可信計算與嵌入式系統(tǒng)
嵌入式系統(tǒng)是把計算機系統(tǒng)嵌到某一個工程或系統(tǒng)里。那么科學計算是什么?為什么要科學計算?跟嵌入式有沒有關系?人們最擔心的是,嵌入式系統(tǒng)提高控制能力和智能程度之后,有什么隱患?前年美國開發(fā)者大會有兩個案例引起了人們的關注:第一汽車,汽車電子系統(tǒng)都是嵌入式系統(tǒng)。如果安全出現(xiàn)問題,汽車電子系統(tǒng)被控制,可能會出現(xiàn)制動熄火、方向盤不靈、撞車等事故,未來無人駕駛盛行之后這個問題更為突出。另一個是心臟起搏器,如果由計算機控制的起搏器被人操控,生死盡由他手。再說長江三峽工程,如果其175米的大壩控制系統(tǒng)被攻擊、接管,把23個防水洞同時拉起,全部排水,很可能就會沖垮大壩,淹沒下游城市。以前人們主要依靠防火墻、殺病毒、IDS找漏洞來解決網(wǎng)絡安全問題,但是這些方法并不適用于嵌入式系統(tǒng)。嵌入式安全需要有新的、有秩序的、過硬的技術,要技術先進,攻防兼?zhèn)?。這就產(chǎn)生了可信免疫的計算機體系結構。近年來,美國也認識到了這個問題,2006年4月份新出臺了聯(lián)邦網(wǎng)絡空間安全信息保障研究與發(fā)展計劃,重新確定了研究方向,廢除了前面說的“防火墻,殺病毒,IDS找漏洞”老三樣。
本文引用地址:http://cafeforensic.com/article/281878.htm可信計算是對運算的方式進行安全保護,使計算結果總是與預期一致,計算全過程可測可控、不被干擾,是一個運算和防護并存的,主動免疫的新的計算模式。其中,可信計算要識別自他;其次要判斷政策有沒有變化,有沒有貶義;第三要進行編碼保護。
計算機系統(tǒng)的發(fā)展是一個辯證的發(fā)展過程,安全問題和黑客、病毒問題是一個辯證統(tǒng)一的兩個方面。計算機由大到小到微,最后到嵌入式的發(fā)展過程中,人們把重點放在控制能力、智能程度、計算能力上,而忽略了安全問題,以及能不能正常工作等。
通常的PC結構沒有免疫系統(tǒng),安全性較低。如圖1,右邊是PC結構,包括計算機主板、操作系統(tǒng)、應用程序接口。圖1左邊,加上主動免疫可信計算的部件以后,整個體系結構不會被破壞,操作行為不會被冒充,配置不會被篡改,程序數(shù)據(jù)不會丟失,管理控制策略不會被破壞,這樣能構成三層防御體系,可信計算的環(huán)境。嵌入式系統(tǒng)也存在類似的體系框架,區(qū)別在于有些在線,有些離線。這樣做的效果能讓攻擊者進不去,非所有權的重要性拿不到,竊取保密信息看不懂,系統(tǒng)和信息篡改不了,系統(tǒng)工作癱不成,攻擊行為賴不掉。
國內可信計算體系的創(chuàng)新
1992年,國家針對可信計算正式立項,而TCG世界可行性計算組織到2000年才成立。因此國內領先一步,形成了自己的創(chuàng)新體系,國內體系跟免疫系統(tǒng)一樣,有基因、抗體、循環(huán)控制和主動識別。國內采用密碼技術進行識別、判別,能主動循環(huán),有主動控制芯片,構成了雙體系主板,用軟件實現(xiàn)判別、處理和對外連接。
目前國內已經(jīng)形成了標準。有自主研發(fā)的密碼技術,構成了一個全方位的循規(guī)體系,不僅包括芯片控制、主板融合、系統(tǒng)軟件、連接等國家標準,還有服務器、存儲器、任務等配套標準,國內成立了產(chǎn)業(yè)聯(lián)盟推動產(chǎn)業(yè)化、市場化。相較于TCG,國內產(chǎn)業(yè)聯(lián)盟更加完整。TCG組織成員像IBM、HP、Intel等,都有各自現(xiàn)成的產(chǎn)品體系結構,不容易真正融合。TCG有兩個局限性:第一,在密碼體制上,它采用公開的RSA,安全性低,且比較復雜;第二,它不是主動免疫,免疫系統(tǒng)主動控制、主動檢測,不由大腦指揮,TCG是作為外部設備掛接,由主程序、子程序實現(xiàn)可信,典型是由大腦指揮。
圖2是TPM(可信賴平臺模塊)可信的模塊,這個主板由BIOS進行控制,上面構建了TSS的軟件棧和子程序庫,由主程序來調用,解決所有的度量、識別、響應。
國內是真正的免疫系統(tǒng)主動免疫,第一,在密碼方面,國內采用雙密碼體系,更科學、更合理;第二,國內構成了循環(huán)控制,即TPCM-可信平臺的控制模塊,與主板相結合;第三,主板上進行深度融合,構成雙結點,一邊是支持資源計算的結點,一邊是免疫的可信序列;第四,改變了被動調用的局面,構建了PSB,可行性軟件機,與插入系統(tǒng)、基礎軟件并行,構成雙體系;第五,在可信網(wǎng)絡連接方面,國內建立了三元三層對等的連接。
有計算、有數(shù)據(jù)的地方,都要提供可信計算保障。在大家印象中,添加安全功能以后,計算機性能會降低、系統(tǒng)會變復雜。但可信計算既解決了安全性問題,又解決了與系統(tǒng)高度融合的問題。國內采用雙密碼體系,簡化了密鑰管理和證書配置,簡單、緊湊。這套密碼體系于06年發(fā)布實施,09年TCG申報國際標準時使用了對稱非對稱相結合的密碼體制。
可信計算需要構建控制模塊,在啟動計算機時,首先啟動免疫計算,檢查環(huán)境沒問題以后,再啟動CPU、主機。TCG把可信原點放在BIOS內,國內是放在計算機里面,在控制模塊上加一層外部設備的控制,這種方式更安全,通過操作系統(tǒng)或BIOS攻擊都無效。控制模塊和主板融合以后,可以做到動態(tài)度量、虛擬度量。
如圖3所示紅色的控制模塊,是一個自成體系、主動免疫的軟件,加入到操作系統(tǒng)中,主動接管軟件操作系統(tǒng)的控制命令,度量、識別、判別都靠這個防御策略、規(guī)則進行處理。
三元連接,解決的是核心技術和資源的問題。XP停止服務以后,沒人能管補丁了,國家在這方面做了很多工作。
怎樣用科學計算技術實現(xiàn)真正的技術國產(chǎn)?
第一,引進?,F(xiàn)在IBM等很多公司非常友好、熱忱,把它的內核、代碼、CPU都開放給我們。
第二,消化、吸收。
第三,創(chuàng)新。以前改造個界面,建個功能模塊就當創(chuàng)新,現(xiàn)在要在結構上進行重構。重構很重要,更重要的是可信,可信類似于人體自我免疫的安全性。但是自主不等于安全,因為剛開始自主創(chuàng)新的時候,肯定是東湊西拼,問題很多,留著很多Bug給人家攻擊,我們必須用可信來保障這些Bug不被利用,這樣自主創(chuàng)新的技術路線才能走下去。
第四,可用。嵌入式要引進、消化、吸收、創(chuàng)新,需要解決可用問題,國內發(fā)布了好多操作系統(tǒng),都跟人家對接不起來。之前可信沒有走出國門,現(xiàn)在TCG對國內可用計算非常關注。從計算機角度來講,重新設計的主板、整機都是可信主機。老的機器用卡、PCI卡等,配上可信軟件、管理軟件,就改造成了可信計算機。
為什么我們可以主動免疫呢?
前面講到,有平臺支撐的防御體系,能做到主動識別資源有沒有被改變,攻擊必定要修改參數(shù),從系統(tǒng)管理的角度制訂安全規(guī)則,保證立即發(fā)現(xiàn)參數(shù)改變,馬上處理。
第二,如果攻擊行為違背了安全管理策略,檢測到新的異常行為,建議進行控制。
第三,通過升級平臺解決異常情況的區(qū)別、預警和應急處理:首先,對資源進行可信度量,攻擊必定要改變資源;第二,保護重要信息;第三,控制鑒別攻擊行為,對異常的人、行為馬上處置,使攻擊不成。如果產(chǎn)生了攻擊行為,能有效防御它,這樣可以解決很重要的問題,特別是高安全等級防護問題。(本文根據(jù)第13屆全國嵌入式系統(tǒng)學術會議錄音整理,未經(jīng)演講者確認)
評論