可信計算與嵌入式系統(tǒng)

　　嵌入式系統(tǒng)是把計算機系統(tǒng)嵌到某一個工程或系統(tǒng)里。那么科學計算是什么?為什么要科學計算?跟嵌入式有沒有關系?人們最擔心的是，嵌入式系統(tǒng)提高控制能力和智能程度之后，有什么隱患?前年美國開發(fā)者大會有兩個案例引起了人們的關注：第一汽車，汽車電子系統(tǒng)都是嵌入式系統(tǒng)。如果安全出現(xiàn)問題，汽車電子系統(tǒng)被控制，可能會出現(xiàn)制動熄火、方向盤不靈、撞車等事故，未來無人駕駛盛行之后這個問題更為突出。另一個是心臟起搏器，如果由計算機控制的起搏器被人操控，生死盡由他手。再說長江三峽工程，如果其175米的大壩控制系統(tǒng)被攻擊、接管，把23個防水洞同時拉起，全部排水，很可能就會沖垮大壩，淹沒下游城市。以前人們主要依靠防火墻、殺病毒、IDS找漏洞來解決網(wǎng)絡安全問題，但是這些方法并不適用于嵌入式系統(tǒng)。嵌入式安全需要有新的、有秩序的、過硬的技術，要技術先進，攻防兼?zhèn)?。這就產生了可信免疫的計算機體系結構。近年來，美國也認識到了這個問題，2006年4月份新出臺了聯(lián)邦網(wǎng)絡空間安全信息保障研究與發(fā)展計劃，重新確定了研究方向，廢除了前面說的“防火墻，殺病毒，IDS找漏洞”老三樣。

　　可信計算是對運算的方式進行安全保護，使計算結果總是與預期一致，計算全過程可測可控、不被干擾，是一個運算和防護并存的，主動免疫的新的計算模式。其中，可信計算要識別自他;其次要判斷政策有沒有變化，有沒有貶義;第三要進行編碼保護。

　　計算機系統(tǒng)的發(fā)展是一個辯證的發(fā)展過程，安全問題和黑客、病毒問題是一個辯證統(tǒng)一的兩個方面。計算機由大到小到微，最后到嵌入式的發(fā)展過程中，人們把重點放在控制能力、智能程度、計算能力上，而忽略了安全問題，以及能不能正常工作等。

　　通常的PC結構沒有免疫系統(tǒng)，安全性較低。如圖1，右邊是PC結構，包括計算機主板、操作系統(tǒng)、應用程序接口。圖1左邊，加上主動免疫可信計算的部件以后，整個體系結構不會被破壞，操作行為不會被冒充，配置不會被篡改，程序數(shù)據(jù)不會丟失，管理控制策略不會被破壞，這樣能構成三層防御體系，可信計算的環(huán)境。嵌入式系統(tǒng)也存在類似的體系框架，區(qū)別在于有些在線，有些離線。這樣做的效果能讓攻擊者進不去，非所有權的重要性拿不到，竊取保密信息看不懂，系統(tǒng)和信息篡改不了，系統(tǒng)工作癱不成，攻擊行為賴不掉。

國內可信計算體系的創(chuàng)新

　　1992年，國家針對可信計算正式立項，而TCG世界可行性計算組織到2000年才成立。因此國內領先一步，形成了自己的創(chuàng)新體系，國內體系跟免疫系統(tǒng)一樣，有基因、抗體、循環(huán)控制和主動識別。國內采用密碼技術進行識別、判別，能主動循環(huán)，有主動控制芯片，構成了雙體系主板，用軟件實現(xiàn)判別、處理和對外連接。

　　目前國內已經形成了標準。有自主研發(fā)的密碼技術，構成了一個全方位的循規(guī)體系，不僅包括芯片控制、主板融合、系統(tǒng)軟件、連接等國家標準，還有服務器、存儲器、任務等配套標準，國內成立了產業(yè)聯(lián)盟推動產業(yè)化、市場化。相較于TCG，國內產業(yè)聯(lián)盟更加完整。TCG組織成員像IBM、HP、Intel等，都有各自現(xiàn)成的產品體系結構，不容易真正融合。TCG有兩個局限性：第一，在密碼體制上，它采用公開的RSA，安全性低，且比較復雜;第二，它不是主動免疫，免疫系統(tǒng)主動控制、主動檢測，不由大腦指揮，TCG是作為外部設備掛接，由主程序、子程序實現(xiàn)可信，典型是由大腦指揮。

　　圖2是TPM(可信賴平臺模塊)可信的模塊，這個主板由BIOS進行控制，上面構建了TSS的軟件棧和子程序庫，由主程序來調用，解決所有的度量、識別、響應。

　　國內是真正的免疫系統(tǒng)主動免疫，第一，在密碼方面，國內采用雙密碼體系，更科學、更合理;第二，國內構成了循環(huán)控制，即TPCM-可信平臺的控制模塊，與主板相結合;第三，主板上進行深度融合，構成雙結點，一邊是支持資源計算的結點，一邊是免疫的可信序列;第四，改變了被動調用的局面，構建了PSB，可行性軟件機，與插入系統(tǒng)、基礎軟件并行，構成雙體系;第五，在可信網(wǎng)絡連接方面，國內建立了三元三層對等的連接。

　　有計算、有數(shù)據(jù)的地方，都要提供可信計算保障。在大家印象中，添加安全功能以后，計算機性能會降低、系統(tǒng)會變復雜。但可信計算既解決了安全性問題，又解決了與系統(tǒng)高度融合的問題。國內采用雙密碼體系，簡化了密鑰管理和證書配置，簡單、緊湊。這套密碼體系于06年發(fā)布實施，09年TCG申報國際標準時使用了對稱非對稱相結合的密碼體制。

　　可信計算需要構建控制模塊，在啟動計算機時，首先啟動免疫計算，檢查環(huán)境沒問題以后，再啟動CPU、主機。TCG把可信原點放在BIOS內，國內是放在計算機里面，在控制模塊上加一層外部設備的控制，這種方式更安全，通過操作系統(tǒng)或BIOS攻擊都無效?？刂颇K和主板融合以后，可以做到動態(tài)度量、虛擬度量。

　　如圖3所示紅色的控制模塊，是一個自成體系、主動免疫的軟件，加入到操作系統(tǒng)中，主動接管軟件操作系統(tǒng)的控制命令，度量、識別、判別都靠這個防御策略、規(guī)則進行處理。

　　三元連接，解決的是核心技術和資源的問題。XP停止服務以后，沒人能管補丁了，國家在這方面做了很多工作。

怎樣用科學計算技術實現(xiàn)真正的技術國產?

　　第一，引進。現(xiàn)在IBM等很多公司非常友好、熱忱，把它的內核、代碼、CPU都開放給我們。

　　第二，消化、吸收。

　　第三，創(chuàng)新。以前改造個界面，建個功能模塊就當創(chuàng)新，現(xiàn)在要在結構上進行重構。重構很重要，更重要的是可信，可信類似于人體自我免疫的安全性。但是自主不等于安全，因為剛開始自主創(chuàng)新的時候，肯定是東湊西拼，問題很多，留著很多Bug給人家攻擊，我們必須用可信來保障這些Bug不被利用，這樣自主創(chuàng)新的技術路線才能走下去。

　　第四，可用。嵌入式要引進、消化、吸收、創(chuàng)新，需要解決可用問題，國內發(fā)布了好多操作系統(tǒng)，都跟人家對接不起來。之前可信沒有走出國門，現(xiàn)在TCG對國內可用計算非常關注。從計算機角度來講，重新設計的主板、整機都是可信主機。老的機器用卡、PCI卡等，配上可信軟件、管理軟件，就改造成了可信計算機。

為什么我們可以主動免疫呢?

　　前面講到，有平臺支撐的防御體系，能做到主動識別資源有沒有被改變，攻擊必定要修改參數(shù)，從系統(tǒng)管理的角度制訂安全規(guī)則，保證立即發(fā)現(xiàn)參數(shù)改變，馬上處理。

　　第二，如果攻擊行為違背了安全管理策略，檢測到新的異常行為，建議進行控制。

　　第三，通過升級平臺解決異常情況的區(qū)別、預警和應急處理：首先，對資源進行可信度量，攻擊必定要改變資源;第二，保護重要信息;第三，控制鑒別攻擊行為，對異常的人、行為馬上處置，使攻擊不成。如果產生了攻擊行為，能有效防御它，這樣可以解決很重要的問題，特別是高安全等級防護問題。(本文根據(jù)第13屆全國嵌入式系統(tǒng)學術會議錄音整理，未經演講者確認)