從2017年一款名為“想哭”的勒索病毒網絡攻擊席卷全球,到今年年初波及英特爾、ARM、AMD等幾乎所有芯片供應商的“芯”臟病,再到近期人們對于芯片安全自主可控的深刻反思,網絡和信息技術在為我們創造機遇的同時,也帶來了嚴峻的安全挑戰。
沒有網絡安全就沒有國家安全,而構建網絡安全的“銅墻鐵壁”離不開核心技術的支撐。可信計算作為一種“主動免疫”型的計算模式,能在網絡和信息化設備中使用基于硬件安全模塊支持的計算平臺,這就如同給網絡和信息化設備加上了“保險箱”,將大大提升系統的整體安全性。
增加“信任”確保信息真實
誰能想到,最初專門為軍事領域服務的互聯網,如今正日益成為“信任陷阱”的重災區。現有的計算機體系結構之所以頻出安全問題,就是過于看重計算性能而輕視防護功能,這才為各類網絡病毒提供了可乘之機。即便是出現了防火墻、病毒檢測和入侵檢測等防護手段,但這些消極被動的封堵防御模式“治標不治本”,網絡安全依舊形勢嚴峻。
可信計算的核心思想就是在硬件上“開刀”,通過直接引入可信芯片,從體系結構上解決網絡安全的脆弱問題。一旦擁有可信計算,計算機系統就會按照硬件設定的方式運行,與此相違背的行為都將被直接扼殺在軟硬件的“搖籃”之中。換句話說,可信計算就好比計算機設備“體內”的免疫系統,能及時識別并阻止有害信息的進入,以免軟硬件缺陷被攻擊者利用。這可比“生了病”再“打針吃藥”管用得多。
早在1971年國際容錯計算會議上,可信計算概念的雛形就已經形成。1985年,在“計算機保密模型”研究的基礎上,美國國防部國家計算機安全中心正式制定并出版了《可信計算機安全評估標準》,首次提出可信計算的相關概念。從初始的信任根到最后的可信應用,可信計算的每個環節都通過信任鏈“環環相扣”,確保了信息應用的真實可信。
目前,以美國和歐盟為代表的西方國家正在加緊進行可信計算技術研究。2017年底,美國國防部高級研究計劃局還希望借助“通過硬件和固件實現系統安全集成”項目研發網絡安全和可信計算硬件設備,以便在軍用網絡和信息化設備中有效應對各類網絡漏洞攻擊,提高網絡系統的可靠性。
給網絡安上免疫系統
網絡和計算機系統安全問題,其實質上來源于 “家族遺傳病”。系統任務難以隔離、內存無越界保護,直接導致在網絡環境下應用的計算機設備存在大量未知安全漏洞。單純把被動防御系統的“防火墻”越砌越高、入侵檢測技術越做越復雜、惡意代碼庫越做越龐大,僅能增加安全攻擊技術的“抗藥性”而已。與其疲于奔命封堵漏洞,不如提高自身的免疫能力,可信計算就是給網絡安全打造“鋼鐵長城”。
可信計算是硬件安全模塊支持下的計算平臺,該平臺主要包括信任根、硬件平臺、操作系統和應用系統。其中,可信硬件安全模塊是整個“誠信銀行”的“信任根”,通過一個含有密碼運算和存儲功能的系統,實現硬件訪問控制、存儲加密等安全保障。
也就是說,從數據到達可信硬件安全模塊開始,經過硬件、操作系統直到應用系統都有完整的“信任鏈”保障。通過一級認證一級、一級信任一級,未獲認證的數據就得不到 “通行證”,高安全等級的自身免疫系統由此誕生。
可信計算的一大優勢就是“以不變應萬變”。由于具備“主動防御”的能力,可信計算雖然與安全攻擊的新變種“素昧平生”,但依舊能夠“嗅到”其體內的破壞基因,進而阻止非授權程序的運行,確保網絡和計算機設備的安全。實踐充分證實,即便遇到了此前來勢洶洶的勒索病毒,裝有可信計算系統的設備依舊能在病毒開始攻擊之前進行阻止。即便是被感染病毒后用戶才啟用防御機制,可信計算也能通過限制特定數據訪問權限的方式,來避免重要信息遭到破壞。
經過不斷發展,目前可信計算正向著容錯計算、安全操作系統、網絡安全等領域不斷拓展。從側重硬件的可靠性、可用性,到硬件平臺和軟件系統服務的綜合可信,再到網絡連接、網絡可信等,可信計算正一步步適應如今的網絡世界。由于采取運算和防御并行的雙體系架構,可信計算并不會成為高速運算的“絆腳石”,反而為網絡和計算機設備披上了一件抵御病毒侵襲的“盔甲”。
網絡安全的“垃圾清道夫”
近年來,隨著信息化建設的步伐不斷加快,在事關國家安全的網絡關鍵基礎設施和國防應用領域,網絡安全威脅與日俱增。要扭轉受制于人的局面并在網絡安全核心技術方面取得突破,可信計算是一個重要的突破方向。
事實上,可信計算不僅可用于大型軍事信息化系統,在各類信息化終端的嵌入式平臺中,也能有力保護敏感和涉密信息。可信計算涉及信息化終端嵌入式電子設備免受物理和遠程攻擊的技術方法,即便是信息化終端落入敵手,可信計算還可通過防篡改機制保護關鍵數據不被敵人獲取。
目前,美國國防部高級研究計劃局、美國國家安全局等機構相繼投入巨資,進行可信計算系統和可信計算軍用軟件開發研究。美國海軍研究實驗室也于2017年底發出關于“先進安全信息處理”項目的信息征求書,旨在尋求新型可信計算技術,以便構建更加安全的軍事信息系統。這些工作涉及到支持指揮控制、通信情報、偵察監視和作戰系統等一系列新能力的可信計算。無獨有偶,美國空軍研究實驗室也希望通過更為可靠和可信的微電子解決方案,有效降低芯片領域的軍事安全風險。未來這些系統一旦研制成功并投入使用,勢必在網絡安全領域再次形成“技術代差”優勢。
同時,可信計算也開始“飛入尋常百姓家”,成為人們日常生活網絡安全的“垃圾清道夫”。目前已經出現集成有可信芯片的產品,銀行卡與可信支付終端配合,借助可信計算實現對敏感信息的加密傳輸,人們就可以更加放心地使用網絡支持系統。此外,在金融、教育、郵電、制造和公共服務領域,都出現了可信計算應用的身影,普通百姓的數字化生活也將逐步走向真正的“信任”與“高枕無憂”。
摘自《解放軍報》
