码技术进行识别、判别,能主动循环,有主动控制芯片,构成了双体系主板,用软件实现判别、处理和对外连接。
目前国内已经形成了标准。有自主研发的密码技术,构成了一个全方位的循规体系,不仅包括芯片控制、主板融合、系统软件、连接等国家标准,还有服务器、存储器、任务等配套标准,国内成立了产业联盟推动产业化、市场化。相较于TCG,国内产业联盟更加完整。TCG组织成员像IBM、HP、Intel等,都有各自现成的产品体系结构,不容易真正融合。TCG有两个局限性:第一,在密码体制上,它采用公开的RSA,安全性低,且比较复杂;第二,它不是主动免疫,免疫系统主动控制、主动检测,不由大脑指挥,TCG是作为外部设备挂接,由主程序、子程序实现可信,典型是由大脑指挥。
图2是TPM(可信赖平台模块)可信的模块,这个主板由BIOS进行控制,上面构建了TSS的软件栈和子程序库,由主程序来调用,解决所有的度量、识别、响应。
国内是真正的免疫系统主动免疫,第一,在密码方面,国内采用双密码体系,更科学、更合理;第二,国内构成了循环控制,即TPCM-可信平台的控制模块,与主板相结合;第三,主板上进行深度融合,构成双结点,一边是支持资源计算的结点,一边是免疫的可信序列:第四,改变了被动调用的局面,构建了PSB,可行性软件机,与插入系统、基础软件并行,构成双体系;第五,在可信网络连接方面.国内建立了三元三层对等的连接。
有计算、有数据的地方,都要提供可信计算保障。在大家印象中,添加安全功能以后,计算机性能会降低、系统会变复杂。但可信计算既解决了安全性问题,又解决了与系统高度融合的问题。国内采用双密码体系,简化了密钥管理和证书配置,简单、紧凑。这套密码体系于06年发布实施,09年TCG申报国际标准时使用了对称非对称相结合的密码体制。
可信计算需要构建控制模块,在启动计算机时,首先启动免疫计算,检查环境没问题以后,再启动CPU、主机。TCG把可信原点放在BIOS内,国内是放在计算机里面,在控制模块上加一层外部设备的控制,这种方式更安全,通过操作系统或BIOS攻击都无效。控制模块和主板融合以后,可以做到动态度量、虚拟度量。
如图3所示红色的控制模块,是一个自成体系、主动免疫的软件,加入到操作系统中,主动接管软件操作系统的控制命令,度量、识别、判别都靠这个防御策略、规则进行处理。
三元连接,解决的是核心技术和资源的问题。XP停止服务以后,没人能管补丁了,国家在这方面做了很多工作。
怎样用科学计算技术实现真正的技术国产?
第一,引进。现在IBM等很多公司非常友好、热忱,把它的内核、代码、CPU都开放给我们。
第二,消化、吸收。
第三,创新。以前改造个界面,建个功能模块就当创新,现在要在结构上进行重构。重构很重要,更重要的是可信,可信类似于人体自我免疫的安全性。但是自主不等于安全,因为刚开始自主创新的时候,肯定是东凑西拼,问题很多,留着很多Bug给人家攻击,我们必须用可信来保障这些Bug不被利用,这样自主创新的技术路线才能走下去。
第四,可用。嵌入式要引进、消化、吸收、创新,需要解决可用问题,国内发布了好多操作系统,都跟人家对接不起来。之前可信没有走出国门,现在TCG对国内可用计算非常关注。从计算机角度来讲,重新设计的主板、整机都是可信主机。老的机器用卡、PCI卡等,配上可信软件、管理软件,就改造成了可信计算机。
为什么我们可以主动免疫呢?
前面讲到,有平台支撑的防御体系,能做到主动识别资源有没有被改变,攻击必定要修改参数,从系统管理的角度制订安全规则,保证立即发现参数改变,马上处理。
第二,如果攻击行为违背了安全管理策略,检测到新的异常行为,建议进行控制。
第三,通过升级平台解决异常情况的区别、预警和应急处理:首先,对资源进行可信度量,攻击必定要改变资源;第二,保护重要信息;第三,控制鉴别攻击行为,对异常的人、行为马上处置,使攻击不成。如果产生了攻击行为,能有效防御它,这样可以解决很重要的问题,特别是高安全等级防护问题。
关键词:可信计算;安全自主;信息安全
DOI:10.3969/j.issn.1005-5517.2015.10.002
嵌入式系统是把计算机系统嵌到某一个工程或系统里。那么科学计算是什么?为什么要科学计算?跟嵌入式有没有关系?人们最担心的是,嵌入式系统提高控制能力和智能程度之后,有什么隐患?前年美国开发者大会有两个案例引起了人们的关注:第一汽车,汽车电子系统都是嵌入式系统。如果安全出现问题,汽车电子系统被控制,可能会出现制动熄火、方向盘不灵、撞车等事故,未来无人驾驶盛行之后这个问题更为突出。另一个是心脏起搏器,如果由计算机控制的起搏器被人操控,生死尽由他手。再说长江三峡工程,如果其175米的大坝控制系统被攻击、接管,把23个防水洞同时拉起,全部排水,很可能就会冲垮大坝,淹没下游城市。以前人们主要依靠防火墙、杀病毒、IDS找漏洞来解决网络安全问题,但是这些方法并不适用于嵌入式系统。嵌入式安全需要有新的、有秩序的、过硬的技术,要技术先进,攻防兼备。这就产生了可信免疫的计算机体系结构。近年来,美国也认识到了这个问题,2006年4月份新出台了联邦网络空间安全信息保障研究与发展计划,重新确定了研究方向,废除了前面说的“防火墙,杀病毒,IDS找漏洞”老三样。
可信计算是对运算的方式进行安全保护,使计算结果总是与预期一致,计算全过程可测可控、不被干扰,是一个运算和防护并存的,主动免疫的新的计算模式。其中,可信计算要识别自他:其次要判断政策有没有变化,有没有贬义:第三要进行编码保护。
计算机系统的发展是一个辩证的发展过程,安全问题和黑客、病毒问题是一个辩证统一的两个方面。计算机由大到小到微,最后到嵌入式的发展过程中,人们把重点放在控制能力、智能程度、计算能力上,而忽略了安全问题,以及能不能正常工作等。
通常的PC结构没有免疫系统,安全性较低。如图1,右边是PC结构,包括计算机主板、操作系统、应用程序接口。图1左边,加上主动免疫可信计算的部件以后,整个体系结构不会被破坏,操作行为不会被冒充,配置不会被篡改,程序数据不会丢失,管理控制策略不会被破坏,这样能构成三层防御体系,可信计算的环境。嵌入式系统也存在类似的体系框架,区别在于有些在线,有些离线。这样做的效果能让攻击者进不去,非所有权的重要性拿不到,窃取保密信息看不懂,系统和信息篡改不了,系统工作瘫不成,攻击行为赖不掉。
国内可信计算体系的创新
1992年,国家针对可信计算正式立项,而TCG世界可行性计算组织到2000年才成立。因此国内领先一步,形成了自己的创新体系,国内体系跟免疫系统一样,有基因、抗体、循环控制和主动识别。国内采用密码技术进行识别、判别,能主动循环,有主动控制芯片,构成了双体系主板,用软件实现判别、处理和对外连接。
目前国内已经形成了标准。有自主研发的密码技术,构成了一个全方位的循规体系,不仅包括芯片控制、主板融合、系统软件、连接等国家标准,还有服务器、存储器、任务等配套标准,国内成立了产业联盟推动产业化、市场化。相较于TCG,国内产业联盟更加完整。TCG组织成员像IBM、HP、Intel等,都有各自现成的产品体系结构,不容易真正融合。TCG有两个局限性:第一,在密码体制上,它采用公开的RSA,安全性低,且比较复杂;第二,它不是主动免疫,免疫系统主动控制、主动检测,不由大脑指挥,TCG是作为外部设备挂接,由主程序、子程序实现可信,典型是由大脑指挥。
图2是TPM(可信赖平台模块)可信的模块,这个主板由BIOS进行控制,上面构建了TSS的软件栈和子程序库,由主程序来调用,解决所有的度量、识别、响应。
国内是真正的免疫系统主动免疫,第一,在密码方面,国内采用双密码体系,更科学、更合理;第二,国内构成了循环控制,即TPCM-可信平台的控制模块,与主板相结合;第三,主板上进行深度融合,构成双结点,一边是支持资源计算的结点,一边是免疫的可信序列:第四,改变了被动调用的局面,构建了PSB,可行性软件机,与插入系统、基础软件并行,构成双体系;第五,在可信网络连接方面.国内建立了三元三层对等的连接。
有计算、有数据的地方,都要提供可信计算保障。在大家印象中,添加安全功能以后,计算机性能会降低、系统会变复杂。但可信计算既解决了安全性问题,又解决了与系统高度融合的问题。国内采用双密码体系,简化了密钥管理和证书配置,简单、紧凑。这套密码体系于06年发布实施,09年TCG申报国际标准时使用了对称非对称相结合的密码体制。
可信计算需要构建控制模块,在启动计算机时,首先启动免疫计算,检查环境没问题以后,再启动CPU、主机。TCG把可信原点放在BIOS内,国内是放在计算机里面,在控制模块上加一层外部设备的控制,这种方式更安全,通过操作系统或BIOS攻击都无效。控制模块和主板融合以后,可以做到动态度量、虚拟度量。
如图3所示红色的控制模块,是一个自成体系、主动免疫的软件,加入到操作系统中,主动接管软件操作系统的控制命令,度量、识别、判别都靠这个防御策略、规则进行处理。
三元连接,解决的是核心技术和资源的问题。XP停止服务以后,没人能管补丁了,国家在这方面做了很多工作。
怎样用科学计算技术实现真正的技术国产?
第一,引进。现在IBM等很多公司非常友好、热忱,把它的内核、代码、CPU都开放给我们。
第二,消化、吸收。
第三,创新。以前改造个界面,建个功能模块就当创新,现在要在结构上进行重构。重构很重要,更重要的是可信,可信类似于人体自我免疫的安全性。但是自主不等于安全,因为刚开始自主创新的时候,肯定是东凑西拼,问题很多,留着很多Bug给人家攻击,我们必须用可信来保障这些Bug不被利用,这样自主创新的技术路线才能走下去。
第四,可用。嵌入式要引进、消化、吸收、创新,需要解决可用问题,国内发布了好多操作系统,都跟人家对接不起来。之前可信没有走出国门,现在TCG对国内可用计算非常关注。从计算机角度来讲,重新设计的主板、整机都是可信主机。老的机器用卡、PCI卡等,配上可信软件、管理软件,就改造成了可信计算机。
为什么我们可以主动免疫呢?
前面讲到,有平台支撑的防御体系,能做到主动识别资源有没有被改变,攻击必定要修改参数,从系统管理的角度制订安全规则,保证立即发现参数改变,马上处理。
第二,如果攻击行为违背了安全管理策略,检测到新的异常行为,建议进行控制。
第三,通过升级平台解决异常情况的区别、预警和应急处理:首先,对资源进行可信度量,攻击必定要改变资源;第二,保护重要信息;第三,控制鉴别攻击行为,对异常的人、行为马上处置,使攻击不成。如果产生了攻击行为,能有效防御它,这样可以解决很重要的问题,特别是高安全等级防护问题。